随笔分类 - WEB安全
摘要:Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原型链,可以理解为Obj
阅读全文
摘要:Tomcat内存马-Filter型 什么是内存马?为什么要有内存马?什么又是Filter型内存马?这些问题在此就不做赘述 Filter加载流程分析 tomcat启动后正常情况下对于Filter的处理过程: 加载web.xml配置文件 读取filter的信息,并将其保存在context对象里的filt
阅读全文
摘要:Log4j的前因后果 简介 Log4j的进化史 Log4J的三大组件: Logger:日志记录器,负责收集处理日志记录 (如何处理日志) Appender:日志输出目的地,负责日志的输出 (输出到什么地方) Layout:日志格式化,负责对输出的日志格式化(以什么形式展现) 还是一如既往的先对其的应
阅读全文
摘要:分块传输绕WAF的奥秘 一个Http请求的流程 当客户端发起请求后,首先会先建立一个TCP连接,然后再开始传输HTTP数据,然后服务端开始进行接收。但有个问题是,服务端是怎么知道什么时候停止接收,并断开连接的呢? 一般情况HTTP请求包的Header包含Content-Length域来指明报文体的长
阅读全文
摘要:Shiro漏洞集合 Shiro其实就是一组Filter,他会进行验证,鉴权,会话 Management,再把请求转到web过滤器。所以最好先去对Shiro有个整体性的了解。 复现环境:https://github.com/ttestoo/java-sec-study/tree/main/sec-sh
阅读全文
摘要:从WAF攻防角度重看sql注入 攻防都是在对抗中逐步提升的,所以如果想攻,且攻得明白,就必须对防有深刻的了解 sql注入的大体流程 Fuzz测试找到注入点 对注入点进行过滤检测,及WAF绕过 构建payload,对数据库进行脱裤,甚至getshell sql注入流程分析 sql注入,最初没有防护的时
阅读全文
摘要:利用JSP的编码特性制作免杀后门 这里是借鉴了Y4stacker师傅的thinkings 待解决的问题 JSP解析 JSP“乱码”为什么还能被识别 “乱码”的JSP在过滤时会被检测到吗?什么原因? 为什么“乱码”可以用来做免杀? JSP解析 其中EL等标记语言都是在jsp引擎中进行处理的,就是 识别
阅读全文
摘要:访问 随便测试 猜测后端逻辑 select * from table where id = $input; 当结果为1时,返回 当结果为0 语法错误 尝试bool盲注 构造payload (select 1)/1 有waf,直接fuzz 为什么会存在另外一种语法正确,可以返回值,但不是返回1 发现是
阅读全文
摘要:Shiro反序列化漏洞分析及代码审计 漏洞简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 Apache Shiro默认使用了CookieRememberMeManager,用户登录成功后会生成经过加密并编码的cookie,在服务端对rememb
阅读全文
摘要:strut2-003&005 漏洞描述 s2-005 漏洞的起源源于 S2-003(受影响版本: 低于 Struts 2.0.12), struts2 会将 http 的每个参数名解析为 OGNL 语句执行(可理解为 java 代码)。OGNL 表达式通过#来访问 struts 的对象,struts
阅读全文
摘要:Strut2-001 https://github.com/Aur0ra-m/JavaWeb/blob/main/Strut2/strut2-001.md 漏洞描述 框架解析JSP页面标签时会对用户输入的Value值获取,在获取对应的Value值中递归解析%{、}造成了二次解析,最终触发表达式注入漏
阅读全文
摘要:redis未授权访问 漏洞分析 redis服务暴露在公网,且无需验证(默认)。 漏洞利用 能进行漏洞利用的根本原因就是能修改指定数据库文件,并向指定数据库文件中写入内容,进行操作。 利用redis来写webshell 知道网站根目录路径 对网站根目录有写权限 利用redis写定时任务,反弹shell
阅读全文
摘要:简介 JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JN
阅读全文
摘要:对register_argc_argv的分析 简介 使用 cli模式下,不论是否开始register_argc_argv,都可以获取命令行或者说外部参数 web模式下,只有开启了register_argc_argv,才可以获取外部参数 未开启register_argc_argv时 开启registe
阅读全文
摘要:前言 大部分的MVC框架,访问的控制器大部分是由外部参数来决定的,那么本篇文章所通读的MVC框架与之前的一系列MVC框架不太一样,它的路由是由程序本身的路由表来决定的。 源码下载 https://www.jb51.net/codes/673736.html 环境安装 访问http://127.0.0
阅读全文
摘要:环境搭建 源码下载:https://github.com/typecho/typecho/archive/v1.1-15.5.12-beta.zip 下载后部署到web根目录,然后进行安装即可,其中注意要提前在mysql中创建一个对应的数据库. 漏洞分析 漏洞起始点前的障碍清除 先是一个refer检
阅读全文
摘要:漏洞影响范围 Yii2 < 2.0.38 环境搭建 Yii2.0.37 漏洞分析 首先定位到漏洞起始点 为什么是这儿?我们该怎么发现是某个类的某个函数?为什么不是其他函数? 一般是__destruct函数,而不选__wakeup函数。和开发的习惯有关,在__wakeup函数中一般是对反序列化的一种限
阅读全文
摘要:php原生类的利用 查看原生类中具有魔法函数的类 $classes = get_declared_classes(); foreach ($classes as $class) { $methods = get_class_methods($class); foreach ($methods as
阅读全文
摘要:源码分析 <?php error_reporting(0); highlight_file(__FILE__); $pwd=getcwd(); class func { public $mod1; public $mod2; public $key; public function __destru
阅读全文
