- 博客(113)
- 收藏
- 关注
RSS订阅原创 Java反序列化利用链篇 | CC3链分析、TemplatesImpl类中的调用链、TrAXFilter、InstantiateTransformer类的transform()【本系列文章的重点】
入口类 source调用链 gadget chain执行类 sink方式执行恶意代码。动态类加载任意类方式执行恶意代码。而入口类source和调用链gadget chain可以有很多组合,Java反序列化CC调用链中都是不同的组合类型。那接下来就是寻找方法的调用,其实这里可以接上CC1的前半部分调用链了,通过来进行调用。即将放入链中,然后按照CC1的方式调用即可。// 传入TrAXFilter.class,返回TrAXFilter.class,当做下一个transform的参数。
2024-09-22 20:36:11
789
原创 Java反序列化利用链篇 | CC6链分析(通用版CC链)
构造方法的第二个参数用不到,所以随意传入进行,但是重要的是它接受一个Object对象,而这个对象的类需要实现Serializable接口,如果不是,则后续的序列化不能成功。属性设置为空的map对象(除上面创建的lazyMap都行),则最终就不会触发到恶意代码 (当然其他的也行:只要保证整个链子到不了恶意代码就行)。方法在反序列化的时候会被调用,因此我们只需要创建一个HashMap对象,然后序列化即可。第2步将map属性设置为一个空的map对象(除上面创建的lazyMap都行)对象中的内容不完整呢?
2024-09-21 19:40:46
1021
原创 Java反序列化利用链篇 | URLDNS链
如果一个序列化的hashMap对象中存在一个URL对象,则在进行反序列hashMap对象的时候,就会触发URL对象的hashCode()方法,进而触发DNS请求。在put时不触发url的hashCode方法,这个显然也不行,只要put执行,hash()会执行,hashCode()必然执行,(除非key为空,但是不现实)。原因其实很简单,反序列化之前,hashMap对象存在URL对对象,但是URL对象的hashCode不是-1,因此反序列化时,执行不到。如果调用了URL对象的hashCode,则会调用。
2024-09-21 19:38:51
689
原创 JDK如何下载源码?
HotSpot VM:这是JDK中包含的Java虚拟机的实现,它负责执行Java字节码。JVM编译器:包括Just-In-Time (JIT) 编译器,用于将字节码转换为机器码。类库:包括标准Java API的实现,如java.langjava.util等。开发工具:如javac(Java编译器)、javadoc(文档生成工具)、jar(打包工具)等。
2024-09-20 23:29:22
351
原创 Java反序列化利用链篇 | CC1链的第二种方式-LazyMap版调用链【本系列文章的分析重点】
总结下来就是:动态代理的执行方法(即被代理对象lazyMap的任意方法)不能是equals\toString\hashCode\annotationType方法,且不能存在参数。在之前的CC1链中分析,其实是其中一种方式(国内版本),还有另外一种方式,也是ysoserial中的CC1链的方式(国外版本)。在寻找transform调用的时候,当时使用的是TransformedMap中的checkSetValue()方法。方法,只需要调用被代理对象的任意方法,则可以调用。
2024-09-20 23:27:31
642
原创 Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
2024-09-14 21:10:44
997
原创 JavaWeb中处理 Web 请求的方式总结
在 Java Web 开发中,处理 Web 请求的方式有很多种,涵盖了从原始的 Servlet 到各种现代框架的不同实现。
2024-09-10 21:41:29
1178
原创 Java代码审计篇 | ofcms系统审计思路讲解 - 篇3 | 文件上传漏洞审计
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
2024-09-10 20:34:19
1671
原创 Java代码审计篇 | ofcms系统审计思路讲解 - 篇2 | SQL注入漏洞审计
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。SQL注入漏洞审计Java代码审计篇 - ofcms系统审计思路讲解 - 篇1 - 环境搭建、路由机制。
2024-09-09 19:27:16
955
原创 Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。项目环境搭建项目路由机制文章中有错误点,或者思路上有什么问题的,欢迎师傅们留言指出~
