渗透测试研究中心

删除infOrmatiOn_sChema.tAbles的一个字符则返回正常——WAF过滤了infOrmatiOn_sChema.tAbles。在IIS+ASPX的环境里，如果同时提交多个同名参数，则服务端接收的参数的值为用逗号连接的多个值，在实际应用中可借助注释符注释掉逗号。去掉函数名的一个字符则正常返回——WAF过滤了函数db_name()。根据表名判断管理员表应该为appsadmin，一次性查询该表的所有列。查询当前数据库的表，连接重置——被WAF拦截。查询当前数据库，连接重置——被WAF拦截。

前言昨天半夜看到一篇文章某菠菜网站渗透实战就想着自己也练一练手，打到一半发现，大师傅们对这类站点已经狠狠的蹂躏了，所以借鉴师傅们的经验，本着锻炼一下，想到哪就记一下，所以写的比较杂乱，其中有没有解决的地方也记录下来的，然后又换了个站点接着走了下去信息收集前台这样看一下其他的信息端口查询80为主页面8182 为后台登录界面 1433 mssql目录扫描存在目录遍历漏洞发掘先去后台页面输入用户...

0x00 前言去年逛微步，本来是想找几个ip练练溯源能力，无意间发现了一个杀猪盘。本文打马赛克如果有漏的地方请及时指出，也请各位不要去微步上边找我这个目标复现，本case已全权交由某官方处理。0x01 简单的打点打开链接一看，一股子浓浓的“微盘”气息扑面而来，由于我们自己审计过这套源码，所以就直接找对应的地方打了个xss，结果呢他这竟然是微盘三开，没错，三开！无奈之下还是用老思路，想办法让框架报...

做了不少qp(棋牌)，BC渗透了，通宵了2个晚上干了几个盘子，简略的说下过程，做一下总结。首先说一下qp， 以我的渗透成功案例来说的话首先信息收集必不可少的，qp的特点是什么呢？他的后台会在服务器域名的后面以不同的端口形式架设 如图：关于端口可以发现，基础东西你们都懂。切入点：在app里面抓包，查找邮箱，充值，的地方寻找sql注入或者意见反馈的位置XSS有一种情况是抓包显示127.0.0.1的 ...

信息收集 正准备开干，有人企鹅私聊我让我跟他赚大钱。 群发也就算了，都开始私聊了，现在不法分子猖狂到什么地步了，这能惯着它。。。京东卡先放放，打开前台是个博彩论坛。 随手一个login，后台出来了，网站是php的，常用口令试了几次，admin存在，密码错误。 放在云悉上看一下。 访问一下子域名，很僵硬。 ...

因为这个站是几个月前日的了，所以图片可能不全，也没办法再补图。写这篇文章的时候，隔壁情侣正在鼓掌，声音贼响，导致我写的东西可能没有过一遍脑子，写的可能有点混乱。另外值得一提的是，为啥我们做安全的经常隔壁碰到这种人？已知目标网站之前客户有给过这种网站，所以我记忆尤深，针对这种站一般你可以直接放弃正常测试流程了，因为经验告诉我，网站主站功能基本上很少有漏洞的，只能从旁站下手。Ctrl+u查看一波没发...

0x00 信息搜集朋友给了我一个站，算一个比较大的bc，主站看了一下，没有入口，就换了他的一个推广平台然后首先大致扫了一下目录，希望可以看见一些有用的东西。这个时候我可以推荐大家一个接口，可以快速大致看看他重要的文件https://scan.top15.cn/web/infoleak例如探针，网站源码是否打包，很明显我没有扫出来，然后给大家看看扫描结果。config.inc.php根据经验看应...

0X00 事情起因大街上偶遇预存话费3999送平板被套路，支付宝被一顿操作又套现又转账的把我花呗都套走了。回到家越发越觉得不对劲，越发越后悔，网上一搜关于这类的活动一抓一大把而且一模一样越看是越生气啊。 最主要的呢，送的平板也是八百多的根本不值预存话费的这个价，且居然有卡死的现象，于是乎我决定深挖瞧瞧。0X01 信息收集 通过验证短信发过来的短域名链接复制到浏览器解析得到网址xx.xxx...

拿到目标站这个页面还没开始就已经准备放弃然后咱看右上角有个积分商城,心如死灰的我点进去看到这个页面直接摔门出去抽烟十分钟[别问为什么一问就是之前没搞成开始信息收集吧拿到这个积分商城把域名放进fofa得到真实ip以后找到了宝塔后台登录面板然后用域名/ip对目录进行扫描[御剑超大字典那款]看着语言栏勾选啊，还不知道啥脚本语言域名后面直接跟上index.php[有页面]、index.jsp[404]、...

