漏洞

上传漏洞 Mirror王宇阳 2019年10月28日 Web网站通常存在文件上传（例如：图片、文档、zip压缩文件^等）只要存在上传功能，就有可能会有上传漏洞的危机。和SQL注入漏洞相比较而言，上传漏洞更加危险，因为该漏洞可以直接上传一个WebShell到服务器上。 解析漏洞 利用上传漏洞，通常需要结合Web容器（IIS、Nginx、Apache、Tomcat）的解析漏洞来让上传的漏洞得到实现 IIS解析漏洞 IIS5.x/IIS 6.0文件解析漏洞 目录名中含有 .asp 字符串的（目录下）均按照asp文件进行解析；例如： index.asp/ 目录中的所有文件都会asp解析 当出现 xx.asp 命名的文件名，访问目录下任意一个文件，均会送给asp.dll解析（执行asp脚本） 文件名中含有 .asp; 字符，即使时jpg格式文件，IIS也会按照asp对文件进行解析 当文件名 xx.asp;xx.jpg ，IIS6会将文件送给asp.dll解析（按照asp脚本解析）； 请求时：IIS从左往右检查 . 号，查询到 ; 或 / 号则(内存)截断；如此执行后，IIS认识的就是 xx.asp 默认解析： .asa .cer .cdx IIS6 同时默认解析前面三个文件后缀，都会给asp.dll解析 修复方案： 设置权限，限制用户创建、修改文件夹权限

提取固件的几种方法 1 从厂商网站下载 2 代理或镜像设备更新时的流量 通过MITM提取出下载URL，或许还需要设置UA 3 直接从设备转储固件 固件一般烧录在FlashROM上，通过以下几个方法获取 1 用编程器+烧录夹读取 2 用TTL小板连UART串口从bootloader中提取或者直接进shell 3 把FlashROM 切下来，再用编程器+烧录底座读取 4 Google搜索 固件中提取文件系统 1 binwalk binwalk -e binwalk -E 进行熵分析，判断是否有加密 文件系统分析方法 1 查看配置文件，Web 目录， 口令文件，查找后门等 find . -name "*.conf" 2 使用firmwalker 3 对二进制文件进行分析 动态分析 1 基于固件仿真的自动化脚本 Firmware Analysis Toolkit（Firmadyne的自动化脚本） Firmadyne 2 手工下载目标架构的debian镜像，chroot运行web服务器或其他需要测试的组件 3 有真机的情况 先root设备，再把gdb扔上去，在shell里面用gdb附加目标漏洞进程 4 qemu 路由器的构造 CPU FlashRom RAM 其他（网卡，天线，调试接口，各种元器件等） 挖洞主要关注FlashROM（可能需要真机提取固件） UART串口

　　转载： https://www.cnblogs.com/iAmSoScArEd/p/10477822.html 基本常见步骤： 一 、信息收集 　　要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 用社工库里看看有没有泄露密码，然后尝试用泄露的密码进行登录后台。 用邮箱做关键词,丢进搜索引擎。 利用搜索到的关联信息找出其他邮进而得到常用社交账号。 社工找出社交账号，里面或许会找出管理员设置密码的习惯 。 利用已有信息生成专用字典。 观察管理员常逛哪些非大众性网站，看看有什么东西 三、判断出网站的CMS 查找网上已曝光的程序漏洞并对其渗透 如果开源，还能下载相对应的源码进行代码审计。 搜索敏感文件、目录扫描 四、常见的网站服务器容器 。 　　IIS、Apache、nginx、web logic 、Tomcat 五、注入点及漏洞 手动测试查看有哪些漏洞 看其是否有注入点 使用工具及漏洞测试平台测试这个有哪些漏洞可利用 六、如何手工快速判断目标站是windows还是linux服务器? 　　inux大小写敏感,windows大小写不敏感。 七、如何突破上传检测? 宽字符注入 hex编码绕过 检测绕过 截断绕过 八、若查看到编辑器 　