2024-09-09 19:15:54
1186
原创 Java内存马系列 | SpringMVC内存马 - 下 | SpringMVC 内存马分析
整体漏洞利用+写入内存马的执行流程是:1)发送payload,即json数据,存在恶意rmi或ladp服务地址(fastjson漏洞)2)服务器收到payload之后,解析payload(fastjson功能),反序列化类,触发访问rmi或ldap服务的功能3)从rmi或ldap服务器请求了恶意的class文件,即内存马class文件,加载到受害者服务器中4)受害者服务器执行class文件代码,触发动态注册Controller等代码,在服务其中动态注册了恶意的Controller和映射。
2024-09-08 05:00:00
1389
原创 Java反序列化利用链篇 | JdbcRowSetImpl利用链分析
首先说明一下:利用链都有自己的使用场景,要根据场景进行选择不同的利用链。JdbcRowSetImpl利用链用于fastjson反序列化漏洞中。为什么?因为fastjson会在反序列化类时自动调用set开头的方法(不一定是setter方法),而JdbcRowSetImpl中存在一个set开头的方法,即,该这个方法中调用了connect()方法,connect()方法返回值是Connection。
2024-09-07 11:37:20
343
原创 zabbix-高级应用(主被动监控、邮件告警、企业微信告警)
当zabbix需要监控的设备越来越多时,手动添加监控设备越来越有挑战,此时,可以考虑使用自动发现功能。自动发现可以实现:发现主机、添加主机、添加主机到组、链接模版等。主动和被动都是对被监控主机而言的。默认zabbix采用的是被动监控**被动监控:**Server向Agent发起连接,发送监控的key,Agent接受请求,响应监控数据。
2024-09-07 09:00:00
1042
原创 华为防火墙 SSL VPN配置实验
SSL VPN 可以实现员工到公司内部,由员工电脑进行 VPN 连接。一般由员工 Web 登录虚拟机网关手动连接,或由 SecoClient 客户端自动连接。IPSEC VPN可以实现不同局域网之间通过Internet进行VPN连接,一般由网关设备进行VPN连接。在界面配置会显示“服务器忙,请稍后重试”。
2024-09-05 07:00:00
1813
原创 Vulnhub靶场 | DC系列 - DC9
还有一个思路,前面有各种用户的信息,可以尝试组成社工字典进行爆破(这个放到没有利用点的时候再尝试)”,满足3个参数,则第2个参数的文件内容写入到第3个参数的文件中。将username 列放入username.txt中,password放入到password.txt中。使用三个用户登录,进行信息收集。在janitor的家目录下发现隐藏目录,其中的文件是一个密码文件。注意:这里的22端口显示的是filtered。把密码放入刚才的密码文件中,再次爆破一下。中找到了test.py文件,查看文件内容。
2024-09-01 13:30:00
1065
原创 Vulnhub靶场 | DC系列 - DC8
这就是说,把一个文件从一种系统移到另一种系统,就有换行符的麻烦。如:用 vi 来尝试编辑一个采用 MS-DOS 格式的文件,你将会发现每一行的末尾有个 ^M 字符。📌在Windows下每一行结尾是\n\r,而Linux下则是\n,所以才会有 多出来的\r。直接按用法的方式执行,提示Permission denied,需要添加权限。set ff=dos ,就是告诉 vi 编辑器,使用dos换行符。经测试,这里是存在sql注入的,并且是数字型注入。使用vi 查看下该脚本,可以发现,每一行后都有一个。
2024-09-01 10:00:00
820
原创 Vulnhub靶场 | DC系列 - DC7
对于当前的dc7user用户来说没有写权限,如果想再该脚本中写入代码,需要是root用户或者属于www-data组。靶机的信息告诉我们跳出思维惯性,页面的最先面有一个@DC7USER,既然是@开头,大概率是某个账号信息。其中 drush 命令,是为了管理drupal网站的工具。发现robots.txt文件,这也是web中的比较重要的敏感文件。看一下自己的sudo授权,提示没有该命令,但是有个新邮件。有上传图片的位置,尝试下图片马,很不幸失败了~直接将马写在文章中,不行,直接原样输出了。
2024-08-31 18:00:00
802
原创 Vulnhub靶场 | DC系列 - DC6
查看一下grahm所属的组,发现在devs组,也就是说,可以往backups.sh中写内容(该文件对devs组有w权限)。访问wp-admin,访问之后,出现了登录页。用户的sudo授权,发现可以无密码以jens用户来执行backup.sh文件。wp执行以下命令,但是网页输入框有长度限制,需要修改一下前端代码~当然,也在jens家目录下发现一个.sh文件,以jens用户运行该脚本,成功登录到jens。密码太多了,跑了3分多钟,才跑了0.01%扫一下网站目录,也没有特别的目录。
