- 博客(76)
- 收藏
- 关注
RSS订阅原创 SaltStack 水平权限绕过漏洞 任意文件读写漏洞 CVE-2020-11651/CVE-2020-11651 漏洞复现
SaltStack 水平权限绕过漏洞(CVE-2020-11651)by ADummy0x00利用路线 exp直接打0x01漏洞介绍 SaltStack 是基于 Python 开发的一套C/S架构配置管理工具。国外某安全团队披露了 SaltStack 存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。 在 CVE-2020-11651 认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授
2021-02-28 22:25:11
220
原创 通过Velocity自定义模板执行Apache Solr远程执行代码 CVE-2019-17558 漏洞复现
通过Velocity自定义模板执行Apache Solr远程执行代码(CVE-2019-17558)by ADummy0x00利用路线 Burpsuite发包获取API名称—>params.resource.loader.enabled通过API启用配置—>模板命令执行0x01漏洞介绍 Solr是基于Apache Lucene(TM)构建的流行,快速,开放源代码的企业搜索平台。从Apache Solr 5.0.0到Apache Solr 8.3.1容易受到通过Veloci
2021-02-28 19:20:11
229
原创 Apache Solr 远程命令执行漏洞 CVE-2019-0193 漏洞复现
Apache Solr 远程命令执行漏洞(CVE-2019-0193)by ADummy0x00利用路线 创建核心—>选择debug模式—>写入exp—>命令执行0x01漏洞介绍 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能
2021-02-28 19:04:11
508
原创 Apache Solr xml实体注入漏洞 CVE-2017-12629 漏洞复现未完成
Apache Solr xml实体注入漏洞(CVE-2017-12629)by ADummy0x00利用路线 Burpsuite发送两个包,一个listener,一个update—>命令执行0x01漏洞介绍 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0
2021-02-27 05:12:09
317
1
原创 Apache Solr 远程命令执行漏洞 CVE-2017-12629 漏洞复现
Apache Solr 远程命令执行漏洞(CVE-2017-12629)by ADummy0x00利用路线 Burpsuite发送两个包,一个listener,一个update—>命令执行0x01漏洞介绍 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之
2021-02-27 04:48:25
353
原创 PHPUnit远程代码执行漏洞 CVE-2017-9841 漏洞复现
PHPUnit远程执行代码(CVE-2017-9841)by ADummy0x00利用路线 Burpsuite抓包改包—>命令执行0x01漏洞介绍PHPUnit是面向程序员的PHP测试框架。Util/PHP/eval-stdin.php在4.8.28之前的PHPUnit和5.6.3之前的5.x中允许远程攻击者通过以<?php子字符串开头的HTTP POST数据执行任意PHP代码,如对具有暴露的/ vendor文件夹的站点的攻击(即外部访问)所证明的到/vendor/phpuni
2021-02-27 02:20:43
3153
原创 Phpmyadmin Scripts / setup.php反序列化漏洞 WooYun-2016-199433 漏洞复现
Phpmyadmin Scripts / setup.php反序列化漏洞(WooYun-2016-199433)by ADummy0x00利用路线 Burpsuite抓包改包—>有回显读取文件0x01漏洞介绍phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码影响版本phpmyadmin 2.x0x02漏洞复现payloadPOST /scripts/setup.php HTTP/1.1Host: your-ip:808
2021-02-27 00:48:05
466
原创 PhpMyAdmin 4.0.x-4.6.2远程执行代码漏洞 CVE-2016-5734 漏洞复现
PhpMyAdmin 4.0.x-4.6.2远程执行代码漏洞(CVE-2016-5734)by ADummy0x00利用路线 exp直接打,kali自带—>连接webshell0x01漏洞介绍 PhpMyAdmin是一个用PHP编写的免费软件工具,旨在处理Web上的MySQL管理。该漏洞在preg_replace函数中,因为用户提交的信息可以被拼接到第一个参数中。在PHP 5.4.7之前,的第一个参数preg_replace可以用截断,\0并将搜索模式更改为\e。它可能会导致远
2021-02-26 20:21:39
411
原创 phpmyadmin 4.8.1远程文件包含漏洞 CVE-2018-12613 漏洞复现
