tp5远程代码执行漏洞分析 漏洞分析 前言 最近人比较懒,公众号没怎么更新了,代码也不怎么审计了,我大概成了一个废柴了。 出来了这个新的漏洞了,想着可以跟着大神们的脚步来分析一下,回顾一下代码审计的相关的套路。 此洞的利用链很完美。 从开始分析一下。 有更好的意见和建议的话,可以讨论一下。 漏洞利用条件 dubug开启 访问:/public/index.php? s=asasa _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al 漏洞分析 从tp5的入口文件开始分析 后记 以上就是漏洞利用的第一个阶段,构造了漏洞,还有一个重要的问题就是回显的问题,其实现在已经能成功执行代码了,回显的问题明天再说。
作者:selph前言窥探Ring0漏洞世界:空指针解引用漏洞,这是一个比较简单好理解的漏洞首先,什么是解引用? 漏洞分析本次实验内容是NullPointerDereference,IRP分发函数通过跳转表进行跳转,使用的控制码是:0x22202b,该示例调用:NullPointerDereferenceIoctlHandler ->TriggerNullPointerDereference,漏洞分析函数一开始先申请了8字节非分页内存,标签是kcaH然后接下来,从用户传入的指针里取值,判断取出的值是否为一个固定的数字0BAD0B0B0h system("pause"); system("cmd.exe"); return 0;}效果截图参考资料•[1] Windows Kernel Exploitation Tutorial Part 5: 01/kernel-null-pointer-dereference/•[2] 解引用_百度百科 (baidu.com) https://baike.baidu.com/item/%E8%A7%A3%E5%
知道创宇404实验室漏洞情报团队第一时间开始漏洞应急,复现了该漏洞,并进行深入分析。 经过一系列测试和源码分析,最终确定漏洞影响版本为: ThinkPHP 5.0.5-5.0.22 ThinkPHP 5.1.0-5.1.30 在漏洞曝光后的第一时间,知道创宇404实验室积极防御团队积极排查知道创宇云安全的相关日志 0x01 漏洞分析 1.1 漏洞成因 该漏洞出现的原因在于ThinkPHP5框架底层对控制器名过滤不严,从而让攻击者可以通过url调用到ThinkPHP框架内部的敏感函数,进而导致getshell漏洞, 本文以ThinkPHP5.0.22为例进行分析。 : 2.1 0day在野 在官方发布更新前,在知道创宇云安全的日志中共检测到62次漏洞利用请求,以下是对部分攻击事件的分析。
刚才先知分享了一个漏洞,文中说到这是一个信息泄露漏洞,但经过我的分析,除了泄露信息以外,这里其实是一个(鸡肋)SQL注入漏洞,似乎是一个不允许子查询的SQL注入点。 漏洞上下文如下: <? 文中已有分析,我就不多说了,但说一下为什么这是一个SQL注入漏洞。IN操作代码如下: <?php ... $bindName = $bindName ? ', '-'], '_', $field); if (preg_match('/\W/', $bindName)) { // 处理带非单词字符的字段名 $bindName = md5($ 我们看看ThinkPHP5的默认配置: ... // PDO连接参数 protected $params = [ PDO::ATTR_CASE => PDO::CASE_NATURAL 所以,终上所述,我构造如下POC,即可利用报错注入,获取user()信息: http://localhost/thinkphp5/public/index.php?
