Emlog 越权&后台getshell 渗透测试

Emlog 越权&后台getshell

一、漏洞简介 二、漏洞影响 三、复现过程 代码分析 安装漏洞 其实一般代码审计都是从安装文件开始审计,一般安装脚本主要存在如下漏洞: 无验证功能,任意重装覆盖 表单不做过滤写入config.php导致getshell $_GET['step']跳过限制步骤 漏洞文件:install.php 首先我们直奔第一个点能否任意重装,我们可以看到必须常量DEL_INSTALLER为1的时候才会触发删除install.php,那么我们追踪DEL_INSTALLER看看 这里可以看到DEL_INSTALLER默认值就是...
最新
阅读全文
Emlog 6.0 xss集合 渗透测试

Emlog 6.0 xss集合

一、漏洞简介 二、漏洞影响 Emlog 6.0 三、复现过程 Uploadify SWF XSS Emlog使用了 uploadify.swf 的方式上传文件,文件路径 /include/lib/js/uploadify/uploadify.swf payload http://www.0-sec.org/include/lib/js/uploadify/uploadify.swf?uploadifyID=00%22%29%29;}catch%28e%29{alert%281%29;}//%28%22&movieName=...
阅读全文
基础漏洞系列——XSS跨站脚本攻击详解 渗透测试

基础漏洞系列——XSS跨站脚本攻击详解

简介:¶ XSS(跨站脚本攻击)攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 漏洞原理实例:¶ 对于用户提交的数据没有,后台或者JS(DOM型)没有做过滤或过滤不完全,将用户输入的信息打印出来,那么用户就可以构造特定的payload来在前...
阅读全文
踩坑版渗透:记某次授权测试 渗透测试

踩坑版渗透:记某次授权测试

信息收集 朋友闲聊中,提起想让我帮忙测试下网站的安全性,毕竟好久不做这事,有点手生。于是朋友把站点告诉了我,前部分正常步骤搜集信息,查看ip端口。 PS:本文仅用于学习交流,严禁用于任何非法用途,违者后果自负,与本站及作者无关。 解析出来发现*.*.19*.102, 扫一波端口发现, 21/tcp  open 80/tcp  open  http          Microsoft IIS...
阅读全文
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗? 渗透测试

宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?

周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL: 随便点开其中一个,赫然就是一个大大的phpmyadmin后台管理页面,无需任何认证与登录。当然,随后各种神图神事也都刷爆了社交网络,作为一个冷静安全研究者,我对此当然是一笑置之,但是这个漏洞的原因我还是颇感兴趣的,所以本文我们就来考证一下整件事情的缘由。 我们的问题究竟是什么? 首先,我先给出一个结论:这件事情绝对不是简简单单地有一个pma目录忘记删除了,或者宝塔面板疏忽大意进行了错误地配置,更不是像某些人阴谋论中说到的官方刻意...
阅读全文
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗? 渗透测试

宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?

周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL: 随便点开其中一个,赫然就是一个大大的phpmyadmin后台管理页面,无需任何认证与登录。当然,随后各种神图神事也都刷爆了社交网络,作为一个冷静安全研究者,我对此当然是一笑置之,但是这个漏洞的原因我还是颇感兴趣的,所以本文我们就来考证一下整件事情的缘由。 我们的问题究竟是什么? 首先,我先给出一个结论:这件事情绝对不是简简单单地有一个pma目录忘记删除了,或者宝塔面板疏忽大意进行了错误地配置,更不是像某些人阴谋论中说到的官方刻意...
阅读全文
安全研究 | Nginx反向代理钓鱼 渗透测试

安全研究 | Nginx反向代理钓鱼

什么是反向代理 这里我找了一段比较官方的解释。 反向代理(Reverse Proxy)是指以代理服务器来接受 Internet 上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给 Internet 上请求连接的客户端,此时代理服务器对外就表现为一个服务器。我自己的理解 代理服务器就是充当了一个“中间人”。如果理解的不恰当还请师傅们指出来哈。 Nginx反向代理实例 这里拿我的一台vps做演示 ip:39.xxx.xxx.x。因为vps上装了宝塔 而且 又在宝塔里装了Nginx。 首先找到Nginx的目录。在我的vps上...
阅读全文
SeaCMS v10.1代码审计实战 代码审计

