报告编号:B6-2021-010801
报告来源:360CERT
报告作者:360CERT
更新日期:2021-01-08
0x01漏洞简述
2021年01月08日,360CERT监测发现致远OA发布了致远OA的风险通告,漏洞等级:严重,漏洞评分:9.8。
致远OA旧版本某些接口存在未授权访问,攻击者能够上传恶意脚本文件,从而控制服务器。
对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。
背景概述
近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:
经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。
继上一篇总结:
CTF web题型总结-第五课 CTF WEB实战练习(二)
以下也是我在bugku练习的解题过程。
以下内容大多是我在Bugku自己操作练习,有部分来源于网
目前来看,密码认证方式早已成为我们一直采用的最直接的身份认证方式。但是我们应该知道的是很多大型企业都有曾出现过明文密码泄漏的事件,而且随着黑产的不断成长,钓鱼,撞库等等一系列的欺骗攻击行为都在不断涌现。由于很大一部分用户习惯于同一密码用于多个网站,这就导致了一次密码泄漏会牵连多个网站,用户密码认证的体系一直都在面临着很大的挑战。
出题的难易程度适中,比较青少年年龄段的CTF选手解题,但是也有些题存在不少脑洞。最后的话我们队(我,烨师傅,lxy师傅)是取得了线上选拔赛的第一名,种种原因没有去到线下赛。这次writeup是自己做题写的,想看其他题型的完整版可以去百度搜搜。这个writeup是之前写给学校刚入门的学弟学妹看的,所以会显得比较啰嗦和表达不流畅啥的,希望大师傅们别介意。
这次西电决赛总体来说题目难度不大,但是web题的难度很大,下半场两题web都是0解,其他题型都有很多师傅解出来,本次我一web选手竟然也做出了Re和密码学,然后在最后几分钟被oi题的选手秒了差一名拿奖,Web题今年是真的坑。
Web
1、hugme
这题由于时间太紧加上技术不到位没有解决出来,做出来应该就二等奖了噗。
漏洞介绍:
zabbix是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。
漏洞环境:
在vulhub执行如下命令,启动zabbix 3.0.3
docker-compose up -d
执行命令后,将启动数据库(mysql)、zabbix server、zabbix agent、zabbix web。如果内存稍小,可能会存在某个容器挂掉的情况,我们可以通过docker-compose ps查看容器状态,并通过docker-compose start来重新启动容器。
web辅助
扫描得到网站备份文件,查看源代码发现是反序列化题目
分析
Class.php
<?phpclass player{ protected $user; protected $p
研究人员发现一起将同形字攻击用于钓鱼攻击活动和Magecart攻击的案例。
同形字攻击的思想非常简单,就是使用看起来相似的字符来替换原来的字符。有时候,不同语言设置的字方或简单的大写i和小写的L也非常相似。攻击者在多个域名上使用该技术来加载Inter skimming套件而不是favicon文件。
攻击活动发现
研究人员通过以下方式来收集网络上的web威胁信息:爬取在线网站信息来找出信息,或使用VirusTotal这样的工具来找出信息。
在上传到VirusTotal的文件中触发检测Inter skimming套件的YARA规则如下所示。
原定六月前学完的内容要延后了,先顾工作,后顾学习~
继上一篇总结:CTF web 题型理论基础篇-第二课 理论基础
之后会有关于CTF-WEB第四课、第五课等内容。
引用亮神的话:
如果你分享的内容过于真实,你就没有发表机会,你要完全假了呢,又没有读者去看,你可以在这个通道里,真一会儿假一会儿地往前走,最重要的还是要往前走。
----Micropoor
侯亮大神说:知识的最高的境界是分享,而在我看来,我们在分享的同时也是对自我认知的一个提升。
0X00 事件前言
这事还要从一只蝙蝠开始说起~...........疫情的原因在家闲的翻箱倒柜,翻出了这么个玩意,没错这就是“压*神器”想当初我把把落地成盒又在某宝铺天盖地的推送下,忍痛割爱花了百来块钱买了这神器。
买回来后开始后悔了,经过简单的观察分析此USB的行为,并非啥智能压*芯片,实际上就是一个软件加密狗的USB加密了商家给发的无后坐软件,通过对某宝搜索加密狗USB看看这价格,属实暴利。
