- 博客(48)
- 收藏
- 关注
RSS订阅
原创 2020必须要懂的web安全渗透课
大家好,我是ID是 "CanMeng" 联系【请注明】 或者直接私信我 个人博客:CanMeng'Blog - 一个WEB安全渗透的技术爱好者 联系我私信+企俄1426470161介绍:在进入2020年许多线下的领域扩展到了线上,如今许许多多的网络行业不断的涌现出来,互联网技术人员不断的需要,除了加强信息安全教育外,我们还要从技术上解决这类安全问题,为了能够维护互联网的秩序,web安...
2020-03-17 12:33:53
1109
原创 CanMeng-WEB安全渗透三周年了!!!
CanMeng-Web安全渗透三周年啦!因此推出一套全新渗透安全课程.欢迎各位小伙伴们加入学习!本培训为私人中心百度首页第一页排名第五搜索首页第一页排名第九有任何问题都可以联系我.CanMeng个人博客.知乎.简书.CSDN等平台都会定时发布各类技术文章欢迎各位订阅+关注,共同努力进步.联系咨询Q1426470161...
2019-08-20 19:19:15
263
原创 PHP文件包含小总结
1.1.本地复现当时发现url中有一个参数file=/home/task.php,灵机一动,把/home/task.php替换成了../../../../../../etc/passwd 接着发送带有php代码的请求,先phpinfo试一试。 接着就是包含日志了,感觉马上就要起飞了,结果很突然,no such file了,又换了几个路径,还是这样。 没办法只是试试包含一下配置文件,结果….一样。 这可咋办,眼瞅着就要getshell了,没路径啊,突然想到还有一个s
2021-08-03 15:16:49
330
原创 完整的内网渗透经历
因为主要还是想练习练习内网,所以用了最简单粗暴的方法去找寻找目标,利用fofa来批量了一波weblogic,不出一会便找到了目标。简单的看了下机器环境,出网,没有杀软(后面发现实际是有一个很小众的防火墙的,但是不拦powershell),有内网环境。所以这里直接尝试cs自带的Scripted Web Delivery模块,直接创建一个web服务用于一键下载和执行powershell。运行刚刚生成的powershell这边的CS成功上线。这里我们先来看看系统的信息。
2021-08-03 15:12:43
1459
原创 内网渗透--对不出网目标的打法
配置网络在VM虚拟机中按照下边的网络拓扑进行配置网络。网络拓扑图如下:win7具有双网卡,其中外网ip是192.168.8.133,内网网段是52。三台机器彼此互通,但是win server 2008和win2003不通外网。用我mac作为攻击机,来对这个靶场环境进行渗透测试。外网打点在win7这台靶机上,使用PHPStudy让网站可以运行起来。在攻击机上,访问http://192.168.8.133可以看到是一个phpStudy 探针。对这网站进行渗透,因为本文主要写在内网渗透过程..
2021-08-03 15:08:22
1789
原创 GetShell的姿势总结
0x00 什么是WebShell渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限,于是WebShell便应运而生。Webshell中的WEB就是web服务,shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限,而webshell常以网页脚本的形式出现。常见的WebShell使用asp、jsp和php来编写,提供了如执行系统命令、文件上传下载、数据库管理等功能。0x01 获取WebShell的方式获取W...
