- 博客(186)
- 收藏
- 关注
RSS订阅原创 使用CodeQL挖掘Spring中的大量赋值漏洞
或许你没有听过“大量赋值漏洞”,但你一定在网络上见过这样的技巧:FUZZ请求参数的额外字段。在某个获取用户列表的请求中,如/api/user?/api/user?,可能发现潜在注入点;在注册账号场景中,可以尝试 FUZZ 内部字段,如设置用户身份的字段role=admin等,测试是否能意外获得管理员权限。以上漏洞都存在一个共同点,即后端接收了这些本不应暴露给用户的字段,并进行了处理。而本文讨论的大量赋值漏洞,则是在此基础上的一个特殊案例。
2025-07-16 14:29:47
618
原创 MCP特性及攻击面
模型上下文协议 (Model Context Protocol, MCP) 作为一种新兴的开放标准,旨在促进人工智能助手与各类数据系统之间的连接,从而提升人工智能模型的响应质量和相关性. 然而,随着 MCP 的广泛应用,其潜在的安全漏洞和攻击面也日益受到研究人员和安全专家的关注。
2025-07-13 12:40:10
990
原创 既然所给资产攻破无果,那就转旁站GetShell获取权限
我勒个去,失败了,正常情况下,如果存在任意文件读取的话,根据上面的Payload我们可以成功读取到数据库配置文件。接着,通过搜索内容得知,在Fastadmin忘记密码时,可更改密文为:c13f62012fd6a8fdf06b3452a94430e5,salt为:rpR6Bv,此时相关用户密码会重置为:123456。在fa_admin表中,可以看到用户密码是加密保存的,而且是:密文+salt的形式,同时在cmd5未查询到记录。所以后面的内容中,有部分截图是来自于我还原的漏洞环境中的截图。
2025-07-09 11:18:56
846
原创 MCP特性及攻击面
模型上下文协议 (Model Context Protocol, MCP) 作为一种新兴的开放标准,旨在促进人工智能助手与各类数据系统之间的连接,从而提升人工智能模型的响应质量和相关性. 然而,随着 MCP 的广泛应用,其潜在的安全漏洞和攻击面也日益受到研究人员和安全专家的关注。
2025-07-07 14:32:47
682
原创 DES 加密解密实现之旅
本文将记录从某次渗透实战登录遇到的des加密,分析 des.js 和 login.jsp 文件到成功实现加密解密功能的全过程。通过这一过程,不仅深入理解了 DES 加密算法的实现细节,还成功地在 Node.js 环境中实现了与 des.js 一致的加密解密功能。分析了 des.js 中的关键函数,包括 strEnc、strDec、enc、dec 等,详细解释了 DES 算法的实现细节,如初始置换多轮 Feistel 结构S 盒置换等。通过这些分析,不仅理解了算法的原理,还掌握了其在实际渗透测试中的实现方法。
2025-07-01 15:50:01
738
原创 记录某企业存储型XSS漏洞从发现到数据外泄全路径分析
!根本漏洞链无效过滤函数 → 事件处理器白名单缺失 → 属性逃逸构造 → DOM数据渗出完整漏洞链渗透测试链路过滤检测 → 属性逃逸 → 事件注入 → 数据提取 → 外传通道//坚持自己选择,不要遇到绕不过的就放弃了,毕竟有很多事情,不起尝试怎么知道自己不行咯!XSS漏洞挖掘的本质是语法与规则的对抗。对过滤机制的逆向解构业务场景数据节点的测绘渗出通道的隐蔽性保障 保持对空格/引号/括号等基础语法元素的敏感性,往往比追求复杂攻击技术更有成效!
