- 博客(54)
- 资源 (1)
- 问答 (1)
- 收藏
- 关注
RSS订阅
原创 weblogic 反序列化 (CVE-2020-2551)漏洞复现(vulfocus)
weblogic 反序列化 (CVE-2020-2551)漏洞是基于IIOP协议执行远程代码进行利用。
2023-04-27 21:38:12
1884
原创 Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
2、无法升级的用户可通过验证Kafka Connect连接器配置,仅允许受信任的JNDI配置来缓解此漏洞。在该功能中,将payload填写到Consumer properties属性值中即可。在payload提交前,请先在vps机器中开启ldap服务。在Load data功能页中的Streaming功能中。我是通过vulhub下载的环境,下载后直接启动即可。打开页面,漏洞点在Load data功能页中。使用低版本的jdk中的ldap服务即可。
2023-05-14 19:43:26
1919
5
原创 kibana 代码执行 (CVE-2019-7609)
原型污染”是一种针对JS语言开发的攻击方法。JS语言中,每一个对象都是有其原型()的,而该原型又有其自己的原型对象,直到某个对象的原型为null。而如果JS对其中定义的对象原型的属性读写缺乏控制,容易让攻击者操纵一些敏感特征,从而实现攻击者的目的。该漏洞就是是一个由于JS语言的“原型污染”,导致靶机环境量被污染,最终获得shell执行的漏洞。
2023-05-14 16:58:18
865
原创 druid 远程命令执行 (CVE-2021-25646)
启动服务,输入对应的8888对应的端口。druid服务控制端一般是绑定在8888端口。直到出现填写optional filter。填完后,点击Add功能时,将包拦截。在LoadData 功能页面中存在Local disk功能,将其打开。发送包后,在dnslog平台可以获取到dns解析记录。将filter中的内容进行替换,修改为我们的poc。填写对应的值,其中的值是一一对应的。打开 Load Data 功能。2、限制非信任的设备对服务的访问。1、及时更新新的版本。
2023-05-12 17:18:29
825
原创 Druid 任意文件读取 (CVE-2021-36749)
该漏洞的利用较为简单,该漏洞之所以产生,首先是因为后台没有对传递的参数进行过滤,其次是由于对于权限没有进行限制。
2023-05-12 11:16:56
651
原创 Log4j2远程命令执行(CVE-2021-44228)
我采用的是较为简单便捷的方法进行复现,全程只是使用了JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具,另外,还可以使用ysoserial-0.0.6-SNAPSHOT-all.jar以及marshalsec-0.0.3-SNAPSHOT-all.jar。使用jndi注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar ,进行rmi注入。启动服务后,进入主页面,点击页面中的?链接,跳转到,目标地址。及时升级log4j组件。
2023-05-12 10:05:30
1210
原创 spring 命令执行 (CVE-2022-22947)
并且存在headdump文件,使用java -jar JDumpSpider-1.1-SNAPSHOT-full.jar .\heapdump进行一波分析,没发现有用的信息。2、缓解措施:如果不需要Gateway actuator endpoint,可通过 management.endpoint.gateway.enabled: false 禁用它。在http://192.168.5.128:21849/actuator/gateway/routes/页面下,发现路由信息。添加spel语句,执行系统指令。
2023-05-11 22:26:09
976
原创 (CVE-2022-22965)Spring Framework 远程命令执行漏洞(vulfocus复现)
该漏洞是SpringFramework数据绑定的一个漏洞,如果后台方法中接受的参数为非基础类型,Spring会根据前端传入的请求正文中的参数的key值来查询与其名称所对应的getter和setter方法,攻击者利用这一特性修改了Tomcat的一个用于日志记录的类的属性,进而当Tomcat在进行写日志操作的时候,将攻击者传递的恶意代码写入指定目录的指定文件中。
2023-05-11 15:36:41
804
原创 shiro CVE-2016-4437 漏洞复现
shiro550漏洞,漏洞点就在于用户信息反序列化可利用,并且加密的key值给了一个固定的默认值的,导致很多开发人员直接使用,接着导致了洞的产生。
2023-05-09 11:23:57
845
原创 Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238)
