yhy's blog

小朋友真是活跃，走个不停，要时刻盯着 本文首发于先知社区:https://xz.aliyun.com/t/13005 背景最近在为扫描器添加被动扫描模式，发现在 BurpSuite 中设置上游代理，Intruder、Repeater 模块也会走上游代理，这对于设置上游搞内网很合适，但对于被动扫描器来说有点不适合了，一般这两个模块都是手动测试时才会用到，这时流量都被转发到被动扫描器就不是很好了，会增加很多无用扫描（即使被动扫描器存在流量去重功能）。 找了一圈没发现 Burp 中可以设置这一块，想到@c0ny1师傅写过一个插件 passive-scan-client ，测试时发现，插件根本没有工作，issues中也有这种情况反馈，修复之后测试发现和Burp中设置上游没什么两样，(⊙o⊙)… 排错IDEA 调试在IDEA 配置远程调试 简单起见，这里直接使用社区版作为调试, 命令行启动 Burp 社区版 1java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar burpsuite_c ...

承影 将旦昧爽之交，日夕昏明之际，北面而察之，淡淡焉若有物存，莫识其状。其所触也，窃窃然有声，经物而物不疾也。 简体中文 · English 构建项目https://wails.io/zh-Hans/docs/gettingstarted/installation/ 安装 wails 然后 wails build 已有功能目录扫描提取 dirsearch 的字典规则进行扫描，目前只会进行一层目录扫描，后期考虑根据找到的目录，进行多层目录遍历 bbscan 规则扫描 Swagger 测试对 swagger api 进行未授权、ssrf、注入等测试 403 bypassSwagger 会自动进行 403 bypass https://github.com/devploit/dontgo403 未实现https://infosecwriteups.com/403-bypass-lyncdiscover-microsoft-com-d ...

啥时候我能写一个安全行业人手一个工具 go 有个恶心的地方，就是不能捕获子进程的 panic, 每个子进程都使用 recover()去捕获，太麻烦，不现实，而且你也没办法确保你引入的第三方包会捕获子进程; 这就导致我在写扫描器时，某个进程发生 panic , 屏幕输出很长很长的堆栈信息，一屏幕都滚动不完，而且我使用 screen 放到后台，导致我就只能看到非常小的一部分。 所以只能找其他路子了，下面记录一下使用 dlv 来排查，寻找导致 panic 的地方 panic 错误使用 dlv 调试，前提二进制文件再生成时，不能指定-ldflags "-s -w"启动前，先执行 123ulimit -c unlimitedexport GOTRACEBACK=crash ulimit命令用于控制shell程序的资源 -c <core文件上限> 设定core文件的最大值，单位为区块 unlimited标识不做限制 GOTRACEBACK 来控制Golang panic stack trace输出的信息 123456789101112GOTRACEBACK的 ...

劫(开发中,持续更新中)具体漏洞开发详情，请移步 https://jie.fireline.fun/ 基于浏览器爬虫开发的web漏洞主动 (被动) 扫描器 由于扫描器只是粗暴的调用 xray、nuclei ，不优雅，而且 xray 不开源，不开源的东西我加入自己的扫描器用着不舒服(纯属给自己挖坑，就当给自己加深漏洞理解了，开发中代码很烂勿喷)。于是产生一个想法，将漏扫类项目拆分出来，重新糅合成一个轮子。 目前打算设计成两种模式: 一种被动 优先级低 一种主动 已有功能 Chrome Headless 爬虫, 爬取中进行指纹识别(katana) 指纹识别，根据指纹识别进行漏洞检测(nuclei) 基础漏洞扫描 (sql、xss 等) 待优化 目录扫描(bbscan规则) 一些端口弱口令爆破(这还要在加上端口扫描，先去除) 语言环境识别防止对 php 的网站调用 java 的扫描插件 插件调用(后期看看有没有必要吧)插件如何调用？ 这里直接放弃，只要代码逻辑写好就行了，后期或者有重构的想法 仿照awvs设计了插件类别 PerFile 对每个文件处理,包括文件后面的参数 PerFold ...

今年多写文章，先把去年的清理一下 HarborHarbor是VMware公司开源的企业级Docker Registry项目，用来帮助用户迅速搭建一个企业级的Docker Registry服务。 它以Docker公司开源的registry为基础，提供了管理UI，基于角色的访问控制(Role Based Access Control)，AD/LDAP集成、以及审计日志(Auditlogging) 等企业用户需求的功能，同时还原生支持中文。 历史漏洞CVE-2019-16097漏洞版本 1.7.0 to 1.7.5 and 1.8.0 to 1.8.2 Harbour 1.7.0 到 1.8.2 中的 core/api/user.go 允许非管理员用户通过 POST /api/users API 创建管理员帐户 相关代码，直接解析传来的数据 正常注册数据 1{"username":"test","email":"test123@gmai.com","realname&q ...

