- 博客(38)
- 收藏
- 关注
RSS订阅原创 HACKTHEBOX通关笔记——mango(退役)
通过扫描端口发现开放端口为80、443、22,且443端口下存在commonName=staging-order.mango.htb,将该域名加入hosts。根据资料可得知run-mailcap和jjs程序可用于root身份执行命令,执行jjs并使用java的Runtime.Exec()函数生成一个shell。爆破发现返回结果都是200,没有可利用信息,根据名称猜测可能是mangodb数据库。尝试登录看看,登录web失败,记得端口扫描开放了22端口,登录ssh看看。得到两个密码,再次使用脚本枚举下用户名。
2024-02-08 09:25:25
850
原创 HACKTHEBOX通关笔记——Cronos(退役)
拿到IP之后还是先来做一下端口扫描,nmap --rate-min=5000 -p- -v ip,也可以加个-Pn做下禁ping扫描,当然这个速率很快,实际攻防时候加了pn参数也是容易被发现的,所以对抗时候还是要做IP代理扫描。这时候想想还有一个53端口,关于dns服务,平常面试的时候考官会问问你,给个域名怎么反查IP,给个IP怎么看域名,听到比较多的就是windows就使用nslookup命令、linux使用dig命令,网页工具或者微步等等。访问测试,发现是一个登录框,简单尝试发现有万能密码漏洞。
2024-01-31 15:18:12
708
原创 漏洞分析|Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)
Atlassian Confluence的/template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷。Atlassian Confluence是一款由Atlassian开发的企业团队协作和知识管理软件,提供了一个集中化的平台,用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。这里创建新的PageContext,获取其输出流,准备进行模板合并和输出操作。这里处理模板和模板渲染的过程。
2024-01-29 11:38:51
1060
原创 漏洞分析|Cacti命令执行漏洞 (CVE-2022-46169)
该漏洞存在于remote_agent.php文件中,未经身份验证的恶意攻击者可以通过设置HTTP_变量绕过身份验证,再通过构造特殊的$poller_id 参数来触发proc_open() 函数,成功利用此漏洞可在目标服务器上执行任意命令,获取服务器的控制权限。gethostbyaddr 对 client_addr 获取网络主机名,当 $client_name 与 $client_addr 不同时, 进入remote_agent_strip_domain 函数。函数的作用是直接获取参数,没用过滤。
2024-01-12 14:06:38
721
原创 HACKTHEBOX通关笔记——Poison(退役)
结合刚刚发现的vnc服务,我们尝试远程连接发现连接不上: vncviewer -passwd secret 10.10.14.253:5901 ,这时候我看了一下poison靶机监听端口发现他是本地监听所以无法远程访问,ps:5801、5901是vnc默认端口。同时还看到是file读取文件,于是尝试一手目录穿越../../../../../etc/passwd,发现有洞,并且打开密码文件看了一下,尝试解密。通过ssh登录,拿到flag,继而发现有个secret.zip,但是解密需要密码。
2024-01-08 10:51:36
459
原创 漏洞分析|VMware Aria Operations for Networks命令注入漏洞(CVE-2023-20887)
查看 /etc/nginx/sites-enabled 中的 Nginx 配置信息,可以看到对 /saasresttosaasservlet 的访问会被限制。可以发现进程是从 /home/ubuntu/build-target/saasservice/ 处执行 saasservice-0.001-SNAPSHOT.jar 的。这意味着攻击者对 /saas./resttosaasservlet 的请求将会被覆写并允许在本地 9090 端口访问 /./resttosaasservlet。
2024-01-01 12:34:14
452
原创 漏洞分析|jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
jeecg-boot-base-core/src/main/java/org/jeecg/common/util/SqlInjectionUtil.java中增加了对sql语句的正则。JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。更改了72处的文件,其中需要注意db/其他数据库/jeecgboot-sqlserver2019.sql中重写了数据插入的方法。建议更新当前系统或软件至最新版,完成漏洞的修复。
2023-12-31 20:51:58
1741
原创 漏洞分析|vBulletin反序列化代码执行漏洞(CVE-2023-25135)
