到这里不由得让我们想起了之前那个RMIBYPASS的场景https://www.veracode.com/blog/research/exploiting-jndi-injections-java ,倒着我们就可以自定义一个RMI服务,将bind的内容设置成我们可以控制的org.apache.wsif.naming.WSIFServiceStubRef类型,就可以到最下面的函数,为什么上面那个org.apache.wsif.naming.WSIFServiceRef不行,因为前面提到了这个类必须要是EJBHOME的实现类,上面的明显不符合要求,下面的是通过动态代理来生成一个指定接口的类,而且接口的类型我们也可以控制,所以接下来就是如何利用wsif服务来进行代码执行了。
这里ctx.lookup里面的jndi的地址可以设置为自定义rmi的服务,具体的RMI服务代码如下
WSIF服务的wsdl描述文件中提供了JavaBind的方式,可以将描述文件中定义的函数(operation name)映射成客户机器中Java类的函数,所以这里我们可以将在wsif描述文件中定义findByPrimaryKey函数以及映射函数的参数和返回类型,这样在最终调用findByPrimaryKey函数的时候会调用到org.apache.wsif.base.WSIFClientProxy#invoke中createOperation函数去进行远程方法调用,客户端在拿到映射后就可以去执行映射类相应的函数了。
这里映射的类和函数是javax.el.ELProcessor类的eval方法,eval函数接受一个String类型的参数映射是符合相应的定义,WSIF对应的XML文件关键片段如下:
这里映射的类和函数是javax.el.ELProcessor类的eval方法,eval函数接受一个String类型的参数映射是符合相应的定义,WSIF对应的XML文件关键片段如下:
且findByPrimaryKey的参数也是我们在WSIFPort_EJB序列化数据中可以控制的,所以最终就导致了RCE。
漏洞利用
最开始在测试Websphere 8.5.5.0的时候,发现有个关键位置
合作咨询:@kittenmicat
漏洞利用
最开始在测试Websphere 8.5.5.0的时候,发现有个关键位置
合作咨询:@kittenmicat
这里要求调用的函数必须是继承接口(EJBHOME)中一个接口,否则程序主动抛异常(Exception in thread “main” java.lang.reflect.UndeclaredThrowableException)EXP就利用失败,这个点遇到的问题卡了我两天左右,最后看到有人复现成功,测试的9版本,所以我就切换到9版本。
在9版本中修复了这个第三方库的BUG,不主动的调用Log,加了if判断,如下
9.0 版本中org.apache.aries.jndi.ObjectFactoryHelper#getObjectInstanceViaContextDotObjectFactories函数的实现
在9版本中修复了这个第三方库的BUG,不主动的调用Log,加了if判断,如下
9.0 版本中org.apache.aries.jndi.ObjectFactoryHelper#getObjectInstanceViaContextDotObjectFactories函数的实现
8.5.5.0 中的org.apache.aries.jndi.ObjectFactoryHelper#getObjectInstanceViaContextDotObjectFactories实现
很明显加了判断,就没这个问题了。
所以8.5.5.0默认情况下有可能打不死(如果不打补丁2013年的那个库之前),9.0.0.2 没问题,其他版本后续慢慢测试。
补个成功截图
所以8.5.5.0默认情况下有可能打不死(如果不打补丁2013年的那个库之前),9.0.0.2 没问题,其他版本后续慢慢测试。
补个成功截图
Ewon Cosy+透過OpenVPN對廠商管理的平臺Talk2m進行路由,從而建立VPN連線,操作員藉此遠端存取工業控制閘道。
@kittenmicat
@kittenmicat
在红队场景下首先对多个目标进行了资产收集,如同时几千上万个IP,如何快速的从这些资产中进行获取重要的系统或者直接能 RCE 的系统呢?
可以先从fofa进行批量提取IP+PORT:
@kittenmicat
可以先从fofa进行批量提取IP+PORT:
@kittenmicat
地址解析协议(ARP)
ARP(Address Resolution Protocol)是一种网络层协议,根据已知的目的IP地址解析获得其对应的MAC地址。在局域网中,每台设备都有唯一的MAC地址,就像我们的身份证号一样在全球独一无二的,而IP地址是可以重复分配的。因此,当一个设备需要发送数据包到另一个设备时,它需要知道另一个设备的MAC地址。
咨询:@kittenmicat
ARP(Address Resolution Protocol)是一种网络层协议,根据已知的目的IP地址解析获得其对应的MAC地址。在局域网中,每台设备都有唯一的MAC地址,就像我们的身份证号一样在全球独一无二的,而IP地址是可以重复分配的。因此,当一个设备需要发送数据包到另一个设备时,它需要知道另一个设备的MAC地址。
咨询:@kittenmicat
抓hash和明文密码 -> hash传递和内网密码喷洒
翻阅配置文件查找敏感信息
获取历史凭证(history、浏览器、RDP连接凭证、xshell连接凭证)
弱口令
Web应用漏洞
系统漏洞ms17010
咨询:@kittenmicat
翻阅配置文件查找敏感信息
获取历史凭证(history、浏览器、RDP连接凭证、xshell连接凭证)
弱口令
Web应用漏洞
系统漏洞ms17010
咨询:@kittenmicat
① 网安学习成长路径思维导图
② 60 + 网安经典常用工具包
③ 100+SRC 漏洞分析报告
④ 150 + 网安攻防实战技术电子书
⑤ 最权威 CISSP 认证考试指南 + 题库
⑥ 超 1800 页 CTF 实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP 客户端安全检测指南(安卓 + IOS)
然后我进入了个人后台,我发现了有数据申请的功能于是着手开测:
咨询:@mo3use
② 60 + 网安经典常用工具包
③ 100+SRC 漏洞分析报告
④ 150 + 网安攻防实战技术电子书
⑤ 最权威 CISSP 认证考试指南 + 题库
⑥ 超 1800 页 CTF 实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP 客户端安全检测指南(安卓 + IOS)
然后我进入了个人后台,我发现了有数据申请的功能于是着手开测:
咨询:@mo3use
意向从业安全测评工作的在校学生所读专业情况
但对院校网络安全实战人才的安全测试评估能力进行分析发现,在校学生严重缺乏安全测试评估能力。数据统计显示,41%的院校,具备安全测试评估能力的网络安全实战人才占比不足10%。
咨询:@mo3use
但对院校网络安全实战人才的安全测试评估能力进行分析发现,在校学生严重缺乏安全测试评估能力。数据统计显示,41%的院校,具备安全测试评估能力的网络安全实战人才占比不足10%。
咨询:@mo3use
现在你控制了属于目标的子域,接下来你能做什么?当使用错误配置的子域确定可能的攻击场景时,理解子域如何与基本名称和目标的核心服务交互是至关重要的。
Cookies
subdomain.example.com可以修改作用域的cookie example.com。这一点很重要,因为这可能会让您在基本名称上劫持受害者的会话。
咨询:@mo3use
Cookies
subdomain.example.com可以修改作用域的cookie example.com。这一点很重要,因为这可能会让您在基本名称上劫持受害者的会话。
咨询:@mo3use