- 博客(212)
- 收藏
- 关注
RSS订阅原创 网络安全-jsp绕过
我们来看一下这个样本,它提交的一个参数是 StringBuilder,cmd,把我们执行结果转换成一个流放进InputStreamReader进行一个包装,把字节流转换成字符流,执行之后把结果放入stringBuilder.toString();而这个WebShell为什么可以绕过,正因为它加载的是一个字节码,没有任何关键词,所以我们来尝试进行一个执行,很明显咱们的一个命令执行已经生效了,并且权限相当大可以执行net user。运行一下看看相当于对这个类生成了一个字节码。也可以执行一个计算器。
2024-09-24 14:36:54
858
1
原创 网络安全-CSRF
这个漏洞很早之前了,但是为了避免大家在面试等等的时候被问到,这里给大家温习一下CSRF全程是没有黑客参与的,全程都是用户自己在操作。
2024-09-22 16:57:11
377
原创 网络安全-webshell绕过,hash碰撞,webshell绕过原理
那既然这样我们怎么去处理呢,这个是非常巧妙的current是返回当前数组的元素,也就是当前数组的值current,此时它就从current重新变成了current($_POST[a])($_POST[b]),变成它a是一个数组,b就是你的任意命令。当然,这只是两款免费的webshell查杀工具,当前我们算是绕过了,但如果是花钱买的,这个动态传参多半是可以监控到的,因为用户可以控制,至少免费的绕过了,如何去利用呢,call_user_func老朋友了,回调函数。
2024-09-21 12:09:56
1628
原创 网络安全-shire写任务计划、反弹shell、写私钥、反序列化
我们经过前面文章很清楚知道,shiro是将数据存储在内存当中,内存落盘实现一个数据存储,而当其结合python,python将登录的session存储到shiro里面就会造成一个反序列化漏洞看看环境登录信息存到session序列化一个引擎序列化存入那我们就需要反序列化的方式取出pass:python序列化的两个方法pickle.dumps、pickle.loads。
2024-09-18 15:07:33
790
原创 网络安全-ssrf
pass:readis【6379】未授权访问(写入webshell,物理路径,写入任务计划(反弹webshell),写入公钥(直接登录服务器))很盛行,因为低版本90%的人基本上不会设置密码,但到2024年有些企业很注意这个点了,大部分人也开始设置了。所以像 mysql 的服务,因为也是基于 tcp 协议开发,所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容,比如我本地开的mysql我们尝试读取。pikachu,这里我直接docker拉取的,我只写原理,靶场都是随便找的。
2024-09-17 23:46:23
1875
原创 网络安全-LD_PRELOAD,请求劫持
首先disable_function不能禁用mail和error_log这两个函数,因为putenv可以创建环境变量,可以把LD_PRELOAD环境变量创建出来,加载我们创建的一个.so文件,而我们的mail函数在执行的时候会创建一个新进程调用sendmail,sendmail会创建系统服务getuid,而我们创建的恶意的.so文件恰好就劫持了mail调用诸多函数的其中一个比如getuid,会提前执行我们的恶意函数,自然也就执行了。
2024-09-17 14:59:02
925
原创 网络安全-intigriti-0422-XSS-Challenge Write-up
那怎么污染的,我们通过结果看过程,最后因为svg是我们插进去的,在没有插进去之前div应该是第一个,相当于就是将root覆盖为了root,但是我们的命令在进去之前已经被js处理为数组了,所以最后[outerHTML]后面还有一个1去取payload。JavaScript中,数组的下标可以⽤字符或是字符串数字来取值,所以在原型链中,我们可 以给[]对象添加⼀个名称为1的属性,这样 temp 在通过下标 1 取值的时候,实际上取到的 是数组中属性为 1 的值。我们可以看到已经被污染。要求:弹出域名就算成功。
2024-09-13 15:15:19
814
原创 网络安全-原型链污染
JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象,对象以其原型为模板、从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。
2024-09-10 16:50:30
1490
原创 网络安全-dom破坏结合jq漏洞以及框架漏洞造成的xss-World War 3
如果notify为真的话那么html是代码解析meme-code的值在页面随便输入一个text=aaaa&img=bbbbb很明显调用到这里因为text和img都存在了而我们可以很明显看到一点Meme Code没值,没值的话那就代表onload根本没有加载,当我们什么都没写的情况下很明显加载值了当我们把地址参数写对的情况下,我们的onload很明显是可以执行的而我们从始至终都没有看到created...,因为notify是false1.绕过过滤框架2.html 逃逸出style标签。
2024-09-10 10:42:43
1129
原创 cms框架cookice注入漏洞
