- 博客(93)
- 收藏
- 关注
RSS订阅
原创 Java代码审计&原生反序列化&CC链跟踪分析
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
2024-01-24 08:16:15
1534
10
原创 Java代码审计&Shiro反序列化&CB1链&source入口&sink执行&gadget链
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用链,以代码审计的角度跟踪分析Commons BeanUtils链的source、sink以及gadget,解释了该链触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtils链payload的生成逻辑。
2024-01-22 02:17:07
1468
原创 Java代码审计&Shiro反序列化&DNS利用链&CC利用链&AES动态调试
本文首先介绍了Java原生反序列化及其漏洞产生的原因,然后以代码审计的角度深入分析了Shiro550生成及验证RememberMe Cookie的流程,总结了Shiro550反序列化漏洞产生的根本原因,测试了URLDNS链,最后提出了一些思考
2024-01-20 07:52:05
1086
原创 Java代码审计&FastJson反序列化&利用链跟踪&动态调试&autoType绕过
本文深入分析了FastJson历史版本漏洞的利用链,使用IDEA动态跟踪调试,介绍了各版本不同CC链的关键执行流程及对应Poc的构造思路,另外还介绍了针对FastJson不同版本防御手法的绕过思路等等。
2024-01-16 06:24:13
1230
原创 云上攻防&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
对象存储是一种用于存储和管理大量非结构化数据的技术,也被称为云存储。它将数据以对象的形式进行存储,并为每个对象分配唯一的标识符。与传统的文件系统不同,对象存储不采用多层级的文件结构,而是采用一个称为"桶(Bucket)"的存储空间,其中包含大量扁平化的对象。对象存储的最大特点是对象名称即为一个域名地址,一旦对象被设置为公开访问,任何人都可以通过访问该地址获取对象。同时,对象存储提供了REST API的方式,使得对象的拥有者可以方便地访问和管理其中的对象。
2024-04-19 20:11:48
676
原创 Android逆向-数据修改&逻辑修改&视图修改
在MT这边Smali代码定位0xbb8(16进制的3000),这里Smali代码将0xbb8赋值给寄存器v2,然后将v2传入调用sendEmptyMessageDelayed方法,猜测就是延迟的毫秒数3000ms。也就是说,如果p0大于等于v0,那么就跳到cond_15,猜测cond_15就是执行三连,于是我们可以考虑将判断条件-ge改为-le,也就是硬币小于等于10才执行三连即可。于是来到MT这边的Smali代码,搜索定位0xa(也就是16进制的10) ,得知寄存器v0值为0xa。
2024-03-29 15:38:23
963
原创 模拟器App抓包 - 证书双向验证绕过手段
总的来说推荐使用方案一,可以在 BurpSuite 方便查看,但是有时会绕不过。方案二基本上是通杀,但是只能 WireShark 查看,个人不是很习惯。方案三也是一种思路,成功与否主要在于 Apk 能否反编译拿到密钥。
2024-03-26 20:27:03
946
原创 夜神模拟器如何配置BurpSuite抓包及安装Xposed框架
夜神模拟器安卓 7 以上直接安装证书是无法成功抓取 App 的 HTTPS 数据包的,因为安卓 7 默认不再信任用户安装的证书,此时就需要使用 adb 将证书导入系统进行安装,下面以夜神安卓 7 64bit 版本为例。
2024-03-25 09:28:49
549
原创 关于模拟器App无法抓包情况及绕过手段
App无法抓包总的来说分为App有没有做限制,当App没有做限制抓不到包时,可能是工具(BurpSuite、Charles等)证书没有配置好,或者有的数据包走的不是http/https协议,这时可以选用Wireshark、科来等能抓其他协议数据包的工具,这是比较好解决的一种情况。1、反模拟器调试2、反证书检验3、反代理或VPN。
2024-03-25 00:51:15
871
原创 关于Linux环境下的LXD及Docker提权
