rumil的博客

【JS逆向】前端加密对抗基础和靶场练习。encrypt-labs 靶场基本练习。

Windows提权-数据库提权-MySQL提权-MSSQL提权-Oracle提权MySQL UDF提权、反弹shell、启动项、mof提权MSSQL系统函数-使用系统函数提权Oracle 数据库提权 可使用Oracle shell工具进行操作

windows默认情况下，系统为用户分了7个组，并给每个组赋予不同的操作权限，管理员组(Administrators)、高权限用户组(PowerUsers)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制(Replicator)、来宾用户组(Guests)，身份验证用户组(Ahthenticated users)其中备份操作组和文件复制组为维护系统而设置，平时不会被使用。这个成员是系统产生的，真正拥有整台计算机管理权限的账户，一般的操作是无法获取与它等价的权限的。权限提升

Solr 是一个高性能，采用 Java5 开发。Solr 任意文件读取该漏洞是由于没有对输入的内容进行校验，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行SSRF攻击，最终造成任意读取服务器上的文件。中间件：IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery 等。

中间件及框架列表：IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery 等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask。

中间件及框架列表：IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery 等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask。

IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery 等。Docker 容器是使用沙盒机制，是单独的系统，理论上是很安全的，通过利用某种手段，再结合执行 POC 或 EXP，就可以返回一个宿主机的高权限 Shell，并拿到宿主机的。root 权限，可以直接操作宿主机文件。

中间件及框架列表： IIS，Apache，Nginx，Tomcat，Docker，Weblogic，JBoos，WebSphere， Jenkins ，GlassFish，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp， Spring，Flask，jQuery等。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转，达到目录穿越、任意文件读取的效果。，达到产品级质量，可免费用于开发、部署和重新分发。JBoss是一个管理。

服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现1、中间件-IIS-短文件&解析&蓝屏等 2、中间件-Nginx-文件解析&命令执行等 3、中间件-Apache-RCE&目录遍历&文件解析等 4、中间件-Tomcat-弱口令&文件上传&文件包含等 漏洞复现

libssh是一个在客户端和服务器端实现SSHv2协议的多平台C库。其中rsync协议默认监听873端口，如果目标开启了rsync服务，并且没有配 置ACL或访问密码，我们将可以读写目标服务器文件。OpenSSH 7.7前存在一个用户名枚举漏洞，通过该漏洞，攻击者可以判断某个用户名是否存在于目标主机中。表示在每小时的第17分钟执行run-parts --report /etc/cron.hourly命令。rsync是Linux下一款数据备份工具，支持通过rsync协议、ssh协议进行远程文件传输。

Apache CouchDB是一个开源的面向文档的NoSQL数据库，用Erlang实现。它使用JSON来存储数据，使用MapReduce使用JavaScript作为查询语言，使用HTTP作为API。在用户开启了认证， 但未设置参数 shared-secret 的情况下，jwt 的认证密钥为空字符串，此时攻击者可 以伪造任意用户身份在 influxdb 中执行 SQL 语句。利用这个管理页面，我们可以进行 JNDI 注入攻击，进而在目标环境下执行任意命令。将生成出来的所提供的服务，输入到界面当中，进行连接。

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露，包括端口的未授权常见页面的未授权 /admin.php /menu.php常见的未授权访问漏洞及默认端口：默认端口统计：8095, 8161, 9100, 9200, 9300, 11211, 15672, 15692, 20048, 25672, 27017]等待。

XXE漏洞全称XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"，也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

SSRF（Server-Side Request Forgery）服务端请求为伪造，SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。如果一个web应用会将外部输入的参数作为URL，然后访问这个URL，那么攻击者就可以构造特定的参数值让服务端访问制定的URL，该访问行为是服务器程序预期之外的，这种攻击叫做SSRF攻击，web应用中的这种漏洞叫做SSRF漏洞。这里输入的参数不一定是完整的URL，也可以是域名、IP地址、端口号等，攻击者能伪造这些值，从而使服务端访问预期外的内容。

未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。在比较前会先判断两种字符串类型是否相同再进行比较，如果类型不同直接返回不相等。__destruct函数对$this->op进行了===判断并内容在2字符串时会赋值为1，process函数中使用==对$this->op进行判断（为2的情况下才能读取内容），数据格式的转换对象的序列化有利于对象的保存和传输，也可以让多个文件共享对象。

ng-include指令一般用于包含外部HTML文件，ng-include属性的值可以是一个表达式，返回一个文件名，但是默认情况下，包含的文件需要包含在同一域名下，也就是要调用同一域名下的其他网页。通过代码发现，本关卡有两个参数：arg01、arg02，当我们发送的时候，发现他们是会互相拼接起来的，那么我们就容易想到这里会不会就是突破口，发现这两个参数是在embed上，embed标签定义嵌入的内容，并且做了尖括号过滤，那么我们可以加入一个属性进去，生成恶意代码。被HTML实体编码了，成了实体字符。

WebLogic 存在远程代码执行漏洞（CVE-2023-21839/CNVD-2023-04389），由于Weblogic IIOP/T3协议存在缺陷，当IIOP/T3协议开启时，允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server，漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用，除了该对象本身的虚拟机，其它的虚拟机也可以调用该对象的方法。

fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容（rmi链接）,让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。

shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞，造成的原因是默认加密密钥是硬编码在shiro源码中，任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象，对其进行序列化、编码，然后将其作为cookie的rememberMe字段内容发送，Shiro 将对其解码和反序列化，导致服务器运行一些恶意代码。特征：cookie中含有rememberMe字段修复建议：更新shiro到1.2.4以上的版本。不使用默认的加密密钥，改为随机生成密钥。

Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本，相比于 Log4j，Log4j2 在性能、可靠性和灵活性方面都有显著的改进。Apache Log4j2是一个基于Java的日志记录工具，当前被广泛应用于业务系统开发，开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。

方法三：相同的位置，在POST请求体当中，上传的文件，在重命名的文件处修改后缀名，php+空格也可以进行绕过（和上述操作一致，区别就是后缀后+空格）同理+.也可以。状态码为200，说明抢占shell.php成功，木马中的php代码成功执行，接下来停止攻击，访问木马当中生成的cmd.php木马文件即可。上传时，POST请求体当中的，构造的save_name数组当中的上传文件名的信息后缀不用加/.，加/即可，否则上传失败。注意：访问时，将%00后面的内容进行删除，只留下php后缀的木马即可，成功解析文件。

SQL注入小总结~

SQL注入手工测试：MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入

SQL手工注入漏洞测试(MySQL数据库)

先将此字符串进行base64解密，然后再进行AES解密，将base64解密后的结果放到AES界面工具的密文当中,结合秘钥和偏移量以及填充，可得原值。同理，将构造的sql语句还是先AES加密，再base64加密，将最后的加密结果放到url当中去访问即可！都是同样的道理，先AES加密，再base64加密，将最后的加密结果放到url当中去访问执行即可。首先将sql语句写好然后进行AES加密，再进行base64加密，然后在放入到url当中即可。得到该AES加密的偏移量和秘钥后，可进行解密。

DNS劫持(Domain Name System hijacking)是黑客经常使用的一种攻击方式，其原理是通过篡改DNS系统的域名解析结果，将某个域名解析到指定的IP地址，从而使得用户访问该域名所对应的网站时，被重定向到攻击者控制的虚假网站，进而实现种种欺骗行为，如钓鱼、木马下载、恶意软件等。DNS劫持的核心原理就在于篡改域名解析结果，攻击者通过某种手段获取到通信链路上的DNS信息，然后将目标域名解析到他所想要的IP地址上，从而将用户引导到自己的虚假网站。

分析代码文件名$name是接受POST请求中的数据，因为POST接收不会去掉我们添加的\n,如果使用 $_FILES[‘file’][‘name’]去接收文件名，则会吧\n去掉，所以要满足此漏洞 的条件之一就是使用POST接收文件名。$ext等于POST中的文件名后缀，所以文件名不能是[‘php’, ‘php3’, ‘php4’, ‘php5’, ‘phtml’, ‘pht’]，但是 可以是php\n的这种方式，就绕过了if判断，同时这样的文件还以被解析成PHP。这个表达符，在正则表达式中，我们都知道。

发现数据包当中为GET请求，而且参数值过于长，所以我们将请求改为POST请求，然后将content参数值放在请求体当中，放包即可。将此数据包再次和GET请求数据包进行对比，发现info.php文件，再次修改添加即可。将刚刚获取的content参数值(重发器当中)复制到这里来，在重发器当中测试。根据题目分析，然后再次点击静夜思，bp抓包即可。我们正常的点击静夜思，给与我们网页提示信息。发现请求，正常响应成功，源码也呈现出来。并没到得到我们想要的结果，继续分析。再次发送，即可成功获取key。

CSRF全称：Cross-site request forgery，即，跨站请求伪造，也被称为 “One Click Attack” 或 “Session Riding”，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。CSRF一句话概括：攻击者盗用（伪造）受害者的身份，以受害者的名义向服务器发送恶意请求,而这种恶意请求在服务端看起来是正常请求。

根据分析源码，该压缩包上传会被解压，解压后，文件夹会被拆开，然后拼接成文件，拼接的文件为文件夹（XX_Html）名中的XX+文件原来的名称。执行删除的操作，观察url信息变化，抓包抓取数据信息，修改数据包，尝试sql注入。在后台的学生管理，成绩管理，教师管理，文章管理等多处，存在xss跨站脚本攻击。接下来到文件上传点，鼠标右键点击检查，查看代码，找到文件的上传点，访问试试。通过爆破的目录，我们可以发现，目录下有一个压缩包，我们尝试下载。上传文件，验证是否能被解析，写入一个木马，直接进行连接。

文件包含。在PHP中，可以通过文件包含函数动态加载本地或者远程的另一个文件，把其中的代码当成PHP代码进行解析执行。在网站开发中，通过包含数据库配置文件，就不用每个需要查询数据库的PHP文件都写一次数据库连接信息，通过包含foot.php和head.php等网站头部和尾部模板文件，课快速开发出版面相似的页面，后期维护修改更加容易。

跨站脚本攻击（Cross Site Scripting）是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表（Cascading Style Sheets）的缩写CSS区分开，跨站脚本攻击通常简写为XSS。

弱口令漏洞没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险。

 检索ip信息，获取网站的信息 发现22端口存在高危 御剑扫描端口信息 发现开放以上端口信息 nmap扫描信息扫描出来端口的信息： 扫描目录状态码为200的：其他目录信息： 刚刚信息收集，发现22端口开放，存在高危，尝试弱口令爆破 连接失败，说明可能不是弱口令 尝试弱口令爆破数据库 同样没有检查出，可能不存在弱口令尝试登录后台： 尝试输入账

文件上传漏洞一般都是指“上传 Web 脚本能够被服务器解析”的问题也就是通常所说的 webshell 的问题。文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。所以“文件上传”本身没有问题，但有问题的是文件上传后，服务器怎么处理、解释文件。上传文件是 Web 脚本语言，服务器的 Web 容器解释并执行了用户上传的脚本，导致代码执行;（webshell）上传文件是钓鱼图片或为包含了脚本的图片，在某些版本的浏览器中会被作为脚本执行，被用于钓鱼和欺诈。