SeaCMS v10.1代码审计实战

前言 seacms是一个代码审计入门级的cms,比较适合我这种小白玩家来学习,如果有什么错误欢迎指出。 环境 phpstudy pro php5.4.45nts seay代码审计工具 phpstrom sqlmap seacms v10.1 因为这个cms的官网已经打不开了,所以发一下自己保存的代码 链接https://pan.baidu.com/s/1f9mXyOX6sgsersyNz-kDQg提取码j3k0 安装c...
阅读全文
java代码审计 代码审计

java代码审计

java编译篇 java编译过程: Java源代码 ——(编译)——> Java字节码 ——(解释器)——> 机器码 Java源代码 ——(编译器 )——> jvm可执行的Java字节码 ——(jvm解释器) ——> 机器可执行的二进制机器码 ——>程序运行 采用字节码的好处:高效、可移植性高 以下示例为.java文件: 以下是.class文件: 反编译工具篇 ...
阅读全文
JSshell:一款针对XSS漏洞的JavaScript反向Shell 神兵利器

JSshell:一款针对XSS漏洞的JavaScript反向Shell

JSshell是一个JavaScript反向Shell工具,该工具可以帮助广大研究人员远程利用XSS漏洞或扫描并发现XSS盲注漏洞。当前版本的JSshell支持在Unix和Windows操作系统上运行,并且同时支持Python2和Python3。跟JShell(一款由s0med3v开发的通过XSS漏洞获取JavaScript反向Shell的工具)相比,这是一个非常大的更新,而且JSshell还不需要Netcat的支持,这一点跟其他的JavaScript Shell也有很大的区别。 工具下载 广大研究人员可以使用下列命令将JSshell项目源码克隆至本地: git clone h...
阅读全文
DEDECMS伪随机漏洞分析 (三) 碰撞点 渗透测试

DEDECMS伪随机漏洞分析 (三) 碰撞点

一 、本篇 本文为“DEDECMS伪随机漏洞”系列第三篇,查看前两篇可点击链接: 第一篇:《DEDECMS伪随机漏洞分析 (一) PHP下随机函数的研究》 第二篇:《DEDECMS伪随机漏洞分析 (二) cookie算法与key随机强度分析》 根据第二篇,我们有信心去遍历root key的所有可能, 但是我们还需要一个碰撞点, 才能真正得到root key的值, 本篇找到了两个碰撞点, 并编写了简单的POC来获取root key. 二 、碰撞点 可能还存在其他碰撞点, 这儿仅找到两个: ) 1.用户主页 ...
阅读全文
PHP开发安全问题总结 PHP

PHP开发安全问题总结

php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,近期需要总结一下以往的问题,在这里借翻译一篇文章同时加上自己开发的一些感触总结一下。 简介 当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如开发一个论坛或者是一个购物车等。 安全保护一般性要点 不相信表单 对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的javascript引擎,这样通过...
阅读全文
图解利用虚函数过GS保护 代码审计

图解利用虚函数过GS保护

前言 个人感觉利用虚函数过GS保护过程稍微会复杂些,因为涉及到多次跳转。为了写清楚利用虚函数过GS,本文从payload构造切入,着重描写payload构建过程,从而让读者明白利用虚函数过GS的细节;并且在payload构建过程,对跳转细节采用图解方式,让读者跳出代码,先理清楚整个逻辑关系,然后再载入payload,讲解整个payload运行过程。(需要说明的是文中的寻址图,仅仅为了更清楚的描述跳转过程,不完全代码在内存中的存储顺序)。balabala~~新手上路,请多多关爱,如有写的不好的地方,请轻喷,感谢!╮(╯▽╰)╭ 一、GS保护 我们知道普通的栈溢出漏洞是通...
阅读全文
挖洞经验 | 头像上传构造存储型XSS技术分析 渗透测试

挖洞经验 | 头像上传构造存储型XSS技术分析

本文中,作者在测试某Web目标站点APP的过程中,通过其中的用户头像上传功能,可以成功上传并加载HTML文件,进步利用该HTML文件可以形成存储型XSS攻击,读取用户的密码信息。我们一起来看看其利用姿势。 漏洞发现 当我注册登录了目标站点APP之后,经过对用户设置项的检查后发现,其中存在一个用户头像上传功能,如下: 于是,我就用Burp对该上传功能进行抓包分析: 请注意,这里我用到了PATCH请求操作,可见其中的ProfilePicture参数为一串base64编码的图像化字串,另外,之前的ProfilePictureMIME参数为image/p...
阅读全文
技术讨论 | Exchange后渗透分析下篇 渗透测试

