Adminxe的博客

0x00 前言今天DR发来一个shell，提不上权，而且杀软挺狠，直接就开整，记录下思路。0x01 全文快览不给大佬看废话时间，突破线路如下：webshell–>突破cmd禁用–>重构EXP突破向日葵RCE–>突破提权获取lsass文件–>突破杀软查杀落地dmp文件–>突破windows defender AMSI–>突破某杀软拦截用户添加–>尝试RDP劫持–>浏览器解密碰撞密码获得权限。0x02 shell环境1、c...

0x00 背景巴西研究员 Reginaldo Silva 于 2022 年 3 月 8 日公开披露 该漏洞,从他的博客得知 CVE-2022-0543 该 Redis 沙盒逃逸漏洞仅影响 Debian 系的 Linux 发行版本,并非 Redis 本身漏洞https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce0x01 条件未授权访问或拿到账号密码 目标为Debian及其衍生版0x02 原理首先,redis一直有一..

一、漏洞简介CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞，可覆盖重写任意可读文件中的数据，从而可将普通权限的用户提升到特权 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞（Dirty Cow），但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。二、影响范围5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102

一、简介zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix server可以通过SNMP，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平台上。该漏洞源于在启用s.

0x00 漏洞描述Polkit 是用于在类 Unix 操作系统中控制系统范围特权的组件。它为非特权进程提供了与特权进程进行通信的有组织的方式。CVE-2021-4034polkit 的 pkexec 存在本地权限提升漏洞，已获得普通权限的攻击者可通过此漏洞获取root权限。该漏洞CVSS评分：7.8，危害等级：高危漏洞利用难度低，最早引入问题的 commit 来自 2009 年，影响版本范围远超去年的 sudo 漏洞。漏洞作者在Ubuntu、Debian、Fedora 和 Ce...

0x00 漏洞描述Apache APISIX 是一个动态、实时、高性能的 API 网关， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。CVE-2021-45232该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架，所有的 API 和鉴权中间件都是基于 droplet 框架开发的..

0x00 漏洞详情Apache ShenYu（原名 Soul）是一个异步的、跨语言的、多协议的高性能响应式API 网关，并可应用于所有微服务场景。2021 年 11 月 16日，Apache发布安全公告，公开了Apache ShenYu中的一个身份验证绕过漏洞（CVE-2021-37580），该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用，导致攻击者可以绕过身份验证，直接进入目标系统后台。0x01 影响范围Apache ShenYu 2.3.0..

0x00 前言作者：Moco慢慢的距离上次写文章已过去了377天，这一年发生了好多好多的事，经历了好多好多的变故，或喜或悲、或分或合、起起落落，整整的一年了得，没怎么好好学习，没怎么认真的钻研技术，对自己表示很抱歉，违背了“白帽守则”，让我们重温一下“白帽守则”：白帽守则第一页第一条，心中无女人，挖洞自然神。白帽守则第一页第二条，只有不努力的白帽，没有挖不到的漏洞对此我深表歉意、望大家以我为戒，踏踏实实的深入贯彻落实“白帽守则”，切实维护祖国网络空间安全。0x01 漏洞描述A..

0x00 漏洞详情由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL 传递给 HTTPInputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。0x01 fofa语法title="Apache Druid"0x02 漏洞复现主界面–>Load data –>HTTP(s)–>Connect Data–>URIs(使用file://协议进行..

0x00 漏洞简介：漏洞出来第一时间，听漏洞浍测的朋友传来的情报，就及时给了POC，但一直没复现，只是简单看了文章，提到需要可以注册用户才能进行攻击，然后就感觉挺鸡肋，没有再继续看。恰巧好基友涛子给我发来他复现的文章，看了看exp，感觉并没那么鸡肋，相反可以通过未授权进行权限的获取，正好自己也复现了一手，同时借用涛子的文章给大家展现了出来。GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，并在此基础上搭建起来的 Web服务。GitLab是一款Ruby开发的G..

0x00若依介绍若依可以用于所有的Web应用程序，如网站管理后台，网站会员中心，CMS，CRM，OA。所有前端后台代码封装过后十分精简易上手，出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。寓意：你若不离不弃，我必生死相依0x01漏洞描述若依管理系统是基于SpringBoot的权限管理系统,后台存在sql注入、任意文件下载漏洞，可以读取数据库、服务器上的任意文件内容。0x02FOFAapp=”若依-管理系统”0x03漏洞复现SQL注入这是个..

