找到
53
篇与
xioy
相关的结果
-
我有9个aksk你信吗 弱口令 目标首页 搜索所有前端文件看看有没有敏感内容啥的。搜索后没有找到任何能利用的信息,那就测试一下看看有没有弱口令吧。随便输入一个测试账户点击登录后会跳出图形验证码。 原本看到这个图形验证码心想完了,没法爆破账号了。但是查看数据包时舒服了,请求包中没有验证码校验的参数,且响应包中回显用户不存在。 拿着这个数据包直接爆破,成功找到两个用户名 爆破获得密码 运气超好还是个高权限账号,所有功能都能使用。在账号管理板块中获取所有账号。 提取所有账号爆破一遍后共有15个账号使用默认密码 存储型XSS 这个系统很多地方都能上传文件,这里拿报告管理功能来演示。上传入口只是在前端对文件的后缀进行了校验。 我这边为了方便就直接上传pdf文件,访问后成功跳出弹窗。 平台是使用存储桶存储文件的,只能弄一个存储型XSS。后续又测试了文件覆盖和目录遍历,最终结果是对方非常安全。 信息泄露 后台的功能逛了一遍能玩的就这些,刚想清空bp的历史数据包看到一条高亮,来活了。 登录后发现有两个存储桶,共计存储64123个文件,总共534.73G 这个账号上还有7台机器 7台机器全部成功上线 在其中一台机器的进程中发现有nacos 直接cd到/usr/nacos,一般nacos的树结构是这样的 nacos/ ├── bin/ # 启动脚本 │ ├── startup.sh │ └── shutdown.sh ├── conf/ # 配置文件目录 │ ├── application.properties # 主配置文件 │ ├── cluster.conf # 集群配置 │ ├── nacos-mysql.sql # 数据库脚本 │ └── nacos-logback.xml # 日志配置 ├── data/ # 数据文件 │ ├── derby-data/ # 嵌入式数据库 │ └── config-data/ # 配置数据 └── logs/ # 日志文件重要的东西都在conf文件夹里,在配置文件中找到了一个数据库 连接数据库后又找到了xxl-job的账号和密码 解密并成功登录系统 在配置文件中还找到了华为的aksk 数据量达到23T 撑死胆大的,饿死胆小的。直接接管212个服务。 在通知消息里面发现服务地址 扫描目标后发现存在权限绕过漏洞,没啥好说的直接利用这个漏洞新建用户。 登录后通过配置文件找到许多敏感信息,通过这个nacos获取到6个数据库、2个阿里aksk、1个华为aksk、2个华为ocr的aksk、2个华为tts的aksk
-
从渗透到逆向还原攻击过程 任意文件读取 目标首页 系统没有弱口令但是有sl注入漏洞 爆破目录试试,还真有东西。 这是user路径的界面 这是admin路径的界面 分别递归再次爆破目录后只有admin的路径有东西,爆破出了config路径 访问后是这个样子 挨个点击功能后发现好玩的了,点击Edit_Conf功能,再点击左侧的文件即可看到文件中的内容,并修改。 正当我挨个点击查看文件内容时发现url发生了变化,这是原本正常的链接:http://地址//admin/config/file_edit.php?file=extensions_hud.conf&act=edt。 注意到他是通过file参数来请求文件的,那我来尝试请求一下passwd文件吧。您猜怎么着,还真就读到了,任意文件读取漏洞到手。 信息泄露 接着查找能用的信息,通过一通翻找找到了servers.conf文件,里面写了数据库的账号和密码。账号visitor密码visitorPass@1234 我反手就是一个连接,成功拿下数据库。又在数据库的maintuser表中找到了平台的管理员账户和密码。账号maint密码dscomsystem 我拿着账号和密码就是一个登录,crazy。 尝试上传 系统功能逐个点击后发现能利用的只有备份与恢复功能,其中的上传备份功能首先引起了我的注意。