Abstract今年通达爆出了两个大漏洞,一个是文件包含+任意文件上传导致RCE、另一个是任意用户登陆,这两个都是前台直接可以打的大漏洞。
影响范围
任意文件上传
v11.3
2017
2016
2015
2013 增强版
2013
文件包含
V11.3
2017
任意用户登陆
2017
v11.x < v11.5 支持扫码登录版本。
环境搭建
我这里用的是v11.3 For Windows版,下载下来之后是一个EXE文件,然后安装就好了,但是源码部分是经过Zend5.4加密过的,需要手工去解密
漏洞分析任意文件上传网上流传的POC是ispiri...
AbstructExchange Server是微软的一套电子邮件服务组件,是一个消息与写作系统。通常被用来构架应用于企业、学校的邮件系统。Exchange还是一个协作平台,在此基础上可以开发工作流,知识管理系统,Web系统或者是其他消息系统
Discover ExchangeNmap通过Nmap扫描端口和服务来发现域内exchange服务
1nmap -T4 -sV -A -v 192.168.134.40
根据banner信息很容易查找出来
SPN名称之前说过,SPN是启用Kerberos的服务所注册的便于KDC查找的服务名称,被存储在AD数据库中,使用的时候利用LDAP去查询。...
Abstract
Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行
——《关于Apache Tomcat存在文件包含漏洞的安全公告》
影响版本:
6.0
7.0 < 7.0.100
8.0 < 8.5.51
9.0 < 9.0.31
环境搭建
tomcat 8.5.47
IDEA2019
下载该版本的源码文件➡传送门,然后解压进入该目录。新建一个pom.xml解决依赖
1234567891011121314151617...
Abstract之前接触的XXE基本都是php的,但是libxml在2.9.0以后,默认不解析外部实体,这就大大减少了漏洞的发生…所以来看看Java中XXE的情况
XML-DTD文件格式
1234<!DOCTYPE 根元素 [<!ENTITY 内部普通实体名 "实体所代表的字符串">]><!DOCTYPE 根元素 [<!ENTITY 外部普通实体名 SYSTEM "外部实体的URI">]><!DOCTYPE 根元素 [<!ENTITY % 内部参数实体名 "实体所代表的字符串&q...
Abstract使用的环境是phpstudy自带的mysql-5.5.53 + Wireshark
集成环境默认是不会打开log功能,需要在my.ini中自行添加以下配置项,重启即可
1234567#错误日志log-error="E:/phpstudy/PHPTutorial/MySQL/logs/error.log" #sql语句log="E:/phpstudy/PHPTutorial/MySQL/logs/mysql.log" long_query_time=2 #慢查询日志log-slow-queries= "E:/phpstudy/PHPTutorial/MySQL/log...
AbstructCVE-2018-8581这个洞是去年提出来的,攻击手法非常经典,较为全面的使用了NTLM中继攻击,值得去复现分析一波的Orz
环境搭建首先需要搭建一个域环境,然后在另一台server12的域成员机器中安装Exchange2013
Exchage2013 下载链接(迅雷创建任务下载):exe
Exchange 详细安装步骤参考:传送门
最终拓扑:
DC
Server12:dc.yoga.com —— 192.168.134.10
域成员机
Server12:exchange.yoga.com —— 192.168.134.40
Attack
Kali:192.1...
Abstract之前内网渗透的时候说过一些通过建立隧道的方式来做穿透,其中http是最为常见的一种。我们通常使用reGeorg+Proxifier组合来将流量传入内网,所以来探究下这个开源工具的实现原理
项目地址:传送门
目录结构
代码分析tunnel我们先来看tunnel.php这个文件
dl() 运行时会载入一个PHP扩展,但是在PHP5.3之后默认就被禁用了。如果启用,需配置php.ini
1enable_dl = On
1. CONNECT
创建一个与内网进行通信的socket。如果建立成功,返回X-STATUS为OK,然后初始化Session,进入下一逻辑
建立一个w...
Abstract这几天不管是测试还是使用靶机都好几次遇上了Disabled Functions的情况,于是抽空来探究下插件的实现原理。
项目传送门
PHP-FPM/FastCGI配套使用蚁剑上的一个disable_functions项目:传送门
用蚁剑直接连接一句话
虚拟终端下执行命令失败,来看下phpinfo
可以看到PHP是FPM/FastCGI模式启动的,而且disable了执行命令的函数以及putenv()、mail()等常见Bypass的函数。加载插件并选择模式,填入FPM地址开始即可
这里的接口地址需要去查找配置文件/usr/local/etc/php-fpm.d/zz...
Abstract红日安全出的第三套靶机,主要还是内网渗透的:传送门
这套靶机为黑盒测试,目标是域控下的flag文件
Web入侵信息收集先来扫个端口
123456789101112131415161718192021nmap -T4 -v -A 192.168.134.12922/tcp open ssh OpenSSH 5.3 (protocol 2.0)| ssh-hostkey: | 1024 25:84:c6:cc:2c:8a:7b:8f:4a:7c:60:f1:a3:c9:b0:22 (DSA)|_ 2048 58:d1:4c:59:2d:85:ae:07:6...
Abstract大佬分享的一个国外的靶场环境: 提取码 9i2x
网络拓扑图
目前我们已经拥有了一个域内成员的机器,目标是拿下域控权限
【注】目前遇见的几个坑点:
Client每隔一段时间会自动重启
SQL机器需要通过安装系统替换某个exe的方式重置本机管理员密码,然后退出域再加入域
SQL的服务开机不会自启,需手动开启
提权提供的账号是一个普通的小域成员账号,啥都干不了…这时候我们需尝试利用提供的PowerUp.ps1进行提权
1powershell -exec bypass -Command "Import-Module .\PowerUp.ps1;Invoke-AllCh...