- 博客(102)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 禅道8.2 - 9.2.1前台Getshell-poc
直接通过fuzz的方式遍历默认路径,写入文件,当然了,要是存在phpinfo界面的话,获取到服务路径,直接写入即可。发送该报错poc时候,通过报错获取服务路径,然后在对应目录下写入文件,如果遇到无回显状态时,无法进行下一步利用。这里不做具体显示,仅修改一下exp,以检测poc无回显的状态。适当修改,只是检测脚本,实际中,修改路径,修改写入的文件即可。
2024-10-13 16:33:18
549
原创 域渗透-黄金票据
Administrator恰好就是域控制器上的管理员用户,那么如果拿下来域控中的一台主机,而这台主机刚好使用的Administrator管理员用户登录的,那么直接导出当前用户票据,直接ptt/pth,可以拿下整个域主机权限,权限高就可以为所欲为吗?由于DC权限限制,只有域管理员成员,才可以登录DC,那么一般的域渗透路径就是,找到域控,打下域控,使用域控管理员导出票据,对域内其他主机进行横向。DC账户(域管理员):域控制器上的账户,对域控制器和整个域拥有完全控制权,主要用于整个域的集中管理和维护。
2024-10-07 21:47:34
571
原创 webpack信息泄露
先看看webpack中文网给出的解释webpack 是一个模块打包器。它的主要目标是将 JavaScript 文件打包在一起,打包后的文件用于在浏览器中使用,但它也能够胜任转换、打包或包裹任何资源。如果未正确配置,会生成一个.map文件,它包含了原始JavaScript代码的映射信息。这个.map文件可以被工具用来还原Vue应用的源代码,从而可能导致敏感信息的泄露等风险那么就是说,存在webpack信息泄露问题的网站目录中,存在.map文件,该文件内包含了所有的js文件。
2024-10-04 21:38:17
1020
原创 php-cgi漏洞利用
msf生成php后门,然后直接替换POST中data的木马,但是这种模式有很大的局限性,回连是可以回连,执行命令等情况,经常会断开,可能是因为php不能够重复执行命令的原因。这里有两种检测方式,第一种是通过检测返回包中的特定字符,第二种是通过网站状态码进行检测,都能找到大冤种,字典的话,当然了,如果不是默认路径的话,最简单的利用方式就是换盘符,也就是CDEFG都访问一下,那么写个py脚本,直接利用。对喽,这里只是关于这个漏洞的利用方式,具体分析的可以看,,也就是xampp的默认目录,
2024-09-23 22:41:54
520
原创 novel-plus文件部分
存在问题,确实是任意文件上传,任意文件都可以上传,但是上传jsp等文件时,会触发下载操作(不晓得是不是windows环境问题,无法运行jsp文件,也无法进行后续利用),但是有相关的cve存在有后续操作。windows下需要将application-dev.yml添加盘符,固定路径。在FileController中,存在任意文件上传,也就是在。
2024-04-16 19:18:09
252
原创 novel-plus后台sql注入
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,而且配置中也没有设置密钥,无法利用。这里传入的是limit的两个参数,而limit位置使用了预编译写法,这里传入的应该是order by的两个参数,即sort,order,但是由于sort参数写法。WebsiteInfoMapper这个没有,控制器没有list方法,dao层中虽然有,但是没方法调用。也是可以的,适当修改sleep()数值,避免延时太长。
2024-04-15 21:17:15
451
1
原创 novel-plus代码审计 爬虫和前台部分
丢到jwt.io里面分析,实际上存在了四个参数id和username,created,secret,其中created时间戳,secret都可以获取到,但是username和id参数则无法获取,id参数本身就是通过用户名密码在数据库中查询进而获取到的,外部无法获取到,虽然修改之后可以达到切换用户的目的,但实际上,一方面获取构造jwt数据难度,另外一方面用户权限都一致,切换成其他用户也没啥作用。mybatis 可能存在sql注入,主要是$(写法和like,in位置。jjwt jwt认证,可能出现未授权访问。
2024-04-13 21:35:11
1024
原创 burpsuite最新版2024.3.1安装