这个系统是php语言写的,制作好木马后尝试通过这个入口把码传到目标中。 但是把木马上传上去后没有返回文件地址,这条线玩完了。 备份文件下载 回头再看添加备份功能。转念一想既然能够打包所有代码,那我就可以把压缩包下载下来代码审计了啊。立马操作。 备份完成后点击恢复备份按钮即可查看到压缩包,立马下载名为webapp完整代码的压缩包。 解压打开后天塌了,所有的代码都被加密了!结束结束结束。 任意文件读取 回到刚刚下载压缩包的步骤我又发现了好玩的东西。这是原本正常的链接:http://地址/admin/backupdownload.php?filename=2025-09-24_2330_full_backup_webapps.tar.gz 注意到他是通过filename参数来请求文件的,那我来尝试请求一下passwd文件吧。您猜怎么着,还真就读到了,第二个任意文件读取漏洞到手。 历史入侵记录 备份文件都下载下来了不能浪费啊,再瞅瞅吧。这一瞅还整瞅出东西来了。在admin文件夹下有师傅在2024年上传的后门。 1.php是一句话木马,2.php是文件上传入口 另外在YCHW文件夹中有师傅留下的隧道和扫描结果 这都送分送到家门口了,没啥好说的了,直接连接隧道上线打内网啊。 分析 打目标时候为了节约时间,就没有怎么细想系统的文件上传入口,文件最终被上传在了什么位置。 等结束后我仔细翻找了一下在/var/backup/路径中找到了我上传的木马文件。 同时也发现师傅和我一样在这个入口周旋过。 那么师傅是怎么把木马上传上去的呢?现在揭晓答案:是通过备份与恢复的功能上传上去的。这里就有师傅疑问了,前面不是说上传备份的功能找不到文件路径吗,怎么现在又说是通过这个功能上传木马的。 备份与恢复有:添加备份、恢复备份、上传备份三个功能。 首先把当天的代码全部备份,再通过恢复备份的功能把完整代码的压缩包下载下来。然后把制作好的木马放到想要的文件路径中,重新把所有文件压缩成压缩包,通过上传备份功能把压缩包上传上去,并解压。此时木马成功被放置到目标中。 还原过程 首先通过上传备份功能上传1.jpg来查找文件路径,时间为:2024-11-06 21:49:36 接下来使用添加备份功能来备份当天系统的所有代码,时间为:2024-11-06 21:58:58 接下来把备份文件下载下来,然后把制作好的木马文件放在admin目录下重新打包好并通过上传备份功能释放修改好的压缩包,时间为:2024-11-06 22:55:44 然后就休息了,到了第二天应该是想要上传fscan工具但是上传一直不成功,所以新建了2.php的文件上传入口后门,时间为:2024-11-07 08:37:29 隔了1分钟后fscan成功被上传到YCHW文件夹中,时间为:2024-11-07 08:38:39 后续的扫描文件的时间全都对上了
-
单兵作战系统的设计与开发 工具总体运行逻辑 整个工具使用ijson库来处理超大文件。经过实测52.7MB的report.json文件,存有21951个漏洞。能在2秒内生成108MB的report.html漏洞报告。 工具集合了ip补全、ip测活、端口测试、协议识别、指纹识别、漏洞扫描、生成报告功能。各功能之间紧密相连可实现梭哈效果。 报告效果展示 点击全部分类效果 漏洞详情效果 目录功能效果 ip补全功能 工具想法 资产表中经常会出现ip和ip段类型的资产。单个ip类型的资产还好说,但是有的ip段的ip数量会非常多。假设是1.1.1.1/24,补全后一共有254个ip。如果是1.1.1.1/16,补全后直接飙升到65534个ip。 最常见的是24,16的情况非常少,但是你不能说他没有。就拿我来说在最近的一次技术支撑中,甲方就扔了一个16的…… 虽然目前很多工具都支持扫描ip段,但是你不得不承认的是它只能扫描小范围的。当目标范围非常大情况下,工具就会出现丢数据或跑着跑着设备卡死的情况。 所以综上所述,我的建议最好是先补全ip,然后再进行测试。 