盛邦安全-CSDN博客

原创漏洞预警丨XZ Utilѕ工具库恶意后门植入漏洞(CVE-2024-3094)【内含自检方式】

这条命令拼接后为：sed "r\n" ./tests/files/bad-3-corrupt_lzma2.xz | tr "\t \-_" " \t_\-" | xz -d 2> /dev/null，主要从./tests/files/bad-3-corrupt_lzma2.xz中提取代码并解压，最后再执行。通过以上检查后，执行后门核心功能，主要功能是挂钩（HOOK）SSH登录认证过程中的函数RSA_public_decrypt，未授权执行指定的系统命令。

2024-04-02 09:48:49 1541

原创 Thales SafeNet Sentinel HASP LDK本地提权漏洞（CVE-2024-0197）分析与复现

从Procmon监控日志中可以看出，执行修复选项时，msiexec.exe在%temp%目录下释放了haspdinst_x64.exe程序，并创建进程运行，如下图所示。编译成功后将得到的DLL文件重命名fltlib.dll，复制到%temp%目录下，运行修复选项命令：msiexec.exe /fa HASP_Setup.msi，如下图所示。从生成的文件C:\users\Public\poc.txt可以看出，运行haspdinst_x64.exe时的用户为SYSTEM，提权漏洞复现成功，如下图所示。

2024-04-02 09:43:58 745

原创漏洞预警丨Fortinet FortiOS & FortiProxy越界写入漏洞（CVE-2024-21762）

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。在SSL VPN组件中存在越界写入漏洞，可能导致未经身份验证的远程威胁者通过特制HTTP请求执行任意命令或代码。daydaypoc漏洞平台于2024年3月12日已收录该漏洞。越界写入/远程命令执行。

2024-03-18 09:42:45 497

原创信呼OA普通用户权限getshell方法

目前网上能找到的信呼OA getshell的办法大多数是老版本或者是需要admin权限的，没有针对新版本进行getshell的思路。由于传递的参数值会被全部转化为小写字母（下一步的漏洞分析中会提到），导致我们不能在webshell中使用大写字母，所以并不能直接写一句话webshell。信呼OA是一款开源的OA系统，面向社会免费提供学习研究使用，采用PHP语言编写，搭建简单方便，在中小企业中具有较大的客户使用量。运行之后访问下面的链接，由于链接中涉及到多个特殊字符，如果不清楚应该如何转义的请复制下面的链接。

2024-03-05 10:43:32 605

原创 DayDayPoc平台2023年度十大漏洞盘点

但是就在大家都对Weblogic已经非常放心的时候，CVE-2023-21839以一种全新的方式带来了另一种Weblogic的未授权RCE方式，虽然漏洞利用由于依赖于JNDI注入导致受JDK版本影响，导致漏洞危害等级并不是特别高，但这并不妨碍这是一个经典的Weblogic漏洞，绝对值得对漏洞进行分析研究，而且在此漏洞之后又爆出了类似的CVE-2023-21931漏洞。但是进入2022年之后，高质量的致远漏洞一直未出现，直到DVB-2023-5278漏洞的出现才有了能对市面上大多数致远OA都通用的高危漏洞。

2024-01-09 10:26:51 1070

原创任意文件下载漏洞的利用思考

需要说明的是，并不是所有的tomcat项目的controller源码都能在WEB-INF/classes/目录下找到，还有部分系统会把逻辑代码写到jar包中并放在WEB-INF/lib/目录下，如图3.8所示，某系统在classes目录下不存在任何class文件，所有的逻辑均在WEB-INF/*.jar包中。在CodeIgniter框架中，如果Cookie中包含了序列化的内容，如图4.3所示，则代表可以通过任意文件读取获取加密key来构造反序列化过程，结合框架本身的反序列化利用链，则可能造成反序列化漏洞。