利用此原理, 在vBulletin实例化vB_DataManager_User类,调用unserialize()方法检查searchprefs字段是否序列化时候,如果在searchprefs字段内容里面填写的是一个序列化的精心构造的类名,此时unserialize()方法会反序列化该类名的对象,整个过程中会调用到vB:: autoload(),从而引入加载以该类名分解构成的文件。即使这个类名是不真实存在的,它也只会返回一个__PHP_Incomplete_Class的实例,反序列化的过程不会崩溃。
2023-12-30 18:02:20
916
原创 HACKTHEBOX通关笔记——wifinetic靶机(已退役)
在employees_wellness.pdf里面看到[email protected]和[email protected],简单看下内容一份人力资源经理发送的邮件,推出了员工健康计划。ProjectOpenWRT.pdf和employees_wellness.pdf差不多,存在两个邮箱[email protected]和[email protected]。通过扫描结果可以看到ftp端口存在几个文件,看看有什么信息。
2023-12-27 17:49:36
510
原创 HACKTHEBOX通关笔记——Broker靶机(已退役)
根据扫描结果可得知除80端口和8080端口web端口,22端口ssh端口,同时还有jetty服务和activeMQ服务,根据平时渗透可知activeMQ存在很多漏洞,分别是8161端口的默认口令&未授权访问、物理路径泄露漏洞、PUT任意文件上传漏洞、61616端口反序列化漏洞、CVE-2023-46606。根据端口探测可知activeMQ的版本为5.15.15,端口61616开启,想起来今年新出的漏洞CVE-2023-46606,下载工具试试看。剩余端口皆为activeMQ服务的端口,直接开始尝试利用吧。
2023-12-25 17:07:56
217
1
原创 漏洞分析|S2-066—Apache Struts2 文件上传漏洞(CVE-2023-50164)
补丁修复的HttpParameters大小写敏感问题,如果此时通过参数绑定传递MyFaceFileName,在上传表单名中传递myFace(inputName+FileName),此时HttpParameters里面是myFaceFileName与MyFaceFileName,这个时候key不一样,可以同时存在于HttpParameters的。发现对HttpParameters进行了修改,对参数大小写进行了控制,强制将参数都转换成了小写,漏洞和大小写参数有关。
2023-12-23 19:40:53
1078
原创 漏洞分析|GitLab任意读取文件(CVE-2023-2825)
该漏洞存在于GitLab CE/EE版本16.0.0中,当嵌套在至少五个组中的公共项目中存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。Rails 会对获取到的参数进行 URL 解码,并成功将带有 “../“ 的路径作为参数传递给 uploads#show,最终成功读取任意文件。分析nginx的代码后,不难发现在处理复杂的URI时,nginx会对URL编码的部分进行解码。这个POC看起来很奇怪,有着数个目录,后半部分的URL还被编码了。
2023-12-18 08:42:18
437
原创 漏洞分析|JetBrains TeamCity 任意用户创建(CVE-2023-42793)
可以下载官方补丁进行修复:https://blog.jetbrains.com/zh-hans/teamcity/2023/09/critical-security-issue-affecting-teamcity-on-premises-update-to-2023-05-4-now/ ,也可直接升级到2023.05.4版本之后。接下来反编译 /TeamCity-2023.05.2/webapps/ROOT/WEB-INF/plugins/rest-api/server/rest-api.jar,
2023-12-08 16:19:44
429
原创 漏洞分析|Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-49070)
这个函数里有两个关键的if语句,第一个if语句判断当前的path是不是等于/control/xmlrpc,第二个if语句判断body中是否包含</serializable,如果两个if语句都满足,则filter退出,不执行后续逻辑。我们先看CVE-2020-9496的补丁https://github.com/apache/ofbiz-framework/commit/d955b03fdc226d600d81d19d273e773f84b5c000。这个补丁的作用是为XML-RPC的接口增加鉴权。
2023-12-08 14:17:32
567
原创 漏洞分析|pyLoad远程代码执行漏洞复现(CVE-2023-0297)
pyLoad 存在代码注入漏洞,攻击者可通过此漏洞在未经身份验证的情况下注入恶意代码,导致服务器被攻陷。这代表eval_js(f"{jk} f()")使用js2py的功能,此处通过request在前端页面处直接传值给jk,eval_js函数再将jk传入的值当成js代码来执行也就是说此时我们可以执行任意js代码。但是Js2Py还支持使用pyimport语句导入任何Python代码,我们可以通过导入OS模块来执行系统命令,而且js2py的pyimport的功能是默认开启的状态。因此您可以运行任意脚本代码。
