- 博客(95)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 一些真实的app渗透与算法hook
这个函数是发送请求的一个函数,我们观察一下这段代码,可以看到我们最终发出去的sign参数的组成是:(时间 + 类型 + 未知字符 + 手机号),并且这个未知字符是这个函数的一个参数,那好办了。这回函数需要的参数我们都拥有了,我们直接通过frida的rpc来调用这个函数,直接给我们生成sign , 并简单写个发送请求的脚本,直接实现一条龙。直接hook这个getSmscode函数,看看传来了哪些值,就可以得到这个未知字符,有了这个未知字符我们就可以构建sign。我们逆一下这个app,试试找到他的加密算法,
2023-09-20 05:07:32
238
1转载 redis攻击总结
redis的那几种攻击方式在这几年的赛题还是实战中几乎已经被玩烂了,原理也就那些东西,主要就是通信的RESP协议,所以再总结感觉也可能也学不到太多东西,所以就直接看了xq17师傅的文章感觉写的很好就直接转载了xq17师傅的文章,但是师傅这里写错了一个问题,就是redis在高版本中module load出错的原因不是exp的不规范,而是在高版本中增加了相关的权限验证,详情在https://github.com/redis/redis/pull/6257 这个commit里面注:以下内容原创来自于xq17师傅
2022-02-24 17:20:31
1851
原创 javaSec-Servlet的线程安全问题
javaSec-Servlet的线程安全问题刚开始看见关于这的知识点是在p神的知识星球看见y4师傅发的,后来又看见了vnctf用了这个知识点,就简单的写下。这里直接拿easyJava这题的题目环境当了demo:刚开始有个任意文件读取,直接读Servlet文件反编译下先看HelloWorldServlet://// Source code recreated from a .class file by IntelliJ IDEA// (powered by FernFlower decompile
2022-02-20 19:55:41
3605
原创 javaSec-rmi详解
javaSec-rmi对于rmi这从很久前就接触到了利用,原理也是只简单的了解了一些,一直没有好好的梳理过,最近正好看到了好多相关的资料,顺便写下。前置知识:RPC理解RPC可以从他的名字开始,RPC的全称是Remote Method Call,顾名思义就是远程方法调用,RPC呢他不是一个框架也不是一个协议,是一个概念性的东西,只是远程通信的一种方式,区别其他远程通信的方式,他是其中的一种,这种概念性的东西,可能从定义说起来很烦,所以我尽量从代码的方式来理解。从单机到分布式->分布式通信 :就
2022-02-12 18:50:59
528
原创 linux内网-cfs2
linux内网-cfs2苹果cms:有个rce的洞:getshell payload(a):index.php?m=vod-search&wd={if-A:assert($_POST[a])}{endif-A}fput写马,test.php 密码test:index.php?m=vod-search&wd={if-A:print(fputs%28fopen%28base64_decode%28dGVzdC5waHA%29,w%29,base64_decode%28PD9waHA
2022-02-04 20:58:56
1099
原创 Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)
Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)漏洞环境:vulhub漏洞复现:CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机。1.docker 开个环境:...
2021-11-04 20:42:23
3572
原创 Weblogic 常规渗透测试之利用文件读取漏洞getshell
Weblogic 常规渗透测试之利用文件读取漏洞getshell漏洞环境:vulhub复现步骤:1.起一个存在任意文件读取的demo:file,jsp存在漏洞3.读取后台用户密文与密钥文件weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.da
2021-11-04 18:37:47
2641
原创 Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)复现环境:vulhub漏洞原因:Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。复现过程:启动一个执行反弹shell的一个JRMP Server:payload:java -cp ysoserial-master-8eb5cbfbf6-1.
2021-11-03 15:07:07
2509
原创 Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic < 10.3.6 “wls-wsat” XMLDecoder 反序列化漏洞(CVE-2017-10271)复现环境:vulhub漏洞原因:Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。详细原因:https://www.cnblogs.com/hetianlab/p/13534535.html复现过程:访问显示404,weblo
2021-11-02 18:57:30
209
原创 Weblogic 任意文件上传漏洞(CVE-2018-2894)
Weblogic 任意文件上传漏洞(CVE-2018-2894)影响版本:Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。复现环境:vulhub漏洞条件:Web Service Test Page 开启。注:Web Service Test Page 在“生产模式”下默认不开启漏洞原因:Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限复现步骤:1,从config.do上传先登入
2021-11-01 19:52:51
712
原创 PHP绕过open_basedir
1. 命令执行函数open_basedir的设置对系统命令执行函数无效<?php$cmd="cat ../1.txt";file_get_contents($cmd);echo"file_get_contents finsh"."\n"."-----------------------"."\n";system($cmd);echo shell_exec($cmd);echo exec($cmd)."\n";passthru($cmd);$fp = popen($
2021-09-05 15:57:23
247
转载 java的命令执行与bypassRASP
关于php的webshell相信大家已经很了解了,webshell就是相当于可以控制目标服务器的一小段代码。今天讲下java的webshell以及bypassRASP。java的命令执行一般都是通过Runtime类的Runtime.getRuntime().exec()方法来执行,来看一段demo (建议练习审计时不要用docker的环境,建议idea启动):看一下执行效果:OK,这一段代码就是一个简单的webshell。接下来我们简单的看下调用链:...