2025-06-24 13:47:24
870
原创 从pwnlabs学习云安全
用户下单之后信息 都进入到队列中 ,然后后续的各个操作从队列中取出 信息进行处理。这个两个权限都可以查看快照信息,不过第一个是针对于特定快照的,并且可以查看具体信息。是Amazon退出的一个无服务器函数计算服务, 你只需要编写代码并上传 Lambda 就会安装代码 逻辑自动进行计算。这个aws-enumerator我第一次按照文档说明的方式安装的时候。这里1,2,3,4都是回显 我第一次做的时候 只用了4来回显。这里如果你使用的是AWS CLI 的版本2 你可能会遇到这个问题, 出现。
2025-06-23 15:48:11
944
原创 DOM型XSS深度渗透实战
在一次针对甲方ERP系统的渗透测试中,我发现了一个隐秘的DOM型XSS漏洞。这种表面无害的漏洞通过巧妙构造的Payload,能够绕过同源策略、突破CSP防御,最终实现敏感数据自动化收割并发送到攻击者服务器。本文将完整呈现漏洞从发现到武器化的全路径攻击链。漏洞挖掘规则1. **动态渲染点追踪**:- 全局搜索`.innerHTML`、`.outerHTML`、`document.write`- 检查Vue/React的`v-html`和`dangerouslySetInnerHTML`
2025-06-19 13:48:01
485
原创 深度剖析JSONP注入漏洞:JavaScript回调函数引发的会话弹窗劫持
在Web应用安全领域,JSONP(JSON with Padding)因其跨域特性被广泛使用,但也常成为攻击入口。本文通过分析某企业登录系统的高危漏洞案例,揭示未过滤的JSONP回调函数如何导致完整会话Cookie泄露。该漏洞利用难度低但危害极大,通过篡改AJAX响应即可窃取用户会话,实现完全身份冒充。eval():直接执行字符串中的JS代码,是最高危的函数。Function()构造函数:通过new Function('arg', 'alert(arg)')方式创建函数,同样能执行动态代码。
2025-06-17 16:38:36
783
原创 任意类加载环境下注入内存马
在 JVM 中,每个类都有它所属的类加载器,在 Java 内存马注入场景下,我们会制作一个恶意类通过 ClassLoader.defineClass 方法注入到 JVM 中,然后通过一些特定方法注册到 Web 组件上以供我们访问。看起来非常的完善,兼容性很强的样子,先尝试获取上下文类加载器中注入,上下文类加载没有就注入到 context 的类加载器中。实际测试起来就会发现有些场景下根本不行,而记某次实战 hessian 不出网反序列化利用。
2025-06-06 13:38:55
1012
原创 Linux Shellcode开发(Stager & Reverse Shell)
在linux shellcode编程中,我们应该使用 RDI,RSI,RDX,R10,R8,R9,来传递前六个参数。
2025-05-28 13:26:34
697
原创 HotSwappableTargetSource+XString利用分析
为什么 XString 需要配合 HotSwappableTargetSource 进行利用而不能直接单独使用由 equals 调用到 tostring 方法。
2025-05-23 13:22:59
961
原创 高版本Fastjson:Getter调用限制及绕过方式探究
前面提及到了,在fastjson或者jackson中存在有原生的反序列化链Gadgets,能够触发任意对象的getter方法,而在高版本中同样对之前的方式进行了一系列的限制,那么该如何绕过这类限制呢?
2025-05-20 15:24:54
1179
原创 关于Mirth Connect的一些利用方式
存在是存在,但是是urlclassloader的下面,java父classloader是无法找到子classloader的,所以没法注入内存马,宣告失败。再查看pid,可以发现监听的端口10010,10086和登陆端口18080是同一个进程启动的,这也许可以把内存马打到18080上去。上面实现的功能,需要我们新建端口的监听,需要服务器没有nat,如果存在nat,只能访问登陆页面,那就没法访问到新建的通道的端口。仔细看了下发现应该是用Mirth Connect改的,但是使用历史漏洞打了一波,并无成果.
