渗透测试
想必大家都对参数篡改攻击有所了解,今天作者分享的是对RSA加密参数的篡改从而实现账号劫持的简单测试,漏洞原因在于Web应用在客户端缺乏安全的防护机制。一起来看看。
出于保密,目标Web应用暂且叫它为target.com,在接触该目标时,经测试发现,其上所有的参数操作都是加密传输的,在Burp的抓包配合下,可见其大概的加密形式如下:
userName=8cfe39943d6e08e505531ddfd90c66f47c2f55ce140e5770fef58d3bec826f52490a089d1942aaed74a9f6ed0fd8890cef6c36e31220c9859a3...
最新
2020年6月30日
阅读 710
阅读全文
渗透测试
写在文前
从实习到现在,因为从事打点工作的原因,实战经验积累了很多,就想写一些自己在实战中碰到的问题,以及自己的解决方法,因为保密的原因大多数不提供复现环境和截图,权当对渗透思路的一个拓展吧。可能会多写几篇,也可能因为实战经验不足就此荒废这个系列。总之看心情和时间安排吧。
注入的几个问题
SQL注入所涉及到的东西无非就以下几方面
哪里会经常出现注入
bypass waf
如何快速定位重要数据表
大数据表托数据
注入读写文件
执行命令
哪里经常出现...
2020年6月29日
阅读 717
阅读全文
渗透测试
因为所在单位的公司属性,有幸作为防守方赶上了2019年的攻防演练。整个过程历时几个月时间,有思考、有规划、有实施,但是因实际情况所限,总有一些想法没有尝试,总有一些规划没有“落地”,也有一些经历过之后的恍然大悟,稍作记录以便未来实践并与即将参加2020年攻防演练的小伙伴们简要分享。
攻防演练对各家公司里安全技术人员来说,真的喜忧参半,难以言表。借用我微信好友的一句话(出处不详):“它让公司CSO有种崇祯即位的复杂感觉。前者是兴奋,受到高度重视,充满雄心抱负收拾旧山河;后者是失落,内忧外患,虽有万里长城但不知道敌人以什么方式翻墙而入,长城成了一个奢级消费品;朝堂之争如公司管理文化。山河好大总有文治...
2020年6月29日
阅读 1061
阅读全文
渗透测试
PS:练习利用这些网站,就会打破kali学的好,监狱进的早的魔咒了
进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了16个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透 测试人员,通过不断的练习才能让你成为一个优秀安全研究人员。以下网站希望能给各位安全小伙伴带来帮助!(排名不分 先后)
1.bWAPP
免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。
...
2020年6月29日
阅读 1023
阅读全文
渗透测试
最近在准备比赛,打sqlilabs时看了一下sqlmap的wiki,发现了–csrf-token和–csrf-url的参数,于是写了个php版本的bug试了一试。
同时也了解了一下大家对csrf注入的普遍做法:sqlmap+burp正则匹配,两相比较,还是sqlmap自带的功能比较方便。
写一个bug
CSRF的普遍防御方法是增加anti-csrf token,也就是一串不可预测的字符串。于是动手写了一个php版本防csrf的sqli脚本,这里写的并不规范,时间戳是可以被预测的,而且此脚本可以被绕过token检测,有兴趣可以琢磨一下。
<?php
sess...
2020年6月28日
阅读 932
阅读全文
渗透测试
渗透测试指南系列文章内容纲要
第一章 渗透测试简介
第二章 前期交互
第三章 信息收集
第四章 漏洞识别
第五章 社会工程学
第六章 有线/无线网络利用
第七章 基于应用的漏洞利用
第八章 基于本地主机和物理的利用
第九章 后-利用 技术
...
2020年6月23日
阅读 1151
阅读全文
渗透测试
系列文章内容纲要
第一章 渗透测试简介
第二章 前期交互
第三章 信息收集
第四章 漏洞识别
第五章 社会工程学
第六章 有线/无线网络利用
第七章 基于应用的漏洞利用
第八章 基于本地主机和物理的利用
第九章 后-利用 技术
第十章 渗透测试工具集介绍
第十一章 渗透报告
第三章 信息收集
接到渗透测试任务,首先要做的就是信息收集(Information Gathering)或者...
