记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

记一次渗透测试从XSS到Getshell过程(详细到无语)

0X00    前言 前段时间有幸和大佬们参加了一次一周的攻防演练,让我这个菜鸡体验到了红队的感觉。所以打算记录一下其中一个花了三天由xss存储到后台的踩坑过程,希望大佬们多带带。 0X01    钓鱼 到了攻防演练的第二天,早上有个同事和我说这边的一个目标存在存储xss,已经打回了cookie,但是对方开启了http-only无法利用,让我帮忙看看能不能进行钓鱼或者什么的。 于是我打开这个站看了一下登陆界面,把登陆界面扒了下来。 然后随便找了个php代码改了一下,记录下管理员的账号密码,让管理员点击登陆后跳转到真的登陆界面(咳咳,大家不要笑我这个代码~我是菜鸡) (将钓鱼页面登录post的地址改成上面这个php代码页面
发布时间:2020-08-11 17:50 | 阅读:1333 | 评论:0 | 标签:内网渗透 csrf组合拳 Getshell top1w XSS 冰蝎 弱口令 攻防演练 渗透测试 爆破 红队 读取源码

vulnhub靶机渗透-sunset: midnight

环境搭建 靶机描述 Difficulty: Intermediate Important!: Before auditing this machine make sure you add the host "sunset-midnight" to your /etc/hosts file, otherwise it may not work as expected. It is recommended to ru
发布时间:2020-08-03 17:32 | 阅读:1829 | 评论:0 | 标签:CTF 3306端口 Getshell jose MD5 midnight service命令 sudo Vulnhub

Redis未授权getshell及修复方案

应用介绍 虚的不说了,简单点说就是一个日志型数据库,并有主从同步的功能(优化性能)。 漏洞介绍 默认配置下redis并没有设置密码,被攻击者恶意利用可以导致未授权访问,可以有多种利用方式:服务器权限被获取和数据删除、泄露、加密勒索、植入yam2 minerd 挖矿程序、watch-smartd挖矿木马等 安装redis docker run -itd --name redis-test -p 6379:6379 redis 常用命令 ping:检测是否连通 且 有权限执行命令 info:读取Redis敏感数据 keys: NAME CONTENT keys * 读取全部key及其对应的值 get <key>
发布时间:2020-06-18 20:22 | 阅读:10193 | 评论:0 | 标签:漏洞 crontab Getshell hydra工具 redis 主从同步 公钥 日志型数据库 防火墙

记一次对PUBG吃鸡外挂病毒的反制过程

0X00    事件前言  这事还要从一只蝙蝠开始说起~...........疫情的原因在家闲的翻箱倒柜,翻出了这么个玩意,没错这就是“压*神器”想当初我把把落地成盒又在某宝铺天盖地的推送下,忍痛割爱花了百来块钱买了这神器。    买回来后开始后悔了,经过简单的观察分析此USB的行为,并非啥智能压*芯片,实际上就是一个软件加密狗的USB加密了商家给发的无后坐软件,通过对某宝搜索加密狗USB看看这价格,属实暴利。 0X01    故事开始:  因翻出了此USB加密狗,心血来潮想开把游戏试试还有没有效果,进入商家之前提供的下载地址下载软件,这次幸运的忘了关杀毒软件,哦豁??这是嘛呀,这图标咋这么熟悉
发布时间:2020-06-15 19:16 | 阅读:12073 | 评论:0 | 标签:脉搏文库 3389端口 dirmap Getshell IP phpmyadmin phpstudy PUBG syst

渗透测试-Getshell总结

  无论是常规渗透测试还是攻防对抗,亦或黑灰产对抗、APT攻击,getshell 是一个从内到外的里程碑成果。我们接下来总结下常见拿shell的一些思路和方法。文中可能有一些不足之处,还望大佬不吝赐教。 0x01 注入getshell 一般前提条件:有权限、知道路径 mysqlselect 0x3c3f70687020a6576616c28245f504f53545b615d293ba3f3e into outfile '/var/www/html/1.php'Sql server存储过程xp_cmdshell;exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<
发布时间:2020-05-11 18:30 | 阅读:26578 | 评论:0 | 标签:内网渗透 APT攻击 Getshell getwebshell RCE getshell SSRF + RCE XXE

