针对RMI服务的九重攻击 - 下

字数:1w5 推荐阅读时间:>2h 前言 再看下RMI反序列化攻击的总结图: 如果觉得有什么出入,喷就完事了; 同时觉得本文对你有帮助,也请留言、评论、关注、一键三连支持你喜欢的up主!你的点赞是我更新的动力!如果这期点赞超过20w,下篇文章直播开..... 咳...在上篇中已经讲述针对已知RMI接口的三种攻击方式与针对RMI层(RMI注册端、RMI服务端)/DGC层,得出了部分结论。 而在下篇中将重点讲述绕过JEP290的引入JRMP的利用方式,这就很好玩了,指出了别的老哥的错误之处,找到了别人没提及的骚姿势,复现分析了老外的绕过方式。 上下篇的小结论是沿用的,建议配合食用;文中实验代码、环境及工具均已上传github。 此外安利下ysomap,如果没有意外的话,之后会陆续把这些攻击方式都移植过去。 利用JRMP反序列化绕过JEP290 在上篇中我们所有攻击方式都给JEP290给干掉了,当然出了参数利用的方式,但是那种利用局限性太强了。来看看绕过JEP290的攻击方式。 先进行攻击演示: 使用github中的ServerandRegister.java作为受害者靶机 运行java -cp F:\BanZ\java\ysoserial.jar ysoserial.exploit.JRMPListener 1199 CommonsCollections5 "calc"作为攻击者自实现的JRMP服务端 运行github中的Bypass290.java作为攻击代码 再来讲绕过原理的前置知识: JRMP服务端打JRMP客户端(ysoserial.exploit.JRMPListener) 这其实就是ysoserial.exploit.JRMPListener模块的攻击逻辑 其实之前标题为DGC服务端打DGC客户端,在别的文章评论区如此说的时候,被老哥指出来不对:这里的漏洞触发跟DGC没关系。 实际去仔细看了调用栈的确不经过DGC,由于自己看的时候是从sun.rmi.transport.DGCImpl_Stub#dirty跳转进去的所以就当成DGC层。 实际上应该归为JRMP层,JRMP是DGC和RMI底层通讯层,DGC和RMI的最终调用都 阅读全文 箭头
4个评论-3982个浏览
收藏 收藏

Simon and Speck Block Ciphers

这是一组姐妹轻量级加密。Simon Block Cipher基本介绍Simon 块加密算法由 NSA 2013 年 6 月公布,主要在硬件实现上进行了优化。Simon Block Cipher 是平衡的 Feistel cipher 加密,一共有两块,若每块加密的大小为 n bits,那么明文的大小就是 2n bits。此外,一般来说,该加密中所使用的密钥长度是块长度的整数倍,比如 2n,4n等。常见的 Simon 加密算法有一般来说,Simon 算法称之为 Simon 2n/nm,n 为块大小,m 是块大小与密钥之间的倍数。比如说 Simon 48/96 就是指明文是 48 比特,密钥是 96 比特的加密算法。此外,对于 Simon 块加密算法来说,每轮的加密过程一样,如下当然,对于每一轮以及不同的 m 来说,密钥也会有所不同其中, $z_j$ 是由 Linear Feedback Shift Register (LFSR) 生成的,虽然对于不同的 $z_j$ 的逻辑不同,但是初始向量是固定的。Constant$z_{0}$=11111010001001010110000111001101111101000100101011000011100110$z_{1}$=10001110111110010011000010110101000111011111001001100001011010$z_{2}$=10101111011100000011010010011000101000010001111110010110110011$z_{3}$=11011011101011000110010111100000010010001010011100110100001111$z_{4}$=110100011110011010110110001000000101110000110010100100111011112017 SECCON Simon and Speck Block Ciphers题目描述如下Simon and Speck Block Ciphers https://eprint.iacr.org/2013/404.pdf Simon_96_64, ECB, key="SECCON{xxxx}", plain=0x6d564d37426e6e71, cipher= 阅读全文 箭头
5个评论-3705个浏览
收藏 收藏

CVE-2020-5902:F5 BIG-IP RCE分析研究

文章前言 近期关于CVE-2020-5902:F5 BIG-IP的EXP&POC满天飞,本篇文章则对该漏洞进行一个简单的剖析~ 影响范围 BIG-IP = 15.1.0 BIG-IP = 15.0.0 BIG-IP 14.1.0 - 14.1.2 BIG-IP 13.1.0 - 13.1.3 BIG-IP 12.1.0 - 12.1.5 BIG-IP 11.6.1 - 11.6.5 漏洞类型 RCE ReadFile ListDirectory Arbitrary File Upload 利用条件 上述影响范围所列的F5 BIG-IP版本 第一种EXP:在RCE以及反弹shell时需要近期有用户登录或者用户会话未过期 第二种EXP: F5 BIG-IP未关闭Hysqldb(密码默认为空,而且在lib下的jar包中,不存在更改问题) 漏洞概述 F5 BIG-IP 是美国 F5 公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 2020年7月初,有安全研究人员公开披露F5 BIG-IP产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞,并给出测试POC,攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行,进而控制F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等,该漏洞影响控制面板,不影响数据面板。 漏洞复现 环境搭建 虚拟机下载 首先去F5官网注册一个账号(ondxbz43867@chacuo.net/12345Qwert),并登陆: 之后进入下载页面,在这里我们下载v15.x系列的漏洞版本与修复版本进行分析测试,下载页面:https://downloads.f5.com/esd/productlines.jsp 下载存在漏洞的BIG-IP的ova文件: 之后下载修复版本的BIG-IP的ova文件到本地 虚拟机搭建 将两个ova文件导入VMware Workstations中: 启动之后会要求输入账号密码,BIG默认账号密 阅读全文 箭头
7个评论-4441个浏览
收藏 收藏

