- 博客(48)
- 收藏
- 关注
RSS订阅原创 基于 PHP 内置类及函数的免杀 WebShell
PHP 作为广泛使用的服务端语言,其灵活的内置类(如)和文件操作机制(.ini.inc的自动加载),为攻击者提供了天然的隐蔽通道。通过和等手法,恶意代码得以“寄生”于正常的业务逻辑中,甚至借助析构函数、自动加载等机制实现。这种“隐写术”般的攻击方式,不仅挑战了传统检测技术的边界,也对开发者和安全团队提出了更高维度的防御要求。本文将以为核心,深度剖析攻击者如何将 XML 解析、配置加载、自动包含等“合法”功能武器化,构建出零特征、高动态的免杀 WebShell。
2025-03-25 18:53:27
973
原创 SeaCMS代码审计
根据漏洞描述定位漏洞代码当action=saveCus或者save时,可以进行一个文件写入,不过文件类型被进行了限制,只有html,htm,js,txt,css虽然这里并不能写入php文件,但是当action=add或者custom时,这里进行了一个文件包含,这样一来,我们如果把恶意代码写入admin_files.htm里面,那么就可以执行我们的恶意代码了这里的action我们是可控的,
2025-03-19 12:10:33
270
原创 src-逻辑漏洞挖掘案例
这里还有一个邮箱找回密码,和上面一样的,改响应包即可。到这里就发现并不需要验证码就可以绕过重置密码。随便输入一个电话号码和验证码,进行抓包。开局一个登录框,发现有忘记密码功能。看响应和请求,发现可能存在逻辑漏洞。
2025-03-16 13:05:04
261
原创 pyjail逃逸姿势
Python 沙箱是一种隔离执行环境,用于限制代码的权限,防止其访问敏感资源bytes是 Python 中用于表示字节序列的内置类型。它可以通过接收一个包含整数的可迭代对象(如列表、元组、生成器等)来构造字节序列。每个整数代表一个字节的值,范围是 0 到 255(即一个字节的取值范围)。通过控制这些整数的值,可以构造出任意想要的字节序列,进而转换为字符串或执行其他操作。**bytes**
2025-03-16 13:03:40
558
原创 多条件下的免杀webshell
在做webshell免杀的时候,很多情况下都是对system,eval等命令执行函数进行匹配,如果说把变量当做一个函数来使用的话,那是不是可以bypass了呢?这今天刚好看见有一个回调函数有这样的功能,而且也不会报毒,再仔细想想shellcode免杀,绕过云沙箱时,是不是会先判断一下是否在沙箱环境,在就不运行,不在就运行,那在webshell上面是不是也同样食用呢?甚至我们可以加一下条件,让代码只在特定的条件下运行呢?array_walk。
2025-03-15 15:04:49
950
原创 GHCTF web方向题解
根据源码分析可知,我们上传上去的文件内容会被渲染,这里就可能照成ssti漏洞根据源码,文件渲染的路径为/file/文件名这里确实成功渲染看了看黑名单,这里直接用fengjing运行即可得到payload。
2025-03-15 15:03:29
946
原创 一次巧妙获取shell的代码审计
下载后解压到本地网站根目录下,配置好数据库,然后安装即可默认密码是admin/123456,登录进去得更改一次密码。
2025-02-27 20:54:19
553
原创 Tornado框架内存马学习
Tornado是一个使用Python编写的Web框架和异步网络库,最初由FriendFeed开发。它以其非阻塞网络I/O的特性而闻名,并且非常适合于长轮询、WebSocket和其他需要长时间连接的应用场景。Tornado不仅提供了强大的异步处理能力,还内置了一个可扩展的模板引擎。
2025-02-25 16:36:22
1057
原创 代码审计入门学习
HadSky轻论坛程序为个人原创PHP系统,作者为蒲乐天,后端基于puyuetianPHP框架驱动,前端基于 puyuetianUI框架驱动,默认编辑器为puyuetianEditor富文本编辑器,其他非原创框架及驱动JQuery.js 及Font-Awesome字体库,前后端框架以及编辑器都由作者自研,使用此框架进行开发的系统还有 Yodati答题系统、JvHuo聚货网等。
