某网站Getshell记录

已于 2022-11-05 14:20:31 修改
阅读量1.5w 收藏
点赞数
分类专栏: 渗透测试 文章标签: Getshell实战 渗透实战 fastjson反序列化利用
于 2022-04-28 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/124351020
版权

信息收集

访问网站发现前台为静态页面,且不存在robots.txt文件。然后扫描网站目录发现网站后台路径adminxxx/login.jsp,且网站存在目录遍历漏洞,通过该漏洞可查看到一些身份证、姓名、住址和电话号码等敏感信息,如图:
信息泄露.png

漏洞发现及利用

访问网站后台登录界面,如图:
登录.png

验证码明文返回

使用sqlmap测试未发现SQL注入漏洞,通过抓包发现验证码直接返回到HTTP Response中,如图:
验证码明文返回.png

弱口令

使用Python编写脚本进行字典暴破弱口令,然后喝茶打游戏,一段时间后发现弱口令:admin/123456manager/123456,如图:
弱口令.png
弱口令2.png

fastjson反序列化漏洞

登录之后检测发现查询功能不存在SQL注入漏洞,虽然文件上传处存在上传绕过,但是并不能执行jsp文件。幸运的是部分功能通过json传递数据,删除一个花括号之后返回报错信息为fastjson,如图:
fast.png

