免密码hash登陆mysql 安全文章

免密码hash登陆mysql

在获取到mysql用户的hash后,可用hash直接登陆mysql进行操作比如我们注入出数据库的hash,但是没办法拿到webshell我们可以使用mysql_hash,用hash登陆并控制数据库使用方法:mysql_hash.exe -u root -p < 1.txtEnter password: *****************************************其中1.txt在同目录,内容为你想执行的sql语句,比如:show databases;下载地址:http://share.weiyun.com/aa8bf4955181f2606d92584f5dde899e 本文始发于微信公众号(飓风网络安全):免密码hash登陆mysql
阅读全文
【代码审计】 beescms 变量覆盖漏洞导致后台登陆绕过分析 逆向工程

【代码审计】 beescms 变量覆盖漏洞导致后台登陆绕过分析

一、漏洞描述:init.php中存在变量覆盖漏洞,而后台判断登陆的代码仅仅用$_SESSION一些键值进行了判断,导致覆盖$_SESSION的关键值后,可以绕过登陆的判断,从而登陆后台。二、漏洞分析过程:定位到漏洞代码:/includes/init.php首先对参数进行全局过滤,最后用extract进行变量的初始化,这里没有值对flags进行限制,所以可以导致任意变量覆盖并且覆盖之前已经session_start()了,所以不会重新初始化,也就是说$_SESSION可以被任意覆盖漏洞部分代码:if (!get_magic_quotes_gpc()){ if (isset($_REQUEST)) { $_REQUEST = addsl($_REQUEST); } $_COOKIE = addsl($_COOKIE); $_POST = addsl($_POST); $_GET = addsl($_GET);}if (isset($_REQUEST)){$_REQUEST = fl_value($_REQUEST);} $_COOKIE = fl_value($_COOKIE); $_GET = fl_value($_GET);@extract($_POST);@extract($_GET);@extract($_COOKIE);index.php包含了init.php然后/admin/admin.php,会包含/admin/init.php,这里会用is_login()函数进行登陆检查跟进is_login()函数:/includes/fun.php可以看到这里判断是否登陆,只是判断了$_SESSION==1并且$_SESSION有值就行,然后$_SESSION要大于3600,就判断为已登陆所以我们可以通过变量覆盖漏洞对$_SESSION进行操作,让其满足登陆判断的条件,然后即可实现后台登陆的绕过。三、漏洞利用:1、访问首页,覆盖变量http://www.beescms.test/index.phpPOST数据:_SESSION=1&_SESSION=1&_SESSION=999999999992、直接访问后台页面,成功无需登录访问:http://www.beescms.test/admin/admin.php 本文始发于微信公众号(哈拉少安全小队):【代码审计】 beescms 变量覆盖漏洞导致后台登陆绕过分析
阅读全文
踏雪无痕—linux入侵痕迹清理指南 安全文章