本文是域提权漏洞系列分析中的Zerologon漏洞分析部分-其他部分还有几年的域提权漏洞和域提权手法 2020年08月11日,Windows官方发布了 NetLogon 特权提升漏洞的风险通告,该漏洞编号为 authdomain:rd.com /authpassword:"" /domain:rd.com /authntlm /user:krbtgt 图6- 使用Mimikatz进行Dcsync 方法二:利用socks5隧道在域外主机上进行攻击 第二种方法是在不接触对方系统情况下,利用socks5隧道使用zerologon进行置零攻击,在这个攻击中我们使用Kali Linux进行攻击利用。 5.服务端也利用Session_key和ClientChallenge函数去计算一个ClientCredential 6.服务端对比客户端发送过来的ClientCredential,一致表示通过认证 同时在认证的整个协议包里面 图6- Event ID 4742 图6- Event ID 5805 通过网络流量进行检测 根据上面的漏洞分析,攻击者需要使用8字节全0 Client Challenge不断尝试得到一个正确的8字节全
Gnuboard stored xss 之前记录的一个漏洞,漏洞触发点比较有趣,而且威胁也大,所以就发到博客。 首先看一下 index.php代码 <div style="float:left;<? > </div> 用latest过滤之后echo输出,如果是以前,就会跳过这个<em>漏洞</em>点,但是因为缺钱,所以跟了一下代码。 跟一下lib/latest.lib.php文件 if(G<em>5</em>_USE_CACHE) { $cache_file = G<em>5</em>_DATA_PATH." G5_SKIN_URL的值在 common.php文件的g5_path()的函数中会包含 host头的值,导致xss漏洞。 ,想起之前朋友挖过的gnuboard的漏洞,然后现在看了一下,虽然有补丁但是还是存在漏洞。
“ 之前进行了服务扫描,对于hasee得到的结果主要就是80端口的http服务,似乎攻击面被局限在了web渗透上,这样就太不全面了,接下来的几篇文章我会针对常见的服务进行深入分析攻击手段” -- ---- StringBleed CVE-2017-5135 这个CVE漏洞利用异常的简单,漏洞产生的原因就是个别产品身份验证有问题,无论我们提交什么CommunityString ,都会身份认证成功 ,对于这个漏洞的修补可以说是十分的糟糕,我刚刚还在shodan按照漏洞说明的产品们选择了几个进行测试,都成功了,而且其中大部分还具有写的权限。 目前受影响厂商和相关设备(78种型号设备) 漏洞说明 http://www.cnvd.org.cn/webinfo/show/4122 5352 —>Zoom Telephonics, Inc BCW700J 结合刚刚介绍的漏洞,一个完美的DDoS方案就出来了,大家应该都懂吧! 或许哪天无聊我可能会写一个这样的脚本。
5、上传ASP木马,获得WebShell。接下来将ASP木马的扩展名修改为asa,就可以简单上传你的ASP木马了。不要问我怎么上传啊,看到 “预览” 了吗? 漏洞原理 漏洞的利用原理很简单,请看Upload.asp文件: 任何情况下都不允许上传asp脚本文件 sAllowExt = Replace(UCase(sAllowExt), 高级应用 eWebEditor的漏洞利用还有一些技巧: 1、使用默认用户名和密码无法登录。 请试试直接下载db目录下的ewebeditor.mdb文件,用户名和密码在eWebEditor_System表中,经过了md5加密,如果无法下载或者无法激活成功教程,那就当自己的运气不好了。
Gnuboard stored xss 之前记录的一个漏洞,漏洞触发点比较有趣,而且威胁也大,所以就发到博客。 首先看一下 index.php代码 <div style="float:left;<? ></div> 用latest过滤之后echo输出,如果是以前,就会跳过这个<em>漏洞</em>点,但是因为缺钱,所以跟了一下代码。 跟一下lib/latest.lib.php文件 if(G<em>5</em>_USE_CACHE) { $cache_file = G<em>5</em>_DATA_PATH." G5_SKIN_URL的值在 common.php文件的g5_path()的函数中会包含 host头的值,导致xss漏洞。 ,想起之前朋友挖过的gnuboard的漏洞,然后现在看了一下,虽然有补丁但是还是存在漏洞。
