_0xf4n9x_'s Blog

0x00 漏洞简介Smartbi是企业级商业智能和大数据分析平台，满足用户在企业级报表、数据可视化分析、自助探索分析、数据挖掘建模、AI 智能分析等大数据分析需求。 2023年7月28日，Smartbi官方发布安全补丁，修复了一处权限绕过漏洞。该漏洞源于监控服务中的接口对于未登录状态也提供访问，并且攻击者能够传递可控的服务器地址到其中的某些功能，这些功能会向攻击者可控的服务器泄漏token，而这个token可被用来以管理员身份登录至后台。 0x01 影响版本 Smartbi <= V10 && Smartbi != V9.5 && 安全补丁 < 2023-07-28 0x02 漏洞分析补丁包解密下载官方提供的补丁包文件patch.patches，使用010 Editor工具可以判断文件类型为AES加密文件。如下使用cat命令进行查看，也能够判断出来。 123456$ cat patch.patchesn0+aJMe4W7hs6xzxE5RvhGCv5LbOMBYCfDSLnX9o7/jd1kKJekz5mNTWkLQrv ...

0x00 漏洞简介Openfire是一个实时协作（RTC）服务器，编写于Java，它使用唯一被广泛采用的即时通讯开放协议XMPP，并提供Web管理界面。 Openfire的API定义了一种机制，允许使用通配符实现灵活的URL模式匹配以将某些URL从Web认证中排除。并且由于Openfire使用到的Web服务器支持解析非标准的UTF-16字符URL编码变体，导致了路径遍历漏洞。通配符模式匹配与路径遍历漏洞的组合可以使攻击者绕过认证访问后台管理控制台，最终通过后台上传恶意插件能够实现远程代码执行，完全地控制服务器权限。 0x01 影响版本 >=3.10.0, <4.6.8 >=4.7.0, <4.7.5 0x02 漏洞分析通配符模式匹配致使的鉴权绕过Openfire的API定义了一种机制，可以将某些URL从Web认证中排除，此机制允许使用通配符，以实现灵活的URL模式匹配。在存在漏洞的4.7.4版本中，xmppserver/src/main/webapp/WEB-INF/web.xml配置文件的相关内容如下。 12345678910< ...

0x00 漏洞简介泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台，并可形成一系列的通用解决方案和行业解决方案。 2023年05月15日，泛微官方发布10.57.2版本安全补丁。其中修复了两个漏洞，分别是信息泄漏和任意用户登录漏洞，两个漏洞可以被攻击者组合起来利用，从而能够使攻击者进入到系统后台。 0x01 影响范围e-cology9本身版本在测试的几个版本中，如下几个版本是不存在ofsLogin.jsp文件的。 9.00.1807.03 9.00.2008.17 9.00.2102.07 9.00.2110.01 在如下版本中是存在ofsLogin.jsp文件的。 9.00.2206.02 那么可以简单判断，在9.00.2110.01以及之前的版本是不受该漏洞的影响的，在9.00.2206.02以及之后的版本可能会受到该漏洞的影响，而在这两个版本之间的版本，由于没有源码，是否受影响就不得而知了。 补丁版本 <10.57.2 ...

163bda2fc50f0d7fc2ccb7725d8bf957c7018291a58bc274d8b20d565824536f4cca9abe18d4d913bd223534b6a6a8d50120c60c4f8a3dc843aa273ecd28376786ba3d7d6b6bcb6f958ca23989eb423c7b158ac8ee322e929a060d5bf4e050478dda2ff9a15cc65f3a013ca9630f87c3a5dc90df21ab737fe6291640cc8c1bd75eb97ff094e7daf1d1b61c1f7b231b55357f0dfb176d2a809951cfa3e297b2b14776e4ccbd43e9ca3854f10cee7e07dca82bf03c7197e6de2b8a0d92fba2830652b33c38908b7c6474fc6a0a7bb9cc3c0ec7704b59e1c96876ea9d58f9af7773e198e51ed83917522d395918a7066c42064029501e84a1c17 ...

0x00 引子2023年02月23日，微步发布了一个关于泛微e-cology9 SQL注入的漏洞通告。如下图所示，根据其说明，受影响的版本范围是<=10.55版本。另外，他们还提到该漏洞无权限要求，并不是后台洞。 0x01 补丁包对比E-COLOGY安全补丁下载网址如下： https://www.weaver.com.cn/cs/securityDownload.html?src=cn 通过如下两个链接，下载该次漏洞的以及上一个版本的补丁包： v10.55：https://www.weaver.com.cn/cs/package/Ecology_security_20221014_v10.55.zip v10.56：https://www.weaver.com.cn/cs/package/Ecology_security_20230213_v10.56.zip 将两个补丁压缩包分别解压，然后使用IDEA工具对比差异。 这里对比看了很久，但是却没有看出有价值的内容。 嗯？先了解下web.xml文件中的内容。 在开头存在一个SecurityFilter的过滤器，Sec ...

