Coisini的博客

摘要：千辛万苦拿到的 webshell 居然无法执行系统命令，怀疑服务端 disable_functions禁用了命令执行函数，通过环境变量 LD_PRELOAD 劫持系统函数，却又发现目标根本没安装 sendmail，无法执行命令的webshell 是无意义的，看我如何突破！|半月前逛“已黑网站列表”时复审一小电商网站，“列表”中并未告知漏洞详情，简单浏览了下功能，只有注册、登录、下单...

0x01. 什么是phar文件归档到一个文件包。将一个模块的文件打包成一个phar，这样方便模块整体迁移，只需将phar文件移动过去，其他环境中include即可使用。类似于java的 .jar 文件。php 5.3时，为php的C语言扩展，安装php时会默认安装。0x02. 创建phar文件phar.readonly = Off 这个参数必须设置为Off，如果为On，表示phar文...

WINSCP默认保存用户密码在注册表中的如下位置HKEY_USERS\SID\Software\Martin Prikryl\WinSCP 2\Sessions\但是WIN7\8下WinSCP默认路径在：C:\Users\USERNAME\AppData\Local\VirtualStore\Program Files (x86)\WinSCP\WinSCP.ini （64位操作系统）...

0x01 起因几天前学弟给我介绍他用nginx搭建的反代，代理了谷歌和维基百科。由此我想到了一些邪恶的东西：反代既然是所有流量走我的服务器，那我是不是能够在中途做些手脚，达到一些有趣的目的。 openresty是一款结合了nginx和lua的全功能web服务器，我感觉其角色和tornado类似，既是一个中间件，也结合了一个后端解释器。所以，我们可以在nginx上用lua开发很多“有趣”的东西...

这篇文章主要讲解了如何 Hacking PostgreSQL 数据库，总结了一些常用方法。0x01 SQL 注入大体上和 MySQL 差不多，有一些变量不一样。具体就不再举例，可以看这篇总结：PostgreSQL SQL Injection Cheat Sheet。此外，利用 sqlmap 也是一个不错的方式。0x02 执行命令sqlmap 给出的几个 UDF 在我本地测试并不成功，所...

POST /conn/upload.asp?action=upfile HTTP/1.1Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, appli...

（本文涉及的所有漏洞已经被修复！）（由于文章是后来补写的，有些图可能无法抓到。sorry）ThinkSNS(简称TS)，开源微博引擎。一直都在看thinksns的代码，但是由于很彩笔，一直没找到什么实质的漏洞，某天在90sec上，看到某黑阔发的thinksns注入0day，看了下，是一个插件的注入，注入点:index.php?app=blog& mod=Index&act...

12月6号金山公司员工失误造成IDA pro6.8的正式个人版完全泄露，里面包含正版的安装包，安装密码以及7月份的授权（这个要比hackteam放出来的那个时间短，hackteam授权时间是2016.4.8），不过授权时间并不影响使用，只是停止升级而已，不过按照IDA公司的一贯做法，该员工应该是被放到黑名单了。0x01局域网检测该Windows版本的IDA启动后，它会在端口23945上广播...

干掉IPSEC后仍然无法连接3389，就可以用到此工具，自动停止IIS将3389转到80上工具的命令是在cmd下输入antifw -s 运行程序 停止iis将3389改为80antifw -l 关闭程序。恢复iisweb服务器肯定不限制80端口的连接，所以开了防火墙也不会限制80…所以用这个你再开防火墙也没有用。此方法有风险 具体看评论。 总之一句话不成功便成仁！！...

1. 管理员登录页面弱密码Weblogic的端口一般为7001，弱密码一般为weblogic/Oracle@123 or weblogic，或者根据具体情况进行猜测，公司名，人名等等，再有就可以用burpsuite的intruder进行暴力破解，一旦成功就可以上传war包getshell.3. weblogic反序列化Wenlogic反序列化的漏洞已经被爆出很长时间，网上可以找出各种...

利用限制仅针对windows系统进入正题首先看核心文件common.inc.php 大概148行左右if($_FILES){ require_once(DEDEINC.'/uploadsafe.inc.php');}uploadsafe.inc.phpif( preg_match('#^(cfg_|GLOBALS)#', $_key) ){ exit('Req...

