03 2020 档案
摘要:CVE-2014-3120是ES的命令执行漏洞,之前在vulhub中做过漏洞复现(https://www.cnblogs.com/sallyzhang/p/12450035.html),复现方式为手工复现。学习了一段时间的msf(metasploit简称msf),现在尝试用使用msf。 1. 开启虚
阅读全文
摘要:漏洞原理 和3210的漏洞很像,也是恶意代码执行漏洞,3210是执行任意MVEL表达式和java代码,3210之后MVEL表达式被弃用,ES的动态脚本语言换成了Groovy(而且增加了sandbox),然额换成Groovy之后仍然存在恶意代码执行漏洞(ES:我好难,2333...) 复现环境 在ub
阅读全文
摘要:漏洞原理 利用ES的备份功能,快照应该是文件,但ES没有对快照是否是文件进行验证,遇到目录就递归读取文件的内容从而导致目录遍历。 复现环境 在ubuntu 16.04虚拟机中用vulhub靶场提供的docker容器来复现 jdk版本1.7 ElasticSearch版本1.6.0 影响版本 1.6.
阅读全文
摘要:基础知识 1. 全文检索:扫描文章中的每一个词,给每一个词建立一个索引指明该词在文章中出现的位置和次数。当进行查询操作时直接根据索引进行查找。 2. 倒排索引:索引表中的每一项都包括一个属性值和具有该属性值的各记录的地址。由于不是由记录来确定属性值,而是由属性值来确定记录的位置,因而称为倒排索引(i
阅读全文
摘要:题目 hmm....代码硬伤暴击..>_<..,赶紧去补了一下php的序列化知识。。。 解题过程 题目已经说明了这题是php的反序列化。代码里面是一个类,类名xctf,类里面就一个string型变量,值为"111"。那么这题就是php的类的序列化。 __wakeup方法是php的魔术方法,当调用反序
阅读全文
摘要:题目 解题过程 扫了下端口和目录,没发现啥有用的信息。。。看了下提示,需要用到php源文件phps(咱之前没听说过) 访问:http://111.198.29.45:49502/index.phps,出现源码: <?php if("admin" $_GET[id]) { echo("<p>not a
阅读全文
摘要:题目 从给出的代码来看,参数名是page,并且过滤了php协议。正好之前学过文件包含漏洞,看能不能学以致用。。。 解题过程 输入:http://111.198.29.45:54883/index.php?page=data:text/plain,%3C?php%20phpinfo();?%3E 返回
阅读全文
摘要:题目 今天做CTF的时候,遇到下面这道题,看上去应该跟ThinkPHP版本5的相关漏洞。之前听过ThinkPHP有漏洞,具体情况不清楚。。。 解题过程 去vulhub上搜了下ThinkPHP,还真有,把docker容器打开看了下,页面一摸一样哈哈: 这是一个远程代码执行漏洞,先学习vulhub复现这
阅读全文
摘要:基础知识 今天和昨天的漏洞都跟SpEL有关。SpEL是Spring的表达式语言,支持在运行时查询和操作对象图,可以与基于XML和基于注解的Spring配置还有bean定义一起使用。由于它能够在运行时动态分配值,可节省大量Java代码。 用bean做实验: 调用结果: 漏洞原理 在REST API的P
阅读全文
摘要:漏洞原理 Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞 复现环境 在ubuntu 16.04虚拟机中用vu
阅读全文
摘要:目前在看Spring相关的漏洞,然额我只知道Spring是Java的一个框架,听说过IOC和AOP,其他一概不知>_<,咱怀着敬畏的心情,浅显的了解了一下Spring。 Java的框架太多了,顺便把常用的都查了下到底都是干啥的>_< Java比较著名的框架 MVC框架 struts1:最早的MVC框
阅读全文