通过审计代码中,有远程登录板块,而可以看到这个板块是从cookie中拿出来安全码,而上一步未授权我们已经成功拿到安全码,拿到后通过xxtea_decrypt这个函数进行解密,解密后进行一个反序列化。我们可以看到构造函数ip是通过X_FORWARDED_FOR来获取的,而这个刚好可以伪造,那我们再加着ishtml=1就达成了第一个要点未授权访问。我们将安全cookie添加到我们的index.php后,开始写我们的语句。原因:我们需要和源码是反着的,源码:先解码,再解密,再序列化。先序列化再加密再编码。
2024-08-08 07:50:07
587
原创 [网鼎杯 2018]Comment1复现
BUUCTF在线评测首先我们通过靶场进入发现是一个留言板通过dirsearch收集目录获取一个重要资产目录,我们通过访问,很清楚是一个.get的源码泄露,我们尝试恢复一下,恢复工具为githacker工具安装:开始恢复恢复源码如下2.2源码分析2.2.1源码中写了一个get[do]这个参数点击发帖我们可以看到而源码中这个地方没有注入点因为有addslashes(php中防注入函数)我们提交个数据看看详情,代码是走到了comment底下而这个地方很明显没有过滤而addslashes在
2024-08-06 07:23:03
727
原创 sql注入之无列名注入
我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息,而在市面上很多厂商的waf会对其进行过滤和黑名单,而我们在不使用information_schema库,那只能去看看mysql中其他与生俱来的库,这个时候sys库就尤为显眼。
2024-08-05 19:35:33
786
原创 thinkphp框架远程代码执行
一定添加--privileged不然只能拉取环境首页不显示。二、thinkphp远程代码执行。vulfocus网上自行下载。
2024-07-29 05:30:32
604
原创 向日葵RCE复现(CNVD-2022-10270/CNVD-2022-03672)
在浏览器中访问ip+端口号+cgi-bin/rpc?action=verify-haras (端口号:每一个都尝试,直到获取到session值CID)Cookies添加拿到的CID后加上payload请求。首先打开nmap扫描向日葵主机端口。网上下载低版本的向日葵
2024-07-29 01:07:12
509
原创 渗透hfs任意命令执行
我们使用这个命令执行漏洞去添加一个用户。输入我们刚才创建的ad和123456。将用户添加到管理员组和远程桌面组。将用户添加到远程桌面组。
2024-07-21 02:38:01
342
原创 csrf+xss组合拳
这个漏洞很早之前了,但是为了避免大家在面试等等的时候被问到,这里给大家温习一下CSRF全程是没有黑客参与的,全程都是用户自己在操作。
2024-06-19 15:28:18
777
原创 内网渗透-不出网cs的各种姿势(内网穿透)
官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons连接后,子Beacon从父Beacon获取到任务并发送。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
2024-05-20 16:18:14
1575
原创 DVWS靶场全总结(详细)--主要用来复习(暂未完善,累了大体框架已成)
看源码可以看到,开发人员将该密码修改操作分成了两步,第一步通过验证码验证是否机器人且验证两次密码输入是否一样,验证通过后,服务器返回表单,第二步,要求用户确认修改密码,客户端提交post请求,服务器完成更改密码的操作。session称为会话信息,位于web服务器上,主要负责访问者与网站之间的交互,当访问浏览器请求http地址时,将传递到web服务器上并与访问信息进行匹配, 当关闭网站时就表示会话已经结束,网站无法访问该信息了,所以它无法保存永久数据,我们无法访问以及禁用网站。
2024-05-10 16:54:35
1132
原创 kill中内网渗透工具-msfconsole
这个进程干两件事情,把你的明文密码在进程中存储一份(这里就是它的破绽,既然你在内存中,那我就可以存内存中抓取出来),第二个事情把你的密码进行一个加密,加密后存到SAM这个文件中。迁移了还是没有抓取到那我们可能需要继续迁移,也可能Windows有限制,但其实我们抓到hash值已经够了,因为明文进去也是加密,用密文去进行比对,我们为何不直接用密文?去kill上面看,我的权限很容易可以看到是在管理员组的,那我们hashdump,拿到我们对应win-10的hash值。所以我们要干的一件事情就是迁移我们的进程。
2024-04-25 16:30:23
878
原创 安全中级-环境安装(手动nginx以及自动安装php,mysql)
为了方便大家跟bilibili课程,出了第一节环境bilibili搜凌晨五点的星可以观看相关的教程。
2024-04-16 23:25:06
1010
原创 安全中级-初开始
wireshack抓包会有一个MSS(1460),代表什么--(除去IP和TCP头部,数据包TCP数据的最大长度)本地DNS缓存查询-->DNS递归查询-->根域名服务器查询-->顶级域名服务器查询-->解析失败。重要点:TTL值(防环,linux64.Windows128 ),IP数据包包头格式字节(20)文件上传为什么1.为什么消失 2.谁删除的 3.如果我现在要做一个正常的文件上传,应该怎么做。如何最多获取一个网站的ip地址(nslookup[域名解析],tracert)
