bookmark_borderFastjson <= 1.2.47 RCE实战运用

0x00

护网出现的漏洞,Fastjson先后爆出了好几个类似的远程命令执行漏洞,这次终于能用上了。

依旧是工作渗透时遇到的系统,发现任意文件下载以后,通过/root/.bash_history找到源码备份文件路径,下载得到源码,分析之,引用Fastjson 1.2.47,开搞。

Continue reading “Fastjson <= 1.2.47 RCE实战运用"

bookmark_border高位Unicode转换绕过WAF实现XSS

0x00

今天测试的时候,同事使用的扫描器报出一个Unicode编码漏洞,payload是这样的:..%255c..\winnt\system32\cmd.exe,但实际上是一个误报。

不过在同事的一顿折腾下,发现特殊的Unicode编码可以绕过应用本身的XSS防护,如下面的payload就可以成功插入并执行:

%C0%BCscript%C0%BEalert%c0%a81%c0%a9%C0%BC%c0%afscript%C0%BE

同事和我都一脸懵逼,那么到底是为什么呢?

Continue reading “高位Unicode转换绕过WAF实现XSS”

bookmark_borderPython调用JS函数生成密文字典

0x00

在Web渗透的时候,经常会遇到一些登录表单用DES之类的加密方式来加密参数,又因为BurpSuite不支持这样的加密(也许我的Burp有问题,一直看不到),所以给暴力破解表单带来了麻烦。

以前就有想过能不能用JAVA、Python或者其他语言引用JS文件,调用内部的函数来生成字典,一直没有去尝试。这次刚好遇到就试着实现一下,顺便记录着水一篇博客。

Continue reading “Python调用JS函数生成密文字典”

bookmark_border一次简单的任意文件下载到上传SHELL

0x00

熬夜护网的朋友发来一个站,说遇到了问题,让我看看咋回事,那就看看到底咋回事。

说是网站有任意文件上传,但上传目录不在Web目录下,路径是这样的:

/opt/work/upload/{username}/01/{filename}时间戳.jpg

他注册了一个用户名为../{Web路径}的用户,然后上传发现程序自动把username转换成了大写,又因为是Linux系统,所以,卒。

Continue reading “一次简单的任意文件下载到上传SHELL”

bookmark_borderFlask 1.1.1 开发者模式报错问题

事情是这样的,Flask在 2019-07-08 发布了Released 1.1.1,也没加什么功能。作为爱折腾的我,当然是在第一时间升级到最新版本。

随新版本而来的还有一个Bug,困扰了我一个月,今天实在忍不了,翻了好几个issues才找到解决办法,好久没写博客的我决定水一下。

问题来源于Werkzeug,当Flask的运行环境ENV=development时,将会出现这样的错误:

c:\users\lenovo\appdata\local\programs\python\python37\python.exe: No module named C:\Users\lenovo\AppData\Local\Programs\Python\Python37\Scripts\flask

已经有人在Werkzeug的项目下提交了issues,并且Flask的开发者也在跟进这个问题,当Flask >= 1.1.0,Werkzeug 0.15.5时,就会出现上面的问题。

Continue reading “Flask 1.1.1 开发者模式报错问题”

bookmark_borderWeblogic 密文解密

在一次渗透测试中,我使用弱口令成功进入WebLogic控制台,并通过部署war包的方式获得WEBSHELL,接下来为了能够连接目标数据库,我找到了Web应用的配置文件,同时遇到了被加密的数据库连接密码。

WebLogic

WebLogic仅在开发环境下使用明文存储配置文件中的密码。在生产环境中,WebLogic会加密存储XML配置文件中的所有文本密码,以防止敏感信息泄露。

Find File

通常情况下,WebLogic中的Web应用会将数据库配置文件放置在config/jdbc目录下的*.xml文件中,很快我就找到了数据库的配置文件,jdbc2fE5NEW-3572-jdbc.xml

Continue reading “Weblogic 密文解密”