2021-03-20 21:55:27
4481
原创 UEditor编辑器任意文件上传漏洞分析
ue下载地址http://http://ueditor.baidu.com/website/download.htmlexp<form action="http://192.168.1.103/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" method="POST"> <p>shell addr:<input type="text" name="sour
2020-12-03 13:11:02
2025
原创 菜刀连接PHP WebShell返回200错误
错误详情WebShell内容:<?php @eval($_POST['cmd']);?>1 2 3错误详情:在Hackber或BurpSuite中却没有问题:原因分析PHP7版本过高,在PHP7中,动态调用一些函数是被禁止的,比如在array_map中调用assert会提示:Warning: Cannot call func_num_args() dynamically in %s on line %d如果把一句话Shell中的@符号去掉,
2020-12-03 13:10:52
2031
1
原创 浅谈无文件攻击
这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到现在流行的各种.NET assembly托管代码注入技术,当然还有一些完全脱离操作系统的高端无文件攻击。而微软有
2020-12-03 13:10:33
599
2
原创 高级的MSSQL注入技巧
tl;dr本文列举了几种改进的MSSQL注入技巧,所有的攻击向量都至少在三个最新版本的Microsoft SQL Server上进行了测试:2019、2017、2016SP2。DNS Out-of-Band如果遇到带有禁用堆栈查询的完全盲SQL注入,则可以通过函数 fn_xe_file_target_read_file, fn_get_audit_file,和fn_trace_gettable实现DNS带外(OOB)数据泄露。利用fn_xe_file_target_read_file()的例子
2020-11-30 11:56:40
497
原创 谈谈信息安全入门这事
"信息安全如何入门"这个问题我觉得需要拆成3个部分来回答:信息安全包括什么?什么算入门?你要如何学习?备注:本文中的信息安全没有特意区分cyber security、data security等。1.信息安全包括什么我个人觉得我是回答不完全这个问题的,只能尽我所能来回答。首先我们来看看知乎上,关于"信息安全如何入门"的相关问题都有哪些?黑客如何学起? 如何学习网络安全? 谁能给个网络安全的学习路线啊? 挣钱多不多,我想转行因为篇幅原因,大家可以自己去搜索查看(看完请会心一笑),然
2020-11-30 11:56:26
257
原创 XSS 实战攻击思路总结
鉴别网站下面是一个经典的 QQ 空间钓鱼网站:域名分析钓鱼网站最直观的就是看域名,可以看到目标网站域名 :qq.xps.com 尽管域名中出现了 qq 字样,但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例,这种就比较逼真了,下面国光简单列举一些:OPPO 官网 真假域名# 真域名www.oppo.com# 假域名www.οppο.comPornhub 官网真假域名# 真域名www.p
2020-11-30 11:56:03
2506
原创 浅谈PHP无回显命令执行的利用
前言在CTF题或在一些渗透测试中往往会遇到没有回显的命令执行漏洞,为了能更好的实现对无回显命令执行漏洞的利用,我对此进行了简单总结。判断方法命令执行可能会存在命令执行但没有回显,所以首先要判断命令是否有执行。确定命令可以执行,然后就可以进行无回显命令执行的利用了。1、审计代码审计代码,根据代码逻辑判断(这个就需要扎实的审计代码能力的功底了)2、利用延时ip=|sleep 5如果执行后延时5秒,就证明测试点存在命令执行漏洞3、HTTP请求注意:ping命令不会产生
2020-11-30 11:55:52
667
原创 对Linux 提权的简单总结
什么是权限在Linux 系统中,ls -al即可查看列出文件所属的权限。这里我用kali 系统来演示。……drwxr-xr-x 2 kali kali 4096 Jan 27 12:52 Downloads-rw-r--r-- 1 root root 903 Jun 14 11:33 exp.html-rw-r--r-- 1 root root 153600 May 5 09:42 flaglrwxrwxrwx 1 kali kali 28 May 1.
2020-11-30 11:55:21
965
原创 sqlmap绕过CSRF检测进行注入
最近在准备比赛,打sqlilabs时看了一下sqlmap的wiki,发现了–csrf-token和–csrf-url的参数,于是写了个php版本的bug试了一试。 同时也了解了一下大家对csrf注入的普遍做法:sqlmap+burp正则匹配,两相比较,还是sqlmap自带的功能比较方便。写一个bugCSRF的普遍防御方法是增加anti-csrf token,也就是一串不可预测的字符串。于是动手写了一个php版本防csrf的sqli脚本,这里写的并不规范,时间戳是可以被预测的,而且此脚本可以被绕过to
2020-11-30 11:54:59
2659
原创 SSRF攻击姿势汇总
前言这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
2020-11-30 11:54:43
386
原创 浅析CORS攻击及其挖洞思路
0x1 CORS机制 CORS全名跨域资源共享(Cross-Origin-Resourece-sharing),该机制主要是解决浏览器同源策略所带来的不便,使不同域的应用能够无视同源策略,进行信息传递。引用一张图能很好地说明CORS机制的作用0x2 CORS机制实现那么这个机制是怎么发挥作用的呢?CORS的标准定义是:通过设置http头部字段,让客户端有资格跨域访问资源。通过服务器的验证和授权之后,浏览器有责任支持这些http头部字段并且确保能够正确的施加限制。为了更好理解
2020-11-30 11:54:25
1668
原创 web安全渗透课学习!!!
