首页
友链
联系我吧
Search
1
狮子鱼CMS ApiController.class.php SQL注入漏洞复现
2,429 阅读
2
SSRF绕过总结
1,119 阅读
3
存储桶接管-漏洞复现
880 阅读
4
k8s安装及部分漏洞复现
840 阅读
5
春秋云镜免费靶场记录10.11
810 阅读
web
welcome
漏洞复现
挖洞实战
总结
登录
/
注册
Search
n00bk1ng
累计撰写
36
篇文章
累计收到
9
条评论
首页
栏目
web
welcome
漏洞复现
挖洞实战
总结
页面
友链
联系我吧
搜索到
2
篇与
挖洞实战
的结果
2022-08-16
Burp Intruder用法及小技巧
环境burp版本:burpsuite_pro_v2022.8注册机:https://github.com/h3110w0r1d-y/BurpLoaderKeygen常规Sniper最常规的使用方法,对单一参数进行爆破。用法:选定参数直接进行爆破即可选定区间爆破Battering ram多组参数,同一参数同时爆破,爆破次数取决于字典数。用法:选定多组参数、单一字典进行爆破选定区间爆破Pitchfork多组参数,每组参数使用不同字典进行爆破,同时爆破,次数取决于字典数较少的那一个用法:为每一组参数设置一个字典,进行爆破。分别设置字典进行爆破,次数为较少的那个Cluster bomb多组参数,每组参数使用不同字典进行爆破,每组字典单独爆破,次数为m*n,常见于账密爆破。用法:同Pitchfork如图,次数已经变为130(10*13)爆破其他用法自定义爆破内容设置在设置字典时,可以使用外部字典引入,此时Payload type为simple list①如果要爆破路径,或者是api,那么需要在下面的Payload Encoding处取消√,否则等字符会被编码,如果带有必要参数,则自定义设置哪些需要编码即可②有些时候需要对当前爆破字段进行编码,要将爆破的payload进行编码,此时就需要在Payload Processing中进行设置,例如base64编码:设置后进行爆破,就被编码成功了③参数组合后的编码时,需要利用到Payload type中的Custom iterator功能,此时可以在Payload Options中进行设置选择参数处于分组设置第一组参数第二组第三组再从下面的Payload Processing中设置编码方式进行爆破,此时输出即为分组参数字典设置后的编码爆破内容的处理在面对sql时间盲注的时候,响应时间是非常重要的参数,因此如何在使用intruder进行爆破的时候发现盲注,就需要自己进行设置,在爆破后的Columns中可以看到response received和response completed,选择后,就可以看到响应时间设置前设置后文件内容读取在有一些存储桶目录遍历或者拿到一个文件目录的时候,假如有10000+的zip文件,且下载时无后缀,要求提取所有的zip文件,此时可以用burp加简单脚本处理此问题,例如如下环境:此时已知,下载文件后均命名为DownloadFile先用正则将所有的文件key提取出来,然后使用intruder进行爆破,如图:然后进行文件处理,在Save->Server responses中,选择保存,保存下来后,在目录下可以看到全部下载成功,但是携带了响应头然后使用一个脚本进行输出即可:for i in range(1, 1000): x = open(f'{i}.zip', 'wb') with open(f'{i}', 'rb') as f: a = f.read().split(b'\r\n\r\n') x.write(a[1]) x.close()爆破明文保存在save->Save results table中,可以设置将爆破的表格保存保存后如图:爆破格式保存在Save->Attack configuration中,可以将此次的爆破格式保存。验证码爆破使用大佬插件链接:https://mp.weixin.qq.com/s?__biz=MzIxNTIzNTExMQ==&mid=2247487792&idx=1&sn=6a6dd8c208075ea7854664f0c93fa5ed线程及响应时间第一个是线程,第二个是响应时间,可以根据自己需要进行自定义设置
2022年08月16日
261 阅读
0 评论
0 点赞
2022-03-10
一次任意文件下载和全站信息泄露的漏洞挖掘经历
0x00考研人考研魂,本该考研的我还赖在这里挖洞...不过多亏这次挖洞,有了我下面的经历。早上背完英语单词,瞥到浏览器上某项目的标签,又没忍住,开搞。0x01首先进入该系统,可以看到注册口中有一个上传营业执照的位置于是尝试上传,都可以成功,但是不能获取路径,无法利用,先记下。注册成功后,进入该系统,在httphistory中发现一个可以返回系统中模板文件目录的包,可以看到系统中作为模板文件以及对应的参数于是尝试将图2中上传文件的参数进行拼接,然后惊喜的发现可以获取当前用户的上传文件目录那么说明参数fileType01代表的是用户id,于是尝试找到带有模板文件的用户,成功找到:现在可以拿到文件各种参数,那么下一步就是要找到如何读取或者下载文件,在系统中下载模板位置找到:但是此时获取的参数是加密的,抱着尝试的想法,第一次尝试解密,然后F12,在某一js文件中找到fileRelatId参数,发现这是一处aes加密,且密钥在前端泄露然后编写js脚本,加密的参数同样为filrRelatId,尝试解密,成功:poc const CryptoJS = require('crypto-js'); //引用AES源码js const key = CryptoJS.enc.Utf8.parse('104a45db14f4ffde') //解密方法 function Decrypt(word) { let decrypt = CryptoJS.AES.decrypt(word, key, { mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7 }); return CryptoJS.enc.Utf8.stringify(decrypt).toString(); } //加密方法 function Encrypt(word) { let srcs = CryptoJS.enc.Utf8.parse(word); let encrypted = CryptoJS.AES.encrypt(srcs, key, { mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7 }); return encrypted.toString(); } 到此实现了全站任意文件下载。0x02然后我又把目光放到了获取用户信息的包上,该包同样是加密的参数对他也进行解密,成功,可以读取到大量用户信息(商家姓名、商家名、法人姓名、手机号、邮箱、开户银行及卡号、地址、营业执照号等等敏感信息),且可以直接遍历读取0x03这次挖掘,我对加解密做出了首次尝试,虽然脚本不是我写的,甚至不是我跑的(此处感谢风溯大佬),但是这次经历让我学到了更多的越权姿势
2022年03月10日
310 阅读
4 评论
4 点赞