• Password Manager Pro漏洞调试环境搭建

  12 Aug 2022

  0x00 前言 本文记录从零开始搭建Password Manager Pro漏洞调试环境的细节。 0x01 简介 本文将要介绍以下内容： Password Manager Pro安装 Password Manager Pro漏洞调试环境配置 数据库连接 0x02 Password Manager Pro安装 1.下载 最新版下载地址：https://www.manageengine.com/products/passwordmanagerpro/download.html 旧版本下载地址：https://archives2.manageengine.com/passwordmanagerpro/ 最新版默认可免费试用30天，旧版本在使用时需要合法的License 注： 我在测试过程中，得出的结论是如果缺少合法的License，旧版本在使用时只能启动一次，第二次启动时会提示没有合法的License 2.安装 系统要求：https://www.manageengine.com/products/passwordmanagerpro/system-requirements.html 对于Windows系统，需要Win7以上的系统，Win7不支持 默认安装路径：C:\Program Files\ManageEngine\PMP 3.测试 安装成功后选择Start PMP Service 访问https://localhost:7272 默认登录用户名：admin 默认登录口令：admin 如下图 0x03 Password Manager Pro漏洞调试环境配置 本文以Windows环境为例 1.Password Manager Pro设置 查看服务启动后相关的进程，如下图 java进程的启动参数： "..\jre\bin\java" -Dcatalina.home=.....

• Zimbra-SOAP-API开发指南5——邮件转发

  03 Aug 2022

  0x00 前言 本文将要继续扩充开源代码Zimbra_SOAP_API_Manage的功能，通过Zimbra SOAP API修改配置实现邮件转发，分享开发细节。 0x01 简介 本文将要介绍以下内容： 添加邮件转发 查看邮件转发的配置 查看文件夹共享的配置 开源代码 0x02 添加邮件转发 Zimbra支持将收到的邮件额外转发至另一邮箱，通过Web界面的操作方法如下： 登录邮箱后，依次选择Preferences->Mail，如下图 设置转发邮箱后，点击Save 如果想要转发多个邮箱，可以使用,进行分割，同时转发至两个邮箱的示例：test1@test.com,test2@test.com 接下来，通过抓包的方式分析实现流程，进而使用程序实现这部分功能 抓包获得的soap格式示例： <soap:Body> <BatchRequest xmlns="urn:zimbra" onerror="stop"> <ModifyPrefsRequest xmlns="urn:zimbraAccount" requestId="0"> <pref name="zimbraPrefMailForwardingAddress">test1@test.com</pref> </ModifyPrefsRequest> </BatchRequest> </soap:Body> 实现代码示例： def addforward_request(uri,token): print("[*] Input the mailbox to forward:") print(" Eg :test1@test.com,test2@@test.com") mailbox = input("[>]: ") request_body="""<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope">...

• Zimbra-SOAP-API开发指南4——邮件导出和文件夹共享

  27 Jul 2022

  0x00 前言 本文将要继续扩充开源代码Zimbra_SOAP_API_Manage的功能，实现邮件导出和文件夹共享，分享开发细节。 0x01 简介 本文将要介绍以下内容： 邮件导出 文件夹共享 开源代码 0x02 邮件导出 Zimbra支持导出当前邮箱的所有邮件，通过Web界面的操作方法如下： 登录邮箱后，依次选择Preferences->Import/Export，如下图 接下来，通过抓包的方式分析实现流程，进而使用程序实现这部分功能 1.默认配置导出邮件 默认配置下，会导出所有邮件，以压缩包的形式保存 访问URL示例： https://192.168.1.1/home/admin%40test.com/?fmt=tgz&filename=All-2022-07-27-181056&emptyname=No+Data+to+Export&charset=UTF-8&callback=ZmImportExportController.exportErrorCallback__export1 参数解析： admin%40test.com为邮箱用户，可以用~替代 filename=All-2022-07-27-181056为存在记录时保存的文件名，2022-07-27-181056对应的时间格式为年-月-日-时分秒，时间为带时区的时间，需要计算时差 emptyname=No+Data+to+Export为空记录时保存的文件名 在程序实现上，需要同Web操作的格式保持一致，代码细节： (1)构造保存的文件名 from time import localtime, strftime exporttime = strftime("%Y-%m-%d-%H%M%S", localtime()) filename = "All-" + str(exporttime) print(filename) (2)保存文件 保存文件时使用binary写入 with open(path, 'wb+') as file_object: file_object.write(r.content) 实现代码示例： def exportmailall_request(uri,token,mailbox):...

