任意文件读取漏洞的曲折历程 渗透测试

任意文件读取漏洞的曲折历程

前言 这周授权测试了某系统,凭借着一个任意文件读取的漏洞,不断深挖,一波三折,历时将近24小时,也和Tide安全的小伙伴不断讨论,最终拿下目标的webshell。过程简直不要太美、太狗血,在此做个整理。 基本信息 目标:wy.xxx.com.cn(子域名) IP:114.xxx.xxx.xxx(阿里云) web 四大件: java、Apache Tomcat 7.0.61、mysql、linux 端口开放了太多,确定的是30126端口为ssh 子域名更多了,大多数均反查为该阿...
最新
阅读全文
Bypass JEP290攻击rmi 渗透测试

Bypass JEP290攻击rmi

1、前言 上一篇文章jmx攻击利用方式,通过修改参数为gadget实现攻击,本文与上一篇原理很类似。在2月份的时候 0c0c0f师傅写的是动态替换rmi通讯时候函数参数的值,也就是老外实现的方法。本文借鉴外国的安全研究员的第二个思路,写了Rasp hook InvokeRemoteMethod函数的代码修改为gadget。   2、JEP290 什么是JEP290? 1、提供一个限制反序列化类的机制,白名单或者黑名单。 2、限制反序列化的深度和复杂度。 3、为RMI远程调用对象提供了一个验证类的机制。 4、定义一个可配置的过...
阅读全文
关于钓鱼邮件的学习笔记 渗透测试

关于钓鱼邮件的学习笔记

前段时间公司组织了一次以钓鱼邮件攻击为主题的攻防活动,对于攻击方来说,目标是提高钓鱼邮件攻击能力,包括探索各种钓鱼方式和实战技巧。对于防守方来说,目标是检验公司钓鱼邮件防护体系,包括相关防护设备监测能力、设备运营能力、员工安全意识、应急响应能力等,不过听说还有个原因是安全部门到了年终预算没花完~ 非常荣幸我能有机会参与此次活动,一开始觉得不就是发个钓鱼邮件吗,能有多大技术含量,文案构造的精美一些就够了,但是看师傅们秀各种操作才明白钓鱼攻防虽然只是网络安全中的一个小点,但是深入研究还是有很多需要学习的内容。因此我也对最近学习的内容进行一次总结。 攻击 事前准备 ...
阅读全文
挖洞经验 | 密码重置Token可预测性导致的账号劫持漏洞 渗透测试

挖洞经验 | 密码重置Token可预测性导致的账号劫持漏洞

今天分享的Writeup是一个有趣的账号劫持漏洞,漏洞原因在于目标服务端重置用户密码时,其Token生成算法有问题,存在可预测和可枚举可能,导致网站注册用户面临账号被劫持风险。 这里我们把目标服务端称为program.com,当我在测试其忘记密码功能时发现一个怪异的现象,每次我对我当前账号发起密码重置请求后,在我收到的下述密码重置Token信息中,其Token串中的前3个字符都是一样的,所以这引起了我的注意。 https://program.com/forgot_password/<TOKEN-HERE> 几分钟后,我惊奇地发现Token信息中的前3个字符,是...
阅读全文
科普:黑客入侵网站究竟是怎么回事? 渗透测试

科普:黑客入侵网站究竟是怎么回事?

作为一个曾经入侵过美军服务器并自以为傲,但现在回想起来就各种尴尬症一齐发作的过来人,就向各位侃侃网站入侵的那些事。 先说历史 遥想10年前,有一个不喑世事的熊孩子,那是一个阳光明媚的下午,而且当天晚上还是英语晚自习,熊孩子们都懂的…… 熊孩子在学校逛了一圈,没看见班主任的摩托车,低头一看,时间才14:30,顿时心跳加速!随后就步履生风的走到了校园的后墙附近…… 熊孩子低着头,假装在找东西,实则眼睛在小心的四下打量着周围的情况,发现没有意外情况后,他瞄了一眼墙角的摄像头,嗯,电源灯果然还没亮,熊孩子的嘴角不由自主的露出得意的微笑。随后他小心翼翼的从学校的后墙翻了...
阅读全文
4种黑客常用的入侵手段,你是否都知道? 渗透测试

4种黑客常用的入侵手段,你是否都知道?