踏雪无痕—linux入侵痕迹清理指南

旧文重发:修正及补充一些内容0x00 前言前段时间做项目遇到了一次翻车的情况——留的计划任务后门被管理员发现了,但是好在经过一番缠斗,权限还是比较稳的留住了。而且还有意外的收获,从管理员执行的排查命令中了解到自己做痕迹清理还有哪些欠缺之处,索性整理一下Linux入侵痕迹清理的要点,水一篇文章。0x01 清除登陆日志我是通过ssh密码复用登陆目标的linux主机,那不可避免的会留下ssh登陆的痕迹,首先要清除的就是登陆日志这部分。查看登陆记录有两条命令:last和lastlog,分别使用的是/var/log/wtmp和/var/log/lastlog 日志文件。两个文件都是二进制形式存储,之前分享过一个小工具可以很方便地修改这两个文件:《小工具 | Linux登陆日志修改脚本》除此之外,还有下面的日志会记录登陆信息(明文存储):/var/log/messages/var/log/secure/var/log/auth.log/var/log/audit/*用vi或sed直接修改即可。如果你登陆成功前做过几次失败的尝试,别忘记清除下面的登陆失败日志(二进制存储):/var/log/btmp用echo全部清除,或者用utmpdump导出成文本文件,修改后再导入回去:utmpdump /var/log/btmp >/var/log/btmp.filevi /var/log/btmp.fileutmpdump  -r < /var/log/btmp.file > /var/log/btmp注意二进制文件不能用vi或sed修改,否则可能出问题。附带两条用sed清除日志会用到的命令。# 删除所有匹配到字符串的行sed  -i '/192.168.108.33/'d  /var/log/messages# 全局替换登录IP地址sed -i  's/192.168.166.85/192.168.1.1/g' /var/log/secure0x02 清除服务日志一般是指清除拿权限过程中使用的服务,或留后门过程使用的服务。比如你是通过webshell拿到的权限,记得清除web日志,不同的web容器日志在不同的位置,比如apache的可能在/var/log/httpd下面。如果是通过数据库漏洞,要清除数据库的日志,一般在数据库软件根目录下,或/var/log目录下。计划任务getshell,清除计划任务日志/var/log/cron。以此类推……比较容易忽略的是,当你把一些后门软件注册成服务运行时,会在/var/log/messages里留下软件相关信息和启动记录。(比如打隧道)0x03 清除历史命令这个很重要啦,如果不清除自己在入侵后执行的命令history:1、很容易被管理员发现入侵痕迹。2、被发现后管理员可以理清楚你的入侵路径和后门位置,导致权限丢失。查看历史命令的命令:history记录历史命令的文件:~/.bash_history有时你会发现,为什么文件记录和直接history查看的结果不一样,直接history能看到的命令似乎更多一点?其实当前登陆用户执行过的命令会记录在一个缓冲区里,直到该用户退出登陆之后才会写入文件。而history命令能查看到缓冲区的内容,所以能看到的命令更多一点,缓冲区的内容只有自己可见。了解这个原理,那清除历史命令的方法也很简单:每次退出使用【kill -9 $$】命令退出,不给当前的shell留时间去处理后事,缓冲区的命令也就没时间写入到文件了。如果已经写入的怎么办,vi或sed修改~/.bash_history文件删除掉命令就好了。不建议全部清除,有种此地无银三百两的感觉。0x04 不要用vim修改或查看一些文件的时候,不要用vim。否则你会在~/.viminfo文件中看到你打开过哪些文件,在vim里执行过什么命令(搜索哪些字符串),删除过什么内容。当然管理员也能看到。0x05 文件时间追求完美的话,一些敏感的文件或者你留下的后门要修改文件时间,不然可能会被管理员根据时间看出来文件被修改过。用ls -al命令可以查看文件时间。用touch -r命令修改文件时间——touch -r A B,使B文件时间变得和A文件相同。一般来说这样就可以了,但是防不住管理员用stat命令查看。stat命令可以看到三个时间:最近访问时间(atime):只要文件的内容被读取,访问时间就会更新。最近更改时间(mtime):当文件的内容数据发生改变,此文件的数据修改时间就会跟着相应改变。最近改动时间(ctime):当文件的状态(权限or属性)发生变化,就会相应改变这个时间。后两个看名字可能不太好区分,它们还可以翻译成:数据修改时间,状态修改时间。我们先改动一下passwd文件,用stat查看时间,发现三个时间全部更改了,这很容易被发现。赶快用touch -r修改passwd文件的时间,再次查看发现一个很严重的问题,touch -r只能同步最近访问和最近更改时间,但最近改动时间反而会更新到当前时间。有经验的管理员用stat命令只要重点看最近改动时间就会发现入侵痕迹。怎么解决这个问题?了解了原理其实解决办法也很简单:1、先修改系统时间。date -s "20140712 18:30:50"2、再修改文件时间即可。3、最后别忘了把系统时间恢复:hwclock --hctosys0x06 后记VX公众号:《小黑的安全笔记》这周总算没拖更,欢迎师傅们指点补充~0x07 参考文献https://mp.weixin.qq.com/s/i2WvFmF1qQjbx-BaStXb1Qhttps://www.linuxprobe.com/linux-simple-2.htmlhttps://www.cnblogs.com/pacino12134/p/11481258.htmlhttps://www.cnblogs.com/morganchen/p/9437066.htmlEND.喵,点个赞再走吧~ 本文始发于微信公众号(小黑的安全笔记):踏雪无痕—linux入侵痕迹清理指南
阅读全文
免密登陆SQLSERVER 之 Token 截取 安全文章

免密登陆SQLSERVER 之 Token 截取

首先环境的准备:系统 windows 2008数据库 SQLSERVER2008incognito.exe先"灌肠" 往往在高版本系统 或者 在强密码的等等 特殊情况下我们无法获得 明文密码。那么我们该如何在没有明文密码及有windows哈希的情况下登陆 SQLSERVER呢(当然我并没有sa等任何账号);接下来就说下我日常划水中遇到的这个问题:划水的机器是一太xp系统 存在 445 漏洞 二话不说上去就是一顿怼,怼成功后上去就是一顿操作,搞完发现我解不开这个管理员密码,一阵心凉,到手的数据就这样飞啦???不存在的 ,之前我用过runas 方式 验证过,但是它需要输入密码,而我解不开。然后想到了Token(怎么想到token的呢这个过程说不清楚),既然想到了方法二话不说打开虚拟机测试下看看能行否。先装个SQLSERVER2008默认安装点击登陆名 发现有好几个可以登陆的用户 在users 组里都可以登陆 (基本就是任何人都可以登陆了)模拟真划水情况删除NUILTINUsers没错就是这个效果:(接下来按照想法来实现窃取Token我直接窃取了system Token,会弹出system Token 会话窗口(这里说下 runas 是不是也这样 :) )那么我为什么要窃取system Token 其实在第一张图里已经有了答案,因为在SQLserver 服务器登陆认证中除了sa,创建sqlserver的用户之外还有系统的账户等等直接system一了白了 :)找到sqlserver管理工具 在system Token 中运行用户名就是system啦连接成功图片意淫:Psexec 连接过产生Token ( 如果没有明文密码只有哈希的情况下哈希注入了解下)在我划水的时候就是用的 Psexec ( 因为445后们被我删除了,不想在怼了怕把系统玩坏 :) 本文始发于微信公众号(T00ls):免密登陆SQLSERVER 之 Token 截取
阅读全文
Selenium下自动识别验证码登陆 安全文章

