红日代审-Day1-in_array弱比较问题
红日代审-Day1-in_array弱比较问题 来源:https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day1/files/README.md 很多话我不想再重复了,就直接照搬的原话,能看就行 in_array函数1in_array(mixed $needle, array $haystack, bool $strict = false): bool 大海捞针,在大海(haystack)中搜索针( needle),如果没有设置 strict 则使用宽松的比较。 needle 待搜索的值。如果 needle 是字符串,则比较是区分大小写的 haystack 待搜索的数组 strict 如果第三个参数 strict 的值为 true 则 in_array() 函数还会检查 needle 的类型是否和 haystack 中的相同,如果没有开启严格模式,则比较时就存在一个弱比较、强制类型转换的问题 示例 123456789<?php$os = array("Mac",...
信呼OA办公系统SQL注入
环境搭建 信呼OA V2.6.5:http://www.rockoa.com/index.php?a=down&id=285 phpstudy2018 Apache 2.4.23 php 5.5.38 mysql 5.5.53 信呼OA...
记一次某红蓝演练经历
fastadmin切入 fastadmin-任意文件读取-读数据库配置得到数据库连接信息 国外ping寻找外网开放数据库端口的真实ip 连接数据库 寻找管理员密码 无法解密,直接修改管理员密码为官方默认的123456加密后的值 进入后台 后台getshell 云上主机,遂就此作罢 切入jeecg-boot未授权 jeecg-boot-rce 翻找js得到ak/sk 接管阿里云 搭建隧道进入内网 发现nacos未授权泄露,泛微E-mobile的弱口令 泛微E-mobile任意文件读取 读取Gitlab配置文件,apixis配置信息泄露
一次2000美刀的帐户接管
一次2000美刀的帐户接管 来源:https://mp.weixin.qq.com/s/hbuvX13sp2n7ghORes8bEQ 漏洞发现首先点击“忘记密码”,然后拦截该请求包,请求包内容如下: 12345678910111213141516171819POST /auth/realms/Redacted/login-actions/reset-credentials?session_code=AbcdiQqKwDBsJcdIjZpAFW3&client_id=account&tab_id=Abcdii7y9i3qwXs HTTP/1.1Host: login.redacted.comCookie: AUTH_SESSION_ID=fc59cdd34026abcd; KC_RESTART=AbcdiSldUIiiaXNFsAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language:...
Tpshop后台配置文件getshell
Tpshop后台配置文件getshell审计过程跟进/application/admin/controller/Template.php中的changeTemplate方法: 123456789101112131415161718192021222324252627282930313233343536373839404142434445 public function changeTemplate(){ $t = I('t','pc'); // pc or mobile $m = ($t == 'pc') ? 'home' : 'mobile'; $key = $this->request->param('key'); //$default_theme =...
从任意文件读取到上线CS
前言记录一次稍微有点崎岖的渗透实战,看我如果从任意文件读取到上线CS 渗透过程信息收集一顿信息收集后,终于找到了这样一个资产,熟悉的师傅可能一眼就看出来了,这是fastadmin,对!没错,当我看到这个fastadmin的时候,就有预感要出货了…… 先是试了一下弱口令,因为fastadmin中管理员忘记密码时,会去数据库中手动重置密码,默认重置的密码一般都是123456 尝试了admin 123456不行,接下来干嘛呢? 肯定不是按照常规的思路去测什么登录框SQL注入,js里的未授权接口等等,因为这个是一个fastadmin框架啊,这种肯定是直接打Nday最有效撒,于是我们去收集一下fastadmin都有哪些Nday? fastadmin Nday列举 下面简单列举一下几个Nday,不作详细解释,附上文章链接 任意文件读取 https://cloud.tencent.com/developer/article/2432376 可以读取数据库配置信息,可用来连接数据库 1GET...
DSMALL远程文件包含审计
审计首先定位到 /application/home/controller/Connectwx.php的get_url_contents()方法 123456789101112public function get_url_contents($url){ if (ini_get("allow_url_fopen") == "1") { return file_get_contents($url); } else { $ch = curl_init(); curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE); curl_setopt($ch, CURLOPT_URL, $url); $result = curl_exec($ch); curl_close($ch); ...
x5music3.0后台权限绕过审计
x5music3.0后台权限绕过审计环境搭建 https://pan.baidu.com/s/1lDhkA_59Vcc3MnM2lsmlxg?pwd=e9jc x5music v3.0 Apache php 5.5.38 mysql 5.5.53 审计分析 首先登录看看管理员页面,后台地址是 http://127.0.0.1/cms/x5music3.0/x5admin/admin_index.php 接着我们注销管理员账号,再次访问 http://127.0.0.1/cms/x5music3.0/x5admin/admin_index.php,提示我们重新登录,说明这些管理员的页面肯定是有一些鉴权的函数的(废话肯定有啊),接着我们跟进到代码层去找到那个鉴权函数,看看是否能绕过,使得我们不知道管理员密码也能登录管理员账号 既然后台是/x5admin/admin_index.php...
XYHCMS审计任意文件删除导致重装漏洞
环境搭建 https://github.com/gosea/xyhcms3/releases/tag/3.5 xyhCMS3.5 20180508 php 7.0.12 Apache mysql 5.5.53 审计分析 全局搜索unlink定位到一处sql文件删除代码段 123456789101112131415161718192021public function delSqlFiles() { $id = I('id', 0, 'intval'); $batchFlag = I('get.batchFlag', 0, 'intval'); //批量删除 if ($batchFlag) { $files = I('key', array()); } else { $files[] = I('sqlfilename', ''); } if...
新起点网校审计getshell
环境部署 宝塔一键部署 新起点网校3.0.5以下版本 审计分析全局搜索upload关键字,最终在api模块的uploader控制器的uploadfile方法里发现端倪 定义了上传成功的路径...