- 博客(327)
- 收藏
- 关注
原创 yy加载服务-权限提升
查看yy加载服务详细信息:查看服务绑定的可执行文件权限:启动kail机器,并使用 msfvenom 生成一个 exe-service 有效负载并通过 python 网络服务器提供服务:使用wym账户进行修改文件:为了节省时间,直接重启服务:
2025-01-12 17:00:19
155
原创 llvm-编译流程(C++语言)
这段 AST 表示的是表达式a + b + 3外层:表示加法运算符。左侧操作数:是另一个,表示a + b。右侧操作数:是字面量3。内部的:表示a + b的计算。左侧操作数:变量a,它通过隐式类型转换被转换为右值。右侧操作数:变量b,它是Demo_int类型(实际是int的别名),同样通过隐式类型转换转换为右值。常量3:作为加法的常量部分,直接参与加法运算。最终,a + b + 3将被计算,结果为一个int类型的值。:函数的作用域,大括号的开始与结束{}DeclStmt:局部变量声明。
2024-12-06 00:17:12
1179
原创 Fastjson反序列化
Fastjson反序列化一共有三条利用链反序列化核心反序列化是通过字符串或字节流,利用Java的反射机制重构一个对象。
2024-10-04 17:25:50
1323
原创 linux RCE本地/公网测试
CVE-2024-47176 漏洞 |<= 2.0.1 在 UDP INADDR_ANY:631 上绑定,信任来自任何来源的任何数据包,以触发对攻击者控制的 URL 的 IPP 请求。CVE-2024-47076 漏洞 |libcups过滤器<= 2.1b1 不会验证或清理从 IPP 服务器返回的 IPP 属性,从而向 CUPS 系统的其余部分提供攻击者控制的数据。CVE-2024-47175 漏洞 |libppd。
2024-10-04 17:25:09
1098
1
原创 Webshell机制绕过的个人理解总结
在字符串中拼接变量执行php??a=id免杀手段的主要利用原理就是混淆代码、更改执行位置等,通过让检查机制混淆检查的结果,从而误认为该文件无害。因为为了提高检查的效率和降低误报率,WAF等安全产品是存在一定的缺陷,并不会检查彻底,例如溯源查找有次数限制等等,那我们通过足够长的嵌套是有可能逃出查杀。
2024-09-21 23:38:08
1128
原创 Kerberos自我总结Kerberos自我总结
域名: redteam.lab域控:操作系统: Windows Server 2016主机名: DC2016域内主机:操作系统: Windows 10主机名: WIN10-1攻击机:操作系统: kali Liux这里Kali也在内网中,主要是便于技术的展示,在实际情况中需要搭建代理,可以收用frp、chisel等攻击,再使用proxychains进行代理的连接!域名: redteam.lab域控制器:操作系统: Windows Server 2016主机名: DC2016。
2024-09-21 00:18:04
2439
原创 Redis未授权访问
但是通过phpinfo得知的信息是当前目录为/var/www/html。所以应该是无权限写入,那么就需要爆破子目录,看看子目录有没有写入权限。尝试传入生成的值或者二次编码后在传入,结果:网页瞬间刷新,无反应。造成的原因可能有两种:一种是无权限写入,另一种是写入的路径错误。,使用http协议去探测这台主机上面的存活端口以及C段存活主机。使用BP爆破端口,可以看到目前服务器好像只有一个80端口有用。BP爆破一下内网的存活主机,可以发现。可以得到当前主机的IP地址信息为。由PHP代码可知,传入的参数为。
2024-08-25 00:02:17
553
原创 DOM Clobbring个人理解
就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改⻚⾯上 JavaScript ⾏为的技术DOM Clobbering中的操作也是根据JavaScript行为的层级来分为一层、两层、三层和更多。
2024-08-17 23:17:13
1636
原创 Ok, Boomer
DOMPurity的绕过,关键点在于它返回的序列化HTML不符合HTML规范,包含了嵌套FORM元素,所以导致浏览器解析出的DOM树是错误的,img标签直接创建在HTML空间中DOM Clobbering的重点,在于对“ok”的覆盖,a标签的toString方法是不继承于父类的,它返回的值是href属性。所以直接href属性中编写执行函数即可,但是由于没有绕过DOMPruity,因此使用的协议需要是在它的白名单内。
2024-08-17 22:37:48
249
原创 Mafia
正则对于函数名进行过滤,绕过该WAF一共使用了三种方法,分别为正则表达式的source属性与toLowerCase搭配绕过parseInt与toString转进制绕过location.hash绕过使用source与toLowerCase来进行绕过,只能针对过滤函数名为全小写的情况,当函数名中即拥有小写字母也拥有大写字母时,作用不会太大。因此相比较之下方法二与方法三的使用范围会大些。