2023-12-04 16:59:33
155
原创 漏洞分析|MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
MinIO 是一种开源的对象存储服务,它兼容 Amazon S3 API,可以在私有云或公有云中使用。MinIO 是一种高性能、高可用性的分布式存储系统,它可以存储大量数据,并提供对数据的高速读写能力。在getServerSystemCfg()方法中获取了环境变量,其中envValues采用遍历的方式获取了skipEnvs[envK]的value。MinIO的某些接口会因为信息处理不当而返回会返回所有环境变量,包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD,导致敏感信息泄露。
2023-12-02 21:26:46
396
原创 漏洞分析|hutool XML反序列化漏洞(CVE-2023-24162)
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。所以不去调用 hutool-all 中的 readObjectFromXml 方法 就可以避免这个漏洞的产生。Hutool是一个小而全的Java工具类库,通过静态方法封装,降低相关API的学习成本,提高工作效率。当然这个地方也是可以通过读取文件来实现的。
2023-12-01 11:55:53
156
原创 漏洞分析|Apache RocketMQ RCE 漏洞(CVE-2023-37582)
CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。getStorePath方法如下,通过debug发现,最后返回值是由NamesrvConfig对象的configStorePath变量决定的(在上述补丁中过滤的是configStorePathName,因此被绕过)该文件权限是rocketmq启动时的用户权限。
2023-11-30 10:55:23
474
原创 漏洞分析|openfire web管理员控制台验证绕过漏洞(CVE-2023-32315)
其中,builder用于存储解码后的路径字符串,如果遇到%,会检查builder是否为null,如果是的话,就说明还没有解码过任何字符,需要先将%前面的字符拷贝到builder中,这样做的目的是保证解码后的uri路径完整。因为匹配到excludes存在的setup/setup-*,进入url检测,这里已经对”..”以及”%2e”进行了过滤,所以普通的路径遍历特征都会被拦截,但新版本中的Jetty Web服务器支持对%u002e这类非标准unicode uri的解析,也就又给攻击者提供了一种利用方式。
2023-11-27 14:32:16
314
1
原创 漏洞分析|Apache Commons Text远程代码执行漏洞(CVE-2022-42889)
Apache Commons Text 是一个专注于字符串算法的库。在1.5到1.9版本中,包括一些默认的插值器,如果使用不受信任的配置值,则在受影响版本中使用插值默认值的应用程序可能容易受到远程代码执行的攻击。Apache Commons Text 是一个低级库,用于执行各种文本操作,例如转义、计算字符串差异以及用通过插值器查找的值替换文本中的占位符。之后的代码就是获取js脚本引擎,并通过ScriptEngine.eval的方法执行。方法中解析了头部和尾部的${},把其中的值取出来进一步解析。
2023-11-23 18:33:45
203
1
原创 漏洞分析|Citrix 信息泄露(CVE-2023-4966)
snprintf函数被用于将hostname参数拼接到print_temp_rule变量中,并根据返回的长度,通过ns_vpn_send_response函数返回HTTP请求的结果。这里的hostname参数是由 HTTP 请求中的 Host 头决定的,因此这个参数的长度我们是完全可以控制的。snprintf 这个函数应该返回的是 ”想要写入buffer 的字符串长度“ , 而不是实际写入buffer的字符长长度。可以看到,当我想写入 16长度的字符串的时候, n2的值为 16, 而不是实际写入的长度。
2023-11-23 10:27:29
788
1
原创 漏洞分析|Apache Dubbo反序列化漏洞(CVE-2023-23638)
所以我们可以通过上面的 Field 赋值机制, 将 SerializeClassChecker 的 INSTANCE 属性更改为我们自定义的 SerializeClassChecker, 然后在这个自定义的 checker 中, 将 JdbcRowSetImpl 加到白名单里面, 或者将黑名单置空, 或者将 OPEN_CHECK_CLASS 更改为 false, 从而绕过这个检查机制。1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。回到 realize0 方法, 继续往下看。
2023-11-16 17:47:31
638
1
原创 漏洞分析|Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246)
RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。进入for循环后在 org.apache.rocketmq.broker.filtersrv.FilterServerUtil 中给的 callshell 方法去执行命令。72行调用方法 buildStartCommand。该中间件本来就是每30秒执行一次,漏洞产生的就是修改了配置文件,变量被赋值为了恶意命令,导致了命令执行。
2023-11-16 15:46:32
1659
1
原创 漏洞分析| Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194)
如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。跟进 ((ChannelBuilder)channelBuilder).configure(configs) 方法,最后跟到 org.apache.kafka.common.security.authenticator.LoginManager 的构造函数。
2023-11-13 13:40:09
358
原创 漏洞分析|Adobe ColdFusion 反序列化漏洞(CVE-2023-29300)
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如<string>标签中的元素与属性将由StringHandler处理,<struct>标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
2023-11-10 16:52:27
1567
1
原创 漏洞分析|Weblogic远程代码执行漏洞(CVE-2023-21839)
ForeignOpaqueReference继承自OpaqueReference,前面说过,当远程对象继承自OpaqueReference时,客户端在对该对象进行JNDI查找并获取的时候,服务器端实际上是通过调用远程对象的getReferent()方法来获取该对象的实际引用。远程对象继承OpaqueReference时,该对象进行JNDI查找并获取时,服务器端实际上是通过调用远程对象的getReferent()方法来获取该对象的。
2023-11-10 11:16:57
346
1
原创 漏洞分析|Atlassian Confluence Data Center 与 Server 存在权限绕过漏洞 (CVE-2023-22518)
参考连接:https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html。WebSudoInterceptor首先获取请求的url,如果接口url以/admin/开头,则接口默认需要管理员二次登录,仅在接口方法有WebSudoNotRequired注解时无需管理员二次登录。
2023-11-09 14:12:04
555
1
原创 漏洞分析|XXL-JOB accessToken 存在身份认证绕过漏洞
官方已修复该漏洞,建议用户修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。XXL-JOB是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。Web IDE:任务以源码方式维护在调度中心,支持通过Web IDE在线开发、维护。动态生效:用户在线通过Web IDE开发的任务代码,远程推送至执行器,实时加载执行。Shell、Python、NodeJS、PHP、PowerShell……XXL-JOB为了灵活支持多语言以及脚本任务,提供了创新的 “
2023-11-09 12:38:13
2109
1
原创 漏洞分析|Ivanti Sentry 身份验证绕过漏洞 CVE-2023-38035
我们看看前面的remoting-servlet.xml,发现该服务引用了一个名为SentryMicsHessianServiceExporter的类,它是一种二进制/XML RPC。删除的服务应该公开com.mi.midleware.service.ConfigService描述的接口,并且应该在configServiceHandler类中实现。Ivanti是一家IT软件公司,它生产用于IT安全,IT服务管理,IT资产管理,统一端点管理,身份管理和供应链管理的软件。我们可以看到从该服务调用方法非常容易。
2023-11-06 17:21:24
1168
原创 漏洞分析|Adobe ColdFusion 远程代码执行漏洞(CVE-2023-38203)
需要注意的是,在进行方法调用时,我们处于for循环中,因此我们能够在bean实例上调用多个方法。有了类名后,就可以使用反射来访问类的构造函数,没有参数的构造函数,并实例化类的实例。如果bean有任何setter方法,它将被返回,并最终通过Java Reflections在bean上调用,变量的值是唯一的参数,这些变量的值来自用户控制的WDDX数据包。在我们的分析中,预授权CFC端点触发对GetArgumentCollection的调用,并最终触发对易受攻击的接收器的调用,即WDDXDeserialize。
2023-11-06 15:08:54
697
原创 漏洞分析|Viessmann Vitogate 远程命令执行漏洞(CVE-2023-45852)
