- 博客(147)
- 收藏
- 关注
RSS订阅原创 记一次影视cms黑盒CSRF->RCE
因为if会判断执行无法用|那么就用;在shell中,担任连续指令,从左到右执行,当执行到错误的命令会停止。俗话说得好,思路才是最重要,本文章主要提供思路,各位师傅在挖掘漏洞的时候说不定也能碰到类似的点。这里的话先构造一个添加管理员的,&符号需要编码下。可以看到我这里的分别执行了ls和ping命令。添加管理员转get试下,看能不能成功添加。既然能任意构建url,并没有校验防御。这里的话只需要管理员点开触发即可。在采集管理,下载资源会压缩保存。然后返回后台看看反馈列表。反馈位置构造csrf。
2025-12-23 14:30:09
162
原创 软件安全之CRC检测
在玩某些游戏,例如fps类游戏时,你想要修改某些特定的数值实现一些功能,这时你很有可能会被查封账号甚至禁封机器码。因为你更改了游戏中的数据,从而导致接收方收到”错误的数据“。为尽量提高接收方收到数据的正确率,在接收数据之前需要对数据进行差错检测,这种检测就是我们所说的CRC检测。CRC也叫循环冗余校验码,它属于密码学一类算法,常用于数据校验,一般会用来检测程序是否被脱壳或者被修改,以达到防破解的目的。
2025-12-18 15:28:33
656
原创 海外的bug-hunters,不一样的403bypass
一种绕过403的新技术,跟大家分享一下。如果服务器和任何其他安全机制没有以正确的方式配置,不把Host放在header头内时,服务器将会自己把目标地址放在header中,这会导致服务器将我们的请求认做本地请求。以上这种思路虽然已经被添加到了burp插件,但我们依旧需要去学习了解插件运行背后的逻辑,而不只是当一个脚本小子。尤其是在做黑盒测试中,秉持改变原有数据结构的FUZZ思路进行一切可能的尝试,才会挖掘出更有趣的漏洞。在经过尝试后,得出一个结论:当清除所有header头的值时,服务器会对客户端作出响应。
2025-12-16 15:05:49
296
原创 【Windbg】学习及在CTF中解题
Windbg是一款Windows强大的调试器,可以调试0和3环的程序。在实际开发中,可以调试我们的错误程序,从而定位关键代码,进行程序代码修复。WinDbg 是一种调试器工具,由微软公司开发,用于分析和调试 Windows 操作系统和应用程序。它提供了强大的调试功能,可以帮助开发人员识别和解决各种软件问题。以下是 WinDbg 的一些主要特点和功能:1.
2025-12-12 14:00:00
656
原创 JS前端逆向
js逆向一直没有相关了解,虽然目前渗透遇见的不是很多,大多数遇见的要么不加密,要么无法实现其加密流程,不过最近看到了一个较为简单的站点正好能够逆向出来,就做了简单记录。本文旨在介绍js逆向的一些基础思路,希望能对初学js前端逆向的师傅有所帮助。
2025-12-11 14:45:00
1208
原创 利用远程调试获取Chromium内核浏览器Cookie
本文将介绍不依靠DPAPI的方式获取Chromium内核浏览器Cookie本文介绍了不依靠DPAPI的方式获取Chromium内核浏览器Cookie,可以尽可能的减少被拦截的情况下去获取浏览器Cookie。
2025-12-10 13:00:00
700
原创 realloc函数应用&IO泄露体验
本题主要介绍realloc函数,平时我们使用realloc最多便是在打malloc_hook-->onegadget的时候,使用realloc_hook调整onegadget的栈帧,从而getshell。在realloc函数中,也能像malloc一样创建堆,并且比malloc麻烦一些,但是倒是挺有趣的。
2025-12-09 15:20:33
897
原创 kernel_stack_overflow
本文介绍Linux内核的栈溢出攻击,和内核一些保护的绕过手法,通过一道内核题及其变体从浅入深一步步走进kernel世界。
