现在很多APP应用中都使用webview来进行页面的展示,甚至将webview做为主要显示组件,把所有的内容使用H5来呈现,同时webview也成为攻击者重点攻击的重要的攻击面。
webview它允许开发人员绕过标准浏览器安全性、WebView允许拦截应用请求并返回通过类实现的任意内容。恶意攻击者对这些功能的任何滥用都可能导致移动应用程序中的漏洞。
Webview的漏洞中包括了任意代码执行漏洞、跨域、密码明文保存等,这些安全问题可以直接导致用户敏感信息泄露,移动终端被恶意攻击者控制。
前言
在测试某反序列化漏洞,可以通过URLDNS链确定漏洞是否存在但在利用时遇到了困难,相关利用链可以执行系统命令却无法得到回显。
因此需要在此基础修改利用链达到命令回显得目的,下边记录的即是此次修改的过程。
Java反序列化回显方法
根据搜索到的资料给出的常见回显方法有以下几种:1、报错回显:要求服务器将报错信息打印到页面。2、写文件:把执行结果写入静态文件置于web目录下再读取结果。3、DNSLOG回显:通过DNSLOG将执行结果带出(未实现)。4、中间件回显:获取response对象,结果写入response对象中带出。
本文作者:eth10(贝塔安全实验室-核心成员)
0x01:靶机下载地址
https://www.vulnhub.com/entry/serial-1,349/,如何搭建靶机,请自行百度!
0x02:存活扫描
请输
前言
让我们开始了解我是如何发现导致敏感信息泄露的 API 配置错误的。
设想
这个问题还没有解决,所以我不能透露那个程序的名字。
假设该程序为 https://redacted.com。
Web 应用程序是关于基于团队的组织,那里也有 api 相关的东西。我试图找到 XSS、SQLi、idors,但没有任何效果。
然后我转到 https://YourDomain.redacted.com 有一些组织类型功能,我可以在其中添加或删除其他用户。
添加一些用户后,有一个组织数字 ID 引起了我的注意。
我创建了另一个帐户并尝试添加/删除具有该组织 ID 的帐户用户,但没有任何反应。
本文为看雪论坛精华文章
看雪论坛作者ID:xi@0ji233
一WEB框架
web应用一改我们平时常见的 p2p 和 C/S 模式,采用 B/S 模式。随着网络技术的发展,特别随着Web技术的不断成熟,B/S 这种软件体系结构出现了。浏览器-服务器(Browser/Server)结构,简称 B/S 结构,与 C/S不同,其客户端不需要安装专门的软件,只需要浏览器即可,浏览器与Web服务器交互,Web服务器与后端数据库进行交互,可以方便地在不同平台下工作。
前言
在Linux中横向移动手法相对Windows来说较少,相对来说我们只有利用SSH、web上的漏洞等较少方式去获得权限 在SSH协议中,连接到主机可采用两种登录方式:密码登录方式、密钥登录方式 密码登录方式,相信大家都明白它的工作原理,这里就不再赘述。对此我们可以来尝试爆破密码的方式来尝试登录到远程系统权限 密钥登录方式的原理是:利用密钥生成器制作一对密钥,其中一只公钥,一只私钥。将公钥添加到服务器的某个账户上,然后在客户端利用私钥即可完成认证并登录。这样一来,没有私钥,任何人都无法通过SSH暴力破解用户的密码来远程登录系统。
0x01说明
本次进通过平台内题目进行,非真实环境。
帝国CMS01
首先下发题目链接
我们首先先找后台看看
后台地址为/e/admin/
随后,经过dirsearch进行扫描,得到了一个www.zip
访问扫描到的www.zip,得到网站源码
使用D盾扫描,得到eval后门。
XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
1. XML基础知识
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。
获取入口,拿 Shell。
目录结构
获取入口
邮件钓鱼
Word/Excel 宏文件
制作钓鱼站点
SPF 邮件伪造
DMARC
DKIM
学习资料
Wi-Fi
网线
Bad USB
Exchange
Office 365
开源应
根据SDLC的不同阶段,有不同的方法来确保应用程序和网络安全。一些标准方法包括:
设计评审
此阶段通常包括威胁建模实践,安全团队在此阶段审查应用程序的设计和体系结构,在开始编码过程之前检查安全缺陷。
代码审查
手动检查代码以寻找安全问题使安全团队能够检测应用程序特有的软件漏洞。
黑盒测试
这种测试机制包括在运行时测试应用程序源代码是否存在安全缺陷。此外,该方法还让团队了解攻击者如何在不使用访问权限的情况下破坏生产环境。
