Yoga7xm's Blog

Yoga7xm's Blog

Winter is comming

通达OA 11.x RCE 漏洞分析
Abstract今年通达爆出了两个大漏洞,一个是文件包含+任意文件上传导致RCE、另一个是任意用户登陆,这两个都是前台直接可以打的大漏洞。 影响范围 任意文件上传 v11.3 2017 2016 2015 2013 增强版 2013 文件包含 V11.3 2017 任意用户登陆 2017 v11.x < v11.5 支持扫码登录版本。 环境搭建 我这里用的是v11.3 For Windows版,下载下来之后是一个EXE文件,然后安装就好了,但是源码部分是经过Zend5.4加密过的,需要手工去解密 漏洞分析任意文件上传网上流传的POC是ispiri...
内网渗透--Exchange
AbstructExchange Server是微软的一套电子邮件服务组件,是一个消息与写作系统。通常被用来构架应用于企业、学校的邮件系统。Exchange还是一个协作平台,在此基础上可以开发工作流,知识管理系统,Web系统或者是其他消息系统 Discover ExchangeNmap通过Nmap扫描端口和服务来发现域内exchange服务 1nmap -T4 -sV -A -v 192.168.134.40 根据banner信息很容易查找出来 SPN名称之前说过,SPN是启用Kerberos的服务所注册的便于KDC查找的服务名称,被存储在AD数据库中,使用的时候利用LDAP去查询。...
Tomcat LFI(CVE-2020-1938) 漏洞分析
Abstract Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行 ——《关于Apache Tomcat存在文件包含漏洞的安全公告》 影响版本: 6.0 7.0 < 7.0.100 8.0 < 8.5.51 9.0 < 9.0.31 环境搭建 tomcat 8.5.47 IDEA2019 下载该版本的源码文件➡传送门,然后解压进入该目录。新建一个pom.xml解决依赖 1234567891011121314151617...
XXE in Java
Abstract之前接触的XXE基本都是php的,但是libxml在2.9.0以后,默认不解析外部实体,这就大大减少了漏洞的发生…所以来看看Java中XXE的情况 XML-DTD文件格式 1234<!DOCTYPE 根元素 [<!ENTITY 内部普通实体名 "实体所代表的字符串">]><!DOCTYPE 根元素 [<!ENTITY 外部普通实体名 SYSTEM "外部实体的URI">]><!DOCTYPE 根元素 [<!ENTITY % 内部参数实体名 "实体所代表的字符串&q...
Mysql预编译的二三事
Abstract使用的环境是phpstudy自带的mysql-5.5.53 + Wireshark 集成环境默认是不会打开log功能,需要在my.ini中自行添加以下配置项,重启即可 1234567#错误日志log-error="E:/phpstudy/PHPTutorial/MySQL/logs/error.log" #sql语句log="E:/phpstudy/PHPTutorial/MySQL/logs/mysql.log" long_query_time=2 #慢查询日志log-slow-queries= "E:/phpstudy/PHPTutorial/MySQL/log...
Exchange SSRF漏洞利用及分析
AbstructCVE-2018-8581这个洞是去年提出来的,攻击手法非常经典,较为全面的使用了NTLM中继攻击,值得去复现分析一波的Orz 环境搭建首先需要搭建一个域环境,然后在另一台server12的域成员机器中安装Exchange2013 Exchage2013 下载链接(迅雷创建任务下载):exe Exchange 详细安装步骤参考:传送门 最终拓扑: DC Server12:dc.yoga.com —— 192.168.134.10 域成员机 Server12:exchange.yoga.com —— 192.168.134.40 Attack Kali:192.1...
reGeorg原理分析
Abstract之前内网渗透的时候说过一些通过建立隧道的方式来做穿透,其中http是最为常见的一种。我们通常使用reGeorg+Proxifier组合来将流量传入内网,所以来探究下这个开源工具的实现原理 项目地址:传送门 目录结构 代码分析tunnel我们先来看tunnel.php这个文件 dl() 运行时会载入一个PHP扩展,但是在PHP5.3之后默认就被禁用了。如果启用,需配置php.ini 1enable_dl = On 1. CONNECT 创建一个与内网进行通信的socket。如果建立成功,返回X-STATUS为OK,然后初始化Session,进入下一逻辑 建立一个w...
Antsword Bypass_Disable_functions简析
Abstract这几天不管是测试还是使用靶机都好几次遇上了Disabled Functions的情况,于是抽空来探究下插件的实现原理。 项目传送门 PHP-FPM/FastCGI配套使用蚁剑上的一个disable_functions项目:传送门 用蚁剑直接连接一句话 虚拟终端下执行命令失败,来看下phpinfo 可以看到PHP是FPM/FastCGI模式启动的,而且disable了执行命令的函数以及putenv()、mail()等常见Bypass的函数。加载插件并选择模式,填入FPM地址开始即可 这里的接口地址需要去查找配置文件/usr/local/etc/php-fpm.d/zz...
域渗透之vulnstack3
Abstract红日安全出的第三套靶机,主要还是内网渗透的:传送门 这套靶机为黑盒测试,目标是域控下的flag文件 Web入侵信息收集先来扫个端口 123456789101112131415161718192021nmap -T4 -v -A 192.168.134.12922/tcp open ssh OpenSSH 5.3 (protocol 2.0)| ssh-hostkey: | 1024 25:84:c6:cc:2c:8a:7b:8f:4a:7c:60:f1:a3:c9:b0:22 (DSA)|_ 2048 58:d1:4c:59:2d:85:ae:07:6...
域渗透之Offensive
Abstract大佬分享的一个国外的靶场环境: 提取码 9i2x 网络拓扑图 目前我们已经拥有了一个域内成员的机器,目标是拿下域控权限 【注】目前遇见的几个坑点: Client每隔一段时间会自动重启 SQL机器需要通过安装系统替换某个exe的方式重置本机管理员密码,然后退出域再加入域 SQL的服务开机不会自启,需手动开启 提权提供的账号是一个普通的小域成员账号,啥都干不了…这时候我们需尝试利用提供的PowerUp.ps1进行提权 1powershell -exec bypass -Command "Import-Module .\PowerUp.ps1;Invoke-AllCh...
avatar
Yoga7xm
岁月是一场有去无回的旅行,好的坏的都是风景
FRIENDS
Baidu Google Bing