- 博客(43)
- 收藏
- 关注
RSS订阅原创 nacos 2.2.2 反序列化
漏洞描述Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。触发点分析https://github.com/alibaba/nacos/pull/10542/files可以看出来是SerializerFactory的锅定位 src/main/java/com/alibaba/nacos/consistency/serialize/HessianSerializer.java使用类为com/alibaba/nacos/
2023-09-19 20:45:24
789
原创 vnctf2022复现
eazyjavafile协议读url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes有用的class//HelloWorldServlet.classpackage servlet;import entity.User;import java.io.IOException;import java.util.Base64;import java.util.Base64.Decoder;import javax.servlet.
2022-05-28 15:27:50
478
原创 sql注入学习笔记
时间盲注题目来自ctfshowsleepimport requestsurl = 'http://50fc47ad-1061-499f-a428-a61b75f95f7b.challenge.ctf.show/api/index.php'# payload = "select group_concat(table_name) from information_schema.tables where table_schema=database()"payload = "select flagaa
2022-05-24 20:35:58
422
原创 Mybatis学习之代理
今天学到了mybatis的代理,感觉是一种很优秀的思路,来记录下传统JDBC项目的数据库操作是通过先建一个Dao接口,再在DaoImpl中实现相应方法进而完成操作的(应该是吧…没接触过),我刚学习时在Mybatis中用到了类似的方式#StudentDao.javapackage com.example.springdemo.dao;import com.example.springdemo.domain.Student;import java.io.IOException;import ja
2022-01-22 21:32:42
1173
原创 浅入浅出javaweb内存马
0x00漏洞环境demo1:fastjson 1.2.47_springboot#JsonControllerpackage com.controller;import com.alibaba.fastjson.JSON;import org.springframework.stereotype.Controller;import org.springframework.web.bind.annotation.RequestMapping;import org.springframewor
2021-12-15 17:44:02
608
1
原创 php 利用pearcmd实现裸文件包含
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html0x00phpinfo与条件竞争之前做题好像遇到过,再复习一下我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件中,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
2021-12-03 17:45:42
1896
1
原创 thinkphp5.1.37 可以读写文件 利用phar反序列化
安洵杯一道题…一开始根本没想到用phar…还是太菜了tp版本5.1.37TLS源码<?phpnamespace app\index\controller;use think\Controller;class Index extends controller{ public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ pad
2021-11-29 19:53:21
932
原创 湖湘杯willphp
给了IndexController且可以看到版本为Willphp2.1.5查了一下发现TP3.2.x 利用assign函数RCE的漏洞,因为题中的PHP框架是基于TP的,怀疑存在同样的漏洞,跟进一下发现的确,利用方式差不多只需要稍微改一下原TP利用姿势 https://0xcreed.jxustctf.top/2021/07/ThinkPHP3-2-x-RCE%E5%A4%8D%E7%8E%B0/调试过程最后发现name=cfile&value=xxx时,可以包含xxx继续审计源码发
2021-11-17 14:45:16
272
原创 ysoserial CC5利用链分析
前两天东华杯没打,看里面签到题用到了 BadAttributeValueExpException.做入口类似的链子,就来学习下同样用了这个类的CC5GadgetGadget chain: ObjectInputStream.readObject() BadAttributeValueExpException.readObject() TiedMapEntry.toString() LazyMap.get()
2021-11-16 22:02:56
479
原创 陇原战役2021 ezjaba
题目分析spring-boot 用的ROME1.0ysoserial上的利用链,可见是通过HashMap触发的题中ban掉了HashMap但可以发现下面直接调用了toString方法,所以我们直接截取利用链的后一半,反序列化ObjectBean并调用toString即可exppackage com.summer.rome;import com.summer.util.SerializeUtil;import com.sun.org.apache.xalan.internal.xsl
2021-11-15 11:51:08
1157
原创 蓝帽杯 One pointer php
