从防护角度看Thinkphp历史漏洞 渗透测试

从防护角度看Thinkphp历史漏洞

一、前言 19年初,网上公开了2个Thinkphp5的RCE漏洞,漏洞非常好用,导致有很多攻击者用扫描器进行全网扫描。我们通过ips设备持续观察到大量利用这几个漏洞进行批量getshell的攻击流量,本文主要从流量角度简要分析和利用thinkphp进行攻击的全网扫描和getshell流量痕迹。 二、Thinkphp RCE漏洞和扫描流量 2.1漏洞原理回顾 2.1.15.0.x版本漏洞 原理在于Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php),该类可以实现对HTTP请求的一...
最新
阅读全文
Tomcat-Ajp漏洞:我是如何一步步写出POC的? 渗透测试

Tomcat-Ajp漏洞:我是如何一步步写出POC的?

前言 晚上,朋友圈有人发了篇tomcat-ajp漏洞的通告和一个简要分析的文章,也是当时唯一的参考文章,本着“好好学习、天天向上”的态度,作为小白,就想试着分析下,看看能不能写出poc。所以本文主要讲述一个小白(当然也不能太白,java至少要会吧,网站要知道是啥吧)如何一步步调试分析,编写poc的过程。 一、漏洞介绍 简单来说就是apache tomcat服务器的8009端口上的ajp协议存在漏洞,导致未授权用户可以读网站目录下的任意文件。 漏洞编号: CNVD-2020-10487/CVE-2020-1938 受影响版本...
阅读全文
挖洞经验 | 登录注册表单渗透 渗透测试

挖洞经验 | 登录注册表单渗透

大家在甲方授权的渗透测试中,经常会遇到各种表单:登录、注册、密码修改、密码找回等表单,本技术稿着重介绍关于各种表单的渗透经验,抛砖引玉,欢迎大家交流互动。 方便大家查看,制作如下思维导图,以下只详细介绍其中一些重要常用的漏洞。 一、登录处是否可绕过—>(抓包decode+爆破)【高危】                      &n...
阅读全文
突破PHP函数禁用执行Shell代码分析 渗透测试

突破PHP函数禁用执行Shell代码分析

一、问题描述 Getshell时无法执行系统命令 二、直接利用过程 将bypass_disablefunc.php 和 bypass_disablefunc_x64.so共享文件传到目标服务器上,指定三个参数构造URL。 http://site.com/bypass_disablefunc.php?cmd=命令执行输入&outpath=outpath&sopath=sopath  一是 cmd 参数,待执行的系统命令; 二是 outpath 参数,保存命令执行输出结果的文件路径(如 ...
阅读全文
从防护角度看Struts2历史漏洞 渗透测试

从防护角度看Struts2历史漏洞

一、前言 Struts2漏洞是一个经典的漏洞系列,根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的情况来看,大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时,Struts2漏洞主要也是碰碰运气,或者是打到内网之后用来攻击没打补丁的系统会比较有效。 网上的分析文章主要从攻击利用的角度来分析这些Struts2漏洞。作为新华三攻防团队,我们的一部分工作是维护ips产品的规则库,今天回顾一下这个系列的漏洞,给大家分享一些防护者的思路,如果有遗漏或者错误,欢迎各位大佬指正。 ...
阅读全文
远控免杀从入门到实践(3)-代码篇-C/C++ 渗透测试

远控免杀从入门到实践(3)-代码篇-C/C++

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell ...
阅读全文
记一次某OA的渗透测试(前台注入) 渗透测试

记一次某OA的渗透测试(前台注入)

0x01 初始化 目标是这个样子的: 开发商已知,搜索引擎没找到洞。。。 0x02 加载中 登陆口可以爆破,但是: 用户名也遍历不了,简单爆破了一下,无果。 前台JS的文件命名很有意思: 满屏SB: 开发当时的怨气挺重的。 每个JS都仔细分析了一遍,无果。 扫了一下目录,无果。 扫了一下端口,无果。 关注到UI有这个: 群文件里面下载到APP: ...
阅读全文
渗透技巧——从远程桌面客户端提取明文凭据 渗透测试

渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言 在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。 在实际的渗透过程中,如果发现了远程桌面连接的历史记录,那么下一步就需要想办法获取远程桌面连接使用的口令。 本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法,分享需要注意的细节。 RdpThief地址: https://github.com/0x09AL/RdpThief 0x01 简介 本文将要介绍以下内容: 获取远程桌面连接口令的思路 ...
阅读全文
Web漏洞扫描碎碎念 渗透测试

Web漏洞扫描碎碎念

前言 这段时间一直在搞漏洞扫描方面相关的东西,之前也写过一些小的扫描器demo,接触到挺多开源和商业版漏扫。简单念叨一些web扫描器相关的思路吧,也算做个记录。 注:本文只提供一些思路 其实web扫描器形式分很多种 主动扫描例如 AWVS、APPScan 被动扫描例如 Xray 还有一些一把梭的插件类型扫描器,包括资产域名自动收集,指纹识别,POC扫描等 IAST插桩也是挺好的一种方式 当然可能按照不同角度有不同的区分类型吧,这几种类型的基本也都写过一些。其实无论哪种方式,最核心的还是要拿到...
阅读全文
详解64位静态编译程序的fini_array劫持及ROP攻击 渗透测试

详解64位静态编译程序的fini_array劫持及ROP攻击

用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main是main的爸爸。 然鹅,__libc_start_main也有爸爸,他就是_start也就是Entry point程序的进入点啦,可以通过readelf -h查看: ELF Header: Magic: 7f 45 4c 46 02 01 01 03 00 00 00 00 00 00 00 00 Class: ELF64 Data: ...
阅读全文
逻辑漏洞小结之SRC篇 渗透测试

逻辑漏洞小结之SRC篇

最近在挖各大src,主要以逻辑漏洞为主,想着总结一下我所知道的一些逻辑漏洞分享一下以及举部分实际的案例展示一下,方便大家理解。 主要从两个方面看,业务方面与漏洞方面。(接下来就从拿到网站的挖掘步骤进行逐一介绍各个逻辑漏洞) 一 、业务 注册: 1.短信轰炸/验证码安全问题/密码爆破/邮箱轰炸 上面这个属于利用了burp中的intruder插件遍历了差数,导致短信**漏洞产生。遍历几个参数设置好payloads即可,具体看图操作。我个人来说特别喜欢测各种各样的短信**漏洞。其他测试方法接着往下看有专门写短信**。邮箱**与其相同方式。 ...
阅读全文
OpenBSD SMTP漏洞分析报告 渗透测试

OpenBSD SMTP漏洞分析报告

安全人员在OpenBSD SMTP中发现了一个存在长达4年的漏洞,攻击者可利用该漏洞远程执行代码,多个linux发行版本受到影响。 综述 近期在OpenBSD邮件服务器中发现了一个漏洞。此漏洞是在2015年12月引入的越界读取(commit 80c6a60c)。攻击者可远程利用该漏洞,在18年5月前可以非root权限执行任意shell命令, 2018年5月之后(commit a8e22235)可以root权限执行shell命令。 因为此漏洞位于OpenSMTPD的客户端代码中,需要考虑两个不同的情况: 客户端利用 在OpenSMTPD(因...
阅读全文
2020年仍然有效的一些XSS Payload 渗透测试

2020年仍然有效的一些XSS Payload

其实,现在网络上很多的XSS Cheat Sheet都已经过期了。很多的XSS Cheat Sheet都是直接从其他地方粗制粘贴过来的,而且有的测试用例早在十年前就已经没用了,但是也没人去整理和清理。除此之蛙,在大多数情况下我们所遇到的情况都是这些XSS Cheat Sheet测试用例无法解决的,有可能是因为Web应用防火墙,也有可能是因为XSS过滤器。当然了,如果只是一个简单的XSS漏洞,那你需要的仅仅只是一个有效的XSS攻击向量,而不是一堆“没用”的东西。 因此,在这篇文章中我想给大家提供一个“与众不同”的Cheat Sheet,在这份Cheat Sheet中我将给大家提供一份XSS技术和测...
阅读全文
Apache AJP 协议 CVE-2020-1938 漏洞分析 渗透测试

