通达OA远程命令执行漏洞分析 渗透测试

通达OA远程命令执行漏洞分析

一、漏洞简介 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,攻击者通过构造恶意请求,上传webshell等恶意文件,并对入侵的服务器进行文件加密,勒索高额匿名货币赎金。笔者长期从事二进制漏洞的研究,写此文旨在学习web漏洞的研究方法并以此漏洞为实践,强化对web漏洞利用技术的认识,记录之。 二、漏洞分析 资料显示,该漏洞影响范围较广,影响的版本有:V11版、2017版、2016版...
最新
阅读全文
记录几种XSS绕过方式 渗透测试

记录几种XSS绕过方式

一.服务端全局替换为空的特性 比如某站正则 过滤了onerror 过滤了script 这些  但是“ 或者 ‘ 这这种符号会变成空可以绕过,例如代码 <img src=1 oner”ror=alert(1)> 利用 某字符转换为空 来绕过  我下面写了个挖掘案例 二.大小写绕过 比如正则过滤了onerror script 这些 没有设置大小写      绕过 payload ...
阅读全文
闲谈Webshell实战应用 渗透测试

闲谈Webshell实战应用

文件上传漏洞是渗透测试中很常见的漏洞之一,也是我们攻防演练或者安全测试中快速getshell的一种途径,当然发现文件漏洞并不一定能成功getshell,真实环境下必不可少会存在waf或者其他拦截设备,阻碍我们成功打进目标。这篇文章就聊聊我平时渗透测试中经常使用的webshell免杀方法。   动态免杀 流量加密webshell 冰蝎和蚁剑 平时渗透测试中经常使用的就是冰蝎和蚁剑,对于我来说用的冰蝎多一点,冰蝎刚开始的时候免杀效果特别好,但是随着使用人数越来越多,已经可以被很多waf识别并拦截,冰蝎项目地址: https://g...
阅读全文
解密无文件攻击的各种姿势及最新检测方法 渗透测试

解密无文件攻击的各种姿势及最新检测方法

“无文件攻击”不代表真的没有文件,只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。所说的无文件,也未必是攻击全程无文件,而是其中的一部分采用了无文件攻击[1]。近期,受NDSS2020顶会文章[2]启发,查阅趋势科技等数篇安全报告及网页文章,认为无文件攻击是一种趋势,“离地/隐形/无文件”是一个目前很热门的方向。故本文围绕无文件展开调研,收集2020年4月前的相关资料,内容包括无文件勒索、无文件挖矿等最新的无文件攻击方式,并对其进行归纳、总结。同时,分析了该篇顶会文章的核心内容,进一步了解无文件攻击的检测思路。 一、无文件勒索 近期比较特别的有ProLock(...
阅读全文
挖洞经验 | 一次性验证密码(OTP)的简单绕过 渗透测试

挖洞经验 | 一次性验证密码(OTP)的简单绕过

今天分享的是作者在众测过程中实现的一次性验证密码(OTP)绕过技巧,通过拦截修改响应中的内容即可有效绕过OTP,姿势非常简单,但也值得学习借鉴,一起来看看。 漏洞发现 假设目标网站为example.com,当我在其中创建了用户账号之后,我的注册邮箱中就收到了一个一次性验证密码(OTP),该OTP目的是通过验证邮箱来确认我的身份。 开启Burp抓包后,我输入了正确的OTP后,请求的响应简洁明了,其中包含一个简单的消息头’HTTP/1.1 200 Created’和一个大括号{} 的消息体。此时我想到了来尝试绕过这种OTP机制。 漏洞复现 ...
阅读全文
GitLab任意文件读取漏洞CVE-2020-10977 渗透测试

GitLab任意文件读取漏洞CVE-2020-10977

2020年4月28日,GitLab的一个任意文件读取漏洞的漏洞细节被公开。该漏洞补丁于2020年3月26号由GitLab官方发布。 相关组件介绍 GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。 漏洞分析 当GitLab的项目之间发生issue移动时,UploadsRewriter模块会将本地的issue及issue引用的文件移动到新的项目中。执行该操作的部分代码如下所示: ...
阅读全文
记录一次赌博网站渗透测试,有钱老板背景调查 渗透测试

