- 博客(64)
- 收藏
- 关注
RSS订阅原创 python原型链污染
python 中的原型链污染是指通过修改对象原型链中的属性,对程序的行为产生以外影响或利用漏洞进行攻击的一种技术。 在 Python中,对象的属性和方法可以通过原型链继承来获取。每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。常见的原型链污染攻击包括修改内置对象的原型、修改全局对象的原型等。
2024-07-21 04:43:23
1049
原创 Pwn刷题记录(不停更新)
发现了个事儿,for循环会执行两次,所以这里采用第一次不溢出,通过格式化字符串漏洞对Canary的值进行泄露,之后就可以在合适的地方填入canary的值来绕过canary保护了。 之后就是具体进行溢出了,计算溢出的长度也比较简单,这里直接上答案吧,116字节,不过,第100到104为canary的值。 根据这俩进行计算,可得到偏移,结果是0x7c/4=31。 除了NX之外,似乎就只有 Canary了。 因此,思路就很明确了。
2024-06-23 18:50:21
314
原创 pwn学习笔记(0)-事后补充
首先是在最开始的时候装环境此次碰壁,搞得没心思写这篇博客,其次,又因为虚拟机本身的问题,导致我对虚拟机有很强的不满,所以我最开始没有写这篇博客,但是,转念一想,为什么我必须得执着于 虚拟机呢?不是同样都是Linux吗,为啥我不直接采用 WSL 来部署 Pwn 环境呢?所以,这里我选择了重装了下 Pwn 环境,不过,因为我装好很大一部分之后才想起来记录博客,所以我只会把前面的内容简单记录一下,不进行二次实操了。 WSL的安装我就不详细进行说明了,这个挺无脑的。
2024-06-23 17:33:19
450
原创 反弹shell
反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。
2024-06-18 19:56:34
832
原创 部分CVE复现Web(1)
首先,先来看一下这个漏洞的官方描述: CVE-2021-41773 是在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件,如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可能会成功,如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。
2024-06-17 22:13:25
914
原创 数据结构-3、栈、队列和数组
队列,也是一种操作受限的线性表,只允许在表的一端进行插入,而表的另一端进行删除。向队列中插入元素成为入队或进队;删除元素称为出队或离队。这和我们日常生活中的排队时一致的,最早排队的也是最早离队的,其操作的特性是先进先出(FIFO),如下图: 对头。允许删除的一端,又称队首。 队尾。允许插入的一端。 空队列。不含任何元素的空表。
2024-06-15 20:58:40
948
原创 数据结构笔记-2、线性表
线性表是具有相同数据类型的 n (n>=0) 个数据元素的有限序列,其中 n 为表长,当 n = 0 时线性表是一个空表。La1a2a3aixi1anLa1a2a3...aixi1...an式中,a1a_1a1是唯一的“第一个元素”,又称表头元素;ana_nan是唯一的“最后一个元素”,又称表尾元素。除第一个元素外,每个元素有且仅有一个直接前驱。
2024-06-12 13:41:19
950
原创 【2023】LitCTF
LitCTF2023(复现)Web:1、我Flag呢? ctrl+u 读取源码,在最后发现了flag:<!--flag is here flag=NSSCTF{3d5218b9-4e24-4d61-9c15-68f8789e8c48} -->2、PHP是世界上最好的语言!! 右边那个框下面是 RUN CODE ,结合题目是PHP,推测为RCE,先输入echo 123;看看会发生啥:发现左边输出内容出现了123,那么,直接system(“cat /flag”);成功拿到fl
2024-06-10 22:21:01
639
原创 JavaWeb基础(一)-IO操作
我们知道反序列化时,必须有原始类作为模板,才能将这个对象还原,从这个过程我们可以猜测,序列化的数据并不像 class 文件那样保存类的完整的结构信息。 当传入一个文件路径时,将会根据这个路径创建一个 File 对象来表示这个文件,然后根据这个 File 对象创建真正读取文件的操作对象,这时将会真正创建一个关联真实存在的磁盘文件的文件描述符 FileDescriptor,通过这个对象可以直接控制这个磁盘文件,。第二部分是要反序列化的类的描述,在这里是 Serialize 类。第一部分是反序列化文件头。
2024-05-29 22:14:35
1371
原创 三、Servlet基础
首先,之后还可以加入 doPut,doTrace等,支持其他的 HTTP 请求方法。一般而言,报头使用 HttpServletResponse 的 setHeader方法来设置,但由于设置内容的类型是一项十分常见的任务,因而,HttpServletResponse 提供特殊的 setContentType 方法,专门用于这种目的。service 方法检查 HTTP 请求的类型(GET,POST,PUT,DELETE等)并相应地调用 doGet,doPost,doPut,doDelete 等方法。
2024-05-27 12:04:38
1034
原创 【2024】H&NCTF