0x00简介YAPI是由去哪儿网移动架构组(简称YMFE，一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具，是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务，可以帮助开发者轻松创建、发布和维护不同项目，不同平台的API。有了YAPI，我们可以很方便的测试、管理和维护多个项目的API接口，不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭)，YAPI是一个独立..

0x00 FOFA语句body="WebApi/encrypt/js-sha1/build/sha1.min.js"0x01 未授权访问漏洞利用https://xxx.com/accountmanage/index转载请注明：Adminxe's Blog»【漏洞复现】绿盟BAS日志数据安全性分析系统未授权访问...

0x00 漏洞详情Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问，该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。该RpcAddPrinterDriverEx()函数用于在系统上安装打印机驱动程序。此函数的参数之一是DRIVER_CONTAINER对象，它包含有关添加的打印机将使用哪个驱动程序的信息。另一个参数，dwFileCopyFlags指定如何复制替换打印机驱动程序文件。攻击者可..

0x00 前言H3C SecParh堡垒机 data_provider.php 存在远程命令执行漏洞，攻击者通过任意用户登录或者账号密码进入后台就可以构造特殊的请求执行命令，漏洞类似于齐治堡垒机0x01 影响范围H3C SecParh堡垒机0x02 漏洞复现先通过任意用户登录获取Cookie/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(1..

0x00前言这是上周hw中遇到的一个cms，记录一下，防止以后遇到忘记利用点（手动狗头）0x01介绍PageAdmin Cms是一款基于asp.net mvc开发的自助建站系统，于2008年发布，从最开始的2.0版本到目前的4.0版本，强大的后台管理功能，良好的用户操作体验，开发式的功能扩展，让各种类型网站制作更加便捷和灵活。0x02开搞！！!网页内容太多，全码了往下滑，一般会底部写着PageAdmin cms直接+一手master看是不是常规后台..

0x00 漏洞描述用友 NC bsh.servlet.BshServlet 存在远程命令执行漏洞，通过BeanShell 执行远程命令获取服务器权限看到这个beanshell，就会想起来一个洞，是泛微OA的beanshell0x01 漏洞影响用友 NC0x02 FOFA“用友网络”0x03 漏洞复现漏洞位置/servlet/~ic/bsh.servlet.BshServlet将POC修改为：exec(“whoami”)0x04 利用总..

0x00 蓝凌OA custom.jsp 任意文件读取漏洞1、app=”Landray-OA系统”2、漏洞复现出现漏洞的文件为 custom.jsp<%@page import="com.landray.kmss.util.ResourceUtil"%><%@page import="net.sf.json.JSONArray"%><%@page import="net.sf.json.JSONObject"%><%@ page lang..

0x00 前言测试环境：XMind 2020050821280x01 payload（需要在大纲板块进行触发）<img src=x onerror="const exec = require('child_process').exec;exec('whoami').stdout.on('data', function (data) {alert(data);})">0x02 触发键shift control option command0x03 漏..

0x00 前言Apache Zeppelin是一个让交互式数据分析变得可行的基于网页的notebook。Zeppelin提供了数据可视化的框架。Zeppelin 是一个提供交互数据分析且基于Web的笔记本。方便你做出可数据驱动的、可交互且可协作的精美文档，并且支持多种语言，包括 Scala(使用 Apache Spark)、Python(Apache Spark)、SparkSQL、 Hive、 Markdown、Shell等等。0x01 漏洞复现主要是未授权带来了命令执行漏洞，直接干货..

0x00 前言2021年3月8日，锐捷RG-UAC统一上网行为管理审计系统存在信息泄露漏洞，攻击者可以通过审查网页源代码获取到用户账号和密码，导致管理员用户认证信息泄露。这个漏洞让我想到10年的审查元素大法，确实逻辑有点……0x01 影响范围锐捷RG-UAC统一上网行为管理审计系统FOFA互联网资产：title="RG-UAC登录页面"0x02 漏洞复现Ctrl+U打开网页源代码通过访问一下路径，查看所包含的账户密码的（md5）形式http://127..