0x00 Jar包针对Jar包的远程调试，就拿Behinder举例，首先IDEA新建一个项目，并在项目中创建一个lib文件夹，将Behinder的Jar包放入其中，右击该Jar包选择作为库添加（Add as Library…），对弹出的窗口点击OK。现在就能看到Behinder Jar包中反编译后的源码。 下一步，点击上图右上边的编辑配置（Add Configurations…），进入到如下窗口，单击左上角的+，选择Remote JVM Debug，修改下名称，其他默认保持不变，不过需要注意端口冲突，如下第二张图所示。 最后，将上图中的参数添加至运行命令中，不过需要注意的一点是将suspend参数值修改为y，它表示是否暂停程序等待调试器的连接。最终，使用如下命令将Behinder启动起来。 1234# ls ~/SecTools/Behinder_v3.0_Beta_11.t00lsBehinder.jar data.db s ...

0x00 漏洞简介亿赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全防护软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。亿赛通电子文档安全管理系统引用了低版本存在反序列化漏洞的XStream库，攻击者可利用该漏洞对服务器上传任意文件，进而控制服务器权限。 0x01 影响版本 <= 820 0x02 漏洞分析依赖位于WEB-INF/lib/jhiberest.jar文件，反编译后可以很明显的发现存在XStream的写法。 同时，此类在web.xml文件中的对应关系如下，由于CDG的Web根路径是/CDGServer3，那么当请求路径是/CDGServer3/SystemService时，请求将会由如下com.esafenet.servlet.service.cdgfile.SystemService类来处理。 123456<servlet> <servlet-name>SystemService</servlet-name> <servlet-cl ...

0x00 关于Clash名词解释 Clash 一个使用Golang编写的，支持Shadowsocks(R)、VMess、Trojan、Snell、SOCKS5、HTTP(S)等多个代理协议的代理工具。 ClashX 旨在提供一个简单轻量化的开源GUI代理客户端，编写于Swift，仅支持MacOS平台。 Clash for Windows（简称CFW，后面统一使用简称） 编写于Electron的闭源GUI代理客户端，支持Windows/MacOS/Linux多个平台。 以上是目前最流行的三款Clash系列相关的软件，Clash和ClashX源代码都是开源的，CFW是闭源的，ClashX与CFW这两个GUI工具的核心依然是前者Clash，即Clash是ClashX与CFW的上游。 基本使用Linux平台在Linux平台上，一般都是直接用go安装CLI的Clash进行使用。 123$ go install github.com/Dreamacro/clash@latest$ clash -vClash unknown version linux amd64 wit ...

发现学校其中一台服务器可能（绝对）存在漏洞。我想（绝对）能拿下它； 而且渗透测试的过程很有趣，便将其记录下来。 0x00 前期交互及信息收集由于是对内网直接进行大扫描，所以直接判断这不仅是一个 Web 服务器（多个），同时还运行着 FTP、数据库。 在此，再次使用 nmap 扫描一次，结果如下： 1234567891011121314151617181920212223242526272829303132333435$ sudo nmap -T4 -n -sS -sV -O 192.168.3.72Nmap scan report for 192.168.3.72Host is up (0.00076s latency).Not shown: 974 closed portsPORT STATE SERVICE VERSION7/tcp open echo9/tcp open discard?13/tcp open daytime?17/tcp open qotd Wind ...

本文在绝大数人眼里或许是篇福利文；在此文中介绍如何通过 DNS TUNNEL 的方式来绕过校园网认证，实现免认证免费上网；或许此招式并不是最优解，但对于绝大多数校园认证网确实能够成功实现。 怎么说呢！其实我早盯上了校园网了。 场景分析 / Scene Analysis吐槽在某所高校中，存在一家网络运营商，主要面向毫无收入的学生们，为我们提供日常上网冲浪。 其特点就是三字：贵、差、抠。每月79RMB的高昂费用；网络质量差，打游戏经常460；还只让三个设备使用。 没办法，我虽不用此校园网，但还是看不下去，遂有了本文。 信息收集在这所高校的网络中，统一使用的是 WiFi 热点客户端认证方式；当连上 WiFi 后，本机会向 DHCP 服务器获取一个内网 IP；关于这个 IP 地址，起初还让我很是疑惑，没想到在资源如此匮乏的大天朝，此运营商还会分一个公网 IP 给俺； 后来才知道这是个保留地址，详见其 维基百科 。 Address block Scope Description 100.64.0.0/10 私有网络 共享地址空间 在未认证前还会弹出一个下 ...