科技的飞速发展为我们的生活带来了许多的便利,但是背后同样隐藏着许多的危险,信息安全就是大家都关心的一块区域。现在信息泄漏的问题时有发生,对个人和社会都带来了不好的影响,对本人来说无关紧要的信息,对于黑客来说却有一定的价值,那么黑客一般会用哪些手段来入侵电脑呢?今天我们就一起来看看黑客常用的4种入侵手段,如果你还不知道,希望大家看完后能够提高警惕。 第一种手段是远程控制,当电脑用户在网络上下载一些安全性特别低的文件时,里面可能就会有病毒软件。通过这个病毒软件,黑客就可以在你的电脑上执行程序,制造虚假的登录页面,当用户输入密码的时候,黑客就能够直接捕获到。随后显示登录页面出错,让用户再次登陆正确的页...
阅读全文
对某bc站的一次渗透 渗透测试

对某bc站的一次渗透

很多人问我你日站是用手工还是工具扫?我觉得两者同时进行效率会高些,所谓双管齐下,无站不破,当然还得看人品。 前段时间经常日有颜色的站,懂得都懂,emmm哈哈哈,但都是套路,跟bc又密不可分。 于是就按着套路顺利打开下面这个站: image1123×879 486 KB 刚好正是中午的时候,准备恰饭去,先将这个站丢到某W某S里面,如果有东西就直接捡现成的,于是: (ps:不得不承认我长得帅!) image852×138 11.1 KB 懂的都懂 imag...
阅读全文
DLink RCE漏洞CVE-2019-17621分析 渗透测试

DLink RCE漏洞CVE-2019-17621分析

1、环境搭建 运行环境安装配置之前须了解你所使用的Linux系统的版本以及Qemu的版本,因为这直接影响着你后续选择安装各种依赖包、mips qemu镜像等的版本,各种版本都对应上,最终系统才能正确运行。本次漏洞分析的基础环境为前期的Ubuntu18.04虚拟机和基于qemu-4.0.0源码编译安装的Qemu运行环境: 从站点https://people.debian.org/~aurel32/qemu/mips/下载debianmips qemu镜像,由于虚拟机是Ubuntu linux,下载debian_squeeze_mips_standard.qcow2和vml...
阅读全文
理解Php对象注入 渗透测试

理解Php对象注入

0x00 背景 原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/ php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识。 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看一眼这个列表,一些被审计狗挖到过该漏洞的系统,你可以发现都是一些耳熟能详的玩意(就国外来说) WordPress 3.6.1 Magento 1.9.0.1 Joomla 3....
阅读全文
从文件上传到命令注入 渗透测试

从文件上传到命令注入

主站打开是这样的只有扫码登陆 尝试扫码提示未注册 查看js,网站用了webpack打包 所有请求都在 这个js里面 尝试寻找敏感接口无果 百度site:domain.com 注意到wx1子域,打开这个链接跳转到在微信打开 那就到微信打开,查看功能点发现一处上传,先上传正常图片 改最下面的filename,后缀不变 改上面的filename参数,发现应该是任意文件上传 因为在js中发...
阅读全文
漏洞挖掘之爆破的艺术 渗透测试

漏洞挖掘之爆破的艺术

oxo1 暴力破解偶遇302跳转 在进行暴力破解登录框的时候、发现第一个验证码是正常的、后面全部验证码错误、查看302的返回包 尝试直接用上方这个链接爆破、发现此链接可以直接绕过验证码来进行暴力破解。(成功的图当时没保存) 然后顺带讲一下,有时候爆破会遇到多个302跳转BurpSuite有一个设置可以跟随跳转 oxo2 暴力破解用户名的方法 爆破用户名的位置:登录、注册、忘记密码。如果能注册、在成功登录后修改密码处也有可能可以爆破用户名。 随手输入一波账号和密码、提示用户名或密码错误。你看到这里你以为不能...
阅读全文
一网打尽!每个程序猿都该了解的黑客技术大汇总 渗透测试

