江左盟的博客

常规绕过前端和后端的任意文件上传已经没意思了，本文记录下之前和最近遇到的2个不太常规的任意文件上传Getshell的案例。

在做灰盒测试和恶意程序分析的时候，经常需要寻找创建、删除、修改的文件，而在无法确定操作的文件或生成的文件路径时，就需要用到可以监控文件和目录的工具了。比如测试任意文件上传时，文件名被改为随机字符串且HTTP响应中不返回文件路径；通过写文件的payload批量测试无回显命令注入漏洞；测试缓冲区溢出漏洞或拒绝服务漏洞时，可能会生成一些dump文件；这些测试场景下使用文件监控工具总比一直手动执行`ls`命令要好吧。

在ChatGPT问世以来，我也尝试挖掘过ChatGPT的漏洞，不过仅仅发现过一些小问题：无法显示xml的bug和错误信息泄露，虽然也挖到过一些开源LLM的漏洞，比如前段时间发现的Jan的漏洞，但是不得不说传统漏洞越来越难挖掘，所以我们仍然有必要学习下Web LLM攻击相关的漏洞。

Jan是ChatGPT的开源替代品，它在您的计算机上100%离线运行。多引擎支持（llama.cpp、TensorRT LLM）。

FortiSwitchManager产品的管理界面中，可以通过使用备用路径或通道绕过身份验证，并在未经认证的情况下通过特制的HTTP或HTTPS请求对管理界面进行操作。

信息收集访问网站发现前台为静态页面，且不存在robots.txt文件。然后扫描网站目录发现网站后台路径adminxxx/login.jsp，且网站存在目录遍历漏洞，通过该漏洞可查看到一些身份证、姓名、住址和电话号码等敏感信息，如图：漏洞发现及利用访问网站后台登录界面，如图：验证码明文返回使用sqlmap测试未发现SQL注入漏洞，通过抓包发现验证码直接返回到HTTP Response中，如图：弱口令使用Python编写脚本进行字典暴破弱口令，然后喝茶打游戏，一段时间后发现弱口令：admin

信息收集访问网站发现网站不存在robots.txt文件，扫描网站根目录未发现有价值的信息，点击网站按钮查看功能的时候发现有个路径是xxcms/…，然后访问xxcms发现网站跳转到后台，如图：尝试弱口令和暴力枚举未发现正确口令，然后扫描xxcms目录发现一个未授权上传文件的页面，如图：但是之能上传图片和office文档，尝试绕过失败，在主页和“投诉建议”功能处存在搜索框，但不存在SQL注入，如图：点击“我要投诉/建议”发现可以写数据并提交，如图：点击按钮之后其中一个数据包如图：漏洞发现

漏洞简介用友U8-OA和致远A6系统getSessionList.jsp文件存在漏洞，攻击者可利用漏洞获取到所有用户的SessionID，利用泄露的SessionID即可登录该用户并获取shell。漏洞成因getSessionList.jsp存在缺陷<%@ page contentType="text/html;charset=GBK"%><%@ page session= "false" %><%@ page import="net.btdz.oa.ext.htt

简介2022年4月12日，Apache发布安全公告，修复了一个Apache Struts2 中的远程代码执行漏洞S2-062（CVE-2021-31805），攻击者可以利用此漏洞来控制受影响的系统。该漏洞是由于 2020 年 S2-061（CVE-2020-17530）的不完整修复造成的，当开发人员使用了 %{…} 语法进行强制OGNL解析时，仍有一些特殊的TAG属性可被二次解析，攻击者可构造恶意的OGNL表达式触发漏洞，从而实现远程代码执行。影响范围2.0.0 <= Apache Struts

简介2022年03月07日，国外安全研究员Max Kellermann披露了一个Linux内核本地权限提升漏洞 CVE-2022-0847。攻击者通过利用此漏洞可进行任意可读文件重写，将普通权限用户提升到 root权限。该漏洞原理类似于 CVE-2016-5195（Dirty Cow），因此作者将此漏洞命名为“Dirty Pipe”。漏洞作者原文：https://dirtypipe.cm4all.com影响范围Linux内核版本大于等于5.8，或小于5.16.11，5.15.25，5.10.102

