- 博客(69)
- 问答 (3)
- 收藏
- 关注
RSS订阅
原创 WordPress 3.6-4.5.2 Authenticated Revision History Information Disclosure
漏洞危害WP允许作者发布一种带密码验证的文章,该漏洞可绕过密码保护查看内容。代码分析官方修复方案,仅修改了检查的权限,将读权限改为写权限。 https://github.com/WordPress/WordPress/commit/a2904cc3092c391ac7027bc87f7806953d1a25a1检查权限失败会break,此时 $redirect="edit.php",会跳到编辑文章
2016-08-23 23:49:34
1273
原创 WordPress 4.4 SSRF
通过这个漏洞熟悉一下WP的代码。数据跟踪[xmlrpc.php] 获取POST的数据$HTTP_RAW_POST_DATA = file_get_contents( 'php://input' );创建xmlrpc_server,使用serve_request()方法处理输入。$wp_xmlrpc_server_class = apply_filters( 'wp_xmlrpc_server_cl
2016-08-22 14:42:54
2796
1
原创 Zabbix latest.php Insert注入分析与实践
概要因为未能过滤掉latest.php页面中toggle_ids数组的输入,导致Zabbix 2.2.x,3.0.x 远程SQL注入源码分析下载了两份官方代码对比,左为3.0.4(已修复的版本),右为3.0.3\zabbix-3.0.3rc1\frontends\php\jsrpc.php可见新版本中删除的代码即为漏洞触发部分。/* * Ajax */if (hasRequest('favo
2016-08-22 11:37:00
2649
1
原创 无回显命令执行PoC编写指南(Apache Shiro Java反序列化)
无回显命令成功执行与否,无法从web获取到标志性的信息,Java反序列化漏洞及属于该类型。验证方法针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。该方法可行,不过缺陷有以下几点:修改了目标机的文件系统不具有通用性,如windows没有nc、linux没有wget的情况。涉及到TCP数据传输,执行速度慢一种更好
2016-08-04 17:38:28
10824
原创 OAuth 2.0攻击方法及案例总结
本文整理了OAuth 2.0的攻击面+实际案例+辅助测试代码OAuth流程本文以两种广泛使用的方案为标准展开. 如对流程不了解,请先移步学习: 理解OAuth 2.0Authorization Coderesponse_type = coderedirect_uriscopeclient_idstateImplicitresponse_type = tokenredirect_u
2016-08-01 14:19:28
9154
原创 Struts2-032/033/037/devMode漏洞演示环境搭建
环境搭建安装Java(ubuntu自带的openjdk就行)安装Tomcat apt-get install tomcat7下载这个含漏洞版本的struts2(已验证) https://pan.baidu.com/s/1nvpkq5z解压,将apps文件夹下的所有示例(.war)拷贝到Tomcat下(路径默认为/var/lib/tomcat7/webapps/)启动tomcat servi
2016-07-29 21:12:27
5106
2
原创 Python多线程中阻塞(join)与锁(Lock)的使用误区
关于阻塞主线程join的错误用法Thread.join() 作用为阻塞主线程,即在子线程未返回的时候,主线程等待其返回然后再继续执行.join不能与start在循环里连用 以下为错误代码,代码创建了5个线程,然后用一个循环激活线程,激活之后令其阻塞主线程.threads = [Thread() for i in range(5)]for thread in threads: thread
2016-07-28 10:41:12
10810
3
原创 Redis Getshell自动化实践之webshell
前两篇文章介绍了两种直接root权限getshell的方式,这里介绍通过写入webpage来得到shell的半自动化脚本. 脚本的意义是将误报的可能性降到最低,发现目标并简化手工操作.利用流程1 通过redis未授权访问漏洞,向redis插入一条记录,内容是一句话木马或其他webshell 2 找到web绝对路径,写入webshell 3 菜刀或其它半自动化exp逻辑半自动的原因是最后写入的w
2016-07-21 18:33:49
4627
原创 Redis Getshell自动化实践之cron
利用流程1 通过redis未授权访问漏洞,向redis插入一条记录,内容是反弹shell的定时任务 2 通过redis数据导出功能,将含有定时任务代码的数据导出到/var/spool/cron/root 3 监听端口,获取shell编写exp完整代码: https://github.com/Xyntax/POC-T/blob/master/script/redis-cron-getshell.