2024-04-16 01:42:41
1101
原创 网络安全-内网渗透-Kerberos(票据)
在Kerberos协议中主要是有三个角色的存在:访问服务的Client(以下表述为Client 或者用户)提供服务的Server(以下表述为服务)KDC(Key Distribution Center)密钥分发中心 kerberos 测试工具介绍流程图:简单来说:Kerberos是一种基于票据Ticket的认证方式。客户端想要访问服务端的某个服务,首先需要购买服务端认可的。也就是说,客户端在访问服务之前需要先买好票,等待服务验票之后才能访问。但是这张票并不能直接购买,需要一张。
2024-04-01 13:10:55
1204
1
原创 网络安全-内网渗透2
我们是有一款工具hashcat专门破解net-HTLMv2-HashMD5的值不是破解出来的,是对明文对出来的md5在线解密破解,md5解密加密 (cmd5.com)但是对于破解net-HTLMv2-Hash概率很小。
2024-03-31 17:49:07
1517
原创 真实sql注入以及小xss--BurpSuite联动sqlmap篇
因此我尝试了注入,在order by 1和order by 2的时候是没有报错的,而3就有了证明一件事情,表格是两列,咱们暂且确定他是user列和password当然是我猜的。那就ok了,我们直接去sqlmap爆破即可,这里提示一个小点,BurpSuite联合sqlmap使用,将数据包导出来然后导入sqlmap目录下使用。首先我先去网站的robots.txt去看了看无意间发现很多资产。很明显我输入的已经到里面了,我们现在尝试更改命令为查询语句。而当我注入列的时候情况出现了。出现了报错,有报错必有注入点。
2024-03-29 17:44:51
826
原创 hxp CTF 2021 - A New Novel LFI(新颖的解法)
编码形式,并且通过这个编码形式产生的字符串里面, C 字符前面的字符对于 PHP Base64 来说是非法字符,所以接下来我们只需要 base64-decode 一下就可以去掉不可见字符了,但是与此同时,我们的 C 字符也被 base64-decode 解码了,这时候我们需要再把解码结果使用一次 base64-encode 即可还原回来原来的 C 字符了。那这里有小伙伴就有疑问了,字符集编码怎么来的,这里就要说一个国外的老师将字符集编码进行了一个开源。那我们可以用Base64创造我们想要的内容吗?
2024-03-28 17:04:55
966
原创 ctf-36C3解析
所以整个流程我们可以总结为以下:1.利用compress.zlib://http://或者compress.zlib://ftp://来上传任意文件,并保持 HTTP 长链接竞争保存我们的临时文件2.利用超长的 name 溢出 output buffer 得到 sandbox 路径3.利用 Nginx 配置错误,通过.well-known../files/sandbox/来获取我们 tmp 文件的文件名目录穿越:4.发送另一个请求包含我们的 tmp 文件,此时并没有 PHP 代码。
2024-03-28 09:12:21
907
原创 网络安全-文件包含
我们先来看一个简单的代码当我点击click go baidu的时候直接就会实现跳转,而我的url后面会出现?file=这就是文件包含最经典的反应因为我靶机搭建在windows上面所以,我尝试读一下本地文件,但是会显示flag在当前目录文件下原因是在过滤了四个协议的情况下,不等于百度便会跳转到if返回本质其实是在file处传递了一个php://input这个协议,我们前几篇文章页说了phpinput可以接收post原始流比如任意命令执行。
2024-03-25 23:52:52
1657
原创 文件包含例子
include_once()与require()_once(),如果文件已包含,则不会包含,其他特性如上。文件包含可以读本地文件 ,但是只能读非php文件,因为include会将php文件解析。require(),会生成致命错误(E_COMPILE_ERROR)并停止脚本。include(),只生成警告(E_WARNING),并且脚本会继续。那我们可以让a=I want flag嘛,试试。现在报了一个没有这个文件的错误。因为此为文件流的形式读取。一、常见的文件包含函数。
2024-03-15 07:47:41
894
原创 phpcms上传导致getshell详解及案例
1.没有递归函数,导致文件夹内的文件并未被删除修复方法:递归函数2.先上传,后删除,利用时间竞争修复方式:创一个随机字符的文件夹名3.直接解压报错修复方式:在解压后,先删除一次4.利用../../跳出目录究竟是什么原因造成了这个漏洞,究其根本还是以为将用户不安全的POST数据写入了文件,并解压到web目录下了。把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,就不会有麻烦的安全问题了。
2024-03-14 16:16:08
2018
2
对于CLion,DataGrip,GoLand,IDEA,phpStorm,PyCharm,WebStorm如何启动
2023-06-01
学校刷课系统(下载文件自动跑程序,完美避过监控系统)
2023-03-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人