Docker是一个开源的容器化平台,它建立在LXC之上,并提供了一套更高级别的工具和API,使得容器的构建、分发和运行变得更加简单。LXD主要面向系统级容器,可以运行完整的操作系统镜像,并提供类似于虚拟机的环境。上述提权方案只是对宿主机目录有了操作权限,如果此时反弹 shell 得到的权限将是容器内的 root 权限,而非宿主机的 root 权限,显然不是我们想要的。拉取镜像,创建容器,将宿主机的根目录 "/" 挂载到容器中的 "/mnt" 目录,进入 /mnt/root 目录查看便可得到 flag`
2024-03-22 00:18:36
1309
原创 Vulnhub - Hacker_Kid
Base64解码,发现admin账户密码,注释说是设置运行python的密码,联想起信息收集知道目标主机开放9999端口Tornado服务,而Tornado是一个基于Python的Web框架和异步网络库,所以猜测这里admin账户密码很可能是9999端口网站的。获取当前环境不同二进制文件的Capability,发现/usr/bin/python2.7的权限为cap_sys_ptrace+ep,允许跟踪所有进程,那么就可以考虑类似Windows进程注入的操作,注入root用户运行的进程,获取其权限。
2024-03-20 02:22:03
680
原创 Vulnhub - Raven2
usr/lib/mysql/plugin/是因为当前权限是www-data,大概率是不够的,这里是通过MySQL的root用户权限将/tmp/udf.so导出到了/usr/lib/mysql/plugin/目录。得知当前MySQL版本为5.5.6>5.2,secure_file_priv为空代表可以写入,插件路径为/usr/lib/mysql/plugin/,综上所述,符合UDF提权条件。Kali开启nc监听4444端口,访问/shell.php,成功收到会话,权限为www-data。
2024-03-18 08:33:36
621
原创 Vulnhub - Symfonos
发现attention.txt,将其下载到本地并查看,其内容为Zeus叫员工停止使用'epidioko', 'qwerty', 'baseball'这三个密码,被他发现就要炒鱿鱼了,那看来Zeus应该是个老板哈哈哈。其中Sharename为共享文件夹的名称:print$为打印机驱动程序的共享文件夹,helios为用户helios个人共享文件夹,anonymous为匿名共享文件夹,IPC$为IPC服务的共享文件夹。访问以下路径发现刚才的邮件已经写进去了,这里没有webshell代码是正常的,说明被执行了。
2024-03-17 09:45:17
1177
原创 Vulnhub - Jarbas
Nmap扫描目标主机,发现开放22、80、8080、3306端口,分别运行OpenSSH 7.4、Apache httpd 2.4.6、Jetty、MariaDB服务,目标操作系统为Linux。因开放3306端口,猜测可能为MySQL账号密码,尝试连接但失败。对于类Github的中间件,比如上个靶场Devguru的Gitea,都可以去寻找有没有命令执行的地方,然后尝试反弹shell。将bash反弹命令追加到后面去,Kali这边nc监听5555端口,等待一段时间,成功收到会话拿到root权限和flag。
2024-03-16 05:01:06
307
原创 Vulnhub - DevGuru
在GitHub找到Gitea源码,在该存储库下搜索关键字"pbkdf2",其使用pbkdf2算法进行加密,生成长度为50的hash值,迭代次数为10000,Salt就是之前的Bop8nwtUiM。MSF搜索Gitea相关漏洞发现CVE-2020-14144,该漏洞需要认证才可使用,我们现在已满足条件,设置好options然后run,成功拿下frank的普通用户权限。访问80端口页面如下。翻阅源码,发现 /config/database.php存在MySQL数据库账号密码泄露,用户为october。
2024-03-14 06:56:02
877
原创 Vulnhub - Toppo
根据/admin/notes.txt中泄露的ssh密码(12345ted123),猜测用户名为ted,使用Xshell成功连接,得到普通用户权限ted。这个靶场个人觉得设计的有点不切实际。另外,辅助探测脚本还检测到NOPASSWD的SUDO命令:/usr/bin/awk(通过cat /etc/sudoers也能查到)直接通过/usr/bin/python2.7反弹shell,Kali这边nc监听反弹,成功拿到root权限和flag。检测到可利用的SUID权限的文件:/usr/bin/python2.7。