Vitogate 300 2.1.3.0版本的/cgi-bin/vitogate.cgi存在一个未经身份验证的攻击者可利用的漏洞,通过put方法中的ipaddr params JSON数据中的shell元字符实现绕过身份验证并执行任意命令。通过分析/ugw/httpd/html/cgi-bin/vitogate.cgi,它通过HTTPPOST接受JSON格式的数据。目前官方已发布新版已经修复此漏洞,并且为受影响版本发布了补丁,建议用户尽快升级至最新版本。然后isValidSession函数检查是否已登录。
2023-11-03 14:52:23
147
原创 漏洞分析|Metabase 远程代码执行漏洞(CVE-2023-38646)
在Metabase 进行安装时,存在一个特殊的令牌setup-token,按照官方预设的流程,一般来说其只能存在一次,在安装结束之后便会清除,但是官方完成安装后移除setup-token 这个重要的的操作给移除了。根据pyn3rd师傅分享的https://blog.pyn3rd.com/2022/06/06/Make-JDBC-Attacks-Brillian-Again-I/可以知道,可以通过以下三种方式攻击H2数据库。存在路由/api/setup/validate,用于验证数据库是否连接成功。
2023-11-02 18:04:17
227
2
原创 漏洞分析|Apache ActiveMQ RCE漏洞复现(CNVD-2023-69477)
Apache ActiveMQ 中存在远程代码执行漏洞,Apache ActiveMQ在默认安装下开放了61616服务端口,而该端口并没有对传入数据进行适当的过滤,从而使攻击者能够构造恶意数据以实现远程代码执行。它是Apache Software Foundation下的一个项目,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。类, 然后重写对应的逻辑,这样在运⾏的时候, 因为。查找顺序的问题, 程序就会优先使⽤当前源码⽬录⾥的。获取到了对应的序列化器之后, 会调⽤它的。⾥⾯获取对应的序列化器。
2023-10-31 12:24:00
3272
2
原创 漏洞分析|Atlassian Confluence Data Center & Server 存在访问控制缺陷漏洞 (CVE-2023-22515)
Confluence 提供了一个集中式的团队协作环境,使团队成员能够共享文档、项目计划、任务列表、会议记录等信息,并进行实时协作和交流。Confluence Data Center 支持集群部署,可以在多个服务器上进行负载均衡,提高系统的容错性和性能。我们可以在下面看到,SetupCheckInterceptor将进行测试BootstrapUtils.getBootstrapManager().isSetupComplete()作为检查的一部分,以确定 Confluence 服务器是否已设置。
2023-10-12 17:17:51
1093
原创 漏洞分析|CRMEB 开源商城 sid 参数 SQL 注入漏洞
是使用extractvalue()函数从数据库中提取数据,并检查提取的数据,当与MD5进行哈希时,是否与特定的哈希值匹配。CRMEB打通版v4是免费开源商城系统,UINAPP+thinkphp6框架商城.CRMEB打通版/api/products路径下的sid参数存在未经过滤的SQL语句拼接导致SQL注入。攻击者除了可以利⽤ SQL 注⼊漏洞获取数据库中的信息(例如,管理员后台密码、站点的⽤户个⼈信息)之外,甚⾄在⾼权限的情况可向服务器中写⼊⽊⻢,进⼀步获取服务器系统权限。披露日期:2023/10/9。
2023-10-12 17:05:56
1150
原创 漏洞分析|Craft CMS 远程代码执行漏洞 (CVE-2023-41892)
Pixel&tonic Craft CMS 是美国 Pixel&tonic 公司的一套内容管理系统(CMS)。在 4.4.15 之前的版本中,存在一个远程代码执行漏洞。Craft CMS 是一个用于创建数字体验的平台,这是一个高影响、低复杂性的攻击向量。2.详细描述受影响的 Craft CMS 版本存在代码注入漏洞,该漏洞源于远程代码执行漏洞。为了缓解此问题,建议运行 4.4.15 之前版本的用户至少更新到 4.4.15 版本。此问题已在 Craft CMS 4.4.15 中得到修复。漏洞严重性。
2023-09-27 11:22:30
1325
1
原创 翻译稿|漏洞分析|Notepad++堆缓冲区溢出漏洞分析
这四个CVE都涉及到缓冲区溢出或读取溢出的问题,其中两个是全局缓冲区,两个是堆缓冲区。这些漏洞可能导致信息泄露、数据损坏或更复杂的攻击。尽管某些漏洞(如off-by-one)可能被认为是难以利用的,但在某些情况下,它们确实可以被利用,特别是当与其他漏洞或技术结合使用时。
2023-09-19 11:26:30
203
原创 漏洞分析|WinRAR代码执行漏洞分析报告
漏洞编号:CVE-2023-38831影响版本:RARLabs WinRAR版本在6.23之前漏洞描述:RARLabs WinRAR在6.23版本之前存在一个漏洞,该漏洞允许攻击者在用户尝试查看ZIP存档中的良性文件时执行任意代码。诱饵文件与同名文件夹:当用户点击一个特制的RAR文件及其嵌入的文档时,伪装文档会被执行,导致代码执行。文件释放与执行:用户点击文件后,WinRAR会遍历ZIP文件中的`direntry`,比较`direntry->name`和点击的文件名。当`direntry`中存在与点击文件同
2023-09-19 11:19:43
73
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人