协调漏洞管理
包括安全专家和研究人员作为顾问,执行渗透测试和道德黑客,以确定和报告漏洞。
无视杀软使用远控横向小技巧
作者:精灵@深信服深蓝实验室天威战队
一、 前言
在某些场景下,服务器装了多个杀软,之前遇到过卡巴加诺顿情况,非常恶心,不仅免杀难过,上线之后很多操作也受限,这时候可能比较好的解决方法就是使用自己研发的远控,那如果没有自己远控,市面上现成的远控软件是否能利用呢,于是就简单去找找市面上远控软件做了一下测试。
二、 要求
毕竟我们是用来做内网横向的,除了要能满足基本的远控办公外,远控软件来说我们也有一些其他要求:
1. 远控软件无需安装,注册,实名,拿来即用,快捷方便,匿名性较好。
2. 远控软件无需管理员权限也可使用,可以在提权困难或失败等某些特殊场景下快速横向。
0x01前言
某天早上接到领导通知,要对某个授权目标进行渗透测试,迫不及待的要来了目标,得知客户只给了一个单位名称。
0x02 web打点
拿到单位名称,目标资产收集走一波,各种互联网资产探测引擎进行搜索,查找目标信息备案查询,证书查询,端口扫描、指纹识别、C段汇总成一份信息收集的表格,对已有信息进行筛选,因为没有发现直接可利用的漏
洞点,所以对于存在登陆窗口情况的,直接掏出我的top 500 用户字典进行弱口令爆破。
果然还是有用户没能抵得住我的top500,顺利爆破出密码。
大家好!这个Bypass OTP有点有趣,你会学到很多东西,希望能学到很多东西。
所以我正在浏览这个网站,它实际上处理教师的登录和教育内容(政府网站)。让我们称这个网站为“example.com”。
为了以教师身份登录,您需要提供注册的手机号码,然后 example.com 将对其进行验证。我家里有一些成员在教育部门,所以我尝试了他们的号码,并在完成验证后能够登录。
然后我想让我们尝试绕过这个验证过程。幸运的是,我在Web应用程序的脚本中得到了一个联系电话(另一个缺陷!==>隐藏的宝藏)。
我点击了老师的登录名,并输入了我在脚本中找到的联系电话(比如受害者的号码)。
本文约1800字,阅读约需5分钟。
在一次授权渗透测试中,得知测试目标是拿到权限或者关键用户数据。客户一开始只提供了一个安卓apk,在这种情况下,我们要怎么顺利完成测试呢?
1
App测试
一开始只提供了安卓apk包,也就只能从这个App入手。安装完成,打开之后就是一个登录页面:
配置好,收集代理,准备进行测试。过程中发现抓包无法抓到,报错信息如下:
由于App测试经验不多,一开始没理解。搜索一番之后发现,原因是由于安卓7.0开始只信任系统级别的证书,不再信任用户导入的证书。
那么只要把我们抓包工具的证书安装为安卓系统级别的根证书就可以。
0x01 漏洞介绍
Confluence为团队提供一个协作环境。在这里,团队成员齐心协力,各擅其能,协同地编写文档和管理项目。从此打破不同团队、不同部门以及个人之间信息孤岛的僵局,Confluence真正实现了组织资源共享。通过某空间搜索引擎,可以得知,在互联网测,Confluence即有数十万个ip资产,使用面巨大。
近日,锋刃科技从互联网监测到Confluence OGNL表达式注入远程命令执行漏洞。远程攻击者在无需任何授权的情况下,可以在远程通过注入OGNL表达式实现远程命令执行,从而接管服务器。漏洞评分为10分,漏洞等级为严重。
从攻击者的视角来进行资产的梳理,采用全端口扫描+子域名收集的方式,识别所有的企业资产暴露面。但即使是这样,往往会因为配置错误或是未及时回收等原因,依然存在着一些隐形资产。
01、业务场景
一般情况下,使名访问网站需要两步,一是DNS域名解析到服务器ip地址,二是将域名绑定到服务器的IP地址,大多时候我们会禁止通过IP直接访问网站,从而防止恶意解析和ip扫描探测,确保用户访问只能通过正确的域名才能到业务系统。
以一个企业级部署架构为例,使用Lvs+Nginx构建高可用web架构。在这种模式下,只需绑定一个公网ip,就可以实现内网所有服务端口通过nginx代理的唯一端口映射到外网环境。
发布时间:
2022-06-02 17:26 |
阅读:234005 | 评论:0 |
标签:
hosts Web 隐形资产
漏洞公告
安恒信息CERT监测到国外安全研究员披露了Apache Struts的OGNL表达式注入漏洞(CVE-2021-31805)的攻击代码,攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行,目前Apache Struts官方已发布安全更新,建议使用该框架的用户尽快采取安全措施。
SUSCTF
本次比赛Misc方向题目由魔法少女雪殇、小夜、valen全部解出。团队纳新事项已提上日程,有兴趣的师傅可以留意一下公众号文章。