2024-03-14 03:30:28
382
原创 Vulnhub - DC-1
Nmap扫描目标主机,发现开放22、80、111、40884端口,分别运行OpenSSH 6.0p1、Apache httpd 2.2.22、rpcbind 2-4服务。MSF搜索Drupal,使用payload:exploit/unix/webapp/drupal_drupalgeddon2,成功拿到Web权限www-data。查询GTFOBins得知find的SUID提权方式如下,启用一个新的root权限的bash。上传综合辅助探测脚本LinEnum.sh至目标主机/tmp目录下,给予执行权限执行。
2024-03-14 02:19:26
321
原创 Vulnhub - Morpheus
得知系统为Debian 11,内核版本为5.10.0,检测到[CVE-2022-0847] DirtyPipe,并给出了EXP下载地址,但MSF收集有这个漏洞,直接搜索即可。MSF搜索CVE-2022-0847,使用payload:exploit/linux/local/cve_2022_0847_dirtypipe。dirbuster扫描80端口网站目录,访问发现/graffiti.php,是一个类似评论的页面。设置session并run,成功拿下root权限,随后得到/root目录下的flag。
2024-03-13 08:42:17
410
原创 VulnHub - DarkHole
得知系统为Ubuntu 20.04,内核版本为5.4.0,检测到[CVE-2021-4034] PwnKit,并给出了EXP下载地址,但MSF收集有这个漏洞,直接搜索即可。MSF搜索CVE-2021-4034,使用payload:exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec。登录admin用户,尝试上传webshell,但此处存在黑名单限制,利用特殊后缀.phtml成功绕过。Wappalyzer显示编程语言为PHP,操作系统为Ubuntu。
2024-03-13 07:17:28
406
原创 VulnHub - Lampiao
得知系统为Ubuntu 14.04,内核版本为4.4.0,检测到[CVE-2016-5195] dirtycow,并给出了EXP下载地址,我这里用的EXP是另外从EXP监控项目里找的。DirSearch扫描网站目录,发现/CHANGELOG.txt等多个敏感文件和目录,其内容显示Drupal版本为7.54。上传dcow.cpp至目标主机/tmp目录下,c++编译为目标文件dcow,python切换为pty环境执行dcow。Wappalyzer显示CMS为Drupal 7,编程语言为PHP。
2024-03-13 06:27:32
405
原创 Java代码审计&鉴权漏洞&Interceptor&Filter&Shiro&JWT
本文深入探讨了当前主流的鉴权方式,包括Interceptor、Filter、Shiro和JWT,并提供了相应的审计思路。作者以实际项目为例,详细介绍了Interceptor鉴权、Filter鉴权、Shiro鉴权和JWT鉴权的审计过程,强调了审计时的关键步骤和代码追溯方法。以NewbeeMall、华夏ERP、Tumo博客和FastCMS为案例,展示了在不同项目中的具体应用。文章突出强调了审计中的关键点,如Interceptor中preHandle方法、Filter中doFilter方法、Shiro配置信息、J
2023-12-26 20:51:30
1323
原创 Java代码审计&Mybatis注入&文件上传&下载&读取
本文以 Ruoyi、Inxedu、Oasys、Tmall 等项目案例介绍了Mybatis注入、文件上传&下载&读取的代码审计,介绍了审计思路:1、寻找并测试文件上传功能点,抓包得到对应路由等信息,从而定位到功能实现的具体代码(代码溯源),然后审计其是否存在漏洞;2、通过搜索 Java 文件操作常用函数,定位到功能点对应代码段,审计其是否存在漏洞(常规审计思路)。此外,详细介绍了审计流程,如何跟进等等。
2023-12-22 13:05:46
1645
1
原创 浅尝 Nuclei POC 编写
本文讲解了如何使用 YAML 语言编写漏扫工具 Nuclei 的 POC,以两个不同类型的 CVE 为例,介绍了匹配结果和匹配交互的两种情况该如何编写 POC,最后引入并介绍了一款辅助生成 Nuclei POC 模板的 BurpSuite 插件(Nuclei Template Generator Plugin)