Java代码审计之垂直越权

  垂直越权的业务场景主要是低权限的用户可以访问高权限用户的功能,或者是用户在没有通过认证授权的情况下能够直接访问需要通过认证才能调用的接口或者文本信息。 审计思路   主要原因还是权限校验细粒度未覆盖接口,首先可以通过pom.xml、web.xml或者是相关注解进行一些权限控制措施的定位。例如通过web.xml找到权限过滤器,检查对应的安全控制措施,例如相关的接口进行访问前会对当前会话进行登陆检查等。然后结合实际业务检查是否存在遗漏或者缺陷,这里就是相关Filter、Interceptor以及类似Shiro等权限控制框架等措施的审计了。   如果没有发现相关的权限校验机制或者覆盖面不全的话,那么很可能相关的业务接口就会存在垂直越权问题了。可以从服务端或者view层入手,常见的场景如下: 常见场景 仅对登陆态进行检查   比较常见的权限控制措施是防止非登陆的用户进行业务操作,但是其权限细粒度仅仅覆盖登陆的会话,没有进一步进行细化,例如检查是否是管理员还是普通用户。从而导致越权漏洞的产生。   例如如下接口,主要实现的是管理员通过id重置用户密码的业务,整个过程只需要传入需重置的用户id以及新密码,即可发送对应的邮件给相关用户并完成重置操作。 /** * 重置密码 * * @param id * @return */ @RequestMapping("/resetpwd") public String resetpwd(@RequestParam("id") Long id,@RequestParam("newPwd") String newPwd, HttpSession session) { try { SecurityLoginaccountDto loginAccount = loginaccountService.get(id); newPasswordEmail(loginAccount.getLoginName(), loginAccount.getEmail(), newPwd); loginaccountService.resetpwd(id, CryptographyUtil.hashMd5Hex(newPwd)); PageMessageUtil.saveSuccessMess 阅读全文 箭头
3个评论-3691个浏览
收藏 收藏

记一次CTF简单内存取证

3个评论-4566个浏览
收藏 收藏

红队攻防系列之花式鱼竿钓鱼篇

红队攻防系列之花式鱼竿钓鱼篇 0x0 前言   钓鱼的核心主要还是思路要骚。本文主要从一个完整的钓鱼流程进行讲解,记录下自己在学习这方面的知识时,如何将其有机结合起来,实现一个蓝队无感的钓鱼攻击流程,真正体验下如何从细节入手,将最危险的地方化为最安全的地方。 0x1 鱼钩隐藏 传统攻防的钓鱼扔黑不溜秋的exe,也没做什么进程迁移之类的动作,就算是个电脑小白也知道不正常,一下子就把你的程序给终结掉了,然后你也成功暴露了,之后蹲黑名单。 如何将鱼钩更好的隐藏呢? 这里我抛转引玉说几个点: 1.XSS 直接插入这个js文件即可 hacked.js 需要注意下面这几个点 1.判断UA电脑端才加载exeandroid则加载apk 2.向后台API发送查询,是否上钩了是的话不加载,不是的话加载 3.js一定要注意混淆和命名采用原生ajax,兼容性会更好 window.alert = function(name){ var i = document.createElement("IFRAME"); i..display="none"; i.setAttribute("src" 'data:text/plain'); document.documentElement.appendChild(i); window.s[0].window.alert(name); i.parentNode.removeChild(i); } window.confirm = function(name){ var i = document.createElement("IFRAME"); i..display="none"; i.setAttribute("src" 'data:text/plain'); document.documentElement.appendChild(i); var result = window.s[0].window.confirm(name); i.parentNode.removeChild(i); return result; } function isPc() { if (navigator.use 阅读全文 箭头
10个评论-4000个浏览
收藏 收藏
更多

加载中,请稍候

请求超时,点击重新加载

提问
写文章

装饰 推荐专栏

换一换

黑鸟威胁情报中心
杀猪盘
浏览器安全
金融诈骗案例

装饰 权威推荐

广东省应急响应平台
广东网警
广东省计算机信息网络安全协会
专栏
小密圈

装饰 安全达人

换一换

淡然的小熊猫
xiaoqiang
BoBa2020
如意的电源
数据挖掘洛阳铲
清秀的铃铛
壮观的小丸子
我不脱发