Apache AJP 协议 CVE-2020-1938 漏洞分析

引言 最近CVE-2020-1938炒的比较热闹,前几天比较忙,今天抽空跟了一下这个漏洞,时间线上肯定比别的大佬晚很多了,所以就选择从环境搭建开始写的详细一点,对这个漏洞多少还有一些困惑的同学可以赏脸看上两眼吧。 环境搭建 这里使用的是tomcat8.0.52的测试环境,因为tomcat默认开启AJP协议,所以我们这边只需要配置好tomcat的远程debug环境就行。 1、找到catalina.sh去定义一下远程调试端口,我这里就使用了默认的5005端口。 if [ -z "$JPDA_ADDRESS" ]; then JPDA_ADDRESS="lo...
阅读全文
记一次曲折而又有趣的渗透 渗透测试

记一次曲折而又有趣的渗透

前言 为什么要叫曲折而又有趣的渗透呢 ? 因为为了拿下这个目标兜兜转转了好几次 , 也踩了几个坑 , 想到的思路一个接着一个被堵死 , 几次都差点想放弃不搞了 , 而陪我提权的小伙伴 ( r4v3n ) 提到通宵最终还是放弃提权 , 我从下午五点半一直日到第二天早上的八点最终拿下目标 webshell 权限的时候感觉是真的爽 , 所以记下此文做个纪念。 基本信息 目标站 : z*******.com IP : 1 . *  . *  .9 基本信息 : apa...
阅读全文
安全人员的代码水平 渗透测试

安全人员的代码水平

Citrix 官方放了一个 CVE-2019-19781 – Verification Tool,是一个 Python 脚本,链接在 https://support.citrix.com/article/CTX269180。 为了方便大家看,我保存一个截图。 我看了之后觉得槽点满满,不过也符合我一贯的对安全人员代码水平的印象,下面先简单分析下这段代码。 代码分析 滥用 globals 这段代码中,很多 globals 的使用都是不必要的,这种会破坏代码的逻辑结构,而且可能会带来潜在的并发问题。正确的办法应该是在调用方接受函数...
阅读全文
WordPress主题插件严重漏洞修复,影响将近20万个网站 渗透测试

WordPress主题插件严重漏洞修复,影响将近20万个网站

WordPress的ThemeGrill Demo Importer程序的开发人员已更新了该插件,删除一个严重漏洞,该漏洞为未经身份验证的用户提供了管理员特权。攻击者可以管理员身份登录,并将网站的整个数据库还原为默认状态,从而完全控制这些网站。 最流行的版本易受攻击 该插件用于轻松导入ThemeGrill主题演示内容、小工具和设置,使他们更轻松地快速自定义主题。该插件目前安装在近200000个WordPress网站上,而最流行的版本最容易受到攻击。 该漏洞存在于ThemeGrill Demo Importer插件从1.3.4到1.6.1的版本中。根据官方Wo...
阅读全文
两个weblogic漏洞的GetShell验证 渗透测试

两个weblogic漏洞的GetShell验证

本文复现了weblogic的Weblogic CVE-2019-2725和Weblogic CVE-2017-10271两个漏洞,从批量扫描到Getshell的整个过程。主要侧重如何构造Payload去GetShell(所以扫描工具和命令执行的截图是网图),批量扫描和命令执行直接找weblogic在github的几款工具即可。在这里就不分享了,只分享payload请求代码。 有问题可以留言。 Weblogic CVE-2017-10271 批量扫描 命令执行 Getshell Payload POST&...
阅读全文
漏洞挖掘 | 一处图片引用功能导致的XSS 渗透测试