2023-12-21 14:01:58
2041
原创 JWT介绍&空加密&暴破密钥&私钥泄露&密钥混淆&黑盒
本文介绍了什么是 JWT,并将基于 Token 的验证方式与 Cookie+Session 的验证方式对比,介绍了 JWT 三个组成部分(Header、Claims、Signature)及 JWT 流量特征(eyJ)。着重讲解了 JWT 的漏洞利用方式(空加密算法、爆破密钥、私钥泄露、密钥混淆),最后总结了黑盒下 JWT 漏洞的测试思路。
2023-12-21 13:30:23
2216
1
原创 Actuator内存泄露及利用&Swagger未授权&自动化测试实现
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
2023-12-20 14:34:11
1632
原创 SpringBoot框架介绍&数据库操作&Mybatis注入&JDBC注入
本文主要介绍了 SpringBoot 如何实现请求/响应以及数据库操作,以 Hello-Java-Sec 靶场案例总结了JDBC注入/Mybatis注入漏洞产生原因及特点,最后展示了因酷时代 Inxedu 在线教育系统的Mybatis注入代码审计案例
2023-12-20 14:16:45
769
原创 JNDI注入&Log4j&FastJson&白盒审计&不回显处理
本文介绍了JNDI的概念和作用,以及LDAP和RMI两个常用的协议,Log4j / FastJson 简介及其Maven仓库配置,着重介绍了漏洞利用,以迷你天猫购物项目 Tmall 做了 Log4j / FastJson 漏洞的代码审计,最后介绍了不回显情况的处理方法。
2023-12-19 13:48:18
1395
原创 Java反射机制&类对象&成员方法&构造方法&攻击链
本文主要介绍了 Java 反射机制,如何利用反射获取 Class 对象类、Field 成员变量类、Method 成员方法类、Constructor 构造方法类,最后介绍由反射造成的命令执行。Java反射是一种强大的机制,能够在运行时获得程序或程序集中每一个类型的成员和成员的信息,从而动态地创建、修改、调用、获取其属性,而不需要事先知道运行的对象的具体细节。
2023-12-19 13:39:05
874
原创 Servlet&Filter&Listener&Mybatis&预编译&生命周期
本文介绍了Java Web 请求的三大组件 Servlet、Filter、Listener,以案例代码讲解其如何实现自身功能, 还介绍了 JDBC/Mybatis 数据库及 SQL 预编译的原理。Servlet是Web服务器上运行的程序,用于处理来自Web浏览器或其他HTTP客户端的请求。Filter是用于拦截和处理Web资源的组件,可用于实现权限控制、敏感词过滤等功能。Listener是一种特殊类,用于监听Web应用中的事件,如会话的创建和销毁。
2023-12-19 13:30:55
800
原创 第126天:内网安全-隧道技术&SSH&DNS&ICMP&SMB&上线通讯Linux&Mac
【代码】第126天:内网安全-隧道技术&SSH&DNS&ICMP&SMB&上线通讯Linux&Mac。
2023-08-04 00:40:40
1532
原创 第125天:内网安全-隧道技术&SMB&ICMP&正反向连接&防火墙出入规则上线
拓扑图:在前一次的基础上,win2008做了入站限制(只让访问Web服务),win2012也做了入站限制(只让访问打印机)思路:win7还是有外网出口的,正向tcp/反向tcp都能直接拿下;拿下win7后,生成正向tcp,让win7主动连接拿下win10(也可以反向,但需要在win7的11网卡上设置监听器,转发上线win10);
2023-08-02 00:39:43
1904
原创 第120天:免杀对抗-防朔源&防流量&防特征&CDN节点&SSL证书&OSS存储&上线
1 、防朔源拉黑-CDN节点-上线当设置木马远程连接的地址是本机真实ip时,对方可以用火绒剑等工具看到网络外联,当其拉黑ip后我们便不能正常通信了使用cdn节点让木马远程连接地址是我们注册的域名时,就算其拉黑某个cdn节点的ip,其他的cdn节点ip也会顶替上来,还是能够正常通信可在godaddy上注册域名(便宜),在cloudflare上注册cdn(免费) 2 、防特征审计-SSL证书-上线默认上线使用的是cs自带的SSL证书,有明显的cs特征。
2023-07-30 00:06:11
