- 博客(43)
- 收藏
- 关注
原创 CVE-2019-2725
在学习内网过程中遇到了weblogic比较常见的漏洞,编号是cve-2019-2725,之前没有总结过,于是本篇文章给大家总结归纳一下该漏洞的利用方法与原理。简单分析了一下cve-2019-2725漏洞的原理以及攻击修复方法,因为之前没有总结所以特地写一个文章总结一下,如果对大家有帮助不妨一键三连支持一下。
2023-02-13 18:06:27 1473 3
原创 Java安全—CommonsCollections7
Hashtable在调用put方法添加元素的时候会调用equals方法判断是否为同一对象,而在equals中会调用LazyMap的get方法添加一个元素(yy=yy),如果lazyMap2和lazyMap1中的元素个数不一样则直接返回false,那么也就不会触发漏洞。所以我们可以这样:在添加第二个元素后,lazyMap2需要调用remove方法删除元素。...
2022-08-17 23:17:21 536
原创 Java安全—CommonsCollections4
这次给大家带来的是CC4链的简单分析,可以看到CC4链还是没有脱离之前跟的链的影子,我们可以看到CC3的前半部分以及CC2的后半部分,至此CC链就快跟完了。
2022-08-17 23:15:02 691
原创 Java安全—CommonsCollections3
因为CC2链主要考察的是动态加载恶意字节码,而CC3也差不多,所以就选一个跟了,CC3链大体上是CC1和CC2链的结合,所以我我们只跟CC3链了。在CC1中,我们为了调用方法使用了InvokerTransformer这个类完成回调,但是如果对其进行了限制,我们CC1就不能使用了,根据上文学习的动态加载字节码,TemplatesImpl动态加载字节码来替换掉原来的回调链。...
2022-08-17 23:13:56 516
原创 Java安全-动态加载字节码
首先我们来看看什么是JAVA字节码,Java字节码是Java虚拟机执行的一种虚拟指令格式。换一种说法就是编译后得到的class文件内容,本质上就是JVM执行使用的一类指令。可以说是**所有能够恢复成一个类并在JVM虚拟机里加载的字节序列。个人理解就是利用一些方法去执行class文件内容。**接下来给大家带来几种加载字节码的方法。...
2022-08-17 23:12:14 700
原创 Java安全-类加载器
我们也可以自定义加载器来满足一些需求。若要做到自定义加载器,则需要我们做到1.编写一个类继承自ClassLoader抽象类。2.重写它的findClass()方法。3.在findClass ()方法中调用defineClass( )这里说实话没有做到很好的理解,用了其他师傅的代码做一下示范:1.重写findClass{}}else {}}@Overridetry {try {= -1) {}}}}}2.{";}}3....
2022-08-17 23:09:12 929
原创 Java安全—CommonsCollections5
今天给大家带来的是CC5链的构造分析,也是基本按照CC1走下来的,只是后面的部分不太一样。希望大家有所收获。
2022-08-17 23:06:54 764
原创 Java安全—CommonsCollections6
相比于CC1链,这个链子还是比较好跟的多少有点跟过的链子的影子(比如CC5),不过还是需要用心学习一下。里面还是有很多不太好懂的点的。
2022-08-17 23:04:30 664
原创 Java安全—CommonsCollections1
Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对象,它提供了很多强有⼒的数据结构类型并且实现了各种集合工具类。作为Apache开源项⽬的重要组件,Commons Collections被⼴泛应⽤于各种Java应⽤的开发,⽽正 是因为在⼤量web应⽤程序中这些类的实现以及⽅法的调⽤,导致了反序列化⽤漏洞的普遍性和严重性。环境CommonsCollections ...
2022-08-17 23:02:35 779
原创 BUUCTF-MISC(1)
stegsolve打开发现在LSB的RGB这是个zip文件,Save Bin保存为flag.zip,是一个elf文件,放进kali直接运行。
2022-08-04 21:18:25 4204
原创 2022NepCTF部分WP
发现是个压缩包套娃,用010看见一个流量包,直接选中数据的硬生生的提出来,虽然损坏了但是流量包可以打开,接下来发现是个键盘流量,用工具一把梭。分别作为p,q,用得到的p,q与c_mod_p,c_mod_q代入CRT方程,x等于c mod p,c 就恒等于 x % mi,.osu后缀,查了下发现是音游的文件,放软件里进行挑战,发现谱面里描出来了flag。根据旁边的如家酒店,我们用谷歌地图搜一下海南地区的如家,发现举例的一个跟图片上一样。B站直播说是最近的模板注入漏洞,就简单搜了一下,还真找到了。...
2022-08-04 21:03:19 3462
原创 2022CISCN华东北复现
stegsolve查看发现lsb隐写,红蓝绿通道有加密字符串,这里用seteg一把梭应该也可以感觉像base64,解码pi ka chu解码。
2022-08-04 20:57:42 817
原创 Dest0g3 520迎新赛
这两天期末,发点存货phpdest文件竞争EasyPHP数报错然后输出 flagctf[]=123另一种方法法二最开始考虑的是无字母 rce,但发现或和异或都被 ban 了所以考虑—url取反绕过funny_upload对文件类型进行了检测,改为jpg文件后,又对文件内容进行了检测不能有...
