自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(145)
  • 收藏
  • 关注

原创 Linux渗透实战之Hackademic: RTB1靶场提权

哈喽师傅们,这次又到了给师傅们分享文章的时候了,这篇文章呢主要是给师傅们以vulnhub中的Hackademic: RTB1靶场,开始使用nmap进行相关渗透测试的操作,端口、目录扫描,得到一个静态的html页面,通过源代码为线索,然后挖掘wordpress的CMS框架漏洞,后面通过SQL注入,以手工和sqlmap注入来演示了SQL注入的一个过程,最后面通过爆破wordpress账户密码,去后台进行上传木马,反弹shell,再进行后面的提权操作。就目前来看,还是80端口的web服务是最为吸引我们的。

2025-01-13 14:20:30 518

原创 XXE 在文件上传当中的应用

如果是CVE-2014-3529,那么我们直接使用docem工具进行生成payload就可以利用,具体原理不多叙述。在实际的src挖掘当中,svg格式上传的地方不是很多,通常来说当有svg上传的地方一般首先会尝试XSS。可以看到某个pdf文件当中还是有一些xml标签的,我们插入无回显的payload可以尝试一下。生成docx的payload,该工具会在每一个xml文件当中插入指定的payload。压缩后,在burp当中进行抓包,修改插入payload。注意压缩文件当中必须要有xml文件!

2025-01-10 15:36:11 377

原创 Linux渗透实战之Nullbyte靶场提权

以靶场的形式给师傅们展示,这样大家看到我的一些好的操作也就可以去操作,去复现,这个也是后面我写一些渗透测试文章相关的一个走向,因为之前写了很大实战中的案例分享,但是是真实的站点,也不好给大家实操,只能作为思路分享,但是我现在单独拿出一些好的靶场来给师傅们演示渗透测试,那么这样对于师傅们来讲是一个不错的体验!我们这个靶机的那个存在sql注入界面的地方,我们第二种方法是以写入php木马执行文件,然后进行执行命令,那么我们可以执行命令,我们不就可以直接写入反弹shell的木马,然后直接迁移shell了。

2025-01-09 14:18:48 857

原创 记一次某红蓝演练经历

之前没怎么关注,因为感觉资产测绘的工具都大差不差,但是听朋友说这款工具信息收集还不错,于是就尝试使用了一下,我配置了各种key以后,信息收集能力还是不错的,声明一下:我没有会员哈哈哈哈,不过还是可以当作一款信息收集工具的,会员可以增加全量POC,感觉还是很不错的,接下来就是拿到资产以后进行渗透。向然后说资源不存在之类的,可能是接口做了鉴权?,来自狼组安全团队的一款工具,挺不错的,这里也放一下工具的使用手册,新手放心食用,最新的云鉴也可以试试,毕竟CF的动静还是挺大的。首先拿到资产进行筛选,嗯?

2025-01-09 14:13:59 858

原创 HTML Application利用

HTML应用程序(HTML Application,简称 HTA)是 Microsoft 提供的一种用于创建桌面应用程序的技术。HTA 文件使用标准的 HTML、CSS 和 JavaScript 编写,并通过 Windows 系统的。HTA 的核心特性是允许开发者使用 HTML 和 JavaScript 创建可以直接访问 Windows 系统功能的本地桌面应用程序。标签,该标签定义了 HTA 的应用程序属性,例如标题、窗口大小、图标等。HTA 文件的核心是一个 HTML 文件,其中包含特殊的。

2025-01-08 13:47:13 646

原创 记一次渗透测试实战之Sea

访问README.MD,发现是WonderCMS。使用exp.py脚本尝试,发现未能攻击成功。然后添加用户到管理员组,获取root权限。访问80端口,然后使用F12查看源代码。修改之后,重新尝试,成功获取shell。接着使用netexec验证ssh吗密码。查看数据库文件,获取password。使用浏览器搜索,发现存在CVE漏洞。使用hashcat解密,获取密码。发现存在22和80端口开放。发现存在SSRF漏洞。访问发现不能成功利用。然后进行内网信息收集。测试localhost。发现可以进行文件读取。

2025-01-07 10:50:39 285

原创 渗透测试-非寻常漏洞案例

均支付成功,但是过几分钟就会退回支付宝并显示支付失败,而另一种支付方式并没有退回,此处不存在漏洞,但是充值会员是需要允许下个月自动续费才能进行充值,因此两种支付均存在自动续费,但是支付宝退款发现自动续费还存在,而查看支付成功的一边自动续费也没有取消,因此类似签约漏洞的问题产生。在渗透测试中挖掘到许多不一样的漏洞,在常见的渗透测试案例中非常稀少,即使是SRC中也很少见,这么久也没遇到过几次,所以在这里分享一下,亲身经历挖掘到的其中的几个比较奇奇怪怪的漏洞。此文章不允许未经授权转发至除先知社区以外的其它平台!