工具主要功能及运作逻辑 假设资产表中存在ip和ip段两种类型。工具首先对资产类型进行识别。如果是ip类型则直接原样写入到ip.txt文件中,如果是ip段类型则进行补全操作,并把结果写入到ip.txt文件中。 从用户角度考虑、提升用户体验、加快工作效率 工具支持单个ip段和从文件中批量获取ip段。 实时显示处理进度。 要支持能够自定义结果保存路径和文件名称。 最终结果文本是实时写入方式。当资产特别多时消耗时间一定会非常长。工具在补全时,工作人员可以实时获取到结果,并优先测试已获得的资产减少时间浪费。 二次保存,结果文本名称相同时则覆盖原有文件,防止新老数据混淆。 ip测活 工具想法 补全ip段后,ip的资产数量一下子就成倍增加。如果直接拿着这些资产去跑全端口,耗时是非常长的。所以为了减少工作量可以先测活,只保留存活的资产,然后再进行接下来步骤。 工具主要功能及运作逻辑 测活的过程中有可能会出现两种情况:第一种对方允许ping、第二种对方禁止ping。在测活时首先通过ping的方式。如果通则判定为活,不通则更换成tcp方式,如果通则判定为活,不通则判定为死。并把结果写入到liveip.txt文件中。 从用户角度考虑、提升用户体验、加快工作效率 工具支持单个ip段和从文件中批量获取ip。 实时显示处理进度。 支持能够自定义线程数、超时时间、端口号、结果保存路径和文件名称。 支持自定义设置输出路径和名称 最终结果文本是实时写入方式。当资产特别多时测试时间一定会非常长。工具在测试时,工作人员可以实时获取到结果,并优先测试活的资产减少时间浪费。 二次保存,结果文本名称相同时则覆盖原有文件,防止新老数据混淆。 端口测试 工具想法 ip的可用端口范围是1-65535。在测试了市面上多款流行工具后,综合考量下决定使用masscan工具来作为本功能的测试工具。这个工具无论测试速度、信息准确度、系统兼容性都完美契合。 本工具分为两个版本:windows和linux。win版本针对的是个人电脑,个人电脑的处理器和内存性能普遍都比较高,所以win版本的工具可以把masscan的扫描速率设置到5000-10000之间(按照实际情况自行设置)。而linux版本是按照2核2G的标准进行设计,经过测试扫描速率设置为1000时可以确保信息的准确性与系统稳定性。 工具主要功能及运作逻辑 在ip测活步骤中,最终保存结果的文本名为liveip.txt。设计脚本使工具读取liveip.txt或自己上传存活的资产。让工具对所有存活的ip进行全端口扫描。 这个工具只能测试完所有ip才会生成结果文档。设计脚本让工具自动保存原始扫描结果,并重命名为port1.txt。由于原始扫描结果不符合实际需求,再设计脚本使原始扫描结果内容格式化后另存为port2.txt。 从用户角度考虑、提升用户体验、加快工作效率 工具支持单个目标和从文件中批量获取目标。 支持自定义扫描端口、扫描速率、结果保存路径和文件名称。 格式化扫描结果并另存为port2.txt,提高可读性。 协议识别 工具想法 端口协议识别使用的工具是nmap。不得不承认nmap的识别结果是非常准确的,唯一的的缺点就是速度太慢。目前还没有发现能够平替的它的工具。 工具主要功能及运作逻辑 在端口测活的步骤中,保存原始扫描结果的port1.txt在这里派上用场。设计脚本使nmap读取port1.txt文件获取存活的ip及它开放的端口,让nmap识别端口使用的协议。原始扫描结果另存为protocol1.txt,再设计脚本使原始扫描结果内容格式化后另存为protocol2.txt。 从用户角度考虑、提升用户体验、加快工作效率 工具支持单个目标和从文件中批量获取目标。 支持自定义扫描端口、扫描速率、结果保存路径和文件名称。 格式化扫描结果并另存为protocol2.txt,提高可读性。 指纹识别 工具想法 指纹识别使用的工具是httpx。同样在测试了市面上多款流行工具后,综合考量下决定使用httpx工具来作为本功能的测试工具。 