用户
搜索
  • TA的每日心情
    奋斗
    3 天前
  • 签到天数: 8 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋-脚本小子

    Rank: 2

    10

    主题

    18

    帖子

    233

    魔法币
    收听
    3
    粉丝
    0
    注册时间
    2018-7-4
    发表于 2020-11-20 22:07:18 55648

    前言

    上篇文章通达OA前台任意用户登录、文件上传&文件包含、SQL注入复现复现了通达OA多个漏洞,本次练习TDOA11.3的文件上传、文件包含漏洞的POC编写,包括:python POC、xray POC、goby POC


    1.漏洞环境准备

    傻瓜式安装,此处略去安装步骤

    1.1漏洞验证

    验证文件上传
    DlEJQP.md.png
    验证文件包含
    DlEHOK.md.png

    2.python POC编写

    第一次编写POC,感觉无从下手,准备站在前辈的肩膀上学习。在从网上搜索了一圈前辈们的POC,找到一个自己能理解的,毕竟基础薄弱嘛

    requests:支持HTTP连接保持和连接池,支持使用cookie保持会话,支持文件上传,支持自动响应内容的编码,支持国际化的URL和POST数据自动编码。

    TDOA11.3的文件上传、文件包含联动可以实现RCE,所以POC分为2个部分,先上传图片马。POC中使用了try...except...异常处理结构来提升程序的鲁棒性和容错性。try字句中的代码块为可能引发异常的语句,其中headers、payload部分与使用burp抓包复现漏洞时的数据包一致
    DlZCC9.md.png
    使用正则获取图片马路径和名称(filename),验证response包的状态码,如果是200就证明图片马上传成功,将url、filename传给include_file,同时等待执行结果并与预设定的flag进行匹配
    DlZjxI.md.png
    再利用include_file进行文件包含引用图片马,传入命令执行。其中headers、payload部分与使用burp抓包复现漏洞时的数据包一致
    DlePIg.md.png
    命令执行完返回result,与flag匹配成功,说明漏洞存在
    DleARs.md.png

    3.xray 文件上传POC编写

    xray是一款功能强大的安全评估工具,支持常见 web 安全问题扫描和自定义 POC。我比较喜欢用来做被动流量扫描,可以和crawlergo、rad搭配使用,堪称挖洞神器组合!xray社区版免费对外开放,高级版可以通过提交POC、积分换取(与xray合作的src平台)、活动月白嫖(双11保卫战等),xray还有企业版,功能更强大,但对于我等单兵作战人员来有点遥不可及。
    参考xray官方给的POC编写文档

    3.1POC结构

    DleuZT.md.png
    rules是POC的灵魂
    method、path、headers、body、follow_redirects的作用是生成检测漏洞的数据包
    expression 的作用是判断该条 Rule 的结果
    search 的作用是从返回包中提取信息
    其中response.status==200 && response.body.bcontains(b'Example Domain')意思是返回包status等于200,且body中包含内容“Example Domain”,bcontains 用来匹配 bytes 是否包含
    detail中写入POC作者个新信息

    3.2在线POC编写

    使用 在线编辑环境根据格式填入内容(内容同burp手工验证漏洞时的payload)
    DleKdU.md.png
    将生成的内容复制到本地,同时添加作者信息保存为yml格式的文件。使用xray指定插件对目标进行扫描,如下证明漏洞存在:
    DleJQ1.md.png

    4.Goby 文件上传POC编写

    Goby 新一代网络安全测试工具,由赵武Zwell(Pangolin、FOFA作者)打造,能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向
    Goby支持自定义POC编写,点击“漏洞”---“POC管理”进行自定义POC编写
    DleYsx.md.png
    根据提示填写漏洞信息
    DleadO.md.png
    填写POC信息,HTTP头、Post数据内容与burp手工验证漏洞时内容一致
    Dle6yt.md.png
    填写目标IP进行‘单IP扫描’,验证成功
    DleWTS.md.png


    总结
    本次练习编写POC之前一致认为写POC很难,在POC写完后才发现原来我也行,感谢大佬对我的鞭策!

    评分

    参与人数 1魔法币 +5 收起 理由
    lightx美呀 + 5

    查看全部评分

    发表于 2020-11-23 10:23:01
    TQL
    使用道具 举报 回复
    发表于 2020-11-23 15:54:32
    真香
    使用道具 举报 回复
    馋了馋了馋了,啥也别说了 就想问一句  POC的下载连接在哪???!!!!
    使用道具 举报 回复
    发表于 2020-11-24 17:37:43
    可爱的小雨淅淅 发表于 2020-11-24 16:48
    馋了馋了馋了,啥也别说了 就想问一句  POC的下载连接在哪???!!!! ...

    https://github.com/Al1ex/TongDa-RCE   膜拜大佬
    使用道具 举报 回复
    TQL
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册