📰 最近消息
正因为URI后多加一个/,就能让requestURI和pathPattern匹配不上,直接进入else,并且能在else中的if使其pathPattern和requestURINoTrailingSlash成功匹配上。所以根据第一个拦截器的匹配不成功则又来到doMatch匹配第二个拦截器。24小时在线接单客服承接各种难题@wei2020202024小时在线接单客服机器人@wei20202020bot
VMware Security 博客 中的重点就在这个 emotet 家族的 C2 配置提取,但是过程并没有很明晰,只是直接放上 截图说这就是 C2 的解密函数,现在我从头到尾分析过一遍后发现还是有迹可循的,比如 F8 单步执行时会有明显的 ECK1、ECS1 字样,在后面调用大量加密解密和网络通信 API 中也会发现有对密钥和 IP 的导入,凭借这些迹象足够我们定位到这个 C2 配置解密函数了。24小时在线接单客服承接各种难题@wei2020202024小时在线接单客服机器人@wei20202020bot
由前面的代码分析可知, $code 参数我们需要构造的内容要满足两点:1、$timestamp - $get['time']> 36002、$get['action']=updateapps; 且要通过 _authcode() 解码,所以我们这里要将 $code 的内容先进行编码这里 $code 传入加密后的内容,而 $post 的内容按照XML格式构造才能解析。POC如下:配置文件中已经被我们成功写入一句话24小时在线接单客服承接各种难题@wei2020202024小时在线接单客服机器人@wei20202020bot
正常的通过autodiscover读取配置信息的请求包。poc中的几个问题关于/ecp/target.js路由的问题,target.js是否是必须的。cookie中的X-BEResource字段是干什么用的,X-BEResource字段的值为何构造成了[name]@win-v2jneuvoljv.test.com:443/autodiscover/autodiscover.xml?#~1941962753这种形式。漏洞存在于Microsoft.Exchange.FrontEndHttpProxy.dll中:applicationPool.MSExchangeECPAppPool是本次漏洞的相关
观察更新个人信息功能第一是携带了邮箱更新,如上所示,正常我们单独修改关键的邮箱是需要交易密码的, 因为站点是一处涉及基金交易,但是普通的修改个人信息却是可以直接修改邮箱,跳过交易密码,第二是请求包没有token等其他涉及状态码字段,那么是不是可以尝试一下CSRF呢将更新POST请求右键制作为CSRFPOC 把生成的代码拷贝一下随意改一下信息为自定义的,然后本地作为html文件poc.html 用当前小号登录的浏览器去打开,点击后返回修改成功刷新站点,当前的个人信息包括邮箱已经是我们所设置的,CSRF 攻击成功24小时在线接单客服承接各种难题@wei2020202024小时在线接单客服机器人@w
24小时在线接单客服承接各种难题@wei2020202024小时在线接单客服机器人@wei20202020bot
24小时在线接单客服承接各种难题@wei2020202024小时在线接单客服机器人@wei20202020bot