2023-12-20 11:01:40 1040

原创 Easy Chat Server栈缓冲区溢出漏洞CVE-2023-4494分析与复现

该漏洞源于使用HTTP GET对register.ghp文件进行访问时，未检查用户提交的username值的长度是否超过限制，从而使栈缓冲区溢出，覆盖其他内存空间，可导致任意代码执行。该函数的功能是释放堆内存空间，从代码中可以看出，试图读取一个不存在的地址41414145的数据，导致了异常。从上述的分析中可以看出，调用sprintf函数拼接username字段前，没有检查username的长度是否超出限制，并且username字段可控，导致栈溢出，可以覆盖SEH和函数返回地址，导致任意代码执行。

2023-12-08 10:57:52 260

原创勒索病毒：数字化时代的“黑帮敲诈”，如何防范避免成为下一个受害者？

盛邦安全作为您身边的网络安全守护者，将始终与您并肩战斗，共同抵御网络威胁，此次所提供的勒索病毒解决方案，覆盖网络资产全生命周期，从事前、事中到事后，全方位、多角度地保护您的网络安全。它的历史可以追溯到1989年，经过多个阶段的发展，现在的勒索病毒更加智能和狡猾。通过面向暗网的在线情报监测系统，该方案以特定情报线索挖掘为导向，通过构建分布式暗网节点监控、服务发现、内容采集的数据处理平台，提供暗网内容、情报检索、线索发现及自动取证等功能，以及高效的情报发现、关联分析和挖掘服务，实现实时监测数据售卖情况。

2023-11-24 10:28:30 155

原创当攻防演练已成常态，企业应该相信西医还是老中医？

然而，对于这种选择，并没有一个固定的答案。企业需要结合自身的实际情况，根据自身不同阶段的安全建设需求，不断提前调整和优化安全策略，将西医的快速响应与中医的固本培元有机结合，既能够应对紧急的安全考验，又能够建立稳固的安全基础；盛邦安全从实战化攻防的角度，在中医式的应对方式上，借鉴国内外成熟安全架构为模型，贯彻“安全运营闭环管理并基于持续监控与数据分析为核心”的安全运营理念，结合现实业务及安全需求进行设计，形成威胁预测、威胁防护、持续检测、响应处置的闭环安全运营体系，帮助企业建设全面体系化防守保障能力。

2023-11-17 10:53:52 139

原创从F5 BIG-IP RCE漏洞（CVE-2023-46747）来看请求走私的利用价值

关于绕过权限之后F5 BIG-IP执行命令的逻辑在F5历史漏洞CVE-2022-1388中已经使用过，其实F5 BIG-IP本身就提供了接口/mgmt/tm/util/bash为后台用户执行系统命令的，有兴趣的读者也可以看https://mp.weixin.qq.com/s/wUoBy7ZiqJL2CUOMC-8Wdg了解详细的创建用户和后台命令执行的逻辑。从图2.3可以看出，整个AJP请求走私的流程是可以把一个HTTP请求经过AJP代理转化之后转化为两个AJP请求，这也是请求走私名字的来源。

2023-11-08 09:42:52 916

原创【新】致远OA从前台XXE到RCE漏洞分析

和我们之前分享过的通达OA的漏洞类似，这类主流OA系统现在想要直接一步达到RCE的效果是非常困难的。根据错误提示反向找到对应的逻辑代码com.seeyon.agent.common.interceptor. SecurityInterceptor的preHandle方法，这应该是全局的拦截器，其中关键的代码如图3.6所示。在java环境下是不能直接通过XXE来执行系统命令的，并且这里的XXE是不具有回显的功能，仅能通过XXE来达到SSRF的效果，并且只能进行GET类型的请求。那么这些参数是怎么来的呢？

2023-11-06 16:52:43 1358

原创记一次对某变异webshell的分析

从反编译的代码中可以看出字节码对应的类经过了混淆和压缩，无法友好的阅读代码，更重要的是在equals中调用了this.a(long, short)方法，该方法无法被idea反编译，在idea中提示无法“couldn ' t be decompiled”，如图3.2所示。并把实例保存到全局的map中，键名为lgetwr。把样本中的恶意字节码结果解码之后保存为class文件，解码的方式直接调用webshell中的b64Decode和unc方法，直接定位到恶意类对应的equals方法，如图3.1所示。