Selenium下自动识别验证码登陆

介绍 在自动化或者爬虫登陆网站时经常遇到验证码模块,这也算是反爬的一种手段。这篇文章将介绍如何在selenium框架下自动识别验证码登陆。一:安装Tesseract-ocr Tesseract-ocr是文字识别系统,能识别英文、数字,如果需要识别汉字,则需要导入汉字语言包。在Windows下安装  下载地址:Tesseract-ocr,这里可以选择版本,本机中选择4.0.0版。下载后默认安装,这里可以选择修改原安装路径,但修改后在后续进行环境变量的配置时记得更改。   安装完毕后,配置系统环境变量。在Path一项中新增Tesseract-ocr的安装路径。  接着在系统变量中新建如下系统变量,告诉Tesseract-ocr数据集的位置。  然后验证是否安装成功。在Linux下安装  直接执行:apt install tesseract-ocr。二:python脚本from selenium import webdriverfrom PIL import Image browser = webdriver.Chrome() host = "https://www.baidu.com"browser.get(host)# 获取整个网页的截图browser.save_screenshot("temp.png")# 获取元素位置element = browser.find_element_by_css_selector("img") location = element.location size = element.size# # 计算出元素位置图像坐标img = Image.open("temp.png") left = location + 145top = location + 90right = location + size + 155bottom = location + size + 100img = img.crop((int(left), int(top), int(right), int(bottom))) img.save('screenshot.png')  # 是否保存图像log = os.system('tesseract screenshot.png png -l eng') keyword = open('png.txt', 'r').readline().rstrip('n') rex = re.compile(r'D')if re.search(rex, keyword) != None:    print('错误的验证码:' + keyword)else:    print('keyword is ' + keyword) 代码说明:selenium自带有截图功能,如果是选择非PhantomJS作为浏览器的话,当使用browser.save_screenshot("temp.png")时截的只是当前浏览器窗口显示的图片而不是整个网页,但使用PhantomJS时,截取的是整个网页。  selenium也可以选择区域或网页元素进行截图,不过需要PIL辅助,先从网页中获取该元素的位置,然后使用PIL Image里的crop截取。这里需要注意,如果使用例如Chrome等浏览器而非PhantomJS的话,会因为浏览器弹出的位置不同,导致无法准确的截到该元素的位置,需要自己反复调节,但使用PhantomJS时不会有这个问题。 可以注意到,我这里是使用系统调用的方法进行识别,但有另一种方法是安装pyocr。直接执行pip install pyocr即可。由于作者不熟悉,加之有急需,故不再演示,只提出方法。本文转载于:https://delcoding.github.io/2017/11/selenium-verity-code/ 本文始发于微信公众号(逢人斗智斗勇):Selenium下自动识别验证码登陆
阅读全文
磊科路由器的两种bypass登陆后台方法 安全文章

磊科路由器的两种bypass登陆后台方法

编者注广诚市保卫者今天带来一个比较老的漏洞,固件也一并奉上,读者可以通过固件进行分析。01漏洞描述                                                      漏洞相对简单,主要有两个。一个是通过cookies修改进行登陆绕过,另一个是通过配置文件未授权下载得到账号密码登陆攻击路径远程攻击复杂度低权限要求无用户交互不需要02搜索规则                                                      fofa"您的路由器初始密码印在路由器背面的提示贴上,若您是第一次登录,或刚刚复位过路由器,请用此密码登录。"备注:搜索语法不一定能覆盖到当前设备,毕竟已经好多年前的设备了。03靶标环境                                                      netcore(NI360)CN-V1.3.131122程序包回复NI36004漏洞复现                                           ...
阅读全文
[SRC实战] 中规中矩的逻辑漏洞挖掘 安全文章

[SRC实战] 中规中矩的逻辑漏洞挖掘

#01 前言今天继续分享一个之前挖到的逻辑漏洞案例,xx网站存在任意用户密码重置漏洞,攻击者可通过遍历关键性参数就可以达到重置任意用户密码,危害严重 #02 挖掘过程1、首先进入到忘记密码功能,然后输入自己的手机号,点击下一步2、然后输入收到的验证码,点击确定3、然后会进入到重置密码页面此时观察到url中的参数id,发现是一个base64加密的字符串,把它解开是一窜6位数字7xxxxx4、然后我们构造一个6位数字并进行base64加密,然后替换掉id,发现,下方的用户名已经变了,变成了mxxxx2,然后我们输入新密码test123,点击确认,提示修改成功5、然后回到登陆界面利用用户名mxxxx2进行登陆,密码是test123,发现登陆成功登陆后在个人中心页面还可以看到泄露的邮箱和个人信息,只需要点击绑定就会查看到所以通过此任意用户密码重置漏洞,不但可以重置任意用户密码,还能获取到用户的一些敏感信息。点个赞和在看吧,欢迎转发!点个赞和在看吧,欢迎转发!点个赞和在看吧,欢迎转发! 本文始发于微信公众号(哈拉少安全小队): 中规中矩的逻辑漏洞挖掘
阅读全文
权限维持 | Centos Linux环境变量后门 安全文章