2025-01-03 14:31:40 423

原创 JS中的漏洞信息

本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法. 此文章不允许未经授权转发至除先知社区以外的其它平台!当我们拿到网站,但是又不知道密码,目录扫描也扫不出有效的信息时,我们可以从前端JS源码入手,找找是否有可以利用的点,或者未授权的接口从而一步一步扩大危害,拿到系统源码或者用户信息等。这个其实危害感觉不大,只泄露了用户名,手机号等一些信息,但是这个网站SRC的,所以还有20元子赏金,hhh。此key有效,hhh。

2025-01-03 14:23:52 365

原创 记一次渗透测试实战之Sea

访问README.MD,发现是WonderCMS。使用exp.py脚本尝试,发现未能攻击成功。然后添加用户到管理员组,获取root权限。访问80端口,然后使用F12查看源代码。修改之后,重新尝试,成功获取shell。接着使用netexec验证ssh吗密码。查看数据库文件,获取password。使用浏览器搜索,发现存在CVE漏洞。使用hashcat解密,获取密码。发现存在22和80端口开放。发现存在SSRF漏洞。访问发现不能成功利用。然后进行内网信息收集。测试localhost。发现可以进行文件读取。

2025-01-02 15:35:06 325

原创 记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析

这些文件通常用于执行一些特殊的服务器任务,如图像生成、文件下载或其他动态内容的处理。这次感觉这个文件上传藏得还是比较深的,也是告诉自己挖掘一些漏洞的时候,千万不能放过任何一处细节,往往细节决定成败。给我返回了这个消息,那么我们可以理解为这个文件应该是要传递一个参数的,但是参数是什么,我们目前还不知道。ueditor组件也有一个ashx文件,看着文件名字应该就是用来处理文件上传功能的。看到api爆出200 ok的那一刻我的心情是激动的,感觉要有很多接口泄露了。我这边首先找到的是一个文件上传的登陆框。

2024-12-31 13:51:12 365

原创 前端加解密对抗encrypt-labs

之后慢慢看师傅们的文章,也学到了很多绕过技术,于是写了个简单的靶场,为之后的师傅们铺路学习,加密方式列出了我经常见的8种方式包含非对称加密、对称加密、加签以及禁止重放的测试场景,比如AES、DES、RSA,用于渗透测试加解密练习。现在日子越来越不好过了,无论攻防、企业src还是渗透项目,总能看到大量的存在加密的网站,XZ师傅的前端加密靶场还是很值得做一做的,环境很贴合实战会遇到的一些情况,本人web小菜鸡练完之后反正是收获颇丰,推荐给各位师傅。值,丢到第二个包中,依旧是自写脚本即可,不难,这里不演示了。

2024-12-30 15:15:18 710

原创 vulnhub靶机billu_b0x精讲

这里读取到了index.php的源码,存在任意文件读取漏洞,分别尝试读取passwd和shadow,看看能不能获得shadow文件爆破hash直接获取到root密码。index.php包含了c.php,head.php,而index.php又是一个登录页面,很有可能包含的就是数据库配置文件,继续利用文件读取漏洞读取源码。通过观察/test目录,页面提示需要传入一个file的值,联想到任意文件读取、文件包含,这里先get去传参一个index.php。

2024-12-27 13:38:31 1076

原创 Linux渗透实战之Trickster

这台靶机挺有趣的,兔子洞不少,难度的话在中等偏上吧,其中找凭据建立立足点卡了几个小时,最终提权到root打PrusaSlicer 2.6.1 - Arbitrary code execution,花了一晚上也没打通,最后在lzh师傅的帮助下利用了一个自动化脚本成功root。出现了很多config相关的文件夹及文件,一个一个找不现实,从哪里下手依赖经验及当前情势的判断,我们发现在app/config下放了很多config相关的文件,并且该路径也出现的靠前,先尝试着看看,如若不行在考虑其他路径。

