找到
34
篇与
学习笔记
相关的结果
-
密码甩到我脸上奇葩案例再现 信息泄露 目标首页 开局一个登录框,随便输入一个平台不存在的用户名响应包是这样 平台存在的用户名响应包是这样 密码都甩脸上了,没啥好说的了解密后得到明文,成功登录到后台 文件上传1 在更改用户头像的地方存在文件上传,对上传的文件没有任何限制 成功上传木马并连接 文件上传2 在系统的另一个功能中又找到一个上传入口,同样可以getshell 正常上传是这个样子 木马链接地址:地址/static_testwebsite/wwwroot/Images/heads/z8.png 目录穿越 注意到响应包中返回的文件地址是相对路径,猜测可能存在目录穿越漏洞,把文件的路径修改一下 通过多个../../成功把文件上传到目标的根目录下 逻辑缺陷1 登录用户名填平台中存在的用户名,这里以admin用户为示例。密码随便填然后拦截请求包,修改响应包中的code值改为1,放包后可以登陆到后台 逻辑缺陷2 后续又发现这个系统是通过userid参数来识别账户的。重新填写一个错误的账号和密码拦截数据包修改响应包内容为以下内容 放包登陆后是管理员账户 退出系统,重新登录。把响应包中的userid参数改成2 放包登陆后是管理员账户
-
我有9个aksk你信吗 弱口令 目标首页 搜索所有前端文件看看有没有敏感内容啥的。搜索后没有找到任何能利用的信息,那就测试一下看看有没有弱口令吧。随便输入一个测试账户点击登录后会跳出图形验证码。 原本看到这个图形验证码心想完了,没法爆破账号了。但是查看数据包时舒服了,请求包中没有验证码校验的参数,且响应包中回显用户不存在。 拿着这个数据包直接爆破,成功找到两个用户名 爆破获得密码 运气超好还是个高权限账号,所有功能都能使用。在账号管理板块中获取所有账号。 提取所有账号爆破一遍后共有15个账号使用默认密码 存储型XSS 这个系统很多地方都能上传文件,这里拿报告管理功能来演示。上传入口只是在前端对文件的后缀进行了校验。 我这边为了方便就直接上传pdf文件,访问后成功跳出弹窗。 平台是使用存储桶存储文件的,只能弄一个存储型XSS。后续又测试了文件覆盖和目录遍历,最终结果是对方非常安全。 信息泄露 后台的功能逛了一遍能玩的就这些,刚想清空bp的历史数据包看到一条高亮,来活了。 登录后发现有两个存储桶,共计存储64123个文件,总共534.73G 这个账号上还有7台机器 7台机器全部成功上线 在其中一台机器的进程中发现有nacos 直接cd到/usr/nacos,一般nacos的树结构是这样的 nacos/ ├── bin/ # 启动脚本 │ ├── startup.sh │ └── shutdown.sh ├── conf/ # 配置文件目录 │ ├── application.properties # 主配置文件 │ ├── cluster.conf # 集群配置 │ ├── nacos-mysql.sql # 数据库脚本 │ └── nacos-logback.xml # 日志配置 ├── data/ # 数据文件 │ ├── derby-data/ # 嵌入式数据库 │ └── config-data/ # 配置数据 └── logs/ # 日志文件重要的东西都在conf文件夹里,在配置文件中找到了一个数据库 连接数据库后又找到了xxl-job的账号和密码 解密并成功登录系统 在配置文件中还找到了华为的aksk 数据量达到23T 撑死胆大的,饿死胆小的。直接接管212个服务。 在通知消息里面发现服务地址 扫描目标后发现存在权限绕过漏洞,没啥好说的直接利用这个漏洞新建用户。 登录后通过配置文件找到许多敏感信息,通过这个nacos获取到6个数据库、2个阿里aksk、1个华为aksk、2个华为ocr的aksk、2个华为tts的aksk
-
从渗透到逆向还原攻击过程 任意文件读取 目标首页 系统没有弱口令但是有sql注入漏洞 爆破目录试试,还真有东西。 这是user路径的界面 这是admin路径的界面 分别递归再次爆破目录后只有admin的路径有东西,爆破出了config路径 访问后是这个样子 挨个点击功能后发现好玩的了,点击Edit_Conf功能,再点击左侧的文件即可看到文件中的内容,并修改。 正当我挨个点击查看文件内容时发现url发生了变化,这是原本正常的链接:地址//admin/config/file_edit.php?file=extensions_hud.conf&act=edt。 注意到他是通过file参数来请求文件的,那我来尝试请求一下passwd文件吧。您猜怎么着,还真就读到了,任意文件读取漏洞到手。 