工具主要功能及运作逻辑 在协议识别步骤中,内容格式化后的protocol2.txt派上用场。设计脚本使httpx读取protocol2.txt中使用http和https的目标,访问目标并进行指纹识别。原始扫描结果另存为fingerprint.txt。 从用户角度考虑、提升用户体验、加快工作效率 工具支持单个目标和从文件中批量获取目标。 漏洞扫描 工具想法 市面上公开的漏洞脚本最多非nuclei莫属。无论是工具本身还是资源都是无法撼动的,毫无疑问nuclei作为本功能的测试工具。 其实在端口识别结束后就可以直接使用本功能进行漏洞扫描,之所以中间加了两个步骤主要是为了目标精准化。测试出来的端口不单单只有http和https协议类型,还有其他类型的例如ssh、mysql等。 通过nmap协议识别后单独挑出使用http和https的服务进行漏洞扫描,可以大大减少服务器压力。 工具主要功能及运作逻辑 该功能分别可以在端口测试、协议识别、指纹识别功能运行结束后运行本功能。读取各功能处理过的文件获取到目标,然后进行漏洞扫描。扫描完成后保存原始扫描结果为result.json。 从用户角度考虑、提升用户体验、加快工作效率 工具支持单个目标和从文件中批量获取目标。 实时显示处理进度。 支持自定义并发数、超时时间、重试次数。 漏扫报告输出为json格式。 使用ijson库来大批量处理。 生成报告 工具想法 针对nuclei的漏洞扫描结果形成高可读性的漏洞报告。 工具主要功能及运作逻辑 设计脚本首先对result.json文件进行内容提取,结果另存为report.json,再设计脚本让脚本读取report.json中的关键字内容最终形成report.html漏洞报告。 从用户角度考虑、提升用户体验、加快工作效率 最终报告输出为html格式(html基于json形成)。 使用ijson库来大批量处理(实测52.7MB大小的report.json文件,存有21951个漏洞。能在2秒内生成108MB的report.html漏洞报告) 实时显示处理进度。 漏洞报告板块包含报告摘要、漏洞详情。 漏洞等级分为严重、高危、中危、低危且不同威胁等级对应不同颜色。 漏洞相同时多个漏洞内容合并到同一漏洞详情中,减少重复内容。 漏洞详情包含:漏洞名、脚本名、目标地址、漏洞地址、请求包、响应包。 所有内容支持快速复制。 点击不同分类显示相对应的漏洞内容。 目录放在左下角,有效防止内容遮挡。
-
大批量ip资产简化工作流程 事件缘由 每场护网行动公布的攻击目标一般都不会低于2k个,如果纯人工分拣,工作量和浪费的时间可想而知。就算挖到了漏洞提交上去大几率也会是重复的结果。所以为了减少工作量,把效率提上去就有了本想法。 ip段补全 护网行动公布的资产中,ipv4的资产数量占据绝大多数。分拣完资产后ip资产扔到工具里,脚本首先自动识别,正常的ip直接输出,格式符合的ip自动补全后输出结果。 支持以下格式: 1.1.1.1/24 1.1.1.1-254 1.1.1.1-1.1.1.254脚本命令: 选项 -f, --file 从文件读取IP范围(每行一个) -o, --output 指定输出文件(默认为ip.txt) -h, --help 显示帮助信息 示例 python ipcompletion.py 1.1.1.1/24 python ipcompletion.py 1.1.1.1-254 python ipcompletion.py 1.1.1.1-1.1.1.254 python ipcompletion.py -f ip.txt -o ip.txt 支持单个或读取文件 支持自定义输出路径和名称 文件中正常的ip则不作处理,原样输出到结果中。 最终结果文本是实时写入 二次保存,结果文本名字相同时则覆盖原有文件 脚本文末获取 ip测活 补全ip段后,你就会发现ip的资产数量一下子就上去了。如果你直接拿着这些资产去跑全端口,那么耗时是非常长的。