2024-12-27 13:36:44 908

原创 记一次5000万资产的渗透测试

检索目录发现8080端口部署了一个web管理服务,就是上面能getshell的,还有另外一个web服务在8900,我们把两个源码都下载下来。后面就是可以进行内网的渗透利用了,但是点到为止,事后也是将所有后门木马删掉,也是通过这次记录,能给新手一点渗透的灵感吧。于是我先上传png进行测试,发现可以上传,然后又上传jsp,发现并没有过滤,可以直接传。发现扫描不出来什么,就是多了另外一个站,但是其实也是在我们开始资产收集的那个资产范围内。我拿了某个域名去进行扫描,然后有这几个路由是可以访问的,先看/admin。

2024-12-23 16:18:49 234

原创 域渗透实战之HTB-Vintage

发现的目标域中获得立足点。Pre2k 可以从未经身份验证的上下文运行,以从提供的恢复主机名列表(例如从 RPC/LDAP 空绑定)执行密码喷射,或从经过身份验证的上下文运行以执行有针对性的或广泛的密码喷射。SERVICEMANAGERS组对svc_ark,svc_ldap,svc_sql这三个用户具有GenericAll的权限,这是个突破点,因为具有GenericAll权限,有很多事可以做。获得立足点后,进行了一些枚举,打算上传一些自动化收集信息的exe,但本地有杀软,举步维艰。

2024-12-18 16:30:11 674

原创 记对一次360远古版本安装包挖掘导致的kill

鄙人通过挖掘360历史版本得到了一个哇塞的卸载包,最新版本(v14系列)的,在想要运行卸载包来实现k360会收到很大阻碍,具体为:按键hook不允许模拟点击,需要先结束360服务再删除,删除的非常的彻底容易再次安装,鄙人挖掘到的这个卸载包完美避开以上所有缺点,唯一需要解决的就是判断按键位置并且点击,卸载包在附件中,密码为。序言,本文继续将分享一种鄙人不久前挖掘到的360相关可利用方面,可实现k360,代码还是需要各位师傅自己微调微调的,不要用我的技术搞违法乱纪的事,法律责任与鄙人无关。

2024-12-17 14:22:09 380

原创 一种k360的方式分享

我们运行,发现虽然鼠标移动到了“是”按钮上,但是没有办法有效点击,这是因为360对旗下产品的任何按键都做了hook处理,防止这样去点击,那么我们沿着这个思路继续写,用NtUserInjectKeyboardInput函数绕过杀软屏幕锁定模拟键鼠。序言,本文将分享一种鄙人之前挖掘到的360相关可利用方面,可实现k360,代码还是需要各位师傅自己微调微调的,不要用我的技术搞违法乱纪的事,法律责任与鄙人无关。判断存在该指令利用,我们不妨输入试试效果。完成点击,360被成功干掉。

2024-12-17 14:20:12 215

原创 THM 靶场 — Overpass-writeup

在定时任务中,可以发现一个以 root 用户 curl 网站目录下的一个 bash 脚本 并且执行。在关于我们的页面下有一些员工的名字,可暂时保存下来。需要在目标主机中 cp bash,接着在我们挂载的本机目录中进行赋予权限。那么我们可以尝试接口转发,让本地的某个端口,被转发到远程服务器上。在上面我们得知了密码,但不知道是谁的密码,甚至不知道是哪个服务的。这个页面是关于这个网站发布的软件的一些下载。在上题的流中,最下面使用了 git ,下载了一个文件。但是现在我们是 www 用户,我们需要一个真正的用户。

2024-12-13 13:28:16 966

原创 ATT&CK红队评估实战靶场二

发现目标主机上是安装了某60的,目前是管理员权限、有两种绕过的思路,第一种就是自写免杀shellcode,第二种就是远程桌面连上去手动关闭某60,因为在前期信息收集过程中收集到3389端口是开放的,为了节省时间,这里我先选择第二种方式,但是在实际的红队项目中,手动关闭杀软是一种高危操作,很容易被检测设备或者蓝队人员发现。漏洞存在,但是获取不到shell,猜测可能是目标装了防护软件。域内成员为DC(域控),PC,WEB(当前控制的主机)这里提示是存在永恒之蓝漏洞的,进一步进行利用。

