SpEL表达式注入漏洞分析(以CNVD-2016-04742为例)
SpEL类似于JSP中的EL表达式,但是功能要更加丰富。并且SpEL不仅可以用于Web页面之中,也可以用于任何导入了SpEL包的项目之中。由于还没有了解过相关漏洞,借此机会学习了解一下SpEL表达式注入漏洞。
Category
信息安全
SpringBeansRCE的延申学习(CVE-2010-1622漏洞分析)
由于spring的参数绑定通过内省机制递归获得对应参数的discriptor,最终通过其writeMethod也就是set方法对其赋值,那么我们可以看通过class类可以到达什么对象,通过对其中的属性进行修改,可以达到什么样的利用效果。由于springRCE的漏洞是对CVE-2010-1622的绕过,我们要先了解...
由spring-beans-RCE漏洞引起的对springMVC参数绑定的深入学习
从利用的角度来说,就是 通过spring的参数绑定来修改日志配置,通过日志来写文件 。跟phpmyadmin拿shell挺像的。抛开利用不说,这里我们来看一下漏洞的成因。
CrossC2
在CS菜单中的CrossC2->Create CrossC2 Listener->Create Reverse http listener中生成命令,修改下粘贴到teamserver的主机上执行,生成C2
CobaltStrike学习笔记
也就是说,只要egress Beacon可以出网,p2p Beacon可以通过egress Beacon和teamserver通信
靶机-Kioptrix2014
点击后发现是使用php画图的工具,下面是代码,上面是图。此时想找找有没有可以执行代码的类似example的地方。
靶机-KioptrixLevel1.3(#4)
搜索了一下,发现是.htaccess配置文件中的内容不符合规则时,服务器响应头的Allow字段会泄露部分内存的信息。
靶场学习笔记之UploadLabs
其间WindowsDefender报毒file: C:\Windows\php7CC0.tmp,经过搜索发现这个是php上传文件的缓存。加入wd的排除项就可以了。
SQL注入(三)Bypass技巧
内联注释: /*!50001*/表示数据库版本>=5.00.01时中间的语句才能被执行
SQL注入(二)SQL注入进阶-报错注入、盲注
select xxx into outfile ‘文件路径’,放在web服务器下,可以通过web访问。
SQL注入(一)SQL注入的利用思路
可以插入账号密码数据条目 '; insert xxxxxx , ';update users set user='aaa' where user='bbb'
后渗透阶段-跳板、POST模块
run post/multi/recon/local_exploit_suggester检查可用的本地提权漏洞模块
后渗透阶段-嗅探、痕迹消除
use post/windows/gather/hashdump #system权限的meterpreter,如果是弱密码,则会直接显示密码明文
ShellCode编写
有些漏洞,不支持或者不能实现精确定位shellcode。且堆分配地址随机性比较大。
MSF-exploit、payload、meterpreter、msfcli
用meterpreter的payload获取到目标shel后,sessions -i 进入meterpreter的命令界面。help查看帮助。
MSF-基本命令
Exploits:利用系统漏洞进行攻击的动作,此模块对应每一个具体漏洞的攻击方法。
拒绝服务-放大攻击
放大反射dos攻击由CVE-2013-5211所致。且这漏洞是与molist功能有关。Ntpd4.2.7p26之前的版本都会去响应NTP中的mode7“monlist”请求。ntpd-4.2.7p26版本后,“monlist”特性已经被禁止,取而代之的是“mrulist”特性,使用mode6控制报文,并且实现了握...
拒绝服务
用scapy直接发SYN,本机操作系统会自动回复RST给被攻击方发来的SYN/ACK
流量操控技术-ptunnle、proxytunnle
http的X-Forwarded-For字段,如果不做清除会暴露服务器真实ip地址
流量操控技术-DNS协议隧道
Win2003:安装DNS服务器;配置转发器;创建区域lab.com;指派二级域test.lab.com;NS记录指向Kali
Web渗透-SSL/TLS拒绝服务、Ajax、WebService
使用OAuth或HMAC身份验证,HMAC身份认证使用C/S共享的密钥加密API KEY
手动漏洞挖掘-命令执行、目录遍历、文件包含、文件上传
Directory traversal(可以读取web目录外的其它目录文件)/File include(操作系统其它位置文件被include到web目录)
Web扫描工具-Arachni
安装后,输入用户名密码登录提示错误,google发现很多人有同样错误,暂时无解。
Web扫描工具-w3af
最后安装webkit还有问题,libpango1.0-0 python-gek2 not installed 用下面的方法解决
无线渗透实操--Aircrack-ng:WEP
airodump-ng wlan0mon 开启hook模式,会显示附近的AP和STA及相关信息
PE文件与加壳
加壳后,PE的节信息就会变得非常古怪,在Crack和反病毒分析中需要经常处理这类古怪的PE文件。
敏感信息收集与隐藏痕迹
Ubuntu网络更新源已经不可用,可以先mount安装光盘 ,此时/etc/apt/sources.list会自动添加光盘为更新源,此时再安装软件包,如果光盘中有就可以成功安装。
提权-利用配置不当提权
或者写一个把当前用户添加到管理员组的Cpp,编译成exe,替换某个程序。当管理员运行该程序时,提权成功。
提权-本地提权及几个工具(PwDump、WCE、mimikatz)
从内存中(wdigest)读取密码信息(参考 Windows身份认证及工作组/域 ),而不是从SAM数据库,可以避免一些操作系统的限制。
缓冲区溢出
用ESP地址替换EIP的值,但是ESP地址变化,不可硬编码。SLMail线程应用程序,操作系统为每个线程分配一段地址范围,每个线程地址范围不确定
SLMail缓冲区溢出实践
mona.py需要放在ImmunityDebugger的安装目录的DebuggerPyCommands文件夹
主动信息收集-OS识别、SNMP、SMB、SMTP扫描
onesixtyone 1.1.1.1 public (主要用于目标是不是使用public等若community)
主动信息收集--主机发现
traceroute(发的UDP,IP段的TTL=0后会返回ICMP),每一跳是路由器的内侧网口