2025-05-16 15:55:33
820
1
原创 红队视角下的域森林突破:一场由Shiro反序列化引发的跨域控攻防对抗
收集完没有太大进展,想着还是扫一下内网的端口的服务把,等多收集点账户在做喷洒,然后扫内网扫出来,很多mysql数据库,其中一个有弱口令但是对方机器是linux,也不刷分,对我们渗透没多用也就没利用.查看了内网大部分的web服务都没有突破口。这下总算是让我有些收获了,也是成功的横移到另外一个域控上,然后我又通过这样的方法,连续横移了好几台机器并且提取了机器上的hash,让我成功拿到了administrator的用户密码。显示500,我说呢,难怪内存马打不上,原来是Tomcat版本问题啊,那这就好办了。
2025-05-12 14:49:38
950
原创 web+wx浏览器组合拳拿下edu证书站
这次是在某个无聊的假期闲逛edusrc礼品的时候,某个证书站有种莫名奇妙的魔力吸引了手中的鼠标,随后开始的一段证书挖掘。。。
2025-05-07 15:22:22
317
原创 记一次奇妙的Oracle注入绕WAF之旅
整个测试过程如下从登陆框开始 --> 构造1=1 成功闭合 --> %23不能用猜测不是mysql --> xor 再次确认不是mysql --> 尝试like&&ilike 排除pg --> 函数过滤 fuzz --> 想到 /0报错 --> 找到user虽然写出来后并没有多长的内容,但实际上也是消耗了很长的时间。时间主要也是花在了fuzz和寻找可用函数的过程中。
2025-04-28 15:04:24
745
原创 从Nacos derby RCE学习derby数据库的利用
使用derby数据库的嵌入模式。有token,即需要有权限绕过的漏洞或者有密码版本:2.x小于2.4.0,1.x<=1.4.7这篇文章除了常规的漏洞分析外,我做的有价值的工作有两个地方:一是解决了如何联动JMG注入任意内存马,二是解决了不出网情况下写入jar有大小限制的问题。
2025-04-23 15:00:03
1407
原创 云对象存储桶验证漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全
随着云计算的兴起,私有云也逐渐成为企业数字化转型的重要选择之一。然而,无论是公有云还是私有云,在建设过程中都曾爆出过许多安全漏洞。今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写桶里面的文件)以及这个漏洞场景挖掘以及影响。MinIO 是在 GNU Affero 通用公共许可证 v3.0 下发布的高性能对象存储。它与 Amazon S3 云存储服务的 API 兼容。使用 MinIO 为机器学习、分析和应用程序数据工作负载构建高性能基础设施。如何修改我们自定义的想上传的内容呢?
2025-04-22 15:30:39
1256
原创 CC注入Tomcat Upgrade/Executor/WebSocket内存马
学习一下Tomcat中和组件内存马不一样的马。除了学习注入原理外,其payload还在一些缩短payload的场景有应用,比如shiro。
2025-04-21 16:26:40
888
原创 加密补洞?您这是给漏水的船贴创可贴呢!
今天领导甩来一个漏洞让复测,说是业务方不认(大概初测同事写的有点问题)。结果复测时一看,好家伙!人家在原本加密的参数上又套了层加密,活像高校论文查重——重复率太高?那就用翻译软件再翻一遍!😅"我们加了双重加密,安全得很!你不认漏洞,那你做防护干嘛?关键是——再套一层加密能防的住吗?最新也是碰到挺多这样的案例,SQL注入?上加密!越权?上加密!XSS?上加密!仿佛加个密就能一键安全,殊不知攻击者连解密都省了——直接操作加密后的数据照样打。
2025-04-14 15:13:15
252
原创 clickhouse注入手法总结
和mysql差不多,就是注意一下有哪些函数可以互相平替的,比如字符串截取,编码等函数,方便绕过对特定函数的过滤。遇到一题clickhouse注入相关的,没有见过,于是来学习clickhouse的使用,并总结相关注入手法。除了上述表函数,还能够发起mysql连接,jdbc连接,redis连接,详细可以查阅文档。其中TabSeparated表示脚本文件的输出每行以\t符号分隔,用于解析结果,可以换成TSV。表函数就是接在from后面的,返回的结果作为一张表,能够被查询。2. 两个查询对应的列的数据类型要相同。
2025-04-08 15:21:48
1144
原创 SpringAOP新链浅析
