摘要:
配环境的锅,这次走最基本的路子,以求maven爹别给我报错了。 这里版本是java8u101。 首先要知道: JDK 6u141、7u131、8u121之后:增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远 阅读全文
摘要:
来自:[网鼎杯 2020青龙组]FileJava hgame遇到一个无回显XXE,这次找java题恰好又找到一个,虽然是四年前的题,但思路大差不差,都是传dtd文件,然后反弹shell,那么重点我们就来看代码审计部分。 进入发现是一个文件上传: 随便传一个文件看看: 给了一个下载地址,访问试试: 能 阅读全文
摘要:
这个取证有点意思,也没有套太多。 下载附件,直接FTK打开,我们发现两个分区,其中一个又hint.zip和一个图片,发现里面图片一致,一眼丁真明文攻击: 打开见key: 直接Password kit Forensics开梭: 然后FTK继续开,找到flag.txt,里面是个字符串,一眼十六进制转出摩 阅读全文
摘要:
hackjs 看下源码: const express = require('express') const fs = require('fs') var bodyParser = require('body-parser'); const app = express() app.use(bodyPa 阅读全文
摘要:
为什么想到打打Jackson反序列化呢?一是因为fastjson这种json和java字符串转换的打过一次简单的CVE,而jackson是应用更广泛的json与java字符串转换的框架,恰好有个CVE能打;二是vulhub也有这个环境,那么正好趁热打铁,多看点总是好事。 漏洞原理 Jackson-d 阅读全文
摘要:
这次看的是一个java的安全框架shiro,也算是应用非常广泛,翻了翻有一堆CVE... 但是官方更新的也挺即时,所以CVE对应的版本也是有严苛限制的。本来想试试CVE-2023这些时间比较近的CVE,但是大多都是登陆绕过这些。于是我往前找到一个经典的CVE-2016-4437漏洞学习shiro反序 阅读全文
摘要:
复现完2022年那个fastjson,本来想看看2023还有没有java能学,发现是一个php反序列化,但是这个php有说法的,因为用到了我从来没有见过的侧信道知识。 直接看源码吧,一目了然的: <?php class Saferman{ public $check = True; public f 阅读全文
摘要:
趁热打铁,直接复现一波蓝帽杯2022初赛的一道fastjson。 简简单单写了个Dockerfile和docker-compose.yml,网上能找到jar包链接,然后启动服务: //DockerfileFROM openjdk:8 COPY ./src /app WORKDIR /app RUN 阅读全文
摘要:
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象(这就是漏洞来源,下文会解释)。 阅读全文
摘要:
不务正业web手,java看累了,来打取证😋😋😋 [蓝帽杯 2022 初赛]之Misc篇(NSSCTF)刷题记录(复现)_[蓝帽杯 2022 初赛]domainhacker-CSDN博客 MISC类 domainhacker 第一个打了忘截图了,直接用用上面链接wp的hhh.... 拿到一个p 阅读全文