phpmyadmin 4.8.1远程文件包含漏洞(CVE-2018-12613)by ADummy0x00利用路线 首先要能登录数据库,然后测试文件包含0x01漏洞介绍这里需要满足如下5个条件便可以执行包含文件代码include $_REQUEST['target'];1.$_REQUEST['target']不为空2.$_REQUEST['target']是字符串3.$_REQUEST['target']开头不是index4.$_REQUEST['target']不在$target
2021-02-26 19:09:41
287
原创 PHPMailer 任意文件读取漏洞 CVE-2017-5223 漏洞复现
PHPMailer 任意文件读取漏洞(CVE-2017-5223)by ADummy0x00利用路线 注册邮箱—>配置环境—>插入恶意代码—>目标服务器发送邮件—>服务器文件被读出0x01漏洞介绍 PHPMailer在发送邮件的过程中,会在邮件内容中寻找图片标签(<img src="...">),并将其src属性的值提取出来作为附件。所以,如果我们能控制部分邮件内容,可以利用<img src="/etc/passwd">将文件/etc/p
2021-02-26 18:33:35
1082
原创 XDebug 远程调试漏洞 代码执行 漏洞复现
XDebug 远程调试漏洞(代码执行)by ADummy0x00利用路线 构造XXE payload—>POST发送—>有回显(也有blind xxe 参考资料)0x01漏洞介绍 XDebug是PHP的一个扩展,用于调试PHP代码。如果目标开启了远程调试模式,并设置remote_connect_back = 1:xdebug.remote_connect_back = 1xdebug.remote_enable = 1这个配置下,我们访问http://target/
2021-02-26 17:38:46
636
原创 PHP环境 XML外部实体注入漏洞 XXE 漏洞复现
PHP环境 XML外部实体注入漏洞(XXE)by ADummy0x00利用路线 构造XXE payload—>POST发送—>有回显(也有blind xxe 参考资料)0x01漏洞介绍 PHP环境 XML外部实体注入漏洞(XXE)0x02漏洞复现payload<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xx
2021-02-26 17:16:38
467
原创 PHP文件包含漏洞利用phpinfo写入webshell
带有PHPINFO的PHP本地文件包含RCEby ADummy0x00利用路线 执行exp—>getshell 适用于有本地文件包含漏洞,有phpinfo,怎么写入webshell的情况0x01漏洞介绍 在PHP文件包含漏洞中,当我们找不到要触发RCE的有效文件时,如果有PHPINFO可以告诉我们随机生成的临时文件名及其位置,则可能可以包含一个临时文件来利用它来利用它。启动环境后,可访问http://your-ip:8080/phpinfo.php以获取PHPINFO页
2021-02-26 16:26:32
4394
原创 PHP-FPM远程命令执行 CVE-2019-11043 漏洞复现
PHP-FPM远程命令执行(CVE-2019-11043)by ADummy0x00利用路线 安装go环境—>下载利用工具—>写入shell—>getshell0x01漏洞介绍 漏洞主要由于 PHP-FPM 中 sapi/ fpm/ fpm/ fpm_main.c 文件内的 env_path_info 下溢导致,攻击者可以使用换行符 %0a 破坏 Nginx 中 fastcgi_split_path_info 对应的正则表达式,导致传递给 PHP-FPM 的 PATH_
2021-02-26 11:54:49
202
原创 PHP imap 远程命令执行漏洞 CVE-2018-19518 漏洞复现
PHP imap 远程命令执行漏洞(CVE-2018-19518)by ADummy0x00利用路线 Burpsuite抓包改包—>代码执行0x01漏洞介绍 php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令
2021-02-25 19:40:10
308
原创 PHP-CGI远程代码执行漏洞 CVE-2012-1823 漏洞复现
PHP-CGI远程代码执行漏洞(CVE-2012-1823)by ADummy0x00利用路线 Burpsuite抓包改包—>代码执行0x01漏洞介绍 首先,介绍一下PHP的运行模式。下载PHP源码,可以看到其中有个目录叫sapi。sapi在PHP中的作用,类似于一个消息的“传递者”,比如我在《Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写》一文中介绍的fpm,他的作用就是接受Web容器通过fastcgi协议封装好的
2021-02-25 19:06:20
959
原创 Nginx 解析漏洞 漏洞复现