2023-11-06 16:50:28 171

原创 U盘植马之基于arduino的badusb实现及思考

基于以上几点我们对badusb进行了改进，首先可以使用usb一转多转换器，接一个sd卡读卡器，接一个arduino，使badusb不仅是一个模拟键盘程序，同时也是一个正常的U盘。曾经有这么一段传说，在某次攻防演练时，某攻击队准备了一口袋U盘前往了目标单位的工作园区，在园区围墙外停下了脚步，然后开始不停扔U盘进去，最后发现有大量的“猎奇者”上线。BadUSB则是利用写死在固件里的代码进行一系列模拟键鼠操作，通过正规的渠道，走usb协议传输给操作系统，操作系统只会认为是一个外接键盘进行了这一系列操作。

2023-09-28 11:03:32 357

原创 notepad++堆缓冲区溢出漏洞CVE-2023-40031分析与复现

在转换时，重新计算转换后的内容的大小，计算公式为newSize = len + len / 2 + 1，len为转换前内容的大小，也就是新大小比原大小的3/2倍还多1个字节。常见的思路是利用该漏洞修改相邻堆大小造成块结构之间出现重叠，从而泄露其他块数据，或是覆盖其他块数据，这在CTF比赛中比较常见。综上，当poc文件大小为奇数，在进行UTF-16到UTF-8转化时，计算转化后缓冲区大小将发生错误，同时对文件内容的结束位置也判断错误，导致转化后堆缓冲区溢出一个字节，覆盖其他内存，可能导致任意代码执行。

2023-09-28 10:58:53 193

原创 2023攻防演练漏洞情报汇总（持续更新）

本期内容整理了本次攻防演练前后ddpoc平台搜集到的真实漏洞情报信息，文中漏洞均已通过poc校验，确保漏洞信息的有效性。从列表清单里可以看出哪些是在野流出的危险漏洞，哪些属于“老洞新炒”。注：对还未发酵和传播的漏洞ddpoc平台不支持兑换poc细节，请随时关注最新的漏洞情报信息，及时修复相关漏洞！以上漏洞清单ddpoc平台会每日进行更新，欢迎大家持续关注我们。【真洞】、【假洞】、【新洞】、【老洞】、还在研究怎样才能及时更新防护规则吗？还在惧怕0day漏洞的杀伤力吗？无论你身处红队还是蓝队。

2023-08-23 16:10:26 207

原创 2023攻防演练重点漏洞关注列表

以上漏洞请及时查询修复，详情可关注www.ddpoc.com。

2023-08-23 16:09:54 72

原创【新】通达OA前台反序列化漏洞分析

通达OA作为历史上出现漏洞较多的OA，在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试，本文提到的所有漏洞在最新版的通达12.4中已修复，使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验，校验的方法是validateData，其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法，在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化。

2023-08-07 17:22:44 1674

原创工具推荐之不出网环境下上线CS

本期我们将会推荐两个常用的代理工具，使我们能在不出网的环境下让目标上线到CS，方便后渗透的工作。b) 建议用户对CS的jar文件中的/resources/default.profile进行修改，将sleeptime值修改1000以下，这样CS生存的木马上线就不用默认等待60秒。利用内网反向代理转发将目标服务器上的木马上线与连接、操作流量特征通过HTTP协议方式转发至C2服务端，使其目标在不出网情况下上线MSF、viper、CS。我们通过命令界面能看到网络连接详情，最后愉快的开启内网渗透。

2023-08-07 17:18:26 627

原创达梦数据库手工注入笔记

如果使用该类数据库的站点存在sql注入漏洞，用sqlmap等工具无法支持我们直接得到想要的数据，我们需要理解这些数据库的语法才能更好的进行手工注入。SYS.SYSOBJECTS表中同时保存全部的表名信息，可以使用下面的方式查询到所有的表名。可以使用下面的方式返回指定条件对应的列名，其中SCHEMA_NAME代表库名，TABLE_NAME代表表名。可以使用下面的方式查询全部库名，其中OWNER代表的是步骤1）对应的数据库用户名。可以使用下面的方式查询全部表名，这里的OWNER代表的是步骤2）对应的库名。