add_api.php<?phpinclude "user.php";if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user->count+=1; setcookie("data",serialize($user)); }else{ eval($_GET["backdoor"]); }
2021-11-12 22:24:04
2130
原创 绿城杯2021 ezcms
环境为eyoucms1.5.3给了hint说是xxe,先搜索一下找到利用点/Application/Home/Controller/Index可以看到官方从1.5.4开始增加了过滤,而我们的版本是没有过滤的,故可以找方法利用找到头像上传的后台可以看到不对.ico文件进行验证,上传路径构造规则,构造+爆破是可以访问到的所以我们可以构造phar文件并将后缀改为,ico上传利用xxe读取phar文件内容反序列化利用Thinkphp5.0.24的链子<?phpnamespace thin
2021-11-10 11:30:44
397
原创 fastjson1.2.24反序列化漏洞
漏洞详情Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983),并且无需进行任何身份验证。 如果防火墙中的入站流量打开了此端口,则具有Solr节点网络访问权限的任何人都将能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。该漏洞不影响Windows系统的用户,仅影响部分版本的
2021-11-05 19:36:38
505
转载 如何将图片导入.gba文件中
参考原文https://blog.csdn.net/weixin_43837555/article/details/88326567GBA开发包 - DevKitAdvDevKitAdv 主要包括两部分:一是GCC++编译器,二是 GBA库。GCC++编译器功能和我们常用的VC差不多,只不过少了个编辑源代码的文本编辑器,还有就是不支持类(class),只能用struct来替代。它的作用是把我们写的代码编译成二进制的可执行文件,当然这个可执行文件是相对GBA和GBA模拟器而言的。就象Windows里的
2021-11-05 00:44:10
420
原创 Apahce-Shiro反序列化漏洞复现(CVE-2016-4437)
复现环境:vulhub漏洞原理Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为获取re
2021-09-28 22:27:40
1637
原创 2021红明谷杯数据安全大赛技能场景赛 Input Monitor
突然想起这个题…先用autopsy挂载给的文件桌面有压缩包和hint没事,我都删掉了,之前的聊天记录都被我清干净了。除非他们在监控我输入提示要得到输入记录用到输入法取证https://mp.weixin.qq.com/s/0p3vbLub5vPKO5Pik9zmUQ通过对Win10系统自带中文输入法程序运行进程的分析,发现与中文输入法相关的用户词库文件主要存储在C:\Users\Administrator\AppData\Roaming\Microsoft\InputMethod\Chs
2021-09-25 15:33:36
1547
原创 wmctf2021 Flag Thief && 祥云杯 层层取证 && 陇剑杯 wifi && 羊城杯 辣鸡取证
0x00我是菜鸡这题算是做过的取证题里很复杂的了,拿出来复现一下大部分内容参考了套神的博客,先贴在上面https://blog.csdn.net/qq_42880719/article/details/1200001110x01题解因为没有取证大师,我这里先选择了用FTK挂载镜像Hint:曾远程过其他电脑从大神的博客学到这里大概有几种思路1.default.rdp文件2.注册表搜索Terminal Server Client3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%
2021-09-18 23:56:50
744
1
原创 强网杯2021 [强网先锋]赌徒
0x00 前言当时打比赛的时候因为队里的web师傅tql(r2 yyds),就一直在做misc,web就做了一道强网先锋,现在回来复现一下,不过buu的上的题不全,也没得办法0x01 [强网先锋]赌徒正好还留着有源码,先贴一波<meta charset="utf-8"><?php//hint is in hint.phperror_reporting(1);class Start{public $name='guest';public $flag='sy
2021-09-14 20:54:37
420
原创 [极客大挑战 2020]FighterFightsInvincibly
正好同学搭了这题的复现环境就做了一下,感觉还是挺好的题,buu的环境不知道是不是配置的有问题只有一个人解,当时就没去看源码就一行$_REQUEST['fighter']($_REQUEST['fights'],$_REQUEST['invincibly']);用create_function构造fighter=create_function&fights=&invincibly=;}phpinfo();/*可以读到phpinfo,直接连shell的话不行,应该是设置了权限,而且读ph
2021-09-13 20:37:25
622
1
原创 2021羊城杯Web-wp
0x01涉及考点laravel debug cve (CVE-2021-3129)ftp-redis打ssrf0x02题目分析扫目录发现一个文件中开启了6379端口和redis的dmp文件,推测要用redis来ssrf之后了解了CVE-2021-3129 https://xz.aliyun.com/t/9030大致是Ignition默认提供的vendor/facade/ignition/src/Solutions/MakeViewVariableOptionalSolution.php中可控f
2021-09-12 17:43:15
543
原创 TCTF 1linephp
0x00. 参考文档https://gist.github.com/as3617/50d598ede736d81bc57804e4d19700e5#file-s-zip-hexcodehttps://github.com/waderwu/My-CTF-Challenges/blob/master/0ctf-2021/1linephp/writeup/1linephp_writeup_en.md有点像defcon-2018 one_line_php0x01.源码及原理<?php($_=@$_