信息泄露 接着查找能用的信息,通过一通翻找找到了servers.conf文件,里面写了数据库的账号和密码。账号visitor密码visitorPass@1234 我反手就是一个连接,成功拿下数据库。又在数据库的maintuser表中找到了平台的管理员账户和密码。账号maint密码dscomsystem 我拿着账号和密码就是一个登录,crazy。 尝试上传 系统功能逐个点击后发现能利用的只有备份与恢复功能,其中的上传备份功能首先引起了我的注意。这个系统是php语言写的,制作好木马后尝试通过这个入口把码传到目标中。 但是把木马上传上去后没有返回文件地址,这条线玩完了。 备份文件下载 回头再看添加备份功能。转念一想既然能够打包所有代码,那我就可以把压缩包下载下来代码审计了啊。立马操作。 备份完成后点击恢复备份按钮即可查看到压缩包,立马下载名为webapp完整代码的压缩包。 解压打开后天塌了,所有的代码都被加密了!结束结束结束。 任意文件读取 回到刚刚下载压缩包的步骤我又发现了好玩的东西。这是原本正常的链接:地址/admin/backupdownload.php?filename=2025-09-24_2330_full_backup_webapps.tar.gz 注意到他是通过filename参数来请求文件的,那我来尝试请求一下passwd文件吧。您猜怎么着,还真就读到了,第二个任意文件读取漏洞到手。 历史入侵记录 备份文件都下载下来了不能浪费啊,再瞅瞅吧。这一瞅还真瞅出东西来了。在admin文件夹下有师傅在2024年上传的后门。 1.php是一句话木马,2.php是文件上传入口 另外在YCHW文件夹中有师傅留下的隧道和扫描结果 这都送分送到家门口了,没啥好说的了,直接连接隧道上线打内网啊。 分析 打目标时候为了节约时间,就没有怎么细想系统的文件上传入口,文件最终被上传在了什么位置。 等结束后我仔细翻找了一下在/var/backup/路径中找到了我上传的木马文件。 同时也发现师傅和我一样在这个入口周旋过。 那么师傅是怎么把木马上传上去的呢?现在揭晓答案:是通过备份与恢复的功能上传上去的。这里就有师傅疑问了,前面不是说上传备份的功能找不到文件路径吗,怎么现在又说是通过这个功能上传木马的。 备份与恢复有:添加备份、恢复备份、上传备份三个功能。 首先把当天的代码全部备份,再通过恢复备份的功能把完整代码的压缩包下载下来。然后把制作好的木马放到想要的文件路径中,重新把所有文件压缩成压缩包,通过上传备份功能把压缩包上传上去,并解压。此时木马成功被放置到目标中。 还原过程 首先通过上传备份功能上传1.jpg来查找文件路径,时间为:2024-11-06 21:49:36 接下来使用添加备份功能来备份当天系统的所有代码,时间为:2024-11-06 21:58:58 接下来把备份文件下载下来,然后把制作好的木马文件放在admin目录下重新打包好并通过上传备份功能释放修改好的压缩包,时间为:2024-11-06 22:55:44 然后就休息了,到了第二天应该是想要上传fscan工具但是上传一直不成功,所以新建了2.php的文件上传入口后门,时间为:2024-11-07 08:37:29 隔了1分钟后fscan成功被上传到YCHW文件夹中,时间为:2024-11-07 08:38:39 后续的扫描文件的时间全都对上了
-
逻辑漏洞逻辑漏洞还是逻辑漏洞 第一个逻辑漏洞 目标菜单栏中只有这个一可以打,其他的都是文章链接 进入小程序第一步注册账号,头像处可以测试上传。 通过测试只能上传图片类型的后缀,其他的全都不行,下一个 修改个人信息的数据包引起了我的注意,它不是通过cookie来判断用户,而是openid,明摆着的越权漏洞 ok知道了逻辑,重新注册一个账号。把新账号的openid填进去然后发包 刷新账号的个人信息,信息被篡改了,第一个逻辑漏洞到手 第二个逻辑漏洞 返回到我的界面,然后重新进入个人信息界面时查询用户信息的数据包再次引起了我的注意。它也是通过openid来查询用户数据的,返回的数据包含姓名、手机号、身份证号、邮箱、账号、密码、openid。 直接填入新账号的openid,成功返回刚刚修改的信息。第二个逻辑漏洞到手 第三、四个逻辑漏洞 来到首页,测试志愿者注册功能点 有验证码功能,那测试一下有没有短信轰炸啥的。 通过测试只有短信转发漏洞,卡1卡2接收到的验证码都一样。第三个逻辑漏洞到手 另外提一嘴,注册志愿者也是通过openid来辨别身份的,我可以让任意一个人成为志愿者,算是第四个逻辑漏洞 信息泄露 接下来测试自主查询功能点,志愿者查询功能没啥可测的,重点在于志愿队伍查询 问题来了,怎么获取队伍名呢?