本来都不打算讲这个漏洞的（感觉太low了），但是在最近的一次渗透测试中，居然发现了这个漏洞，而且还是政府的网站……所以还是打算讲一下吧最近在一次爬网站地址时，发现了这个登录界面，随手输入了一个万能密码，没想到居然进去了漏洞原理：网站把密码放到数据库中，在登陆验证中一般都用以下sql查询语句去查找数据库sql=select * from user where username=’use...

0x00 前言Web 漏扫的爬虫和其他的网络爬虫的技术挑战不太一样，漏扫的爬虫不仅仅需要爬取网页内容、分析链接信息， 还需要尽可能多的触发网页上的各种事件，以便获取更多的有效链接信息。 总而言之，Web 漏扫的爬虫需要不择手段的获取尽可能多新的链接信息。在这篇博客文章中，我打算简单地介绍下和爬虫浏览器相关内容，爬虫基础篇倒不是说内容基础，而是这部分内容在漏扫爬虫中的地位是基础的。0x01 Q...

0x00 前言上一篇主要讲了如何通过修改 Chromium 代码为 Web 漏洞扫描器的爬虫打造一个稳定可靠的 headless 浏览器。这一篇我们从浏览器底层走到上层，从 C++ 切换到 JavaScript，讲一下如何通过向浏览器页面注入 JavaScript 代码来尽可能地获取页面上的链接信息。0x01 注入 JavaScript 的时间点首先我们要解决的第一个问题是：在什么时间点向浏...

-在web上传中的过程中，最常见的绕过方式—-00截断。00截断的核心在于chr（0）这个字符，chr（0）是字符串的结束符，在ascll码中，它表示的字符是Null，也就是 空。当程序输出包含这个chr（0）的变量时，chr（0）后面的数据会被截断。0x00，%00，/00之类的截断，都是一样的，只是不同表示而已%00截断下面是用 URL 编码形式表示的 ASCII 字符在u...

现在很多linux管理员都会一招,grep eval 大法,查找那些年错过的webshell,那些年错过的基友们苦思冥想出了对抗的办法。ZendGuard是一款php的加密工具,它可以编译php源码变为字节码,类似于java的虚拟机的字节码,然后让zend虚拟机运行字节码,以此来提高php的运行速度,因为不用虚拟机,php运行脚本的方式是读一行代码,运行一行,效率很低,而虚拟机则效率高多了,题...

到目前为止，我们把能用前端脚本防御 XSS 的方案都列举了一遍。尽管看起来似乎很复杂累赘，不过那些是理论探讨而已，在实际中未必要都实现。我们的目标只是为了预警，能发现问题就行，并非要做到滴水不漏的程度。事实上，HTML5 早已制定了一套浏览器 XSS 解决方案 —— Content Security Policy，并且大多主流浏览器实现了这个标准。既然我们使用前端脚本重新实现一遍，因此得在...

1、前言还在用没有加密的wifi看微博吗? 小心您的cookie被人劫持,微博被人盗用!本文我们将介绍如何使用arpspoof与wireshark和cookie injector脚本来劫持腾讯微博的cookie2、arp毒化开启内核IP转发:echo ”1″ > /proc/sys/net/ipv4/ip_forward通过traceroute命令追踪网关地址,我们发现目前网关地...

为了让最终用户将文件上传到您的网站，就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此，在今天的现代互联网的Web应用程序，它是一种 常见的要求，因为它有助于提高您的业务效率。在Facebook和Twitter等社交网络的Web应用程序，允许文件上传。也让他们在博客，论坛，电子 银行网站，YouTube和企业支持门户，给机会给最终用户与企业员工有效地共享文件。允许用户上传图片，视频，头像和...

0x00这个漏洞威力确实很大，而且Drupal用的也比较多，使用Fuzzing跑字典应该可以扫出很多漏洞主机，但是做批量可能会对对方网站造成很大的损失，所以我也就只是写个Exp不再深入下去。0x01关于漏洞的原理和POC在我的博客上已经有文章进行解释，这里只是着重说一下利用过程。配合POC的效果，我主要是从远程代码执行和GetShell方面去做的利用。远程代码执行利用：1.使用超级管理...