记录一次赌博网站渗透测试,有钱老板背景调查

这个网站其实就是QQ上面找来的,上次给拉进一个qq群里面一进去就是一群“水军”还有一个导师在教人下注,我一进群就看到一群水军在吹牛逼,我估计这个群100人90个水军。 到网站访问看看,其实网站跟普通bc站没什么区别,所以没有对这些功能做测试。 到了前台可以找到"代理加盟",可以注册成为代理,月入过万,想尝试尝试,我注册了一个账号,然后需要审核,不过前提能够得到登录代理的链接,跑到登录出做了测试 很简单的登录页面,有验证码的,不过吧验证码的参数删除掉可以直接绕过验证,给测试带来了许多方便处,登录处一般都是测试,XSS,SQL注入,密码爆破之类一些...
阅读全文
技术讨论 | 某真实渗透实践案例分析 渗透测试

技术讨论 | 某真实渗透实践案例分析

一、网络渗透测试概述 网络渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现网络脆弱环节,能直观的让网络管理员知道自己网络所面临的问题。所以渗透测试是安全评估的方法之一。 随着信息技术的发展,网络已成为一个新的战场。美国智库兰德公司称网络战为信息时代的核武器,能够在网络上引发核爆的网络战,从过去的网络威慑已经开始向实战迈进。过去美国还掖着藏着,不过近年来特朗普对敌对国家步步紧逼已经开始露出獠牙,委内瑞拉的电网瘫痪就是典型的网络战。 中国也是遭受网络攻击最多的国家之一,特别是在一些关键时期,例如每年两会期间、G20期间、以及这次新冠病毒...
阅读全文
一文详解Webshell 渗透测试

一文详解Webshell

Webshell是黑客经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。 常见的webshell编写语言为asp、jsp和php。本文将以php Webshell为示例,详细解释Webshell的常用函数、工作方式以及常用隐藏技术。 一、Webshell为何备受黑客青睐 黑客使用Webshell的第一步通常是将其上传到可以...
阅读全文
CVE-2020-8816: Pi-hole中的远程代码执行漏洞分析及复现 渗透测试

CVE-2020-8816: Pi-hole中的远程代码执行漏洞分析及复现

CVE-2020-8816是Pi-hole软件中的一个远程代码执行漏洞,Pi-hole是一个用于内容过滤的DNS服务器,也提供DHCP服务。这个软件提供一个Web界面,漏洞就存在于实现Web界面的源码中,影响版本在v4.3.2及其之前。 环境搭建(先看下面的“踩到的坑”) 环境:virtualbox6.1 + ubuntu18.04 + pi-hole v4.3.2 相关IP: 虚拟机NAT网卡,IP地址为:10.0.2.15 虚拟机桥接网卡,IP地址为:192.168.0.107 主机IP地址为:192.168...
阅读全文
关于APP渗透测试的实践与思考 渗透测试

关于APP渗透测试的实践与思考

一、前言 移动互联网应用程序(Mobile APP,以下简称“APP”或“移动APP”)安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员,在日常测试工作中经常涉及移动APP的安全检测,在此结合相关移动APP检测标准和工作经验,从渗透测试角度,对移动APP的检测进行概要性总结说明。 二、目标分析 移动APP的安全问题与传统桌面软件有所不同。虽然现代移动操作系统(如Android和iOS)已比较注重安全防护,但如果APP开发人员在开发移动应用程序时不全面仔细地考虑安全性,APP仍可能会存在可被利用的安全漏洞,从而面临安全威胁。移动APP渗透测试目的就是充分分析和...
阅读全文
实战中应急响应溯源思路 渗透测试

实战中应急响应溯源思路

一、孽缘之我与病毒 至2017年5月12日起,“勒索病毒”一词以迅雷之势出现在大众眼前,很多管理者谈之色变,令人恐惧的不是病毒,而是加密。大部分计算机使用人员当遇到病毒的第一时间,想到的无非以下两种做法:杀毒软件查杀或拷贝文件重装系统。当勒索软件出现的那一刻,这两种方式已失去了意义。有时终端电脑数据丢失都会令人伤心难过;当服务器中勒索病毒时,你便会苦笑不得,数据没有丢失,还在设备上,可是却无法使用。 2017年5月是我接触安全的第二年,我以渗透测试工程师的身份进入信息安全行业,这一年却因为勒索病毒改变了我的行业。那个时候在上家公司,我信息安全这一块就我一人,那夜我记得格外的清晰,大晚...
阅读全文
包含文件结合phpinfo反弹交互shell 渗透测试