Linux本地内核提权漏洞复现(CVE-2019-13272) 一、漏洞描述 当调用PTRACE_TRACEME时，ptrace_link函数将获得对父进程凭据的RCU引用，然后将该指针指向get_cred函数。但是，对象struct cred的生存周期规则不允许无条件地将RCU引用转换为稳定引用。 PTRACE_TRACEME获取父进程的凭证，使其能够像父进程一样执行父进程能够执行的各种操作。如果恶意低权限子进程使用PTRACE_TRACEME并且该子进程的父进程具有高权限，该子进程可获取其父进程的控制权并且使用其父进程的权限调用execve函数创建一个新的高权限进程。 注:该漏洞利用前提:需要目标服务器有桌面环境，所以很鸡肋的漏洞 二、漏洞影响版本 目前受影响的Linux内核版本： Linux Kernel < 5.1.17 三、漏洞环境搭建 靶机:kali 2018.2 1、 创建一个低权限账户 　　 2、切换到test用户, 查看系统内核版本是否小于5.1.17, 查看当前用户和当前用户的UID 　　 四、漏洞复现 1、切换到tmp目录下，下载漏洞利用脚本 　　 2、查看poc.c的权限，并设置执行权限 　　 3、编译poc.c 　　 4、执行exp,提权成功 　　 五、漏洞修复 补丁地址: https://git.kernel.org/pub/scm/linux

THINKPHP漏洞修复,官方于近日，对现有的thinkphp5.0到5.1所有版本进行了升级，以及补丁更新，这次更新主要是进行了一些漏洞修复，最严重的就是之前存在的SQL注入漏洞，以及远程代码执行查询系统的漏洞都进行了修复，官方本以为没有问题了，但是在实际的安全检测当中发现，还是存在问题，还是可以远程代码进行注入，插入非法字符，提交到服务器后端中去。 关于这次发现的oday漏洞，我们来看下是怎么样的，更新的程序文件路径是library文件夹下的think目录里的app.php，如下图： 漏洞产生的原因就在于这个控制器这里，整个thinkphp框架里的功能对控制器没有进行严格的安全过滤于检查，使攻击者可以伪造恶意参数进行强制插入，最根本的原因就是正则的表达式写的不好，导致可以绕过。 在controller获取控制器后，直接进行赋值，但是并没有对控制器的名进行严格的检测，导致可以使用斜杠等特殊符号来远程代码注入。 我们来搭建一下网站的环境，apache+mysql+Linux centos系统，搭建好的测试环境地址是http://127.0.01/anquan ，我们可以直接在index.php后面伪造攻击参数，示例如下： 1 http: //127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function

文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，部分文件上传漏洞的利用技术门槛非常的低，对于攻击者来说很容易实施。 大部分的网站和应用系统都有上传功能，如用户头像上传，图片上传，文档上传等。一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问的目录上传任意PHP/JSP/ASPX/ASP文件，并能够将这些文件传递给PHP/JSP/ASPX/ASP解释器，就可以在远程服务器上执行任意PHP/JSP/ASPX/ASP脚本。 文件上传漏洞本身就是一个危害巨大的漏洞，WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下WebShell以方便后续进入系统。攻击者在受影响系统放置或者插入WebShell后，可通过该WebShell更轻松，更隐蔽的在服务中为所欲为。 文件上传漏洞的类型： 1. js绕过 （1）打开界面，上传一句话木马 （2）上传失败，发现js验证 （3）禁用浏览器js功能或中间人攻击进行绕过 （4）再次上传，连接菜刀，拿到web shell. 注：禁用火狐浏器的js功能，在地址栏输入JavaScript：enable双击关闭、中间人绕过用bupsuite抓包，修改数据。 2.

漏洞及渗透练习平台 WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.com/710leo/ZVulDrill vulapps漏洞练习平台： https://github.com/Medicean/VulApps dvwa漏洞练习平台： https://github.com/RandomStorm/DVWA 数据库注入练习平台 ： https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台，like OWASP Node Goat： https://github.com/cr0hn/vulnerable-node Ruby编写的一款工具，生成含漏洞的虚拟机： https://github.com/cliffe/secgen 花式扫描器 Nmap端口扫描器： https://github.com/nmap/nmap 本地网络扫描器： https://github.com/SkyLined/LocalNetworkScanner 子域名扫描器： https://github.com/lijiejie