2024-12-11 11:07:32 1095

原创 入门级badusb框架的实现

作为HID 攻击的一种,badusb可以说是声名远洋本质是伪装成输入设备在被害者电脑上快速完成威胁操作,理论上来说只要能进行hid交互就能完成攻击,也有很多公司出相关产品例如O.MG 的伪装成数据线的O.MG Cable,不过这不是我们今天的目标,至于badusb的介绍网络上有很多了便不再追述,这次主要讲以最廉价的价格实现一个badusb。这就是一个简单的案例,将我们常用的字符通过key_map映射过后,通过遍历模拟键盘拉起一个poweshell终端,在其中输入字符,将代码烧如便是一个简单的badusb。

2024-12-10 15:25:35 884

原创 域渗透入门靶机之HTB-Cicada

前期通过信息收集,发现smb存在匿名登录,在'Notice from HR.txt'中发现了默认密码,然后进一步信息收集,去寻找有效用户,通过crackmapexec的--rid-brutr参数,爆破出了一组用户,然后进行密码喷洒获得一组凭据,一无所获,也可能是字典的原因,我们也尝试利用LDAP服务来爆破用户名,可以借助ldapnomnom这个工具去爆破,但我们并不知道有效用户的格式,因此决定换一种方法,借助crackmapexec中的--rid-brute参数来寻找有效用户。

2024-12-09 15:59:46 832

原创 脱离C2的自动路由,实战中如何将4以上层内网的穿透,4dnat+新版frp+proxifier使用

实战往往会脱离使用C2,因无法使用C2自带的自动路由功能,自己搭建socks5隧道代理将内网服务的穿透出来(本实验环境是将win2016的8000端口http服务代理出来)以4层内网距离。因环境问题,IP1:192.168.239.137为模拟真实环境的公网出口ip,4台主机均已关闭防火墙。proxifier也有显示有代理流量。action选择刚刚创建的代理链。4dnat开启socks5。windows 攻击机。注意下方代理链的顺序。

2024-12-04 10:12:03 245

原创 记某次金融小程序数据加密及签名逆向

参数的分析,salt和encryptkey就是aes用来加解密的iv和key,至于放在header中,猜测是通过请求一起发送到后端,后端对请求参数用iv和key解密后,再将返回数据用相同的iv和key加密,返回到前端解密。由于用到的都是原生的算法,加密的iv和key都是前端发送的,所以我们可以直接固定iv和key,用其他代码实现该过程,这里我用的python来生成。结合刚刚找到的公钥和私钥,以及请求头中的salt和encryptkey都是加密的,前端调试找到加密的代码。

2024-12-03 14:10:47 1102

原创 从Apache Solr 看 Velocity 模板注入

学过 freemaker,学过 Thymeleaf 模板注入,但是还没有学过 Velocity 模板注入,然后学习一个知识最好的方法就是要找一个实际中的例子去学习,好巧不巧,前端时间还在分析 apache solr 的 cve,这次又搜到了 Apache Solr 的 Velocity 模板注入漏洞,开始学习,启动,感觉结合一个例子来学,学得还是比较理解到的。对应 SolrConfigHandler 也是非常清晰,获取配置信息用 METHOD.GET,而更改配置信息用的是 METHOD.POST。

2024-12-02 13:51:04 966

原创 2024“蜀道山” RE 部分题解

找到super panda girl\Super Panda Girl_Data\Managed文件夹下的。是一个长度为 105 的数组,被用作 15x15 的二维网格。主要逻辑就是先对 text 进行 RC4加密(密文密钥已知),shift E 找一下 "Compile Error"然后取 text 偶数位拼起来再进行base64编码。定位到sub_7FF6EFED12E0函数。迷宫有多解但是正确的flag只有一个。下断点的时候控制一下别直接退出去了。可以写个C脚本跑一下过程。Unity游戏逆向题。

2024-11-29 16:31:32 595

原创 spring +fastjson 的 rce

可以看到这里是有一个逻辑的,先把 delegate 输入流的字节码转成 int 数组,然后拿 ByteOrderMark 里的 bytes 挨个字节遍历去比对,如果遍历过程有比对错误的 getBom 就会返回一个 null,如果遍历结束,没有比对错误那就会返回一个 ByteOrderMark 对象。众所周知,spring 下是不可以上传 jsp 的木马来 rce 的,一般都是控制加载 class 或者 jar 包来 rce 的,我们的 fastjson 的高版本正好可以完成这些,这里来简单分析一手。