• Java利用技巧——AntSword-JSP-Template的优化

  21 Jul 2022

  0x00 前言 在之前的文章《Java利用技巧——通过反射实现webshell编译文件的自删除》曾介绍了通过反射实现AntSword-JSP-Template的方法。对于AntSword-JSP-Template中的shell.jsp，访问后会额外生成文件shell_jsp$U.class。《Java利用技巧——通过反射实现webshell编译文件的自删除》中的方法，访问后会额外生成文件shell_jsp$1.class。 在某些特殊环境下，需要避免额外生成.class文件。本文将以Zimbra环境为例，介绍实现方法，开源代码，记录细节。 0x01 简介 本文将要介绍以下内容： 实现思路 实现代码 0x02 实现思路 基于《Java利用技巧——通过反射实现webshell编译文件的自删除》中的方法，访问后会额外生成文件shell_jsp$1.class，这里可以通过构造器避免额外生成.class文件。 在具体使用过程中，需要注意如下问题： (1)反射机制中的构造器 正常调用的代码： str=new String(StringBuffer); 通过反射实现的代码： Constructor constructor=String.class.getConstructor(StringBuffer.class); String str=(String)constructor.newInstance(StringBuffer); (2)选择合适的defineClass()方法 在ClassLoader类中，defineClass()方法有多个重载，可以选择一个可用的重载 本文选择defineClass(byte[] b, int off, int len) (3)SecureClassLoader 使用构造器时，应使用SecureClassLoader，而不是ClassLoader 示例代码： Constructor c = SecureClassLoader.class.getDeclaredConstructor(ClassLoader.class); 0x03 实现代码 为了方便比较，这里给出每种实现方法的代码: (1)test1.jsp 来自AntSword-JSP-Template中的shell.jsp，代码如下： <%! class U extends ClassLoader { U(ClassLoader c)...

• Sophos XG防火墙身份验证绕过漏洞(CVE-2022-1040)利用分析

  14 Jul 2022

  0x00 前言 CVE-2022-1040是一个Sophos XG防火墙的身份验证绕过漏洞，漏洞细节可参考《CVE-2022-1040 Sophos XG Firewall Authentication bypass》，本文仅在此文章的基础上补全文中未提到的技术细节。 0x01 简介 本文将要介绍以下内容： 本地恢复带有漏洞的调试环境 OpCode的寻找方法 WAN和VPN区域的利用思路 开启login disclaimer切断利用链 0x02 本地恢复带有漏洞的调试环境 在本地搭建漏洞环境时，如果自动更新了补丁，可通过以下方式恢复成带有漏洞的调试环境： 编辑文件/usr/share/webconsole/WEB-INF/web.xml 定位以下内容： <filter> <filter-name>RequestCheckFilter</filter-name> <filter-class>cyberoam.sessionmanagement.RequestCheckFilter</filter-class> </filter> <filter-mapping> <filter-name>RequestCheckFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 这里使用RequestCheckFilter用来过滤request请求中JSON参数是否包含不可见字符 可以手动删除以上代码，恢复成带有漏洞的调试环境 无法直接修改文件/usr/share/webconsole/WEB-INF/web.xml 在修改文件前需要重新挂载：mount -o remount,rw / 再次修改文件即可 0x03 OpCode的寻找方法 原文中提到：CSC端大概有1200种模式在运行，其中有161种模式的响应类型为2 这里可以通过反编译EventBean.class找到如下代码： select opcode,mode,waitforresponse,operationtype,responsetype,requesttype,opcodetype,responsetimeout,entityid,beanname,syncable,comprotocol,query,requestname from tblcrevent order by mode 经过分析后，响应类型对应的应该为requesttype，而不是responsetype...

