H1111B-CSDN博客

原创一文教你所有特殊越权方式越权

原理：x-user-id可以让服务器读取这个特定的标头的值，由此使用内部变量来进行身份验证从而达到越权效果（由于API在处理带有自定义头部（如 x-user-id）的请求时存在逻辑错误。利用方式：POST /api/users/自己id值/password-reset x-user-id: 别人id值。越权访问：GET /api/users/ x-user-id: 1337 -->200 Ok。越权访问：/api/6798556007//users --> 200 OK。--dbs 获取数据库。

2023-12-26 16:27:06 527

原创一文教你如何绕过统一认证拿到赏金

我发现了一个关键的逻辑：如果用户的Cookie中缺乏“auth”（认证）标记，系统则会自动触发重定向到统一认证页面的机制。更令人兴奋的是，在对网站的技术结构进行进一步的探索时，我注意到了网站使用了Webpack框架。这个看似简单的动作产生了意想不到的效果：它成功地欺骗了网站的认证机制，使我能够绕过原本的统一认证流程。经过之前的实验，成功绕过了统一认证的重定向后，我对网站的两个关键按钮进行了深入的功能测试。在本文中，我将与您分享我的发现过程，探讨这种机制的工作原理，以及它对用户体验和网络安全的意义。

2023-12-26 16:25:53 657

原创从钓鱼邮件溯源到反制上线

趁空隙提前看了下他们的QQ信息，没有在sgk里查到，涉及个人QQ：151******（董事长***）, 192******(监事***)。过了3分钟，骗子说钱到账了，让我赶紧查下，并发了一张某银行的汇款单，大眼一过还以为真的，结果放大一看转账金额那一块是PS上去的，标红框的都是假的，那就继续跟他玩。再深入一点点，发现了骗子的其他社交帐号的密码本（玩的还挺花，应该是买的黑号）。通过已有的信息未搞到骗子的真实身份，为了不引起警觉，并未做过多的动作，所以想先放到池塘里，通过社工的方式慢慢钓。

2023-12-06 16:48:12 304

原创实战 | 记一次管理后台到微信小程序再到管理后台的攻击链

根据我的观察，现在越来越多的开发者会为web应用配套开发其它平台的应用，比如说你看到的是一个web，但是它可能还有app端、小程序端等等，web端很硬，但是app端和小程序端不一定（不同平台可能会有不同功能，并且app和小程序的开发人员安全意识未必高），因此在做渗透的时候，可以多注意资产之间的关联性。这个小程序也没有教师用户的登录口，这里我盲猜小程序和web界面的数据是一致的，因此这时候就要重回我们一开始看到的后台登陆口了，后台登陆口有通过手机号修改密码的功能，也有直接通过手机号登陆的功能。

2023-10-25 15:18:52 271

原创 Fastjson远程命令执行漏洞总结

将json字符串转化为json对象在net.sf.json中是这么做的//将json字符串转换为json对象在fastjson中是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可，第二个参数填写我们http服务下的类名，第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类，使其能够通过RMI进行远程访问。

2023-07-27 12:20:50 1023

原创 edu-SQL注入案例分享

上述sql注入均为小程序中出现的漏洞。小程序中在不反编译代码的情况下，一般测试如下：点击所有功能，逐个分析每个数据包，极大概率存在敏感信息泄露和未授权的接口。对参数进行挨个测试，在用户名，id，分页功能处均可能存在SQL注入，且尽量使用手工，sqlmap说不定会让你错过很多注入的洞，有十足把握或者无WAF再尝试sqlmap。文件上传大多为静态目录，可能存在极少数会上传后端拿到shell。平行越权大概率有SQL注入。

2023-07-22 14:45:11 345 1

原创一文就学会网络钓鱼“骚”姿势

，然后再跳转到真实网址上。利用自解压文件的特性，解压后令其自动执行解压出来的文件，达到上线的目的，由于自解压文件后缀为exe，很容易被识破，所以我们还需使用RLO后缀反转进行一些伪装。先找一个大型网站，带登录界面的那种，用ctrl+s将网站前端代码保存下来，再把后台功能稍加修改，这样我们的钓鱼网站在界面上差不多就可以做到以假乱真了。Gophish是一个开源的钓鱼工具包，自带web面板，对于邮件编辑、网站克隆、数据可视化、批量发送等功能的使用带来的极大的便捷。