权限维持 | Centos Linux环境变量后门

0x00 前言虽然是周日,但小黑今天还是个光荣的打工人,要爬起来去上班,所以写文章的时间就压缩了很多,这周的文章就简单介绍一种linux后门吧。本文使用centos linux系统做实验,对其他版本linux不保证可用性。0x01--0x04部分是原理,想看利用可以直接跳到0x05。0x01 环境变量文件分类Linux系统在每个用户登陆或打开一个新shell时,都会去加载执行一些环境变量文件(shell语言)。我们可以考虑用这个特性去留后门作为权限维持的一种手段。由上述原理可以想象,这个后门应该是管理员做类似登陆的操作才会触发。那根据一种最常见的登陆场景:【管理员使用ssh登陆linux系统】,可以将linux的环境变量文件分为以下三类:第一大类:ssh登陆后会执行的环境文件/etc/profile/etc/bashrc~/.bashrc~/.bash_profile第二大类:特殊条件下会执行的环境文件~/ .bash_login~/.bash_logout第三大类:不常用shell的环境文件例如:~/.cshrc~/.tcshrc等……下面会一一介绍分类的依据,每个文件的触发特性,以及如何利用该特性制作后门。0x02 ssh登陆后会执行的文件这一类环境变量是ssh登陆系统后通常必定会执行的文件,其中/etc/profile和/etc/bashrc是系统级环境变量,影响所有用户。而~/.bashrc和~/.bash_profile是用户级环境变量,只对单个用户有影响。我们在这四个环境文件中分别写一行shell代码,功能是用echo函数在开头输出文件自身的名字,然后去实际登陆一下,以输出顺序来判定他们的执行顺序。(1)在/etc/profile文件开头添加如下代码(其他三个文件以此类推):(2)实际登陆操作:(3)显示顺序截图:结论:/etc/profile > ~/.bash_profile >~/.bashrc > /etc/bashrc 这里顺便再测试一下不实际登陆,只是用当前用户打开一个新bash shell时会怎么样:结论:只有bashrc文件会触发,顺序:~/.bashrc > /etc/bashrc 0x03 特殊条件会执行的环境文件其实也没什么特殊的啦,执行的触发条件一句话就能讲清楚:~/.bash_login 触发规则:    当~/.bash_profile文件不存在时才会执行。(1)先改掉~/.bash_profile:(2)然后重新登陆:结论:当~/.bash_profile文件不存在时,会执行~/.bash_login文件。同时发现 /etc/bashrc 和 ~/.bashrc 都不会执行。不过这个并不绝对,实际上只要看一下这些文件的源码就会知道他们是相互调用的,具体会不会执行要看实际环境的调用情况。比如下图~/.bash_profile文件中调用了~/.bashrc文件。~/.bash_logout 触发规则:    用户登出时会执行。0x04 不常用shell的环境文件顾名思义,就是除bash shell之外的shell的环境文件,使用其他shell时会触发。比如我这里的.cshrc和.tcshrc就是csh shell的环境文件。bash shell 是 Linux 的默认 shell,管理员使用ssh登陆时会默认调用bash,所以会触发bash的环境文件。至于其他类型的shell,使用场景比较少见,这里就不多介绍啦。0x05 环境文件后门的利用思路知道了原理,那利用环境文件做后门的思路就很明确了:在这些文件中添加恶意代码,让管理员登陆/登出时隐蔽的做一些事情。具体添加什么代码呢,我这里初步想了几个方案,逐步排除后只剩一种,师傅们有更好的方案可以在留言板补充。【方案123】:改管理员密码、加新的管理员用户、加ssh登陆公钥。排除理由:手法老套容易被发现,在不知道管理员登陆习惯时不能及时上去清理痕迹,动静太大。【方案4】:直接反弹shell在环境变量中添加反弹shell的代码,在代码触发后能在自己的服务器上直接获得权限,简单直接而且后门触发后很快就可以获知消息。排除理由:这种交互性的命令会在登陆后阻塞管理员的终端,影响可用性,而且也更容易被发现了。登出的时候也同样会阻塞:【方案5】:nohup执行msf木马关于msf木马的制作和使用方法可以参考这篇:《实验 | msf反弹后门的使用演示》(1)这里先向目标机器传入msf木马,命名为backdoor.sh(实战中木马的命名和位置可以更隐蔽一些)(2)在环境变量文件中添加nohup执行木马的语句:(3)管理员登陆后无任何异常:(4)实际msf木马已经在后台静默运行:0x06 后记这是2.1--2.7这周的文章自从去年7月正式运营公众号之后,我想到什么好的文章灵感都会记录下来作为选题,留着有空再写。这周的文章就是很久以前记录的一个选题,目前积累的还没有写的选题有这些:大家想看哪个可以留言给我,也可以贡献一些这里没有的选题,被留言的选题我会考虑提升一下优先级~0x07 参考文献https://blog.csdn.net/whatday/article/details/78929247https://cloud.tencent.com/developer/article/1683267 本文始发于微信公众号(小黑的安全笔记):权限维持 | Centos Linux环境变量后门
阅读全文
二次“登陆”导致的权限提升 SecIN安全技术社区

