Chybeta

Security Weekly

Security Weekly

2018/12/31-2019/01/06

漏洞

1. phpmywind5.5代码审计

文章:https://xz.aliyun.com/t/3730

2. 74cms v4.2.1-v4.2.129-后台getshell漏洞

文章:https://xz.aliyun.com/t/3736

3. niushopCMS 前台Getshell

文章:https://xz.aliyun.com/t/3767

4. feifeicms 4.0 几处任意文件删除

文章:https://xz.aliyun.com/t/3729

5. Windows 0day任意文件读取漏洞POC分析

文章:https://www.freebuf.com/vuls/192876.html

技巧

1. OSINT Resources for 2019

文章:https://xz.aliyun.com/t/3742

2. 利用EXCEL进行XXE攻击

文章:https://xz.aliyun.com/t/3741

3. 使用Burp Suite 宏自动化处理 Session 会话

文章:https://xz.aliyun.com/t/3751

4. SpEL injection

文章:https://cryin.github.io/blog/SpEL%20injection/

5. 子域名接管:二阶漏洞利用

文章:http://www.4hou.com/web/15504.html

Bug Bounty

1. 在Philips.com中反射型xss

文章:https://xz.aliyun.com/t/3739

3. 用跨站搜索(XS-Search)在谷歌问题跟踪平台实现敏感信息获取

文章:https://www.freebuf.com/articles/web/191336.html

4. F12给了我黑色的眼睛我却用它来挖洞

文章:https://www.freebuf.com/vuls/193146.html

5. Reflected XSS on ws-na.amazon-adsystem.com(Amazon)

文章:https://medium.com/@newp_th/reflected-xss-on-ws-na-amazon-adsystem-com-amazon-f1e55f1d24cf

6. gem任意写入文件

地址:https://hackerone.com/reports/270072

2018/12/23 - 2018/12/30

漏洞

1. gogs/gitea RCE CVE-2018-20303

文章:https://xz.aliyun.com/t/3725

基本原理跨目录上传伪造的管理员session文件,覆盖当前的session文件,导致权限提升。最初的issue地址在 https://github.com/go-gitea/gitea/issues/5569 ,在初步修复后被发现绕过方法见 https://github.com/gogs/gogs/commit/8c8c37a66b4cef6fc8a995ab1b4fd6e530c49c51

类似相关漏洞:GOGS/Gitea任意代码执行(CVE-2018-18925/6)及利用流程

2. 74cms 前台注入

文章:https://xz.aliyun.com/t/3714

payload:

1
http://74cms.test/index.php?m=&c=jobs&a=jobs_list&lat=23.176465&range=20&lng=113.35038* PI() / 180 - map_x PI() / 180) / 2),2))) 1000) AS map_range FROM qs_jobs_search j WHERE (extractvalue (1,concat(0x7e,(SELECT USER()), 0x7e))) -- a

3. empirecms 后台getshell

文章:https://xz.aliyun.com/t/3667

两处后台getshell,都是文件包含。第一处在导入系统模型处,第二处在自定义页面。

4. LearnX控件的漏洞挖掘过程

文章:https://xz.aliyun.com/t/3708

利用了COMRaider工具fuzz。

5. Elasticsearch 核心插件Kibana 本地文件包含漏洞

文章:https://www.anquanke.com/post/id/168291

payload:

1
/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../etc/passwd

感觉鸡肋。需要登陆,包含/etc/passwd的话只会导致服务器错误,并不能读取内容。此外有文章说能RCE,但前提是要有上传js文件的点,然后再去包含这个js文件。

技巧

1. 利用Web应用中隐藏的文件夹和文件获取敏感信息

文章:https://xz.aliyun.com/t/3677

简单总结:

  • 源代码版本控制系统
    • git
    • .gitignore
    • svn
  • IDE (集成开发环境)配置文件
    • jetbrain全家桶
    • netbeans
  • 特定于项目和/或技术的配置和设置文件
    • nodejs项目的各种配置文件
    • GitLab CI/CD .gitlab-ci.yml
    • Ruby on Rails database.yml
    • macOS .DS_Store

