Zeo's Blog

前言Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的，这种未授权在某些情况下是可以达到RCE的效果的，所以还有有一定价值的，下面就是对这一系列漏洞复现。 基本上就是参考这篇文章的做的复现： LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料，利用方法和技巧合集，黑盒安全评估 check list (github.com) Spring Boot Actuator简介Spring Boot Actuator端点通过 JMX 和HTTP 公开暴露给外界访问，大多数时候我们使用基于HTTP的Actuator端点，因为它们很容易通过浏览器、CURL命令、shell脚本等方式访问。 一些有用的执行器端点是： Spring Boot Actuator未授权访问 12345678910111213/dump - 显示线程转储（包括堆栈跟踪）/autoconfig - 显示自动配置报告/configprops - 显示配置属性/trace - 显示最后几条HTTP消息（可能包含会话标识符）/logfi ...

0x01 漏洞影响产品概述SonarQube是一款开源静态代码质量分析管理工具，支持Java、Python、PHP、JavaScript、CSS等27种以上目前极为流程的编程开发语言，同时它能够便捷集成在各种IDE、Jenkins、Git等服务中，方便及时查看代码质量分析报告。该工具在github开源社区获得6.3K的关注量，在全球颇具影响力，深得全球各研发工作者的喜爱。 0x02 漏洞描述SonarQube是一款开源静态代码质量分析管理工具，在默认配置的情况下，缺少对API 接口的访问权限控制，攻击者可利用该漏洞在未授权的情况下，通过访问api/settings/values接口从而获取到 SMTP、SVN、GitLab 凭据，进一步获取源代码数据仓库中的源代码，造成项目源代码泄露。同时还可以对使用默认账号密码的用户进行攻击，系统安装完成后，默认弱口令为admin/admin，攻击者通过输入默认账号密码，同样可以获得敏感配置信息，从而进一步窃取企业源代码。 0x03 影响版本此次受影响 SonarQube 版本如下： SonarQube版本 是 ...

0x01 CVE-2021-4034 漏洞详情Polkit（PolicyKit）是一个用于控制类Unix系统中系统范围权限的组件，它为非特权进程与特权进程的通信提供了一种有组织的方式。pkexec是Polkit开源应用框架的一部分，它负责协商特权进程和非特权进程之间的互动，允许授权用户以另一个用户的身份执行命令，是sudo的替代方案。 1月25日，研究人员公开披露了在 polkit 的 pkexec 中发现的一个权限提升漏洞（CVE-2021-4034 ，也称PwnKit)，它存在于所有主流的 Linux 发行版的默认配置中。受影响版本的 pkexec 无法正确处理调用参数计数，最终尝试将环境变量作为命令执行，攻击者可以通过修改环境变量来利用此漏洞，诱使 pkexec 执行任意代码，从而导致将本地权限提升为root。 0x02 影响范围自2009年以来的所有 Polkit 版本（存在于所有主流的 Linux 发行版中） CentOS系列： CentOS 6：polkit-0.96-11.el6_10.2 CentOS 7：polkit-0.112-26.el7_9.1 CentOS ...

0x00 攻防演练钓鱼起因，在大型攻防演练中，传统的web层面Nday打点突破难点变大，于是越来越多的攻击队会加入钓鱼行动中，本文章就常规邮件的钓鱼进行介绍，后续还有IM这种也是很有效的方式。 0x01 搭建Gophish钓鱼平台Gophish 是一个功能强大的开源网络钓框架，安装运行都非常简单。 Github 地址：https://github.com/gophish/gophish 1、下载https://github.com/gophish/gophish/releases 下载对应的版本 123wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zipunzip gophish-v0.11.0-linux-64bit.zip 2、修改 config.json1vim config.json admin_server 把 127.0.0.1 改为 0.0.0.0,外网直接访问就要0.0.0.0 listen_url也要是0.0. ...

将自己创建的docker镜像push到dockerhub上去，结果出现了以上错误 docker denied/ requested access to the resource is denied.md 原因分析：在build自己的镜像的时候添加tag时必须在前面加上自己的dockerhub的username， 例如我要往我账号里push本地镜像，命令 第一步要将容器打包成镜像：1docker commit -a="test" -m="test" 58b8cae10a89 test/zyimage:0.0.1 test/zyimage:0.0.1 test是你在docker.hub上面的账户名， zyimage是镜像名称， 0.0.1是镜像的tag。 第二部上传镜像，pull 对应的镜像就好了1docker push test/zyimage:0.0.1 完成后，在docker.hub里My Profile里的Repositories里就可以看到刚刚push的镜像

