WHOAMI's Blog

[toc] 前言昨天在打西湖论剑的时候遇上了一道题目，给了一个信呼 OA，网上所有的 1day 试了一遍都不行，最后在 indexAction.php 中找到一处文件包含，只能包含以 .php 后缀结尾的文件。正好前几天 P 神在博客上发布了一篇名为《Docker PHP裸文件本地包含综述》 的文章，利用文章中给出的包含 pearcmd.php 的方式成功 Getshell。 题目引入题目给出的是一个信呼 OA： 直接弱口令便能登录： 首先尝试网上所有爆出来的 1day 都不行，其中最有希望的一个配置文件写 Webshell 由于没有权限也被阉割了。只能自己审一下他给出的源码了。 我们直接看到 indexAction.php： webmain\index\indexAction.php 发现有一个名为 getshtmlAction 的成员方法，可以用来获取模版文件。这里的源码直接获取 surl 参数并对其解 Base64 之后拼接给 $file 变量，并且会自动在最后加上 .php 后缀，最终 $file 会被赋值给 $this->displayfile，并在 Vie ...

[toc] Lodash 模块原型链污染Lodash 是一个 JavaScript 库，包含简化字符串、数字、数组、函数和对象编程的工具，可以帮助程序员更有效地编写和维护 JavaScript 代码。并且是一个流行的 npm 库，仅在GitHub 上就有超过 400 万个项目使用，Lodash的普及率非常高，每月的下载量超过 8000 万次。但是这个库中有几个严重的原型污染漏洞。 lodash.defaultsDeep 方法造成的原型链污染（CVE-2019-10744）2019 年 7 月 2 日，Snyk 发布了一个高严重性原型污染安全漏洞（CVE-2019-10744），影响了小于 4.17.12 的所有版本的 lodash。 Lodash 库中的 defaultsDeep 函数可能会被包含 constructor 的 Payload 诱骗添加或修改Object.prototype 。最终可能导致 Web 应用程序崩溃或改变其行为，具体取决于受影响的用例。以下是 Snyk 给出的此漏洞验证 POC： 1234567891011const mergeFn = require(& ...

[toc] 文章首发：https://www.anquanke.com/post/id/254387 基础知识FTP 协议FTP（File Transfer Protocol，文件传输协议） 是 TCP/IP 协议组中的协议之一。FTP 协议包括两个组成部分，其一为 FTP 服务器，其二为 FTP 客户端。其中 FTP 服务器用来存储文件，用户可以使用 FTP 客户端通过 FTP 协议访问位于 FTP 服务器上的资源。在开发网站的时候，通常利用 FTP 协议把网页或程序传到 Web 服务器上。此外，由于 FTP 传输效率非常高，在网络上传输大的文件时，一般也采用该协议。 默认情况下 FTP 协议使用 TCP 端口中的 20 和 21 这两个端口，其中 20 用于传输数据，21 用于传输控制信息。但是，是否使用 20 作为传输数据的端口与 FTP 使用的传输模式有关，如果采用主动模式，那么数据传输端口就是 20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。 FTP 协议的工作方式FTP 支持两种模式，一种方式叫做 Standard（也就是 PORT 方式，主 ...

有趣的 LD_PRELOAD[toc] 前言 文章首发自我的安全客：https://www.anquanke.com/post/id/254388 LD_PRELOAD 是 Linux 系统中的一个环境变量，它可以影响程序的运行时的链接（Runtime linker），它允许你定义在程序运行前优先加载的动态链接库。如果你是个 Web 狗，你肯定知道 LD_PRELOAD，并且网上关于 LD_PRELOAD 的文章基本都是绕过 disable_functions，都快被写烂了。 今天我们就从浅入深完整的学习一下什么是 LD_PRELOAD，LD_PRELOAD 有什么作用，我们可以如何利用 LD_PRELOAD。 首先，什么是链接程序的链接主要有以下三种： 静态链接：在程序运行之前先将各个目标模块以及所需要的库函数链接成一个完整的可执行程序，之后不再拆开。 装入时动态链接：源程序编译后所得到的一组目标模块，在装入内存时，边装入边链接。 运行时动态链接：原程序编译后得到的目标模块，在程序执行过程中需要用到时才对它进行链接。 对于动态链接来说，需要一个动态链接库，其作用在于当动态库中的 ...

Double Sqli题目环境： http://39.105.175.150:30001/?id=1 http://39.105.116.246:30001/?id=1 http://39.105.189.250:30001/?id=1 进入题目是一个 sql 注入，没有任何过滤，直接用 sqlmap 跑可以打通，但是不知道是什么数据库。 尝试报错发现是 clickhouse 数据库： ClickHouse 是一个用于联机分析(OLAP)的列式数据库管理系统(DBMS)，其语法与 MySQL 相似。网上关于 ClickHouse 注入的资料很少，但是还是可以找到一篇：https://blog.deteact.com/yandex-clickhouse-injection/ 与 MySQL 相似，ClickHouse 中也有很多系统表，我们就是通过这些系统表来注入得到数据的：https://clickhouse.com/docs/zh/operations/system-tables/。 首先获取数据库内所有的数据库名： 1/?id=-1 union all select na ...

