- 博客(27)
- 收藏
- 关注
RSS订阅原创 HW蓝队面试题(初、中级)
最近朋友也在收HW简历发现很多师傅才接触以下是我以前收集再总结的蓝队hw面试题,公众号回复“面试题”,获取更多面经。
2024-04-01 11:29:00
1057
原创 关于hook ntdll 代码详解
节的头是连续的 每个节的头的大小 即IMAGE_SIZEOF_SECTION_HEADER都等于40。节头存放的是节的各种信息包括 节的名称、虚拟地址、大小等但是 不是存放的具体内容。关于代码中的IMAGE_SIZEOF_SECTION_HEADER。找一个dll看看 确实节的头是连续 也确实大小是 5*8=40字节。
2024-03-26 17:25:18
343
原创 众邦科技CRMEB商城商业版任意文件写入getshell 0day
可以看到也没有任何过滤导致可以向任意路径的文件写入任意内容 前提是知道密码config('filesystem.password') 由于没有限制密码输入 次数导致可以爆破。写入文件的接口 /adminapi/system/crud/save_file/:id 处理的代码如下。没有对传入参数的路径做任何过滤以及后缀的检查,导致可以在任意路径创建任意后缀的文件,因此可以再网站。但是内容会有默认的代码 再配合以下接口进行内容 修改(任意内容写入)两个接口配合即可写入任意代码导致。
2024-03-25 15:11:24
410
原创 Shiro反序列化漏洞原理&代码分析(3)
创建PriorityQueue对象 并add TemplatesImpl_instance(RCE类) 以便compare的时候传入RCE类对象然后transform(TemplatesImpl_instance) 去实例化RCE类的对象。相比调用ChainedTransformer的更加transform的POC要简单一些因为不用去链式调用了嘛,我们只用最后调用一下InvokerTransformer的transform方法实例化一个对象就好了。由于我们要调用的链条如下。那么最终poc就是这样的。
2024-02-27 10:36:33
374
原创 JNDI注入+RMI流程复现代码调试
然后,它创建了一个Reference对象,该对象包含了一个URL地址。这里,url被用作Reference对象的一个参数,表示该对象引用的远程服务的地址。首先,它定义了一个url变量,该变量包含了要访问的远程对象的地址,格式为"rmi://localhost:1099/obj"。lookup方法会根据传入的url地址,在远程JNDI环境中查找对应的远程对象,并返回对该对象的引用。也就是服务的开启1099端口等开客户端远程调用,然后调用时,服务的回去8080端口找到客户端要调用的类,再返回给客户端。
2024-02-23 14:10:00
394
原创 Shiro反序列化漏洞原理&代码分析(2)
如果前面comparator.compare的comparator是个TransformingComparator类那么就会进入这里调用this.transformer.transform(obj1),而在之前分析的cc1链中我们知道这个transform是可以调用任意类的任意方法导致RCE的,所以我们就需要构造一个合适的PriorityQueue类然后触发这个transform方法配合cc1链的链式调用进行RCE。造成RCE的原因是他的heapify方法 跟进看看。首先我们将一个对象转为字节码。
2024-02-21 16:47:12
363
原创 Shiro反序列化漏洞原理&代码分析(1)
我们知道shiro反序列化是他加密cookie的AES密钥硬编码,造成我们可以任意伪造cookie,注入恶意的类反序列化造成的RCE,那么我们就看看如何处理cookie的。所以整个输入是我们可控的接下来就要寻找一个可以反序列化的对象,该对象readobject方法可以造成RCE也就是cc链2的利用了。先是获取请求体中的cookie也就是rememberMe的值。可以看到cookie是可控的然后cookie经过了以下转换。再跟进 就调用了object方法了。
2024-02-21 15:08:48
189
原创 Commons Collections1 反序列化分析
那么要调用checksetvalue函数,就要先通过构造方法给这个valueTransformer赋值,而valueTransformer必须是InvokerTransformer类才能进入InvokerTransformer的transform中,或者另外一个类他含有transform方法而且其transform方法可以调用InvokerTransformer的transform方法也就是ChainedTransformer这个类,这两种方法都可以。
2024-02-19 12:34:02
874
1
原创 开源系统任意文件读取审计(1day)
发生漏洞的代码 如下漏洞点在这段代码 代码原意是规定只能打开网站根目录以内的文件的,但是可以使用目录穿越绕过只要filepath字符串中包含有rootdir即可返回false 在配合目录穿越访问别的敏感文件接口是:/adminapi/system/file/openfile。
2024-02-07 20:24:09
348
1
原创 逻辑漏洞+未授权访问漏洞讲解 (教案)
目录穿越即上传的文件可以到任意的目录位置包括网站的根目录,这样就可以直接访问得到了。['filePath', []],//生成文件位置 可以目录穿越 ../../../ 到达根目录。//获取要写入的内容。通俗来讲就是 后端设计的某个功能的代码逻辑有缺陷,攻击者可以利用逻辑的缺陷损害厂商的利益或者他人的利益。修改密码的时候,参数step,表示步骤1,2,3直接将step改为3跳过中间的验证步骤直接修改密码。有的人认为这可能不是漏洞,但是他是,因为发一次短信厂商是会扣钱的,对收到短信的人也是一种骚扰。
