- 博客(22)
- 收藏
- 关注
原创 路径fuzz的一种想法(脚本试验扫了一晚上,扫出某大厂商两个漏洞)
参考了之前的路径fuzz的工具,例如猪猪侠的工具:https://github.com/ring04h/weakfilescan,这个工具主要就是先爬取网页的路径,然后再对每个路径进行fuzz,这种思路跟以前的路径fuzz的差别就在于可获取更多存在的链接进行fuzz;而不单单只是进行对根目录或者某个路径进行字典加载。但上面的工具有一些缺点就是可能会导致一些网址会重复爬取,爬取的链接也不是很
2017-10-16 18:30:18 4730 3
原创 利用MSBuild制作msf免杀的后门
今天看到三好学生对MSBuild的利用,它的好处这里已经说完,http://bobao.360.cn/learning/detail/3046.html,说可以有提供一种直接执行shellcode的方法,然后就尝试了一下通过MSBuild进行msf的木马后门的免杀。 我这次选择了32位的那个版本来进行演示: 需要改写的是shellcode那部分:
2016-09-22 08:32:31 69120
原创 java rmi+jndi
java rmi+jndifastjson和这篇文章都是公司内容分享,我要分享的内容java rmi讲解https://xz.aliyun.com/t/7930#toc-5基本知识讲解在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。JAVA本身提供了一种RPC框架 RMI及Java 远程方法调用(Java Remote Method Invocation),可以在不同的Java 虚拟机之间进行对象间的通讯,R
2021-08-11 14:53:42 538
原创 fastjson——分享
fastjson——分享功能描述fastjson的功能就是将json格式转换为类、字符串等供下一步代码的调用,或者将类、字符串等数据转换成json数据进行传输,有点类似序列化的操作;FastJson利用 toJSONString 方法来序列化对象,而反序列化还原回 Object 的方法,主要的API有两个,分别是 JSON.parseObject 和 JSON.parse ,最主要的区别就是前者返回的是 JSONObject 而后者返回的是实际类型的对象,当在没有对应类的定义的情况下,通常情况下都会使
2021-08-06 16:30:03 1825
原创 子域名监控工具
概述 做安全测试经验多了,就会有一种感受,比拼的就是资产的寻找。举个例子,例如很多人都会拿子域名扫描工具做域名寻找,但还是一直用着默认字典做扫描。这里其实完全可以根据经验,对字典做一个优化,这样才会发觉别人字典没有的域名。 上面只是证明发现资产的一些方式,但有时候持续地对目标做安全测试,这时候就可能需要对资产进行持续不断地进行监控,过一遍收集的子域名,已经发现了所有漏...
2018-12-18 12:27:07 3633 1
原创 记一次mssql手工注入
记一次mssql手工注入记录一次mssql注入的过程,很多都是久的知识,大家当温故而知新吧。xxxx/xxx?nIDX=122‘ 注入报错,直接sqlmap跑,但有waf拦截; 只能进行fuzz了,发现select 和 from之间用/**/就可以绕过。 (1)首先查看版本号: 由于是数字型的报错,不用闭合单引号。直接@@version先查看版本号:Microsoft OLE ...
2018-04-04 11:56:33 9412
原创 审计小trick结合
审计小trick结合在这里分享一些平时看到的审计小技巧 以下都是平时自己看文章记录下来的知识点,知识点可能有点乱,如有错误,请指出。出现了SSTI漏洞,在tp框架的情况下,渲染的文件始路径必须是以ThinkPHP的入口文件(index.php)为起点,一直到对应的文件位置,而不是以漏洞文件作为起点。74cms前台某处Getshell漏洞(SSTI) - 漏洞时代 - 最新漏洞_0DaY...
2018-04-04 11:48:46 2423
原创 绕过前端加密进行爆破(附脚本)
在渗透的过程中,有时候会遇到密码在前端加密了,为我们爆破提高了难度。加密是js脚本自定义函数加密,burp里面的一些加密函数就满足不了我们的需求。如下所示,密码为admin123,加密的效果如下:可以看到加密的函数主要是encode,所以每个密码都由自定义函数加密。最近在实战过程中get到一个new trick,利用相应的工具或者模块执行该 js 文件,拿到输出结果即可,可以使用 python 自
2017-11-20 12:08:38 5096
原创 Maccms8.x 命令执行分析
在很多地方看到有这个漏洞,自己学着分析一下。看到的poc如下Url: http://127.0.0.1/index.php?m=vod-searchPOST: wd={{page:lang}if-:p{page:lang}hpinfo()}a{endif-}}在index.php这里主要是进行模板的路由规则替换,vod-search就会拆分成vod和search,然后载入v
2017-05-24 11:30:34 6493
原创 一次溯源过程
记录一下一次溯源的过程:当时某个客户说网站遇到劫持的情况。要求我们来看看,但是由于某些原因,看不到服务器上的内容,只能够获取日志进行溯源。看到日志是2017-04-01上传文件,然后搜索关键字upload,因为一般上传的webshell都会存在于upload某个文件夹下面,然后在又看到有eval这个函数的出错,所以大概知道箭头指示的那句话为一句话木马。访问木马:
2017-04-18 17:51:04 5422
原创 被动扫描注入的实践
最近看了一些文章都提到了流量镜像的问题,流量镜像的好处就是可以将我们上网的流量都记录下来,利于在黑盒渗透的时候找到不被发觉的一些问题,也可以把这些包提交到sqlmap进行自动检测。Sqlmap作为一个神器,它留了一个接口给我们调用,然后再进行被动的注入检测,在github上搜到一个做好的的封装包,https://github.com/OneSourceCat/sqli-proxy/blob