• Sophos XG漏洞调试环境搭建

  07 Jul 2022

  0x00 前言 Sophos UTM和Sophos XG是两款不同的产品，前者偏向于通用威胁管理，后者偏向于硬件防火墙。本文将要介绍Sophos XG漏洞调试环境的搭建方法。 0x01 简介 本文将要介绍以下内容： 环境搭建 jetty调试环境搭建 csc配置文件解密 Postgresql数据库查询 0x02 基础知识 架构如下图 注： 图片引用自https://codewhitesec.blogspot.com/2020/07/sophos-xg-tale-of-unfortunate-re.html 总的来说，分为以下三部分： Jetty：处理Web数据，将数据转发至csc作进一步处理 csc:主程序：加载Perl Packages，实现主要功能 Postgresql：用来存储数据 我在实际研究过程中，这三部分遇到了以下问题： Jetty：添加调试信息后无法启动java csc：csc加载Perl Packages后会自动删除，无法获得Perl Packages的实现细节 Postgresql：用户权限低，无法查询数据库表 下面将要逐个介绍三个问题的解决方法 0x03 环境搭建 参考资料： https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/VirtualAndSoftwareAppliancesHelp/VMware/VMwareInstall/index.html 1.下载安装包 官方网站默认只提供最新版本的下载，但是可以通过猜测正确的版本号下载旧版本 例如18.5.3 Virtual Installers: Firewall OS for VMware： https://download.sophos.com/network/SophosFirewall/installers/VI-18.5.3_MR-3.VMW-408.zip 18.5.2 Virtual Installers: Firewall OS for...

• Zimbra-SOAP-API开发指南3——操作邮件

  01 Jul 2022

  0x00 前言 在之前的文章《Zimbra SOAP API开发指南》和《Zimbra-SOAP-API开发指南2》介绍了Zimbra SOAP API的调用方法，开源代码Zimbra_SOAP_API_Manage。 本文将要在此基础上扩充功能，添加邮件操作的相关功能。 0x01 简介 本文将要介绍以下内容： 查看邮件 发送邮件 删除邮件 0x02 查看邮件 Zimbra SOAP API说明文档：https://files.zimbra.com/docs/soap_api/9.0.0/api-reference/index.html 结合Zimbra SOAP API说明文档和调试结果得出以下实现流程： 调用Search命令获得邮件对应的Item id，通过Item id作为邮件的识别标志 获得Item id后可以对邮件做进一步操作，如查看邮件细节、移动邮件、删除邮件等 1.获得邮件对应的Item id 需要使用Search命令 说明文档：https://files.zimbra.com/docs/soap_api/8.8.15/api-reference/zimbraMail/Search.html 需要用到以下参数： (1)query 表示查看的位置，示例如下： 查看收件箱：<query>in:inbox</query> 查看发件箱：<query>in:sent</query> 查看垃圾箱：<query>in:trash</query> (2)limit 表示返回的查询结果数量，示例如下： 指定返回数量为10：<limit>10</limit> 如果不指定该属性，默认为10 测试代码： def searchinbox_request(uri,token): request_body="""<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope"> <soap:Header> <context xmlns="urn:zimbra"> <authToken>{token}</authToken>...