2025-02-25 16:34:01
640
原创 CTF工具合集
随着网络安全领域的不断发展,网络安全竞赛(Capture The Flag,简称CTF)已经成为衡量网络安全人才技能水平的重要平台。CTF竞赛不仅要求参赛者具备深厚的网络安全理论知识,还需要他们具备快速应对各种网络攻击和漏洞利用场景的实际操作能力。然而,在实际的CTF竞赛过程中,参赛者往往会遇到多个问题,如信息收集、漏洞利用、提权、文件传输等,这些过程往往涉及到多个工具的使用和复杂的操作流程。
2025-02-24 18:52:49
563
原创 漏扫虚拟机
Linux集成化漏洞扫描系统,是知攻善防实验室基于Ubuntu22.04.3制作集成了漏扫AWVS,Nessus,QingScan,巡风资产巡检等等下载地址在文末。
2025-02-24 18:45:06
362
1
原创 obsidian,黑曜石安装+使用
推荐一款超级好用的笔记软件:obsidian,中文名:黑曜石。我已经使用了一年多了,我之前用的是typora软件,他们使用的都是markdown语法,之所以不在使用了,原因有以下几点这个就是obsidian的关系图谱,里面每一个点都代表一个文件,点之间的连线则表示这两个文件是有关联关系的。
2025-02-23 12:58:00
831
原创 burpsuite保姆级安装教程
8.来到CN_Burp(无CMD窗口).VBS打开的页面,粘贴刚刚复制的内容就会回显内容,然后点击copy。burpsuite 2024.10专业版,已经内置java环境,可以直接使用,2.按照图片进入Display,将缩放比例调成1.0,重启bp即可解决。内置jre环境,无需安装java即可使用!3.点击CN_Burp(无CMD窗口).VBS。5.将刚刚复制的内容粘贴过来,点击下一个。1.首先点击Start.bat。9.粘贴刚刚的内容,点击下一个。1.进入bp,在左上角点击设置。2.进入,点击Copy。
2025-02-23 12:52:53
342
原创 oscp备考——Kioptix Level 1~5靶场详解
oscp备考,oscp系列——Kioptix Level 1靶场Kioptix Level 1难度为简单靶场,主要考察nmap的使用已经是否会看输出,以及是否会通过应用查找对应漏洞主要有mod_ssl低版本的getshell漏洞和samba的溢出getshell漏洞(CVE-2007-2447)nmap不能探测出samba版本,需要使用msf的smb_version进行探测使用查看文件即可**端口:**443**版本:**Apache mod_ssl < 2.8.7。
2025-02-22 11:32:33
856
原创 kali保姆级安装教程
最新kali虚拟机安装教程,kali2024.4虚拟机安装保姆教程附:设置root账号密码、解决root用户无法登录问题、换源、汉化、更新、中文输入法 等教程附:安装之后克隆的vm文件+kali官方的vm文件+kali2024.4镜像至于为什么不直接用官方的vm打包文件,对比一下就知道了登录页面主界面有一个我特别喜欢,就是这个终端,可以和windows一样一个界面开多个终端了登录页面主界面,终端一个页面不能开多个。
2025-02-22 11:30:55
796
原创 代码审计入门学习之sql注入
入口文件:index.php跟进load_class方法如果变量中存在类就直接获取,否则从地址中获取类名在wuzhicms中都定义为类。那么即加载类方法即从中读取配置,内容如下即调用content模块的index.php文件的init()方法,从目录结构中查找对应的文件,可以判断出模块即为。目录结构如下。
2025-02-21 10:49:24
635
原创 HackTools插件+反弹shell的27种方法
不同的目标系统,有着不同的环境和权限特点。攻击者可以根据这些特点,精心编写自定义的反弹shell脚本,就像是为每个目标量身打造一把专属的钥匙。import oshost = 'x.x.x.x' # 攻击者IPport = 1234 # 监听端口把这段脚本上传到目标系统并执行,目标系统就像是被施了魔法,乖乖地与攻击者建立了反弹shell连接。
