漏洞简介 微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。 漏洞是因为未授权接口在接收参数时没有进行处理校验,存在SQL注入漏洞,又因为集成环境中的mysql拥有写入文件的权限,所以写入webshell最终导致代码执行。影响版本 5.x 目前相关漏洞已修复。环境搭建 从师傅处拷到的安
0x1前言在打野的时候意外发现了一个站点存在springboot信息泄露,之前就有看到一些文章可以直接rce啥的,今天刚好试试。通过敏感信息发现存在accesskey泄露,就想直接通过解密,获取敏感信息,接管云平台。首先说下这个漏洞的产生。主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险,或者没有按照标准流程开发,忘记上线时需要修改/切换生产环境的配置。我们是可以通过访问/v2/api-docs和/swagger-ui.html去验证是否存在的。0x2漏洞利用本次我们想获取/actuator/env里面的明文信息,那么有三种方法可以获取。第一种:通过/jolokia接口获取明文利用条
0x1前言在打野的时候意外发现了一个站点存在springboot信息泄露,之前就有看到一些文章可以直接rce啥的,今天刚好试试。通过敏感信息发现存在accesskey泄露,就想直接通过解密,获取敏感信息,接管云平台。首先说下这个漏洞的产生。主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险,或者没有按照标准流程开发,忘记上线时需要修改/切换生产环境的配置。我们是可以通过访问/v2/api-docs和/swagger-ui.html去验证是否存在的。0x2漏洞利用本次我们想获取/actuator/env里面的明文信息,那么有三种方法可以获取。第一种:通过/jolokia接口获取明文利用条
前言最近学习php代码审计,lmxcms很适合去学习代码审计,因为比较简单。环境搭建源码下载地址http://www.lmxcms.com/phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29网站首页后台管理搭建成功框架配置入口文件config.inc.php配置文件run.inc.php初始化文件入口在Action.class.php中找到调用方法的可以看出m参数是类名前缀,开头大写,a参数是方法名那么我就知道该框架处理请求的格式如下http://127.0.0.1/lmxcms1.4/admin.php?m=xx类名&a=xx方法【---
前言最近学习php代码审计,lmxcms很适合去学习代码审计,因为比较简单。环境搭建源码下载地址http://www.lmxcms.com/phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29网站首页后台管理搭建成功框架配置入口文件config.inc.php配置文件run.inc.php初始化文件入口在Action.class.php中找到调用方法的可以看出m参数是类名前缀,开头大写,a参数是方法名那么我就知道该框架处理请求的格式如下http://127.0.0.1/lmxcms1.4/admin.php?m=xx类名&a=xx方法【---
漏洞简介 PhpStudy国内12年老牌公益软件,集安全、高效、功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮Windowsweb面板存在存储型xss漏洞,结合后台计划任务即可实现RCE。影响版本 因为我一边测试一边写文章,但是我发现下载下的新版本的已经添加了过滤,但是并没有更新日志。环境搭建 从官网下载小皮windows面板安装包 https://www.xp.cn/windows-pan
漏洞简介 PhpStudy国内12年老牌公益软件,集安全、高效、功能与一体,已获得全球用户认可安装,运维也高效。支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮Windowsweb面板存在存储型xss漏洞,结合后台计划任务即可实现RCE。影响版本 因为我一边测试一边写文章,但是我发现下载下的新版本的已经添加了过滤,但是并没有更新日志。环境搭建 从官网下载小皮windows面板安装包 https://www.xp.cn/windows-pan
前言:某天,同事扔了一个教育站点过来,里面的url看起来像有SQL注入。正好最近手痒痒,就直接开始。一、发现时间盲注和源码后面发现他发的url是不存在SQL注入的,但是我在其他地方发现了SQL盲注。然后改站点本身也可以下载试用源代码,和该站点是同一套系统:一开始的思路是直接用时间盲注写马,然后遇到的问题就是如何获取站点的绝对路径。通过sqlmap自带的字典去爆破,发现都失效了。(但是其实只是没写成功,不代表路径是不对。)那么接下来的思路就在源码上了。从源码里面没有找到啥可以直接未授权getshell的点。后面在本地搭建这套系统时,发现了其配置信息都在网站目录下的configure.php,后面
前言:某天,同事扔了一个教育站点过来,里面的url看起来像有SQL注入。正好最近手痒痒,就直接开始。一、发现时间盲注和源码后面发现他发的url是不存在SQL注入的,但是我在其他地方发现了SQL盲注。然后改站点本身也可以下载试用源代码,和该站点是同一套系统:一开始的思路是直接用时间盲注写马,然后遇到的问题就是如何获取站点的绝对路径。通过sqlmap自带的字典去爆破,发现都失效了。(但是其实只是没写成功,不代表路径是不对。)那么接下来的思路就在源码上了。从源码里面没有找到啥可以直接未授权getshell的点。后面在本地搭建这套系统时,发现了其配置信息都在网站目录下的configure.php,后面
前言:在最近的wxb举行hw中,同事让我帮他看看一些后台登录站点。尝试了未授权,弱口令皆无果,要么不存在弱口令,要么有验证码,没办法绕过。本文章仅提供一个思路,在hw中更多时候并不推荐尝试这种思路,只能作为一种解,因为花费的时间较长,前后大概花费了一个小时才拿下一个后台账号。过程及思路:在外围打点的过程中发现了一个站点,存在用户名枚举:然后看到下面的验证码,估计很多都会放弃了吧!短信验证码+密码才能登录,爆破难度太大了。我一开始也是这么想的,后面尝试了下面的找回密码,看看是否能任意修改他人的账号密码。后续先用自己不常用的手机号获取下验证码(这一步其实在hw中是很危险的,很容易被溯源)。发现短信