2023-07-22 14:40:00 245 1

原创目录拆分爆破工具

burp开启被动扫描获取到大量target或者爬虫获取到大量target时，经常会出现以下URL的情况，手工无法对目录进行拆分进行简单的目录爆破，所以有了这款工具，思路比较简单，望批评指教。3、目录拆分爆破功能，发现未授权比较好用，例如如下较为复杂的接口，在正常访问时会获取到相关目录的js，通过目录拆分进行爆破就有机会找到相应的未授权功能页面。1、burp案例，复制所有url到工具即可。2、批量请求get/post功能。0x03 项目链接下载。

2023-07-01 11:53:48 356

原创 postMessage引发XSS

这次的主题是postMessage未验证消息来源origin，导致恶意代码注入的dom-xss，由于很少人关注这类型的注入，因为挖掘难度中等，需要一定的javascript代码审计能力，且漏洞危害等级不高，导致国内许多SRC都存在跨域消息传输xss注入漏洞。漏洞防护也比较简单，一般都是验证消息来源的origin，比如a.com的源码中只接收b.com的消息，不是b.com发来的消息不进行任何处理。但是请记住一点，插件只是辅助，并不能直接找到漏洞，漏洞的挖掘还是得需要去审计javascript代码。

2023-05-27 11:10:18 1363

原创 SQL注入原理及思路（绕过）-超详细

（1）user() 返回当前使用数据库的用户，也就是网站配置文件中连接数据库的账号（2）version() 返回当前数据库的版本（3）database() 返回当前使用的数据库，只有在use命令选择一个数据库之后，才能查到（4）group_concat() 把数据库中的某列数据或某几列数据合并为一个字符串（5）@@datadir 数据库路径（6）@@version_compile_os 操作系统版本。通过+1、-1、and 1=1、and 1=2、注释符。或者通过报错注入是网页返回报错信息。

2023-05-17 11:20:53 2959 1

原创记一次超骚的SRC漏洞挖掘思路

在这家SRC漏洞挖掘过程中，真的防得比较死。这次的操作是通过阅读微信小程序开发文档，终于找到的突破口。目前未看见有这个漏洞的分享，今天分享出来觉得好的话点个关注吧！

2023-05-04 16:10:14 614

原创针对Vue前后端分离项目的渗透思路

1. 在常规场景下，前端的项目一般搭建在公网上，而 API 接口也就是后端服务器是部署在内网，但是很多情况下，开发者为了方便管理和调试，会在公网 Api 后端服务器上搭建一个后台管理界面从而方便管理数据，这种情况下就会存在一定的几率导致泄露出后端服务器的 IP，所以我们不仅可以在 js 文件中发现 API 接口，还可以去尝试去获取 IP 和域名。查找未授权 Api 接口去尝试进行常规测试，例如 SQL 注入，XSS，SSRF，命令执行，XXE，Fastjson，Shiro 等。

2023-04-30 19:42:48 2459

原创 OSS的STS模式授权案例

虽然STS模式下accessKeyId、accessKeySecret和stsToken都是会变化的，但在有效期内（约3~5分钟）我们仍然可以接管对应的存储桶。通过STS可以返回临时的AK\SK和STSToken，这些信息可以直接发给临时用户用来访问OSS。某云提供的权限管理系统主要包含两部分，RAM（资源访问管理）和STS（安全认证服务），以满足。浏览器f12找一下源码位置，发现是阿里云oss，断点代码，使用网页上传功能触发。对STS模式的角色如“oss-admin”，进行精确授权，仅允许访问上传路径。

2023-04-26 15:53:03 630

原创全回显SSRF测试两则

SSRF测试

2023-04-11 21:06:36 525

转载记一次反诈骗渗透测试

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克）由于www用户无法写入mysql目录.so文件，无法使用mysql提权。（现在大家知道不要相信qq微信交易的重要性了吧，这种杀猪盘很容易坑人）访问其他站点都能访问，解析ip都是这个，终于发现一个php7的。sudo一直要使用www密码，结果也是无法使用sudo。好家伙，禁用的函数如此之多，那行吧，绕过呗。查看端口，一猜就是宝塔面板搭建，

2023-04-04 17:33:24 309