fastjson在对 JSON 字符串进行反序列化的时候,会读取 @type 的内容,试图把 JSON 内容反序列化成这个对象,并且会调用这个类的set方法, 利用这个特性,构造一个 JSON 字符串,并且使 用 @type 反序列化一个自己想要使用的攻击类。com.sun.rowset.JdbcRowSetImpl就是一个支持调用rmi功能的类。因此可以使用com.sun.rowset.JdbcRowSetImpl类进行远程调用exp。
2023-05-08 14:32:58
649
原创 struts2 代码执行 (CVE-2021-31805)漏洞复现(vulfocus)
发现漏洞参数是name.可以看到此处测试payload=name=3*3查询了其它很多人的博客,只发现一篇博客是这样,但为什么payload中需要再加一个注入点参数,也没有说明原因,有大佬知道,希望可以指点下。(个人猜测是二次解析的原因)
2023-04-24 13:23:51
409
原创 youdiancms 9.5.0 版本 SQL注入(vulfocus复现)
从上述信息,可以看到,web服务的80端口被映射到62461端口,并且该服务对外开启了3306端口并映射到20130 端口。并且给了数据库的相关信息。
2023-04-24 12:32:18
1022
原创 struts2/s2-061(vulhub复现)
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。S2-061是对S2-059沙盒进行的绕过。
2022-10-31 16:15:05
938
原创 【BUUCTF之[MRCTF2020]你传你呢 1】
首先,正常上传图片文件,竟然因为文件大小的问题,上传失败,就挺难受。不过还好,总算知道是什么原因不能上传。总体来讲,这道题,难度是可以的,需要一步步的进行尝试。
2022-10-25 16:21:59
5090
原创 【BUUCTF之[BJDCTF2020]Easy MD5】
个人感觉,给了源码的题,这个难度基本就是送分题,如果不给源码,感觉难度可以上升一点,首先我们可以使用web目录直接爆破出levell14.php页面,但可以使用refer限制来源,这样我们就可以老老实实的从leveldo4.php页面开始。难度就会上升,比较考验字典了就。(本质上来说,这道题实质就是考察md5的绕过,难度一般)。
2022-10-25 12:04:21
1046
原创 【xctf之Background_Management_System】
这道题结合sql二次注入,ssrf漏洞,伪协议访问,以及最后的符号编码问题,总体来讲难度,中等。尤其是最后的编码问题,?需要二次url编码,空格被过滤,需要使用+进行连接,并且需要+进行编码。
2022-10-22 12:18:07
294
原创 xctf之warmup
仅一个登陆页面。这是附件中的源码。从上述源码可以看出,username与password被过滤了,并且没有办法进行绕过。username与password字段首先被addslashes()函数进行转义,‘、“、/都会被转义。然后在SQL类中query()函数调用waf()函数进行进一步的拦截。正常来讲,这两个字段不存在sql注入漏洞。但关键点在于cookie,cookie处存在反序列化漏洞。首先可以构造sql类,此处有两种方法可以进行注入,进行登录绕过。一、使用内连接进行绕过。此种方法是官方w
2022-10-21 11:36:14
620
原创 【xctf之bilibili】
不慌,先扫描下网站目录。发现存在注册登录界面,先注册个账号,登陆进去。打开网站后就是这,题目上提示说存在逻辑漏洞。想到应该是购买礼物时存在逻辑漏洞。修改折扣值,可以成功购买。在主页上发现让我们买到lv6找了很多页,没有找到lv6。使用脚本,进行页面搜索。在181页成功找到。修改折扣值。提示需要admin才可以访问。此处我们可以发现使用的jwt验证。那么下一步使用jwt伪造。失败。那么下一步只能使用jwt爆破。有一说一,我字典不行,我使用crunch生成的字
2022-10-20 11:53:37
362
原创 【xctf之Zhuanxv】
打开链接地址,发现就一个这,没任何提示。那就web目录先来一波扫描。发现了一个页面,先看下。是个后台登陆界面,大胆猜测存在弱口令?爆破失败。没办法了,先看看网页源码还有网络请求吧。看到这个请求是请求背景图片加载,看着和正常的图片加载感觉不太一样,是不是存在任意文件读取呢?尝试文件读取fuzz,失败。(有一说一,到这我就没思路了。。。。。我是真的菜。)看了官方writeup,发现github搜索了下Zhuanxv,可是我找到git项目的时候啥也没有就一个没用的默认用户和密码。
2022-10-13 11:50:57
609
原创 【xctf之unseping】
