Driver Tom's Blog

0x00 前言          我他妈居然在野蛮的期末考试来临之即写博客，为了防止挂科我会写的短点好腾出时间预习          pyspider是一个基于python的国人研发的爬虫系统，功能非常强大          关于这个东西。介绍如下： 采用Python语言编写，分布式架构，支持多种数据库后端，强大的WebUI支持脚本编辑器，任务监视器，项目管理器以及结果查看器。 0x01 未授权访问的威胁          pyspider还带一个webui的界面，方便调度爬虫调试代码的。可是偏偏一些铁憨憨把这个webui开到公网上面，而webui本身没有任何形式的验证机制并且允许远程执行python代码。          我查遍了google发现这个威胁好像没人提到，那应该是我第一个发现的吧          用数字公司的fofa一搜发现有几百个 https://fofa.so/result?q=title%3D%22Dashboard+-+pyspider%22&qbase64=dGl0bGU9IkRhc2hib2FyZCAtIHB5c3BpZGVyIg%3D%3D 0x01 POC&EXP           放 https://github.com/TomAPU/poc_and_exp 了           随便玩，玩累了就睡觉，没关系的          

-0x01悲报         邪恶的安全狗官方视奸了本博客，看到了这个访问量不足20的文章并在十天甚至九天一瞬修补了bypass的技巧,坐实了他们每天25小时高强度全网搜索bypass技巧的猜测。          他们无耻地拦截了union[所有符号]all[所有符号]select走向了更加粗鲁的位置，简直跟国内的云防护学坏了！         不幸中的万幸就是他们就知道修补union注入中00字符的问题，并没有考虑到布尔注入的处理规则仍然存在问题，我就在618晚上更新这个，看看他们多久修补 0x00为什么我要写这个           嘻嘻嘻，上次干了云锁现在还没修复，估计他们也没看到，不妨再放点东西出来           希望安全狗官方不要看到这个           尽管这些人应该会每天25小时高强度搜索过狗的办法并光速修复             blogspot似乎有bug,我无法打出%+00,所以后文的00字符都用【00字符】代替 0x01Payload            id=1【00字符】union【00字符】all【00字符】select【00字符】null,@@version,null                      为了防止这些厂商不认账,特地贴出bypass的图           他们又不是3 █ 0 怎么会这么做嘛                    由于懒癌发作就截一张图       更新:发现奇 █ 信的也能bypass,鉴于奇 █ 信原来也是3 █ 0的,故特此补图.由于他们非常无耻地直接拦截关键字@@version故select一些不关键的元素代替,但是只要细心构造也是能找到完全绕过的办法的. 0x02 为什么能Bypass?         似乎mssql会把【00字符】当作空格于是导致bypass,真的神奇了         由于这个特性之前好像没人提,fuzz的时候都是从%01开始的，这个新发现的特性估计可以通杀一波WAF了?         突然感觉放出来好亏

0x00引言           好久没更新博客了,放点东西出来玩玩           本文所说的云锁是云锁的基础版本 0x01云锁的拦截规则是什么?           经过并不长时间的探测,我发现云锁对于两类payload会给予拦截           1,连续两个../           2,类似于/etc/passwd这样的敏感字符串 0x02Bypass Payload           .././.././.././.././.././.././.././.././.././.././.././etc/./passwd 0x03为什么可以这样?           在Linux系统下,(至少在Linux下),路径"./"是会被忽略的           比如说 /etc/./passwd和/etc/passwd就是等价的,因此可以用./来绕过一些规则不够严格的WAF