2025-02-21 10:47:59
982
原创 shell编程总结
一般情况下sh其实调用的就是dash,而dash其实是bash的简化版除了上面的三个脚本解释器,还有一个source,他是内置的命令没有固定的路径,而是由Shell直接解析和执行。可以使用type可以发现,他没有固定的路径,是内置命令举例定义一个name变量,name=“xiaoyu”再利用echo $name打印出来,这就是简单的变量声明再定义一个age变量age=20echo $age可以写复杂点,比如说然后就直接打印出了姓名和年纪利用set命令查找set。
2025-02-20 11:31:23
885
原创 爬虫运用--实战爬取高清图片
首先每一个链接地址,都在class="imgw"这个类特定的类名下面图片的url就在img标签下的lay-src属性下面所有我们现在只需要提取class值为imgw的a标签,之后再提取出img标签中的lay-src的url值。
2025-02-20 11:29:53
2017
原创 Linux命令大全
bin 二进制可执行命令/etc 系统管理和配置文件/etc/rc.d 启动的配置文件和脚本/home 用户主目录的基点/lib 标准程序设计库,又叫动态链接共享库/sbin 超级管理命令,这里存放的是系统管理员使用的管理程序/tmp 公共的临时文件存储点/root 系统管理员的主目录/mnt 系统提供这个目录是让用户临时挂载的文件系统/lost+foud 这个目录平时是空的,系统非正常关机而留下“无家可归”的文件就在这里面/proc 虚拟的目录,是系统内存的映射。
2025-02-19 11:16:39
1071
原创 Apache Struts RCE (CVE-2024-53677)
对目前的Apache Struts RCE (CVE-2024-53677)的poc进行总结,由于只能单个ip验证,所以自己更改一下代码,实现:多线程读取url验证并保存,更改为中文解释。
2025-02-19 11:14:48
591
原创 数据库提权总结
前提是拥有一个普通的oracle连接账号,不需要DBA权限,可提权至DBA,并以oracle实例运行的权限执行操作系统命令。gopher协议支持发出GET、POST请求:可以先获取get请求包和post请求包,再构成符合gopher协议的请求。利用MSF的exploit/multi/mysql/mysql_udf_payload导出udf dll文件。拥有DBA账号密码,可以省去自己手动创建存储过程的繁琐步骤,一键执行测试。账号为佳,具备`root账号所具备的权限的其它账号也可以。
2025-02-18 15:11:23
762
1
原创 信呼OA办公系统sql注入漏洞分析
payload解释:漏洞的位置在webmain/task/api/uploadAction.php中的getmfilv方法中,d传task参数表示在webadmin/task目录下,m传upload|api,第一部分 upload 会被赋值给 $m,第二部分 api 会被赋值给 $_m,表示。api下的uploadAction.php文件,a传getmfilv文件表示调用uploadAction.php的、getmfilv()方法,fname传sql注入的payload,进行base64编码。
2025-02-13 12:13:05
1259
原创 webshell bypass
webshell的免杀有很多方式,师傅们可以多加一些复杂的算法和注释进去,让代码变得混乱,这样杀毒软件就很难检测了。
2025-02-13 12:11:04
810
原创 PYYAML反序列化详解
最近看了很多pyyaml反序列化的漏洞利用,但是对漏洞怎么来的,没有进行很详细的分析,所以今天刚好学习一下反序列化的原理。
2025-02-12 15:09:40
1088
原创 2025 西湖论剑wp
打开题目环境:发现一个输入框,看一下他是用上面语言写的发现是python,很容易想到ssti密码随便输,发现没有回显但是输入其他字符会报错确定为ssti注入开始构造payload,’)|attr(‘经过测试,发现过滤了/这里使用构造器,联想到ctfshow上的题目由于已经知道了flag的名字,直接构造出来获取flag。
