!0ud10ve的个人博客

会议纪要

Fri, 27 Mar 2026 00:00:00 GMT

智能化网络对抗#

自动化渗透测试#

多步骤决策、推理

记忆衰退、规划短视、幻觉虚构

动作伪造、反馈篡改、指令脱轨

丢失关键词

提示词工程 -> 大模型工程 -> agent harness

基础渗透测试、流量？、每一步做详细记录保证真正落实

流量审计

智能体 vs 反智能体

pypi供应链投毒

CVE-2023-20198

Mon, 23 Dec 2024 00:00:00 GMT

漏洞描述#

未经身份验证的远程攻击者可以利用该漏洞创建具有最高访问权限的账户，进而控制受影响的系统。启用了Web UI功能的Cisco IOS XE设备均受该漏洞影响。

漏洞分析#

首先，通过审计/var/LibLua/WSMAApiLib.lua可以发现，要执行CLI代码，最终都是通过访问/lua路径来实现的。

WSMAApiLib-WSMAApplyInteractiveCmd.png

WSMAApiLib-WSMASendCommand.png

继续审计nginx的配置，该路径配置了internal字段，所以只能通过nginx内部代码来访问该路径。接着看代码，可以发现，/lua路径最终会根据http或者https来选择访问/webui_wsma_http(s) 路径，同样，该路径也是没办法通过外部访问，这部分nginx配置理论上无法绕过。

webuiconf.png

不过，/webui_wsma_http(s)路径也不是最终执行CLI命令的地方，最终是通过访问http(s)://192.168.1.6来与iosd程序进行通信，下面进行一个测试。

Terminal window

1
ip netns exec 8 curl -kv http://192.168.1.6/webui_wsma_http -d "<xml>"

test1.png

Terminal window

1
ip netns exec 8 curl -kv http://192.168.1.6/webui_wsma%5fhttp -d "<xml>"

test2.png

注：
这里绕过nginx，从内部访问后端的IP地址，借助了CVE-2023-20273进行了命令执行

从上面可以发现，iosd能够进行URL decode。

想要执行CLI命令，需要直接访问http://host/webui_wsma_http来请求到192.168.1.6后端，由于设置了internal关键字，所以直接外部访问会返回404。

然而nginx默认情况下，会把请求发送给iosd后端且nginx服务是会对URL编码进行解码的。这样可以使用二次URL编码绕过这个nginx的内部网络限制，从而在外部进行命令执行。

漏洞利用#

执行脚本，漏洞利用成功

exp_check.png

CVE-2023-20273

Mon, 23 Dec 2024 00:00:00 GMT

漏洞描述#

思科IOS XE软件的Web UI功能存在漏洞，经过身份验证的远程攻击者可以利用此漏洞注入具有root特权的命令。此漏洞是由于输入验证不充分导致的。攻击者可以通过发送精心构造的输入利用此漏洞。成功利用此漏洞可使攻击者注入命令到底层操作系统并获得root特权。

影响版本#

16.12 ~ 16.12.10a
17.3 ~ 17.3.8a
17.6 ~ 17.6.6a

漏洞分析#

先进行固件解包

Terminal window

1
binwalk -Me

在/var/scripts/lua/features/utils.lua文件中，IPv6的验证函数出现了问题。

utils-isIpv6Address.jpg

正则chunks[i]:match("([a-fA-F0-9]*)")没有限制结束字符，也就是说只要构造的字符串开头部分能成功匹配正则。

命令注入点：#

snortcheck.lua#

在validateSnortRequest函数中会对ipaddress进行检查，但是因为能绕过IPv6的检查，所以这里可以导致命令注入。

snortcheck-installSnort.jpg

备注：
在IOS-XE中，17版本的命令执行函数是runPexecCommand

softwareMgmt.lua#

在validateSmuRequest中会对ipaddress进行检查

validationModule-validateIPv4IPV6HostNameAddress.png

随后会在generateUrlAndDestination中拼接到url当中，最后导致命令注入

softwareMgmt-generateUrlAndDestination.png

softwareMgmt-POST.png

softwareUpgrade.lua#

在该文件中有两处命令注入漏洞，漏洞成因同上

softwareUpgrade-POST.png

softwareUpgrade-GET.png

漏洞利用#

执行脚本，漏洞利用成功

exp.jpg

github上的利用脚本仅利用了softwareMgmt.lua文件中的漏洞

Docker

Thu, 05 Dec 2024 00:00:00 GMT

简介#

Docker是一个基于Go语言的开源的应用容器引擎，允许让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口，更重要的是容器性能开销极低。

个人理解：docker的出现解决了大量的环境配置问题。

代理配置#

这个很重要，因为DockerHub总是不能正常访问，可以走一些大厂的渠道拉取镜像。

科大镜像：https://docker.mirrors.ustc.edu.cn/ 网易：https://hub-mirror.c.163.com/ 阿里云：https://<你的ID>.mirror.aliyuncs.com 七牛云加速器：https://reg-mirror.qiniu.com

!0ud10ve的个人博客

会议纪要

智能化网络对抗#

自动化渗透测试#

CVE-2023-20198

漏洞描述#

漏洞分析#

漏洞利用#

CVE-2023-20273

漏洞描述#

影响版本#

漏洞分析#

命令注入点：#

snortcheck.lua#

softwareMgmt.lua#

softwareUpgrade.lua#

漏洞利用#

Docker

简介#

代理配置#

容器使用#