这个可以在志愿队伍功能中查看到 输入获取到的队伍名,成功查询到队伍信息,同时还查询到队长姓名、手机号、身份证号、邮箱、账号、密码、openid 弱口令 小程序测试完成,开始测试web端 登录框没啥好说的,逐一尝试sql、接口、弱口令,最后弱口令成功进入后台 在用户管理功能中共计2513条个人信息,内容包含姓名、手机号、身份证号、邮箱、openid 泄露的openid结合上面的漏洞进行操作妥妥的乱杀 存储型XSS 在后台的的活动管理功能处,发现站点使用的是UEditor编辑器。这个网站是php的所以没办法通过编辑器getshell,只能造成一个存储型XSS 众所周知需要鉴权的漏洞分数都不会太高,所以现在要找到这个编辑的demo。demo不需要鉴权就能使用,造成的存储型XSS分值就会高。怎么找呢?非常简单用编辑器随便上传一张图片,在请求包中就可以看到路径 拼接一下地址就可以访问到编辑器的demo了 存储型XSS漏洞过程就不演示了,自行百度复现
-
发掘泄露的地图key与利用 地图key介绍 以高德地图为例。高德地图提供的API Key是开发者调用高德地图各项服务时必须使用的身份验证凭证。功能非常多,这里介绍几个核心功能: 地图展示:通过Key加载高德地图的矢量/卫星地图 地理编码:将地址转换为经纬度 路径规划:提供驾车、步行、骑行等导航路线。 地点搜索:POI检索,如搜索“附近的加油站”。 逆地理编码:将经纬度转换为具体地址 泄露Key引发的问题 费用增加:高德地图API通常有免费配额,但一旦超出免费额度,额外的请求会产生费用。 服务中断:如果发现API Key被泄露并被滥用,服务提供商可能会对相关密钥进行封禁或其他措施,可能导致你的应用服务中断。 滥用和超额使用:如果API Key泄露,其他人可能会滥用你的API Key,导致你的账户超额使用配额。 申请key 两种方式获取key: 网络测绘 (body="webapi.amap.com" || body="api.map.baidu.com" || body="apis.map.qq.com" || body="map.qq.com/api/js?v=") && is_domain=true 手动申请 https://lbs.amap.com/api/webservice/create-project-and-key 创建好账号后,在控制台点击应用管理-创建新应用,来获取key 有免费使用的次数限制 如果超出了次数限制可以进行充值 漏洞发掘 此类漏洞经常出现在公司官网关于公司或者联系我们板块中的地图功能 key主要在前端、请求包体中泄露,响应包泄露非常少见。 漏洞利用 国内主流的地图厂商分别有:高德、百度、腾讯,这里给出对应的请求示例: 高德webapi https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key 高德jsapi https://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS 高德小程序定位 https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0 百度webapi https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key 百度webapiIOS版 https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行®ion=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6 腾讯webapi https://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key 拿我的key做示例:28aebc9c35a582467c153e012b0bb244,已知是高德的所以直接使用高德的接口来调用一下是否能返回数据 https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=28aebc9c35a582467c153e012b0bb244访问后成功返回数据 获取到的key不知道是哪个平台的就只能每个接口尝试一下了,如果是对应平台的key就可正常返回数据。也有特别的情况:对方做了防御,这个key只能由指定ip使用该服务 如果设置指定ip,获取到key后通过接口请求则会返回错误码 对应的错误码 这是高德的错误码对照表 https://lbs.amap.com/api/webservice/guide/tools/info