Web
★fxxkcors
思
0x00 前言
uHTTPd 是一个 OpenWrt/LUCI 开发者从头编写的 Web 服务器。 它着力于实现一个稳定高效的服务器,能够满足嵌入式设备的轻量级任务需求,且能够与 OpenWrt 的配置框架 (UCI) 整合。默认情况下它被用于 OpenWrt 的 Web 管理接口 LuCI。当然,uHTTPd 也能提供一个常规 Web 服务器所需要的所有功能。
MTCTF
Web
★sql
黑名单了引号,username填反引号,之后正则注入,注意略过特殊$ . * ? ^:
import requests
import time
def str2int(mystr):
&a
0x0 前言
D-Link DIR-816 A2是中国台湾友讯(D-Link)公司的一款无线路由器。攻击者可借助‘datetime’参数中的shell元字符利用该漏洞在系统上执行任意命令。
报告编号:B6-2021-010801
报告来源:360CERT
报告作者:360CERT
更新日期:2021-01-08
0x01漏洞简述
2021年01月08日,360CERT监测发现致远OA发布了致远OA的风险通告,漏洞等级:严重,漏洞评分:9.8。
致远OA旧版本某些接口存在未授权访问,攻击者能够上传恶意脚本文件,从而控制服务器。
对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。
背景概述
近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:
经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。
继上一篇总结:
CTF web题型总结-第五课 CTF WEB实战练习(二)
以下也是我在bugku练习的解题过程。
以下内容大多是我在Bugku自己操作练习,有部分来源于网
目前来看,密码认证方式早已成为我们一直采用的最直接的身份认证方式。但是我们应该知道的是很多大型企业都有曾出现过明文密码泄漏的事件,而且随着黑产的不断成长,钓鱼,撞库等等一系列的欺骗攻击行为都在不断涌现。由于很大一部分用户习惯于同一密码用于多个网站,这就导致了一次密码泄漏会牵连多个网站,用户密码认证的体系一直都在面临着很大的挑战。
出题的难易程度适中,比较青少年年龄段的CTF选手解题,但是也有些题存在不少脑洞。最后的话我们队(我,烨师傅,lxy师傅)是取得了线上选拔赛的第一名,种种原因没有去到线下赛。这次writeup是自己做题写的,想看其他题型的完整版可以去百度搜搜。这个writeup是之前写给学校刚入门的学弟学妹看的,所以会显得比较啰嗦和表达不流畅啥的,希望大师傅们别介意。
这次西电决赛总体来说题目难度不大,但是web题的难度很大,下半场两题web都是0解,其他题型都有很多师傅解出来,本次我一web选手竟然也做出了Re和密码学,然后在最后几分钟被oi题的选手秒了差一名拿奖,Web题今年是真的坑。
Web
1、hugme
这题由于时间太紧加上技术不到位没有解决出来,做出来应该就二等奖了噗。
漏洞介绍:
zabbix是一款服务器监控软件,其由server、agent、web等模块组成,其中web模块由PHP编写,用来显示数据库中的结果。
漏洞环境:
在vulhub执行如下命令,启动zabbix 3.0.3
docker-compose up -d
执行命令后,将启动数据库(mysql)、zabbix server、zabbix agent、zabbix web。如果内存稍小,可能会存在某个容器挂掉的情况,我们可以通过docker-compose ps查看容器状态,并通过docker-compose start来重新启动容器。
web辅助
扫描得到网站备份文件,查看源代码发现是反序列化题目
分析
Class.php
<?phpclass player{ protected $user; protected $p
研究人员发现一起将同形字攻击用于钓鱼攻击活动和Magecart攻击的案例。
同形字攻击的思想非常简单,就是使用看起来相似的字符来替换原来的字符。有时候,不同语言设置的字方或简单的大写i和小写的L也非常相似。攻击者在多个域名上使用该技术来加载Inter skimming套件而不是favicon文件。
攻击活动发现
研究人员通过以下方式来收集网络上的web威胁信息:爬取在线网站信息来找出信息,或使用VirusTotal这样的工具来找出信息。
在上传到VirusTotal的文件中触发检测Inter skimming套件的YARA规则如下所示。