2025-12-08 15:48:03
853
原创 深度学习后门攻击分析与实现
在计算机安全中,后门攻击是一种恶意软件攻击方式,攻击者通过在系统、应用程序或设备中植入未经授权的访问点,从而绕过正常的身份验证机制,获得对系统的隐蔽访问权限。这种"后门"允许攻击者在不被检测的情况下进入系统,执行各种恶意活动。 后门可以分为几种主要类型: a) 软件后门:通过修改现有软件或植入恶意代码创建。 b) 硬件后门:在物理设备的制造或供应链过程中植入。 c) 加密后门:在加密算法中故意引入弱点。 d) 远程访问特洛伊木马(RAT):一种特殊类型的后门,允许远程控制。在人工智能、深度学习领域也有自己的
2025-12-03 13:30:00
570
原创 用Radare2模拟shellcode运行
"s 8 " 指令会在文件中寻找8个字节,并跳转到一个我们希望到达的地方,然后定义下一个 "函数"。我们的shellcode中的一条指令("subs r1, r1, r1")会将r1设置为0.由于这个寄存器默认已经为0,让我们将它设置为0xffff,这样我们就可以看到当我们在shellcode中步进时所发生的变化。在可视模式下有多个选项(面板),所以我们需要敲两次 "p "来进入正确的面板。由于我们的shellcode指令是从0开始的,我们需要用 "aepc 0 "命令将我们的程序计数器(PC)设置为0。
2025-12-02 14:59:05
716
原创 Apache OFBiz远程代码执行漏洞(CVE-2024-38856)
Apache OFBiz 是一个开源的企业资源规划系统,提供了一整套企业管理解决方案,涵盖了许多领域,包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发,采用灵活的架构和模块化设计,使其可以根据企业的需求进行定制和扩展,它具有强大的功能和可扩展性,适用于中小型企业和大型企业,帮助他们提高效率,降低成本,并实现业务流程的自动化和优化。
2025-11-27 12:45:00
216
原创 从密码重置打到Getshell和其它漏洞打包
没有背景图了但还是同资产,因为在测试某体育学院的时候是有账户的,所以直接输入那个账户就能进行下一步操作了,但是这个资产无账户,所以我打算去在搜集一下学号 之类的。总结:整体难度适中只不过这次测试后台功能点有点多需要仔细观察测试,后台的信息收集做好了Getshell难度瞬间就变小了。这块的要求是输入学号后5位,而学号通常是有规律的,所以就去生成字典FUZZ了一下。这块上传应该是写死了,所以继续找其它突破口,查看参数发现存在"filename"学号这块都是一无所获,然后正准备想其它切入点的时候就突然发现。
2025-11-26 14:15:00
617
原创 如何通过组合手段大批量探测CVE-2024-38077
CVE-2024-38077漏洞的探测难点在于一是没有成型的工具,二是空间测绘出来的大批量资产如何导出与二次筛选。本文的思路只是临时方案,相信后面会有大神公开其exp,最终出现像MS17010一样的工具。
2025-11-25 14:16:22
418
原创 记一次重放验证码的条件竞争
但是想到的是条件竞争的话,感觉是在上传这一块, 所以,但长见识了!按照刚才的思路,不可能是有两个验证码会发送成功的,如果发送成功,一定就是它的业务出现了问题…2.挖掘的每一个过程,都需要明白大致得流程,这样才能进步,我们要明白为什么,怎么操作。成功验证了,主要为了验证这个问题存在即可,不一定要把线程开得很大,把别人网站搞崩完了。1.最开始的时候,思考的方向出现了问题,我首先想到的是会不会是高并发的一个问题。然后当我把线程放到30的时候,重新再跑的时候,进一步确认了这样一个问题。重复发送,做了防护。
2025-11-24 15:31:31
199
原创 靶场战神为何会陨落?