2021-07-08 15:31:45
560
1
原创 ciscn2021 反序列化
正好还留着当时的源码,先发一波<?phpclass Fake{ public $firm; public $test; public function __set($firm,$test){ $test = "No,You can't"; $firm = unserialize($firm); call_user_func($firm,$test); }}class Temp{ public $pri; public $fin=1; public function __destruct() {
2021-07-05 00:25:46
174
原创 2021ciscn初赛web部分简单wp
0x00. 简单的题不想写wp,难的题写不出来……这篇博客应该会比较水,不喜勿喷0x01.easy_sourcePayloadhttp://xxxxxxxxxx/index.php?rc=splFileobject&ra=.index.php.swo&ra=php://filter/read=convert.base64-encode/resource=index.php&rb=rb&rd=fgets挺简单的,不细说了用php原生类splFileObject,用ge
2021-05-24 19:47:21
430
3
原创 津门杯GoOSS和302重定向漏洞
0x01.参考博客https://evoa.me/archives/21/这篇博客讲的一个类似的漏洞,而且比这题时间早很久,强烈怀疑出题人是参考的这个洞…evoa大佬太强了0x02.题解xxxx的部分为我的vps,vps上的内容为<?phpheader("Location: http://127.0.0.1/index.php?file=/flag");?>0x03.题目分析0x04.302重定向漏洞扩展...
2021-05-13 22:10:59
710
7
原创 Mar Dasctf web
参考大佬http://www.plasf.cn/articles/dasctf202103.htmlez_serialize <?phperror_reporting(0);highlight_file(__FILE__);class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"
2021-04-09 17:34:22
204
原创 虎符ctf2021 web writeup
1.签到https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7dphp git仓库后门2.unsetme源码<?php// Kickstart the framework$f3=require('lib/base.php');$f3->set('DEBUG',0);if ((float)PCRE_VERSION<8.0) trigger_error('PCRE v
2021-04-09 16:15:47
843
原创 pandas入门代码回顾
import numpy as npimport pandas as pdimport openpyxldf = pd.DataFrame(pd.read_excel('name.xlsx'))print(df)a=df['商家编码']#这样可以用变量a指代某一整列for letter in a:#for循环 letter的位置可以起你自己想起的名字 会对每个a里面的数据进行冒号后面的操作 print(letter)#这里把a这一列每一个数据输出print(a[4])#a[x]可以定位
2021-03-24 23:06:03
76
原创 D3CTF shellgen2 对无字母数字phpshell的学习
原题wafdef waf(phpshell): if not phpshell.startswith(b'<?php'): return True phpshell = phpshell[6:] for c in phpshell: if c not in b'0-9$_;+[].=<?>': return True else: print(chr(c), end=''
2021-03-24 21:41:21
223
原创 NepNep wp
1.Little_Trick<?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(strlen($nep)<13){ eval(substr($nep,0,$len)); }else{ die('too long!'); }?>Len=-1的时候可以绕过s
2021-03-23 18:50:15
404
4
原创 如何在chrome中实时修改JS
如何在chrome中实时修改JSF12-Source-找到想改的页面修改JS-左边的目录栏中找到对应的文件名字-右键-Save for override
2021-01-12 11:52:33
1441
1
转载 centOs no package httpd解决
解决办法 sudo yum --disableexcludes=all install httpd以下内容为转载,留给自己看的:参考链接https://www.howtoing.com/yum-lock-disable-blacklist-certain-package-update-versionhttps://www.cnblogs.com/dream397/p/13086679.html使用Yum禁用/锁定软件包更新修改 (YUM)是基于RedHat的发行版本,比如CentOS的和Fedor
2021-01-11 21:34:31
891
原创 redis更改config set dir后save报错问题解决 报错为: Failed opening .rdb for saving: Read-only file system
Stack Overflow牛批,CSDN上找了一周都找到解决办法具体来说就是要改/etc/systemd/system/redis.service这个配置文件这个配置文件中有一些关于redis允许读和写的目录,把你想允许他写的目录放在ReadWriteDirectories=后面就好了其次权限给满,能想到的都给777像/etc/redis/var/lib/redis,再加root启动应该就行了!!参考链接https://stackoverflow.com/questions/44814.