Nginx 解析漏洞by ADummy0x00利用路线 上传图片木马—>url后缀➕/.php—>访问url—>图片被当成php解析0x01漏洞介绍 漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。0x02漏洞复现访问http://your-ip/uploadfiles/nginx.png和http://your-ip/uploadfiles/nginx.png/.php即可查看效果。正常显示访问/.php自己做了个图片木马上传:
2021-02-25 17:55:14
371
原创 Nginx 文件名逻辑漏洞 CVE-2013-4547 漏洞复现
Nginx 文件名逻辑漏洞(CVE-2013-4547)by ADummy0x00利用路线 上传文件后边空格—>上传文件成功—>php文件被成功解析0x01漏洞介绍 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。影响版本Nginx 0.8.41 ~ 1.4.3 Nginx 1.5.0 ~ 1.5.70x02漏洞复现 这个漏洞其实和代码执行没有太大关系,其主要
2021-02-25 16:51:27
302
原创 Nginx越界读取缓存漏洞 CVE-2017-7529 漏洞复现
Nginx越界读取缓存漏洞(CVE-2017-7529)by ADummy0x00利用路线 POC验证—>读取到缓存文件中位于“http返回包体”前的“文件头”、“http返回包头”等内容0x01漏洞介绍 Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”。如果二次请求命中了该缓存文件,则Nginx会直接将该文件中的“HTTP返回包体”返回给用户。如果我的请求
2021-02-25 15:53:31
1385
1
原创 通过PUT方法的Tomcat任意写入文件漏洞 CVE-2017-12615 漏洞复现
通过PUT方法的Tomcat任意写入文件漏洞(CVE-2017-12615)by ADummy0x00利用路线 Burpsuite抓包—>发包—>写入shell—>命令执行0x01漏洞介绍 Tomcat设置了写许可权(readonly = false),这导致我们可以将文件写入服务器。<servlet> <servlet-name>default</servlet-name> <servlet-class&
2021-02-25 15:11:12
387
1
原创 Gitlab 任意文件读取漏洞 CVE-2016-9086 漏洞复现
Gitlab 任意文件读取漏洞(CVE-2016-9086)by ADummy0x00利用路线 上传poc、tar.gz文件—>读取到etc/passwd0x01漏洞介绍 2018年底来自Semmle Security Research Team的Man Yue Mo发表了CVE-2018-16509漏洞的变体CVE-2018-19475,可以通过一个恶意图片绕过GhostScript的沙盒,进而在9.26以前版本的gs中执行任意命令。0x02漏洞复现环境运行后,Web端口为
2021-02-25 15:06:20
596
原创 GhostScript 沙箱绕过(命令执行)漏洞 CVE-2019-6116 漏洞复现
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2019-6116)by ADummy0x00利用路线 构造poc png图片—>上传图片—>有回显命令执行0x01漏洞介绍 2018年底来自Semmle Security Research Team的Man Yue Mo发表了CVE-2018-16509漏洞的变体CVE-2018-19475,可以通过一个恶意图片绕过GhostScript的沙盒,进而在9.26以前版本的gs中执行任意命令。0x02漏洞复现将PO
2021-02-24 21:12:13
719
原创 GhostScript 沙箱绕过(命令执行)漏洞 CVE-2018-19475 漏洞复现
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-19475)by ADummy0x00利用路线 构造poc png图片—>上传图片—>有回显命令执行0x01漏洞介绍 2018年底来自Semmle Security Research Team的Man Yue Mo发表了CVE-2018-16509漏洞的变体CVE-2018-19475,可以通过一个恶意图片绕过GhostScript的沙盒,进而在9.26以前版本的gs中执行任意命令。0x02漏洞复现将P
2021-02-24 20:58:01
543
原创 GhostScript 沙箱绕过(命令执行)漏洞 CVE-2018-16509 漏洞复现
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2018-16509)by ADummy0x00利用路线 构造poc png图片—>上传图片—>有回显命令执行0x01漏洞介绍 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞:http://seclists.org/oss-sec/2018/q3/142https://b
2021-02-24 20:49:28
333
原创 Elasticsearch写入webshell漏洞 WooYun-2015-110216 漏洞复现