包含文件结合phpinfo反弹交互shell

1.简介 在PHP文件包含漏洞中,当我们找不到用于触发RCE的有效文件时,如果存在PHPINFO(它可以告诉我们临时文件的随机生成的文件名及其位置),我们可能可以包含一个临时文件来利用它。 当向PHP发送POST请求并且请求包含一个文件块时,PHP会将所发送的文件保存到一个临时文件中(通常是/tmp/PHP[6个随机数字]),文件名可以在$u FILES变量中找到。请求结束后将删除此临时文件。 同时,PHPINFO页面打印上下文中的所有变量,包括$u文件。因此,如果我们将POST请求发送到PHPINFO页面,则可以在响应中找到临时文件的名称。 这样,LFI漏洞就可以升级为...
阅读全文
最新过安全狗注入语句 渗透测试

最新过安全狗注入语句

给大家分享最新的过安全狗注入语句 union%23muxue%0A select%23mux%0A 1,2,group_concat(table_name),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18 frominformation_schema.tableswheretable_schema='jian' --+ and /*!1*/=/*!2*/ /*!union*/ /*!select*/ /*!1*/,/*!username*/,/*!password*/,/*!4*/,/*!5*/,/*!6*/,/*!7*/,/*!8*/,/*!9*/,/*!10...
阅读全文
技术讨论 | Fuzz绕过安全狗4.0实现SQL注入 渗透测试

技术讨论 | Fuzz绕过安全狗4.0实现SQL注入

0×00 前言 本文使用了burp的intruder模块进行fuzz,并修改了sqlmap工具的tamper脚本,对安全狗进行绕过。 0×01注入绕waf过常用手法 使用大小写绕过 使用/**/注释符绕过 使用大的数据包绕过 使用/!**/注释符绕过 …… 0×02本文使用的手法是/**/注释符 首先搭建好一个有sql注入的测试平台,在服务器安装安全狗4.0版本 中间件和数据库使用的是apache+mysql+php(如图下) ...
阅读全文
sql注入系列之(bypass waf 2) 渗透测试

sql注入系列之(bypass waf 2)

今天我们继续来讲一下bypass waf的另一部分 例1: http://www.site.com/php?id=2 uNiOn-- - (waf) http://www.site.com/php?id=2 /*!50000uNiOn*/-- - (waf) http://www.site.com/php?id=2 /*!50000%75NiOn*/-- - (waf)  URL编码的反斜杠/ %2f 来代替 /            ...
阅读全文
sql注入系列之(bypass waf 1) 渗透测试

sql注入系列之(bypass waf 1)

今天,我们将讨论如何在SQL注入中绕过Web应用程序防火墙。本篇文章有点长,所以耐心阅读。 我们大多数人在渗透测试的过程中都会遇到WAF,绕过不分析这部分词是被firewall.so WAF绕过之前你首先要检查的话,一部分是被防火墙*** 现在我讲说一下我在渗透测试过程中遇到的一些例子: 例1: http://www.site.com/php?id=2 uNiOn-- -  [waf] http://www.site.com/php?id=2 SeLeCt -- - [no waf] 在这...
阅读全文
内网渗透:使用ew实现socks代理 渗透测试

内网渗透:使用ew实现socks代理

本文主要讲述使用ew软件(earthworm)实现socks 5代理功能,用于内网穿透。关于socks的相关概念,可以参考实验室的上一篇文章《内网渗透:使用reGeorg实现socks代理》。 earthworm与reGeorg都可以实现socks代理功能,但是reGeorg的服务端是webshell,而earthworm的服务端和客户端使用相同的可执行文件。另外earthworm不需要跳板机运行web服务,并且它支持更加复杂的渗透任务。 下面通过在虚拟化平台的操作来说明ew的使用方法。 一、平台及工具版本 虚拟化软件:virtualbox 6.1 ...
阅读全文
技术讨论 | 利用Python程序实现某OA系统的自动定位 渗透测试