2024-08-31 17:00:00
1010
原创 Vulnhub靶场 | DC系列 - DC5
将编译过后生成的libhax.so、rootshell和 dc5.sh三个文件复制到DC-5靶机的/tmp目录下,在kali交互模式下进入/tmp,为dc5.sh添加执行权限并运行dc5.sh,发现提权成功,如图-53所示。将41154.sh中下面一部分c语言代码另存为rootshell.c,如图-51所示,并编译,编译命令gcc -o rootshell rootshell.c。就只是一些文字,没有啥可利用的位置,只用contact页面能填写东西,随便写点啥提交上去看看。
2024-08-31 12:30:00
1649
原创 Vulnhub靶场 | DC系列 - DC4
teehee命令可以往一个文件追加内容,可以通过它向/etc/passwd写入内容,新增一个超级用户。爆破出来的用户名为admin,密码为happy,成功登录(也许这里真的是需要爆破来突破)。查看邮件jim,是charles发来的一封邮件,告诉了jim密码:^xHhA&hvim0y。查看了下,charles、sam的家目录下没有什么东西。有邮件,说明该系统时候邮件系统的,查看一下邮件。看一下jim的sudo授权,并没有可利用的~看一下mbox,有权限查看,是一封邮件。jim家目录下有两个文件,一个目录。
2024-08-31 06:30:00
935
原创 Vulnhub靶场 | DC系列 - DC3
浏览器访问目标网站的 error.php文件(写入马的文件):http://192.168.10.149/templates/protostar/error.php。在msf中搜索joomla相关的脚本,使用joomla_version探测下joomla的版本。文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接。根据joomla的特性,可以在模版中编辑模版文件,所以可以利用这一点进行写马。查找一下设置了suid的文件,并没有可以提权的命令。但是获取到的shell权限比较低。
2024-08-30 20:55:37
768
原创 Java反序列化利用链篇 | CC1链_全网最菜的分析思路【本系列文章的分析重点】
提前了解下,后面分析时不晕!!反序列化的AnnotationInvocationHandler对象中存在很多其他对象,存储在不同对象的属性中,反序列时会被使用。AnnotationInvocationHandler对象的属性Map memberValues的值为TransformedMap;TransformedMap对象的属性Transformer valueTransformer的值为ChainedTransformer;
2024-08-30 16:12:52
1798
原创 Vulnhub靶场 | DC系列 - DC2
WPScan能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。提示告诉我们,不能再利用WordPress了~ 但是通过刚该是的namp扫描只扫到了一个80端口(这里注意:默认扫描的端口是常见的 1000个端口)。而因为是WordPress,比较知名的cms,所以可以先尝试一下默认的后台地址,果然,有一个7744端口,并且对应的服务是ssh。
2024-07-13 18:08:50
921
原创 Vulnhub靶场 | DC系列 - DC1
发现该网站是 drupal[//]: # (Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。,则需要登录flag4用户。查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用。尝试查看flag4用户的家目录,确实存在flag4.txt文件,
2024-07-13 17:50:37
1222
原创 红队 | 社会工程学 | 邮件钓鱼 、木马伪装
社会工程学是一种特殊的攻击方式,与其他利用系统漏洞等网络攻击和入侵不同,社会工程学充分利用了人性中的“弱点”,包括本能反应、好奇心、信任、贪婪等,通过伪装、欺骗、恐吓、威逼等种种方式以达到目的。信息系统的管理者和使用者都是人,无论信息系统部署了多少安全产品,采取了多少有效的安全技术,如果系统的管理者或者使用者被利用,这些防护技术和措施都将成为摆设。人的因素才是系统的软肋,可以毫不夸张地说,人是信息系统安全防护体系中最不稳定也是最脆弱的环节。
2024-06-16 11:52:13
925
原创 蓝队 | 溯源反制 | 溯源技巧