Elasticsearch写入webshell漏洞(WooYun-2015-110216)by ADummy0x00利用路线 创建一个恶意索引文档—>创建一个恶意的存储库—>存储库验证并创建—>写入webshell0x01漏洞介绍 ElasticSearch具有备份数据的功能,用户可以传入一个路径,让其将数据备份到该路径下,且文件名和后缀都可控。所以,如果同文件系统下还跑着其他服务,如Tomcat、PHP等,我们可以利用ElasticSearch的备份功能写入一个w
2021-02-24 16:47:36
429
原创 ElasticSearch 目录穿越漏洞 CVE-2015-5531 漏洞复现
ElasticSearch 目录穿越漏洞(CVE-2015-5531)by ADummy0x00利用路线 Burpsuite抓包—>java代码放入json—>有回显命令执行0x01漏洞介绍 说明:elasticsearch 1.5.1及以前,无需任何配置即可触发该漏洞。之后的新版,配置文件elasticsearch.yml中必须存在path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置。不配置该值,默认不启动这个功能。jre版本:open
2021-02-24 15:54:36
816
原创 ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 CVE-2015-1427 漏洞复现
ElasticSearch 命令执行漏洞(CVE-2014-3120)by ADummy0x00利用路线 Burpsuite抓包—>java代码放入json—>有回显命令执行0x01漏洞介绍 CVE-2014-3120后,ElasticSearch默认的动态脚本语言换成了Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。本漏洞:1.是一个沙盒绕过; 2.是一个Goovy代码执行漏洞。 jre版本:openjdk:8-jre elasticsearc
2021-02-24 15:00:25
874
原创 ElasticSearch 命令执行漏洞 CVE-2014-3120 漏洞测试
ElasticSearch 命令执行漏洞(CVE-2014-3120)by ADummy0x00利用路线 Burpsuite抓包—>java代码放入json—>有回显命令执行0x01漏洞介绍 老版本ElasticSearch支持传入动态脚本(MVEL)来执行一些复杂的操作,而MVEL可执行Java代码,而且没有沙盒,所以我们可以直接执行任意代码。MVEL执行命令的代码如下:import java.io.*;new java.util.Scanner(Runtime.g
2021-02-24 14:27:31
349
原创 ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600 漏洞复现
ECShop 2.x / 3.x SQL注入/远程执行代码漏洞by ADummy0x00利用路线 Burpsuite抓包—>脚本生成poc—>Burpsuite修改referer字段—>有回显0x01漏洞介绍 ECShop是一个B2C独立商店系统,供公司和个人快速建立个性化的在线商店。该系统是基于PHP语言和MYSQL数据库体系结构的跨平台开源程序。在2017年及之前的版本中,存在一个SQL注入漏洞,该漏洞可能会注入有效载荷并最终导致代码执行漏洞。最新版本的3.6.0
2021-02-24 13:40:21
783
原创 Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞 CVE-2017-6920 漏洞复现
Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920)by ADummy0x00利用路线 Burpsuite抓包改包—>信息被爆出0x01漏洞介绍 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。影响版本Drupal < 8.3.40x02漏洞复现 先安装 yaml 扩展!!!需要先
2021-02-24 12:17:36
702
原创 Drupal XSS漏洞 CVE-2019-6341 漏洞复现
Drupal XSS漏洞(CVE-2019-6341)by ADummy0x00利用路线 利用文件上传的漏洞上传图片中包含js代码—>用户访问url—>触发xss0x01漏洞介绍 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。影响版本Drupal <7.65Drupal <8.6.13Drupal <8.5.140x02漏洞复现payloa
2021-02-24 11:19:21
1133
1
原创 Drupal 远程代码执行漏洞 CVE-2019-6339 漏洞复现
Drupal 远程代码执行漏洞(CVE-2019-6339)by ADummy0x00利用路线 Burpsuite抓包改包—>信息被爆出0x01漏洞介绍 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。0x02漏洞复现payload:thezdi/PoC 环境启动后,访问 http://your-ip:8080/ 将会看到drupal的安装页面
2021-02-23 22:52:38