一、前言 一句话木马用到了一个比较有趣的命令下发思路,即不直接发送命令编码,而是将命令代码直接发送给木马端执行,这样木马端文件会特别小,而由于每条命令需要通过网络传输,数据包会比较大。这些工具的流量也是ips,waf等网络安全设备的检测重点。 一句话木马的发展主要有几个典型的代表:最开始是中国菜刀,接着是开源的Cknife和中国蚁剑,到近两年的冰蝎,攻击工具一直在进化。
前言本篇paper来自于 NSEC 2018 :Prototype pollution attack in NodeJS application,写summary的原因因为本篇文章介绍的攻击点和实际问题密切相关,同时在CTF各大比赛中经常出现。
前言周六看了一下巅峰极客的几道web题,难度不是很大,但是脑洞有一些,以下是题目记录。LOL拿到题目后,发现有一个上传页面:点进去发现可控参
发布时间:
2019-10-23 13:10 |
阅读:101104 | 评论:0 |
标签:
Web安全 CTF web
前言前段时间参加了OPPO举办的OGeek网络安全比赛线下赛,遇到一道Java Web,由于不太擅长,只是做了防御没有攻击成功,趁周末复盘一下~代码分析拿到题目,发现没有啥功能:顺势看了一眼源码:看到shiro后立刻可以想到shiro的反序列化漏洞:https://paper.seebug.org/shiro-rememberme-1-2-4/可以看到存在漏洞的shiro版本号为:1.2.4,我们查看题目当前版本:那么显然,是存在shiro反序列化攻击的。
前言前段时间坐了5个小时的高铁,在车上顺便打了个比赛,以下是web题解。Game拿到题发现是个老虎机= =,本能的查看JS:http://4c7add9a08cb4acda1bec9c7693bf7d12
发布时间:
2019-08-22 13:10 |
阅读:139405 | 评论:0 |
标签:
Web安全 CTF web
前言在之前我们分析了php下序列化攻击的一些知识点:由浅入深剖析序列化攻击(一)由浅入深剖析序列化攻击(二)由浅入深剖析序列化攻击(三)今天我们来分析一下php序列化的武器库:PHPGGC。PHPGGC 是一款能够自动生成主流框架的序列化测试payload的工具,类似 Java 中的 ysoserial,支持大量主流框架的序列化exp一键生成。但因为工具作者的时间有限,不能做到实时更新。而本文旨在分析phpggc原理,并为其添加拓展,以便我们加入最新的,自己需要的exp生成模块。
前言接之前的两篇文章:https://www.4hou.com/web/17835.htmlhttps://www.4hou.com/web/17976.html之前分别介绍了php序列化攻击的魔法方法、session序列化引擎以及原生类序列化问题。本篇文章则主要从真实案例来看序列化的pop链构造。
前言接之前文章留下的坑,主要分析了java Tapestry的一个从文件读取到反序列化RCE的一个漏洞和ocaml的一个小trick。hotel booking system发现Tapestry版本号,同
发布时间:
2019-07-19 12:25 |
阅读:122895 | 评论:0 |
标签:
Web安全 CTF web
前言2019 WCTF看到有一道web题目开源了:https://github.com/paul-axe/ctf.git。同时看到wupco的题解:https://hackmd.io/@ZzDmROodQUynQsF9je3Q5Q/HkzsDzRxr。感觉这道题非常有趣,于是在此分析一下。信息搜集拿到题目后,粗略的看了一下几个功能:1.注册2.登录3.写文章同时注意到cookie:看到有序列化的值,那么猜测可能有源码泄露:http://192.168.1.106:10003/.git/扫描后发现确实存在文件泄露。目录穿越代码量非常少,但挑战不小。
前言接之前的分析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。web3预置后门扫描打开源码发现是主流cms typecho,先上工具扫一波:同时注意到版本号:根据github的开源项目回滚到当前版本:并进行diff:用户名RCE容易发现/admin/login.php处,$rememberName被反引号包裹,可以进行RCE。
前言鸽了好久的题解,因为自己事务缠身,一直没时间写一下最近比赛的题解,趁近日有空,来填坑~第一次参加0ctf新星赛就拿了冠军,还是非常开心的。比赛过程中,web共4道题,我有幸做出3道,java实在不太擅长,哭了(另一道是ocaml的题目,涉及小trick和逻辑问题,准备放在后面和java一起编写(希望不要咕咕咕了)。
发布时间:
2019-07-04 12:25 |
阅读:121489 | 评论:0 |