前言互联网高度发展,深化影响了人们生活的方方面面,与此同时,互联网的开放性和安全漏洞带来的风险也无处不在,网络安全问题成为政府、企业、用户关注的焦点。所以保证Web程序的安全,是各使用单位必须思考的问题.目前解决这一问题的方式是,企业和个人需要进行一系列web安全渗透技术的学习,巩固和完善安全技术水平,定期进行Web安全渗透测试,检测其是否有安全漏洞,保证Web的安全。关于我(ID:CanMeng)5年以上web渗透安全领域从业经验,4年web安全渗透培训讲师经验,具有较强的带班和一对一指导经验,擅
2020-11-30 11:54:03
740
2
原创 记录一些逻辑漏洞案例
最近在总结逻辑漏洞相关的材料,翻到自己的一些渗透测试报告,便从中摘取一些有意思的逻辑漏洞挖掘实战案例拿出来分享一下!很多大表哥已经写过关于逻辑漏洞的详细介绍,短信轰炸、任意密码重置到“0元”购买商品等等都是典型的案例,大表哥们的姿势也都很丰富,我就不班门弄斧了。下文只是将实战过程中遇到的一些比较有意思的案例记录下来,和大表哥们一起分享,请表哥们轻喷。1.绕过XX平台邀请码注册机制国内某手机厂商的开发者社区存在邀请码注册机制,需要有邀请码后方可完善资料,但无奈本社畜没有,也不能问人要,问了人家也不会给
2020-11-29 13:42:31
897
原创 从文件上传到命令注入
主站打开是这样的只有扫码登陆尝试扫码提示未注册查看js,网站用了webpack打包所有请求都在这个js里面尝试寻找敏感接口无果百度site:domain.com注意到wx1子域,打开这个链接跳转到在微信打开那就到微信打开,查看功能点发现一处上传,先上传正常图片改最下面的filename,后缀不变改上面的filename参数,发现应该是任意文件上传因为在js中发现php的ueditor(访问文件不存在)顾认为是php的站,于是上传
2020-11-29 13:29:52
414
原创 漏洞挖掘之爆破的艺术
oxo1 暴力破解偶遇302跳转在进行暴力破解登录框的时候、发现第一个验证码是正常的、后面全部验证码错误、查看302的返回包尝试直接用上方这个链接爆破、发现此链接可以直接绕过验证码来进行暴力破解。(成功的图当时没保存)然后顺带讲一下,有时候爆破会遇到多个302跳转BurpSuite有一个设置可以跟随跳转oxo2 暴力破解用户名的方法爆破用户名的位置:登录、注册、忘记密码。如果能注册、在成功登录后修改密码处也有可能可以爆破用户名。随手输入一波账号和密码、提示用户名或密码
2020-11-29 13:27:34
589
原创 一篇文章教你如何找出找回密码漏洞。(新手推荐)
第一种,修改标志位返回标志位进行找回任意用户的密码。1.在一些网站上我们注册一个账号,然后我们点击找回密码这个功能。2.然后输入一个真实的验证码进行找回密码。再点击下一步的时候打开拦截包的功能。并点击下一步后把数据包发送到repeater 这个功能上,3.然后我们看我我们发包后返回的一个显示情况。这时候我们能看到我们发送正确,可以看到返回包的status(状态)的参数,为1,4.然后我们再修改验证码后再发送一次,这时我们可以看到我们的返回包的status(状态)的参数,为-1,所以我们考
2020-11-29 13:20:49
357
原创 SSRF攻击姿势汇总
前言这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
2020-11-29 13:17:10
1459
原创 浅析EL表达式注入漏洞
0x01 EL简介EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。EL表达式主要功能如下:获取数据:EL表达式主要用于替换JSP页面中的脚本表达式,以从各种类型的Web域中检索Java对象、获取数据(某个Web域中的对象,访问JavaBean的属性、访问List集合、访问Map集合、访问数组); 执行运算:利用EL表达式可以在J