0x00 前言通达OA V11.7版本存在这任意用户登录漏洞，该漏洞需要管理员在线才可以登录系统，另外一个方面就是编译在线的uid值进行判断。具体fofa语法放在下面：app="TDXK-通达OA"0x01 在线用户判断访问 ：http://xxx.xxx.xxx.xxx/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0如果页面时空白的，则说明管理员在线，即可以利用如果显示RELOGIN，则不...

0x00 Vmware vcenter信息vSphere是VMware推出的虚拟化平台套件，包含ESXi、vCenter Server等一系列的软件。其中vCenter Server为ESXi的控制中心，可从单一控制点统一管理数据中心的所有vSphere主机和虚拟机，使得IT管理员能够提高控制能力，简化入场任务，并降低IT环境的管理复杂性与成本。vSphere Client（HTML5）在vCenter Server插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放443端口的服务器向...

0x00 前言这个漏洞的根本问题是一个druid中全局性的问题，开发者在使用Jackson相关的标签时，出现疏漏，使得攻击者可以构造传入的json串来控制一些敏感的参数。阿里云安全@Litch1向Apache官方报告了Apache Druid远程代码执行漏洞当时 漏洞 已知，处于某些原因，提取的poc也没进行公布，今天醒来，看到很多公众号发 ，也就总结一下，集各家所长，写一个复现的文章。Apache Druid 是用Java编写的面向列的开源分布式数据存储，旨在快速获取大量事件数据...

0x00 前言Apache Axis2是一个Web服务的核心支援引擎。AXIS2对旧有的AXIS重新设计及重写，并提供两种语言Java及C的开发版本。事实上AXIS2 不只为WEB应用程序提供Web服务的界面，而且它也可以作为一个单独的服务器看待，而且很简单就能跟Apache Tomcat整合，目前AXIS2的最新版本是1.6.2。Axis是一个开源、基于XML的Web服务架构。最开始由IBM公司研发,叫IBM-SOAP。后来由Apache基金会在SOAP的基础上推出了AXIS。AXIS本质..

0x00 事件描述用友NC是一款企业级管理软件，在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。用友NC 为C/S 架构，使用JAVA编程语言开发，客户端可直接使用UClient，服务端接口为HTTP。用友NC6.5的某个页面，存在任意文件上传漏洞。漏洞成因在于上传文件处未作类型限制，未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞，成功利用此漏洞的远程攻击者可在目标系统上传任意文件执行命令。0x01 漏洞原理根据文档，FileRece..

0x01 漏洞描述2020年03月31 日，Sonatype 官方发布安全公告，声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。 　Sonatype Nexus 是一个 Maven 的仓库管理系统，它提供了强大的仓库管理、构件搜索等功能，并且可以用来搭建 Maven 仓库私服，在代理远程仓库的同时维护本地仓库，以节省带宽和时间。 　在 Nexus Repository Manager OSS/Pro 3.21.1 及..

0x00 前言XenMobile是Citrix开发的企业移动性管理软件，该产品允许企业管理员工的移动设备和移动应用程序，该软件的目的是通过允许员工安全地在企业拥有的和个人移动设备及应用程序上工作来提高生产率。CVE-2020-8209，路径遍历漏洞。此漏洞允许未经授权的用户读取任意文件，包括包含密码的配置文件。（该软件国外居多，国内基本很少）RP2之前的Citrix XenMobile Server 10.12，RP4之前的Citrix XenMobile Server 10.11，RP6...

0x00 前言@Adminxe 今天胖胖表哥突然扔来一个复现，那俺得瞧瞧，正好写个博客划划水，然后就引发了下面一些列的操作以及你想看到的，以及和你不想看到的文字。之前就有大佬复现过，毕竟水文和复现学习，那就来一波吧！最可恶的是，今天的MC兄没有请客喝啵啵奶茶，必须点名批评一下！从现在fofa的搜索量来看，基本也就是国内Apache Flink 存在1500左右的站点。有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞，影响范围：<= 1.9.1（最..

0x00 简介未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求，利用该漏洞在受影响的 WebLogic Server 上执行任意代码。0x01 漏洞详情https://testbnull.medium.com/weblogic-rce-by-only-one-get-request-cve-2020-14882-analysis-6e4b09981dbf0x02 影响版本Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogi..