在复现CCSSSC软件攻防赛的时候发现需要打SpringAOP链子,于是跟着前人的文章自己动手调试了一下参考了大佬的文章该SpringAOP新链危害还是很大的,因为其依赖少的原因,而且本身就具备该依赖。
2025-04-07 15:51:44
964
原创 不出网环境下的渗透测试
模拟靶机不出网的情况下,首先我们使用suo5代理出shell到vshell,然后再利用proxifier代理出数据库到本地navicat,再在此基础上进行操作。
2025-04-02 15:27:50
370
原创 重写ring3 API函数
本节涉及到系统调用的相关知识,在这里我只是浅浅地介绍一下什么是系统调用。系统调用(System Call)是操作系统提供给应用程序与内核交互的核心接口,允许用户程序请求内核执行特权操作,它是用户态和内核态之间的桥梁。在免杀领域中,只要你是通过syscall指令进入内核态执行特权操作都可以称为系统调用。在Windows操作系统中,假设我们使用了这个Zw*类型的API,它就会从用户态转变为内核态,在内核态由操作系统真正的执行特权操作。
2025-03-24 16:31:56
895
原创 攻防视角下的敏感信息泄露之检测与防护
在日常渗透测试和安全研究中,敏感信息泄露一直是个老生常谈的话题,但是找起来的时候可能无从下手,结合OWASP总结下来的场景,每种都会进行详细的分析,并提出利用和防护思路。
2025-03-19 13:57:24
1175
原创 一文学会各种子域名收集方法
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担。
2025-03-14 16:38:59
1536
原创 FTP免杀绕过杀软及钓鱼绕过邮箱检测
打包为zip上传到github复制下载链接,插入到伪造的html页面中的下载url中。其中a文件是之前CS生产的powersshell命令文件,改一下名字就好了。然后客户端连上,然后建立监听器,之后生成powershell恶意文件。通过html页面伪装为查杀后的docx文件,实际链接是木马下载地址。good.dll内容如下,原理是ftp命令模式下,输入。实际测试成功绕过邮箱检测发送给收件人,收件效果如下。然后bad.ps1 写入powershell命令。只要打开快捷键,CS这边就会立刻上线。
2025-03-10 17:12:34
457
原创 深度探索:直击服务器权限获取之旅
在网络安全的神秘棋局中,每一个系统都是一座布满机关的城堡。一次深度的系统渗透恰似一场精密的探秘之旅,从系统目录的文件路径出发,经由云存储桶路径的巧妙关联,最终借助文件上传漏洞,叩开了服务器权限的大门。
2025-03-05 15:44:27
951
原创 徒手渗透测试的独特实践
渗透工具是这场网络安全探险不可或缺的“飞船”与“武器”,然而,无需借助工具,直接对网站进行渗透还是比较有挑战性的,最近一个星期基本都是这样,拿手机渗透,或者打开电脑一个浏览器打遍天下。
2025-02-26 17:21:38
633
原创 Windows渗透实战之EscapeTwo
获得sql_svc的shell,但当前用户并没有user.txt,同时在Users下发现了ryan,猜测user.txt在他的目录下在C:下发现SQL2019,cd进去发现ExpressAdv_ENU在该目录下发现sql-Configuration.INI。拿到这些凭据,可以考虑爆破,但要针对性的爆破,看到表格中的密码涉及了mssql,考虑会不会是mssql的账号密码我们结助netexec来爆破,当然也可以根据密码的特殊性,先尝试一下sa这组凭据。在命令后加上--local-auth。
2025-02-20 13:19:54
1088
原创 记一次渗透测试实战之Sightless
在 2.1.9 之前,Froxlor 应用程序的失败登录尝试日志记录功能中发现了一个存储盲跨站点脚本 (XSS) 漏洞。未经身份验证的用户可以在登录尝试时在 loginname 参数中注入恶意脚本,然后当管理员在系统日志中查看时,该脚本将被执行。通过利用此漏洞,攻击者可以执行各种恶意操作,例如在管理员不知情或未经同意的情况下强迫管理员执行操作。例如,攻击者可以强迫管理员添加由攻击者控制的新管理员,从而使攻击者完全控制应用程序。单击第一行的“检查”将启动一个窗口,显示开发工具中的活动。
2025-02-18 13:46:11
418
原创 三层渗透测试-DMZ区域 & 二三层设备区域
首先先进行信息收集,这里我们可以选择多种的信息收集方式,例如nmap如此之类的,我的建议是,可以通过自己现有的手里小工具,例如无影,密探这种工具,进行一个信息收集。以免在信息收集的环节,遗漏一些信息,导致后续渗透任务的失败。先分析这个目录下的文件:我们的目标是为了通过分析代码,找到有无我们可以利用的漏洞点,利用管理员账户的账户与密码信息,或者是登录框存在sql注入。这个地方,上传的代码,并没有存在任何的上传过滤,对文件内容,以及常见的恶意文件后缀名没有进行任何的过滤,导致我们可以轻松获得shell。