2020-11-29 13:14:28
3169
原创 记一次从零到getshell的渗透历程
0x00 前期拿到测试范围清单后,首先用脚本获取了下各个子站的标题,基本都是XXX管理系统。浏览器查看后,各个子站也大同小异,纯登录系统,带验证码。这些系统基本都是jsp写的,逮到了两个没有验证码的小宝贝,一番暴力破解,小宝贝对我说:别爱我,没结果。又看到了两个站返回的Set-Cookie头:rememberMe=deleteMe; 很明显,这是Apache Shiro。打了一波exp,没有反应,放弃。搞了三天啥都没搞出来,和女朋友出去玩散散心,还是很高兴。0x01 初显进展测试范围内有六个门户
2020-11-29 13:05:38
3550
4
原创 信息安全从业者书单推荐
近来也读过不少书,推荐几本个人觉得不错的: 《Vue.js项目开发实战》张帆 《我的第一本算法书》【日】宫崎修一;石田保辉,入门书籍,无代码进行图解 《算法图解:像小说一样有趣的算法入门书》【美】AdityaBhargava 《编译与反编译技术实战》庞建民 《重构:改善既有代码的设计》【美】MartinFowler 《Docker技术入门与实战》杨保华;戴王剑;曹亚仑 《一本小小的蓝色逻辑书》【加】布兰登•罗伊尔 《精进:如何成..
2020-11-29 13:03:01
555
原创 看我如何从外网直接拿下内网靶标
1.拿到目标制定策略进行信息收集某地攻防演练拿到演习目标后,进行了一波常规信息收集,打了一个靶标。发现靶标分数有点高还是打靶标来得快,于是对所有靶标进行分析。但是大部分靶标都给的是内网地址,观察了一下收集的所有目标ip发现基本上存在于xx.xx.98.x-xx.xx.106.x这个范围主动扩大范围扫描x.x.95.x-x.x.110.x这些段,直接通过fofa api查询所有记录然后使用我B哥的webalivescan扫描https://github.com/broken5/
2020-11-29 12:48:59
829
原创 浅谈无文件攻击
这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到...
2020-03-17 13:47:26
3607
原创 谈谈信息安全入门这事儿
信息安全如何入⻔"这个问题我觉得需要拆成3个部分来回答:信息安全包括什么?什么算入⻔?你要如何学习?☞备注:本文中的信息安全没有特意区分cyber security、data security等。No.1 信息安全包括什么我个人觉得我是回答不完全这个问题的,只能尽我所能来回答。首先我们来看看知乎上,关于"信息安全如何入⻔"的相关问题都有哪些?1. 黑客如何学起?...
2020-03-17 13:46:37
420
原创 谈谈开展信息安全工作的四个权力
破局很多刚独立开展安全工作的小伙子本身技术都很好,但是初始做一个人的安全部容易莽撞。笔者尤其记得第一次接触甲方安全岗位时,领导面试问到:“为了公司安全建设,你准备着手怎么做?”,笔者的回答是“引入CVSS3.0评分机制......”,现在想来依然令人汗颜。笔者想到有一些关于工作的真相,为一些埋头做事,不到心战的层次的小伙子写出来。大家简单看下,本文内容有对有错,缺一漏万,多谈权,少谈责,欢迎批...
2020-03-17 13:44:45
305
原创 互联网公司数据安全保护新探索
近年来,数据安全形势越发严峻,各种数据安全事件层出不穷。在当前形势下,互联网公司也基本达成了一个共识:虽然无法完全阻止攻击,但底线是敏感数据不能泄漏。也即是说,服务器可以被挂马,但敏感数据不能被拖走。服务器对于互联网公司来说,是可以接受的损失,但敏感数据泄漏,则会对公司产生重大声誉、经济影响。在互联网公司的数据安全领域,无论是传统理论提出的数据安全生命周期,还是安全厂商提供的解决方案,都面临着...