2024-08-17 22:36:43
522
原创 Ligma
当遇到数字字母过滤时,基本都是依靠一些符号进行异或等等运算构成字母数字来进行绕过,所以直接用符号进行传入参数即可。但是实际场景中,一般都会搭配长度限制,由于符号运算去构成字母的字符串长度都比较长,所以很少能直接绕过。
2024-08-17 22:35:39
299
原创 Ah That‘s Hawt
为什么使用两次编码来绕过?因为浏览器将变量值传给语言后端的时候会进行一次编码,语言后端又将变量值返回给浏览器时又会进行一次编码,所以需要两次编码来进行绕过如果只使用一次编码,那么在浏览器传给后端的时候,就会把编码还原成原符号被正则过滤。两次URL编码进行绕过的时候为什么要使用location?location的作用是将等号"="右边的值转换为字符串,因为在JS中对于符号的解码,是只能作为字符常量或者是作为标识符的一部分,不能作为特殊字符解码。
2024-08-17 22:34:24
358
原创 Ricardo Milos
form表单的action属性位置也是大有可为,该属性可以定义提交事件,即可以在action属性中可以编写执行函数。一般情况下,该属性填写的是表单的提交路径。
2024-08-17 22:33:02
365
原创 Ugandan Knuckles
用onfocus属性来定义聚焦事件,搭配autofocus属性自动聚焦,即可完成无用户交互也可执行input中还有个有趣的属性为onclick点击事件条件允许时,可以使用闭合双引号,逃逸尖括号来逃逸出标签。
2024-08-17 22:32:03
430
原创 Jefff
不要使用eval(),因为从字符串执行JavaScript是一个很大的安全风险。使用eval(),恶意代码可以在未经许可的情况下在应用程序中运行。使用eval(),第三方代码可以看到应用程序的范围,这可能会导致可能的攻击。灵活性:eval() 允许在运行时动态执行代码,这在某些情况下可能非常有用。简单性:对于一些简单的操作,使用 eval() 可能会比其他方法更直观。安全风险:如果 eval() 执行的字符串包含来自不可信来源的数据,可能会导致注入攻击。
2024-08-17 22:30:37
606
原创 Ma Spaghet!
innerHTML表示元素所有的后代html,该范围包括文本节点,注释节点,元素节点等内容。在读写该属性时,我们可以获取一个字符串,这个字符串包括元素内部的内容,包含空格,换行,注释。innerText表示元素所有的文本内容,包括文本节点,子元素和后代元素的文本节点,只包括内容,不包括注释空格等所以,当需要插入纯文本时,建议不使用innerHTML或outerHTML,而是使用innerText或它不会把给定的内容解析为 HTML,它仅仅是将原始文本插入给定的位置。
2024-08-17 22:28:13
260
原创 无字母数字命令执行
处理跨平台的文本文件时遇到了换行符不一致的问题,你可以使用各种工具来转换文件的换行符格式,比如`dos2unix`(将Windows风格的换行符转换为Unix/Linux风格的换行符)和`unix2dos`(将Unix/Linux风格的换行符转换为Windows风格的换行符)等。如果文件是二进制文件,并且包含`0D`作为数据的一部分(而不是作为行的结束符),那么这些`0D`字符将按原样保留,并在执行文件时作为数据的一部分进行处理。可以发现自己编写的文件中只有0a,而临时文件中是0d0a。
2024-08-12 23:29:41
975
原创 eval和长度限制
传入usort函数。usort函数的第二个参数是一个回调函数。新建文件使用usort也没有进行echo aa。最后说一下,这个方法基本无视任何WAF。理论过程:GET变量被展开成两个参数。使用反引号包裹定义的新传参,如。,其调用了第一个参数中的。为webshell即可。
2024-08-12 00:23:31
547
原创 无参数函数读取
1)使用dirname获取' . ',是因为当dirname的path参数中没有'/'时,它会认为没有父目录,所以返回的当前目录' . '2)绕过WAF的方法是使用无参数函数的返回值来代表该code变量,然后控制返回的值为我们能够修改的变量,因此WAF检查的全是无参数函数,但是代码执行函数后,其值就变成了我们所能够控制的变量值。
2024-08-11 22:51:27
814
原创 SQL注入实例(sqli-labs/less-16)
使用python脚本,查询后续的内容修改concat的范围就行。python脚本爆库名。使用python脚本。使用python脚本。
2024-08-08 14:51:00
471
C语言万年历系统(控制台版本)
2024-03-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人