产品简介Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix由2部分构成，zabbix server与可选组件zabbix agent。zabbix server可以通过SNMP，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux，Solaris，HP-UX，AI

简介Qualys 研究团队在 polkit （原名PolicyKit）的 pkexec 中发现了一个本地特权提升漏洞，该SUID-root程序默认安装在每个主要的Linux发行版上。该漏洞允许任何非特权用户通过在Linux默认配置中利用此漏洞来获得易受攻击主机的完全root权限。关于 Polkit pkexec for LinuxPolkit（原名PolicyKit）是一个用于在类 Unix 操作系统中控制系统范围权限的组件。它为非特权进程与特权进程通信提供了一种有组织的方式。还可以使用polk

常见保护措施ASLRASLR 是一种防范内存损坏漏洞被利用的计算机安全技术。ASLR通过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地跳转到内存的特定位置来利用函数，以防范恶意程序对已知地址进行Return-to-libc攻击。ASLR在每次启动操作系统时会随机化加载应用程序的基地址和dll，只能随机化 堆、栈、共享库的基址。Linux下查看:cat /proc/sys/kernel/randomize_va_space值为0表示未开启，值为1表示半开启，仅随机化栈和共享库，值为2表示全

漏洞简介微软在7月20日发布紧急安全公告，公开了一个Windows提权漏洞。由于对多个系统文件（包括安全帐户管理器 (SAM) 数据库）的访问控制列表 (ACL) 过于宽松，攻击者可读取SAM，SYSTEM，SECURITY等文件内容，进而获取用户NTLM Hash值，从而通过解密Hash值或Hash传递等方法造成特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。影响范围微软确认此问题会影响 Windows 10 版本 1809 和更新的操作系统，其他版本还在确认中。环境

反序列化简介 序列化：把对象转换为字节序列的过程，即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件，在网络传输过程中，可以是字节或是XML等格式。 反序列化：把字节序列恢复为对象的过程，即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。 反序列化漏洞首次出现在2015。虽然漏洞较新，但利用十分热门。主要原因是对用户可控制的数据进行反序列化时，攻击者能够操纵序列化的对象，从而将精心构造的恶意数据传递到应用程序代码中

目录漏洞简介影响范围漏洞分析漏洞利用修复方法批量漏洞检测工具漏洞简介该漏洞是在近期HVV中被披露的，由于在初始化svg文件时，未对传入的参数做限制，导致可以对已存在的文件覆盖写入数据，从而通过将木马写入jsp文件中获取服务器权限。影响范围WebReport V9漏洞分析fr-chart-9.0.jar包中com.fr.chart.web/ChartSvgInitService类传递op参数的值svginit：漏洞主要出现在fr-chart-9.0.

目录简介漏洞原理影响版本漏洞分析漏洞利用修复方法PocExp参考文章简介JumpServer 是全球首款开源的堡垒机，使用 GNU GPL v2.0 开源协议，是符合 4A 规范的运维安全审计系统。JumpServer 使用 Python / Django 为主进行开发，遵循 Web 2.0 规范，配备了业界领先的 Web Terminal 方案，交互界面美观、用户体验好。JumpServer 采纳分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限

目录简介环境原理加载ShellCode定位特征码Base64编码绕过简介之前学习免杀都是使用Metasploit自带的编码进行，从未成功过。也使用过GitHub上别人提供的免杀方法，最近学习并实践发现绕过国内的杀毒软件貌似并不难，本文使用手工分析特征码，使用base64编码绕过杀毒软件静态分析。虽然使用的方法比较简单，但对实际做免杀及免杀研究还是有一定意义的。环境Windows 10 x64 Python 3.8.3 Pyinstaller 火绒版本：5.0..

目录CSRF简介CSRF原理CSRF攻击实例防御措施总结CSRF简介CSRF是跨站请求伪造（Cross-site request forgery）的缩写，和《三十六计》中的“借刀杀人”一样，只不过是攻击者借了受害者的“刀”将受害者“杀”了，简单来讲就是攻击者盗用受害者的身份，以受害者的身份去做自己想要的操作，如发邮件，修改密码，非法转账，获取隐私数据等。CSRF原理...