0x00 寻找目标在自己日常检测中以及观察他人检测思路发现前期收集信息具有很关键的作用，很多时候不需要对某种漏洞有很深的研究，如果前期收集了足够多的目标，只需要检测一些常见的高危漏洞即可有收获常用思路1.网段信息1）通过子域名如果存在域传送这种漏洞是最好的，没有的话一般就要暴破子域名了我常用的软件为dnsmap，基本用法./dnsmap target-domain.com -w 你的...

休息了个清明节，这段时间，收听的好些微信公众账号都越来越相近了啊，原因是：思维干扰……我继续我的风格，我自己私人的公众账号是“懒人在思考”，不过好久好久没发内容了，真是应对了个“懒”字。而在这个公众账号（网站安全中心）发的内容肯定都会定位在网站安全这块。前段时间一直在写工具党、大数据黑客相关的科普文，今天开始换点口味好了，来看看前端攻击里一些“惊悚”的攻击方式。今天只说高级钓鱼如果深刻知...

0x00 概述1.drops之前的文档 SQLMAP进阶使用介绍过SQLMAP的高级使用方法，网上也有几篇介绍过SQLMAP源码的文章曾是土木人,都写的非常好，建议大家都看一下。2.我准备分几篇文章详细的介绍下SQLMAP的源码，让想了解的朋友们熟悉一下SQLMAP的原理和一些手工注入的语句，今天先开始第一篇：流程篇。3.之前最好了解SQLMAP各个选项的意思，可以参考sqlmap用户手册...

0x00 前言上一篇主要如何通过向浏览器页面注入 JavaScript 代码来尽可能地获取页面上的链接信息，最后完成一个稳定可靠的单页面链接信息抓取组件。这一篇我们跳到一个更大的世界，看一下整个漏扫爬虫的运转流程，这一篇会着重描写爬虫架构设计以及调度部分。0x01 设计这张图片是不是很熟悉，其实这就是 Scrapy 的架构设计图，我们简单看一下这张图的流程：1.Engine 拿到 Re...

版权声明：本文为博主原创文章，未经博主允许不得转载。0x00 前言在使用outlook的过程中，我意外发现了一个URL：https://webdir.xxx.lync.com/xframe。并在这个页面中发现了一处监听message时间的监听器。通过阅读代码，发现过程如下：（1）接受外界的message，抽取出URL，type（类似于command指令），以及一些data、header...

一、概述1.1 传统WAF的痛点传统的WAF，依赖规则和黑白名单的方式来进行Web攻击检测。该方式过分依赖安全人员的知识广度，针对未知攻击类型无可奈何；另一方面即使是已知的攻击类型，由于正则表达式天生的局限性，以及shell、php等语言极其灵活的语法，理论上就是可以绕过，因此误拦和漏拦是天生存在的；而提高正则准确性的代价就是添加更多精细化正则，由此陷入一个永无止境打补丁的漩涡，拖累了整体性能...

背景在分析日志的时候发现有些日志中参数中包含其他的URL，例如：http://www.xxx.cn/r/common/register_tpl_shortcut.php?ico_url=http://www.abcfdsf.com/tg_play_1121.php&supplier_id=3&ep=tg&style=szsg_reg_tg03http://b.xxx...

武侠世界里，常常会提到“尸体会说话”，而在网络的攻防世界里，日志是最重要的追踪手段。今天要说的故事是，通过仅仅几行访问请求来还原整个黑客的攻击过程和常见攻击手法。每天都有大量攻击者在利用已爆出的各种相应插件的漏洞，来攻击WordPress 和 Joomla 站点。下面主要来介绍利用 Google Dork 的攻击手法。Google Hacking 是黑客们来寻找攻击目标最常用的一种攻击手法...

国内只有一大堆高级爆错的利用代码 没人分析原因 这个是去官网查资料后分析给出的。 这里主要用了mysql的一个BUG：http://bugs.mysql.com/bug.php?id=8652grouping on certain parts of the result from rand, causes a duplicatekey error.重现过程use mysql;cre...

漏洞证明：通过漏洞可使系统自动发信息告诉你 已中奖 增加可信度！这是发活动后3分钟内中招的用户在十多分钟内我就收集到了300名的用户信息！骗子证明：我上微博时候发现有人转发了@茅台网上商城 发起的活动 一个砸金蛋的，因为链接地址属新浪 所以我相信了，狗屎的砸了一下发现中奖，按照页面提示写了个人信息。本想坐等奖可是后来觉得越来越不对劲，于是查了下。两个月不上微博，刚上就给我们发中...