一网打尽!每个程序猿都该了解的黑客技术大汇总

摘要: 上面这个段子估计很多朋友都看过,程序员被黑过无数次,在其他人眼中,仿佛我们需要写得了木马,翻得了围墙,修得了电脑,找得到资源,但凡是跟计算机沾点边的,咱都得会才行。段子归段子,言归正传,对于咱们程序员来说,多多少少了解一些信息安全的技术知识还是大有裨益的,不仅能了解一些计算机和网 ... 上面这个段子估计很多朋友都看过,程序员被黑过无数次,在其他人眼中,仿佛我们需要写得了木马,翻得了围墙,修得了电脑,找得到资源,但凡是跟计算机沾点边的,咱都得会才行。 ...
阅读全文
实战黑客sqlmap渗透攻击mssql数据库最新教程 渗透测试

实战黑客sqlmap渗透攻击mssql数据库最新教程

今天搭建了一个asp+mssql数据库的环境用于安全测试学习 1.判断注入点及获取网站信息: sqlmap -u http://192.168.1.30/1/onews.asp?id=8 web server operating system: Windows 2003 or XP web application technology: ASP.NET, Microsoft IIS 6.0, ASP back-end DBMS: Microsoft SQL Server 2005 2.获取所有数据库: ...
阅读全文
我遇到的实战渗透 渗透测试

我遇到的实战渗透

观众老爷们好啊 给大家表演个基本操作 本文适合正在学习入门的小伙伴 师傅们就不必踏雪我了 第一次写文章有点细(生怕写的不好,却是也是烂)中间介绍了插件工具等 可能会看一阵子 麻烦您了 多采用各种骚词(真实的内心反映) 皆是为了带动积极性希望入门的朋友把渗透当作有趣的事情来思考,抛弃枯燥乏味的感觉,冒昧之处还请多多包涵。 外网 信息收集怎么说呢 肯定是越全面越好 但找到突破口了 就不想去收集其他了 反之如果没找到合适的突破口那可能是收集不够全 感觉这网站(https://scan.top15.cn...
阅读全文
ExchangeServer漏洞CVE-2020-0688复现 渗透测试

ExchangeServer漏洞CVE-2020-0688复现

近期爆出Exchange邮件服务器远程执行命令漏洞,对其进行了分析并在本地进行了复现,其中也遇到了一些问题。 漏洞原理 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥对服务器发起攻击,在服务器中以SYSTEM权限远程执行代码。 漏洞利用工具 目前github中已经有利用poc脚本:POC1,POC2,脚本的实现原理基本相同,其中都需要用到ysoserial.exe对pa...
阅读全文
突破正则匹配:探寻SQL注入绕过WAF的本源之道 渗透测试

突破正则匹配:探寻SQL注入绕过WAF的本源之道

前言:网络上SQL注入绕过WAF的帖子文章纷繁多样,良莠不齐,眉毛胡子一把抓,各种姿势让人眼花缭乱。于是,便有学生问我,SQL注入绕过WAF的最本质原理是什么……. 0X01 WAF介绍 要从本质上回答SQL注入绕过WAF的原理就首先要了解WAF。WAF(Web Application Firewal,网站应用级入侵防御系统)是对Web网站实施安全防护和负载均衡的主要工具,是大小网站标配之一,应用范围极其广泛。WAF从产品形态上来划分,可以大致分为三类:硬件WAF、软件WAF和云WAF。三种WAF的特点和具体例子如图所示:目前,几乎所有的WAF都可以基于规则来识别过滤SQL注入,这是...
阅读全文
通达OA未授权任意文件上传及文件包含导致远程代码执行漏洞 渗透测试

通达OA未授权任意文件上传及文件包含导致远程代码执行漏洞

近日监测到通达OA官方披露部分用户服务器遭受勒索病毒攻击,并发布了多个版本的漏洞补丁,360灵腾安全实验室判断该漏洞等级为高,利用难度低,威胁程度高,影响面中。建议使用用户及时安装最新补丁,以免遭受黑客攻击。   0x00 漏洞概述 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化系统,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等。 该漏洞在绕过身份验证的情况下通过文件上传漏洞上传恶意php文件,组合文件包含漏洞最终造成远程代码执行漏洞,从而导致可以控制服务器sys...
阅读全文
巧用匿名函数绕过D盾 渗透测试

巧用匿名函数绕过D盾

之前看了smile大佬的webshell绕过,跟着smile大佬的思路,自己来挖掘了一下绕过D盾的方式 附上链接 https://www.anquanke.com/post/id/197631 这篇文章中,smile大佬提到了非常多的绕过D盾方式,我就不重复了,我在这里主要是利用了匿名函数来绕过D盾 在p神的博客中,找到了这么一个图片 https://www.leavesongs.com/PENETRATION/dynamic-features-and-webshell-tricks-in-php.html 对...
阅读全文
权限维持及后门持久化技巧总结 渗透测试