[toc] Twig 简介Twig 是一个灵活、快速、安全的 PHP 模板语言。它将模板编译成经过优化的原始 PHP 代码。Twig 拥有一个 Sandbox 模型来检测不可信的模板代码。Twig 由一个灵活的词法分析器和语法分析器组成，可以让开发人员定义自己的标签，过滤器并创建自己的 DSL。 Twig is a modern template engine for PHP Fast: Twig compiles templates down to plain optimized PHP code. The overhead compared to regular PHP code was reduced to the very minimum. Secure: Twig has a sandbox mode to evaluate untrusted template code. This allows Twig to be used as a template language for applications where users may modify the templ ...

[toc] 前言如今，在很多组织机构内部，针对 DMZ 或隔离网络区域内的计算机设备，为了限制其它接入端口风险，通常只允许这些设备开启 3389 端口，使用远程桌面来进行管理维护。那么我们能不能利用这个 3389 端口的 RDP 服务建立起一条通向内网的代理隧道呢？当然可以，下面就引出我们今天的主角 —— SocksOverRDP。 SocksOverRDP 项目地址：https://github.com/nccgroup/SocksOverRDP SocksOverRDP 可以将 SOCKS 代理的功能添加到远程桌面服务，它使用动态虚拟通道，使我们能够通过开放的 RDP 连接进行通信，而无需在防火墙上打开新的套接字、连接或端口。此工具在 RDP 协议的基础上实现了 SOCKS 代理功能，就像 SSH 的 -D 参数一样，在建立远程连接后，即可利用 RDP 协议实现代理功能。 该工具可以分为两个部分： 第一部分是一个 .dll 文件，需要在 RDP 连接的客户端上进行注册，并在每次运行时将其加载到远程桌面客户端 mstsc 的上下文运行环境中。 第二部分是一个 .exe 可执行 ...

[toc] 前言通常认为远程桌面协议是连接远程计算机的安全且值得信赖的应用程序，全球数以千计的 IT 专业人员和安全研究人员都在使用远程桌面协议管理者自己的计算机设备，无论是用于帮助远程工作人员还是在安全的 VM 环境中工作，RDP 远程桌面客户端都是非常宝贵的工具。然而，这一值得信赖的应用程序并不是完全可靠的，在我的《内网渗透测试：初探远程桌面的安全问题》这篇文章中，我大致罗列出了常见的用于攻击 RDP 远程桌面的方式。本节我们就一个问题进行探讨，即如何通过远程桌面服务端反打连接他的客户端。 如今，在很多组织机构内部，针对 DMZ 或隔离网络区域内的计算机设备，为了限制其它接入端口风险，通常只允许这些设备开启 3389 端口，使用远程桌面来进行管理维护，这样，所有正向攻击手段都无法使用。那这样真的就万无一失了吗？当然不是。本节我们就来研究如何通过 RDP 反向攻击的方式针对这种受限网络设备完成渗透测试。 RDP 反向攻击的姿势有不少，本节我们主要针对最简单的一个姿势来进行进行讲解，即通过挂载盘符进行 RDP 反向攻击。其基本原理就是Windows 远程桌面客户端 mstsc 有一个 ...

[toc] 前言Windows 远程桌面是用于管理 Windows 服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面，攻击者也喜欢使用（狗头）。在之前的文章中我们已经介绍了很多攻击远程桌面的方法，本篇文章我们继续来探究。 在渗透测试中，RDP 远程桌面连接的历史记录不可忽视，根据历史连接记录我们往往能够定位出关键的服务器。并且，当我们发现了某台主机上存在远程桌面的连接记录，我们还可以想办法获取其远程桌面登录历史的连接凭据。用于登录 RDP 远程桌面会话的凭据通常具有特权，这使它们成为红队操作期间的完美目标。 获取 RDP 远程桌面连接记录获取 RDP 远程桌面的连接记录我们可以通过枚举注册表完成，但是如果想要获得所有用户的历史记录，需要逐个获得用户的 NTUSER.DAT 文件，通过注册表加载配置单元，导入用户配置信息，再进行枚举才能够实现。 导出当前用户的历史记录可以通过枚举以下注册表键值查看当前用户的历史记录： 1HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers 如下图所示，每个注册表项保存 ...

[toc] 漏洞概述Squirrelly 是一个用 JavaScript 实现的现代、可配置且速度极快的模板引擎。它与 ExpressJS 一起开箱即用，完整版的 gzip 压缩后仅重约 4KB。 2021 年 5 月 14 日，在 SquirrellyJS 从 v8.0.0 到 v8.0.8 及以上的版本爆出了一个漏洞（CVE-2021-32819）。官方对该漏洞原因的描述如下： The Express render API was designed to only pass in template data. By allowing template engine configuration options to be passed through the Express render API directly, downstream users of an Express template engine may inadvertently introduce insecure behavior into their applications with impacts rang ...