这是一道,让我头皮发麻的题,前期感觉一般,后面感觉好像搞不定了。。。看了writeup才知道php还能这样用。。题目如上,一眼就可以看出这就是考察php的反序列化,感觉这不so easey?好像还真不是(菜鸡挠头)。首先就是正常的反序列化,在反序列化的时候首先触发__wakeup()函数,迭代args参数中的值进行过滤,解题的关键就是绕过这个过滤。可以看到,
2022-10-12 13:36:57
5015
7
原创 【xctf之very_easy_sql】
题目如上,既然这道题的名称就是sql,那么就是让我们找到sql注入点。题目下面介绍说是签到题,我信了,然后我人麻了。。。我以为签到题可能就是注入点直接给我们了,然而并不是,这是一道较为复杂的题,起码对我来说是的。这道题包含gopher协议结合ssrf漏洞的sql注入。首先,在页面上有两个输入框,进行尝试了下,发现不是注入点,然后我们看到请求返回包中,存在use.php提示,并且(后面我们发现此处存在一个大坑。)
2022-10-11 13:21:19
2533
2
原创 【xctf之easyphp】
题目如上,这个题需要绕过很多。。首先考虑参数A的绕过a参数不可以为空,并且intval($a)的值大于6000000,而且长度不能大于3。那有什么好说的,这个intval()可以用科学计数法进行绕过,直接1e8,对于a参数的拦截已经绕过。下面来看b参数的绕过,关于b参数,要求8b184b与他的substr(md5($b),-6,6)值相等,这个说实话,一开始我想到的是不是可以绕过,但后来发现好像不太行,然后就使用爆破了。
2022-10-11 12:23:22
698
原创 Xctf之file_include
进入给的地址,看到这个源码,首先想到,使用php伪协议进行读取,flag.php文件,直接filename = php://filter/read=convert.base64-encode/resource=flag.php,发现提示个上述图片中的一样,然后使用string.rot13编码,还是无法绕过,正好在查找关于php伪协议的时候,看到一篇关于php://filter以及死亡绕过。尝试下,发现可以。ok,完成。
2022-10-11 10:00:43
1137
原创 【Looz靶机】
Looz靶机nmap扫描,发现靶机IP地址以及对应开启的端口,发现80、22、3306、8081端口开启,先打开80端口的网站,发现源码存在提示。存在一个账号以及对应的密码。john:y0uC@n’tbr3akIT。但经过目录扫描,未发现任何可以利用的页面。扫描8081端口,发现该端口存在web服务。但直接使用ip地址:8081无法进入,使用dirsearch目录进行探测,发现是wordpress。进入/wp-admin/目录,发现需要跳转到http://wp.looz.com/网站,
2022-05-31 22:31:28
653
原创 【sql注入之dns带外通信实践】
带外通信技术,通常使用在无法直接利用漏洞获得回显的,但目标确实存在漏洞的情况下使用,通过DNS请求就可以把想获得的数据外带出来。带外通信使用在sql注入的条件如下:部分文章介绍带外通信时,提及需要设置 secure_auth=ON并且secure_file_priv=’‘。但我在环境实现时发现,只需要设置下secure_file_priv=’‘即可,当然可能时因为版本的问题。我使用的mysql版本如下:使用的dnslog是用的ceye平台的,自己个人资料中的标识符中的地址就是dns回显地址。h
2022-05-29 22:29:16
869
原创 【muzzybox靶机】
信息搜集使用nmap扫描获取靶机所在地址以及对应开启的端口信息。使用namp 指定扫描1-65535所有端口,发现了一个刚才没发现的端口。当前发现靶机开启的端口有22/tcp open ssh80/tcp open http3000/tcp open ppp8989/tcp open sunwebadmins9633/tcp open unknown15000/tcp open hydap打开80端口开启的web服务,发现一个文本文件。该文件是提示
2022-05-27 22:41:38
580
原创 【pylington靶机】
信息搜集启动靶机。使用nmap扫描网段地址,发现靶机ip地址以及对应对外开启的端口服务。web服务探测使用dirsearch扫描下网站目录,发现一个关键文件robots.txt,打开发现一个无规则字符的文件。发现一个用户以及密码。登录成功后,发现一个连接地址。打开连接后,发现一个在线python执行页面,并且提示,不可以使用os模块,并且有示例文件。发现执行代码,存在import代码和os以及open函数时,将会被拦截。line= "import os;os.sy
2022-05-26 11:57:55
186
原创 【Chronos靶机】
信息搜集使用nmap扫描获取网段信息。获取到靶机的ip地址以及相应开放的服务端口。web服务探测打开靶机web服务,在网络连接中,发现一个域名解析失败。这个域名应该是靶机的8000端口的服务。在/etc/hosts文件中添加域名解析。域名解析成功。发现其中http://chronos.local:8000/date?请求时options请求方式,感觉可能会有点信息可以利用。使用bp尝试更改下请求方式。更改方式加上修改参数的值,发现存在一个经过编码的参数值。发现只是base