getshell

最后成功利用fastjson反序列化漏洞getshell,且权限为root,如图:
fastjson.png

江左盟宗主
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞复现】fastjson_1.2.24_unserializer_rce
过期的秋刀鱼
11-04 313
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
Fastjson小小总结
qq_45462249的博客
07-17 394
Fastjson总结
fastjson 1.2.24 反序列化 RCE 漏洞复现
最新发布
m0_63299551的博客
06-27 346
具体可以参考这篇文章FastJson的介绍与使用(一)_maven fastjson-CSDN博客fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中。
记一次渗透进学弟服务器Getshell的过程
落日领航员の技术栈
09-06 1707
0x00 写在前面 首先说一句,我真的好久 好久 好久 好久 好久没碰过渗透了,一方面是因为太菜,之前从来都没完整的走完一套getshell,半路卡住是常有,做着做着就give up;另一方面是从实习以来一直做的是安全开发相关的工作,以后工作方向大概率也是安全开发而不是攻防。 那为什么我会忽然想起搞学弟的网站呢?事情是这样的,之前有指导过学弟怎么搭建一套作业提交系统,然后学弟就开始自己研究,中间过了好久,我也忘了这码事。 今天晚上他忽然来找我 顺便问他要了网址,也想登上去看看是啥样 本来以为就是个简单的作
VULHUB复现fastjson1.2.24反序列化漏洞
carrot11223的博客
04-28 761
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。当一个类只有一个接口的时候,将这个类的对象序列化的时候,就会将子类抹去(apple/iphone)只保留接口的类型(Fruit),最后导致反序列化时无法得到原始类型。
别致的上传思路导致getshell的案例
zhangge3663的博客
05-31 500
0x01 前言 在某次授权的项目中,客户只要getshell漏洞,经过一番折腾,最后成功拿下shell,完成项目交付,本文将过程和遇到的问题和一些小tips分享给大家。 0x02 SQL注入 经过资产收集,在资产中,找到某个子域名,打开就是个登录框 输入手机号和密码,验证码进行登录,结果数据包中并没有验证码,2333 随手加上' 居然报错了,存在mysql的注入,还报错了物理路径,还有密码列名为usepwd(后面有用到) 要是root权限是不是就美滋滋了,结果多想了,不是root权限.
一次BC站点的GetShell过程
ss810540895的博客
03-30 341
本文的渗透过程比较常规,涵盖了从0到1的完整单目标渗透过程,核心在于快速的代码审计能力,由于这个系统开发比较凌乱,所以故不能采用框架的方式去阅读,故采用危险函数定位是一种有效的方法,最后通过利用宝塔的信息,成功获取到最高的权限,完成渗透测试的目标。本文转自https://forum.butian.net/people/2968,如有侵权,请联系删除。
帆软V9getshell1
08-03
### 帆软V9getshell1:任意文件覆盖与JSP Web Shell植入详解 #### 一、背景介绍 帆软软件有限公司(FineSoft)是中国领先的企业级报表工具及商业智能解决方案提供商,其核心产品之一为FineReport报表设计工具。在...
使用shell调用php脚本
05-03
在Linux环境中,shell是操作系统与用户交互的主要方式之一,它提供了命令行接口,允许用户执行各种操作。PHP是一种广泛使用的服务器端脚本语言,尤其在Web开发领域中扮演着重要角色。当我们需要在Linux服务器上自动...
AutoDeploy:Shell脚本-AutoDeploy
03-26
3. **条件语句**:使用`if`、`else`、`fi`来根据特定条件执行不同的命令,例如检查某个服务是否正在运行。 4. **循环结构**:通过`for`或`while`循环执行重复的任务,比如遍历文件夹并处理每个文件。 5. **命令...
强大的shell命令总结
07-22
这对于快速编辑命令行非常有用,特别是在需要移除或更改某部分命令时。 - **Ctrl+U**: 删除整个命令行。当发现整个命令需要重新输入时,这个快捷键可以帮助快速清空当前行。 ##### 2\. 目录操作命令 - **cd –**: ...
Linux shell命令统计某列去重后的值
09-15
### Linux Shell 命令统计某列去重后的值 #### 概述 本文主要介绍如何使用 Linux Shell 命令来实现对文本文件中某列数据进行去重并统计的过程。具体应用场景为:根据 MAC 地址获取其对应的硬件版本和软件版本,并...
fastjson反序列化利用
Jiajiajiang_的博客
11-27 3536
这是对fastjson反序列化的一次利用,关键信息会进行打码处理,且对方此漏洞已修复。 首先确定下是否使用了fastjson 在使用了json传数据的地方,尝试用一些特殊符号打算json的结构,使程序报错。 我们尝试利用fastjson的漏洞 参考及需要文件下载:https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ 将下载好的其中一...
c++ 检查远程主机端口_Fastjson<=1.2.47版本远程代码执行漏洞复现
weixin_39859061的博客
11-24 224
一、漏洞介绍0x01 fastjson介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。它可以解析JSON 格式的字符串,支持将 Java Bean序列化为JSON字符串,也可以从 JSON 字符串反序列化 Java Bean。0x02 漏洞介绍 Fastjson提供了autotype功能,...
框架/组件漏洞系列2:fastjson漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-04 1万+
一、Fastjson 概况 1、fastjson简介 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 优点: FastJson数度快,无论序列化和反序列化,都是当之无愧的fast 功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库) 2、漏洞.
(环境搭建+复现)Fastjson1.2.47版本反序列化漏洞复现
热门推荐
daxi0ng的博客
11-13 1万+
0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 0x01 漏洞概述 Fastjson1.2.47反序列化漏洞 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型...
FastJSON 远程执行漏洞,速速升级!
Java技术栈,分享最主流的Java技术
07-20 3427
相信大家用 FastJSON 的人应该不少,居然有漏洞,还不知道的赶紧往下看,已经知道此漏洞的请略过……2019年6月22日,阿里云云盾应急响应中心监测到FastJSON...
Fastjson 又出高危漏洞,可远程执行代码!
Java技术栈,分享最主流的Java技术
06-01 1483
来源:安全客 www.anquanke.com/post/id/207029 0x01 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了 Fastjson 远程代码执行漏洞的风险通告,漏洞等级:高危 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心.
fastjson反序列化漏洞
qq_63980959的博客
03-01 1334
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
hbase shell查看所有数据库表,及查看课程表的结构; 通过命令:scan‘表名’来查看表的所有记录 通过命令:get '表名' , 'rowKey' 来查看某个rowKey下的所有记录 通过命令:count '表名' 来查看表中的所有记录的数量 通过命令:delete‘表名’,‘行名’,‘列族:列' 来删除某个记录 删除课程表
06-08
如果要查看某个rowKey下的所有记录,可以使用get命令,例如: ``` get '课程表', 'rowKey' ``` 如果要查看某个表中的所有记录数量,可以使用count命令,例如: ``` count '课程表' ``` 如果想要删除课程表中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值