preg_replace 使用了 /e 模式,导致可以代码执行,而且该函数的第一个和第三个参数都是我们可以控制的。我们都知道, preg_replace 函数在匹配到符号正则的字符串时,会将替换字符串(也就是上图 preg_replace 函数的第二个参数)当做代码来执行最后得到flag。
2024-05-22 22:51:39
1202
原创 ciscn2024(上传一下,有侵权什么的问题的话联系删除)
1.因为存在escapeshellcmd函数,所以在转义之后,在system函数中,"在经过hex2bin之后,就能够表示字符串"本身。很明显,POST一个cmd进去,然后通过escapeshellcmd函数对参数进行转义,然后进行逆天的正则,之后RCE。计算机采用小端存储,小端字节序存储:把一个数据的低位字节的内容,存储在低地址处,把高位字节的内容,存储在高地址处;DCB表示:它分配一段字节的内存单元,它每个操作数都占有一个字节,操作数范围为-128~255的数值或字符串。数据段:存放数据的段。
2024-05-22 22:39:52
902
原创 关于无参数RCE的一些奇技淫巧
的payload来实行攻击的,大不了就出现了一些waf需要绕过。但是,有的时候,他们相关的waf特别奇葩,像是过滤了所有的字母以及数字什么的,另外,就是这篇博客最主要说明的题目,就是无参数RCE: 经过了它的过滤之后,最后只有a(b(c()));这样的payload才不会被过滤了。正则表达式 [^\W]+((?R)?) 匹配了一个或多个非标点符号字符(表示函数名),后跟一个括号(表示函数调用)。其中 (?R) 是递归引用,它只能匹配和替换嵌套的函数调用,而不能处理函数参数。
2024-04-06 21:10:31
637
原创 pwn学习笔记(7)--堆相关源码
对于用户来说,只需要确保malloc()函数返回的内存不会发生溢出,并且在不用的时候使用free() 函数将其释放,以后也不再做任何操作即可。而对于glibc来说’它要在用户第一次调用malloc()函数之前对堆进行初始化;在用户频繁申请和释放时维护堆的结构’保证时间和空间上的效率;同时还要检测过程中可能产生的错误,并及时终止程序。 首先,先稍微说下几个相关的宏定义。
2024-04-04 21:28:30
742
原创 pwn学习笔记(6)--堆基础概述
chunk 被释放时,glibc 会将它们重新组织起来,构成不同的 bin 链表,当用户再次申请时,就从中寻找合适的 chunk 返回用户。不同大小区间 chunk 被划分到不同的 bin 中,再加上一种特殊的 bin,一共有四种:Fast bin 、Samll bin 、 Large bin 、和 Unsorted bin。这些bin记录在 malloc_state 结构中。fastbinsY :这是一个 bin 数组,里面有 NFASTBINS 个 fast bin。
2024-03-23 15:51:05
833
原创 preg_replace漏洞e模式函数执行
这里我自己的理解是,只要一个正则表达式被一个一个括号包围,那么它就将被存放到一个临时缓冲区中,并且,如果存在多个正则表达式被括号包围,那么,就会从左到右依次存放在这个临时缓冲区中,另外,这个临时缓冲区是从1号开始的,也就是说,在正则表达式中,\1有着自己的含义,也就是访问这个缓冲区的第一个表达式,而两个\也是因为一个\要对另一个\进行转义。{1},这玩意能正常执行出来,由于我们没有给1赋值,他会给个警告,但是没问题,不影响我们的语句,所以这个时候我们的rce就实现了。,此时我们呢再执行这个。
2024-03-09 15:58:36
1026
1
原创 某些之前的漏洞的遗忘的记录*
再某些文件上传的情景中,后端代码会先保存我们所上传的文件,然后再检查我们上传的文件是否含有风险,如果有的话会被删除,这时我们就需要和删除函数(例如:unlink()函数)来进行时间与线程上的竞争,争取在删除文件之前访问到该文件。 大佬们对gopher协议下了如下的定义:gopher协议是一种信息查0找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。
2024-03-07 21:13:35
1036
2
原创 pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
2024-03-05 22:18:37
1209
原创 pwn旅行之[NISACTF 2022]ezpie
PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bss)等固定地址的一个防护技术,如果程序开启了PIE保护的话,在每次加载程序时都变换加载地址,从而不能通过ROPgadget等一些工具来帮助解题。 简单地说就是地址随机化。
2024-02-25 20:31:30
482
原创 docker搭建现成的靶场
之后退出虚拟机,从本机访问,也就是在浏览器中输入虚拟机IP地址然后是81端口。 因为Docker hub上存在镜像源,所以,索性直接拉取过来,由于我的Linux的80端口已占用,所以服务映射到闲置的81端口。 -p:意为端口映射,格式为 宿主机端口:容器端口。
2024-02-19 23:47:51
723
原创 pwn学习笔记(4)ret2libc