漏洞挖掘 | 一处图片引用功能导致的XSS

初步测试 一开始尝试XSS,发现程序有过滤,提交均显示Tags are not permitted,最后测出来的是过滤 < ,不过滤 > 因为提示速度比较快,猜测前端有一层检测。尝试绕过前端检测,burp拦截正常提交的内容,替换xss payload后发送,发现会自动跳转回首页,由此发现程序后端也有内容检测,这里直接xss暂时行不通。 查看编辑器的其他功能: 图片上传: 可上传aspx(其他可能解析后缀均已尝试),不能解析并跳转至首页。 可上传html并解析,这种方式构造的xss通常需要主动攻击,且攻击时易被管理员察觉到异常,暂不...
阅读全文
在线域环境 CTF 实验室 RastaLab 体验记录 渗透测试

在线域环境 CTF 实验室 RastaLab 体验记录

RastaLab是一个身临其境的 Windows 活动目录环境,被设计用来作为学习和磨练渗透测试技能的一种手段。 要完成实验室里的题目需要很多技能,包括: · 横向运动 · Exp开发 · 创造性思维 · 耐心和毅力! · OSINT&网络钓鱼 · 本地权限提升 · 持久化技术 · 活动目录枚举及漏洞利用 该实验室的目标是拿到域管理员并找到所有的flag。 引言 11月20日这一天,我刚刚开...
阅读全文
基于内存 Webshell 的无文件攻击技术研究 渗透测试

基于内存 Webshell 的无文件攻击技术研究

一. 情况介绍 红队人员在面对蓝队的严防死守与”盯梢”式的防御策略时,传统需要文件落地的攻击技术往往会受到掣肘,基于 Web 的无文件攻击技术逐渐成为 Web 安全的一种新的研究趋势。 所以我们重点研究了基于 Java 的常用 Web 框架 — SpringMvc,并实现了利用多种不同的技术手段,往内存中注入恶意 Webshell 代码的无文件攻击技术。   二. 必要知识 在切入正题前,首先需要了解下 Spring 框架中的几个必要的名词术语。 Bean bean 是 Spring 框架的一个核心概念,它是构成应...
阅读全文
从损坏的手机中获取数据 渗透测试

从损坏的手机中获取数据

有时候,犯罪分子会故意损坏手机来破坏数据。比如粉碎、射击手机或是直接扔进水里,但取证专家仍然可以找到手机里的证据。 如何获取损坏了的手机中的数据呢? 图1:在炮火中损坏的手机 访问手机的存储芯片 损坏的手机可能无法开机,并且数据端口无法正常工作,因此,可以使用硬件和软件工具直接访问手机的存储芯片。一些原本被骇客使用的工具,也可以合法地用作调查的一部分。 那么产生的结果是准确的吗?研究人员将数据加载到了10种流行的手机型号上。然后,他们自己或外部专家进行了数据提取,以此测试,提取的数据是否与原始数据完全匹配,并且没有任何变化。 ...
阅读全文
渗透痕迹分析随笔 渗透测试

渗透痕迹分析随笔

网上,关于入侵痕迹分析的文章很多,在此将个人工作中常用的一些方法技巧(班门弄斧了),以及爬过的坑总结如下(当然,其中有些方法也是从各位前辈的经验中学习的)。入侵痕迹分析,不外乎正向推理,和逆向推理。当已经掌握部分线索时,可通过逆向推理,快速确定事发时间、影响范围、事发原因等;当没有明确的线索,可以入侵者的视角,通过正向思维进行推理,从而发现入侵行为;两种方法都可以以敏感文件、敏感命令、敏感IP、攻击特征关键字为线索,推理出事发时间、事发原因。  一、针对.bash_history的分析 在对日志进行例行安全分析时,对文件.bash_history的分析必不可少,该文件记录了...
阅读全文
渗透测试工具实战技巧合集 渗透测试

渗透测试工具实战技巧合集

最好的 NMAP 扫描策略 # 适用所有大小网络最好的 nmap 扫描策略# 主机发现,生成存活主机列表$ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt# 端口发现,发...
阅读全文