第78篇:巧妙方法抓取某商用红队扫描器的4000多个漏洞利用exp

news2024/11/18 17:42:09

73952534b2c3f778aabbf8e69584cdab.png

 Part1 前言 

大家好,我是ABC_123,本期分享一个真实案例。大约在两年前,有机会接触到一台红队扫描器设备(也可以理解为渗透测试机器人),我抱着好奇的心态去那里做了一下测试,感觉还不错。里面大概有4000多个漏洞利用exp,当然大部分都是nday漏洞,有一些未公开的1day漏洞,也有一些可能是0day漏洞,其中部分漏洞利用exp做了各种变形用来绕过waf,这些还是引起了我的兴趣。也是研究了两天,用了一个巧妙办法,欺骗这个扫描器发包,我在后台将所有的漏洞利用payload抓取到,整理成标准格式,放到了自己写的工具里面。

注:为了规避风险,文章中给出的扫描器截图不是原图,都是我手工画出来的,不太美观,burpsuite的数据包也经过处理,所以大家在看文章时很多地方可能会对应不上,懂得思路即可。

 Part2 技术研究过程 

  • 扫描器概述

首先,使用这台设备的账号登录web界面,直接可以看到一个漂亮的前端界面,“插件管理”界面上面的统计数字显示内置了4000多个漏洞测试payload。进一步点开界面,可以看到每个漏洞测试payload的漏洞标题和漏洞详情介绍。当然在主界面中,也可以把一个url列表导入进去,进行批量漏洞扫描及批量漏洞利用。

原图不方便贴出来,我画了一个效果图,供展示所用,大致如下所示:

f43e612807449e38559c8eabd900b3cf.png

  • 漏洞插件id遍历问题

每个漏洞扫描插件的编号都是有规律逐步递增的,第1个漏洞插件id=1,第4000个漏洞插件对应着id=4000。每个漏洞插件都有单独的操作框,可以填入URL进行检测与利用,个别的可以进行getshell操作。于是马上找到了一个id遍历的问题,这样我可以使用burpsuite遍历每个插件的id,在请求数据包中填入测试url,就可以使这台扫描器依次对相应的URL发送漏洞测试payload,此时在测试网站服务器上安装一个抓包程序,就可以抓取所有HTTP请求数据包,也就获取了所有的漏洞payload。

e1589b6a5d64d846daf2e67ae7de025b.png

  • 搭建测试环境实操

接着在vps上安装了一个phpstudy,web目录放置了一个存在漏洞的php页面,后台安装了一个抓包工具,开始了初步的测试过程。结果发现远远没有那么简单,存在以下几个问题

 1   该扫描器对一个url不会直接发送漏洞利用payload,它首先会有一个判断过程。对于一些CMS漏洞,扫描器会首先提交一个漏洞exp的urlpath路径(如/inc/config.php.bak),如果该urlpath页面存在,响应码是200或403或500,那么扫描器接下来才会发送真正的漏洞利用payload。

 2  对于一些cms的sql注入漏洞或者文件读取漏洞,那么扫描器会使用在后面加单引号的报错方法或者各种报错方法,查看当前页面是否包含sql注入漏洞的错误关键字MySQL error、Unclosed quotation、error '80040e14'、supplied argument is not a valid MySQL result等,以此决定是否进一步发送测试payload。

 3   服务器上的抓包工具,抓到了上千个数据包,但是不知道每个数据包具体对应哪个漏洞名称,不知道http请求数据包具体是哪种Web系统的哪种漏洞,所以抓到的数据包没法使用。

 4   其它问题,如phpstudy的问题、http返回头的问题等等,这里不一一列举了。

  • 欺骗扫描器发送可用的exp

为了解决这个问题,ABC_123想到了一个办法,我用Springboot编写了一个java测试页面,无论该扫描器提交什么url路径,一概返回200或403或500响应码,然后在返回页面中,始终返回一些sql注入关键字MySQL error、Unclosed quotation、error '80040e14'、supplied argument is not a valid MySQL result等,欺骗扫描器在第一阶段的判断过程中,找到了这些错误关键字而误以为是存在漏洞的,从而在第2次发包中,发送真正的漏洞测试payload。

然后我在springboot中加入了日志记录代码,一旦有请求过来,那么把当前完整的http请求数据包输出到一个log文件中,后期再做处理。

  • 解决数据包与漏洞名称对应问题

为了解决这个问题,大伤脑筋,后来想到了一个绝妙的方法。还记得前面的“插件管理”的id遍历问题吗?首先用burpsuite把每个id对应的名称给提取出来,这样就得到了id值与漏洞名称的对应关系列表。

