Lusen的小窝

一、前言我这里并不讲漏洞挖掘思路，而是漏洞挖掘经验分享。主要是协助小白上手漏洞挖掘，揭开漏洞挖掘的神秘面纱。帮助那些想挖漏洞却又挖不倒，感觉挖洞就是浪费时间、一听到挖洞还会感到莫名“恐惧”的小白同学。大佬路过勿喷，有想法的欢迎在下方留言！ 首先说一下漏洞挖掘的前提： OWASP Top 10 漏洞基础必须要有，对应pikachu这种靶场； 逻辑漏洞挖掘基础，看些相关课程，认真做好笔记； fofa、爱企查等高级API等，用于信息收集，非必须，有替代品或其他方式都可以； 为什么不讲漏洞挖掘思路呢？因为现实的挖洞遇到的环境各不相同。比如各公众号分享那些漏洞挖掘的文章，在实战当中是不会有跟他一模一样的资产环境，除非是某个框架的nday，但如果只追求这种，那无非就是跑个脚本，做个脚本小子了。而且有OWASP Top 10 漏洞和逻辑漏洞挖掘思路完全是够用的，其他的无非就是挖洞姿势“骚不骚”。 二、资产划分我们都知道资产收集的重要性，通过一堆工具去挖掘子域名、小程序等，是为了让我们收集到更多的资产，以便找到存在漏洞资产的薄弱点。包括在HW过程中，红队成员也是通过大量的资产收集，去挖掘目标的薄弱 ...

一、XG_NTAI免杀介绍用于Webshell木马免杀、流量加密传输 免杀冰蝎、哥斯拉等Webshell的ASP、PHP、JSP木马文件，生成冰蝎流量加密传输配置文件 1本工具仅用于授权测试，请勿用于非法用途 该工具早在以前就有关注，那时候的XG_NTAI才到1.3版本，如今都更新到了2.5版本，地址：xiaogang000/XG_NTAI: 用于Webshell木马免杀、流量加密传输，多多支持star 二、使用示例有空再搞

零、Host头攻击简介如果服务器直接信任Host头，未校验它的合法性，则攻击者可能能够使用此可控变量来注入Host，以操纵服务器端的行为。如： 1<a href="https://_SERVER['HOST']/support">联系支持</a> 由于Host头实际上是用户可控制的，因此这种做法可能导致许多问题。如果未校验或者直接使用Host头，则Host头可以与一系列其他漏洞“组合拳”攻击，比如： 缓存投毒 特殊业务功能的逻辑漏洞 基于路由的SSRF 经典服务端漏洞，如SQL注入（当Host被用于SQL语句时）等 一、密码重置中毒来到Burp靶场，我们知道一个用户wiener:peter，登陆靶场后可以看到自己的邮箱 这里我们利用的是忘记密码的功能，我们需要退出登录之后，重置密码 注意到Host地址是：0ae700bf042376a285c94e25009000f7.web-security-academy.net 返回查看我们的邮箱：https://exploit-0ac9003c0440762285f64d ...

一、Ollama简介Ollama是一个专为在本地环境中运行和定制大型语言模型而设计的工具。它提供了一个简单高效的接口，用于创建、运行和管理这些模型，同时还提供了一个丰富的预构建模型库，可以轻松集成到各种应用程序中。Ollama的目标是使大型语言模型的部署和交互变得简单，无论是对于开发者还是对于终端用户。 二、Ollama远程代码执行漏洞（CVE-2024-37032）漏洞编号：CVE-2024-37032 该漏洞允许通过路径遍历任意写入文件。digest字段的验证不正确，服务器错误地将有效负载解释为合法的文件路径，攻击者可在digest字段中包含路径遍历payload的恶意清单文件，利用该漏洞实现任意文件读取/写入或导致远程代码执行。 三、影响版本Ollama < 0.1.34 四、漏洞复现1、第一步：搭建环境1docker run -v ollama:/root/.ollama -p 11434:11434 --name ollama ollama/ollama:0.1.33 2、第二步：开启Rogue registry server在云服务器开启server.py ...

