- 博客(98)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 novel-plus文件部分
存在问题,确实是任意文件上传,任意文件都可以上传,但是上传jsp等文件时,会触发下载操作(不晓得是不是windows环境问题,无法运行jsp文件,也无法进行后续利用),但是有相关的cve存在有后续操作。windows下需要将application-dev.yml添加盘符,固定路径。在FileController中,存在任意文件上传,也就是在。
2024-04-16 19:18:09
185
原创 novel-plus后台sql注入
Shiro 1.2.4及之前的版本中,AES加密的密钥默认硬编码在代码里(SHIRO-550),Shiro 1.2.4以上版本官方移除了代码中的默认密钥,而且配置中也没有设置密钥,无法利用。这里传入的是limit的两个参数,而limit位置使用了预编译写法,这里传入的应该是order by的两个参数,即sort,order,但是由于sort参数写法。WebsiteInfoMapper这个没有,控制器没有list方法,dao层中虽然有,但是没方法调用。也是可以的,适当修改sleep()数值,避免延时太长。
2024-04-15 21:17:15
358
原创 novel-plus代码审计 爬虫和前台部分
丢到jwt.io里面分析,实际上存在了四个参数id和username,created,secret,其中created时间戳,secret都可以获取到,但是username和id参数则无法获取,id参数本身就是通过用户名密码在数据库中查询进而获取到的,外部无法获取到,虽然修改之后可以达到切换用户的目的,但实际上,一方面获取构造jwt数据难度,另外一方面用户权限都一致,切换成其他用户也没啥作用。mybatis 可能存在sql注入,主要是$(写法和like,in位置。jjwt jwt认证,可能出现未授权访问。
2024-04-13 21:35:11
904
原创 burpsuite最新版2024.3.1安装
使用BurpLoaderKeygen.jar 破解之后,当你直接运行burpsuite.jar时候,需要重新输入key,当你输入BurpLoaderKeygen.jar 的key时候,会出现失效的情况,又不想每次都先运行BurpLoaderKeygen.jar,再点击run,只需要勾选 auto run即可。勾选之后,点击BurpLoaderKeygen.jar,就会直接打开破解之后的版本。jdk以及破戒方式这里不做介绍。burpsuite最新版安装。linux版本也一样。
2024-04-12 17:33:06
869
2
原创 shamrockcms代码审计-啥也没有
使用阿里源,创建数据库,运行shamrockcms.sql文件,将configure.properties中的jdbc修改为自己本地或者其他ip数据库连接,并且将ueditor.config.json中的master修改为localhost或者其他自己设置的ip。mybatis 3.2.3 该cms使用xml定义sql操作,由于mybatis是否有注入的区别在于#和$,这里直接在路径。freemark 模板注入需要有能够更改模板的地方,插入执行语句进行执行,后台,并未找到相关功能能够修改模板。
2024-04-09 16:29:02
219
原创 tianticms代码审计——伊拉克版本
查看后台功能,在其他的数据操作方面,使用了spring-data框架进行数据库更新操作,进行了预编译操作,无法注入,更新用户名密码位置,采用的是session获取用户id与数据库进行比对,也无法利用。全文搜索upload,发现路径user/upload/uploadAttach路径,但是由于使用随机校验码进行重命名已经用.分割验证后缀的方式进行验证,无法利用。我设置admin.war在admin路径下,getway为空不成功,所以这里仅测试后台功能,伊拉克版本见谅(前台也只是静态界面)
2024-04-08 22:56:41
364
3
原创 java cc链3TrAXFilter与InstantiateTransformer
java cc链3TrAXFilter与InstantiateTransformer
2024-01-16 17:34:18
356
原创 关于DOCcms2016 SQL注入漏洞poc
doccms的2016版本 sql注入在于\content\search\index.php文件中,但是由于该环境属于mvc架构。最近在学习php代码审计 以doccms作为靶场进行漏洞复现以及测试。并且index.php文件中全部均为方法,下图显示。所以,直接访问该文件输入poc,无法得到结果。当然由于其中判断的因素。
2023-03-08 21:47:53
218
1
原创 靶机练习——vulnstack1