2016-07-21 13:36:19
4162
原创 Redis Getshell自动化实践之SSH key
不了解该漏洞建议先看这个文章 Redis 未授权访问配合 SSH key 文件利用分析漏洞利用流程1 生成一对用于ssh验证的密钥对 2 通过redis未授权访问漏洞,向redis插入一条记录,内容为已生成的公钥 3 通过redis数据导出功能,将含有公钥的数据导出到/root/.ssh/authorized_keys 4 使用自己的主机,通过ssh私钥与受害机进行匹配并登入自动化的限制用e
2016-07-20 17:46:23
2512
原创 Python在线编码导致命令执行
看到某公众号提供"Python在线编写"功能,测试了几个函数. 以下常规的都被过滤了os.systemos.popensubprocesscommands然后试试os.popen2/3/4发现可以import,同时socket也可以使用这样就写了个反弹shell的脚本:import socketfrom os import popen3s = socket.socke
2016-06-26 22:24:49
691
原创 [CVE-2016-5699] Python HTTP header injection in httplib/http.client
0 概述Python2.x 3.x 的urllib/urllib2从数据解析到发包的整个流程中,均未对URL提供安全性过滤或检查.导致换行符可被插入到HTTP数据流,使攻击者可以注入额外的HTTP头和请求方法.本文将重点介绍:HTTP 请求头基础Python urllib/urllib2 核心代码逻辑漏洞验证过程及代码分析1 位置Python 2.x urllib2.py - httpli
2016-06-25 21:57:19
2021
原创 BurpSuite+sqlmap: SQLiPy扩展使用说明
插件说明该插件可以把burp抓到的请求直接扔给sqlmap扫描。安装配置通过顶栏的SQLiPy进入该扩展: 该扩展需要 sqlmapapi.py (sqlmap项目自带)开启服务可以有两种方法开启sqlmapapi,一种是自己在本机先运行 python sqlmapapi.py然后在burp的SQLiPy扩展里填写监听的端口方法二:直接指定python和sqlmapapi.py的位置,然后点击st
2016-06-16 16:31:26
7378
2
原创 Python自动化代理池
代理池代理池是爬虫、采集、爆破、刷单等必不可少的配备。读了一个github的py代理池的源码,简单易用免维护,也无需过多配置,共享一下。结构该程序从网站爬取代理列表,存入SQLite数据库。定时执行爬取->存入->检查->爬取的循环以保证采集到代理IP的可用性。同时本地监听HTTP请求,通过提交的GET参数筛选代理,并以json格式返回给应用程序。途中灰色框线中即代理池程序需要完成的部分。箭头方向表
2016-06-14 16:55:29
4587
1
原创 S2-033漏洞分析
概述 item detail Impact of vulnerability Possible Remote Code Execution Maximum security rating High Recommendation Disable Dynamic Method Invocation if possible. Alternatively upgrade to
2016-06-14 15:56:47
1240
原创 解决POC脚本对多种URL的自适应问题
在批量POC的过程中,我们采集到的URL状态往往是不同的. 因此我们需要对URL进行统一处理,从而确保POC脚本能够准确的验证每个URL我们以实际漏洞举例说明,并给出我的批量POC解决方案.漏洞示例 Atlassian Confluence 5.8.17 之前版本中存在漏洞,该漏洞源于spaces/viewdefaultdecorator.action和admin/viewdefaultdec
2016-05-08 14:44:33
969
原创 Coremail手机版页面持久型XSS实践
0x00 前言学校的邮箱是号称7亿用户都在用的Coremail邮箱系统. 利用这个漏洞,我们可以在一些条件下直接进入邮箱.这个持久型XSS是王欢学长在上个暑假发现的,欢哥喜欢从小鸭子们身上收获编程的灵感,偷偷的告诉大家他的微信号:qqwanghuan0x01 描述当我们使用手机访问mail.bjtu.edu.cn登录时,会跳转到手机版的登录界面.0x02 详情这个XSS发生的位置就是"发件人"的位
2016-05-01 22:45:58
2799
原创 记一次曲折的渗透测试经历
昨天把jexboss脚本整合到我的多线程框架里,扫了一遍全国jboss,发现一千多个shell.工具地址在:https://github.com/Xyntax/POC-T随意拿了一个看似大厂商的,作本次入侵测试发现传送门通过jexboss拿到shell,看到是centos的机器(IP已打码).看起来是root,确认一下.不稳定的传送门shell的问题接下来执行命令的时候,发现这个jexboss自带的
2016-04-21 19:16:24
11947
3
原创 zabbix弱口令批量检测
今天看到了乌云公开的漏洞 奇虎360某IP服务器zabbix弱口令 写了个模拟登录的批量验证脚本,整合到我的并发框架中做批量zabbix 默认口令检测支持两种zabbix版本Admin/zabbix代码链接: https://github.com/Xyntax/POC-T/blob/master/module/zabbix_wp.py其中使用shodan搜索出结果国内zabbix服务器46
2016-04-20 12:49:37
3568
原创 Bilibili 2000W用户信息爬取