342
原创 第119天:免杀对抗-二开CS&Shellcode函数修改&生成模版修改&反编译重打包(下)
【代码】第119天:免杀对抗-二开CS&Shellcode函数修改&生成模版修改&反编译重打包(下)
2023-07-26 00:47:08
334
原创 第118天:免杀对抗-二开CS&上线流量特征&Shellcode生成机制&反编译重打包(上)
魔改(二次开发)CS,目的是修改其特征防溯源,或是替换模板让其生成的payload直接达到免杀效果今天的内容主要涉及以下几个方面:(修改前提是将CS的jar文件反编译,修改完后再打包替换) 1 、表面配置特征消除修改CS端口(没改的是50050端口,可修改成其他的端口)修改CS证书配置修改CS加载文件配置 2 、上线流量特征消除采用默认http(s) 的CS请求url为4位字符串(如aaa9),将这4位字符串作为传入,通过算法checksum8会得到92(93) ,蓝队可以以此判定为CS连接器。
2023-07-25 16:24:46
649
原创 第117天:免杀对抗-反VT沙盒&反虚拟机&反调试&进程APC注入&项目保护
"反VT反调试" 大致实现流程为:先检测是否在虚拟机或沙箱中运行,若不是则执行shellcode,反之则不执行。
2023-07-24 01:24:25
588
原创 第116天:免杀对抗-EDR&Syscall-hook&DLL反射注入&白加黑&隐写分离&加载器
之前介绍的是exe,现在讲的是"dll加载",当然exe的免杀技巧也可以用到dll加载上,比如加密混淆、分离等dll加载主要涉及以下几种方式:1、自写DLL调用加载:由于dll无法直接执行,所以可以写一个py文件打包成exe,其只是用来调用dll,而dll中写有shellcode2、DLL劫持-白加黑-导入加载:利用进程工具获取白应用执行要加载哪些dll,将其中某个dll导入pe工具添加恶意dll函数,然后替换原来的dll,最后运行白应用3、DLL劫持-白加黑-导出编译:(适用某些会检测dll
2023-07-23 17:45:27
748
原创 第115天:免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改
之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章今天针对打包好的exe免杀,介绍了以下几种技术: 1 、通用跳转法:主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查杀。利用工具(VirTest)检测特征码的位置,然后将特征码区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。2 、花指令改入口:花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查杀难度,但单纯的花指令效果一般。
2023-07-22 20:32:36
468
原创 第113天:免杀对抗-内存加载&API封装&UUID标识&MAC地址&IPV4地址&各语言
这里讲的是通过UUID、MAC、Ipv4实现内存加载免杀通常情况下,我们是开辟一块内存,然后直接将shellcode写入到对应的内存中,并且该内存是可读可写可执行的状态,但这种方式太容易被杀软所查杀但如果是利用Windows自身提供的API来将加密或者封装好的shellcode写入到内存执行的话,将会大大增加查杀的难度参考连接:https://www.anquanke.com/post/id/262666。
2023-07-21 23:22:39
314
原创 第112天:免杀对抗-加载器分离&无文件落地&图片隐写&SOCK管道&参数协议化
之前的课程讲了C/C++、Python、C #、Go、Powershell、Java、ASM等的shellcode混淆加密免杀技术 现在讲的是 "无文件落地&分离拆分" 的免杀,目的是让杀软即使反编译逆向,也无法在源代码中直接看到shellcode。
2023-07-21 18:44:56
449
原创 第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包
【代码】第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包。
2023-07-21 14:45:39
488
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人