0x01 漏洞说明Apache ShenYu 是应用于所有微服务场景的，可扩展、高性能、响应式的 API 网关解决方案。 Apache ShenYu Admin 存在身份验证绕过漏洞**（CVE-2021-37580）*，该漏洞的CVSS评分为9.8***。由于ShenyuAdminBootstrap 中 JWT 的错误使用允许攻击者绕过身份验证，攻击者可通过该漏洞直接进入系统后台。 0x02 影响版本Apache ShenYu 2.3.0 Apache ShenYu 2.4.0 0x03 漏洞复现Fofa搜索标题 body=“id=“httpPath””&&body=“th:text=”${domain}“” 验证POC：1/dashboardUser 修复升级到最新版

Apache Druid LoadData 任意文件读取 漏洞 CVE-2021-367490x01 漏洞简介在 Druid 系统中，InputSource 用于从某个数据源读取数据。但是，HTTP InputSource 允许经过身份验证的用户以 Druid 服务器进程的权限从其他来源读取数据，例如本地文件系统。 这不是用户直接访问 Druid 时的权限提升，因为 Druid 还提供了 Local InputSource，它允许相同级别的访问。但是当用户通过允许用户指定 HTTP InputSource 而不是 Local InputSource 的应用程序间接与 Druid 交互时，这是有问题的。 在这种情况下，用户可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。这个问题之前提到过，根据 CVE-2021-26920 在 0.21.0 中已修复，但在 0.21.0 或 0.21.1 中未修复。 0x02 影响范围影响范围 : Apache Druid < 0.21.0 0x03 漏洞复现 URLS写入payload 1file: ...

0x01 简介 JumpServer远程执行漏洞 RCE EXP Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统，是内网中的一种集权系统，拿下后基本上都是可以控制大量的服务器。 项目地址：https://github.com/jumpserver/jumpserver 0x02 漏洞原理远程命令执行漏洞：由于 JumpServer 某些接口未做授权限制，攻击者可构造恶意请求获取到日志文件获取敏感信息，再通过敏感信息获取一个20s的token，最后利用这个token去执行相关API操作控制其中所有机器或者执行任意命令。 0x03 影响版本： JumpServer < v2.6.2 JumpServer < v2.5.4 JumpServer < v2.4.5 JumpServer = v1.5.9 0x04 复现环境搭建注意坑点环境搭建推荐使用一键安装，因为环境比较麻烦，而且还得是旧版的，这里是v2.6.1 安装脚本V2.6.1 https://www.o2oxy.cn/wp-content/uploads/2021/01/q ...

0x01 漏洞介绍&原理GitLab 是由GitLab Inc.开发的一个用于仓库管理系统的开源项目，是一款Ruby开发的Git项目管理平台。由于在11.9以后的GitLab中，使用了图片处理工具ExifTool，而此图片处理工具又受到了漏洞CVE-2021-22204的影响： 漏洞触发ExifTool功能处，ExifTool是用于从图像中移除元数据的开源工具，在解析上传图像中的元数据时，并没有完全解析某些元数据，导致攻击者上传带有恶意元数据的图片，从而导致远程命令执行。 攻击者可以通过一个存在未授权的接口，上传一张恶意构造的图片，进而导致该漏洞在无需进行身份验证的情况下即可进行RCE 0x02 影响版本123Gitlab CE/EE < 13.10.3Gitlab CE/EE < 13.9.6Gitlab CE/EE < 13.8.8 0x03 漏洞检测主页 1http://127.0.0.1/users/sign_in 1FOFA指纹：title="GitLab" EXP代码贴最后,直接运行 1python3 CVE-202 ...

0x00 前情提要日常渗透演练中，代理是必不可少的，我们用的一般也都是CS自带socks4和代理工具的socks5协议，我们此时还要考虑在这个过程中的流量免杀的问题，所以还是要对底层的协议详细的看一下，然后对流量中的特征分析和修改一下 0x01 简介和流程以下摘自维基百科 SOCKS是一种网络传输协议，主要用于客户端与外网服务器之间通讯的中间传递。SOCKS是”SOCKetS”的缩写[注 1]。 当防火墙后的客户端要访问外部的服务器时，就跟SOCKS代理服务器连接。这个代理服务器控制客户端访问外网的资格，允许的话，就将客户端的请求发往外部的服务器。 这个协议最初由David Koblas开发，而后由NEC的Ying-Da Lee将其扩展到SOCKS4。最新协议是SOCKS5，与前一版本相比，增加支持UDP、验证，以及IPv6。 根据OSI模型，SOCKS是会话层的协议，位于表示层与传输层之间。 SOCKS协议不提供加密。 小知识点：SOCKS 5 扩展了第 4 版本，加入了 UDP 协议支持 SOCKS5协议主要分为分为三个阶段： (1) 协议版本及认证方式 (2) 根据认证 ...