单机多线程爬虫,耗时30小时,爬取B站2000W用户公开数据,存入数据库。为用户个性签名提供网页索引,说不定这是东半球脑洞最大的小词儿了。网页版入口: http://cdxy.me/CI/项目地址: https://github.com/Xyntax/POC-T/blob/master/module/spider.py脚本很简单,已作为模块整合到我的多线程框架中:import requests
2016-04-13 21:17:29
8162
1
原创 Python-Requests模拟登录-实现图书馆座位自动预约
配置通过公网主机定时运行脚本,并发送邮件到自己的qq邮箱,这样在微信就会有消息提示是否预约成功vim /etc/crontab 设置每到早上7:01自动运行脚本即可程序流程(以yuyue.juneberry.cn网站为例)get访问登录页面,获取cookie和表单里面的隐藏post字段构造登录post数据,加入从表单里面拿到的隐藏post字段post构造后的数据,模拟登录,激活cookie(
2016-03-28 11:39:33
10972
9
原创 zmap源码编译安装流程及错误解决方案
参考官方给出的方案在这里,事实上针对ubuntu我们要进行一些调整。https://zmap.io/download.html注意:以下命令均进行在root权限下我的安装环境:ubuntu12.04+zmap2.1.0安装依赖包apt-get install -y build-essential cmake libgmp3-dev libpcap-dev gengetopt byacc flex
2016-03-25 18:12:04
4421
4
原创 DNS zone transfer vulnerability(域传送漏洞)批量扫描
原理自行百度,我们直接动手工具DNS域传送漏洞的验证方式简单粗暴,我简单修改了lijiejie大牛的脚本,做批量:https://github.com/Xyntax/zZone-Transfer采集采集自http://www.qkankan.com 输入为qkankan.com的某栏目url 如下例:国内网站列表 http://www.qkankan.com/guonei/all/impor
2016-03-11 08:43:33
3386
原创 CSRF常见攻防姿势总结
攻击点referrer绕过无验证http: //xxx.weibo.com(.cdxy.me)(http: //cdxy.me?)http: //xxx.weibo.com 新浪微博CSRF之点我链接发微博(可蠕虫) 捕捉token如token通过get方法在url中显示时,常见方法是通过referrer偷token利用本身来说CSRF漏洞是广泛存在的,一般将其归类为“低危”,但只要利用的
2016-03-01 17:20:13
3087
原创 python实现键盘记录木马
pyHook第三方库,用于捕捉特定的Windows事件,封装了所有底层调用,我们 只需要关注程序逻辑。更多内容及使用方法请自行查找 下载链接:http://sourceforge.net/projects/pyhook/主干逻辑图当程序运行后,每当用户在键盘按下一个键,就会触发钩子函数,调用 键盘记录函数 记录按键内容,该函数又会调用 进程切换函数 来应对焦点窗口切换的情况并打印出相应的进程名称
2016-02-18 21:53:12
9251
6
原创 乌云漏洞笔记1-任意文件读取
阅读时间16.01.18 page1-3敏感字段&RealPath=&FilePath=&filepath=&Path=&path=&inputFile=&url=&urls=&Lang=&dis=&data=&readfile=&filep=&src=&menu=META-INFWEB-INF可利用路径/etc/shadow /etc/passwd /
2016-01-22 10:34:52
5757
1
原创 BadUSB原理浅析及制作指南
何为BadUsb简介通过硬件直接插入对方电脑,让对方电脑执行代码,达到干扰、控制主机或者窃取信息等目的。威胁BadUSB的威胁在于:恶意代码存在于U盘的固件中,PC上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着杀毒软件和U盘格式化都无法应对BadUSB的攻击。原理硬件知识基础HID攻击HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备
2016-01-12 00:03:16
41122
11
原创 Juniper NetScreenOS 后门简易批量扫描
事件介绍http://bobao.360.cn/news/detail/2514.html受影响版本6.2.0r15 到6.2.0r186.3.0r12 到 6.3.0r20分析https://community.rapid7.com /community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-
2015-12-22 12:21:54
1794
原创 joomla 1.5-3.4 Remote Code Execution (exp)
poc#!/usr/bin/python# coding=utf-8import urllib2import cookielibimport sys"""python joomla.py http://example.com/"""cj = cookielib.CookieJar()opener = urllib2.build_opener(urllib2.HTTPCookiePro
2015-12-17 09:16:29
1565
原创 JAVA反序列化exp及使用方法