然后使用burpsuite遍历id发送漏洞测试payload的时候,测试URL按照如下格式提交,id=后面的数字可以用burpsuite插入一个从1到5000的字典。经过反复测试,发现按照如下形式构造漏洞测试url效果比较好,扫描器识别到URL以/结尾,会误以为是目录,从而在目录后面加上一些urlpath进行cms漏洞尝试;扫描器以?判断时,会误以为4111__dict__/是参数值,从而进行SQL注入漏洞尝试

http://xxx.com/?id=4111__dict__/,

http://xxx.com/?id=4115__dict__/,

字符串__dict__是为了后期进行文本处理的时候,方便我们切割文本和替换文本,然后还可以作为区分以GET形式提交的漏洞测试payload。

137e16e39e84e69bc03db5a76aa18600.png

这样后台的springboot应用就能获取到id传来的值,编写java代码遇到id=1,程序首先查询id=1的漏洞名称是什么,假设漏洞名称是"XXXOA系统的SQL注入漏洞",那么输出的日志名称就是"1_XXXOA系统的SQL注入漏洞.txt",如果遇到id=3001,漏洞名称假设是"Weblogic系统的2019-2725(JDK1.8)漏洞",那么输出的日志名称就是"3001_Weblogic系统的2019-2725(JDK1.8)漏洞.txt"。

burpsuite设置好线程,很快遍历完成4000多个id,也就意味着扫描器对我们的测试页面发送了4000多个漏洞的payload,然后编写程序对生成的log文件进行处理,处理成我们想要的数据包格式,上述工作就完成了。

eaf24c3b3e5529cccaefaebfbac10387.png

 Part3 总结 

1.  在本次测试过程中,扫描器的一个低危的id遍历漏洞成为了抓取所有漏洞利用payload的入口,所以一个漏洞低危还是高危,还是看它的利用场景,有些低危漏洞还是会造成很大安全风险,还是需要修复的。

2. 本篇文章没法将原有的实战情况复现,因为不能贴原图,所以只靠打字说不明白,但是关键步骤都写出来了,后续会继续分享其它抓取payload的思路。

235c75e4d1a0f418809bf6f3b2e563ab.png

公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1117374.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

jvm内存溢出溯源

1.先上神器 2.远程监控配置 JProfile是一款性能瓶颈分析工具,具体要干啥呢下面看 1:创建一个监控任务 2:选择tomcat版本 3:监控远程服务器 4:选择oracle 1.5.0 5:填写需要监控的服务器地址 6&#x…

后台交互-首页->与后台数据进行交互,wsx的使用

与后台数据进行交互wsx的使用 1.与后台数据进行交互 // index.js // 获取应用实例 const app getApp() const apirequire("../../config/app.js") const utilrequire("../../utils/util.js") Page({data: {imgSrcs:[{"img": "https://cd…

线性代数1:线性方程和系统

图片来自施泰德博物馆 Digital Collection (staedelmuseum.de) 一、前言 通过这些文章,我希望巩固我对这些基本概念的理解,同时如果可能的话,通过我希望成为一种基于直觉的数学学习方法为其他人提供额外的清晰度。如果有任何错误或机会需要我…

ToDoList全局事件总线学习笔记

全局事件总线 全局事件总线:任意组件间通信 安装全局事件总线 new Vue({……beforeCreate(){Vue.prototype.$busthis},…… })使用事件总线 接收数据:A组件想接收数据,则在A组件中给$bus绑定自定义事件,事件的回调留在A组件自…

2023年【氧化工艺】考试题库及氧化工艺考试总结

题库来源:安全生产模拟考试一点通公众号小程序 氧化工艺考试题库根据新氧化工艺考试大纲要求,安全生产模拟考试一点通将氧化工艺模拟考试试题进行汇编,组成一套氧化工艺全真模拟考试试题,学员可通过氧化工艺考试总结全真模拟&…

镜头边缘的解析力通常比中心差很多的原因是什么?

1、问题背景 之前有总结过一篇文章,“ 相机出图画面一半清晰,一半模糊的原因是什么?”里面有描述到关于镜头边缘的清晰度通常比中心要差的原因主要是光的折射导致的,有读者指出问题,折射率是和传输介质相关&#xff0…

并行计算技术与SIMD、SIMT

并行计算 指令并行 SIMD Inter MMX 64bitSSE SSE2 128bitAVX AVX2 256bitAVX-512 512bit ARM Neon 128bitSVE 128-2048bit RISC-V V指令扩展 SIMT CUDA openmp 线程并行MPI 进程并行 参考 SIMD - 百度百科 并发编程:SIMD 介绍

【考研数学】概率论与数理统计 —— 第六章 | 数理统计基本概念(2,三个重要的抽样分布)

文章目录 引言一、 χ 2 \chi^2 χ2 分布1.1 χ 2 \chi^2 χ2 分布定义1.2 性质 二、 t t t 分布2.1 定义2.2 性质 三、 F F F 分布3.1 定义3.2 性质 写在最后 引言 对数理统计的一些基本概念有了了解后,我们来学习三个重要的抽样分布。 一、 χ 2 \chi^2 χ2 分布…

mysql过期数据的清理方案(Java/springboot+mybatis)

比如说现在数据库表信息增加的很快&#xff0c;然后我们需要对每个表设置过期删除策略&#xff1b; 大概思路就是&#xff1a;定时任务调度&#xff0c;给每个表制定sql&#xff0c;然后执行删除数据的sql //删除一个月前的数据 delete FROM test_info WHERE create_time <…

C语言可执行程序到底怎样生成?