漏洞简介 泄漏的凭据是向Microsoft Exchange服务器进行身份验证的Windows域凭据。此问题由微软的Autodiscover协议引发。 Autodiscover协议旨在简化Exchange客户端(如Microsoft Outlook)配置,使用户能够仅通过用户名和密码来配置客户端,而用户配置的登录到Exchange的凭证基本上都是域凭证,导致此类漏洞影响巨大 2017年,Shape Security的研究人员发表了一篇关于手机电子邮件客户端此类漏洞的文章(CVE-2016-9940,CVE-2017-2414)。 “back-off”机制正是这次造成漏洞的罪魁祸首,失败后下一次构建的URL将是:http://Autodiscover.com/Autodiscover/Autodiscover.xml,因此拥有Autodiscover.com 漏洞复现 研究人员购买了以下域名: Autodiscover.com.br–巴西 Autodiscover.com.cn–中国 Autodiscover.com.co–哥伦比亚 Autodiscover.es
//最后设置回新地址,并打log Upgraded(address) _upgradeTo(newImplementation); } } Openzepplin的实现漏洞分析 function hack() public { bytes32 _ROLLBACK_SLOT = 0x4910fdfa16fed3260ed0e7147f7cc6da11a60208b5b9406d12a635614ffd9143
sqli-labs是一款学习SQL注入的开源学习平台,共有75种不同类型的注入,这里我也准备好了资源,这里挂在博客里(链接要是挂了跟我说,随时补上)
return '现在的方法是POST' if __name__ == '__main__': app.debug = True app.run('127.0.0.1','8080') 仔细分析上面的代码 ,从而照成漏洞的产生,flask漏洞也被称为'SSTI',既然flask是基于python开发的一种web服务器,那么也就意味着如果用户可以和flask进行交互的话,就可以执行python的代码,比如eval ,system,file等等等等之类的函数,本文将以jinjia2的模板引擎render_template_string作为漏洞代码进行漏洞演示~ 漏洞演示 下面是演示一个看起来没啥问题的代码 png] 成功执行了我们的弹窗代码,如果把这段代码放在第一个代码中,就不会出现这种问题,因为已经被转义了,所以不会执行 插入弹窗代码的危害还不是最大的,最大的是可以照成信息泄露,任意文件读取,RCE等漏洞 cmd={{config}} [13.png] 有回显,说明存在SSTI漏洞,既然确定了有这个漏洞,那就直接根据上面给出的payload打一波命令执行或者文件读取即可,具体的可以看上面的payload
什么是SSRF漏洞 SSRF(服务器端请求伪造)是一种由攻击者构造请求,服务器端发起请求的安全漏洞,所以,一般情况下,SSRF攻击的目标是外网无法访问的内部系统。 SSRF漏洞形成原理。 利用file协议读取本地文件等等 参考文献:《Web安全攻防》 SSRF漏洞代码分析 <?
它的任务在 5 个星期后由成功发射的水手二号完成。这次失败的原因是一个程序员将某个公式转换成了计算机代码转错了,漏了一个下标。这个下标原本是半径 R 的第 N 次平滑时间导数值。 软件漏洞分析技术主要分为:软件架构安全分析技术、源代码漏洞分析技术、二进制漏洞分析技术和运行系统漏洞分析技术四大类。图2.1说明各技术之间的关系。 图2.3 软件架构安全分析技术分类 2.2 源代码漏洞分析 源代码漏洞分析主要是对高级语言编写的程序进行分析以发现漏洞。 图2.4 源代码漏洞分析原理 2.3 二进制漏洞分析技术 尽管源代码漏洞分析技术具有分析范围广,能够发现一些发现动态分析难以发现的软件漏洞等特点,但是实际应用中很多应用软件都是以二进制代码的形式(如库文件 load_file(‘/etc/pwd’) 读取系统文件 demo’ union select user,password from mysql.user 返回数据库用户的密码信息,其中密码一般以MD5的方式存储
