分类学习笔记下的文章 - 第 2 页 - xioy's Blog

登录

找到 29 篇与学习笔记相关的结果 - 第 2 页

2025-03-01
磐云被黑最惨的一次好玩进入目标后看到数据包中的域名，复制到浏览器里可以正常使用。一通瞎点看到返回的数据包内容全都被加密了。加密就没办法了，那就找找接口吧。在找接口的过程中找到了一段神秘密文：wsafkb@q124129&，并且这段代码十分的不简单。看样子是把请求的数据解密后再把数据发送到服务端的过程。知道了密钥那就解密一下数据看看效果。随机选择了一个响应数据，把密钥填进去解密后果然获得了明文数据。点击报告查询功能，看到请求包末尾是加密后的状态解密看看。其中mrn对应的参数中文释义是病历号，再细看他的序号是有规律的，截至目前到我这是：25年第005416份报告。知道了病历号的规律那查看一下其他人的报告试试。bp开启拦截功能，然后修改请求包后面的加密内容，直接可以越权查看到别人的体检报告。后续尝试了一下，这个小程序所有功能点都是同样这种加解密的方式来获取数据的，这边就不一一演示了。磐云：玩呢！你以为到这里就结束了吗，不可能，根本停不下来。注意到响应包的头是360的磐云。众所周知防火墙都是要靠数据包内容来判断是否有威胁的，但是这个小程序的数据包内容都被加密了磐云肯定检测不出来请求是否有威胁性，但也不能排除磐云有没有单独的为这个单位经行定制适配，如果适配了那么我们在请求包中带有威胁函数的请求就会被识别并拉黑。随机选个一功能点，bp拦截请求包，在请求里面添加一个'看看有没有sql注入漏洞解密响应包的内容，果然有sql注入这不就来了吗。并且能够getshell。代码分析以下是完整的代码 "6f54": function(e, t, n) { "use strict"; n("7a82"), Object.defineProperty(t, "__esModule", { value: !0 }), t.Decrypt = r, t.Encrypt = function(e) { var t = a.enc.Utf8.parse(e) , n = a.RC4.encrypt(t, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }); return n.ciphertext.toString().toUpperCase() } , t.isDecrypt = function(e) { try { r(e) } catch (t) { return !1 } return !0 } , n("d401"), n("d3b7"), n("25f0"); n("786d"); var a = n("d785") , o = a.enc.Utf8.parse("wsafkb@q124129&") , i = a.enc.Utf8.parse("wsafkb@q124129&"); function r(e) { var t = a.enc.Hex.parse(e) , n = a.enc.Base64.stringify(t) , r = a.RC4.decrypt(n, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }) , s = r.toString(a.enc.Utf8); return s.toString() } },其中最主要的代码是这段： var a = n("d785") , o = a.enc.Utf8.parse("wsafkb@q124129&") , i = a.enc.Utf8.parse("wsafkb@q124129&"); function r(e) { var t = a.enc.Hex.parse(e) , n = a.enc.Base64.stringify(t) , r = a.RC4.decrypt(n, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }) , s = r.toString(a.enc.Utf8); return s.toString() }这段代码首先定义加密库和密钥。a是加密库，o和i是密钥和初始化向量，字符串为：wsafkb@q124129&的UTF-8格式。 var a = n("d785") , o = a.enc.Utf8.parse("wsafkb@q124129&") , i = a.enc.Utf8.parse("wsafkb@q124129&");这段是定义解密函数，主要是对输入的字符串e进行解密。解密步骤：先把输入的字符串e解析为十六进制格式，再把十六进制数据转换为Base64格式。然后使用RC4算法解密，密钥为o（就是上面o定义的值），初始化向量为i，模式为CBC，填充方式为PKCS7。最后把解密结果转换为UTF-8字符串并返回。 function r(e) { var t = a.enc.Hex.parse(e) , n = a.enc.Base64.stringify(t) , r = a.RC4.decrypt(n, o, { RC4_IV: i, mode: a.mode.CBC, padding: a.pad.Pkcs7 }) , s = r.toString(a.enc.Utf8); return s.toString() }磐云你加密数据包干什么呀？啊！你这种操作会把我的作用给异化掉的懂吗？知不知道什么叫防火墙？啊！你能说我没有起到作用吗？我跟你打个比方啊，比如说你倒车入库。你用自动泊车功能，成功入库后，哎呀！自动泊车得了MVP！一看激光雷达天天在那，就是测距、识物。躺赢狗！激光雷达就是躺赢狗！激光雷达的评分是3.0。自动泊车一键入库省时省力对吧，13.0carry局能这样算吗？啊！你告诉我激光雷达是不是躺赢狗啊！马勒戈壁的，真是神经病！你加密数据包干嘛呢？那不是要具体看数据包内容，看它有什么行为吗？啊！我每天检查这些加密后的数据包我都不知道里面是啥，你还说我没起到作用！傻逼啊！要不让你们开发自己开发一个防火墙来检测数据，他们又不愿意。你说我怎么保护你啊。