2022-05-24 21:58:18
352
原创 【HACKER KID: 1.0.1靶机】
信息搜集开启靶机。使用nmap扫描,发现存活靶机,192.168.85.145,靶机开放端口为53,80,9999。进一步搜集下对应段开启的服务。发现,9999端口开启的是tornado服务。先打开web网站,看下。好像再提示挖掘?还是使用dig工具?先放下,继续搜集信息。#app.html页面源码,发现存在提示,给了一个参数。这个参数应该是页面数,先尝试下。发现page_no=21时,返回数据不同。提示我们这个网站还绑定了一个域名,先添加到/etc/hosts文本中。
2022-05-23 12:24:29
1307
原创 【CFS靶机】
环境靶机网络环境上面图片标记的❌,是因为每个人的网段配置都不同,这个上面写的网段史错误的,具体需要配置完自己的网段后,才知道每个网卡所属网段。王网卡一配置的是nat模式,网卡二配置的是主机模式的网卡。vmnet1与vmnet2都是主机模式,只是不属于同一个网段。配置靶机web服务环境。首先配置靶机1的web服务。登录靶机,先获取下靶机ip地址,上面的ip地址是nat服务的ip地址。打开http://192.168.85.143:8888/a768f109/登录宝塔网站管理界面,添加
2022-05-22 10:37:23
431
原创 【Deathnote靶机】
信息收集开启deathnote靶机。通过nmap扫描,发现靶机开启了80端口以及22端口。地址栏输入ip地址,页面跳转。因此需要配置dns。配置下/etc/hosts文件。使用whatweb工具识别下web服务中使用的技术,发现使用的是wordpress框架。发现http://deathnote.vuln/ 网站下存在关键文件robots.txt。上面提示到提示信息在important.jpg文件中。图片无法正确加载出来,那就先下载下来。发现直接使用cat方法可以直
2022-05-19 21:45:14
663
原创 【BUUCTF之easy_tornado】
打开题目网站,发现存在三个文件,都打开看了下,在hint.txt文件中发现提示。在flag.txt文件中也有提示flag在/fllllllllllllag文件中。整理下思路,这道题其实关键点在于hint.txt文件中的cookie_secret值。但考虑到题目名中包含tornado这个关键词,百度下发现这是一个python的web框架,搜索下是否存在可以读取配置文件的漏洞,发现这个框架存在可以读取配置文件的漏洞。想到还有一个welcome.txt文件,上面提示到render,渲染。想到ss..
2022-05-15 11:57:26
880
原创 【[ACTF2020 新生赛]BackupFile】
打开目标网站后,发现提示尝试发现源码,结合题目backupfile,这道题应该需要发现网站的备份文件,通常备份文件一般是,index.php.bak、www.zip、/.bak等。这道题的备份为index.php.bak。源码如图所示,考点在于php的若等于绕过问题。看到key需要时int型整数,并且需要和str变量==相等,由若等于可以知道,当整数值与开头数字且包含字符的字符串时,会强制转换成只保留数字字符的整数型。那么如题,key=123即可。flag已经获取到。参考链接PHP 类..
2022-05-14 21:00:37
730
原创 【DC9靶机】
信息搜集启动dc9靶机。先使用nmap工具扫描网段,获取到dc9靶机的地址192.168.85.140,且靶机开启了22端口以及80端口。sql注入漏洞利用打开dc9靶机的http网站。搜集下网站信息。在搜索处,测试下是否存在sql注入。将请求信息保存到文本文件中,使用sqlmap指定文件进行注入测试。发现该处确实存在注入点。成功读取到账号密码,但密码是hash值,因此需要破解。破解成功,获取到密码。文件包含漏洞的利用经过一段时间的测试,发现该处好像存在文件包含漏洞,
2022-05-13 22:04:04
368
原创 【DC8靶机】
信息收集开启dc8靶机使用nmap扫描下当前网段。发现存在dc8靶机192.168.85.139主机。且主机开启了22端口以及80端口。打开http服务。web——getshell经过测试,在home页面中,点击侧边栏,存在nid参数,经过测试该处存在sql注入点。经过测试,当前数据表存在一个字段。使用联合注入的方式获取到当前数据库名,d7db。获取当前数据库的表个信息。看到当前数据库存在users数据表格。Payload= nid=-1 union select gr
2022-05-13 21:33:32
353
草滩男子职业技术学院校园网一键登录
2022-09-27
eclipse中已经导入本地dtd文件,有标签提示,但没有标签内的属性提示。
2019-03-06
TA创建的收藏夹 TA关注的收藏夹
TA关注的人