file=../../../etc/passwd或者?在实际挖洞过程中,如果账号密码无法爆破,更多可能是分析js文件(从js文件中找更多js再从js中提取接口),找隐藏接口,也就是前端页面并未显示有注册修改密码等功能,但可以从js中找到接口,实现登录后台的目的!扫描目录时会找到两个登录界面,在实战中,需要将注意力放在并不对外使用的界面,它们属于脆弱资产,例如员工登录入口,管理员登录入口,像对外开放的,可以注册的那些登陆界面,虽然功能点更多,但由于经常有人访问,会经常维护,它们的安全性会更高,不容易出洞。
2025-11-21 14:15:00
595
原创 大模型隐私泄露攻击技巧分析与复现
大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,其中包括敏感的个人信息,进而带来隐私泄露的可能性。此外,模型在推理时有时会无意中回忆起训练数据中的敏感信息,这一点也引发了广泛的关注。隐私泄露的风险主要来源于两个方面:一是数据在传输过程中的安全性,二是模型本身的记忆风险。在数据传输过程中,如果没有采取充分的安全措施,攻击者可能会截获数据,进而窃取敏感信息,给用户和组织带来安全隐患。
2025-11-17 15:41:21
728
原创 通过条件竞争实现内核提权
条件竞争漏洞(Race Condition Vulnerability)是一种在多线程或多进程并发执行时可能导致不正确行为或数据损坏的安全问题。这种漏洞通常发生在多个线程或进程试图访问和修改共享资源(如内存、文件、网络连接等)时,由于执行顺序不确定或没有适当的同步措施,导致竞争条件的发生并且条件竞争在内核中也经常出现。
2025-11-17 15:11:47
746
原创 tongweb闭源中间件代码审计
判断下载路径snapshotRootPath的父路径是否是path,也就是对snapshotname与path拼接后的路径进行校验,如果snapshotname值为../../或者为/a/b这种格式则无法通过校验,也就是限制了跨目录操作。规范,作为基础架构软件,位于操作系统与应用之间,帮助企业将业务应用集成在一个基础平台上,为应用高效、稳定、安全运行提供关键支撑,包括便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的管理等。snapshotRootPath:由path/snapshotname组成。
2025-11-14 15:15:00
757
原创 nps之Socks流量分析以及未授权复现
因为想要写一个socks的流量算法去绕过安全设备,所以这里对nps的流量特征总结一下,方便自己后期的魔改。
2025-11-13 16:11:46
328
原创 记一次任意文件下载到Getshell
任意文件下载(Arbitrary File Download)是一种常见的 Web 攻击技术,用于窃取服务器上任意文件的内容。攻击者利用应用程序中的漏洞,通过构造恶意请求,使应用程序将任意文件(如配置文件、敏感数据等)发送给攻击者。一旦攻击者成功利用这种漏洞,就可以从服务器上获取应用程序所拥有的任意文件,并且可以获取到这些文件的敏感信息。
2025-11-12 13:15:00
321
原创 浅谈DNS-rebinding
如果两个 URL 的 协议、域名、端口都相同的话,则这两个 URL 是同源。同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于HTTP cookie来维持用户会话(session),所以必须将不相关网站严格分隔,以防止丢失数据泄露。值得注意的是同源策略仅适用于脚本,这意味着某网站可以通过相应的HTML标签访问不同来源网站上的图像、CSS和动态加载 脚本等资源。而跨站请求伪造(CSRF)就是利用同源策略不适用于HTML标签的缺陷。
2025-11-10 15:51:05
904
原创 Responder与evil-winRM配合远程登录windows
本次的分享就到这儿结束了,当然还有很多的操作和细节没有能够展示到,后续就留给师傅们去探索了。下面附上本文的参考文章链接:参考文章:https://www.freebuf.com/sectool/210479.html。
2025-11-06 12:30:00
1659
原创 记录对某985证书站挖掘