目录简介测试环境相关工具persistence用法：metsvc用法：测试过程遇到的问题总结简介本次渗透测试使用Kali Linux作为攻击机，使用Windows 7作为目标机，通过使用近期爆出的Windows远程桌面服务远程代码执行漏洞（CVE-2019-0708）攻陷目标主机。测试环境攻击机：Linux kali 4.15.0-kali3-amd...

Kali自带了很多漏洞扫描工具，如下：1、Webshag：webshag是安全审计的跨平台多线程工具。会收集对web服务器有用的功能，如端口扫描，web爬虫，URL扫描和文件模糊测试。2、Skipfish：这是一款web应用安全侦查工具。它会利用递归爬虫和基于字典的探针生成一幅交互式网站地图。用法：skipfish –o[输出位置] –w[字典文件位置] [目标网站]扫描结束...

渗透测试的一般思路侦查 信息收集 漏洞扫描 漏洞利用 提升权限 保持连接本次实验只用到信息收集，漏洞扫描及漏洞利用攻击机：Kali2.0 64位（192.168.41.131）目标机：Win7 64位（192.168.41.137）本次实验用到的知识Nmap：-A 详细扫描操作系统指纹识别和版本检测-sS SYN扫描（半连接扫描）-sT...

Wampserver的安装对于想学php的或者想用PHP搭建渗透测试环境的人来说，在自己电脑上或者虚拟机中搭建一个PHP环境需要装好多好多软件，各种配置，很麻烦，但是选择wamp就会非常简单，因为这一个软件集PHP，Apache，MySQL与一身，安装快捷，配置方便。一、首先下载wamp，选择64位的或者32的，安装wamphttp://www.wampserver.com/en/...

端口扫描使用nmap扫描主机及开放的端口：nmap -sS 192.168.1.*Starting Nmap 7.70 ( https://nmap.org ) at 2018-05-25 15:06 CSTNmap scan report for cvr328w (192.168.1.1)Host is up (0.00049s latency).Not shown: 998 cl...

本实验是入门级的SQL注入实验，手工注入吧，用sqlmap就没意思了，简单过程：用户输入用户和密码然后提交，服务端收到用户和密码并查询数据库输出到页面。一、创建数据库create database web1;创建两张表，一张保存登录用户和密码，另一张保存flag：create table test(user varchar(15),password varchar(16));c...

我们做渗透测试的不可以随便拿别的网站进行渗透测试，未经授权的渗透测试也算是违法行为，读者可自行搜索相关法律。因此我们需要自己搭建web渗透测试的环境。这里推荐使用OWASP提供的WebGoat、DVWA和Mutillidae来作为渗透测试环境，读者可以自行搜索这些软件的介绍。其实WebGoat、DVWA和Mutillidae都包含在OWASPBWA这个套件中，可以直接下载一个OWASPBWA虚拟机...

目录SQL注入简介SQL注入原理SQL注入分类及判断SQL注入方法联合查询注入基于bool的盲注基于时间的盲注总结SQL注入简介SQL注入是网站存在最多也是最简单的漏洞，主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤，转义，限制或处理不严谨，导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。本文以免费开源数据库My...

目录XSS简介XSS原理及分类反射型XSS存储型XSS基于DOM的XSSXSSer的使用至少有一个的参数：可选的参数：检查选项选择攻击向量绕过防火墙选项绕过器选项特殊技术最后注入选项特殊最后注入选项报告导出XSSer演示BeEF-XSS漏洞的防范总结XSS简介XSS是跨站脚本攻击(Cross Site Scri...

新UI的第一篇博客，最近整了一台Nexus6，然后开始刷入nethunter，试过直接使用刷机精灵刷，没成功，然后参考了简书的一篇博客：https://www.jianshu.com/p/0e9c5009aa88，步骤差不多，我就不上图片了，简单写一下：有任何问题欢迎留言，我看到就会回复大家首先准备好工具：Nexus Root Tookit：脚本之家的TWRP：好像是脚本之家下的，...

知己知彼，百战不殆robots.txt：查看网站上哪些文件是不可以见的，Disallow：后面的就是不可见的shodan搜索引擎：可以找出特定设备，如系统，运行着某个版本的软件HTTrack：克隆网站的工具，在终端输入httrack，然后输入项目名，选择存储路径然后进行克隆ICMP侦查技术：ping、traceroute和fping，traceroute会找出数据经过的...