2023-07-12 14:44:24 1091

原创告别脚本小子系列丨JAVA安全(8)——反序列化利用链（下）

java.lang.ClassLoader是java中负责类加载的抽象类，类中包含一个特别重要的方法defineClass，defineClass方法接受一组字节，然后将其具体化为一个Class类型实例，它一般从磁盘上加载一个文件，然后将文件的字节传递给JVM，通过JVM（native 方法）对于Class的定义，将其具体化，实例化为一个Class类型实例。在前面的文章中介绍了基于CC链的反序列化利用方式，并且通过最终调用Runtime类的exec方法达到命令执行的效果。

2023-06-26 14:56:46 650

原创福昕Foxit PDF远程代码执行漏洞CVE-2023-27363分析与复现

0是生成号，按照PDF规范，如果一个PDF文件被修改，那这个数字是累加的，它和对象序号一起标记是原始对象还是修改后的对象；Adobe Acrobat在实现该函数时只允许导出后缀为“.xdp”和“.xml”的文件，但Foxit PDF在实现exportXFAData函数功能时，只验证了文件夹路径是否存在，未校验cPath参数中文件后缀的合法性，导致可以将XFA数据导出为任意后缀的文件，XFA数据中又包含了可执行的javascript代码，将其导出为后缀为hta的文件，从而实现任意代码执行。

2023-06-26 14:56:12 355

原创 github某0day漏洞投毒与钓鱼样本分析

接下来访问“https://dist.torproject.org/torbrowser”，下载tor-expert-bundle并解压，然后释放tor.exe、obfs4proxy.exe和TOR网络连接需要的配置文件到创建计划任务时的木马exe路径下，文件夹名为随机命名，然后配置TOR连接，再启动tor.exe，完成TOR网络的连接。如果开启，则退出程序。此外，代码中还包含名为spread_USB的函数，实现USB传播木马的功能，但是还有复杂的逻辑判断后才运行该功能，笔者暂时没有找到启用该功能的条件。

2023-05-17 09:31:02 821

原创烽火狼烟丨Oracle WebLogic多个组件漏洞风险提示

近日，WebRAY安全服务产品线监测到Oracle官方发布了安全更新，本次共发布了包含WebLogic在内的433个产品的安全补丁程序，其中CVE-2023-21912、CVE-2023-21996、CVE-2023-21964、CVE-2023-21931、CVE-2023-21979等较为严重。CVE-2023-21996：未经身份验证的攻击者可以通过HTTP协议进行网络访问从而实施拒绝服务攻击，成功利用该漏洞可能导致Oracle WebLogic Server服务挂起或频繁崩溃。

2023-04-27 17:25:27 230

原创告别脚本小子系列丨JAVA安全(7)——反序列化利用链（中）

0x01 前言距离上一次更新JAVA安全的系列文章已经过去一段时间了，在上一篇文章中介绍了反序列化利用链基本知识，并阐述了Transform链的基本知识。Transform链并不是一条完整的利用链，只是CommonsCollections利用链中的一部分。当然并不是所有的CC链都需要用Transform链。为了更方便的理解CC链，我们并不会按照顺序来阐述所有的链，而是按照链的难易程度，由易到难。往期推荐1告别脚本小子系列丨JAVA安全(1)——JAVA本地调试和远程调试技巧2告别脚本小子系列丨JAVA安全(

2023-04-27 17:24:45 526 1

原创 Peach Fuzzer漏洞挖掘实战

同时，模糊测试还可以根据具体的测试目标进行一些特定的配置，比如设置特定协议数据包的有效负载长度、使用不同的编码方式、调整模糊测试引擎的参数等。其中状态模型（StateModel）元素的ref内容是之前定义的状态模型名称，Publisher元素的FileName内容是每次数据变异后保存的文件名，Logger元素的Path参数是配置的日志文件保存目录。生成字符串数据、整型数值等简单类型的数据，还可以生成复杂的分层的二进制数据，甚至是将简单的数据使用生成器拼接起来生成更复杂的数据类型的数据。