二次“登陆”导致的权限提升

“登陆”的实现   登陆功能应该是Web项目里见到的比较多的业务模块的,通常会跟session会话结合,完成对应的操作,常见的实现过程如下:   session本身是一个容器,里面可以存放类似用户身份等权限控制所需的元素,在对应的接口完成对应的鉴权功能。最简单的例如如果在当前会话session中没有找到对应的登陆凭证,说明用户没有登录或者登录失效,如果找到了证明用户已经登录可执行后面操作,防止接口的未授权访问。或者是权限细粒度覆盖业务接口,将业务相关的关键参数(例如userid、fileid等)与当前用户的身份凭证(一般是session)进行绑定,防止越权操作。   正常业务场景下,用户在进行身份认证后,便使用当前会话进行业务操作了,例如查询个人信息,进行下订单等。此时若尝试使用当前会话,继续访问登陆认证接口进行二次“登陆”,又可能会发生什么事情呢?重复登录又可能对session中的内容造成什么样的影响呢? 二次"登陆"带来的权限提升   在某次审计过程中,发现了这样的一个有趣的安全问题,在进行身份认证后,尝试再使用当前会话,继续访问登陆认证接口使用错误的账号密码进行二次“登陆”,然后发现当前会话的角色权限提升了,部分管理员接口可以进行访问并进行业务操作了。以下是相关过程。   首先是登陆认证的接口: java @RequestMapping(value={"auth"},method=RequestMethod.POST) @ResponseBody public JsonResponse LoginInterface(String username,String password,HttpServletRequest request,HttpSession session,Model model){ if(username==null||username.toString().equals("")){ return JsonResponse.fail("请输入用户名!"); } if(password==null||password.toString().equals("")){ return JsonResponse.fail("请输入密码!"); } //查询用户 SysUser user = null; try{ user = userservice.find(username,password); }catch(Exception e){ user = null; } if(user==null||user.isEmpty()){ session.removeAttribute("user"); return JsonResponse.fail("用户名密码错误!"); } session.setAttribute("user",user); session.setAttribute("loginStatus",true); return JsonResponse.succ("success"); }   首先检查用户关键输入(用户名密码)是否为null,然后通过service层方法进行用户密码的有效性检查,返回对应的user对象。如果返回的对象不为null那么在session中存入当前user对象,并且设置登录状态loginStatus为true。否则清空当前session中的user,提示用户名密码错误。简单的流程如下:   再来看一下相关权限控制的安全防护:   通过拦截器对于接口的访问进行控制,结合登陆成功后的loginStatus内容,防止在非登陆情况下进行未授权访问: java public class LoginedInterceptor extends HandlerInterceptorAdapter{ @Override public boolean preHandle(HttpServletRequest request,HttpServletResponse response,Object handler) throws Exception{ HttpSession session = request.getSession(); boolean loginStatus = session.getAttribute(SystemBaseConstant.LOGIN_STATUS); if(loginStatus==null||"".equals(loginStatus)||!loginStatus){ //如果登陆态loginStatus不为true,同样也返回登陆页面 request.getRequestDispathcer("/login").forward(request,response); return false; } } return true; }   查看下查询用户绑卡信息的接口: java @RequestMapping({"/cardInfo"}) public JsonResponse UserQuery(HttpSession session){ User user = session.getAttribute("user"); if(!user.getUserName.equals("admin")&&user!=null){ CardInfo...
阅读全文
登陆页面的检测及渗透 安全文章