2020年6月23日
阅读 961
阅读全文
渗透测试
2020年初,我通过了准备已久的Pentest+认证考试。我还写了一篇 考试指南,有兴趣的读者可以点击查看。
近期我打算花一点时间把Pentest+知识体系整理成一系列文章,巩固一下我对渗透测试的理解以及加深我对渗透测试的看法。
这一系列文章的大体内容纲要如下
第一章 渗透测试简介
第二章 前期交互
第三章 信息收集
第四章 漏洞识别
第五章 社会工程学
第六章 有线/无线网络利用
第七章 基于应用的漏洞利用
第八章 基于本地主机和物理的利用
第九章 后-利用 技术
第十章 渗透测试工具集介绍
第十一章 渗透报告
话不多说,直接进入第一个主...
2020年6月23日
阅读 738
阅读全文
渗透测试
本文中,作者在测试某Web目标站点APP的过程中,通过其中的用户头像上传功能,可以成功上传并加载HTML文件,进步利用该HTML文件可以形成存储型XSS攻击,读取用户的密码信息。我们一起来看看其利用姿势。
漏洞发现
当我注册登录了目标站点APP之后,经过对用户设置项的检查后发现,其中存在一个用户头像上传功能,如下:
于是,我就用Burp对该上传功能进行抓包分析:
请注意,这里我用到了PATCH请求操作,可见其中的ProfilePicture参数为一串base64编码的图像化字串,另外,之前的ProfilePictureMIME参数为image/p...
2020年6月22日
阅读 752
阅读全文
渗透测试
上回我们说到,通过ruler可以给已知用户名、口令的用户增加规则,从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。那么问题来了,如果不知道该用户的口令,能否控制他们的主机呢?
数据包分析
首先需要明白ruler的具体实现过程和原理,到底是如何给其他用户增加规则、修改主页、发送form的。但是大致上我们可以猜测是给Exchange服务器对应的接口发送了几个数据包做到的。
这些数据包发送到了哪个接口,需要从接口处获得什么作为返回,以便进行下一次的请求。
因此需要对ruler的源码进行阅读同时结合对它发数据包的分析弄清楚整个的流程。
...
2020年6月22日
阅读 1098
阅读全文
渗透测试
一、拒绝服务攻击
拒绝服务攻击,英文名称是Denial of Service.
简称DOS,即拒绝服务,造成其攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。
常规的dos攻击
由黑客控制多台服务器,让这多台服务器同时去请求一个目标机器,导致目标资源耗尽。
二、WAF
也称为:网站应用级入侵...
2020年6月19日
阅读 833
阅读全文
渗透测试
漏洞描述
Spring Cloud Config,2.2.3之前的2.2.x版本,2.1.9之前的2.1.x版本以及较旧的不受支持的版本允许应用程序通过spring-cloud-config-server模块提供任意配置文件。恶意用户或攻击者可以使用特制URL发送请求,这可能导致目录遍历攻击。
Spring cloud Config已经出现过两次目录穿越漏洞,分别是CVE-2019-3799和CVE-2020-5405,可参考之前的文章:https://xz.aliyun.com/t/7558。
漏洞补丁
这次补丁主要是两个部分,第一个部分是将对路径的检测方法...
2020年6月19日
阅读 1069
阅读全文
渗透测试
网站存在注入点地方
当时测试了布尔盲注,发现有安全狗waf
对其fuzz一波,发现数据库时access数据库
由于access数据不能使用注释,并且没有数据库,幸好是安全狗,绕过方法如下
因为安全狗是对整段url进行检查,发现aa参数和bb参数包裹的是注释所以放过
其他页面也存在注入点
...