2023-04-18 16:03:34 899

原创 Peach Fuzzer漏洞挖掘实战

同时，模糊测试还可以根据具体的测试目标进行一些特定的配置，比如设置特定协议数据包的有效负载长度、使用不同的编码方式、调整模糊测试引擎的参数等。其中状态模型（StateModel）元素的ref内容是之前定义的状态模型名称，Publisher元素的FileName内容是每次数据变异后保存的文件名，Logger元素的Path参数是配置的日志文件保存目录。生成字符串数据、整型数值等简单类型的数据，还可以生成复杂的分层的二进制数据，甚至是将简单的数据使用生成器拼接起来生成更复杂的数据类型的数据。

2023-04-10 17:56:39 926

原创基于ysoserial的深度利用研究（命令回显与内存马）

0x01 前言很多小伙伴做反序列化漏洞的研究都是以命令执行为目标，本地测试最喜欢的就是弹计算器，但没有对反序列化漏洞进行深入研究，例如如何回显命令执行的结果，如何加载内存马。在上一篇文章中↓↓↓记一次反序列化漏洞的利用之路遇到了一个实际环境中的反序列化漏洞，也通过调试最终成功执行命令，达到了RCE的效果。在实际的攻防场景下，能执行命令并不是最完美的利用场景，内存马才是最终的目标。本篇文章就在此基础上讲一讲如何进行命令回显和加载内存马。0x02 回显在研究基于反序列化利用链的回显实现之前，首先解决基于反序列化

2023-03-24 10:33:08 458

原创 ChatGPT在安全研究领域的应用实践

当前使用ChatGPT进行问答也越来越方便，本文总结了一些ChatGPT在安全研究领域的一些应用实践，有了人工智能的帮助，我们更轻松高效的完成部分研究工作。就笔者目前的测试情况来看，对于逻辑较为简单的代码，ChatGPT能很快找到脆弱点，但稍微设置些“坑”上去，ChatGPT的表现效果就不那么友好了。我们加一个简单的过滤条件，把get方法里获取的参数过滤了，但是查询语句里还是使用request方法获取请求数据，很显然使用post方法传递数据依然可以造成sql注入，我们看看ChatGPT能发现吗？

2023-03-17 17:58:24 5615 1

原创记一次反序列化漏洞的利用之路

基本确认应该是有问题的，这才想起我是有源码的，虽然这个源码并不能完整的搭建，但是调试反序列化还是完全可行的，在目标源码中来反序列化刚才用yso生成的序列化的文件，如图2.7所示。找到了问题的原因，那解决办法也就很简单了，为了避免其他包的版本不一致导致问题，我直接把ysoserial的源码拷贝到目标源码中来执行，使用目标源码的jar包来作为依赖。如图2.11，图2.12所示。起初看到这个jar包是很开心的，认为已经成功了一半，直接用ysoserial中的CC链来生成对应序列化的内容，如图2.6所示。

2023-03-17 17:57:16 713

原创 PowerShell远程代码执行漏洞(CVE-2022-41076)分析与复现

使用dnspy调试器附加上该进程，反编译系统模块System.Management.Automation.dll，在登录Exchange PowerShell时，将调用该文件包含的System.Management.Automation.Remoting.ServerRemoteSession类中的HandleCreateRunspacePool()函数。其中“cve-user”是新建的普通域用户账号，“4rfv5tgb.”是域用户密码，同样也是Exchange的账号和密码，“

2023-03-09 19:06:11 717

原创玩转CodeQLpy之用友GRP-U8漏洞挖掘

通过CodeQLpy可以辅助代码审计人员快速定位代码中的问题，目前支持对SprintBoot的jar包，SpringMVC的war包，直接下载的源码文件夹，maven项目源码等方式进行自动化代码审计，详细使用方式参考github。使用CodeQLpy可以直接从目标源码中找到上百个高危的漏洞，包括但不限于反序列化，任意文件上传，任意文件删除，SQL注入，SSRF，XSS等，如图2.2所示。利用CodeQLpy生成的数据库，结合CSV文件中保存的有结果的插件名称，可以在VS中复现漏洞查找过程。