2025-02-17 13:25:57
1277
原创 记一次渗透测试实战之Usage
使用其来获取/root/.ssh/id_rsa,接着保存之后,使用ssh登录即可。收集敏感信息,发现在.monit.rc文件中,存在用户密码。访问web页面,发现存在一个登录地址。运行之后,成功读取root.txt.测试功能点,发现有一处文件上次处。注册一个用户,然后接着抓包看看。没用跑出来,接着修改参数继续跑。尝试上传图片马,访问之后没解析。尝试使用弱口令进行登录尝试。发现它有一些选项,可以运行。使用nmap进行端口探测。抓包之后,尝试SQL注入。使用sqlmap进行枚举。接着重新上传,修改后缀名。
2025-02-12 16:21:07
384
原创 JAVA安全之Java Agent打内存马
Java Agent是一种特殊的Java程序,它允许开发者在Java虚拟机(JVM)启动时或运行期间通过java.lang.instrument包提供的Java标准接口进行代码插桩,从而实现在Java应用程序类加载和运行期间动态修改已加载或者未加载的类,包括类的属性、方法等,而Java Agent内存马的实现便是利用了这一特性使其动态修改特定类的特定方法将我们的恶意方法添加进去java.lang.instrument.Instrumentation提供了用于监测运行在JVM中的Java API。
2025-02-10 15:32:20
1492
原创 浅析Ruby类污染及其在Sinatra框架下的利用
在Ruby中也是万物皆对象,下面定义一个Person类@@cnt = 1# 定义属性# 初始化方法@age = ageend# 定义方法def greetendend类变量(类似Java中类的静态变量)使用@@前缀,实例变量使用前缀,在类内部才用这种前缀来访问。冒号前缀表示符号(Symbol)。Ruby中符号是轻量级的、不可变的字符串,通常用于表示标识符、方法名或键。符号的优点是它们在内存中只存储一次,因此在需要频繁比较或使用相同字符串的情况下,使用符号可以提高性能。
2025-02-08 13:16:49
1202
原创 Spring FatJar写文件到RCE分析
目录下的所有 jar,以及JAVA HOME下系统classpath的jar,无法在其运行的时候往 app.jar classpath 中增加文件。随便选一个sun.nio.cs.ext下的类进行覆盖就OK,为了保持最小体积,抛弃其他类(需要保留ExtendedCharsets类,不然无法加载其他类)。MiscCodec是老朋友了,直接看到deserialze方法,如果clazz是Charset.class的话,会调用Charset.forName。而且还得找系统启动后没有进行过。
2025-01-25 13:37:48
1100
原创 从hello-web入手反混淆和disable_function绕过
比如:一个恶意文件中有一个恶意构造的函数和我们程序指令执行时调用的函数一样,而LD_PRELOAD路径指向这个恶意文件后,这个文件的优先级高于原本函数的文件,那么优先调用我们的恶意文件后会覆盖原本的那个函数,那么当我们调用原本函数时,它会自动调用恶意的函数,非常危险。用于动态链接库的加载,在动态链接库的过程中他的优先级是最高的。比赛打了一道题,考的是反混淆和disable-function的绕过,比较菜,也是学到了不少。虽然比赛打的是其他的,但是没有理解到,这里感觉LD_PRELOAD应该是最典的。
2025-01-23 13:57:17
689
原创 探究Pker对opcode字节码的利用
pickle使用来定义序列化过程中的指令和格式。操作码是表示某些操作(如存储对象、读取对象等)的指令,它们以字节的形式存储在 pickle 数据流中。每个操作码对应一个 Python 对象类型或序列化操作。pker是一个用于生成pickle操作码(opcode)的工具,通常可以帮助用户更方便地编写 pickle 操作码。它可能是一个用于简化操作码编写和调试的辅助工具。通过使用pker,用户可以方便地构造 pickle 的二进制流,而不需要手动编写每个操作码。pker的核心是通过一些特殊的函数(GLOBAL。
2025-01-21 14:46:44
1161
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人