一、CS配置钓鱼网站1、开启一个名字叫做CDN的监听 2、配置网站克隆和恶意文件托管站点 恶意文件可以做免杀和RLO构造处理，使效果更逼真 二、CSFish配置用到CSFish这款工具，地址：Lusensec/CSFish: 项目用于实现水坑钓鱼收杆&CS上线提醒&自动权限维持 1、开放在CS同服务器的apache服务器，需要运行php文件 2、修改CSFish配置信息 12345修改CSFish.cna第4行代码为你要迁移的进程名，此处默认为explorer.exe修改CSFish.cna第5行代码为自己CS监听器名称修改CSFish.cna第40行代码为自己PHP服务器地址修改fish.php第3行代码为自己钓鱼页面地址修改fish.php第64或第71行代码为自己飞书或者钉钉的webhook地址（两个填一个即可，推荐使用飞书） 3、通过短链接或域名伪装apache服务地址发至受害人即可

一、效果放入腾讯视频、爱奇艺中的vip的视频链接 进行播放，则绕过vip直接观看 二、下载内部论坛获取下载链接或留言获取

综合成长型工具箱GitHub地址：Lusensec/Comprehensive_Growth_Toolbox: 综合成长型工具箱 (github.com) 更新方法：下载或者克隆项目后，直接覆盖原有项目即可。每次更新只会修改配置代码，不会对已有工具等配置项发生冲突 一、工具箱简介一、由于从学习到实践的过程中会不断收集各种工具，对这些工具做好分类汇总，是一件繁琐且有必要的。开发这个工具箱的目的，就是让用户对工具变的更加趁手和深入应用，进而打造属于自己独有的工具箱。 二、工具箱具备强大的多种环境应对能力。在面对 Windows、Linux 等以及红队、蓝队等不同的环境下依然能够让用户有趁手的工具可用，快速上手工作。 三、面对多种工具的各种情况。工具箱根据工具的绝对路径、相对路径以及未安装 等情况做了不同的处理以适应各种情况。 二、工具箱基本使用1、自定义菜单栏自主添加菜单栏，设置工具分类 这里的对应文件夹是方便相对工具的使用而设置，尽量设置成英文名称，防止工具使用出错。在后面的使用过程中，需要把这个菜单栏对应的工具放置在这个文件夹目录下。颜色风格区分不同的菜单栏 2、自定义导航 ...

一、环境搭建在对若依框架做代码审计时，有必要先去学习一下若依框架的组成架构，做一个小型的开发项目再来。 到官网下载对应版本源码：https://github.com/yangzongzhuan/RuoYi 采用5.7版本Mysql数据库。JDK使用1.8版本 配置好数据库信息 更改端口并启动项目 二、SQL注入漏洞（CVE-2023-49371）若依框架采用了MyBatis的开发，找SQL注入时全局搜索${符号，尤其是设计到用户的这种SQL语句 根据Id向上寻找 直接定位Controller层，两处调用了selectRoleList 在前端页发起请求查看数据包 并无params.dataScope字段，我们尝试手动添加并用SQLMap 测试 1python sqlmap.py -r test.txt --batch --level 3 --risk 3 测试成功 三、Shiro反序列化漏洞查看shiro的版本信息，1.7.0不在Shiro550的漏洞范围内 全局查找cipherKey，看密钥是否是固定值 cipherKey 密钥固定从配置文件中获取 ...

一、前端SQL注入 - ad_js.php漏洞点在如下位置：没有进行过滤或防护直接拼接sql语句 但是在上面包含文件/include/common.inc.php中，存在对GET、POST、COOKIE使用addslashes 进行的统一过滤 1234567891011function deep_addslashes($str){ if(is_array($str)){ foreach($str as $key=>$val){ $str[$key] = deep_addslashes($val); } } else{ $str = addslashes($str); } return $str;} 因此，单引号、双引号、反斜杠在get、post、cookie中将被转义。 此时的绕过方式也有很多： 使用十六进制编码 此cms使用了gbk编码，通过宽字节来绕过 在$db->getone()的底层使用的是mysql_query 12345678910111213function qu ...

一、环境搭建1、下载：下载地址（v2.3版本）：Releases · jishenghua/jshERP 2、导入IDEA中，在设置中配置java 环境为1.8，越低越好吧，我是用的是1.8.0_65 3、在MySQL数据库新建jsh_erp数据库 4、导入docs/jsh_erp.sql数据文件 5、在application.properties配置文件中修改MySQL数据库地址端口和账号密码 6、更新加载pom.xml配置文件 7、运行ErpApplication.java文件，启动项目。启动成功会出现访问地址和端口，以及账号的账号密码 二、审计准备先大致浏览下整个项目的大致结构和配置信息 1、pom.xml 配置信息使用了1.2.55 版本的fastjson，具备fastjson 反序列化的版本要求 12345<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.55&l ...