最近爆出来个CVE-2016-1003,国内人分析了两天发现ying 是国外十几年前发现的漏洞,分析了两天发现影响覆盖越来越严重,现在最新的patch也被绕过了,又爆了新的cve… 朋友的博客 CVE- http://blog.knownsec.com/2016/12/roundcube-1-2-2-远程命令执行漏洞-漏洞分析/ 其实问题主要是在mail函数的第五个参数过滤不严明,导致了命令执行。 /how-to-analyze-long-regex.html 还有好用的正则表达式分析引擎 https://regex101.com 新的cve提交的是这个payload \"attacker\\' https://github.com/PHPMailer/PHPMailer/pull/930 主要问题escapeshellarg和escapeshellcmd一起处理会出现新的问题,具体可以看我朋友的博客分析 http://0x48.pw/2016/12/28/0x29/#phpmailer_5-2-19_RCE 虽然这个模块在多个cms都有用到,但是在已知的部分cms中,这部分都做了部分处理或者是印象范围较小
视频内容 Nuxeo RCE漏洞分析 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 如有需要查看超清1080P版视频,可以选用以下2种方式进行查看。
0x02 win7 EXP 池喷射简要分析 首先被释放的MS_T120池大小包括是0x170,池的标志是TSic ? 分析Win7 exp 可以知道数据占位是用的rdpsnd信道,作者没有采用rdpdr信道,应该也和喷射的稳定性有关,rdpsnd喷射是再建立完了rdpdr初始化后开始的,在free掉MS_T120结构体前 bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/ [2] https://wooyun.js.org/drops/%E7%BE%8A%E5% B9%B4%E5%86%85%E6%A0%B8%E5%A0%86%E9%A3%8E%E6%B0%B4%EF%BC%9A%20%E2%80%9CBig%20Kids%E2%80%99%20Pool%E2% 80%9D%E4%B8%AD%E7%9A%84%E5%A0%86%E5%96%B7%E6%8A%80%E6%9C%AF.html
分析DAO的漏洞 我敢肯定每个人都听说过有关DAO被一个黑客利用递归以太坊发送漏洞截获1.5亿美元的重大新闻。 (DAO.sol, splitDAO) 回到(5)! 让DAO更新你的余额。因为它从来不会从(7)回到(5) :-)。 (注意: 以太坊的gas 技术并不能在这里拯救我们. 该提案是由帐户0xb656b2a9c3b2416437a811e07466ca712f5a5b5a创建和发起的(你可以在区链历史记录中看到对createProposal的调用)。 我不会花太多时间在这种区块链分析上, 因为他已经做得很好。我非常鼓励任何对此有兴趣的人可以从那篇文章开始看起。 在本系列的下一篇文章中, 我们将看看恶意合约本身的代码(包含实际发起递归攻击的漏洞)。 如果你有可能与此处描述的主题相关区块链数据或分析, 或者合同源代码或二进制分析, 请通过邮件发送给phil@linux.com分享。
0x01: 漏洞挖掘一般方法 1. 手动法漏洞挖掘 手动法挖掘,就是不使用自动挖掘工具,手动分析软件可能出问题的地方。其中挖掘点是靠手动来寻找的,畸形数据也是手动来构造的。 静态扫描: 这种漏洞挖掘方法的思路就是扫描目标程序的二进制文件,通过PE文件分析,指令分析等来发现目标程序中存在的潜在漏洞代码。 所以还需要加以指令分析的方法,但是指令分析的实现难度和成本都比较高,因为要考虑到所有的漏洞模式,这也导致了另一个缺点检测速度非常慢。 3. d.通过逆向分析这些异常样本,查看是否是漏洞同时确定危害级别。 通用FUZZ优点: 上手容易,不需要了解文件格式即可对目标进行漏洞挖掘。全自动化,效率很高。 5. 分析崩溃信息:异常已经成功触发,下面我们用调试器来详细分析一下异常的原理。用X64Dbg载入sdemo播放器S-Player.exe,然后打开我们构造的畸形文件。查看调试器的信息。