使用BurpLoaderKeygen.jar 破解之后,当你直接运行burpsuite.jar时候,需要重新输入key,当你输入BurpLoaderKeygen.jar 的key时候,会出现失效的情况,又不想每次都先运行BurpLoaderKeygen.jar,再点击run,只需要勾选 auto run即可。勾选之后,点击BurpLoaderKeygen.jar,就会直接打开破解之后的版本。jdk以及破戒方式这里不做介绍。burpsuite最新版安装。linux版本也一样。
2024-04-12 17:33:06
2322
2
原创 shamrockcms代码审计-啥也没有
使用阿里源,创建数据库,运行shamrockcms.sql文件,将configure.properties中的jdbc修改为自己本地或者其他ip数据库连接,并且将ueditor.config.json中的master修改为localhost或者其他自己设置的ip。mybatis 3.2.3 该cms使用xml定义sql操作,由于mybatis是否有注入的区别在于#和$,这里直接在路径。freemark 模板注入需要有能够更改模板的地方,插入执行语句进行执行,后台,并未找到相关功能能够修改模板。
2024-04-09 16:29:02
267
原创 tianticms代码审计——伊拉克版本
查看后台功能,在其他的数据操作方面,使用了spring-data框架进行数据库更新操作,进行了预编译操作,无法注入,更新用户名密码位置,采用的是session获取用户id与数据库进行比对,也无法利用。全文搜索upload,发现路径user/upload/uploadAttach路径,但是由于使用随机校验码进行重命名已经用.分割验证后缀的方式进行验证,无法利用。我设置admin.war在admin路径下,getway为空不成功,所以这里仅测试后台功能,伊拉克版本见谅(前台也只是静态界面)
2024-04-08 22:56:41
448
3
原创 java cc链3TrAXFilter与InstantiateTransformer
java cc链3TrAXFilter与InstantiateTransformer
2024-01-16 17:34:18
421
原创 关于DOCcms2016 SQL注入漏洞poc
doccms的2016版本 sql注入在于\content\search\index.php文件中,但是由于该环境属于mvc架构。最近在学习php代码审计 以doccms作为靶场进行漏洞复现以及测试。并且index.php文件中全部均为方法,下图显示。所以,直接访问该文件输入poc,无法得到结果。当然由于其中判断的因素。
2023-03-08 21:47:53
292
原创 靶机练习——vulnstack1
打开80端口发现为php探针,3306mysql端口不允许外部连接,这里使用phpstudy自带的phpmyadmin进行数据库连接,phpstudy自带的phpmyadmin的默认账号密码为root/root,或者也可在该页面进行账号密码破解直接使用burpsuit爆破即可,这里不做演示。进行内网端口扫描,可以发现52网段存在三个主机,抓取目标明文密码,由于创建时修改密码没有设置为不同的密码,所以这边通过psexec直接获取到了剩余的两个目标。这里发现目标开启两个端口80和3306端口。
2022-12-21 22:41:22
505
原创 windows10提权
即可查看到,这里目标是以Administartor权限测试,这里不进行验证,我都有Administartor了,我直接msf下面getsystem即可,getsystem实际上也是令牌窃取。里面共描述了服务路径,文件权限,计划任务,令牌窃取,图形化软件,应用组件安装等,这里只有令牌窃取需要管理员Administrator权限,值得注意的是该权限并不是管理员组中的其他用户。发现该文件以system权限运行,而我们拥有对该文件的修改权限,修改daclsve服务的具体执行文件,从而获取system权限。
2022-11-15 16:16:19
2880
原创 vulnhub之FALL
这里采用fuzz探测所需参数,这里介绍两种方法,第一种是burpsuite设置参数进行暴力破解,第二种是采用wfuzz或者ffuf等工具进行实现,这里提供下简单的命令,详细使用方法会在下一篇进行描述。ssh登录的话可以采取两种方式,第一种为账号密码,第二种为id_rsa即公钥私钥文件进行登录,这里获取qiu用户的id_rsa文件进行登录,使用文件包含获取文件,保存为文件,这里命名为sskey,值得注意的是,需要全部复制,从——开始到——结束,然后使用命令。vulnhub之fall。难度:so easy。
2022-10-28 00:02:26
369
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人