2020-12-16 21:06:19
2207
原创 beautifulsoup进行简单爬虫尝试
0x01安装依赖和参考文档参考https://blog.csdn.net/qq_21933615/article/details/81171951https://blog.csdn.net/m0_37623485/article/details/88324296pip install beautifulsoup4pip install lxml #解析器#使用时要引入的模块import requestsfrom bs4 import BeautifulSoup0x02 Beautif
2020-12-10 18:57:57
187
原创 一次数据处理简单实践:批量将excel存到数据库并操作
参考思路https://blog.csdn.net/weixin_43179111/article/details/82745390直接上代码import osimport pymysqlimport xlrddef parse(file_path,i): file = xlrd.open_workbook(file_path) sheet_1 = file.sheet_by_index(0) col_name=sheet_1.row_values(0)#获得属性名(列
2020-12-04 01:13:55
228
原创 萌新之php一句话木马(上传漏洞)
0x00参考文章https://www.cnblogs.com/wangtanzhi/p/12243206.htmlhttps://xz.aliyun.com/t/2435https://blog.csdn.net/momo_sleet/article/details/824975200x01 什么是一句话木马<?php @eval($_POST['hacker']); ?>如上就是一句一句话木马,eval函数可以使php将post进去的内容当做代码处理如果网站在用户上传文件时没
2020-11-09 01:54:49
14425
1
原创 菜鸡的flask模板注入
ssti:SSTI就是服务器端模板注入(Server-Side Template Injection),也给出了一个注入的概念,通过与服务端模板的 输入输出 交互,在过滤不严格的情况下,构造恶意输入数据,从而达到读取文件或者getshell的目的因为flask使用Jinja2渲染引擎,可以在前端通过{{}}的形式使用变量或者{% %}执行python语句,存在注入的可能(不懂的话先去看flask!)因为flask是用的python语言,所以python中的一些内置函数可以在flask中被使用,我们可以借
2020-10-08 23:23:33
654
原创 一些突发奇想的misc
1.DTMF:双音多频 DTMF(Dual Tone Multi Frequency),双音多频,由高频群和低频群组成,高低频群各包含4个频率。一个高频信号和一个低频信号叠加组成一个组合信号,代表一个数字。DTMF信号有16个编码。利用DTMF信令可选择呼叫相应的对讲机。一般用在电话通信中,可以根据频谱表获得对应的数字可以通过audacity分析频谱,对应表格找到数字2.USB键盘码00 00 Reserved (no event indicated)9 N/A √
2020-09-28 18:38:14
221
原创 Some writeup
强网杯部分wp1.funhash套娃第一层涉及MD4,之前没见过可以用MD4(0e001233333333333334557778889)=0e251288019绕过第二层白给,用数组第三层md5(xxx,true)后会返回原始二进制字符串’ffifdyop‘字符串对应的16位原始二进制的字符串就是” 'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c带入后相当于‘or true原理是or’ 对应的16进制是 276f7227 ,所以我们的目标就
2020-08-31 12:31:13
315
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人