• 渗透基础——Exchange版本探测的优化

  30 Jun 2022

  0x00 前言 在上篇文章《渗透基础——Exchange版本探测和漏洞检测》介绍了通过Python进行版本探测的两种方法，在版本识别上，首先从官网获得已知的版本信息，将版本信息存储在列表中，然后通过字符串匹配的方式获得Exchange版本的详细信息。开源的代码Exchange_GetVersion_MatchVul.py反馈很好。但是这个方法存在一个缺点：需要定期访问官网，手动更新扫描脚本中的版本信息列表。 为了进一步提高效率，本文介绍另外一种实现方法，通过访问官网，从返回数据中直接提取出详细的版本信息，优点是不再需要定期更新脚本。 0x01 简介 本文将要介绍以下内容： 通过BeautifulSoup解析网页数据 实现细节 开源代码 0x02 通过BeautifulSoup解析网页数据 BeautifulSoup是一个可以从HTML或XML文件中提取数据的Python库，可以提高开发效率 安装： pip install bs4 1.基本使用 在Python实现上，需要先通过requests库获取网页内容，再调用BeautifulSoup进行解析 测试代码： from bs4 import BeautifulSoup import requests import urllib3 urllib3.disable_warnings() url = "https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019" headers = { "User-Agent": "Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36", } response...

• 渗透技巧——从VMware ESXI横向移动到Windows虚拟机

  20 Jun 2022

  0x00 前言 假定以下测试环境：我们获得了内网VMware ESXI的控制权限，发现VMware ESXI上安装了Windows域控服务器。 本文仅在技术研究的角度介绍从VMware ESXI横向移动到该Windows域控服务器的方法，结合利用思路，给出防御检测的方法。 0x02 简介 本文将要介绍以下内容： 利用思路 常用命令 实现方法 0x03 利用思路 通过VMware ESXI管理虚拟机，创建快照文件，从快照文件中提取出有价值的信息。 0x04 常用命令 1.查看虚拟机版本 vmware -vl 2.用户信息相关 (1)查看所有用户 esxcli system account list (2)查看管理员用户 esxcli system permission list (3)添加用户 esxcli system account add -i test1 -p Password@1 -c Password@1 (4)将普通用户添加成管理员用户 esxcli system permission set -i...

• Lsassy二次开发——添加dump方法

  12 Jun 2022

  0x00 前言 在之前的文章《渗透基础——远程从lsass.exe进程导出凭据》介绍了Lsassy的用法，Lsassy能够实现远程从lsass.exe进程导出凭据。本文将要在Lsassy的基础上进行二次开发，添加一个导出凭据的方法，记录细节。 0x01 简介 本文将要介绍以下内容： 二次开发的细节 开源代码 0x02 导出凭据的方法 在之前的文章《渗透基础——从lsass.exe进程导出凭据》提到过使用RPC控制lsass加载SSP的方式向lsass.exe进程注入dll，由dll来实现dump的功能，这个方法是Lsassy缺少的 这个方法共分为两部分： (1)加载器 使用RPC控制lsass进程加载dll文件 可参考XPN开源的代码： https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e 在编译代码时，为了提高通用性，编译选项选择在静态库中使用MFC，在原代码的基础上添加如下代码： #pragma comment(lib, "Rpcrt4.lib") 编译代码生成文件rpcloader.exe (2)dll文件 dll文件实现从lsass.exe进程导出凭据，代码可参考： https://github.com/outflanknl/Dumpert/blob/master/Dumpert-DLL/Outflank-Dumpert-DLL/Dumpert.c dll加载时会将dump文件保存为c:\windows\Temp\dumpert.dmp 编译代码生成文件dumpert.dll 经过以上操作，得到文件rpcloader.exe和dumpert.dll，作为二次开发的准备 0x03 二次开发的细节 1.添加一个需要指定文件路径的dump方法 格式参考：https://github.com/Hackndo/lsassy/blob/master/lsassy/dumpmethod/dummy.py.tpl 根据参考格式写出模块代码，我这里额外做了一些标记，细节如下： from lsassy.dumpmethod import IDumpMethod, Dependency class DumpMethod(IDumpMethod): custom_dump_path_support = False custom_dump_name_support = False dump_name = "dumpert.dmp" //进程dump文件保存的文件名 dump_share...