随笔分类 - 代码执行
摘要:首发先知社区:https://xz.aliyun.com/t/10323 虽说weblogic xmldecoder的洞是几年前的,但是之前内外网场景下老是遇到,大多数情况是不出网、不方便写webshell(weblogic负载均衡,轮询)场景,需要解决的问题就是回显构造和内存马的植入。所以想花个时
阅读全文
摘要:先知社区:https://xz.aliyun.com/t/7725 最近遇到的实际环境为weblogic,所以这里顺便总结下测2020-2551的一些相关的点 2551也是学习了很多优秀的师傅文章,非常感谢 0X00 漏洞利用基础学习 从0开始学习复现这个洞不免又会设计到Java反序列化漏洞中那些老
阅读全文
摘要:\inc\zzz_template.php public function parserIfLabel( zcontent ) {zcontent ) {pattern = '/\{if:([\s\S]+?)}([\s\S]*?){end\s+if}/'; //{if:xxxx}xxx{end if} if ( pr
阅读全文
摘要:admin.php入口: language.php 传入的cont1参数 进入save_language($cont1) data\inc\functions.all.php# save_file: langpref的值对应的文件,用于控制网站的语言选择,会自动被全局php文件包含。可以包含上传功能
阅读全文
摘要:admin.php 入口: 后台action=editpage,此时包含进data/inc/editpage.php可以进行文章编辑: editpage.php# save file写入php文件: 对post传递的title和content等参数直接调用save_page函数: sanitize函
阅读全文
摘要:apps\home\controller\ParserController.php #parserIfLabel 第一处if判断,我们可以在函数名和括号之间插入控制字符,如\x01 第二处判断: 可利用PHP无参数RCE绕过 当然这里还有白名单关键字的判断: // 解码条件字符串 $matches[
阅读全文
摘要:composer create-project yiisoft/yii2-app-basic app 搜索__destruct和__wakeup grep -A 10 -rn "__destruct" yii\db\BatchQueryResult: 这里调用了close,搜索close发现 yii
阅读全文
摘要:变量覆盖一些基础记录: 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 ###漏洞函数: 可变变量extract()函数使用不当parsestr()函数使用不当importrequestvariables()使用不当1.
一个可变变量获取了一个普通变量的值作为这个可变变量的
阅读全文
摘要:最近各位师傅都在刷这个嘛,原本的exp是上传一个test123456.jsp的命令执行的马子,不过我在试的时候发现替换成C刀一句话出错,原因未知,并且test123456.jsp如果存在的话用原来exp是无法覆盖的。参考改进了t00ls师傅的代码(https://www.t00ls.net/view
阅读全文
摘要:转自i春秋 1、eval()函数 那么当我们上传了eval函数的菜刀马之后,在连接不上菜刀的情况下怎么上传大马呢?继续往下看这里我是先写一个上传马,再用上传马去上传大马,有点多次一举,但是考虑到大马代码量太多,还是建议先写个上传马,以下代码只有1kb。 原理是利用文件操作函数如下: 写入xxxx到脚
阅读全文