渗透实纪

xioy 3月1日
0 27 1
2024-10-04
小程序Appid、AppSecret泄露漏洞总结漏洞描述 AppSecret是小程序的唯一凭证密钥，也是获取小程序全局唯一后台接口调用凭证的重要参数，需要开发者妥善保管至后台服务器中，并严格保密，不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况，会造成身份信息仿冒、敏感数据外泄等严重后果，开发者应及时发现该漏洞并快速修复相应问题。漏洞环境搭建如果没有可用的Appid、AppSecret来复现漏洞环境，可以自己注册一个公众号或微信小程序。我有公众号，那么接下来我会用公众号来演示操作。首先登录公众号，然后依次点击：设置与开发-基本配置-开启、重置（第一次显示的都是开启，我这个是已经开启后效果，如果忘记AppSecret可以重置）获取到Appid、AppSecret后还需要设置IP白名单。由于是通过开发者ID及密码调用获取access_token接口的，所以需要把访问来源IP添加到白名单，这样才可以正常使用功能（图片中的ip请替换成你的公网ip）。相关文档手册微信官方手册公众号 https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html公共错误码 https://developers.weixin.qq.com/doc/oplatform/Return_codes/Return_code_descriptions_new.html网页调试工具 https://mp.weixin.qq.com/debug/cgi-bin/apiinfo?t=index&type=%E5%9F%BA%E7%A1%80%E6%94%AF%E6%8C%81&form=%E8%8E%B7%E5%8F%96access_token%E6%8E%A5%E5%8F%A3%20/token漏洞复现获取Access token 手册说明 https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.html获取方式 https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET举例子，假如你的Appid是123，AppSecret是456那么获取Access token的链接就为： https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=123&secret=456 调用功能通过查看微信官方手册公众号就可以知道可以通过接口使用哪些功能我们用获取用户列表接口举列子可以直接使用手册中的地址补充获取到的Access token请求即可，我这里使用网页调试工具来测试由于我的公众号没有认证所以没有获得相关的权限无法通过接口调用功能。从网上找了成功的案例图片获取小程序用户评论获取小程序用户访问数据冒用小程序身份给用户发送消息

经验总结

xioy 1年前
0 128 0
2024-09-21
从未授权访问到随意进出后台常规测试站点首页爆破目录先让他在后面跑着登录框尝试SQL注入、在找前端的接口，最后结果然并卵。杀进后台这时候目录也跑完了看看结果，还真爆装备了。访问目标地址，该页面列举了站内所有的用户。界面上的所有按钮都按了一遍，全都能用。直接新增用户，并设置为管理员组。登陆到后台