2020年6月18日
阅读 1185
阅读全文
渗透测试
错误详情
WebShell内容:
<?php
@eval($_POST['cmd']);
?>
1
2
3
错误详情:
在Hackber或BurpSuite中却没有问题:
原因分析
PHP7版本过高,在PHP7中,动态调用一些函数是被禁止的,比如在array_map中调用assert会提示:Warning: Cannot call func_num_args() dynamically in %s on line %d
如果把一句话Shell中的@符号去掉,会提示:Cannot call assert() with s...
2020年6月18日
阅读 1039
阅读全文
渗透测试
一、前言
命令注入:恶意用户构造恶意请求,对一些执行系统命令的功能点进行构造注入,从而达到执行命令的效果。
二、演示环境搭建
这里采用springboot+swagger搭建一个模拟的web环境:启动成功后访问:http://localhost:8090/swagger-ui.html#/commandi主要有三个接口:
1 /command/exec/string 主要实现Runtime.getRuntime().exec() 入参为String
2 /command/exec/array 主要实现Runtime.getRuntime().exec() 入参为S...
2020年6月18日
阅读 773
阅读全文
渗透测试
0×00 shellcode简介
在攻击中,shellcode是一段用于利用软件漏洞的有效负载,shellcode是16进制的机器码,以其经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在寄存器eip溢出后,放入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
shellcode可以按照攻击者控制是否在目标机器上执行载荷分为本地shellcode和远程shellcode。本地运行的shellcode经常用于在攻击者对计算机的访问权限有限,需要利用软件漏洞提升权限;远程shellcode常用于攻击者以运行在某个网络中的另一台机...
2020年6月18日
阅读 888
阅读全文
渗透测试
之前在某厂的某次项目开发中,项目组同学设计和实现了一个“引以为傲”,额,有点扩张,不过自认为还说得过去的 feature,结果临上线前被啪啪打脸,因为实现过程中因为一行代码(没有标题党,真的是一行代码)带来的安全漏洞让我们丢失了整个服务器控制权(测试环境)。多亏了上线之前有公司安全团队的人会对代码进行扫描,才让这个漏洞被扼杀在摇篮里。
背景说明
我们的项目是一个面向全球用户的 Web 项目,用 SpringBoot 开发。在项目开发过程中,离不开各种异常信息的处理,比如表单提交参数不符合预期,业务逻辑的处理时离不开各种异常信息(例如网络抖动等)的处理。于是利用 SpringBoot ...
2020年6月15日
阅读 691
阅读全文
渗透测试
上个月5月9号发了两个HW红方弹药库的,今天再来发一个红队作战人员手册,我大概看了看手册里面的exp零组文档包含了很多,
本文来自 klionsec的github
说明
以下仅针对日常 "红队" 场景, 进行了一次相对全面完整的实战攻击利用技术提炼汇总
针对不同的渗透阶段,所可能会用到的一些技术都做了详尽梳理说明 (后面可能还会整理出对应的完整工具链,虽然那不是最主要的)
由于红队不同于一般的渗透测试, 强调更多的是如何搞进去拿到相应机器权限 或者 实现某特定目的
而不局限于你一定要在什么时间, 用什么技术 或者 必须通过什么途径去搞,相比传统渗透测试,红队则更趋于真实的...
2020年6月15日
阅读 945
阅读全文
渗透测试
一、背景介绍
在业务安全领域,滑动验证码已经是国内继传统字符型验证码之后的标配。众所周知,打码平台和机器学习这两种绕过验证码的方式,已经是攻击者很主流的思路,不再阐述。本文介绍的是一个冷门的绕过思路和防御方案。这些积累,均来自于实战之中,希望有用。
二、思路介绍
知己知彼,百战不殆。
如果不清楚攻击者的手段,又如何能制定防御方案?
滑动验证码绕过思路
漏洞名字:session参数重复校验漏洞
思路介绍:
此思路来源于一次对黑产路径的溯...