这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波exp来源ysoserialhttps://github.com/frohoff/ysoserial这个项目针对不同的java产品给出了简单的漏洞利用脚本. 其中weblogic和jenkins提供python脚本,但需自己加载payload. 而对于jboss和websphere则提供了poc的数据包. 更多信息在
2015-12-09 23:20:51
12601
原创 一个刷乌云rank的思路
发现wooyun的高rank大牛们,除了非常6连续提交高质量漏洞的,大部分都是批量发现.若要快速提升wooyun rank的话,找一些poc简单明确且危害高的老洞,为它们做批量是一种不错的选择.以下为新手刚入乌云的一点愚见,还望大牛指点.漏洞选择刷rank的思路不是"发掘漏洞",而是"利用漏洞"在漏洞的选择上,我们注意以下几点:自己能驾驭(能手动验证)POC
2015-12-02 22:45:43
2225
原创 记一次MySQL手工注入案例
记录一次手动注入学校某站MySQL的过程信息收集发现方式子域名扫描 -> 导入awvs -> 批量扫blind-injectionurlhttp://home.bjtu.edu.cn/info(whatweb)202.112.147.124(学校内网)Apache/2.4.9 Win64 PHP/5.5.12parameterhttp://home.bjtu.edu.cn/ctrl/vo
2015-11-29 22:00:19
839
原创 PHP一种友好的函数传参模式设计
当一个类的构造函数函数中,需要传入的参数较多时,程序员在编码时由于传参的顺序和写法难记忆,容易出现编译错误,或者出现值传给错误参数(弱类型语言)的情况.友好的功能设计程序员在实例化一个class时,传入的参数应该满足以下 友好性目标: 1. 能够只传入部分参数 2. 能够不按顺序传入参数 3. 能够不区分参数的大小写 4. 能够及时准确的提示传参时产生的错误改进流程例1-在成员变
2015-11-28 21:30:10
538
原创 MySQL解决中文乱码问题
在使用MYSQL时遇到中文乱码的问题,表现为插入数据后查询时输出为??(乱码), 在百度了n多不靠谱的教程之后,终于走出此坑,过程记录之.判断情况statusmysql > status;首先查看版本信息和编码方式,可以看到下面四个characterset有的为latin1. 简单来说,我们的目标所有Latin1 都改成 utf8.charsetmysql> show variables like
2015-11-25 00:45:07
440
原创 SQLi-Labs Lesson 1-8 notes
SQLI-LABS 是一个专业的SQL注入练习平台,用于学习SQL注入的各种姿势及原理。info下面的测试场景都支持GET和POST两种注入方式报错注入(联合查询) 1)字符型 2)数字型报错注入(基于二次注入)盲注 1)基于布尔值 2)基于时间UPDATE型注入练习INSERT型注入练HTTP头部注入 1)基于Referer 2)基于UserAgent 3)基于Cook
2015-11-21 22:04:31
839
原创 SSH登录认证详解
本文首先介绍SSH的功能及特性,然后通过python实现SSH服务端及客户端,可用于渗透测试中目标主机无SSH的情况。认知SSH功能远程控制为通信提供安全通道ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,且容易受到中间人攻击。SSH通过加密解决这些问题,其传输的数据是经过压缩的,可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为
2015-11-05 11:47:56
1249
原创 Python实现TCP代理
渗透测试中,经常遇到无法使用wireshark、无法嗅探和分析流量的情况,可以通过部署简单的TCP代理脚本来了解未知的协议,修改数据包,或者为模糊测试创建环境。介绍原理代理工作原理大致如下:[需要代理方]向服务器发出请求信息。[代理方]应答。[需要代理方]接到应答后发送向[代理方]发送目的ip和端口。[代理方]与目的连接。[代理方]将[需要代理方]发出的信息传到目的方,将目的方发出的信息
2015-10-20 11:24:04
4057
2
原创 ACCESS+MYSQL手工注入
ACCESS+MYSQL手工注入access注入查询语句 select * from stuinfo where name='aa' where address like "%北京朝阳区%" 后台登录:万能密码 username:'or'='or'防止语句出错:注释符:– username=’()’注入判断: ’ www.xx.com/a.asp?id=1 and 1=1正常
2015-10-18 16:15:00
1338
原创 python实现netcat(文件传输、反弹shell)
介绍在网络工具中有“瑞士军刀”美誉的NetCat和nc命令, 每个渗透人员的必修课,简单实用的功能用了N年仍爱不释手。在渗透测试中,往往聪明的系统管理员都会从系统中移除nc。在这种情况下需要创建一个简单的客户端和服务器用来传递文件,或者执行命令。功能同时具备服务端和客户端功能 命令执行 文件传输Xyntax Netcat Toolusage: Netcat.py [-h] [-l] [-
2015-10-17 16:02:39
7284
空空如也
求解释一下make clobber 输出的几行字
2015-03-26
如何用ndk将cpp与其依赖的外部.a文件一起打包成.so
2015-03-17
如何将已有的.dll文件用ndk做到.so里
2015-03-15
TA创建的收藏夹 TA关注的收藏夹
TA关注的人