静态链接是由链接器在链接时将库的内容加入到可执行程序中的做法。链接器是一个独立程序,将一个或多个库或目标文件(先前由编译器或汇编器生成)链接到一块生成可执行程序。这里的库指的是静态链接库,Windows下以.lib为后缀,Linux下以.a为后缀。 也就是说将静态链接库中的所有的函数都写入这个ELF文件中,所以会造成该二进制文件极为庞大,因此也会存在很多的可供利用来ret2syscall的gadgets。但是,使用静态链接生成的可执行文件体积较大,包含相同的公共代码,造成浪费。
2024-02-19 13:47:43
1072
原创 pwn学习笔记(3)ret2syscall
ROP(Return Oriented Programming)返回导向编程,主要思想是通过在程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程。
2024-02-13 23:46:46
718
原创 pwn旅行之[WUSTCTF 2020]getshell2(一些小知识)
Linux下查找文件(find、grep命令)_linux查找文件-CSDN博客find 路径 -name "文件名"之后就是根据题目猜测flag文件的名字,最后通过上一条语句进行查找,当然,如果猜不到,那么还是只有挨个找了。
2024-02-07 03:42:45
493
原创 pwn学习笔记(2)ret_2_text_or_shellcode
ax寄存器:通用寄存器,可用于存放多种数据 bp寄存器:存放的是栈帧的栈底地址 sp寄存器:存放的是栈顶的地址 栈帧是存储函数的一些信息的地方,栈帧存储有函数的局部变量,传递给子函数的实际参数,父函数的地址以及上一个栈帧栈底的地址,大致情况如下: 在函数调用的过程中,首先会讲bp寄存器的值进行压栈,以方便在恢复的时候恢复栈底寄存器的值,再之后,会按顺序将局部变量压栈,最后是子函数的实际参数,会按照先入栈的后出栈,从最后一个实际参数先入栈再到第一个实际参数,比如函数a(int a ,
2024-02-04 23:58:21
1353
原创 pwn学习笔记(1)前置基础
以下来自于百度百科:”Pwn”是一个黑客语法的俚语词,是指攻破设备或者系统发音类似“砰”,对黑客而言,这就是成功实施黑客攻击的声音——砰的一声,被“黑”的电脑或手机就被你操纵了。
2024-02-04 15:48:49
541
原创 文件包含漏洞
文件包含是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。 跟python类似,我们再编写python的时候,很多时候会编写相关的函数,然后用来调用这个函数;但是,当函数之间存在联系,并且函数量比较多的时候,我们通常就会讲这些函数封装到一个专属的py文件中,之后作为模块导入即可使用;
2024-02-03 21:26:40
615
原创 文件上传总结
文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片,视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。 如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使服务器沦陷,以至于引发恶意的网络安全事件。
2023-12-15 20:45:15
1089
原创 信息搜集简要总结
可以使用dirsearch和御剑等目录扫描软件来进行目录遍历,得到一些信息,注意,有的时候扫不出来(我使用dirsearch的时候经常出现扫不出来的时候,因此有的时候可以rce或者传马蚁剑连接过后一个个找)
2023-12-15 15:23:23
455
原创 初学ssrf(1)
SSRF,服务端请求伪造,是一种攻击者构造攻击连传给服务器,给服务端执行并发起请求造成安全问题漏洞,一般用来在外网探测或供给内网服务。
2023-12-10 16:11:35
970
原创 PHP原生类(1)
该类提供了一个用于查看文件系统目录内容的简单接口。该类的构造方法将会创建一个指定目录的迭代器。 在说下一个用法之前提一下glob协议,glob:// 用于 查找匹配的文件路径模式,用法类似于正则表达,类似于。
2023-12-09 16:18:34
965
原创 SQL注入总结
SQL注入就是指web应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数事攻击者可以控制,并且参数带入数据库查询,攻击者可以通过构造恶意的sql语句来实现对数据库的任意操作。
2023-12-08 20:53:33
934
原创 [SUCTF 2019]EasySQL
发现有个Flag的表,因此,可以大胆猜测,flag就在这个表里,但是,当我们构造相关的查询语句是,发现是被过滤了,那么,看了大佬们的wp后,发现了是||逻辑符导致了短路的原因,代码应该是1||fag from Flag,那么,这里可以通过将sql_mode属性修改为PIPES_AS_CONCAT即可将||改为简单的或运算,最终的payload如下。刚看到这道题的时候,我还以为这个跟随便注那道题一样,但是,跟着随便注那道题的做法做了之后,我发现这道题好像不对劲,像之前一样,用堆叠注入,构造。
2023-11-04 13:55:53
121
原创 include 0。0(NewStar 2023 week2 web)
这种题型已经做过很多次了,不过这里需要浅谈一下过滤器,在本题目中,base和rot被过滤了,并且不区分大小写,在这里,这两种过滤器就不能用了,那么,这里就可以用到。convert.iconv.*过滤器,语法为。就是编码方式,有如下几种;
2023-11-02 23:34:29
80
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人