Sectool
未读简介致远OA-A8是一款协同管理软件,是面向中型、大型集团型组织的数字化协同运营平台。近日,互联网爆出致远OA-A8存在远程命令执行漏洞。该系统某处在无需登录情况下可直接上传任意文件,攻击者一旦上传精心构造的后门文件即可Getshell,获得目标 服务器 的权限。
影响范围受影响版本:A8+V7.0 SP3A8+V6.1 SP2A8+V6.1 SP1
工具使用此工具可利用该漏洞获取AntSword(蚁剑),冰蝎v2&v3,哥斯拉webshell,支持自定义文件名及密码
下载Seeyon-RCE-V2
SHA1:4cd596d8347c75a539b74469bf7f557140d31580MD5:e673284621c777a7e183407c6497c920
Seeyon RCE V3
MD5: AE5089064996D532B48E3D39B5543081SHA-1: E7D4374824661F007015FCA6A2762142966455CC
更新日志
2020.10.10添加冰蝎,哥斯拉支持2019.9.23修复http二次发包阻塞合并端口目标配置选项精简代码
...
漏洞成因该注入出现在后端对数组型参数处理不当,可绕过参数过滤设置。导致恶意sql语句执行
环境设置数据库配置在/application/home/conf/config.php中添加如下代码
12345678910111213 <?php return array( //'配置项'=>'配置值' 'DB_TYPE' => 'mysql', 'DB_HOST' => 'localhost', 'DB_NAME' => 'tp', 'DB_USER' => 'root', 'DB_PWD' => 'root', 'DB_PORT' => '3306', 'DB_FIEL ...
前言经过了一周的忙碌,总算是可以闲下来写写东西了。这次我跟大家分享的是上周在项目中遇到的一个案例,这里把当时挖掘漏洞的过程和思路做一个分享。文章分为两部分分别为漏洞的挖掘过程以及对该平台license的一个破解。知识相对基础,对于想了解.net审计的朋友可以细细品味一下(●ˇ∀ˇ●)
代码审计ok,我们先来看审计的部分。因为该平台是经过封装处理的,所以说在我们要进行分析前需要对封装的dll文件进行反编译。
SQL注入先来看一个sql注入,此问题出现在该系统中一个招投标管理的子系统中。对应的文件为/ztblogin.aspx,该文件只保存了前端代码,其后端的处理逻辑代码存放于/bin/Sanzi.web.dll文件中。使用dnspy对其进行反编译后,我们需要找到对应的登录处理逻辑,但是该文件的代码量过于庞大,仅靠我们手工去找就显得不太现实。 这里我们可以根据前端代码的按钮Onclick属性快速的找到对应的按钮点击事件函数知道这个后我们就可以在dnspy中搜索该函数这样我们就可以快速的定位到我们想要分析的代码,下面我们来看具体的登录逻辑
12345678910 ...
突发奇想今天早上无意间在一个微信公众号中看到一篇关于python第三方键鼠操作库PyautoGUI介绍的文章,看完感觉还是挺有意思的一个扩展库,然后突发奇想看看能不能利用这个库写点在渗透中能用到的东西,既然它是一个键鼠自动化操作的库,那么首先我想到就是能不能用它来自动化的干掉一些防病毒软件,于是就有了下面这篇文章
着手实现既然我们要用,第一步就是先安装它,这个于其他库安装方法一样直接在终端运行pip install pyautogui即可。接下来就是拿谁开刀的问题了,思前想后最后还是决定拿国内用户群体比较多的某60安全卫士下手。 环境和目标定好以后,接下来考虑的第一步就是如何调出程序的卸载界面,通过网上冲浪我找到了几种办法 1.使用wmic call uninstall 2.查询注册表获取uninstallstring后使用os.system启动 3.直接打开软件安装目录,模拟点击卸载程序在经过试验后发现使用wmic有些软件并不会出现在安装列表中,此方法pass。查询注册表使用uninstallstring,试 验后发现此方法会触发敏感操作报警,此方法pass。所以现在最靠谱的方法 ...
漏洞描述Joomla!是美国Open Source Matters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。在其<= 3.9.15版本中由于后台模板功能存在缺陷,导致可向目标存在的php文件中写入恶意代码进而导致远程代码执行。
影响范围Joomla <= 3.9.15
漏洞分析首先我们根据现有的poc加入调试代码,大体看一下具体的利用过程,对后面定位分析文件做一个初步判断根据option参数找到对应的模板操作的主入口文件administrator/components/com_templates/templates.php该文件首先使用JFactory工厂对对象进行初始化并接收传入的task参数,最后交由execute执行对应的操作跟进execute根据task获取到对应执行的函数名称,继续跟进save获取要操作的基础参数,并进行一系列的检查,随后对data进行验证但是此处校验并非检测data内容,而是检测如果我们传入的是xml格式,此方法会解析出要存入的内容,所以对我们的payload并无大碍随后调用此模型的save函 ...
Emergency
未读事件起因某日下午,我像平时一样在慵懒的敲着代码。突然接到通知说某某医院被通报遭到了黑客攻击并挂了webshell,本来以为就是简单被挂了马,扫扫溯溯源删除掉就可以了,没想到着实被这次挂马的方式秀了一把,这让我不禁感叹还是太年轻~
事件分析通过与院方技术人员沟通,详细了解了攻击情况及时间,并拿到了具体的通报信息,关键信息如下据通报信息显示,该网站下/plug/book.asp被检测为恶意文件,那么我们下一步就要具体检查该文件的内容,看看是否符合检测结果,再次与院方技术人员沟通拿到了该网站虚机主机管理平台账号密码。登录管理平台发现该网站已停止运行,为了避免在我们分析时再次遭受攻击,在征得院方同意下将网站打包在本地进行溯源分析。将源码拖到虚拟机后,首先我们要查看被检测出的文件是否存在恶意代码然而在我看完整个文件时并未在此文件中发现任何恶意代码(只截图了部分关键性代码),这就有点意思了~暂时先把这问题放一边,先看看他是怎么进来的。因为大多数被挂马无非就是上传,弱口令和RCE。接下来我们就可以排查数据库中管理员账号信息,看看密码是否存在弱口令等问题很显然该网站管理员密码为 ...