通常情况下,接到溯源任务时,获得的信息如下其中攻击 IP攻击类型恶意文件攻击详情是溯源入手的点。通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实IP地址。端口扫描命令执行爬虫恶意文件DGA 域名。
2024-06-16 11:00:16
961
原创 PHP中的反序列化漏洞
PHP 反序列化漏洞也叫 PHP 对象注入,是一个常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell 等一系列不可控的后果。反序列化漏洞并不是 PHP 特有,也存在于 Java、Python 等语言之中,但其原理基本相通。PHP 中的序列化与反序列化,基本都是围绕和两个函数展开的。
2024-03-14 23:20:41
1091
原创 Ubuntu 16.04提权
这里选用一个 4.4.x 相对通用的提权方式(Privilege Escalation表示提权)。文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接。kali启动http服务,将exploit.tar文件复制到网站根目录。需要将exploit.tar上传到目标主机,并解压运行~在目标机器上使用wget进行下载。使用wget下载,出现404。文件中提到的使用方式进行操作。解压exploit.tar文件。已经获取到了root权限。📌实验环境:DC-3靶机。文件中的方式进行操作。
2023-03-26 22:34:35
1109
1
原创 sql注入中的floor报错注入原理详解
floor()报错注入的原因是group by在向统计表插入数据时,由于rand()多次计算导致插入统计表时主键重复,从而报错。又因为报错前concat_ws()中的SQL语句或函数被执行,所以该语句报错且被抛出的主键是SQL语句或函数执行后的结果。
2022-10-25 16:09:19
2666
1
原创 彻底解决Windows 10 .NET FromeWork 3.5安装问题
你是不是会遇到如下问题,点击下载同样还会报错~感叹一句:坑~接下来,教你三步解决!
2022-09-27 14:55:39
1248
原创 安全渗透测试常见模块【Socket模块】【python-nmap模块】【Scapy模块】
文章目录Socket模块简介基本用法1、Socket实例化2、Socket常用函数3、使用Socket编写一个简单的服务端和客户端python-nmap模块简介基本用法1、python-nmap模块类的实例化2、pyhon-nmap模块中的函数3、使用python-nmap模块来编写一个扫描器Scapy模块简介基本用法1、Scapy的基本操作2、Scapy模块中的函数✨ send(),sendp()✨ **fuzz()**✨ sr(),sr1(),srp()✨ sniff()3、Scapy模块的常用简单实例
2021-03-14 16:25:53
1447
原创 PyCharm的汉化
1、打开PyCharm首选项(Preferences)此处以Mac本为例,Windows、Linux…同理选择【Plugins】–【Marketplace】–【搜索chinese】–点击【install】
2020-12-18 13:52:15
172
原创 windows快捷操作
windows快捷操作选择文档对象选择一个文档(鼠标单击)选择多个文档(鼠标框选)连续的选择多个(Shift + 点选首尾)不连续选择多个(Ctrl + 点选)选择全部(Ctrl+A)键盘上的Ctrl , Atl , Shift 叫做组合键, 和不同的键组合有不同的含义重命名为选中的单个文档F2: 选中 – 按F2 – 编辑文件名 – 回车(或点击其他位置)右键:...
2020-03-04 15:08:06
367
原创 虚拟化技术
虚拟化技术可以把一台物理计算机虚拟成多台独立的计算机使用.软件:VMware , KVM , virtualbox , virtualPC…VMware workstation: 基于windows 7/10,寄生架构VMware vsphere: 独立安装,原生架构硬件:BIOS中, 启用VT功能 enable ***内存要大: 8G 16G创建wi...
2020-03-04 14:49:35
1441
原创 深度学习 - TensorFlow
文章目录深度学习TensorFlow介绍TensorFlow计算模型——计算图TensorFlow数据模型——张量(tf.Tensor)TensorFlow运行模型——会话(session)变量( tf. Variable )神经网络的实现过程基于tensorflow的前向传播反向传播损失函数解决回归问题的损失函数:均方误差MSE解决分类问题的损失函数:交叉熵( cross entropy )神经...
2019-11-27 09:28:23
980
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人