0x01漏洞描述网络dubo是指通过互联网手段(非法dubo网站、菠菜App、微信群等)进行的赌博活动。由于网络dubo不合法，资金不受法律保护，有很多“出老千”的行为，很多人被骗后往往不敢报警，导致家破人亡，所以打击dubo，刻不容缓。某菠菜系统系统存在任意文件上传漏洞，攻击者通过漏洞可以上传木马文件，导致服务器失陷。0x02漏洞复现fofa：body="main.e5ee9b2df05f...

一、 起因近年来国内发生各种非法菠菜赌博案例非常之多，本次我就来讲解一下我是如何渗透下一个非法菠菜的网站的。本次渗透纯粹是运气+站长疏忽，可谓是千年堤坝毁于蚂巢之说。为了保证读者的理解，特采用入侵者的身份来纪实！二、踩点及收集信息打开目标站，发现是一个菠菜网站，然后开始收集信息了域名的whois信息查询得知域名来自西部数码这里我使用站长之家的ping工具是为了看有没有使用CDN及查询服务器机房位...

前言本文仅用于交流学习， 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。渗透测试可分为三个阶段信息收集尽可能的收集所有关的资产信息确定测试范围漏洞发现针对收集的资产进行进一步的漏洞检测漏洞利用 针对发现的漏洞进行进一步的利用以及利用的程度1.js中的api接口2.多端口形站点3.客...

1、偶然间发现一个菠菜站点，遂测试一番，思路如下：既然是菠菜站，肯定会让用户注册，否则怎么收钱了？注册这种和用户强交互的页面，可能存在的漏洞如下：sql注入：用户输入的账号信息，如果不经过滤直接用来写入或查询数据库，肯定存在sql注入xss：在输入框输入的个人信息，大概率会被展示在用户的页面；同时管理员肯定有权限在后台查看用户的个人信息，这里可能会有存储型xss；就算是反射型或DOM型xss，由...

逛QQ空间刷到了于是有了下文。打开站点，很贴心，前台后台都可以进。下面说漏洞点sql注入，有一套程序基于某个模板二开，正好我手里有这套模板且审计过。所以轻松拿下。无任何过滤，直接注即可。任意文件上传这个我怀疑是开发自己留的后门。看得懂的人一眼就看出来了。直接本地新建表单提交即可。但是目标站有个问题，上传不回显路径，应该是注释了echo。本地搭建测试，上传文件名修...

无意间发现一个thinkphp的菠菜站，最近tp不是刚好有个漏洞吗？然后就顺手测试了一下，但过程并不太顺利，不过最后还是拿下了，所以特发此文分享下思路。0x00 一键getshell简单看了下，应该有不少人玩吧？正好前几天写了个测试工具，先掏出来测试一发。工具显示存在漏洞一键getshell，看起来很顺利的样子，哈哈。但是...小明甩了下头发，发现事情并不简单。菜刀连接的时候，返回500错误。我...

我们找到一个带有有漏洞的QP后台框架的后台这个框架有很多的漏洞，比如用户遍历，我们如果输入一个存在的用户，密码错误时，就会提示用户或密码错误，如果我们输入一个不存在的用户，就会提示用户不存在除此之外，网站还会存在SQL注入漏洞，我们只需要抓一个提交账号密码的POST包粘贴好一个txt文档然后丢进sqlmap，是mssql，我们可以开启xp_cmdshell，这里我们打算写入webshell，所以...

一、案例1因为最近吃鸡被外挂打自闭了，所以准备也让那些卖挂的体会一下什么叫做自闭。昨天晚上爬了快1000个卖吃鸡外挂的平台你们这些卖挂的，等我有空了一个一个捶。发现大多数都是用的一套aspx的程序，可惜没有源码不能白盒审计，黑盒也找不到什么洞只能找找软柿子捏，昨天晚上一口气锤了四个基本上都有宝塔不过php-venom 4 系列加上配套的编码器过宝塔稳得一批脱了裤子发现里面4000+数据今天晚上又...

今天在浏览网页时突然发现了一个菠菜站，网站截图我就不发了都说菠菜站做的比较安全不容易渗透，今天闲来无事就搞了一下。结果只是扫一下端口我的ip都被ban了。这就有点难过了，只能挂代理再看看。浏览发现这个站应该不是菠菜主站，而是类似一个办理各种活动的旁站。并且在其中一个活动弹窗中发现了惊喜这里居然可以上传sfz，那不意味着可能存在文件上传漏洞吗？在信息搜集的时候知道了这个服务器是IIS7.5的前段时...

最近偶然发现一个虚拟货币买涨跌的杀猪盘，遂进行了一波测试，前台长这样。为thinkphp5.0.5随用RCE进行打入，成功写入webshell。s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_d...