权限维持及后门持久化技巧总结

一、前言 在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。 二、Windows后门 2.1辅助功能镜像劫持 为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。 一些常见的辅助功...
阅读全文
Web安全之SQL注入:dnslog无回显注入 渗透测试

Web安全之SQL注入:dnslog无回显注入

1、原理     DNS在解析的时候会留下日志,利用这个属性,可以读取多级域名的解析日志,来获取信息。 将带有查询的语句 发起dns查询请求,通过dns请求查询到值,组合成三级域名,在ns服务器dns的日志中显示出来。 无回显注入 ,一般使用布尔型盲注入和延时注入 查询数据,但是这两种查询都是很慢,dnslog查询 因为是直接显示数据,所以这种注入 效率上面说的这种都要好太多。   最长的字符好似67个   2、平台 http://cey...
阅读全文
Web安全之SQL注入:高级注入技巧 位移注入 渗透测试

Web安全之SQL注入:高级注入技巧 位移注入

1、简介 这种注入方式合适在找到表找不到字段的情况下使用。 这种注入方式 需要联合两个表 所以这种注入也是联合查询注入的一种。 2、原理   在SQL中查询 select * from admin 星号代表所有字段。 而且 select * from admin 的结果等于下面几种结果 select admin.*from admin select admin.id,admin.username,admin.password from admin selectid...
阅读全文
Web安全之SQL注入:sqlserver延时注入 渗透测试

Web安全之SQL注入:sqlserver延时注入

1、简介 WAITFOR是SQLServer中Transact-SQL提供的一个流程控制语句。它的作用就是等待特定时 间,然后继续执行后续的语句。它包含一个参数DELAY,用来指定等待的时间。 waitfordelay '0:0:5'  等待5秒再执行操作,页面将5秒之后返回 select 1 waitfordelay '0:0:5'     2、判断注入 http://www.demo1.com/index.aspx?id=1 waitfor ...
阅读全文
Web安全之SQL注入:oracle 延时注入 渗透测试

Web安全之SQL注入:oracle 延时注入

1、简介 DBMS_LOCK.SLEEP()函数可以让一个过程休眠很多秒,但使用该函数存在许多限制。首先,不能直接将该函数注入子查询中,因为Oracle不支持堆叠查询(stacked query)。其次,只有数据库管理员才能使用DBMS_LOCK包。 在Oracle PL/SQL中有一种更好的办法,可以使用下面的指令以内联方式注入延迟: dbms_pipe.receive_message('RDS',10)   DBMS_PIPE.RECEIVE_MESSAGE函数将为从RDS管道返回的数据等待10秒。默认情况下,允许以pub...
阅读全文
WEB安全之SQL注入:oracle +jsp 布尔型盲注入 渗透测试

WEB安全之SQL注入:oracle +jsp 布尔型盲注入

1、在oracle两种利用布尔型实现盲注入方法 l  是否存在注入 根据页面的返回不同 从而判断注入点。 l  出数据  通过注入点 构造的SQL语句 判断页面是否正常。 2、decode 盲注入 decode(字段或字段的运算,值1,值2,值3) 这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3 当然值1,值2,值3也可以是表达式,这个函数使得某些sql语句简单了许多 使用方法: 比较大小 select decode...
阅读全文
WEB安全之SQL注入:oracle+jsp  布尔型decode盲注入 渗透测试

WEB安全之SQL注入:oracle+jsp 布尔型decode盲注入

1、在oracle两种利用布尔型实现盲注入方法 l  是否存在注入 根据页面的返回不同 从而判断注入点。 l  出数据  通过注入点 构造的SQL语句 判断页面是否正常。 2、decode 盲注入 decode(字段或字段的运算,值1,值2,值3) 这个函数运行的结果是,当字段或字段的运算的值等于值1时,该函数返回值2,否则返回3 当然值1,值2,值3也可以是表达式,这个函数使得某些sql语句简单了许多 使用方法: 比较大小 select decode(sign(变量1-变量2),-1,变...
阅读全文