2022-06-10 15:07:32 359 2
原创 thinkPHP3.2.3中sql注入漏洞
下载:ThinkPHP3.2.3完整版 - ThinkPHP框架配置首先配置一下数据库相对于TP5,可以先看下框架的特定函数thinkphp3内置了很多大写函数A 快速实例化Action类库B 执行行为类C 配置参数存取方法D 快速实例化Model类库F 快速简单文本数据存取方法I 获取系统输⼊变(与tp5input方法类似)L 语言参数存取方法M 快速高性能实例化模型R 快速远程调用Action类方法S 快速缓存存取方法U URL动态生成和重定向方法W 快速Widget输
2022-05-26 18:20:51 2018
原创 BUUCTF 5_17-5_19
//刷了一点之前忘记刷的,鸽鸽鸽[BJDCTF2020]EzPHP <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<br /><font color=red><B>This i
2022-05-19 16:32:37 3949
原创 BUU MISC(5_10-5_14)
[羊城杯 2020]image_rarbinwalk发现有很多压缩包,改文件后缀为zip,得到一大堆图片,发现图片65不显示,怀疑有东西发现好像是个压缩包,文件头被改了,我们将其改回来Rar!(52 61 72 21)得到压缩包,但是需要密码,可能遗漏了什么,回头看,发现上一个压缩包有信息压缩包密码(6位):GWxxxx后面可能会用到的哦用AR爆破发现似乎爆破不了,换一种思路,利用rar2john提取hash ,然后利用hashcat爆破hashstep1:kali@kali:~$ /u
2022-05-14 20:53:38 867
原创 2022年i春秋春季赛勇者赛道部分wp
差几名就能拿奖了,还是太菜了Misc签到照着图片弹钢琴就会出现flagtiger一个rot47加密,一个lsb隐写加密之后得到解压密码71zr9H6jnXRHn64WBxMbCzz16saCZWiw发现好像需要明文攻击来解密码Nh6i@=二维码存在零宽隐写,这里话有个坑点,直接扫好像是提不出来的,可以写个脚本来提或者我看wp可以用bcTester来题(GET新点)之后用网站解码就可以https://yuanfux.github.io/zero-width-web/接着就是维吉尼亚密码解
2022-05-09 14:44:01 1104
原创 PHP原生类的利用
原生类,即php中的内置类,ctf考过利用原生类的考点先贴一个脚本寻找php中存在什么原生类 <?php$classes = get_declared_classes();foreach ($classes as $class) { $methods = get_class_methods($class); foreach ($methods as $method) { if (in_array($method, array( '__de
2022-05-04 16:37:55 1714
原创 第二届网刃杯部分复现
萌新去年打了一回,没想到今年这么多报名的//菜菜,感觉某些题目就是为了出题而出的signinSSRF一般是先想办法得到目标主机的网络配置信息,如读取/etc/hosts、/proc/net/arp、/proc/net/fib_trie(存放网络适配器地址),从而获得目标主机的内网网段并进行爆破,后面两个所需要的权限高一点。ARP记录得到WEB地址http://124.222.24.150:8091/?url=file:///etc/hosts得到内网ip172.73.23.100<?
2022-04-26 17:04:27 2032
原创 JAVA注解与反射(简单整理)
注解:特点:可以被其他程序读取格式:“@注释名”,还可以添加一些参数内置注解:@Override :表示一个方法声明打算重写另一个方法声明:典型的就是toString@Deprecated:表示不鼓励使用这样的元素(但是可以使用)@SuppressWarnings:用来抑制编译时的警告信息(需要添加参数)元注解:负责注解其他注解@Target:描述注解的使用范围@Runtime:表示在什么级别保存该注释信息@Document:说明该注解被包含在javadoc中@inherited:
2022-04-16 14:00:16 207
原创 JAVA注解与反射.part1
注解:特点:可以被其他程序读取格式:“@注释名”,还可以添加一些参数内置注解:@Override :表示一个方法声明打算重写另一个方法声明:典型的就是toString@Deprecated:表示不鼓励使用这样的元素(但是可以使用)@SuppressWarnings:用来抑制编译时的警告信息(需要添加参数)元注解:负责注解其他注解@Target:描述注解的使用范围@Runtime:表示在什么级别保存该注释信息@Document:说明该注解被包含在javadoc中@inherited:
2022-04-13 15:19:03 99
原创 java反序列化浅探
刚打完蓝桥杯,摆!核心类:ObjectOutputStream:IO 类,包含序列化对象的方法,writeObject()ObjectInputStream:IO 类,包含反序列化对象的方法,readObject()Serializable ,接口,是一个标志性接口,标识可以在 JVM 中进行序列化,JVM 会为该类自动生成一个序列化版本号。参与序列化与反序列化的类必须实现 Serializable 接口serialVersionUID,类属性,序列化版本号,用于给 JVM 区别同名类,没有提供版
2022-04-10 16:43:17 3548
原创 JAVA之封装·继承·多态
封装多是对属性而言的数据的隐藏,仅暴露少量方法给外部使用关键:私有属性:get/set举例#studentpackage OOP;public class student { private String name; private int id; private char sex;}#demo1package OOP;public class demo1 { public static void main(String[] args) {
2022-04-05 16:31:16 783
原创 JAVA方法的调用