标签:
Web安全 web
概述几天前,通过Web缓存欺骗攻击,我发现了一些用户信息泄漏的漏洞。在我们深入研究PoC之前,我想首先解释一下这些攻击方法及其影响。Web缓存欺骗攻击是一种攻击方式,原因在于Web应用程序在使用缓存的过程中没有正确验证,从而允许攻击者实现缓存泄漏攻击。在这样的场景中,后台的Web应用程序通常倾向于使用代理、CDN和其他服务来使用缓存功能。借助于这样的功能,可以减少服务器的响应时间,或者减少延迟,但在这一功能中并没有进行正确的验证。
发布时间:
2019-03-18 12:20 |
阅读:114340 | 评论:0 |
标签:
Web安全 web
Cache-Control管理Web缓存的最常用和最有效的方法之一是通过Cache-Control HTTP标头,由于此标头适用于Web页面的缓存,这意味着我们页面上的所有内容都可以具有非常精细化的缓存策略。通过各种自定义策略,我们控制的策略就可以变得非常复杂和强大。Cache-Control标头可能如下所示:Cache-Control: public, max-age=31536000Cache-Control是标头,public和max-age=31536000都是指令。
发布时间:
2019-03-18 12:20 |
阅读:112612 | 评论:0 |
标签:
Web安全 web
写在前面的话
HTTP认证实现的基础是Web服务器与浏览器之间能够安全地交换类似用户名和密码这样的用户凭证,我们也可以把HTTP认证当作是摘要验证(Digest Authentication),这种预定义方法/标准在HTTP协议中使用了编码技术和MD5加密哈希。在这篇文章中,我们将会跟大家详细讨论一下HTTP认证所采用的技术和标准。为了方便大家的理解,本文将使用我们自己编写的一个php脚本,它可以方便地帮助我们捕获用户名和密码。【脚本下载】
使用Base64编码的基本访问认证
在了解基本认证这一部分中,我们将使用base64编码来生成我们的加密字符串,这个字符串中将包含用户名和密码。
这次我要讲的是如何成为白帽黑客。
有很多事情可以使一个人发狂,尤其是缺乏学习所需的坚决与目标感,所以我会先讲砖为什么搬为什么不搬,是沾满民脂的红砖更适合搬还是混凝土小型空心的砌砖。
工欲善其事必先利其器,这是大家经常能看见的一句话。在当今互联网下,想要更好地撂倒对手,我们需要更可怕的武器「一口箱子」,箱子里的武器不见可以组成任何一件兵器,用来对敌,但更重要的还是提着箱子的你。
我知道国内外都有十四五岁的小白帽通过「漏洞奖励计划」获得过数万奖金,但奖金不是最重要的,最重要的是,这种实践方式可以让我们更快地找到自己的方式,或者说找到自己。
Netsparker是一个便于使用的Web应用漏洞扫描工具,可以爬行、攻击并识别各种Web应用中存在的漏洞。
Netsparker能识别的Web应用漏洞包括SQL注入、XSS(跨网站指令码)、命令注入、本地文件包含和任意文件读取、远程文件包含、框架注入、内部路径信息披露等。
不同于其它漏洞扫描工具,Netsparker具有相当低的误报率,因为Netsparker执行多次测试以确认任何被识别的漏洞。它还有一个JavaScript引擎,可以解析、执行并分析Web应用中使用的JavaScript和VBScript输出。
项目地址:
http://dpnishant.github.io/raptor
项目介绍:
Raptor是一个基于网络的,GitHub的中心源的Web源码漏洞扫描器,即它扫描存储库GitHub中存放的Web源码。您可以设置网络挂接,以确保自动扫描每一次你提交或合并请求。在扫描asynchonously完成,将提供对应扫描结果。
Raptor特色:
插件架构(即插即用外部工具,并生成统一报告)
网络服务可以利用定制自动化(而不需要用户界面)
轻松创建/编辑/删除新的漏洞/或编程语言的签名。
Recon-ng是一个全面的web探测框架,它由python编写,有着独立的模块、数据库交互功能、交互式帮助提示和命令补全的特性。它提供了一个强大的开源web探测机制,帮助测试人员快速彻底地进行探测。Recon-ng框架简介Recon-ng的使用和模式与主流的metasploit框架有点类似,这减少了用户学习利用该框架的难度。当然,Recon-ng也有着自己的特点,其为基于web的开源探测工具。如果你想要进行exp利用,请使用metasploit框架。如果你想进行社工,请使用社工工具包。如果你想进行被动探测,请使用Recon-ng。
Web Application Protection(WPA)是用于源代码静态分析和数据挖掘的一个工具,WAP主要检测使用PHP(4.0版本及以下)编写的web应用程序,并且因为它的误报率很低而受到广泛好评。