Jaqen Blog

整就牛

绕过请求签名进行sql注入

绕过请求签名进行sql注入 在测试中遇到请求数据包如下图所示 其中通过sign参数对请求参数做了签名,目测是md5。这里的orderby参数按照经验应该是容易存在注入的,因为预编译sql语句不会处理order by后面的参数包括limit。 由于sign参数的值目测是md5值,但是对所有参数进行md5发现不相等,于是对每个参数的值进行更改来判断计算md5值要剔除的参数,但都返回...

Posted by Jaqen Blog on March 26, 2019

绕过请求签名进行sql注入

"绕过请求签名进行sql注入"绕过请求签名进行sql注入 在测试中遇到请求数据包如下图所示 其中通过sign参数对请求参数做了签名,目测是md5。这里的orderby参数按照经验应该是容易存在注入的,因为预编译sql语句不会处理order by后面的参数包括limit。 由于sign参数的值目测是md5值,但是对所有参数进行md5发现不相等,于是对每个参数的值进行更改来判断计算...

Posted by Jaqen Blog on March 26, 2019

Mysql隐式类型转换

Mysql隐式类型转换 今天遇到有人提问,内容如下 其实这是由于Mysql的类型转换特性,前面的id=’1’无非产生0和1两个结果,和’‘比较,字符串和数字比较时字符串会转为浮点数,’‘转换失败返回结果为0。最后就是(id=’1’)=0,得出id!=1的结果集。 如上图,’a’转换失败为0,0=0返回1;’1a’转换浮点数返回1,0=1返回0; 这个tips是我测试mysql...

Posted by Jaqen Blog on February 14, 2019

Thinkphp5 getshell漏洞分析

Thinkphp5 getshell漏洞分析 通杀所有使用了thinkphp5.0和5.1 实际上在不同使用thinkphp5开发的cms中getshell的参数会有差异 在thinkphp5 getshell poc 这是目前公开5.0.20的poc /index.php?s=index/\think\app/invokefunction&function=call...

Posted by Jaqen Blog on December 11, 2018

通达oa2016后台getshell

通达oa2016后台getshell 需登陆后台最好是admin或具有管理权限的账户 1.修改网盘路径 2.这里可以浏览和下载web根路径的文件,但是还不能任意文件上传,先上传一个jpg文件 3.使用重命名,数据包如下,但是修改不成功 4.使用如下构造,成功重命名为php 其他 在遇到的这个通达2016中还有之前乌云上报过的漏洞也存在,如/pda/apps/repo...

Posted by Jaqen Blog on December 2, 2018

泛微emessage4.4.2后台getshell

泛微emessage4.4.2后台getshell 需登陆后台 漏洞地址: http://ip:9090/plugin-admin.jsp 上传的插件可以在http://ip:9090/plugins/插件名/ 访问到 我们使用broadcast这个插件,替换web目录下的内容为我们的webshell 使用jar -cvfM0 broadcast ./命令打包成jar进行上传...

Posted by Jaqen Blog on October 27, 2018

简单的日志分析shell脚本

简单的日志分析shell脚本 mac下awk不能用{IGNORECASE=1},所以大小写要一个个写出来 shell正则匹配空格用[[:space:]] 日志格式的不对齐,会导致做更详细的筛选统计的时候很蛋疼 最关键的还是写正则和根据实际情况调整正则,降低误报 #!/bin/bash if [ $# -ne 1 ] then echo "Usage: `ba...

Posted by Jaqen Blog on October 23, 2018

Metinfo6.0后台任意文件读取

分析 问题代码如下 MetInfo6.0.0/admin/app/wap/wap.php 1-27行 <?php $depth='../'; require_once $depth.'../login/login_check.php'; //$action='dimensional'; echo str_replace(array('http',':','/'),$met_wap_ur...

Posted by Jaqen Blog on July 19, 2018

Metinfo6.0后台延时注入

分析 问题代码出在MetInfo6.0.0/admin/system/olupdate.php 有三处sql注入 第一处 57行 dl_error函数内 这个函数在代码运行出问题时才会调用,实际利用比较难 if($type==2){ if($addr)deldir("../app/$addr/"); $query="select * from $met...

Posted by Jaqen Blog on July 19, 2018

discuz3.4补丁更新分析

discuz3.4补丁更新分析 5月29日discuz3.4源码提交了一次更新https://gitee.com/ComsenzDiscuz/DiscuzX/commit/f759f176c45c08be5141a677123c167f4a1b3e14,其中修复了一个后台任意文件包含漏洞和一个后台命令执行隐患。 下面从代码分析漏洞: 1.后台命令执行隐患(不具备利用条件) 如图...

Posted by Jaqen Blog on June 12, 2018

FEATURED TAGS
ABOUT ME

勿忘初心