这里推荐我使用的一个集成工具:oneforall,工具地址:https://github.com/shmilylty/OneForAll然后收集到大量资产后,我会先初步使用httpx对一些路径进行快速批量探测:httpx工具地址:https://github.com/projectdiscovery/httpx这里将你搜集的资产的链接放在target.txt中然后经过初步信息搜集后我锁定了某个可疑站点因为可疑直接注册,于是开始着手渗透。测了一下注册点逻辑,利用不了遂放弃进入后台。然后我进入了个人后台,
2025-11-05 09:37:59
879
原创 ApoorvCTF Rust语言逆向实战
上周参加了国外的比赛,名称叫:ApoorvCTF看一下老外的比赛跟我们有什么不同,然后我根据国内比赛对比发现,他们考点还是很有意思的,反正都是逆向,哈哈哈。
2025-07-31 11:08:02
965
原创 IOS逆向--恢复Dyld的内存加载方式
之前我们一直在使用由dyld及其NSCreateObjectFileImageFromMemory/NSLinkModule API方法所提供的Mach-O捆绑包的内存加载方式。虽然这些方法我们今天仍然还在使用,但是这个工具较以往有一个很大的区别......现在很多模块都被持久化到了硬盘上。@roguesys 在 2022 年 2 月发布公告称,dyld 的代码已经被更新,传递给 NSLinkModule 的任何模块都将会被写入到一个临时的位置中。作为一个红队队员,这对于我们的渗透工作并没有好处。
2025-07-24 10:24:43
1399
原创 针对基于智能卡进行认证的活动目录的攻击
参与了一项攻击基于智能卡的活动目录的工作。实际上,你根本不需要使用物理智能卡来验证登录这个活动目录。证书的属性决定了它是否可以用于基于智能卡进行登录。因此,如果你能获得相应的私钥,那么就可以绕过智能卡的验证实现登录。此外,如果启用了允许使用无扩展密钥的证书属性组策略,那么就没必要使用增强型的密钥。因为这可能会导致发给域用户或计算机的其他类型的证书。下面是我们的具体的研究过程。
2025-07-17 15:29:49
851
原创 通过篡改cred结构体实现提权利用
作者利用任意地址读写分别改写modprobe_path以及cred结构体去实现提权的操作,由于改写modprobe_path的方法之前已经研究过了,因此现在详细记录一下如何修改cred结构体完成提权操作。
2025-07-10 13:45:00
943
原创 安全测试中的js逆向实战
通过算法分析可以看出主要调用Et()方法后进行一系列的函数调用,最后返回了需要的sign值,那么这时我们将该js中调用执行过的方法进行复制,在本地新建一个js,粘贴其中,最终打印Et()方法,Et中传入需要的值,也就是n,然后进行运行,如果存在报错缺少方法,缺哪个便去js中复制那个。通过上述的分析,可以看出该程序中的sign的获取是通过Xt()函数传入n值进行生成的,n为一个固定格式的用户的参数,那么便可以通过修改n的值生成sign来绕过校验了,接下来我们通过三种方法进行实操。IndexedDB;
2025-07-08 16:21:29
1739
原创 crAPI靶场学习记录
通过本次靶场学习我对API安全有了更深的认识,之前觉得比较抽象。同时也对HTTP中的GET\POST\PUT\DELETE\OPTIONS等协议有了更深刻的理解。同时在分析lab有些题目的时候,我学习了NoSQL注入的方式,对Mongodb这些非关系型数据库有了基本的认识。同时,精进了我对Burp Suite的操作。美中不足的就是我对 JWT 相关知识不太熟悉,打完靶场后也没太懂这个东西有什么用处。这是我后面需要进行补充学习的。
2025-07-03 15:26:47
983
原创 pocsuites安全工具源码分析
通过set()创建集合方便去重,再遍历conf.url数据,通过parde_target()进行对url进行分析处理,并且在不为空的情况下调用集合的add()方法添加,完成后再将,用于临时存储的target集合里面的数据,放到kb这种全局变量内。随后调用_execute()根据mode值执行。在clip.py中调用main()函数,整个项目则开始执行,进行环境检查,参数获取后,则进入核心代码:在main()函数中调用init()与start()函数,最后则是我上文刚分析过的数据处理与输出格式化。
2025-07-03 14:04:17
780
原创 DedeBIZ系统 审计小结
之前简单审计过DedeBIZ系统,网上还没有对这个系统的漏洞有过详尽的分析,于是重新审计并总结文章,记录下自己审计的过程DedeBIZ 系统并非基于 MVC 框架,而是采用 静态化与动态解析结合 的方式进行页面处理。其“路由”主要依赖 静态文件跳转 和 数据库模板解析,因此可以直接访问 PHP 文件来触发相应的动态解析逻辑。我一般会首先关注对文件的操作,任意文件上传、任意文件删除,任意文件读取、任意文件下载等漏洞都是我第一时间关注的重点,除了黑盒测试时关注功能点外,通过代码审计来看的话速度会更快一点。