2020-03-17 13:42:58
1572
原创 由外到内入侵渗透的点面线问题
0x01 攻击面在不同攻击阶段的信息收集过程中,我们会获取目标大量的信息,构成我们的攻击面,攻击面越广意味这我们发现潜在漏洞的可能性越大。比如我们在撕口子前,我们会收集域名/IP等资产信息,少一个IP就少一个潜在存在漏洞的系统。在时间允许的范围内,能收集越多的信息越好,当然在进行信息收集的过程中也即可以进行漏洞发现,单纯的信息收集是枯燥的但是是可程序化的,完全程序化的缺点是会导致我们缺乏对资产细...
2020-03-17 13:42:00
177
原创 HTML注入:利用HTML标签绕过CSP
先让我们看看如下这个web应用示例:<html> <meta http−equiv="Content−Security−Policy" content="script−src 'nonce−...' 'unsafe−eval'"> <div id="template_target"></div> <...
2020-03-17 13:39:33
509
原创 Access之cookie手工注入
cookie注入的原理其实并不复杂。学过ASP语言的应该都知道,在ASP中 例如:id=request.querystring(ID);id=request.form(ID);在正常情况下程序员应该按以上规范进行代码的编写,但是部分程序员,为了方便却将代码写成了如下格式:id=request(ID);虽然此时也加了防注入程序。但是,防注入程序并不支持基于cookie提交的数据。...
2019-08-03 16:10:09
315
原创 DLL劫持漏洞自动化识别工具Rattler测试
0x00 前言最近,来自SensePost的Chris Le Roy开源了一款工具:Rattler,可用来自动识别DLL是否存在预加载漏洞(也可以理解为DLL劫持漏洞,文中该名词均采用DLL劫持漏洞)。虽然DLL劫持漏洞已不再是新技术,可追溯到2010年,但是我对自动化很是感兴趣,于是对此做了进一步研究。本文将理清DLL劫持漏洞原理,实例分析,测试自动化工具Rattler,分享心得,并测试...
2019-07-28 18:16:05
5504
原创 CSRF(跨站点请求伪造)在Flash中的利用
0×00 前言CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻...
2019-07-28 18:12:12
372
原创 针对NFS的渗透测试
NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用。发现NFS服务NFS...
2019-07-28 18:09:48
1634
原创 挖洞姿势 | 深度聊聊PHP下的“截断”问题
0×01 起因学弟有天在群里说起上传的%00截断的一些问题,就想起之前自己在这个问题踩过坑,想起了自己曾经的flag说要写文章,一直没写,现在来填坑了。0×02 经过源码理解://test.php<?phpinclude"1.txt\000.jpg";?>//1.txt<?phpecho'helloworld';?>上面的示例代码在...
2019-07-28 18:07:42
1156
原创 缝缝补补的WebLogic:绕过的艺术
前言目前Weblogic在全球的使用量占居前列,据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35382台,其中归属中国地区的资产数量为10562台。如果爆发一个Weblogic高危漏洞,那将会给中国的大量用户带来巨大的灾难。本文主要介绍了近五年爆发的Weblogic反序列化的高危漏洞,一次又一次的修补,一次又一次的绕过,漏洞挖掘者和漏洞防御者之间的博弈从未停止过,而且...
2019-07-28 18:04:18
644
原创 MyBatis框架中常见的SQL注入
0x00 MyBatis概述&背景MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。由于它非常灵活,非常轻量级,受到广大开发者的欢迎,各个大厂也用得比较多。MyBatis框架介绍相关的内容不多说,这类文章网上很多,这里我着重介绍一下MyBatis下常见的SQL注入漏洞。写到一半发现有些概念要在前面说清楚一下,不然容易晕。 MySQL:指MySQL服务...
2019-07-27 18:09:27
2151
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人