2024-11-27 15:17:33 1163

原创 flask请求头回显的学习和探究如何进行错误页面污染回显

因为我的入手点是再werkzeug.wrappers和werkzeug.exceptions下于是我先查看了werkzeug.wrappers的response.py,再其初始化Response类的地方打上了断点,而后发现再响应类下有许多可以篡改的请求头。这时候其实我是想找能否对正常的200回显的body进行篡改,于是我尝试污染了data的值,但是我发现并没有使回显的值发送改变,而后简单调试了一下发现:在发给客户端响应时会使用set_data来更改其值,其值会被更改为参数response的值。

2024-11-26 16:00:40 1060

原创 基础免杀 从.rsrc加载shellcode上线

段是PE文件中的一个特定部分,专门用来存储资源数据。这些资源通常包括图标、位图、字符串表、对话框、菜单、版本信息、字体等。这里选择讲shellcode转英文单词 从资源文件读取出来之后再解密。具体的shellcode加载方式不在此探讨 在这使用传统的指针执行。将shellcode修改扩展名为ico 并导入。.rsrc的内存属性是只读 开一块新内存拷过去。获取指定资源的信息块的句柄 传给。指向资源第一个字节的指针。的熵值极高 达到7.99。通过die可以看见此时。从当前进程中查找资源。

2024-11-25 13:11:10 304

原创 sql注入报错分享(mssql+mysql)

由于mysql的主键不允许重复,会抛出Duplicate entry的异常,所以可以通过有规律的插入主键来导致报错。这里通过随机数来获取组件范围,只要我们让返回的数据能满足规律,就会导致报错,这里我通过fuzz 发现了以下的函数可以满足。当超过mysql的整形的时候,就会导致溢出,mysql可能会将错误信息带出。当我们需要搜索的是字符串 我们可以通过+1让他直接报错,基本可以捶很多的函数了,这里只列举一些。mysql的报错内容比较多 网上也有比较多的 这里重复的就不多介绍了。也可以利用函数的参数让其报错。

2024-11-22 15:17:04 616

原创 近源渗透|HID ATTACK从0到1

我自己对HID ATTACK的启蒙非常早,在16年左右,就有使用过类似橡皮鸭的HID(Human interface device,缩写HID,直译为人类接口设备)设备,最初的时候应该是在freebuf上看到的,以及国内的badusb网站。方案二作为自diy的设备,可以实现外壳兼容,flash存储,且可以自写固件添加功能,例如格式化设备清除痕迹等,但其不是最优解主要体现在他的速度稍慢,连接上电脑需要5秒左右的初始化时间,且其固件功能不够多。,其速度较慢,且对于win7不免驱。

2024-11-21 13:24:34 668

原创 关于OpenRASP的绕过实现

举个例子,当我的Application要加载一个类时,虽然是我的Application类加载器收到了类加载请求,但实际上,Application类加载器并不会直接去加载这个类,而是将这个类的加载委托给它的父类加载器,Extension类加载器,Extension类加载器也不会直接加载这个类,而是再继续向父类委托,也就是Bootstrap类加载器,Bootstrap类加载器在classpath中寻找这个类,并加载。如果成功找到了这个类,那么就直接返回。

2024-11-20 14:56:16 917

原创 某校园网登录界面前端加密绕过

我们点击跟进,在a41.js中发现function ee()函数,此处下一个断点,这里下断点的原因程序执行完之后会把内存里的变量信息全部丢掉,所以我们要赶在程序没执行完之前去看看变量里面都有些啥,果不其然,定位到了我们输入的源数据,现在已经成功确定了加密算法函数在a41.js中。全局搜索Password,定位到这里,但显然这个password并不是用于加密的相关函数,但找了找其他关键字,也没有,索性在这里下一个断点,程序执行到这里时会卡住,根本查不到,所以不是普通的MD5加密,遂开始Js逆向。

2024-11-19 11:21:33 691

原创 2024 hkcertctf web 部分wp

的内容可以通过访问我们的vps达到可控 html_file和pdf_file 可以通过修改sessionid达到可控。中发现存在id为1337的题 发布时间是365天后 题目描述中存在flag2。值得注意的是得先不带参数访问创建文件 再带参数访问 否则会识别为url。那么如果我们能登录到admin 我们就可以拿到flag2。那么只要拿到登录到player之后就可以直接获取flag。减去 7 len("public/") 1017。但是在注册的路由 我们可以直接传。看一下hash是怎么算的就行。