2025-02-12 15:08:19
690
原创 python shellcode免杀的常用方法
虽然python加载shellcode的免杀方式有很多,但是生成的exe文件比较大,还是推荐用C#、go这种语言来写免杀。
2025-02-11 18:00:31
551
原创 Node.js原型链污染
当尝试访问一个对象的属性时,如果该对象自身没有这个属性,JavaScript 引擎会沿着原型链向上查找,直到找到该属性或到达原型链的末端(通常是。这个属性指向了对象的原型。当尝试访问对象的一个属性时,如果该对象本身没有定义这个属性,JavaScript 引擎会沿着原型链查找,直到找到该属性或到达原型链的末端。是所有函数(Function)对象都有一个属性,它指向另一个对象,这个对象包含了可以通过该构造函数创建的所有实例共享的属性和方法。的属性,它是一个对象,所有由该构造函数创建的对象实例都会继承。
2025-01-10 21:34:38
733
原创 2024 polarctf 冬季个人挑战赛 web wp
成功出来提示,访问ed3d2c21991e3bef5e069713af9fa6ca.php。题目给了5个模块,肯定是要管理员登录,然后进行文件上传的,先注册一个账号试试。这个题目考点主要是MD5强绕过和文件上传及对burp爆破模块的使用。发现有一堆flag,去flag认证系统爆破即可。要求我们必须是1.1.1.1才能执行命令。扫描目录发现有个login.php。发现waf,这里删除这个文件即可。响应头给了一个php文件地址。密码爆破出来是flower。进去发现是个MD5强比较。id换成xiaohei。
2025-01-05 18:14:19
383
原创 应急响应入门大全
这些都是Windows自带用户- Administrator (管理员) :这是具有完全控制和访问权限的管理员账户。默认处于禁用状态。- DefaultAccount (默认账户) :这是Windows 10中的一个预配置账户,用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。- Guest (访客) :该账户提供了-一个受限制的用户环境,允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下,默认情况下此账户处于禁用状态。
2025-01-05 18:12:46
1006
原创 信息收集大全
对于渗透测试而言,信息收集是一个非常关键的阶段,信息收集的越多,渗透起来就容易那么信息收集主要是收集什么信息呢?我们主要是收集渗透目标的域名信息(whois、备案信息、子域名),服务器信息(端口、服务、真实 IP),网站信息(网站架构、操作系统、中间件、数据库、编程语言、指纹信息、WAF、敏感目录、敏感文件、源码泄露、旁站、C 段)
2025-01-04 18:02:10
567
原创 webshell免杀基础
结合前面的绕过姿势来bypassphpreturn $b;$x= ('!run();run();run();run();到这里就能说明自定义函数,加上之前的绕过手法已经随便过D盾了后门查杀通常是使用正则表达式来进行静态匹配,而绕过大量已有正则的覆盖,就能实现免杀的效果,自己学会变换的核心原理,就能实现真正意义上的免杀。
2025-01-04 18:00:48
361
原创 2024 polarctf冬季挑战赛
成功出来提示,访问ed3d2c21991e3bef5e069713af9fa6ca.php。题目给了5个模块,肯定是要管理员登录,然后进行文件上传的,先注册一个账号试试。这个题目考点主要是MD5强绕过和文件上传及对burp爆破模块的使用。发现有一堆flag,去flag认证系统爆破即可。要求我们必须是1.1.1.1才能执行命令。扫描目录发现有个login.php。发现waf,这里删除这个文件即可。响应头给了一个php文件地址。密码爆破出来是flower。进去发现是个MD5强比较。id换成xiaohei。
2024-12-18 17:30:08
312
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人