Fstraw Blog

转载自：https://www.moonsec.com/4225.html 转载理由： 冷知识：https:// 绕过 1https:jammny.github.io ==> https://jammny.github.io 1、我发现目标站点是存在传参回显的，我在参数schoolCode中传入了一个值，接着返回的页面中回显了这个值。 2、接着进行数组传参测试，构造了两个schoolCode参数进行传递，页面成功返回了jammny,jammny 3、通过fuzz，可以看到完整的标签是能够被使用的。 4、云waf通常是通过语义检测攻击行为的，因此实际上很多标签都是可以被使用的。比如说标签等： 5、本次payload构造选择就使用，先在自己的github.io页面上新建一个xss.js文件，用于src外部引用，内容为：alert(/xss/)。 6、正常引用肯定是被拦截的： 1<script src="https://jammny.github.io/xss.js"> 7、不着急，慢慢绕。从右往左的顺序，挨个删 ...

编者荐语：这篇文章是一个基础的渗透测试例子，也有渗透测试遇到的突发情况，比如上传文件到OSS，无法getshell。 转载自：https://www.yuque.com/broken5/blog/yngmee 打开首页，整个网站看上去就是一套新闻站，本来是不想把时间浪费在这个站上面的 测了一下admin目录，需要401认证 随便点了点，观察其URL像是Tp3的框架，所以就顺手测了一下Tp3的几个常见注入，结果把网站用的CMS给爆了出来 用Fofa去找案例，目的是获取源码或者测试出通用漏洞 到这里整理一下思路，怎么快速的去寻找源码或者测漏洞呢： 把这几十个站链接保存，通过目录扫描工具批量扫备份获取源码 通过上传webshell，然后获取源码 通过CMS的通用备份获取源码 进后台，后台有未授权添加用户等 Github根据特征找源码 等等等 秉承着上述的思路，测试了一个站点之后找到了一个弱口令 在后台中我发现了文件管理功能，这个功能一般都能shell 有一个改名的功能并且可以修改后缀名 抓包看参数，路径与文件名都可以完全被用户控制，只需要找一个上传点随便上传一个文件，然 ...

转载自：https://mp.weixin.qq.com/s/onOdQqrBCeiBhUpa3xkSSg 酒仙桥六号部队 编者荐语：shell 解析不了可能是网站被打包成 jar的形式部署，思路转向子域名资产，还有点内网渗透过程。 简单的尝试用扫描器扫了一下，没有发现漏洞。发现网站存在CDN： 看了下历史解析记录，还好不多。通过判断，确定最后一条为真实IP： 查看下IP绑定的网站，查到3个域名，其中一个无法访问，另一个是个后台： 我们先来看这个后台： 随便输入一个账号和密码，提示数据不存在： 扫了下目录，只扫出个upload目录。存在列目录： 简单看了下，没有敏感信息，都是图片： 回到后台，先爆破一波。挂服务器爆破了不知道多久，成功爆破到管理员密码，登录后台： 通过后台可以看出这个数据应该是APP注册数据，有50多万条记录。用户名应该是随机取名的，后来拿下权限后验证猜测没错： 回到正题。尝试拿shell，发现可以上传任意文件，但是都不解析。直接下载，最后没能突破成功。 简单的审计就在一筹莫展的时候，上帝为我开了一扇窗。翻后台功能，发现系统配置处配置了几个域 ...

转载自：https://mp.weixin.qq.com/s/QJW13hj08R57-AM0ZpRz1g 酒仙桥六号部队 编者荐语：从开局一个apk包，到渗透第三方服务支持获取源码，经过代码审计，最终getshell。 在一次授权渗透测试中，得知测试目标是拿到权限或者关键用户数据。客户一开始只提供了一个安卓apk，在这种情况下，我们要怎么顺利完成测试呢？ App测试一开始只提供了安卓apk包，也就只能从这个App入手。安装完成，打开之后就是一个登录页面： 配置好，收集代理，准备进行测试。过程中发现抓包无法抓到，报错信息如下： 由于App测试经验不多，一开始没理解。搜索一番之后发现，原因是由于安卓7.0开始只信任系统级别的证书，不再信任用户导入的证书。 那么只要把我们抓包工具的证书安装为安卓系统级别的根证书就可以。 第一步先导出burp证书，其他抓包工具同理： 然后将证书文件转换一下格式，这一步可以在kali下执行： 1opensslx509 -in cacert.der -inform DER -out cacert.pem -outformPEM 之后再提取Hash ...

转载自：https://mp.weixin.qq.com/s/NsRa8HNobG-hulRqu5RKbw 推荐理由： 这篇文章的亮点在于，通过 XSS+CSRF 漏洞挖掘到了一个任意密码重置漏洞。 看到这篇文章，突然想起来以前打过一台Linux靶机，也有这个漏洞，但是当时没有记录下来。 漏洞原因： 低权限用户在自己的资料上 XSS 了一个重置管理员密码的 post 请求，只要高权限用户查看该用户的信息，就会自动提交该重置密码的请求，而请求能成功的原因就在于该 post 提交表单存在 CSRF 漏洞，没有设置 token 参数。 前言最近在做一些安服项目，随便挖了一些漏洞，系统功能点太少，导致只有一些小的漏洞点，领导不是很满意，随后就有了以下内容。希望大家能从文中学到点知识，来应付工作压力。 储存型XSS漏洞的发现在注册时，本着能插的地方必须插一下 访问进去果然有问题，一个低危的储存型XSS漏洞到手 没啥技术含量哦，我们继续往下。 CSRF漏洞的发现注册进去后发现，系统功能点少的可怜，这时把目光投向了用户管理处 一般像这种垃圾系统，必有CSRF漏洞，点击新增账号，然后burp ...