2020年6月15日
阅读 683
阅读全文
渗透测试
攻防攻防,有攻就有防,我们常说“未知攻焉知防”,所以一般来说,在安服团队里,应急响应是由有经验的渗透测试人员来承担;而在企业里面,应急响应则是由比较有经验的运维人员来承担。
早在17年的时候,我将自己经手处理过的一些应急响应案例,脱敏保留特定场景,整理成了一份应急响应实战笔记分享给团队的小伙伴,后来我把它上传到GitHub,目前star已超过2k+ 。
这阵子,我重新对这份笔记进行编排,并增加了部分章节,使之更完善一点。
这份应急响应笔记,我将它分为技巧篇和实战篇。技巧篇,分享了各种入侵排查、日志分析、权限维持的技巧;实战篇,分享了各种window和Linux病毒木马处理...
2020年6月15日
阅读 781
阅读全文
渗透测试
雷蛇支付(Razer Pay)在新加坡和马来西亚被广泛使用,在该篇Writeup中,作者通过APP逆向分析,利用Frida调试,发现了雷蛇支付电子钱包(Razer Pay Ewallet)中的用户签名(Signature)生成漏洞,由此可读取雷蛇支付用户的聊天记录、删除用户绑定的银行账户并窃取用户个人敏感信息,漏洞最终获得了雷蛇官方将近$6,000的奖励。以下是作者的漏洞发现思路,仅当姿势学习借鉴:
漏洞背景
雷蛇(Razer Inc,RΛZΞR)是一家在新加坡创立的游戏周边设备公司,又被称为“绿光灯厂”,近年开始进军电子消费业务。雷蛇的两个总部分别设立在新加坡及美国圣地牙哥...
2020年6月14日
阅读 739
阅读全文
渗透测试
分享自己常用的“信息收集”思路以及漏洞挖掘技巧。信息收集在渗透测试中的地位不言而喻,你拥有的“资产信息”决定你的漏洞产出。
子域名收集
暴力破解
本地工具,Layer的子域名挖掘机等工具。
优点:能够枚举到很多通过证书查询查不到的子域名。
缺点:速度慢,靠字典。
搜索引擎搜索
Google、百度、360、bing、搜狗等主流搜索引擎,通过搜索语法进行搜索。
优点:发现域名时往往会同时发现一些敏感的页面。
缺点:收录有限。
证书查询
常用证书查询的站点...
2020年6月14日
阅读 1914
阅读全文
渗透测试
不让我注入进程撒?加服务启动你拦截我撒?来 我用另类方法”注入”加入自启动?
众所周知,某0卫士对启动这一块做的比较严格。以往来说 大家都喜欢注册表启动,后来注册表被杀的太厉害。结果GG了。然后衍生出来服务启动?不过好景不长,服务启动也被和谐…..有反驳的可以附上你代码? (有点空手套EXP的感觉) 当然 也有服务能启动的,前提是你找到一个靠谱的白名单程序…抠鼻..我找到了…就是…不告诉你
以上是背景….目前来说 比较靠谱的一种做法是进程注入。进程注入多用于隐匿自身 以及做一些其他不可描述的事情。但…..各位程序大佬清楚 大多的 传统的...
2020年6月5日
阅读 780
阅读全文
渗透测试
一、漏洞简介
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。3月13日,通达OA在官方论坛发布通告称,近日接到用户反馈遭到勒索病毒攻击,攻击者通过构造恶意请求,上传webshell等恶意文件,并对入侵的服务器进行文件加密,勒索高额匿名货币赎金。笔者长期从事二进制漏洞的研究,写此文旨在学习web漏洞的研究方法并以此漏洞为实践,强化对web漏洞利用技术的认识,记录之。
二、漏洞分析
资料显示,该漏洞影响范围较广,影响的版本有:V11版、2017版、2016版...
2020年6月5日
阅读 1197
阅读全文
渗透测试
一.服务端全局替换为空的特性
比如某站正则 过滤了onerror 过滤了script 这些 但是“ 或者 ‘ 这这种符号会变成空可以绕过,例如代码
<img src=1 oner”ror=alert(1)>
利用 某字符转换为空 来绕过 我下面写了个挖掘案例
二.大小写绕过
比如正则过滤了onerror script 这些 没有设置大小写
绕过 payload
...
2020年6月4日
阅读 770
阅读全文