前言 本小节我们就来总结一下在PHP代码审计中常用到的代码审计思路 敏感函数回溯参数过程 根据敏感函数的来逆向追踪参数的传递过程，是目前使用的最多的一种方式，因为大多数漏洞是由于函数的使用不当造成的。另外非函数使用不当的漏洞，如sql注入，也有一些特征，比如select、insert等，再结合from和where等关键字，我们就可以判读是否是一条SQL语句，通过对字符串的识别分析，就能判读这个sql语句里面的参数有没有使用单引号过滤，或者根据我们的经验来判断。 就像是HTTP头里面的HTTP_CLIENT_IP和HTTP_X_FORWARDFOR等获取到的IP地址经常没有安全过滤就直接拼接到了SQL语句中，并且由于它们是在$_SERVERE变量中不受GPC的影响，那我们就可以去查找HTTP_CLIENT_IP和HTTP_X_FORWARDFOR关键字来快速寻找漏洞。 这种方式的 优点 是只需要搜索相关敏感关键字，即可以快速第挖掘想要的漏洞，具有可定向挖掘和高效、高质量的优点。 缺点 是由于没有通读代码对程序的整体框架了解不够深入，在挖掘漏洞时定位利用点会花费一点时间，另外对逻辑漏洞挖掘覆盖不到。 通读全文代码 前面提到的根据敏感关键字来回溯传入的参数，是一种逆向追踪的思路，我们也提到了这种方式的优点与缺点，实际上在需要快速寻找漏洞的情况下用回溯参数的方式是非常有效的

笔者《Qftm》原文发布： https://www.freebuf.com/vuls/216512.html *严正声明：本文仅限于技术讨论与分享，严禁用于非法途径 0×00 背景 10月9号国内几家安全媒体公布了Joomla RCE的漏洞预警，并且网上已公布漏洞利用 EXP ，影响版本包括Joomla 3.0.0 – 3.4.6。 0×01 环境搭建 Joomla是一套全球知名的内容管理系统。Joomla是使用PHP语言加上MySQL数据库所开发的软件系统，目前最新版本是3.9.11 。可以在Linux、Windows、MacOSX等各种不同的平台上执行。 Joomla环境搭建下载： https://github.com/joomla/joomla-cms/releases/tag/3.4.6 PS：搭建环境要求php 5.3.10以上 0×02 漏洞分析 Session会话机制 PHP本身对Session的存储默认放在文件中，当有会话产生使用到Session时候，将会在网站服务端设置好的路径写入相应的Session文件，文件的内容为默认序列化处理器序列化后的数据。然而在Joomla中则改变了PHP的默认处理规则，相反将序列化之后的数据存放在数据库的” hzlnp_session”表中存储： 将序列化之后的数据存放在数据库中所对应的处理函数为由session_set_save

/禁止转载 原作者QQ:848581720/ ■重要细节全部打码 ■部分细节对外开放 ●漏洞已提交，无影响厂商忽略 注：日常挖洞系列基本上是记录平常遇到的非常普通的漏洞，毫无看点，仅仅记录挖洞的经验 ———————————————— 这某个晴朗的下午，我无意间在网上看到一个网站“某个社会组织信息网”附个图 按照习惯，我们点击一篇文章进去，看域名http://www.xxxxx.com/xh.php?mod=news&act=view&aid=71 这个时候我们先用手工注入方法进行测试，后面加入！@#￥%……&*|“”这些符号， 或者输入and 1=1 或者 and 1=2，会看到网页报错 这个时候我们要考虑几个因素，如果网页没有显示什么“黑客特征” 那么可以排除服务器没装360等安全工具 其次我们看“报错特征”，因为注入有很多种，文中注入，数字注入，搜索双注入，这个时候我们排除搜索双注入 接下来不浪费时间直接上工具，注入工具我选择萝卜头（havij） 这样网站的管理密码就出来了，后台直接输入/admin.php就出来了，所以不需要用其他手段 这事还没完，哈哈哈哈，请耐心看下去，后面有大招 按道理我们应该先收集信息，在渗透入侵，这次我们反过来，先入侵在收集信息 解析来我们系统的看一下这个网站有哪些漏洞可以利用 那么我们可以看到，在w3af中检测是没有漏洞的，在Acunetix Web