Return-to-dl-resolve 分析及实战

前言: 这个攻击方法 属于pwn中栈溢出的高级ROP技术。我之前在学这个知识的时候,学的 时一头雾水,而这几天在刷题,刷到了与之相关的 pwn 题目。于是便打算 将此知识点 详细 记录下来并分享! elf 相关知识: 一个典型的ELF文件包括 ELF Header,Sections,Section Header Table 和 Program Table。 我们可以用“readelf -S 程序名”   可以查看  程序节的 信息:   共有 29 个节头,从偏移量 0x1150 开始:  节头:    [Nr] Name              T
发布时间:2020-04-29 18:37 | 阅读:19247 | 评论:0 | 标签:漏洞 .plt alarm函数 elf Getshell GOT表 JMPREL pwn Return-to-dl-re

web后门生成工具WeBaCoo和实战

webacoo(web backdoor cookie)是一个web后门脚本工具包,旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令这种混淆的通信是在有效的客户端HTTP请求和服务器响应中利用HTTP头信息cookie字段来完成的。使用WeBaCoo生成PHP后门文件的命令如下:webacoo -g -o /root/backdoor.php只要攻击者将恶意代码发送到某个网站以便访问
发布时间:2018-09-03 12:20 | 阅读:130176 | 评论:0 | 标签:Web安全 backdoor getshell webacoo 后门

nodejs反序列化漏洞利用getshell

node.js是一个服务器端的运行环境,封装了Google V8引擎,V8引擎执行JavaScript速度非常快,性能非常好。Node.js进行了一些优化并提供替代API,这使得Google V8引擎能够在非浏览器环境下更有效的运行。但是node.js的序列化过程中依然存在远程代码执行漏洞。更直白的说,其实是node.js的node-serialize库存在漏洞。通过传输JavaScript IIFE(立即执行函数表达式),攻击者可以利用恶意代码(不受信任的数据),在反序列化过程中远程执行任意代码。漏洞演示环境靶机:hackthebox节点服务器攻击机:Kali Linux安装工具:nodejs,npm,nodejs
发布时间:2018-08-13 12:20 | 阅读:114012 | 评论:0 | 标签:Web安全 getshell NodeJs unserialize 漏洞

metasploit模块可以利用shellshock漏洞getshell

过去5年中出现的最严重的漏洞之一就是shellshock漏洞,此漏洞允许攻击者通过Unix bash shell远程执行任意代码。此漏洞出现有一段时间了,不过由于连接到web的Unix主机普遍存在,所以这个漏洞还是有很大威胁的,尤其是那些没有打补丁的系统。 shellshock工作原理shellshock首次出现于2014年9月。在漏洞首次披露的几小时内,就有报道发生了攻击,并且在接下来的几天内,有数百万次的攻击和探测来自僵尸网络。bash是一个shell,或者叫解释器,允许在系统上执行命令。bash是Unix系统中的默认shell,因此Linux,macOS和其他的类Unix系统上都有bash。所以shel
发布时间:2018-08-10 12:20 | 阅读:167417 | 评论:0 | 标签:漏洞 getshell Metasploit shellshock

基于ThinkPHP的2个CMS后台GetShell利用

* 本文作者:Mochazz,本文属FreeBuf原创奖励计划,未经许可禁止转载 文章作者:Mochazz 思路作者:szrzvdny 0×00 前言 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,由于其简单易用,很多cms都基于该框架改写。然而 Thinkphp在缓存使用却存在缺陷,生成缓存时,Thinkphp会将数据序列化存进一个php文件,这就产生了很大的安全问题。 0×01 环境搭建 工具 phpstudy http://www.phpstudy.net/phpstudy/phpStudy20161103.zip Jymusic cms http://www.jyuu.cn/topic/t/41 xyhcms https://pan.baidu.com/s/1
发布时间:2017-09-26 09:05 | 阅读:248507 | 评论:0 | 标签:WEB安全 Getshell ThinkPHP cms

74cms前台某处Getshell漏洞(SSTI)

from:90sec 这是一个服务端模板注入漏洞。 Application/Home/Controller/MController.class.php <?php namespace HomeController; use CommonControllerFrontendController; class MController extends FrontendController{ public function index(){ if(!I('get.org','','trim') && C('PLATFORM') == 'mobile' && $this->apply['Mobile']){
发布时间:2017-02-21 07:40 | 阅读:572719 | 评论:0 | 标签:PHP 74CMS getshell 前台 cms 漏洞