方法的调用静态方法可以直接调用,动态方法需要先实例再调用静态方法调用静态方法(同类内直接调用,不同类内通过类.方法名)#demo1package OOP;public class demo1 { public static void main(String[] args) { student.say(); } }and#studentpackage OOP;public class student { public static void
2022-04-04 15:19:12 307
原创 【LDAP】LDAP注入漏洞与防御
含义:LDAP(Lightweight Directory Access Protocol):轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询,是X.500的一种简便的实现。随着互联网的广泛使用,web应用的数量呈爆炸式的增长,而这些应用的资源和数据呈分布式存储于目录中。通常不同的应用会有专属于自己相关数据的目录,即专有目录,专有目录数量的增长导致了信息孤岛(一种不能与其他相关信息系统之间进行互操作或者说协调工作的信息系统)的出现,系统和资源的共享及管理变得日益困难。LDAP
2022-03-20 21:50:53 6964
原创 [羊城杯 2020]Blackcat
启动靶机,看源码找到.mp3后缀文件查看,发现代码if(empty($_POST['Black-Cat-Sheriff']) || empty($_POST['One-ear'])){ die('谁!竟敢踩我一只耳的尾巴!');}$clandestine = getenv("clandestine");if(isset($_POST['White-cat-monitor'])) $clandestine = hash_hmac('sha256', $_POST['White-cat
2022-02-24 16:57:29 3380
原创 BUUCTF(12_1-12_5)
//最近一直在准备四级所以鸽了几天[GXYCTF2019]StrongestMind让计算数字,计算一千次给flag我们需要写一个脚本import reimport requestsfrom time import sleepdef count(): s = requests.session() url = 'http://8699ffc6-ce00-43ea-b361-81b36d756cf2.node4.buuoj.cn:81/' match = re.com
2021-12-08 21:50:51 824
原创 BUUCTF (11_22-11_26)
[SWPUCTF 2018]SimplePHP一开始我以为是普通的文件上传在查看文件的页面发现urlhttp://73fc19e0-7526-4a41-a882-0052e60436d1.node4.buuoj.cn:81/file.php?file=因为源码里有提示<!--flag is in f1ag.php-->我们试试直接访问但发现回显hacker!看来是行不通的那我们先看一下file.php源码<?php header("content-type:tex
2021-11-29 12:51:31 5823
原创 [GKCTF 2021]easycms
[GKCTF 2021]easycms任意文件下载进去就是一个类似企业的官网该类题我都先扫描一下目录kali扫一下发现/admin.php因为题目hint是后台密码为弱口令五位,盲猜12345用户名admin进入后台,找了一会没发现啥可利用点然而我在导出主题的时候发现下载链接http://07ffb660-1dec-4844-a5e8-598d40d675a0.node4.buuoj.cn:81/admin.php?m=ui&f=downloadtheme&theme=L3
2021-11-25 22:04:50 435
原创 BUUCTF 命令执行/文件包含类型部分wp
BUU差不多前两页题目中的该类型题,可能会有疏漏[网鼎杯 2020 朱雀组]Nmap考察nmap的利用选项 解释-oN 标准保存-oX XML保存-oG Grep保存-oA 保存到所有格式-append-output 补充保存文件考虑到之前另一个题payload127.0.0.1 | ' <?php @eval($_POST["hack"]);?> -oG hack.php'回显hacker,经查,php被过滤,使用短标签绕过 ' <?= @eval($_PO
2021-11-24 22:09:44 7506 2
原创 BUUCTF(10.25-11.1)
[GWCTF 2019]我有一个数据库考点是phpmyadmin进入该页面phpmyadmin4.8.0-4.8.1存在文件包含漏洞使用网上的payload直接打先测试能不能用该数据库payload?target=db_datadict.php%253f/../../../../../../../../etc/passwd发现有回显后我们改成flaghttp://57a7979b-f822-4a63-8bcb-3e76fa076462.node4.buuoj.cn/phpmyadmin/?
2021-11-23 21:29:26 4299
原创 BUUCTF(11.14-11.22)
记:上周抽空刷的BUU题目,记录一下解题过程的同时与大家分享交流[Zer0pts2020]Can you guess it?一个查询页面,提交东西提示wrong有个源码链接,我们点开看一下<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you ar
2021-11-22 22:52:47 1876 1
原创 2021ByteCTF初赛web double sqli
题目啥都没说在判断注入点是发现提示something in files猜测目录文件里有东西,我们尝试进入files39.105.175.150:30001/files/直接这样的话我们只能发现一个图片,经过尝试发现http://39.105.175.150:30001/files../这样可以实现路径穿越经查找发现main.py源码,download下来app = Flask(__name__)client = clickhouse_driver.Client(host='127.0
2021-11-21 20:13:37 5008
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人