2023-03-09 19:02:02 1184

原创禅道系统权限绕过与命令执行漏洞分析

权限绕过的关键点在module/common/model.php文件中checkPriv函数，此函数是检查权限的函数，验证当前登陆用户是否有访问module与method的权限。经过代码审计发现captcha函数可以直接写入一个自定义key的session，此段代码本意是设置生成一个自定义session的key的验证码，开发者应该是想写一个公共的验证码生成函数让其他开发者做新功能需要的时候可以直接调用，正好可以利用生成一个key为user的session。后面加上exit();来修复权限绕过漏洞。

2023-03-09 18:57:33 1783

原创 Modbus Slave缓冲区溢出漏洞CVE-2022-1068分析与复现

异或的源数据是poc中字符串按两位一组转化为十六进制的值，异或的KEY为“97280132”，比如第一轮循环时，将poc中的前两位字符串“AA”转换为0xAA，然后与KEY的第一位字符“9”，十六进制为0x39进行异或，最后将异或的结果放到栈中缓冲区MultiByteStr[v52]进行保存，如果poc中的字符串个数大于600个字符（600=300*2，poc中为736个字符“A”），将发生栈溢出，可以覆盖栈中SEH地址，函数返回地址和局部变量等，导致程序崩溃。

2023-01-12 09:44:10 615 1

原创玩转CodeQLpy之代码审计实战案例

该系统的源码是主要由jsp文件和class文件组成，其中部分源码经过混淆，如图2.1所示。其中类名称和字段名称的可读性很差，不方便阅读，而且该系统的代码量较大，大约有4600个文件。因为这一步创建的数据库是用上一步反编译的源码进行编译，反编译的源码不能保证完全正确，所以会有错。最终得到的结果是csv文件，保存路径在out/result/目录，打开对应的文件，如图2.5所示。-v: 指定待测试源码的jdk版本，目前支持6，7，8，11。这一步需要使用上一步命令最终相应的生成数据库的路径，如图2.4所示。

2023-01-12 09:41:35 576

原创 CodeQL的自动化代码审计之路（下篇）

通过反编译方式得到的源码在编译过程中遇到错误是很正常的现象，而ecj可忽略错误的特性很好的满足了CodeQL生成数据库的要求，对于CodeQL而言更需要的是编译过程能更全的覆盖源代码文件，而不是编译之后的结果要可运行。下一个要解决的问题是从jsp文件转java文件，熟悉java的小伙伴应该都很了解tomcat的运行机制，在tomcat解析jsp文件的过程中，会首先通过tomcat-jasper.jar包来把jsp转化为对应的java类文件，如图3.5所示。所以再对这个代码进行编译的时候就会报错。

2022-12-26 10:24:14 1062

原创 LOLBins免杀技术研究及样本分析

自病毒木马诞生起，杀毒软件与病毒木马的斗争一直都没有停止过。从特征码查杀，到现在的人工智能查杀，杀毒软件的查杀技术也是越来越复杂。但是病毒木马却仍然层出不，这是因为大部分病毒木马使用了免杀技术。

2022-12-02 18:27:46 565

原创 CodeQL的自动化代码审计之路（中篇）

在上一篇文章中，我们已经了解了关于CodeQL的基本语法，从实际案例角度来体验了CodeQL在代码审计中的作用。从这篇文章开始，我们将开始真正打造基于CodeQL的自动化代码审计工具，由于这仅仅是来自于个人兴趣的研究，并非来自成熟项目，所以在文章中可能缺陷，各位大佬如果有更好的意见建议，请私信。CodeQL的代码审计整体过程可以分成两个部分，如图1.1所示，分别是从源代码解析成CodeQL数据库和从数据库中查询出安全隐患。本次分享主要关注第二阶段的内容，假设我们已经有了CodeQL数据库之后，下一步

2022-11-22 14:16:08 1390

空空如也

空空如也