2024-11-18 17:18:35 536

原创 javay原生类反序列化链子实例化rce的失败尝试

链尾来自于avss geekcon2024的old log,查找到一个链子去通往他,但是实例化成功了,无法查遍了Format都无法控制参数,于是手动patch了一个继承Format类使他的parseObject可控。这时候发现调用到DefaultFormatter#当parseObject的时候返回任意字符串的值。用codeql查询到漏洞利用链的过程就省略了。有反序列化,有springboot的jar包。又调用了updateMask。会进行一个任意类实例化。

2024-11-15 16:09:49 280

原创 web3+web2安全/前端/钱包/合约测试思路——尝试前端绕过直接上链寻找漏洞

DEFI APP会存在许多的前端限制,原因是一些项目常常会有多种多样的限制,然而DEFI APP有别于传统的JAVA后端语言,DAPP有自己独属于区块链特性,能够直接交互上链且上链后不可篡改特征也让DAPP上线前往往更加严格,在前端的限制有可能只是为了掩盖该项目合约的问题(项目合约可编译不公开代码,可进行白名单KYC认证)发现这个值的触发来源于如下,也就是说进入了以下方法后,通过switch来判断,最终达到case为15的时候,就会进入判断,那么我们只需在断点时候不要让他进入这个判断。

2024-11-14 14:20:43 1043

原创 新版flask pin码计算

总结一下就是Werkzeug会根据s创建cookie用于认证成功提交pin码,然后才可以执行带着frm和cookie的执行命令的请求。当我们无法获取返回的cookie,也无法使用/console进入debug的控制台的时候就需要我们手算cookie了。所以我们先看一下s怎么获取,访问console路由看源码就行,或者搞一个报错,源码里也有。先是get_pin_and_cookie_name函数这里看看cookie的名字。接下来看cookie的值,找到pin_auth函数。

2024-11-12 14:46:53 315

原创 命令执行绕过总结分享

测试发现${内部如果存在已经定义的变量,中间用特殊符号去做处理,${会先解释定义的变量的值,忽略其他的内容,然后和后面的}外部的值做拼接。${parameter/#pattern/string}:这会只有当参数的开头与pattern匹配时,才将开头的pattern替换为string。${parameter/pattern/string}:这会将参数中的第一个匹配pattern的部分替换为string。敏感文件的绕过直接打乱/etc/passwd的直接顺序即可,最终绕过的payload如下。

2024-11-12 14:37:55 542

原创 记某app使用autodecoder插件绕过加密数据包+重放防护

踩坑点: 此处我们获取的json数据,有转义字符串,直接在python里aes解密会加上无关的东西 得先strip()一下 千万别用re模块自动去掉转义字符串!修改post内容----》生成新的nonce+时间戳----》生成新的sign----》替换----》生成新的加密主体。经过抓包判定,发现该app的对抗策略ios远大于android,存在fingerprinthash,类似于风控。当你多阅读即便官方提供的模板源码,就明白了。下载下来看后,抓包,数据包加密了,并且存在sign+nonce+时间戳。

2024-11-11 09:43:48 867

原创 记一次信息收集实战分享

信息收集到寻找漏洞的具体流程都走了一遍,学校网站的子域名有二十几个,但是几乎全部套用一样的模板,不好下手。使用JSFinder,将前面得到的子域名去重之后,进行js爬取,使用jsfind,得到几百条数据。使用week-passwd,尝试失败,看到深信服就知道大概率是失败的,所有随便试了一下。未尝试,只在这里找到了,其他地方没有找到,这个没有那么多积分,查看不了。电话尝试了社工得到的电话,未成功,直接在QQ搜索相关的群名称,进入之后,得到一些信息。得到一些敏感数据,比如默认密码,老师的电话之类的。

2024-11-05 16:01:39 341

原创 某次211大学的渗透测试过程

目标的网站大多是需要经过统一身份认证才能访问,而且还都有waf,之前的常规测试都没有发现漏洞,所以使用之前收集得到的账号登录统一身份认证系统看下里面的资产。发现jwt中的参数roleid变成了01,并且可以查询别人的信息了,确认存在越权,但是泄露的信息不够敏感,没有价值,需要在寻找一些有没有更加敏感的接口。子域名收集差不多后了,判断存活,一般是使用Ehole直接判断存活加资产识别了,平时遇到的没有的资产也会添加到库中,使用起来非常方便。按照之前的方法,将roleid修改成01,然后使用抓到的包发包,如下。

2024-11-01 13:31:15 696

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除