新年礼包第一弹(metinfo后台getshell)

开场都是为了烘托气氛,一句话:新年到,燥起来,煎饼会有的,肉也会有的。 漏洞文件: /admin/app/physical/physical.php  $post=array('ver'=>$metcms_v,'app'=>$applist); $result=curl_post($post,60); if(link_error($result)==1){ $results=explode('<Met>',$result); file_put_contents('dlappfile.php',$results[1]); file_put_contents('standard.php',$results[0].$results[1]);文内中有
发布时间:2017-01-18 02:30 | 阅读:117345 | 评论:0 | 标签:代码审计 漏洞研究 getshell

Metinfo5.3.10版本Getshell

好久没代码审计了,今早上cheery师傅跟我说了一下这个洞,尽管这个洞已经被修复了,但是还是比较新的,看了下没那么难,就简单写下步骤: 0x01 首先看一下配置的文件include/common.inc.php 发现Metinfo采用了伪全局变量的这样一个设置,那么是否会有变量覆盖之类的漏洞,grep下: 0x02 觉得login那里应该会发生点什么故事XD 既然这样的话,看了下后台登录的地方: login.php login_check.php login_out.php 0x03 一共三个文件,看一下check,既然包含了common.inc.php,那么就意味着里面存在一些可控的变量: 果不其然,对于参数并没有初始赋值,比较开心XD 研究了下发现有两种做法: 0x01:知道路径的话: 既然可以r
发布时间:2016-11-09 04:55 | 阅读:148693 | 评论:0 | 标签:PHP getshell metinfo 漏洞

乐尚商城CMS 前台任意文件上传

from: 90sec author:LionEiJonson 0x01:序言 前段时间我发表了”乐尚商城后台任意文件上传”,当时没注意到它整个后台调用的方法都没做登录验证,所以尴尬的以为是后台 getshell,昨天经论坛一朋友提醒才明白是前台 getshell,如果需要看代码分析的朋友可以传送到 ( https://forum.90sec.org/forum.ph … &extra=page%3D1 ),我这里主要谈谈怎么前台 getshell,顺带请教个问题,望大牛赐教。 0x02:前台 Getshell 我们先本地搭建,登录后台测试是否可以任意文件上传,顺带抓取 POST 包: 通过截图可以看到 shell 成功上传,但想要利用这个洞的时候有点棘手,因为
发布时间:2016-10-17 00:40 | 阅读:166152 | 评论:0 | 标签:PHP getshell 乐尚商城CMS 前台 文件上传 漏洞 cms

LFI Getshell Without Uploadpage

0x00 一般来说,遇到有上传点的本地文件包含,用相对路径去包含一下图片就ok,但是在没有上传点的情况下,一般采用包含日志、session等来包含我们可控内容的文件,正好前段时间sctf上用到,总结一下各种方法好了。 0x01 先说一下sctf的session包含,先猜一下apache配置的路径,然后看一下虚拟主机的配置,正好有session文件保存位置,然后 然后讲道理的话,这个session文件会把我们在登录时username保存下来(写过系统应该明白,这个session用户名可以在登录后界面用来写”欢迎xxx”什么的,操作不当还容易引发二次注入)。 开始包含是空白的,后来发现session文件有自己的保存格式,加上sess_的前缀就好了。 0x02 上面是一个session包含的例子,当时看了一些资
发布时间:2016-08-26 22:20 | 阅读:134820 | 评论:0 | 标签:Web安全 apache errorlog GetShell LFI sctf session Uploadpage W

PhpMyAdmin某版本无需登录任意文件包含导致代码执行(可getshell)漏洞分析

前言 这个漏洞来源于路人甲在wooyun提交的漏洞 漏洞编号: WooYun-2016-199433 4月12日也曾在t00ls发表过,但是帖子关闭了 (详细漏洞文档可进群索取) 分析 存在漏洞的已知版本为 2.8.0.3 其余版本未知 本次测试的版本为2.8.0.3 看存在漏洞的文件代码 /scripts/setup.php 把传入的configuration给反序列化,而这个setup.php中引入了common.lib.php 来到common.lib.php common.lib.php中引入了Config.class.php 再看看Config.class.php: 继续看load方法: Config.class.php中含有__wakeup魔术方法,因此可以构造序列化参数,造成反序列化漏洞
发布时间:2016-08-24 08:10 | 阅读:334402 | 评论:0 | 标签:Web安全 GetShell phpmyadmin phpmyadmin代码执行 phpmyadmin漏洞 phpmya