渗透实纪

xioy 1年前
0 89 25
2024-08-30
我与爬虫的对抗丸辣完犊子了快到月底了，是时候查看一下各项服务，看看有没有什么需要续费啥的。查看到我的存储桶时候，兴奋了。这个月产生的流量是上个月的三倍，这说明使用网站的人变多了，能不高兴吗。但是查看完日志后我就没心情了。查看存储桶这一个月的总流量为：1G，约上月流量的3倍。查日志翻看日志，分别在8月的6、13、14、16日，流量全都异常。在这几天公众号没有发文，发文的资源都可以在后台获取到，平台在这几天陡然产生大流量肯定不正常。继续看日志，在8月6日当天产生了1千多次get的请求，这种流量应该是在爬站。还有PUT的请求方式。这一看就是冲着攻击来的，目的是想上传文件。在8月的2、24号请求最多。8月一共产生PUT请求方式370次。流量主要流向江西省为了后续减少损失抓紧做对应防御吧。加固存储桶首先在创建存储桶时设置的权限就是只允许公共读，不能写。所以那些PUT请求没能成功把文件上传到存储桶中。爬站流量变大还存在另一种情况。有的在爬站时不但直接爬取内容，而且为了减少运营成本还会直接使用原作者提供的资源地址。文库中的图片我全都放在存储桶中，对方为了减少运营成本直接复制图片链接粘贴到他的项目中同样可以达到展示的效果。就这样别人吃着火锅还唱着歌，躺着就赢了。我这边赔了夫人又折兵。不但被抄家，而且双方在使用资源时存储桶产生的流量费用还要我一个人掏钱。应对这样的情况存储桶可以开启防盗链功能，只允许我自己的域名才能使用资源。高防另外还可以开通OSS高防服务，不过费用非常高，我承受不起。上科技雷池爬站过程中肯定会产生较多的流量和访问速度，这时候就可以在服务器上安装一个waf来检测和限制访问。不但能防护恶意攻击，还能减少资源的浪费，美哉。做安全的长亭无人不知，他的雷池在业界有着很高的地位。不太了解的请自行百度。所以我选择雷池帮我守护。准备我使用了两台服务器分别运行waf和业务，如果把waf和业务都放在同一台服务器上运行那么服务器的负载会很大。下面是waf的工作原理图部署雷池是采用容器化部署、运行的，如果服务器没有安装docker也没事，官方提供的一键部署命令可以自动安装docker。这是没有安装docker运行一键部署的效果，按照指引就可以安装所需环境。这是已经安装docker运行一键部署的效果，自定义安装目录即可安装。安装完成后会给出管理地址和管理员的账号密码。配置通过ip:9443即可访问到服务，输入刚刚的账号和密码即可登录首先建议把域名的解析地址解析到cdn或者waf的ip，这样的好处就是有效的避免业务服务器的ip泄露先看一下业务服务器上的配置，开了81、82、83、84端口分别对应不同的业务。建议同时开启限制访问业务的ip，下图中我设置允许访问业务的ip是waf服务器的ip，也就是说只有经过waf的ip才可以访问和使用业务。假如攻击者知道了业务服务器的真实ip，直接跳过waf通过业务服务器ip来访问业务，他照样无法访问服务，因为我限制了使用服务的ip地址。配置防御在防护站点-站点管理功能中，填写需要防护的业务域名、waf的监听端口和业务服务器地址即可完成。防护按需配置最后就可以开心的玩耍啦。

经验总结

xioy 1年前
0 8 0
2024-08-17
对目标企业一个全面的渗透过程常规测试站点首页企业官网，没啥可打的。Ping域名得到ip，扫描端口只开了80和443。那就打子域名吧。存储桶目录遍历通过信息收集，找到了两个存储桶，都可以目录遍历，其中crms泄露了39份文件，huyonguangfu泄露了44万份。存储桶文件上传通过尝试名为crms的存储桶可以上传文件。 Nacos弱口令在无意之间遇到3个站，首页是这样。原本想试着放bp里爆破账号密码的，出于习惯顺手查看一下插件有没有出货啥的。这一看果然还真爆装备了。看到nacos的密码就知道是默认的，直接反手登录到nacos 翻了一下还存在其他账户，不过已经有一个账户了其他的都无所谓了。多个漏洞通过检测还存在其他类型漏洞存储桶接管查看了一下dassolarprod继续爆装备，配置中写了华为的ak、sk。我直接接管好吧。查看了一下内容，接管到就是文章一开始提到的存储桶。 jboss多个漏洞这个站，存在jboss的反序列化、代码执行、未授权访问漏洞最后一个弱口令最后还有一个弱口令

渗透实纪

xioy 1年前
0 14 0