编者荐语：渗透总是在不断试错，一次次的fuzz总会找到出路。 转载自：https://www.yuque.com/broken5/blog/lpdex0#HQxQs 0x01 前言之前遇到过遇到过类似的注入，因为某种原因在注入语句中不能存在逗号，环境又是MSSQL，所以很难构造出来有效的payload。今天在测试的时候又遇到了，怼了几个小时终于出货了，详情见下文 0x02 复现首先是一个提交选择的表单 对dcid_5进行了注入测试，结果如下 1234567891011payload: 36 * 1结果：200payload: 36 * a结果: 500payload: len(user)结果: 200payload: len(usera)结果: 500 基本上断定这就是一个注入，然后尝试利用substring(user,1,1)结果报错了 后续又测试了left(user,1)、rigth(user,1)、convert(int,1)都是返回500 测试到这里，我发现可能不是单纯的SQL语句拼接 仔细观察参数发现了猫腻，dcid_6=39&dcid_6=42&am ...

编者注：利用 SSRF 探测内网中存在log4j影响的apache服务的默认端口，成功反弹shell。 SSRF 也可加 redis 未授权访问 getshell 。 总体的思路还是 redis + xxx，来getshell。 转载自：https://forum.butian.net/share/1085 0x01 前言某次项目中碰见了ueditor编辑器的net版本，存在任意文件上传的漏洞，也同样和其他版本一样存在ssrf的问题。但是经过测试后发现，ueditor因为魔改过无法识别到版本信息，且回包为空不返回图片地址，还删除了listimage的action，导致任意文件上传无法突破。最后使用了比较骚的姿势，利用get型的盲ssrf打内网的solr的log4j成功反弹shell。 0x02 原理下载源码包分析，搜索版本号可以发现在\gbk-php\下面存在一个js文件中含有ueditor的版本信息，我们可以通过这个来判断是否存在一些漏洞，web中对应的链接便是 net\ueditor.all.js 文件查看即可看见UE.version，值得注意的是只有显示大版本号。存在漏洞 ...

转载自：https://mp.weixin.qq.com/s/YUmk2UPzbQqAJbQJQ8wepQ 作者：技术专家 罗冲冲 盘古石取证 编者荐语： 十个站点九个宝塔面板，足以说明宝塔的流行。 未知防焉知攻。 我们需要了解宝塔面板的使用方法和配置，才能快速进行渗透。 下面一文详细介绍了宝塔面版的各项配置和文件位置，可以帮助我们学习到宝塔的相关知识。 宝塔面板是什么？宝塔Linux面板是提升运维效率的服务器管理软件，支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。例如:创建管理网站，轻松简单完成各种配置; 一键创建数据库，一键设置备份还原；方便高效的文件管理器，支持上传、下载、打包、解压以及文件编辑查看等。由此可见，宝塔面板一键管理服务器操作简单便捷，使得一些涉案服务器也使用宝塔面板进行管理。 一. 宝塔面板目录结构 Backup目录是宝塔面板的备份文件目录，保存数据库备份、站点备份。 Server目录是宝塔面板的服务目录。 wwwlogs目录是站点日志 ...

前言昨天刚入职，实习的第一天没什么事干，又有点事干。 如果这也算渗透的话，我愿称之为：面向excel渗透。 这活有点蓝队溯源的性质，只有一点。 情景客户的系统被邮件钓鱼了，需要溯源，同事给了两份 excel 表格，一份是 ip.xls,另一份是 qbu.xlsx ip.xls 记录了ip、地址和攻击性质，需求是筛选出恶意或者海外的ip数据，再将恶意ip与qbu.xlsx里面的ip进行对比，获得是恶意或者海外ip的登录信息，缩小溯源的范围。 qbu.xlsx 记录了时间，ip，用户名，登录详情，目标ip。需求是将ip.xls筛选出的恶意ip和qbu.xlsx的ip进行对比，筛选出那一行的数据。 分析对于这个需求，前一个表格可以通过简单的包含等于条件筛选出恶意ip数据，但后一份表格无法通过一个个去对比ip，因为ip量有点大，所以只能通过python去处理数据啦。 处理excel表格的python库有很多，我们又应该选择哪个呢？可以用以下命令安装： 1pip install -i https://pypi.tuna.tsinghua.edu.cn/simple xlrd==1.2.0, ...

前言实习两个月了都，本来第二个月有很多感触的，但是被国庆假期憋没了，只剩下一点了，随便写写吧，以一个新人的视角。 我是谁第二个月的实习时间大部分都是在渗透测试，是针对企业的小程序，网站，app，c/s客户端等的渗透测试，不是开局一个登录框，拿到shell的工作，会提供部分账号，根据资产清单的ip/url来进行渗透测试。 所以这和hw、src那些渗透测试又有些不同，你不需要进行信息收集的工作，如果可以，还能让管理员把你的ip加到waf的白名单，算是低级难度的渗透测试。 经过大量的实践，算是了解和认清了自己的工作，逐渐改进了自己的方法论和形成了一套规范化的渗透测试流程。 逻辑漏洞的增删改点点点，抓包放包改包，有输入回显的地方就插插插，没有waf的直接上xray扫扫扫，渗透测试报告编写的整齐规范。 在工作过程中认识到这不过是一个重复搬砖的过程。 我能搬的砖别人也能搬，别人能搬的砖，我也能搬，搬的好不好取决于你的经验和熟练度。 挖洞的尽头是没有尽头。 我能做什么说实话，有些事情我不是很理解，很多明明很多能够通过自动化来完成的事情，还要通过手工来完成。 比如渗透测试报告的编写 ...