0x00 漏洞描述通达OA 11.2“组织”-》”管理员”-》附件上传处存在任意文件上传漏洞，结合“系统管理”-》”附件管理”-》”添加存储目录”，修改附件上传后保存的路径，最终导致getshell0x01 漏洞影响版本通达OA 11.20x02 漏洞复现1、下载https://cdndown.tongda2000.com/oa/2019/TDOA11.2.exe，windows下直接点击安装，管理用户admin，密码为空2、使用admin，密码为空登录，点击”系统管理”...

0x00 漏洞描述ispirit/im/upload.php存在绕过登录(任意文件上传漏洞)，结合gateway.php处存在的文件包含漏洞，最终导致getshell，或者直接利用日志文件写入shell，然后结合文件包含漏洞getshell0x01 漏洞影响版本通达OA V11版 <= 11.3 20200103 通达OA 2017版 <= 10.19 20190522 通达OA 2016版 <= 9.13 20170710 通达OA 2015版 <= 8.1...

0x00 漏洞描述通达OA 11.7存在sql注入0x01 漏洞影响版本通达oa 11.7利用条件:需要账号登录0x02 漏洞复现1、下载通达OA 11.7，https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe，点击安装2、condition_cascade参数存在布尔盲注POC：GET /general/hr/manage/query/delete_cascade.php?condition_cascade=se...

0x00 漏洞描述通达OA 11.5存在sql注入0x01 漏洞影响版本通达oa 11.50x02 漏洞复现1、下载通达OA 11.5https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe，点击安装2、创建一个普通账户test:test1234563.1、id参数存在sql注入利用条件：一枚普通账号登录权限，但测试发现，某些低版本也无需登录也可注入参数位置：/general/appbuilder/web/...

0x00 简介ThinkAdmin是基于 ThinkPHP 的微信后台管理平台0x01 影响版本ThinkAdminV60x02 漏洞复现POC：POST /admin.html?s=admin/api.Update/node HTTP/1.1Host: xxx.xxx.xxx.xxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: te..

0x00 漏洞描述用友GRP-u8存在XXE漏洞，该漏洞源于应用程序解析XML输入时没有进制外部实体的加载，导致可加载恶意外部文件。0x01 漏洞利用条件无需登录0x02 漏洞复现POC:POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)Host: localhostContent-Lengt...

0x00 漏洞描述泛微云桥（e-Bridge）是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞，攻击者成功利用该漏洞，可实现任意文件读取，获取敏感信息。0x01 影响版本2018-2019 多个版本。0x02 漏洞复现第一步：/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt，在返回包有id字符串..

0x00 漏洞描述1、天融信负载均衡TopApp-LB系统无需密码直接登陆2、天融信TopApp-LB负载均衡命令执行漏洞3、天融信TopApp-LB 负载均衡系统Sql注入漏洞0x01 漏洞复现1、使用poc:：用户名随意 密码：;id2、使用poc：; ping xxx.dnslog.info; echo3.1、抓包3.2、vid参数加单引号，报错3.3、使用or 1=1 or 1=2发现返回界面不一样，证明存在注入点(布尔盲注)...

0x00 简介通达OA采用基于WEB的企业计算，主HTTP服务器采用了世界上最先进的Apache服务器，性能稳定可靠。数据存取集中控制，避免了数据泄漏的可能。提供数据备份工具，保护系统数据安全。多级的权限控制，完善的密码验证与登录验证机制更加强了系统安全性。今天看了好多通达OA的文章，根据护网中出现的一些0day，进行一波分析，其中感觉9hu大佬分析的很到位，然后来以此为基准，一起来看一下这个影响较深的漏洞。然后我自己感觉，出现的漏洞只是表面的一些，其中还有肯定是未公布的，包括我之前在别的版本审..

0x00 前言先给小皮介绍下：phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer，一次性安装，无须配置即可使用，是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境，还包括了开发工具、开发手册等。我记得我可爱的Taoing在前段时间给我说过这个洞，因为是小皮(phpstudy_pro)默认自带的测试版本，也就是nginx 1.15.11 ，所以说如果用小皮搭建的系统，不变化ngin...