今年多写文章，先把去年的清理一下 1.Prometheus云原生的开源监控告警解决方案的一款产品 架构图 Prometheus server 服务端，用于抓取和存储时间序列数据 client libraries 客户端库，用于检测应用程序代码 push gateway 在不支持pull 拉取监控数据的场景中，可通过部署Pushgateway的方式，由监控源主动上报到Promtehus exporters 监控客户端，用于收集各类监控数据，不同的监控需求由不同的exporter处理，如node-exporter、mysql-exporter、blackbox-exporter等。 alertmanager 独立组件，用于处理告警信息 various support tools 其他各种支持工具 PromQL 官方提供的用于数据查询的功能性查询语言 2.历史漏洞1. CVE-2019-3826这是一个存储型 XSS 漏洞, 影响版本为: 2.7.1 之前。 这个利用有个前提条件: 需要开启enable query history,也就是记录查询 ...

前言代码审计总是离不开一些神器，笔者常用 Codeql 这款工具辅助挖洞。当我每写一个规则都需要对其它项目手动运行检查一遍，效率很低，再加上 lgtm 的关闭，此项目诞生了 — 弈(Yi) CVE-2021-43798这里以 Graana 的任意文件读取漏洞举例说明使用方法(初学 Codeql,如有错误之处，轻点喷) 该漏洞版本为 8.0.0 - 8.3.0 , 修复版本为 8.3.1, 8.2.7, 8.1.8, 8.0.7 12git clone https://github.com/grafana/grafanagit checkout v8.2.6 这个漏洞发生在 /public/plugins/:pluginId/* api 中，当输入的 pluginId存在时，会匹配*内容，使用filepath.Clean清理路径中的多余字符后，直接拼接到pluginFilePath,然后使用os.open(pluginFilePath)打开该文件，最终回显到页面。而且plugins api权限为public，是未授权的，任何人都可以查看。 fmt.Println(filepat ...

简介gRPC 是 Google 开源的一个远程过程调用(Remote Procedure Call) 框架，在 gRPC 中，客户端应用程序可以直接调用不同机器上的服务器应用程序上的方法，就像它是本地对象一样，更容易创建分布式应用程序和服务。默认情况下，gRPC 使用 协议缓冲区 通信, 并支持以下语言: C# C++ Dart Go Java Kotlin Node Objective-C PHP Python Ruby 协议缓冲区 (protocol buffers) 协议缓冲区提供了一种语言中立、平台中立、可扩展的机制，用于以向前兼容和向后兼容的方式序列化结构化数据。它类似于 JSON，只是它更小更快，并且生成本地语言绑定。协议缓冲区是定义语言（在 .proto文件中创建）、proto 编译器生成的与数据接口的代码、特定于语言的运行时库以及写入文件（或通过网络连接）。 使用协议缓冲区的第一步是定义要在_proto 文件_中序列化的数据的结构：这是一个带有.proto扩展名的普通文本文件。协议缓冲区数据被构造为_消息_，其中每条消息都是一个小的信息逻辑记录，包含一系列称为 ...

为了提高大佬们提交PR的积极性，我也是拼了（这样我就可以名正言顺的偷懒了） 0x01 选漏洞，新建文件比如 ThinkPHP2.x的任意代码执行，使用vulhub搭建漏洞 https://vulhub.org/#/environments/thinkphp/2-rce/ docker-compose up -d 一键搭建 现在还没有ThinkPHP 相关的利用架子，界面显示也没有，只是有个按钮(我特意挑的，从图到exp编写一块教) 1.1 先把界面立起来在src/main/resources下可以看到存在这么多fxml文件，直接复制一个Struts2.fxml,命名为ThinkPHP.fxml 简答方便（若有大佬对界面不满意，请自个调，我不管了） 然后将Struts2Controller改为ThinkPHPController, 再将85行的test.jsp 改为 test.php 会发现爆红，这是因为还没有ThinkPHP的逻辑控制。到这里再复制一份Struts2Controller.java改为ThinkPHPController.java即可 还有一 ...

好久不见 0x01 git 蜜罐复现具体原理请看 https://drivertom.blogspot.com/2021/08/git.html?m=1 1234567import gitrepo = git.Repo.init(path=".")repo.index.add(items=['../../git_poc.txt'])repo.index.commit('commit') python3 -m pip install GitPython python3 运行, 生成Poc 在当前目录的../../的目录下必须有git_poc.txt 比如当前脚本目录为 /Users/yhy/Desktop/gitpoc,那么在/Users/yhy要存在git_poc.txt 然后将 .git 文件夹整体拖入网站根目录下 效果：防止干扰我直接在虚拟机中运行 dumpall 工具 没有在 dumpall/192.168.100.250_8080 目录下生成文件，而是进行了目录穿越, ...