0x00 概述 某天，一位网上朋友告诉笔者，他被骗了。被骗方式很独特，因为自己没钱所以选择贷款，在贷款过程中惨遭诈骗。 诈骗短信： 0x01诈骗过程(此处受害者用小辉代替) 某日，小辉手机收到一条关于网络贷款的短信，恰逢月底，捉襟见肘，小辉没忍住诱惑下载打开了app。注册好账号，填写好身份证号、手持、工作地点、家人信息等后申请了20000元贷款，但是迟迟没到账，小辉询问客服得知：亲，这...

0x00 前言随着菠菜类违法站点的肆虐，让无数人妻离子散。为此，献上一份微薄之力，希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。0x01 程序介绍程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子，除了外包以外就是天恒、大发几套程序模改的。暂时，这边由于技术水平上面的问题，只能够发出天恒的。版本可能有点老。但是，一大部分还是用的。经某...

在鹰图中找TSRC资产准备挖腾讯SRC时候看到此站点域名:qq.com.xxxx.top,标题为登录第一感觉不是正经站应该是钓鱼站whois查询到的webpack打包的这种站点基本都会有一些测试账号,试了试18888888888密码123456看到这个基本确定这就是个做任务赚佣金的那种,主打的就是一个骗钱F12翻找请求和js找到,加载的资源文件报错, 用的thinkphp但是没洞,真是IP也有了...

一、目录结构首先我们先看一下结构，system文件夹下有相关代码。我直接给大家看一下漏洞吧。二、审计出洞1、购物车异步获取信息 - SQL注入system\modules\member\cart.action.php 虽然本身是过滤单引号但是在这里并没有用单引号保护起来所以这里是一个注入，并且没有验证用户身份，从站外未登陆的情况下即可进行注入。直接官网哈哈哈哈！！！！2、BOM插件-...

0x01 thinkadmin历史漏洞复习已经找到对方的app的后台地址是thinkadmin，因此我们需要去复习thinkadmin的历史漏洞。CVE-2020-25540https://github.com/zoujingli/ThinkAdmin/issues/244利用POC如下https://github.com/Schira4396/CVE-2020-25540列目录POST /?s...

0X00 歪打正着无意间碰到一套垃圾菠菜网站杀猪盘挨个访问能扫描出来的目录与文件发现并没有太大作用，不过发现了后台地址。phpmyadmin访问500。访问xd.php到后台访问发现还需要授权验证码试了下8888，123456之类的都提示错误，当场关闭。尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。返回首页发现url有点不常见。0X01 寻找同类型网站以及源码这种搞诈骗...

0x00 前言红蓝对抗无疑是一场持续性的博弈过程，随着近几年的攻防不断，打了一轮又一轮，web漏洞的急剧减少，社工钓鱼显然成为了主流的攻击手段之一。0x01 免责声明请您务必认真阅读、充分理解下列条款内容：1、本公众号分享的任何文章仅面向合法授权的企业安全建设行为与个人学习行为，严禁任何组织或个人用于非法活动。2、在使用本文相关工具及技术进行测试时，您应确保该行为符合当地的法律法规，并且已经取得...

一、APP抓包和逆向破解加密算法打开APP是一个登录框抓包后发现参数被加密了使用Jadx脱源码发现，并没有加壳也没有混淆，运气很好根据经验，先搜索Encrypt、Decrypt等关键字，发现在Common.js中有一个encryptData函数定位过去，一套加解密算法都写好了放在这放到浏览器console里面调试，果然没错二、寻找注入点首先测试了一下注入明文：{"userName":"TEST'...

一个学长前几天不幸在钓鱼网站中招被骗走一些资金，在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架，直接找到ThinkPHP对应版本的Exp进行尝试：http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&funct...

1.访问目标网站IP发现是一个静态网站，发现网站前台无法利用，通过御剑目录扫描工具对其目录扫描，发现存在robots.txt，访问robots.txt，存在admin目录2.访问admin目录发现是网站后台页面，虽然后台有验证码，但是验证码超时时间长，可通过bp对其进行爆破，成功爆破出用户名和密码为admin/passw0rd3.通过namp扫描目标网站IP，发现系统是windows iis6.0，且开通了80端口14.发现在界面风格>模板选择处可修改模板文件夹名，模板名修改为1.asp。

云平台作为降低企业资源成本的工具，在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分，并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥，因此在漏洞挖掘过程中经常会遇到一类漏洞：云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限，对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。ak、sk拿到后的利用，阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。

0x00 前言刚结束某地HVV，小程序作为低成本易用的信息化系统，成为HVV新型重点突破对象。以下案例均来自于小程序，供大家学习。0x01 案例一 某政务系统1.弱口令进入后台点击小程序，进入公民办事，抓到小程序域名，访问直接是管理员后台，如下页面即为Fastadmin框架 。一直有个坑，登录一直显示口令无效，在我要放弃的时候，点击返回上一步提醒我，您已登录，我纳闷了，发现该系统登陆操作后tok...

