遇事不决冲冲冲

在 jdk 1.5 之后引入了 `java.lang.instrument` 包，该包提供了检测 java 程序的 Api，比如用于监控、收集性能信息、诊断问题，通过 `java.lang.instrument` 实现的工具我们称之为 Java Agent，Java Agent 支持两种方式进行加载：实现 premain 方法，在启动时进行加载 （该特性在 jdk 1.5 之后才有）实现 agentmain 方法，在启动后进行加载 （该特性在 jdk 1.6 之后才有）...

常规的木马实际写出落地后容易被检查出来，并且webshell被发现后也就导致我们的行动被发现，很容易造成木马被查杀、利用漏洞被修复，使我们的攻击变得更加艰难，所以内存马的出现与利用无疑是增强了隐蔽性，可以让我们的攻击更加稳定、持久Tomcat、filter、servlet、listener......

基于XML的weblogic反序列化漏洞紧跟上文，这篇来分析一下基于XMLweblogic反序列化漏洞，这里xml本身就是序列化对象，通过XMLDecoder进行反序列化解析(循环遍历XML数据并进行拼接处理)，最终拼接出完整的恶意语句并执行，列出CVE：CVE-2017-3506、CVE-2017-10271、CVE-2019-2729、CVE-2019-2725，漏洞复现，断点分析，修复

基于T3协议的weblogic反序列化漏洞之前说过在weblogic里面其实反序列化漏洞利用中大致分为两种，一个是基于T3协议的反序列化漏洞，一个是基于XML的反序列化漏洞，这篇来分析一下基于T3协议的weblogic，列出几个基于T3协议具有代表性的CVE： CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2018-2628、CVE-2020-2555、CVE-2020-2883，每个cve的思路大致都是基于上几个漏洞的补丁进行的一个绕过，本来想逐个分析，这里

之前听过nps是在内网碰到不出网的时候可以实现内网穿透，最近听师傅说可以docker部署nps然后利用socks5实现隐藏ip(也就是访问ip变成了我们vps从而实现隐藏ip)，所以实际搭建了一下。一开始我把nps放到vps把上npc放在我的主机上，但是发现代理出去的ip和地址还是我自己的，不知道是哪里出了问题，最后问了几个师傅才明白其实真正实现socks转发的是npc，而nps只是用来启一个web管理端的，最后把nps、npc都放在vps上后成功实现功能完成隐藏ip

weblogic是一个常用的web中间件，它的反序列化漏洞也算是比较经典，而在weblogic里面其实反序列化漏洞大致分为两种，一个是基于T3协议的反序列化漏洞，一个是基于XML的反序列化漏洞，一个原因就是配置环境配了好长时间，这篇就当作专门介绍环境搭建了吧Cve-2017-3506Cve-2017-10271Cve-2019-2729Cve-2019-2725CVE-2015-4852CVE-2016-0638CVE-2016-3510CVE-2017-3248CVE-2018-2628CVE-20

BasicDataSource如果目标服务器没有外网、无法反连，自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式，而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码，但是需要开启Feature.SupportNonPublicField，并且实际应用中其实不多见，这里就引出BasicDataSource，我们可以直接在Payload中直接传入字节码并且不需要出网，不需要开启特殊的参数，适用范围较广，目标需要引入tomcat依赖，虽说也是

FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞，主要原因FastJson支持的两个特性：fastjson反序列化时，JSON字符串中的 @type 字段，用来表明指定反序列化的目标恶意对象类。fastjson反序列化时，字符串时会自动调用恶意对象的构造方法， setter 方法， getter 方法，若这类方法中存在利用点，即可完成漏洞利用。主要存在两种利用方式：JdbcRowSetImpl(JNDI)TemplatesImpl(Feature.SupportNonP

一.介绍下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/6/st漏洞利用phpmyadmin getshell、tomcat 漏洞利用、docker逃逸、ms14-068、ssh密钥利用、流量转发、历史命令信息泄露、 域渗透机器密码web: ubuntu:ubuntuwin7: douser:Dotest123DC: administrator:Test2008二.环境搭建下载完成后为三个压缩包，解压后如图在每个文件夹中创建

php无参执行RCE一般来说当我们可以控制或自己上传一个木马后，就可以进行任意命令执行，但像上面这样`/[^\W]+\((?R)?\)/`的正则过滤方式，我们不能输入任何参数，这样想绕过的话一个大的思路就是通过套娃，通过让一个函数的返回值作为另一个函数的参数，也就是这样`a(b(c()));`，最终达到rce的效果，下面列几种绕过方法

php绕过open_basedir，简单来说就是限制一些文件的读取与执行，包括mysql的一些函数对这些指定文件的操作，ctfshow 805，绕过open_basedir扫描目录文件，绕过open_basedir读取文件

Log4j漏洞复现步骤，Log4j断点分析，Log4j漏洞中2.15.0-RC1断定分析，以及绕过方法，Log4j2.15.0-RC2修复原理

## 什么是PIN码pin码也就是flask在开启debug模式下，进行代码调试模式的进入密码，需要正确的PIN码才能进入调试模式## 如何生成这里就列一个了，前面全是获取值，最后进行加密，版本不同区别也就就是3.6与3.8的MD5加密和sha1加密不同

[MRCTF2020]PYWebsite 1[MRCTF2020]Ezpop 1[SUCTF 2019]Pythonginx 1[NPUCTF2020]ReadlezPHP 1[CISCN2019 华东南赛区]Web11 1[BSidesCF 2019]Futurella 1[BJDCTF2020]EasySearch 1[GYCTF2020]FlaskApp 1

commons-collections3反序列化cc3链和cc1想法还是很相似的，然后构造恶意类和调用使用了不同的两个新类ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()

先给本文立个框架1. jndi介绍2. RMI动态加载恶意类3. jndi注入利用思路4. RMI-JNDI注入5. LDAP-JNDI注入6. 版本及参考JNDI全称为Java命名和目录接口。我们可以理解为JNDI提供了两个服务，即命名服务和目录服务。

[WesternCTF2018]shrine 1[SWPU2019]Web1 1[网鼎杯 2020 朱雀组]Nmap 1

[CISCN 2019 初赛]Love Math 1[De1CTF 2019]SSRF Me 1

大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中，反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段，将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`（创建一个`InvokerTransformer`并传递一个`newTransformer`方法，然后将`InvokerTransformer`方法名传递给`TransformingComparator`）

[安洵杯 2019]easy_serialize_php 1[BSidesCF 2020]Had a bad day 1[安洵杯 2019]easy_web 1[NCTF2019]Fake XML cookbook 1[BJDCTF2020]Cookie is so stable 1[WUSTCTF2020]朴实无华 1