目录 程序的翻译环境 NO1.VS编译器工具 NO2.VS链接器工具 NO3.链接库是什么&#xff1f; 编译 预处理 编译 汇编 链接 程序的执行环境 C语言的程序到底是怎样生成的呢&#xff1f;又怎样去执行呢&#xff1f;我们来探索。本篇是讲解编译环境。 在ANSI C&#xff08…

如何避免osg绘制场景时因Z冲突导致绘制重影或不正常

目录 1. 问题的提出 2. Z冲突&#xff08;z-fighting&#xff09;简介 2.1. Z冲突&#xff08;z-fighting&#xff09;产生的原因 2.2. 如何消除Z冲突&#xff08;z-fighting&#xff09; 3. 代码实现 1. 问题的提出 今天绘制了一个棋盘格&#xff0c;鼠标在棋盘格上单击…

亲测防止google colab自动disconnect断连GPU

最近小虎在用colab跑diffusion的模型&#xff0c;但是运行的时候一直断连&#xff0c;就算充了会员也依然如此。 坏境 win11 chrome 解决方法 用Ctrl shift i打开console&#xff0c;输入 function ClickConnect() {console.log("Working");document.querySe…

倒计时 1 天|KCD 2023 杭州站

距离「KCD 2023 杭州站」开始只有 1 天啦 大家快点预约到现场哦&#xff5e; KCD 2023 活动介绍 HANGZHOU 关于 KCD Kubernetes Community Days&#xff08;KCD&#xff09;由云原生计算基金会&#xff08;CNCF&#xff09;发起&#xff0c;由全球各国当地的 CNCF 大使、CNCF 员…

STM32串口

前言 提示&#xff1a;这里可以添加本文要记录的大概内容&#xff1a; 目前已经学习了GPIO的输入输出&#xff0c;但是没有完整的显示信息&#xff0c;最便宜的显示就是串口。 000 -111 AVR单片机 已经学会过了&#xff0c; 提示&#xff1a;以下是本篇文章正文内容&#x…

金蝶与电商集成如何调用奇门接口

电商领域的发展日新月异&#xff0c;为了实现企业的数字化转型&#xff0c;金蝶云等财务系统与电商平台的集成变得愈发关键。在本文中&#xff0c;我们将深入探讨奇门接口的应用&#xff0c;以及为什么它对于金蝶与电商集成如此重要。同时&#xff0c;我们将介绍如何借助轻易云…

【c➡️c++】打开c++学习之门2——内联函数-auto-空值(nullptr)

目录 &#x1f36d;内联函数 &#x1f576;️概念 &#x1f576;️特性&#xff1a; &#x1f449;auto关键字(C11) ➡️类型别名思考 ➡️ auto简介 ➡️auto的使用细则 ➡️auto不能推导的场景 &#x1f308;基于范围的for循环(C11) &#x1f6a9;范围for的语法 &…

基于java(ssm)水果销售管理系统设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序&#xff08;小蔡coding&#xff09; 代码参考数据库参考源码获取 前言 &#x1f497;博主介绍&#xff1a;✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作者&am…

开箱即用的Appimage是什么以及如何建立快捷方式

1 引言 在使用Linux系统过程中&#xff0c;初学者会遇到无穷多的问题&#xff0c;包括软件的安装问题。 ubuntu的deb,centos的rpm, 当然以及需要解压的tar.gz等等。有一种开箱即用的软件安装类型&#xff0c;格式为Appimage。 AppImage 的官方网站是 AppImage | Linux apps tha…

Mysql中的RR 隔离级别,到底有没有解决幻读问题

Mysql 中的 RR 事务隔离级别&#xff0c;在特定的情况下会出现幻读的问题。所谓的幻读&#xff0c;表示在同一个事务中的两次相同条件的查询得到的数据条数不一样。 在 RR 级别下&#xff0c;什么情况下会出现幻读 这样一种情况&#xff0c;在事务 1 里面通过 update 语句触发当…

React基础: 项目创建 JSX 基础语法 React基础的组件使用 useState状态 基础样式控制

01 React 文章目录 01 React一、React是什么1、React的优势 二、React开发环境搭建1、创建项目2、运行项目3、项目的目录结构 三、JSX基础1、什么是 JSX代码示例&#xff1a; 2、JSX使用场景2.1代码示例&#xff1a; 3、JSX中实现列表渲染4、JSX - 实现基本的条件渲染5、JSX - …