登陆页面的检测及渗透

0x00 前言我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给你一个登陆网站页面,没有测试账号,让你自己进行渗透测试,一开始经验不足的话,可能会无从下手。今天就来简单说一下如何在只有一个登陆页面的情况下,来进行渗透测试。 0x01 开始在条件允许的情况下,我们可以拿在渗透测试的开始之前拿出我们的扫描器来进行扫描,目前我们最常用的就是AWVS和Nessus,除此之外,我们还可以使用一些别的自动化测试工具,例如Nikto扫描器,Appscan,W3af,以及最近长亭科技的Xray扫描器,都可以试试。尤其是Xray扫描器,据说有许多小伙伴靠它挖到了许多漏洞。以下是这些工具的一些使用方法,不进行赘述 Nikto https://zhuanlan.zhihu.com/p/70225775 Xray https://chaitin.github.io/xray/#/ W3af https://www.freebuf.com/column/145984.html Appscan https://zhuanlan.zhihu.com/p/287293710x02 SQL注入如果我们能够直接绕过登录,来直接访问系统内部资源,那自然是最好不过的了。万能密码就是其中一最好用的一种,虽然存在的可能性不大,但是偶尔也是存在的,稍微尝试一下也不会浪费太多时间。例如'or 1=1 –   "or "a"="a例如这样,就能直接访问后台登录口SQL注入有的系统在登录口就存在SQL注入,目前我遇到过比较多的是Oracle以及MySQL的登录口注入,我们可以在登录处先抓一个包,然后根据抓包信息来构造Payload。值得一提的是,有时候我们需要在Burp里修改一下发包格式(change body encoding),才能成功注入。在这给个例子:正常登录报错加一个引号修改payload,以此返回数据包不同来判断存在SQL注入。并且,这类的SQL注入并不罕见,在许多网站中都可以进行尝试,很有可能会存在此漏洞0x02 明文传输/用户名可枚举/爆破弱口令明文传输可能是我们做渗透测试中,最常见的一种漏洞,实际上它并不能算得上是一种漏洞,仅仅只能说是一种不足之处而已,明文传输在网站上随处可见,除了银行网站,很有可能每一个密码都是经过特殊加密然后再进行传输的。用户名可枚举此漏洞存在主要是因为页面对所输入的账号密码进行的判断所回显的数据不一样,我们可以通过这点来进行用户名的枚举,然后通过枚举后的账户名来进行弱口令的爆破。防御手段的话仅需要将用户名与密码出错的回显变成一样即可,例如用户名或密码出错。爆破弱口令弱口令可以说是渗透测试中,最最常见,也是危害“最大”的一种漏洞,因为毫无技术性,毫无新意,但是却充满了“破坏性”,尤其是在内网环境中,弱口令更是无处不在。Web页面最常用的爆破工具为Burp,我们通常使用Nmap扫描也可能扫出其他端口存在,例如3389,SSH等。传送门万能密码及字典:链接:https://pan.baidu.com/s/1YP3qNmFoMcsRcz9Yr6Q1tQ 提取码:ksin弱口令爆破工具推荐,详情可看以下,不在赘述:Hydra:https://yq.aliyun.com/articles/608406/御剑RDP爆破: https://github.com/foryujian/yujianrdpcrackBruter:https://www.uedbox.com/post/8478/此外,我们还可以根据网站域名,以及收集的一些信息来进行定制化爆破,例如我在一次内网渗透测试中,发现了管理员的名字缩写为awr,然后我就生成了一堆密码,最后成功登陆账号密码为awr112233。定制化生成字典:http://tools.mayter.cn/字典: https://github.com/rootphantomer/Blasting_dictionary还有很多字典,可以在网上多收集一些,有时候你离Getshell,仅仅只差一个弱口令。此外,有时候我们还可能遇到存在默认密码的系统,在这给出一些网上公开的默认账户密码,网上找到的:天融信防火墙,不需要证书 登录地址:https://192.168.1.254 用户名:superman 密码:talent 技术支持热线:8008105119天融信防火墙,不需要证书 登录地址:https://192.168.1.254:8080 用户名:superman 密码:talent!23 遇到设备需要把旧设备配置备份下来,再倒入新设备基于console口登陆,用户名,密码跟web界面一致 system config reset 清除配置 save 保存 联想网御防火墙,需要证书(最好用IE浏览器登录)登录地址:https://10.1.5.254:8889 用户名:admin 密码:[email protected]、administrator、[email protected] 技术支持热线:4008107766 010-56632666深信服防火墙(注安全设备管理地址不是唯一的) https://10.251.251.251https://10.254.254.254 用户名:admin 密码:admin 技术支持热线:4006306430启明星辰 https://10.1.5.254:8889 用户名:admin 密码:[email protected]://10.50.10.45:8889 用户名:admin 密码:[email protected] 电脑端IP:10.50.10.44/255.255.255.0 技术支持热线:4006243900juniper 登录地址:https://192.168.1.1 用户名:netscreen 密码:netscreenCisco 登录地址:https://192.168.0.1 用户名:admin 密码:ciscoHuawei 登录地址:http://192.168.0.1 用户名:admin 密码:[email protected] 登录地址:http://192.168.0.1 用户名:admin 密码:admin 技术支持热线:4006306430绿盟IPS https://192.168.1.101 用户名: weboper 密码: weboper 配置重启生效网神防火墙GE1口 https://10.50.10.45 用户名:admin 密码:firewall 技术支持热线:4006108220深信服VPN:51111端口 delanrecover华为VPN:账号:root 密码:mduadmin华为防火墙:admin [email protected] eudemoneudemon Juniper防火墙:netscreen netscreen迪普 192.168.0.1 默认的用户名和密码(admin/admin_default)山石 192.168.1.1 默认的管理账号为hillstone,密码为hillstone安恒的明御防火墙 admin/adminadmin某堡垒机 shterm/shterm天融信的vpn test/1234560x03 扫目录目录扫描目录扫描也是一个存在惊喜的地方,说不定能扫描到后台未授权访问的链接、备份文件、编辑器、敏感信息等,像后台登陆的网址看多了,常规的路径像www.xxx.com/admin/login.aspx(.php)有些大佬甚至不用御剑什么的工具跑,就能直接猜到。一般碰到下面这种情况,可采用fuzz大法。一层一层fuzz,尝试寻找可利用的信息。漏洞银行有一期衬衫的视频fuzz讲得很好。他用的工具是wfuzz,感觉不错,感兴趣的可以去看看。在我看来,这是最好用的目录扫描工具:https://github.com/maurosoria/dirsearch DirSearch已经成为了日常渗透工作中密不可分的工具之一,并且我们可以多级别扫描,在枚举子目录的目录,很多时候可以找到突破口。除此之外,还有御剑也是比较常用的https://github.com/52stu/JS扫描JS文件我们在渗透测试中也是经常用到的东西,有时候我们可以在JS文件中找到我们平时看不到的东西,例如重置密码的JS,发送短信的JS,都是有可能未授权可访问的。JS扫描的话推荐使用JSFind:https://github.com/Threezh1/JSFinder同时它也会提取页面中的URL,简单举例nmap扫描Nmap的强大功能能让我们第一时间获取网站的端口信息,而这些端口信息中常常可以给予我们非常大的帮助,例如开放了3389端口,或者一些敏感端口的探测,Nmap的使用方法相比不需要我再多说,每个安全工程师都必须要精通的一种工具,以下是我的一些端口小总结,希望可以给与大家一点儿帮助。在扫描目录与JS这块,要注意多次爆破,遍历访问多级域名的目录与JS。我就曾在一个学校网站中,使用Nmap对批量网段的探测,获得了一个登陆网站,并且在网站中遍历目录,获得了一个test页面,最后在这个页面的JS文件中,获取到了一个接口,通过这个接口重置了主登录页面的密码。0x04 框架漏洞在网上找找此公司产品是否爆出过漏洞。若是开源的框架,还可下载源码进行代码审计寻找漏洞。像java的站,登陆页面是.do或.action的网址。可尝试下 struts2 命令执行漏洞,我一般使用安恒的S2漏洞验证工具以及某些厂商的服务存在漏洞,例如Apache中间件组件Shiro反序列化漏洞,这里简单说一下:需要一个ysoserial.jar  https://github.com/frohoff/ysoserial以及默认秘钥4AvVhmFLUs0KTA3Kprsdag==2AvVhdsgUs0FSA3SDFAdag==2AvVhdDFCVdfdfDFAdag==3AvVhmFLUs0KTA3Kprsdag== kPH+bIxk5D2deZiIxcaaaA wGiHplamyXlVB11UXWol8g==6ZmI6I2j5Y+R5aSn5ZOlAA== AsfawfsdfaAasdWWW== Z3VucwAAAAAAAAAAAAAAAA==6ZmI6I2j5Y+R5aSn5ZOlAA== ZUdsaGJuSmxibVI2ZHc9PQ==1QWLxg+NYmxraMoxAXu/Iw==POCfrom Crypto.Cipher import AESfrom Crypto import...
阅读全文
【转载】记录一次入侵过程 lcx