2017-02-20 09:25:38 2768 3
原创 域渗透
shell怎么拿就不说了。拿到shell以后,查看了一下是内网: 然后进行内网的信息收集: net user /domain域用户 Ipconfig /all 查看dns的指向的域控主机。 收集完信息,人家在内网,然后我想收集一下内网机器的信息。首先我想代理进行,用reGeorgSocksProxy+proxychains代理进去,
2016-12-25 21:45:05 3275 1
原创 Python实现wvs进行批量扫描
之前就看了一些文章说AWVS目录下有个wvs_console.exe, 可以利用这个接口来进行命令行的操作,Acunetix Web Vulnerability Scanner,可以开启大约10个AWVS,占用的资源是比较少的。http://www.acunetix.com/blog/docs/acunetix-wvs-cli-operation/,在这个网站上面介绍了wvs的参数说明。
2016-12-13 16:44:53 7286
原创 对YxtCMF一次简单审计
一个小众的cms,下载地址:http://down.admin5.com/php/133101.htmlYxtCMF v2.2.0是thinkphp+bootstrap为框架进行开发的网络学习平台系统,有两处注入,不过都是需要会员登陆由于网站没有对注入进行防护,假如开启gpc都帮你关掉在/index.php中注入1:需要先登陆
2016-11-10 11:44:41 3894 1
原创 多进程爬取补天的厂商
最近工作上挺多事的,心有点乱,感觉是时候静下心来了。 之前就想找个爬取补天的厂商,又碰巧在一个论坛看到一篇文章,然后自己就改改了,算二次原创吧,自己加了多线程。 #coding=utf-8import sysreload(sys)sys.setdefaultencoding("utf-8")import multiprocessingimport timeimport
2016-10-19 15:50:32 2557
原创 Ngrok内网穿透的几种利用
其实这篇之前投稿了,不过版权在我这里,地址在这里:http://bobao.360.cn/learning/detail/3041.html Ngrok是这样介绍:一条命令解决的外网访问内网问题,本地WEB外网访问、本地开发微信、TCP端口转发。有tcp端口转发的功能,就尝试利用ngrok进行内网的穿透。Ngrok的网址:http://www.ngrok.cc/。【这个不是官网地
2016-09-22 08:38:02 17829
原创 Windwos密码导出的几种姿势
这篇文章主要是介绍怎么在本地提取用户密码,把知识整理了一下,把知识整理起来的威力还是挺大的。以下的方式分为要免杀和不需要免杀的方式。文章介绍的技术具有一定的攻击性,主要用于学习。要免杀:1.GetapssGetapss是由闪电小子根据mimikatz编译的一个工具,可以获取明文密码。现在有32位和64位了,直接运行getpass.exe。2.QuarksPwDu
2016-09-14 23:16:57 10703
原创 mongodb未授权访问脚本
有事候知识整合起来会发生很大的威力,尝试着写了一个poc来测试mongodb的未授权访问漏洞,发现危害还是很大的。把脚本放在https://github.com/Xyntax/POC-T,框架的script目录下面。脚本仅供学习:#!/usr/bin/python# -*- coding: UTF-8 -*-"""moogodb未授权访问Usage: python POC-
2016-09-11 13:15:44 7641
原创 SSH的几种玩法
得到一台Linux的服务器,我们可以进行以下几种玩法:先讲一讲几个参数:-f 要求 ssh在执行命令前退至后台.它用于当 ssh准备询问口令或密语,但是用户希望它在后台进行.该选项隐含了 -n选项. 在远端机器上启动-N 不执行远程命令.用于转发端口.-C 要求进行数据压缩 (包括stdin, stdout, stderr
2016-09-02 14:55:26 3583
原创 seacms sql注入
最近在学习代码审计,审到一个注入,提交,说重复了,好尴尬啊。源码下载:http://www.mycodes.net/47/7976.htm在/i.php,获取ip的时候,全局的ip获取是做了正则。不知道问什么这里重新进行了一次ip的获取。<?phpsession_start();require_once("include/common.php");require_once(sea_I
2016-08-30 20:16:12 5805
原创 zabbix漏洞的利用
之前想用这篇东西来投一个论坛,获得邀请码的,一直没回应,直接发出来大家互相学习一下吧。前不久zabbix爆出注入漏洞。然后当晚就自己撸了一个poc来利用一下。后来看到有人有一个发了更好的脚本:https://github.com/Xyntax/POC-T/blob/master/script/zabbix-jsrpc-mysql-exp.py不过还是记录一下自己的学习过程吧。主要是
2016-08-28 19:45:51 6706 1
原创 ceye的利用
上次想利用ceye,但网上介绍利用的比较少,然后自己就整理了一下。原理可以参考这几篇文章:https://forum.90sec.org/thread-9473-1-3.html在SQL注入中使用DNS获取数据:http://drops.wooyun.org/tips/5283 当你苦于没有cloudeye的时候,有一些没有回显的结果的时候就比较苦恼。介绍一个免费的,利用cey
2016-08-27 15:06:57 7471 2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人