2025-06-26 14:15:00
728
原创 Mysql LOAD DATA 读取客户端任意文件
MySQL 客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客户端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成,那么当它发送完第一个请求过后并不会存储这个请求,而是直接丢弃,所以第二步就是根据服务端的响应来继续进行,这里服务端就可以欺骗客户端做一些事情。但是一般的通信都是客户端发送一个 MySQL 语句然后服务器端根据这条语句查询后返回结果,也没什么可以利用的。
2025-06-25 15:20:07
1113
原创 Apache Calcite Avatica 远程代码执行 CVE-2022-36364
Apache Calcite Avatica JDBC 驱动程序根据通过 httpclient_impl 连接属性提供的类名来创建 HTTP 客户端实例;但是在驱动程序实例化之前不会验证该类是否实现了预期的接口,这样一来就会导致可以通过调用任意类来执行代码。必须拥有控制 JDBC 连接参数的权限类路径中有一个具有 URL 参数和执行代码能力的函数(目前需要自己构造)
2025-06-19 15:31:50
1066
原创 ASCII码-shellcode的技巧
网上已经有成熟的工具了,所以就简单记录一下工具怎么用吧结合题目来看吧,没有开启NX保护,基本这类型题目九成九都是shellcode题程序一开始会让我们在bss段上输入数据,并且判断输入的字符大小是否小于0x1F,再结合NX保护没开启的操作,很容易可以想到此时输入的就是shellcode,而每个字节的不能小于0x1F,那么使用ASCII码shellcode就可以完全绕过了,因为小于0x1F的都是不可见字符接着再来看题目存在的漏洞,题目存在很明显的UAF漏洞。
2025-06-19 15:17:00
695
原创 记录一次时序数据库的实战测试
InfluxDB是一个由InfluxData开发的开源时序型数据库。它由Go写成,着力于高性能地查询与存储时序型数据。InfluxDB被广泛应用于存储系统的监控数据,IoT行业的实时数据等场景。在了解了InfluxDB的基本概念之后我们得先了解一下什么是时序性数据库。特征时序性数据库 (TSDB)关系型数据库数据模型专门设计用于时间序列数据,包括时间戳、测量值、标签和字段。通用数据模型,表格结构,支持多种数据类型。
2025-06-12 15:19:34
901
原创 从靶场到实战--双一流高校多个高危漏洞
Git就是一个开源的分布式版本控制系统,在执行git init初始化目录时会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除而是直接发布到服务器上,那么攻击者就可以通过它来恢复源代码,从而造成信息泄露等一系列的安全问题。这种:syl88888888一看就是弱口令,但如果你只是通过现存的什么top100,top500这种字典是爆破不出来的,所以在进行渗透测试时一定还要根据页面特征,关键字,系统名称首字母等信息制作特定的社工字典尝试。
2025-06-12 15:12:27
827
原创 三个月测一站-漏洞挖掘纯享版
延时成功,虽然从设计功能点来看,这其实并不能算是漏洞,因为本身开发者就是要这么设计的,但在挖掘漏洞时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户密码等。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等类型,危害瞬间扩大。进入一个系统时,一定不要着急马上测试,要先总体看看这个系统的功能点,基本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。
2025-06-05 15:58:42
777
原创 软件系统安全逆向分析-混淆对抗
在一般的软件中,我们逆向分析时候通常都不能直接看到软件的明文源代码,或多或少存在着混淆对抗的操作。下面,我会实践操作一个例子从无从下手到攻破目标。
2025-06-05 15:53:26
1041
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人