phpwind利用hash长度扩展攻击修改后台密码getshell

阅读: 18哈希长度扩张攻击(hash length attack)是一类针对某些哈希函数可以额外添加一些信息的攻击手段,适用于已经确定哈希值和密钥长度的情况。这里推荐有python扩展的HashPump,HashPump是一个借助于OpenSSL实现了针对多种散列函数的攻击的工具,支持针对MD5、CRC32、SHA1、SHA256和SHA512等长度扩展攻击。文章目录1 哈希长度扩展攻击1.1 简介1.2 利用2 phpwind利用点分析3 利用POC1 哈希长度扩展攻击1.1 简介哈希长度扩张攻击(hash length attack)是一类针对某些哈希函数可以额外添加一些信息的攻击手段,适用于已经确定哈希值和密钥长度的情况。哈希值基本表示如下H(密钥||消息),即知道了哈希值和密钥
发布时间:2016-07-27 07:55 | 阅读:225415 | 评论:0 | 标签:技术分享 getshell getshell漏洞 hash扩展攻击 hash长度扩展 phpwind phpwind利用

opensns前台无限制Getshell

public function uploadPictureBase64() { $aData = $_POST['data']; if ($aData == '' || $aData == 'undefined') { $this->ajaxReturn(array('status'=>0,'info'=>'²ÎÊý´íÎó')); } if (preg_match('/^(data:*image/(+);base64,)/', $aData, $result)) { $base64_body = substr(strstr($aData, ','
发布时间:2016-07-23 12:10 | 阅读:246997 | 评论:0 | 标签:PHP getshell opensns

蝉知CMS5.3 CRSF getshell

漏洞作者: 3xpl0it 详细说明: /system/module/package/control.php public function upload($type = 'extension') { $this->view->canManage = array('result' => 'success'); if(!$this->loadModel('guarder')->verify()) $this->view->canManage = $this->loadModel('common')->verifyAdmin(); if($_SERVER['REQUEST_METHOD'] =
发布时间:2016-05-31 09:20 | 阅读:134278 | 评论:0 | 标签:PHP CRSF getshell 蝉知CMS cms

FIneCMS免费版无条件getshell

路径:dayrui/libraries/Chart/ofc_upload_image.php $default_path = '../tmp-upload-images/'; if (!file_exists($default_path)) mkdir($default_path, 0777, true); $destination = $default_path . basename( $_GET[ 'name' ] ); echo 'Saving your image to: '. $destination; $jfh = fopen($destination, 'w') or die("can't open file"); fwrite($jfh, $HTTP_RAW_POST
发布时间:2015-08-17 18:50 | 阅读:168704 | 评论:0 | 标签:PHP finecms getshell cms

[0day] Cmseasy Getshell Exp

庆祝老朽51放7天假,发个小0day,还是清明那会宅家写的exp,批量的就不发了,危害有点大,还请大家仅作研究参考,勿作非法用途。大家可以自己加批量的功能。15天内禁止转载。大概8:20发 ..,欢迎大家+Q交流。   <!--?php print_r(' +---------------------------------------------------------------------------+ CMSEasy Getwebshell 0day Codes By M3 | 2013.04.05 Mail: admin#f4ck.net Site: m3loee.com && pandas.me +--------------------------------
发布时间:2013-05-04 12:45 | 阅读:355949 | 评论:0 | 标签:黑客攻防 0day getshell exp cms

Ecshop 后台getshell

首先 ecshop用的是smarty 这样就可以通过它的fetch函数来执行模板而模板里面可以执行他定义的php代码,这样只要可以写出模板 然后找到调用就可以拿到shell了但是ecshop似乎不支持{php}{/php}这个标签来执行php代码admin/template.phpif ($_REQUEST['act'] == 'update_library') { check_authz_json('library_manage');  $html = stripslashes(json_str_iconv($_POST['html']));  $lib_file = '../theme
发布时间:2013-02-10 19:40 | 阅读:163278 | 评论:0 | 标签:Vulndb ecshop GETSHeLL webshell

ADS

标签云