【转载】记录一次入侵过程

    目标站,www.xxx.com,独立服务器。     先用 wwwscan 扫描,得到后台,并且在目录 inc/conn.asp 出错且爆出数据库路径。     而 inc/conn1.asp 正常,刚开始有点怀疑数据库是否改了,下载数据库,找到一个账号密码并且是今天0点多登陆,看来有戏。     登陆后台就几个简单的页面,有个编辑器ewe5.5,在后台通过查看源代码得到编辑器路径,在编辑器目录后加admin,有登陆页面心想这站还不搞死,呵呵。     rp好,直接默认密码登陆成功。悲剧的是乱码,ewe5.5可以直接修改样式添加asp上传木马。但是在修改的时候是乱码,本来想本地搭建个,按照框框架架去填写。     不是还有个列目录的漏洞嘛?试试,跳转到 d:wwwroot 还有个网站跳转进去一看是一样的,同样是编辑器登陆,这次登陆里面显示的却是正常的,直接添加asp上传木马成功。     安全做的不是很好,直接pr就拿到服务器。     今天还有个mysql,搜索型注入的教程本来想写出来,唯一不足的是后台没找到,希望下次有好点的思路在共享,呵呵。文章来源于lcx.cc:【转载】记录一次入侵过程相关推荐: 大家来猜搜狗那个安全漏洞的形成原因(猜对获得肉肉签名手帕一只)大家来猜搜狗那个安全漏洞的形成原因(猜对获得肉肉签名手帕一只) xsser (十根阳具有长短!!) | 2013-11-06 10:59 首先我觉得这个问题应该是真实的,在用户量大的时候很容易由于内部的算法导致两个用户的身份认证出现混淆,从而导致所谓的“串号”…
阅读全文
接触暗网的后果 安全闲碎