2021-09-01 16:41:48
924
原创 ctfshowThinkphp
web569web570/index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*");闭包路由:参考官方文档或博客web571给了源码,找到一处可以进行传参的控制器,传个参数在这,打个断点调下:接着跟进去:接着跟进:我们最开始传的参数在content变量里,跟进到if(这里有个对于当前使用的一个模板的判断,由于不知道题目使用的是哪种所以我就用0,1了图方便):往下走:成功找到后门,conten
2021-08-24 16:54:15
176
原创 tomcat弱口令
tomcat弱口令1.前置知识war包:war是一种web应用程序格式,包含了web应用程序中的所有内容。在这个文件中的所有内容将按一定的目录结构来组织,一般情况下war文件中包含了html,jsp文件或者含有这两种文件的目录。另外它里面还含有一个web-inf目录,在这个目录下存放的是应用配置文件web.xml以及classes目录,classes目录里面包含了编译好的Servlet类和Jsp或Servlet所依赖的其它类。由于war文件将所有的文件合并成一个,因此减少了文件的传输时间2.漏洞环境
2021-08-20 15:06:53
1021
原创 Tomcat任意写入文件漏洞CVE-2017-12615
Tomcat任意写入文件漏洞漏洞原理:在web.xm文件中Tomcat设置了写权限(readonly=false),导致我们可以向服务器写入文件。
2021-07-23 15:07:04
215
原创 梦想cms1.4审计
梦想cms1.4审计一个简单的mvc,直接去看配置文件和控制器,配置文件中无waf:先来后台的,后台的都比较容易sql注入1BookAction.class.php文件:有传参,跟进下getReply方法:进行了字符串拼接操作,并且返回调用了父类的selectModel方法,跟进下:又调用了父类的selectDB方法,跟进下:进行了sql查询并且我们可以控制 $sqlStr变量,打印下sql语句:闭合构造下payload:...
2021-07-22 11:19:31
403
原创 java类加载器机制——3.URLClassLoader
URLClassLoader继承了ClassLoader,URLClassLoader提供了加载远程资源的能力,在写漏洞利用的payload或者webshell的时候我们可以使用这个特性来加载远程的 jar 来实现远程的类方法调用。TestURLClassLoader.java 示例:import java.io.ByteArrayOutputStream;import java.io.InputStream;import java.net.URL;import java.net.URLClass
2021-07-14 17:37:52
758
转载 java类加载器机制——2.自定义一个ClassLoader
ClassLoader一切的Java类都必须经过JVM加载后才能运行,而ClassLoader的主要作用就是Java类文件的加载。在JVM类加载器中最顶层的是Bootstrap ClassLoader(引导类加载器)、Extension ClassLoader(扩展类加载器)、App ClassLoader(系统类加载器),AppClassLoader是默认的类加载器,如果类加载时我们不指定类加载器的情况下,默认会使用AppClassLoader加载类,ClassLoader.getSystemClass
2021-07-14 17:37:18
304
原创 java类加载器机制——1.java的类加载及类加载器机制
(最开始在github上发布的,有的图片不知为啥在这打不开贴个gayhub原文地址:https://github.com/wa1ki0g/javasec)我们在学习java编程时,大概都知道java文件的执行顺序,即先编译成class文件即字节码文件,然后再移交给java虚拟机去进一步翻译执行这些文件。但是我们却不知道类加载过程的真正的细节。在jvm的启动是通过,引导类加载器(bootstrap class loade)创建加载一个初始类来完成的,jvm组成结构之一就是类装载器子系统,今天我们先从这个
2021-07-14 17:36:27
156
转载 java反射——3_反射java_lang_Runtime进行rce及一点补充
java.lang.Runtime因为有一个exec方法可以执行命令,所以在很多的payload中我们都可以看到反射调用Runtime类来执行本地系统命令,通过学习如何反射Runtime类也能让我们理解反射的一些基础用法以及一些攻击手法不使用反射执行本地命令代码片段:System.out.println(IOUtils.toString(Runtime.getRuntime().exec("whoami").getInputStream(),"UTF-8"));如上可以看到,我们可以使用一行代码完成
2021-07-14 17:33:35
1016
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人