0x00 前言上传webshell后，执行命令时或许没法执行了，这时我们该分析下原理并想出绕过方式，防守方也必须根据绕过方式想想更强的防御.0x01 php webshell执行命令原理php webshell（以下简称webshell)下是怎么执行系统命令的？我们找一个webshell分析下搜索关键字定位到以下代码function execute($cfe) { $re...

亲爱的黑阔们：最近我在找谷歌的一个叫做tagmanager的服务漏洞，这个服务被用作SEO运营。我主要研究的就是在找有木有可以插XSS的地方。但是所有的域都有过滤特殊字符的防护，各位可以从下面的图看出来。所以在这上面下功夫真的是脑洞不够……但是接下来我发现Tagmanager允许用户以JSON文件的形式上传一些的标签、宏、自定义数据等……接下来呢我就下载了个json模板文件并编辑了下它...

、前言在mysql中，用于转义的函数有addslashes，mysql_real_escape_string，mysql_escape_string等，还有一种情况是magic_quote_gpc，不过高版本的PHP将去除这个特性。首先，宽字节注入与HTML页面编码是无关的，笔者曾经看到<meta charset=utf8>就放弃了尝试，这是一个误区，SQ...

一、CSRF漏洞简介csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。而在这个期间，攻击者发送了构造好的csrf脚本或包含csrf脚本的链接，可能会执行一些用户不想做的功能（比如是添加账号等）。这个操作不是用户真正想要执行的。在post标准化格式（accounts=test&password...

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担当前，很多网站都会使用第三方特定JavaScript库的方式来增强网站的显示应用功能，通常情况下，这种嵌入到网站中的库可以方便直接地从第三方服务提供商的域中加载，实现对当前网站的优化和功能增强。然而，这种嵌入到很多网站中的第三方库往往会是一个致命的攻击面，可以导致嵌入网站更容易...

前几天做一个小竞赛中有一个题目：给定的测试环境登录页面有POST注入漏洞，于是果断操起sqlmap跑数 据，无意中发现当前MySQL连接用户为root，于是想到udf提权「虽然Windows下MySQL提权基本上没问题，但是Linux环境下原来一直 没成功过。」，最终成功获取root权限「主要问题在于MySQL是以root权限运行」，记录笔记如下，方便以后查阅：具体步骤如下找到MySQL插件...

记得09年时wp爆过一个重置管理口令的漏洞, 现在用法差不多, 也是我刚刚发现, 网上也没找到有讲述关于这个的.前提:是在有注入点(注入点的话可以通过寻找插件漏洞获得。), 密码解不开, 无法output的情况下获取shell的情况下使用的.这个其实也不算漏洞, 就是结合起来能利用到而已. 因为wp的找回密码系统对管理员账户同样生效, 而发送至邮箱的key在数据库中同样保存下来, 所以就可以直...

目前大多数公司并没有专门的人员，担任此类工作的基本都是对网络安全不是很专业的程序人员和人员。即使有些公司配置有专业的人员，但毕竟个人力量有限，网络安全是一个整体规划的过程。因此必须重视网络，做全面的安全评估及跟进，这样做的好处是：排除已知网络隐患，预防潜在安全危机，把可能带来的风险降到最小。特别对于一些靠网站运营生存的企业，稳定的服务及网站将会直接影响经济效益。”目前被黑的大部网站主要有以...

我们在写网站防火墙规则的时候可能都会做一件事:永远不屏蔽那些主流搜索引擎机器人的爬取(如,Google,Bing,Yahoo,Baidu等).至今，我们觉得这样很好,但是现在我们时不时地碰到一些奇怪的现象，不得不让我们思考一个问题,如果一个合法的搜索引擎机器人被用来攻击网站那会怎样？难道我们仍然让这样的攻击畅通无阻而不去屏蔽他？这种情况几天前确实在我们的一个网站上发生了，我们要开始屏蔽Go...

0x00前言在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限，WEB权限，系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.以PHP-WEBBACKDOOR为例,抛砖引玉一个最常见的一句话后门可能写作这样<?php @eval($_POST['cmd']);?>或这样<?...