295
原创 Drupal 远程代码执行漏洞(CVE-2018-7602)漏洞复现
Drupal 远程代码执行漏洞(CVE-2018-7602)by ADummy0x00利用路线 poc直接打0x01漏洞介绍 此漏洞源于对编号为CVE-2018-7600的漏洞修复不完全,导致补丁被绕过,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。影响版本Drupal < 7.58Drupal < 8.3.9Drupal < 8.4.6Drupal < 8.5.10x02漏洞复现exp地址:pi
2021-02-23 21:43:21
1073
原创 Drupal Drupalgeddon 2远程执行代码漏洞RCE(CVE-2018-7600)漏洞复现
Drupal Drupalgeddon 2远程执行代码漏洞(CVE-2018-7600)by ADummy0x00利用路线 Burpsuite抓包改包—>有回显—>getshell0x01漏洞介绍 7.58之前的Drupal,8.3.9之前的8.x,8.4.6之前的8.4.x和8.5.1之前的8.5.x允许远程攻击者执行任意代码,因为该问题会影响具有默认或通用模块配置的多个子系统,包括表单API。。影响版本Drupal < 7.58Drupal < 8.3
2021-02-23 21:01:19
923
原创 Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)漏洞复现
Drupal < 7.32 “Drupalgeddon” SQL注入漏洞by ADummy0x00利用路线 Burpsuite抓包改包—>信息被爆出0x01漏洞介绍 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。影响版本Drupal < 7.310x02漏洞复现payload:POST /?q=node&destinati
2021-02-23 19:28:51
874
原创 Django任意URL跳转漏洞 CVE-2018-14574 漏洞复现
Django < 2.0.8 任意URL跳转漏洞by ADummy0x00利用路线 直接url打0x01漏洞介绍 Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。(由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定)。在path开头为//example.com的情况下,Django没做处理,导致浏览器认为目的地址是绝对路径,最终造
2021-02-23 12:22:01
428
原创 Django_JSONField_HStoreField_SQL注入漏洞 CVE-2019-14234 漏洞复现
Django JSONField / HStoreField SQL注入漏洞(CVE-2019-14234)by ADummy0x00利用路线 Burpsuite抓包改包—>用户创建成功—>成功登录0x01漏洞介绍**Django是一个大而全的Web框架,其支持很多数据库引擎,包括Postgresql、Mysql、Oracle、Sqlite3等,但与Django天生为一对儿的数据库莫过于Postgresql了,Django官方也建议配合Postgresql一起使用。**
2021-02-22 20:35:36
192
原创 Django_debug_page_XSS漏洞 CVE-2017-12794 漏洞复现
Django debug page XSS漏洞(CVE-2017-12794)by ADummy0x00利用路线 Burpsuite抓包改包—>用户创建成功—>成功登录0x01漏洞介绍 Django默认配置下,如果匹配上的URL路由中最后一位是/,而用户访问的时候没加/,Django默认会跳转到带/的请求中。(由配置项中的django.middleware.common.CommonMiddleware、APPEND_SLASH来决定)。在path开头为//example.
2021-02-22 19:54:18
330
原创 Couchdb_任意命令执行漏洞 CVE-2017-12636 漏洞复现
Couchdb 垂直权限绕过漏洞by ADummy0x00利用路线 Burpsuite抓包改包—>用户创建成功—>成功登录0x01漏洞介绍CouchDB 是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB会默认会在5984端口开放Restful的API接口,用于数据库的管理功能。那么,问题出在哪呢?翻阅官方描述会发现,CouchDB中有一个Query_Server的配置
2021-02-22 18:59:36
344
原创 Couchdb_垂直权限绕过漏洞 CVE-2017-12635 漏洞复现
Couchdb 垂直权限绕过漏洞by ADummy0x00利用路线 Burpsuite抓包改包—>用户创建成功—>成功登录0x01漏洞介绍 Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社
2021-02-22 18:06:16
134
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人