所以为了减少工作量可以先测活,只保留存活的资产,然后再进行接下来步骤。 测活的过程中有可能会出现两种情况:第一种对方允许ping、第二种对方禁止ping。在测活时首先通过ping的方式,如果通则判定为活。如果不通则更换成tcp的方式测活如果通则判定为活,不通则判定为死,这是脚本的主体功能。 脚本命令: 选项 -f, --file 指定IP列表文件路径(可选) -i, --ip 指定单个IP地址(可选) -o, --output 指定输出文件 (默认为liveip.txt) -t, --timeout 超时时间(秒) (默认3.0) -p, --ports TCP端口列表 (默认80 443) -c, --threads 并发线程数 (默认200) -h, --help 显示帮助信息 示例 python ipscan.py -i 1.1.1.1 python ipscan.py -f 1.txt python ipscan.py -f 1.txt -p 80 443 22 -c 200 -t 3.0 -o liveip.txt 支持单个或读取文件 支持自定义设置线程数、超时时间、指定端口、输出路径和名称 最终结果文本是实时写入 二次保存,结果文本名字相同时则覆盖原有文件 脚本文末获取 资源获取 {card-default label="资源获取:ip脚本工具" width="100%"} 若链接错误或失效,请在下方留言告知! 隐藏内容,请前往内页查看详情 {/card-default}
-
2025盐城护网行动记录 提笔 行动告一段落,终于迎来了短暂的休憩时刻。飞驰的高铁车厢里,我望着窗外化不开的浓黑夜色。既然旅途漫长,不如提笔记录下这段不寻常日子里的所见所闻。 行动记录 这次行动中一共提交了102份报告。其中信息泄露漏洞和逻辑漏洞数量最多,分别37份和21份。报告库库写,没停下来过,键盘都要敲废了。 说点好玩的,遇到两个商城,一个是0元购,商家反向向我转账 一个是弱口令进入商城后台后,都拿到了管理员权限了不得搞一搞?撑死胆大的,饿死胆小的,一个字莽! 果断把我的账号余额和积分全都调整到99万,搞得太猛被管理员发现后账号被删除了。 这个系统还意外搞到了一个0day,运气爆棚哈哈哈哈哈。 后续我会整理一下报告,有看头的会写成文章发布到博客上,希望师傅们到时候支持一下。 所见记录 2024年是我第一次参加盐城护网行动。当时到盐城只是参加了线下的启动仪式,后续待了2天就返回公司转为线上比赛。今年的行动无论是启动仪式还是护网行动,全程都是在线下。具体时间安排是6月17日到24日。 提一嘴,截至目前在我参加的所有比赛中,我认为安排最好的就属盐城了。无论是住宿、伙食还是比赛场地全都没得说。尤其是住宿,其他地方线下行动安排的都是双人标间,只有盐城安排的是单人大床房,真的太爽了。 参赛的选手都太拼了。每天当脚刚踏入比赛场地,战斗就已经开始了。整个比赛现场没有一点交谈声,只有连续不断的鼠标点击声、键盘敲击声。只有到了饭点的时间,而且是在裁判长的再三催促下,这些声音才慢慢停歇下来。 提供的伙食那也没的说。一周共计14餐,可以说顿顿没有重样的菜。完全没有重的那倒也不是,只能说非常少。 随便吃两口吃,立马回到比赛场地继续挖洞。由于没有午休下午是真的非常困,我音乐的声音都开到最大了,当然好牛马都会主动买咖啡。 有时会下楼逛一圈醒醒盹,我边看手机边走路,没注意脚下。然后就听到有猫的叫声,低头一看差点就要踩到小猫了。为了表示歉意在旁边的便利店买了一根火腿肠投喂它。 到了晚上当然还是要继续加班的。不过刚好有江苏的足球城市联赛,就用手机外放赛事,听比赛,不至于那么无聊。常州对战南京多么希望常州能进一球。 行动过程中有周六周日,我原本计划利用这两天的时间去好好逛一下盐城。在周五深夜加完班后做了游玩攻略,第二天被通知行动继续没有休息,游玩计划只能作罢。这个游玩攻略只能等2025年了。 最后再来一张雨后天晴的照片