2024-02-03 01:03:05
894
1
原创 YXCMS1.4.7审计 任意文件删除&&写入
不容易想到是删除重装锁定的文件之后 通过mysql 的漏洞伪造mysql服务的 读取客户端的任意文件。全局搜索敏感函数file_put_contents 或者灰盒测试也很容易找到位置。在根目录放了文件 所以后面检测文件是否存在会返回true。直接上传任意php 如果没有读取权限可以 根据目录穿越。发现只要提交的key value与类中的相同即可。提交的为 __hash__这个参数 以下划线分割。如果文件已存在会直接覆盖造成任意文件覆盖。满足刚刚的条件就直接写入了。进入isPost看看。
2024-01-24 18:09:16
336
1
原创 PHPCMS注册邮箱处SQL注入的修复分析
再看到他使用call_user_func()方法 对应调用的是 $controlle类r的public_checkemail_ajax方法。因此即使出现了 % 也是不行的(之前的sql注入就是利用url编码 绕过addslasher,如果email里面有%27则会报错 )此外因为最新版本在sql执⾏之前进⾏预编译了 也就是说如果解密后发现有引号之类的仍会加上反斜杠。parm构造类里面调用了addslasher即 对' ''加上反斜杠。然后看看这个类的构造函数 这里主要看看parm类的构造函数。
2024-01-23 16:40:02
355
1
原创 关于宽字节sql注入的tips
但是如果不仅设置了iconv("utf-8","gbk",$_POST['ting'])又设置了 iconv("utf-8","gbk",$_POST['ting']),即先gbk在binarry则会发生新的问题。\(%5c)在配合前面的%df 会拼成一个中文 '運' 使得单引号逃逸出来,但是如果在数据库的配置文件中进行了如下操作 则上文的payload将不再有效。程序员为了防御宽字节注入通常调用以下函数让传入数据库(配置gbk编码)的字符流设置为gbk来通统一编码。
2024-01-23 16:30:38
353
1
原创 关于bypassUAC
原理:注册表中的一些程序,在运行时,由于被加入白名单了,这些程序要么本身具有管理员权限,要么可以直接获取管理员权限,那么可以点击运行后静默为管理员权限,不需要弹出uac的窗口,那么攻击者可以通过修改注册表中的这些uac白名单的程序,将其换成一个恶意的程序那么即可管理员权限运行绕过uac认证。关于DLL劫持还有一个需要注意的,当你劫持了一个DLL之后,那么原先的程序就不能正常运行了,甚至可能会损坏系统,为了防止这种事故发生,一般会在恶意的dll中去加载真正的dll,这样就不会影响程序的正常运行了。
2024-01-23 16:29:05
426
1
原创 Burp+Xary+cla**三者联动+微信小程序抓包
在我们测试微信小程序的时候,有时候不得不使用Proxifier来将流量转发给burp,来进行转包,然后在有时候有不得不用cla**等软件去挂个代理(dddd),当然在挂一个被动测试有时候也是不可少的,说不定就出货了对吧,于是挂个xary也就不可少了。网上关于burp xary联动 burp抓微信小程序的包的文章很多,但是没怎么看到过抓到浏览器微信小程序包的同时再联动Xary且挂上代理的文章。1. 创建一个本地的代理服务器,端口选择8080,也就是对应Burp的端口,将流量转发至Burp。
2024-01-23 16:28:04
396
原创 Linux痕迹清理
当用户使用history命令时,系统会读取.bash_history文件,并将其中的命令按照编号的顺序显示出来。攻击者在获取一台主机权限后,往往回执行一些查询命令,例如whoami、ifconfig,有需求的话可能还会进行一些提权命令的操作等等,这些命令都会留存到Linux的history(历史命令记录)中,所以历史命令的清除是痕迹清理很重要的手段。2.输入以下两条命令中任意一条将.bash_history大小设置为0,相当于清空所有历史命令,包括了当前会话缓存的命令记录,以及之前会话的命令记录。
2024-01-23 16:27:18
395
1
原创 免杀之shellcode混淆
现在的杀软不仅仅会对恶意文件进行一个静态扫描、分析其特征以外,杀软还会将文件丢到虚拟沙箱中去运行,挂一个hook去跟踪、监控调用的api函数并判断其行为,有的杀软甚至是可以扫描内存的(比如卡巴斯基),shellcode在内存中解密后就很容易暴露,这加大了与杀软对抗的难度。所以仅仅是shellcode混淆已经很难再bypass掉各种杀软了,但是这并不意外着shellcode混淆就已失去意义了!!
2023-10-25 22:24:35
244
原创 详细讲解kerberos认证全过程、黄金、白银票据
当TGS接收到请求之后,会检查自身是否存在客户端请求的服务,如果存在就会拿ktbtgt hash解密TGT(由于TGS是在DC上的,所有具有krbtgt的hash),解密到的信息中包含了login session key,别忘了客户端发过来的时间戳就是利用login session key加密的,此时就可以用其解密获取到时间戳了,然后验证时间戳。只要在TGT过期之前,可以直接请求TGS申请服务票据,而不用在每次访问服务的时候都向AS请求TGT,减少了与AS的通信,提高了系统的性能和效率。
2023-08-18 09:11:03
1501
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人