最近接到任务，调查一个诈骗团伙上面有一个注册接口，直接先注册一个用户看看他们怎么诈骗的好家伙，用户赚了8个亿，充值过的用户直呼内行。这种站点一看就是那种诈骗团伙的杀猪盘，使用的那种tp5的框架一键搭建，方便又省事。后来根据报错信息的确是tp5.0.10的框架还开了debug模式，老杀猪盘了。直接先用tp5rce打出phpinfo看s=captcha_method=__construct&amp...

0x01 前言由于疫情问题，学校的易班APP新增了打卡系统，每天需要进行晨检，午检打卡，忘记的话就是上千字检讨本人对于这种“形式主义”深感不满，适逢最近成立了网络安全战队，于是准备操作一番0x02 踩点基本的信息搜集咱们就不多说了因此不同系统使用了不同的多台服务器看样不能一劳永逸，需要各个系统、服务器奇妙的学校系统渗透之旅，拿下核心系统，然后摸入核心系统中首先打开“易班”系统的首页是这个样子不难...

0x01 信息搜集首先给定的目标为 xxx 大学官网:www.xxx.edu.cn，但是不要真的就只是对主站进行测试了，一般像这种主站都是比较安全的，大概率采用一些站群系统，像学校很多使用博达的统一管理，自带 waf1.子域名采集可以通过 subdomain3,fuzzdomain，subDomainsBrute,seay 子域名爆破但是上述的我在此次渗透中并未使用，爆破时间太长了.我用的 f...

0x00 使用关键词得到目标源码某日上午接到临时安排对某公司进行渗透测试，此次渗透给的是一个主域名，并且也没有子域，打开了目标网站先对其进行一波信息收集中间件: IIS 8.5输入admin发现自动添加了/说明其目录存在，那么盲猜一波文件，login.aspx default.aspx main.aspx 等等最终在login.aspx下面发现后台登录页面。这不猜他一波弱口令？？一顿操作过后账...

0x00 漫长的探索某天，接到一个任务，要求对某医院的信息系统做一次安全检测，看能否发现问题。经过初步的信息收集后，发现该医院并无官网，只有一个微信公众号提供了预约挂号，缴费等功能，看来只能把突破点放在这个公众号上了。下图是微信公众号的一些功能：当点击这些功能并抓包的时候，令我看到奇怪的是所有的请求都指向了a.test.com这个域名，如下图，原谅我的厚码...test.com这个域名经过查找后...

0x00 前言此次渗透中的所有修改已经复原，且漏洞已经提交至cnvd平台0x01 源码泄露在一个月黑风高的夜晚，闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描在查看备份文件扫描结果时，看到了宝贝二话不说，访问下载得到源码！可以在注释信息处发现dedecms的痕迹0x02 敏感信息泄露获得源码的第一步当然是获取敏感信息先尝试全局搜索(crtl+shift+f)关键词keypwd...

0x01 目标country="US" && app="APACHE-Axis"从老洞捡些漏网之鱼，没准还会有意外收获目标出现还是熟悉的页面，熟悉的端口然后尝试默认口令登录，ok, 这下稳了先搜集一下信息不要上来就部署包，先看一下现有的服务，像这种弱口令的基本上99.9999%都已经被人搞过了再上传包就多此一举了，可以直接利用找了一圈没发现遗留的马儿找绝对路径自己上传C:/elo...

0x01 弱口令在一次针对某站点信息收集的过程中，通过子域名扫描，扫描到某个老旧系统。一看这都2014年的老站了，肯定有搞头！日常使用burp爆破一波试试，没爆破出来但是随手一试，好家伙123/123进入系统，属于是运气拉满了(高强度打码)这里能看到是一个“编辑”人员的权限，并没有什么上传等后台管理的功能，只能耐心过一遍系统的各种功能。0x02 SQL注入进入系统翻一翻，没有什么敏感信息泄露，但...

0x01 站点1：文件上传发现源代码泄露打开自己珍藏已久的辣鸡字典，扫描发现存在bin.zip信息泄露，尝试进行代码审计文件位置：SimpleDataPlatform.SimpleDataPlatform.fileUpload找到ProccessRequest接收请求，可以看到获取了一堆参数后(初始化)，后进入了HandleFiles方法，跟进HandleFiles进行处理，如果dateType...