优秀的人,不是不合群,而是他们合群的人里面没有你
Shiro反序列化漏洞
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
Shiro反序列化漏洞在一级单位或者二级域名资产非常难见到了,主要集中在2级单位的边缘资产,3、4级单位的资产,还有公众号、小程序等资产
OA系统类漏洞
其nday漏洞在2级单位的边缘资产及3、4级单位还能遇到,一级、二级单位的主要资产除非有0day否则很难利用成功。
Fastjson漏洞
Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。
主要在目标资产的微信公众号、小程序资产上
Log4j2漏洞
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。
和fastjson漏洞一样,多数使用burpsuite的被动扫描插件发现的,而且不知道在什么地方就会冒出来。大家在扫描这个漏洞的时候,记得不要用常见的dnslog,因为特征太明显了,主流的waf或者流量监控设备都把常用的dnslog加入了黑名单,最好自己匿名搭建一个,这也是为什么同样的log4j2漏洞别人能发现,而自己却发现不了的原因所在。
Springboot框架漏洞
pring 框架是一个功能强大的 Java 应用程序框架。
对于SpringBoot漏洞的利用,/actuator/env及heapdump的利用成功案例非常非常多,不但要看根目录,还要看子目录,还要看/api/目录下有没有相关的url路由。对于有的网站,每个子目录其实它映射到后端是不同的服务器应用。从heapdump里面可以提取各种账号密码,有不少找到某云AK/SK的情况。再就是也看到了spring cloud gateway的利用
Nacos系列漏洞
Nacos是阿里zhuc中间件团队开源的一款服务发现、配置和管理微服务的中间件
这种漏洞和SpringBoot接口漏洞一样,利用成功案例出奇地多,同样也是根目录、二级目录都要看,红队队员的主要利用方式都是nacos弱口令、nacos加账号漏洞等,进入nacos后台之后,会找到数据库的账号密码。如果遇到Mssql、Oracle那么基本上可以拿下服务器权限,有时候会找到某云平台的AK/SK,拿下很多服务器权限。
Weblogic漏洞
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
Ueditor上传漏洞
UEditor 是由百度「FEX前端研发团队」开发的所见即所得富文本web编辑器。
这个漏洞也很多,多数利用都集中在那个SSRF造成的getshell漏洞,同样根目录、二级目录都要看,一些js源码中会有ueditor目录记录,可以试试这个漏洞。
SQL注入漏洞
现在很多人都不愿意去找sql注入漏洞,但是我交流经验发现,在2级单位的边缘资产和3、4级单位仍然大量存在,如果发现sql注入漏洞,运气好遇到一个量很大的目标,那危害也是很严重的;如果遇到Mssql和Oracle可以提权拿到服务器权限。当然如果遇到云上系统,不到万不得已,还是去用其它方法吧,毕竟sql注入绕云waf成本太高了,有那个精力,还不如找一下其它入口。
Tomcat漏洞
在多个单位的子公司的偏门资产上,居然还有tomcat弱口令tomcat:tomcat,这也是我没有想到的,这样的案例我见过好几次成功案例。我仔细看了一下,这些成功案例的共同特点就是,端口都不是常见端口8080,推测红队队员对每一个ip都做了全端口扫描及服务识别。此外还有tomcat AJP协议获取webshell的成功案例。
Struts2系列漏洞
现在的网站应用使用Struts2框架的越来越少了,但是还是能见到,外网也有几个成功案例。在内网横向过程中,它却发挥了比以前更大的价值,貌似都成了内网横向的利用漏洞了。
各种上传漏洞
管理员账号密码+后台上传shell,成功案例仍然非常多,而且非常典型,这里就不过多叙述了,相信大家都耳熟能详。
主要熟练掌握cms漏洞
各种弱口令漏洞
sentinel弱口令、mysql的3306弱口令,但我未见到过外网的SQLServer的弱口令(推测原因是,如果存在弱口令,早就被外网的那些抓肉鸡战队给光顾了)、phpmyadmin弱口令、管理员弱口令(进后台能看到通讯录的话,也是有价值的)、druid未授权获取session,登录后台获取数据。
逻辑漏洞/越权漏洞
公众号、小程序也会有一些业务逻辑漏洞,如常见的订单遍历、用户身份遍历,也是非常严重的。有些安全厂商可能没有自己的红队人员,但是仍然参加了攻防比赛,他们主要精力就放在挖掘业务逻辑漏洞上,但是有时候也会收到奇效,比如用户信息遍历漏洞,结果有很多行,危害也是很大的。解密小程序或者其他加密页面的js加密算法,会挖掘到高价值的业务逻辑漏洞。
其它漏洞
以下这些漏洞有成功案例,但是非常少见。向日葵RCE漏洞(非常见的高端口)、Jboss反序列化、ewebeditor上传漏洞、dubbo高端口的反序列化漏洞、RMI端口反序列化漏洞、nexus cve-2019-7238漏洞等等,xxl-job从内网翻到密码去外网拿权限,此外还有一些网络设备的漏洞,就不一一列举了。
#