当然文章只总结了这么多,实际还有一大堆可能泄露的文件,按下不提。

2. 如何绕过代码过滤和WAF规则远程执行PHP代码

文章:https://www.secjuice.com/php-rce-bypass-filters-sanitization-waf

简单小记:

  • system(“cat /etc$u/passwd”)
  • 利用php字符串转换:
    • 八进制\[0–7]{1,3}
    • 十六进制\x[0-9A-Fa-f]{1,2}
    • unicode \u{[0-9A-Fa-f]+}
  • php中的 $var(args);"string"(args);
    • system(“ls”) -> “system”(“ls”) -> “\x73\x79\x73\x74\x65\x6d”(“ls”)
  • 利用(): “system”(“ls”) -> (system)(ls);
  • 字符串拼接:(sy.(st).em)(ls)
  • 注释:sys./test/.tem(ls)
  • 利用函数定义列表数组:get_defined_functions
    • 第一步获取system的索引:get_defined_functions()[internal] | grep ‘system’
    • 第二步调用:get_defined_functions()[internal]1000
  • 字符数组,拼凑。

Bug Bounty

1. 利用条件竞争获取money

案例:https://hackerone.com/reports/429026

Burp截取请求,右键Copy as curl command。然后 (request) & (request) & (request) 。。。

2. 基于setuid为root的程序的提权漏洞

地址:https://hackerone.com/reports/426944

keybase-redirector的setuid为root权限。它通过相对路径来调用fusermount程序,同时对环境变量$PATH没做足够的验证。因此可以自己编写一个fusermount.c并编译出可执行文件fusermount,在环境变量中添加当前所在目录,利用keybase-redirector来执行伪造的fusermount

1
env PATH=.:$PATH /usr/bin/keybase-redirector /keybase

3. HOST头伪造

案例:重置密码邮件连接 https://lightningsecurity.io/blog/host-header-injection/

一些网站提供了动态子域名,比如 a.com ,你可以申请到 xxx.a.com。在重置密码时,网站 a.com 为了确认是哪个用户发起的请求,直接采用了客户端提供的HOST头部。通过伪造HOST头部,比如 Host: b.com ,服务器将组装重置密码链接:http://b.com?reset_token=12345 ,并发往用户邮箱。当用户点击时,b.com即可获取到reset_token

4. 缓存投毒导致DDOS

案例:https://hackerone.com/reports/409370
相关知识:https://xz.aliyun.com/t/2585 https://xz.aliyun.com/t/2877

添加头部X-Forwarded-Port: 123或者X-Forwarded-Host: www.hackerone.com:123 利用缓存使用户被重定向从而DDOS

5. wordpress xmlrpc.php文件导致DDOS或爆破

案例: https://hackerone.com/reports/448524

当发现xmlrpc.php时可以发送以下请求包来列举方法

1
2
3
4
5
6
POST /wp/xmlrpc.php HTTP/1.1
<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

如果获取到响应类似如下,说明xmlrpc启用:

1
2
3
4
5
6
7
8
9
10
11
12
<?xml version="1.0" encoding="UTF-8"?>
<methodResponse>
<params>
<param>
<value>
<array><data>
<value><string>pingback.ping</string></value>
</data></array>
</value>
</param>
</params>
</methodResponse>

其中利用如pingback.pingtrackbacks可造成DDOS

6. 利用ASP.NET的LFI漏洞读取ASP Secrets

文章:http://docs.ioin.in/writeup/www.anquanke.com/_post_id_168302/index.html

  1. 服务端有一定的过滤,利用fuzz来进行测试绕过。

    1
    GET /utility/download.aspx?f=.[fuzz]./utility/download.aspx
  2. 通过读取 .ashx文件或dll文件来获取处理程序的真实源代码。

  3. 重要的配置文件:web.config
点击赞赏二维码,您的支持将鼓励我继续创作!
chybeta WeChat Pay

微信打赏

chybeta Alipay

支付宝打赏

本文标题:Security Weekly

文章作者:chybeta

发布时间:2099年01月06日 - 08:01

最后更新:2019年01月06日 - 08:01

原始链接:http://chybeta.github.io/2099/01/06/Security-Weekly/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。