技术讨论 | Exchange后渗透分析下篇

上回我们说到,通过ruler可以给已知用户名、口令的用户增加规则,从而在使用Outlook连接Exchange邮箱服务器的主机上做到任意代码执行。那么问题来了,如果不知道该用户的口令,能否控制他们的主机呢? 数据包分析 首先需要明白ruler的具体实现过程和原理,到底是如何给其他用户增加规则、修改主页、发送form的。但是大致上我们可以猜测是给Exchange服务器对应的接口发送了几个数据包做到的。 这些数据包发送到了哪个接口,需要从接口处获得什么作为返回,以便进行下一次的请求。 因此需要对ruler的源码进行阅读同时结合对它发数据包的分析弄清楚整个的流程。 ...
阅读全文
各种提权姿势总结 提权教程

各种提权姿势总结

提权技巧 1.cmd拒绝访问就自己上传一个cmd.exe,自己上传的cmd是不限制后缀的,还可以是cmd.com cmd.txt cmd.rar等 2.net user不能执行有时候是net.exe被删除了,可以先试试net1,不行就自己上传一个net.exe 3.cmd执行exp没回显的解决方法:com路径那里输入exp路径C:\RECYCLER\pr.exe,命令那里清空(包括/c )输入net user jianmei daxia /add 4.有时候因为监控而添加用户失败,试试上传抓取hash的工具,如PwDump7.exe,得到hash之后可以进...
阅读全文
实战笔记—滑动验证码攻防对抗 渗透测试

实战笔记—滑动验证码攻防对抗

一、背景介绍   在业务安全领域,滑动验证码已经是国内继传统字符型验证码之后的标配。众所周知,打码平台和机器学习这两种绕过验证码的方式,已经是攻击者很主流的思路,不再阐述。本文介绍的是一个冷门的绕过思路和防御方案。这些积累,均来自于实战之中,希望有用。 二、思路介绍 知己知彼,百战不殆。     如果不清楚攻击者的手段,又如何能制定防御方案?     滑动验证码绕过思路 漏洞名字:session参数重复校验漏洞 思路介绍: 此思路来源于一次对黑产路径的溯...
阅读全文
DEDECMS伪随机漏洞 (二) :Cookie算法与Rootkey随机强度分析 代码审计

DEDECMS伪随机漏洞 (二) :Cookie算法与Rootkey随机强度分析

一、Cookie算法 1.COOKIE的作用和常见的构造形式 作用: 权限鉴别、无会话状态。 构成: 常常是以下形式 cookie = F(x,y), F为不可逆函数, x为盐 , y为和权限/用户相关的数据 我们可以知道的部分, F-> 一般常常为hash函数md5,sha256等 y-> 比如用户名称/id编号/权限简称 我们无法知道的部分, x 2.定位算法-动态调试 根据常识, 在登陆后, server端会返回cookie! 2.1在web站点上进行登陆,并抓包, 看到...
阅读全文
技术讨论 | 利用Python程序实现某OA系统的自动定位 渗透测试

技术讨论 | 利用Python程序实现某OA系统的自动定位

前言 本文介绍了笔者通过python程序实现某OA系统自动考勤打卡功能及相关逻辑原理的解析。 Github:https://github.com/cahi1l1yn/eChecker 声明:本程序仅供Python语言的学习交流用途,笔者不提倡利用程序自动考勤的做法,笔者不对滥用本程序导致的任何后果负责。 需求分析 疫情期间,笔者所在公司使用某OA系统的考勤功能代替原来的刷脸考勤,结果导致很多人经常忘记打卡,于是笔者寻思着能不能写个程序实现自动考勤,希望实现的主要功能是:指定用户名密码登录和指定时间签到签退,扩展功能是:自定义签到和签退...
阅读全文
DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究 代码审计