接触暗网的后果

情报分析师全国警务人员和情报人员都在关注关注当你凝视暗网的时候,暗网也在凝视你。刚刚过去的2020年,中国境内平均每天至少有2000个人在登陆暗网,他们都在暗网上干些什么呢?知安君带大家了解一下真实的暗网世界。01.《纸牌屋》中提到的软件工具Tor(The Onion Router),是登陆暗网的工具。很多人其实并不知道,Tor官方还会统计各个国家和地区通过它登陆暗网的人。知安君前两天粗略检索了一下,从2019年12月22号到2020年12月23号,每天从中国境内通过Tor登陆暗网的人数在2000人左右。登陆的最高峰值出现在2020年8月12号,人数达到了8375人。这一天有什么大事发生么?以往暗网用户登陆数量激增,往往都会和大事件挂钩。比如2018年8月28号,5亿条疑似华住旗下酒店开房数据在暗网售卖,引发访问暗网数量激增。同样的情景也出现在2018年9月1号,当时3亿条疑似顺丰快递数据在暗网泄露。3个月后,疑似陌陌平台的用户数据在暗网售卖,再次引发众人前往打卡观摩。在8月12号这天,涌进暗网的人流出现爆发式增长,我们并没有找到明显与之相关联的大事件。只是在此之前,江苏镇江的一名教师和女性的不雅视频,遭到了这名女性的男性朋友的扩散而引发了众多关注。不知道这些散布在当地微信群的视频,最后是否流入了暗网的销售渠道。这里还有个有意思的数据,中国境内搜索暗网的人数,是从2018年开始激增的,主要集中在广东 上海等地区。在登陆暗网的用户群体中,来自广东的访问占比达到了 21%。广东的同学们,请问你们在暗网上都干什么呢?02.有一句大家耳熟能详的话,互联网不是法外之地。或许在很多人眼里,暗网就是一个法外之地。一些好奇心重的网络小白,或者其他怀有不可告人目的的人,往往会被一些关于暗网的科普文章误导。他们会告诉你,网络分为表网(Surface Web)和深网(Deep Web)。深网是需要特定浏览器、特殊授权和设置才可以访问的空间,暗网只是深网的一小部分。但他们不会跟你说,不论你在进入暗网前,在目录服务器和中继服务器随机加密跳转了几次,如果有人想要找到你,最后总能找得到。他们会告诉你,暗网不仅有毒品军火和杀人的黑深残的画风,也有音乐分享、艺术鉴赏等不同爱好群体的交流论坛。但他们不会跟你说,如今的暗网中鱼龙混杂,不仅有打着各种噱头的骗子,还有来自不同机构的卧底,在这里一不小心,小白立马就变成了韭菜。从暗网的起源来看,本质上这就是一块韭菜地。1996年美国海军为了确保体系内的网络通信不被人追踪,研制出名为Tor的工具。1997年由美国国防部高级项目署进一步开发,后来研究人员发现Tor作为一款通信加密工具,光在技术上进行匿名是不够的。大隐隐于市。为了更好地隐藏情报人员的身份,使用Tor的用户身份越杂越好,Tor的普通用户版本被推给了大众更多韭菜的加入,意味着暗网的使用规模逐渐扩大,情报人员则可以更好地混迹在这一片青绿之中。03.暗网进入我国公众视野,要从轰动全国的“章莹颖失踪案”说起。2015年这起案件发生之后,美国警方抓捕了犯罪嫌疑人克里斯滕森,发现其曾访问暗网中一个名为“绑架101”的网站。媒体的大量报道,使得暗网被国内越来越多的人知晓。近年来关于暗网题材或者提及暗网的影视剧明显增多,国内外先后制作了数部关于暗网的电影电视剧。比如2016年的电视剧版《暗网》,2018年的电影版《解除好友2:暗网》,2019年热播的《破冰行动》让更多公众知道了暗网的存在。还有2018年接连发生多起个人信息泄露事件,再次挑动了公众对暗网的好奇心。比如2018年8月,浙江警方破获了一起非法入侵浙江省学籍管理系统,窃取1000万条学籍数据并在暗网出售的案件。犯罪嫌疑人将这么多条信息以0.02比特币的价格售卖,这在当时约合153.55美元,每条信息还不值1分钱。同年,华住集团、顺丰、陌陌等平台接连被曝用户信息疑似泄露,公开的平台都指向暗网。公安机关根据监测发现,从2018年开始,国内搜索暗网的人数激增。知安君登陆某著名暗网茶马古道,发现网站有大量的个人信息出售,比如培训班学生的个人信息,孕妈宝妈信息,毕业大学生的资料,下面还写着“诚信经营”。角落里还有人挂牌洗车的,点进去一看,不是真洗车,原来是洗钱的黑话。当然这些中文暗网里,有出售也有求购的,在收购个人信息之后,再转手加价卖出。一个混迹暗网多年的安全人员告诉知安君,中文暗网上买卖个人信息难辨真假,大部分交易都是虚假信息,都是骗子钓鱼。毕竟骗人比动真格简单得多,再加上暗网的匿名性和不可追溯性,割韭菜可谓一茬接一茬。这还不能退货给差评,属实是花钱买教训。知安君曾经花过1美元,在茶马古道上买过一个信息包,卖家号称有421位明星私人联系方式。等付了钱收到货,打开文件一检索,发现这些信息在网上都是能够搜到的假信息。04.现在的暗网还真是个韭菜聚集地,十个帖子有七个骗,还有三个是卧底。你想要问里面有诚信经营的人么,答案是有,不过相当一部分已经进去了。2019年我国公安机关开展“净网”专项行动,破获“暗网”相关案件16起,抓获了25名犯罪嫌疑人。2020年全国各地法院陆续审判了一批涉暗网的案件,有兴趣的同学可以到中国裁判文书网搜来看看。知安君曾经看过一份来自法院的最新判决文书。山西运城的一个老哥,从2018年以来先后在暗网上下载了700多万条车主信息,2万多条伴游信息 5万多条炒股用户数据,以及300多万条宝妈数据等,手握1000多万条个人信息数据。这位老哥在暗网上的昵称是“一禅小和尚”,自述在暗网上买过6次东西。“一禅小和尚”本来想当个买进卖出的中介,他买来的这些信息相当一部分是假的,尝试卖了几次,都因为信息不准被买家拒绝付款。就这样,还没等到变现警察就上门了,空手套白狼的生意没干成,还被法院判了3年有期徒刑。在暗网上,任何权利都不被保障,高端玩家的生财之道,就是骗钱加借钱不还。像咱们这种良民,多半是冒着电脑中毒的风险交一波智商税。白昼朗朗,黑夜茫茫;魑魅魍魉,无所遁藏。网络安全防控体系在不断健全,各国合作也在不断加强,暗网并不是很多人想象中的世外桃源。对于暗网,大家不用过度畏惧,也不用当作都市传说追捧,暗搓搓想搞点小动作。毕竟,凝视暗网的时候,暗网也在凝视你。想割韭菜的人,自己也会变成韭菜。本期编辑:LPC本文部分材料来源网络,如有侵权,请联系管理员删除普及情报思维 传播情报文化长 按 关 注【投稿邮箱】[email protected] 本文始发于微信公众号(情报分析师):接触暗网会有怎样的后果?
阅读全文