打开80端口发现为php探针,3306mysql端口不允许外部连接,这里使用phpstudy自带的phpmyadmin进行数据库连接,phpstudy自带的phpmyadmin的默认账号密码为root/root,或者也可在该页面进行账号密码破解直接使用burpsuit爆破即可,这里不做演示。进行内网端口扫描,可以发现52网段存在三个主机,抓取目标明文密码,由于创建时修改密码没有设置为不同的密码,所以这边通过psexec直接获取到了剩余的两个目标。这里发现目标开启两个端口80和3306端口。
2022-12-21 22:41:22
448
原创 windows10提权
即可查看到,这里目标是以Administartor权限测试,这里不进行验证,我都有Administartor了,我直接msf下面getsystem即可,getsystem实际上也是令牌窃取。里面共描述了服务路径,文件权限,计划任务,令牌窃取,图形化软件,应用组件安装等,这里只有令牌窃取需要管理员Administrator权限,值得注意的是该权限并不是管理员组中的其他用户。发现该文件以system权限运行,而我们拥有对该文件的修改权限,修改daclsve服务的具体执行文件,从而获取system权限。
2022-11-15 16:16:19
2476
原创 vulnhub之FALL
这里采用fuzz探测所需参数,这里介绍两种方法,第一种是burpsuite设置参数进行暴力破解,第二种是采用wfuzz或者ffuf等工具进行实现,这里提供下简单的命令,详细使用方法会在下一篇进行描述。ssh登录的话可以采取两种方式,第一种为账号密码,第二种为id_rsa即公钥私钥文件进行登录,这里获取qiu用户的id_rsa文件进行登录,使用文件包含获取文件,保存为文件,这里命名为sskey,值得注意的是,需要全部复制,从——开始到——结束,然后使用命令。vulnhub之fall。难度:so easy。
2022-10-28 00:02:26
289
原创 vulnhub之ctf4
检测发现存在sql注入,这里使用sqlmap下载数据库中的数据,别问为什么下载,一个字,快。对80开放的web服务进行检测,这里使用rad加xray配合检测,友情提示,netdiscover或者nmap -sP 192.168.2.0/24。初步进行检测,并且进行端口扫描,发现开放22端口,80端口等。使用ssh登录时候,可能会产生一定的错误,这里给出解决方法。在user数据表中发现用户名以及密码,编辑为字典,时候,输入该用户对应的密码即可成功变成root用户。vulnhub之ctf4。
2022-10-25 22:08:28
1356
原创 sqllabs通关
本文使用的工具有Navicat,phpstrom,小皮面板,至于安装方法这里不再描述可以,哔哩哔哩搜索一下即可sqllabs下载地址:https://github.com/Audi-1/sqli-labs安装方法:解压到小皮面板的www的目录下,在sqllabs的sql-connections目录下的db-creds.inc文件,下图划横线位置设置自己的密码即可,开启小皮面板的apache以及mysql服务,打开相应的界面点击横线位置即可,出现该界面,即为设置成功less-1代码简写从代码角
2022-10-24 23:29:45
394
原创 sqlmap基本使用方法
本文只介绍sqlmap的简单使用方法,参考官方文档csdn师傅个人建议,具体参数直接看csdn师傅的即可,本文以DC9靶场作为目标进行练习,使用sqlmap获取目标数据或权限GET型 输入自己的目标地址 自动输入选项的属性值 设置测试的等级(1-5,默认为1)lv2:cookie注入; lv3:user-agent注入,lv4:refere注入; lv5:host注入POST型可以获取对应地址的请求包,使用bp抓包保存即可或者 选择传参的方式 选择传入的参数 采用随机UA头 查看当
2022-06-28 00:06:38
3362
原创 nmap参数详解
nmap作为一款端口扫描工具,kali已经集成这里使用nmap里面的参数进行描述 使用 即可查看帮助‘’,这里采用官方给出的中文文档进行解释下方为官方提供的说明,中文版的,顺序也没有什么变化,各位可直接查看官方文档-iL : 将自己的目标编译为一个文本文件,会对文本内的ip逐个进行扫描 //对ceshi.txt中的ip进行扫描-iR : 随意扫描一个ip,每次扫描的ip也不相同, 4//代表随机扫描四个ip–exclude :排除不需要的ip 在...
2022-06-26 00:29:23
3056
原创 vulnhub之DC9
vulnhub之DC9这应该是DC系列的最后一篇,相较于其他靶机而言,会比较难一些,提权的方式也较为多样,本文参考下面的是官方出的wp,上面为一位师傅写的,简述一些流程主机发现,端口扫描主机开放了22和80端口,但是22端口为过滤状态,无法进行暴力破解对80端口开放的服务进行指纹识别,这里使用whatweb,棱洞之类也可以并未识别到网站使用的框架,只能够自己进行检测,这里使用burp和xray联合进行检测,具体操作方法这里不再进行描述,经过检测,发现result.php界面存在sql注入,但是
2022-06-24 01:51:23
1064
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人