DEDECMS伪随机漏洞 (一) :PHP下随机函数的研究

一 、开篇 在某次复现”dedecms前台任意用户登录漏洞重现及分析”漏洞过程中, 发现这个漏洞的利用点是需要注册并审核通过一个”0000001″用户, 但在实际操作中,发现很多站点注册用户后需要邮件校验,但实际没有配置SMTP, 也就不可能发出邮件,遂分析了其邮件校验的hash生成算法, 进而发现伪随机问题,本文不会从邮件hash算法入手,而是从cookie算法分析出发, 分析漏洞的原理和利用方法. 全文分析使用dedecms v5.7 sp2, 但就漏洞本身而言是全版本均存在的。 二 、本篇简介 主要研究和分析一下在PHP5和PHP7下mtrand/mtsrand和r...
阅读全文
流量分析的瑞士军刀:Zeek 神兵利器

流量分析的瑞士军刀:Zeek

Zeek (Bro) 是一款大名鼎鼎的开源网络安全分析工具。通过 Zeek 可以监测网络流量中的可疑活动,通过 Zeek 的脚本可以实现灵活的分析功能,可是实现多种协议的开相机用的分析。本文主要是将 Zeek 结合被动扫描器的一些实践的介绍,以及 Zeek 部署的踩过的一些坑。 安装 Zeek 的安装还是比较简单的,笔者主要是在 Mac 上以及 Linux 上安装。这两个操作系统的安装方式还是比较类似的。对于 Linux 而言,需要安装一些依赖包: sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel ...
阅读全文
WAF机制及绕过方法总结:注入篇 渗透测试

WAF机制及绕过方法总结:注入篇

本篇文章主要介绍WAF的一些基本原理,总结常见的SQL注入Bypass WAF技巧。WAF是专门为保护基于Web应用程序而设计的,我们研究WAF绕过的目的一是帮助安服人员了解渗透测试中的测试技巧,二是能够对安全设备厂商提供一些安全建议,及时修复WAF存在的安全问题,以增强WAF的完备性和抗攻击性。三是希望网站开发者明白并不是部署了WAF就可以高枕无忧了,要明白漏洞产生的根本原因,最好能在代码层面上就将其修复。 一、WAF的定义 WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗来说就是WAF产品里集成了一定的检测规则...
阅读全文
对一次钓鱼事件的分析 渗透测试

对一次钓鱼事件的分析

本文是对一次钓鱼事件的分析,在下水平实在不高,请路过的高手勿喷。像网络钓鱼这种违法事件时不时地出现在我们身边,下面是本人的亲身经历。 昨天在刷空间时看到同学发了这么一条消息,留言? 打开看看,嗯,不对啊,我俩18年6月加的好友啊,这是什么情况? 带着满脑子问号,扫码进去,瞬间就警惕了。 先瞎输一气,发现我的输入法不对劲啊,我用的讯飞输入法不长这样啊? 结果进去了?!跳转到QQ空间手机网页版。难不成是钓鱼?复制用浏览器打开,发现域名不对,果然是钓鱼。 用电脑打开看看 百度?302重定向,emmm……...
阅读全文
Mouse Framework:一款针对iOS和macOS的后渗透漏洞利用框架 神兵利器

Mouse Framework:一款针对iOS和macOS的后渗透漏洞利用框架

关于Mouse Framework框架 Mouse Framework是一款针对iOS和macOS的后渗透漏洞利用框架,它可以给安全研究人员提供一个带有数据提取功能的命令行会话,只需要使用一个简单的Mouse Payload,我们就可以轻松在目标设备与分析主机之间建立一条命令行会话。不仅如此,Mouse Framework还提供了强大且便捷的文件上传、文件下载、Tab命令补全、屏幕截图、定位追踪、Shell命令执行、权限提升以及密码检索与恢复等功能。 Mouse Framework框架的下载和安装 工具下载 广大研究人员可以使用下列命令将框架源码克隆至本地: ...
阅读全文
BigIP Cookie 解码获取真实IP 渗透测试

BigIP Cookie 解码获取真实IP

BIGip是对负载均衡的实现,主要通过Virtual Server、iRules、Pool、Node、Monitor和Persistent(会话保持)实现。BIGip在实现会话保持机制时会在用户首次发起请求时,会为用户设置一个cookie,即服务端会添加set-cookie响应头头(比如:Set-Cookie: BIGipServerFinanceAndAdminWebfo.unc.edu=105389996.20480.0000 )。后续的请求会判断并使用这个cookie值,服务端解码该cookie并使用服务器。 最近发现一款工具,可以解BigIP的cookie,以此获取内网ip或者真实ip地...
阅读全文