技术讨论 | 利用Python程序实现某OA系统的自动定位

前言 本文介绍了笔者通过python程序实现某OA系统自动考勤打卡功能及相关逻辑原理的解析。 Github:https://github.com/cahi1l1yn/eChecker 声明:本程序仅供Python语言的学习交流用途,笔者不提倡利用程序自动考勤的做法,笔者不对滥用本程序导致的任何后果负责。 需求分析 疫情期间,笔者所在公司使用某OA系统的考勤功能代替原来的刷脸考勤,结果导致很多人经常忘记打卡,于是笔者寻思着能不能写个程序实现自动考勤,希望实现的主要功能是:指定用户名密码登录和指定时间签到签退,扩展功能是:自定义签到和签退...
阅读全文
一篇文章教你如何找出找回密码漏洞。(新手推荐) 渗透测试

一篇文章教你如何找出找回密码漏洞。(新手推荐)

简介。 .在测逻辑漏洞的时候,我们经常会测量找回密码处,这时,请容小弟给各位表哥谈及,四种绕过逻辑去修改其他人的密码。 第一种,修改标志位返回标志位进行找回任意用户的密码。 1.在一些网站上我们注册一个账号,然后我们点击找回密码这个功能。 2.然后输入一个真实的验证码进行找回密码。再点击下一步的时候打开拦截包的功能。并点击下一步后把数据包发送到repeater 这个功能上, 3.然后我们看我我们发包后返回的一个显示情况。这时候我们能看到我们发送正确,可以看到返回包的status(状态)的参数,为1, 4.然后我们再修改验证码后再发送一次,...
阅读全文
linux后渗透之收集登录凭证 渗透测试

linux后渗透之收集登录凭证

linux后渗透之收集登录凭证 当渗透测试人员拿到shell后,如果要进一步渗透,信息收集是重中之重,内网渗透的深入程度取决于信息收集的深度,内网渗透的本质就是信息收集,而登录凭证的收集是信息收集的重点方向。关于linux系统下登录凭证收集的文章多为翻查文件。本文将研究linux系统下的通过调试程序的方法,跟踪进程数据的方式收集登录凭证。 strace是linux中的调试工具,可通过附加到进程来调试正在运行的进程,strace记录一个正在运行的程序正在执行的系统调用以及参数。我们可以通过这种方式来跟踪任何进程数据,比如sshd ssh su sudo等进程数据来获取登录凭证。 ...
阅读全文
从排查端口弱口令研究打造完美防御的思路 渗透测试

从排查端口弱口令研究打造完美防御的思路

很多公司要排查高危端口的弱口令工作,我觉得是很有代表性的工作,我构思一个思路总结下当个典型发出来。这工作虽然看似简单,如果要做好还是有些复杂,所以写一篇文章做个总结。主要考虑一些企业安全应该考虑的一些影响结果的因素。如果你们公司或者部门喜欢追求高标准高精确度,这篇文章或许是一个不错的参考。 首先说说现实矛盾,企业希望员工多干活只会关注你完成了什么,质量的话考核方也不懂,如果你想KPI变的漂亮,本文可能不适合你,本文只适合高质量加固的场景,比如某些机密的部门或者资产做弱口令漏洞排查,如果你说你俩小时就可以又快又好的完成任务,那我只想给你说你说的很对。 目的:找出企业暴露在公网的...
阅读全文
Alphanumeric Shellcode:纯字符Shellcode生成指南 渗透测试

Alphanumeric Shellcode:纯字符Shellcode生成指南

alphanumeric shellcode(纯字符shellcode)是比较实用的一项技术,因为有些时候程序会对用户输入的字符进行限制,比如只允许输入可见字符,这时就需要用到纯字符的shellcode了。 原理很简单,就是使用纯字符对应的汇编指令完成shellcode的编写,比如: ASCII字符 Hex 汇编指令 P 0×50 push %rax ...
阅读全文
雷电3接口漏洞影响数百万计算机:5分钟解锁设备,无法修复 渗透测试

雷电3接口漏洞影响数百万计算机:5分钟解锁设备,无法修复

雷电3(Thunderbolt)接口存在缺陷,2019 年之前生产、出货的配备雷电3的设备都容易受到攻击。而自2019 年后已交付的提供内核DMA保护的设备,也在一定程度上易受攻击。并且该漏洞不能在软件中修复,这可能直接影响未来的 USB 4 和Thunderbolt 4 等标准,需要对芯片进行重新设计。 雷电(Thunderbolt)是Intel倡导的高带宽互连技术,广泛出现在笔记本电脑、台式机和其他系统中。而作为基于PCIe的设备,雷电3接口支持直接内存访问(DMA)。 攻击手法 安全人员BjörnRuytenberg使用...
阅读全文