- 博客(160)
- 收藏
- 关注
RSS订阅原创 畅捷通-条件竞争
其次是写入路径可控。最后是逻辑顺序设计的不合理,当程序在服务端并发处理用户请求时就会出现问题,如果在文件上传成功后但是在删除它以前这个文件就被执行了那么会怎样呢?我们假设攻击者上传了一个用来生成恶意shell的文件,在上传完成并删除它的间隙,攻击者通过不断地发起访问请求的方法访问了该文件,该文件就会被执行,并且在服务器上生成一个恶意shell的文件。至此,该文件的任务就已全部完成,至于后面把它删除的问题都已经不重要了,因为攻击者已经成功的在服务器中植入了一个shell文件,后续的一切就都不是问题了。
2024-12-24 23:23:41
452
原创 mysql联表查询
可以看到status为0,说明用户正常,实际来说status为1时候账户被禁用,是不能查到的,那么我们加一条查询条件,必须是活跃状态的用户。查询(目的是为了查看用户id为2的具体权限,也就是sys_menu表中的perms属性)sys_role_menu:(角色权限关联表)sys_user_role:(用户角色关联表)但是还得不到我们的数据,那么就需要联表查询。继续查sys_role_menu表。sys_menu:(权限表)sys_role:(角色表)sys_user:(用户表)继续查sys_menu表。
2024-12-24 23:14:52
387
原创 shiro注入filter内存马(绕过长度限制)
shiro环境https://github.com/yyhuni/shiroMemshell(实验环境)这里用的Client_memshell.javapackage com.example.demo;import javassist.ClassPool;import javassist.CtClass;import org.apache.shiro.crypto.AesCipherService;import org.apache.shiro.util.ByteSource;pub
2024-12-24 23:00:51
1299
原创 Jimureport h2命令执行分析记录
因为jeecg-boot/jmreport/testConnection接口的参数是var1,是JmreportDynamicDataSourceVo类型,那么我们查看代码总结出来有这么几个参数id,code,dbType,dbDriver,dbUrl,dbName,dbUsername,dbPassword,connectTimes。var1是JmreportDynamicDataSourceVo类型,也就是如上图的dbSource,根据打印的结果可以知道这里是local cache key。
2024-12-24 22:47:35
383
原创 shiro权限校验demo
这里通过链式hashmap添加进去接口权限,用安全管理器设置过滤,并且设置登录跳转(登录页面需要自己写,shiro不提供,不像springboot那样智能)调试发现使用SimpleCredentialsMatcher类型,因此可以明文认证,我们应该用加密的认证才更安全。但是这里我们的密码明文也可以认证,是不安全的,访问/user/add会返回401,说明未授权。这样所有登录的用户都会被授权。当输入正确用户名,错误密码。我们这里添加一个未授权页面。我们写一个给用户授权的功能。可以看到测试类成功查出。
2024-12-24 22:37:44
257
原创 idea-java项目中的全部接口提取
这个当前目录和子目录都可以获得,但是没达到我们的目的就是获得全部接口(也就是拼接好的接口)那么接下来把url提取出来输出到单个文件url.txt中。可以看到成功输出,接下来写成输出到某个文件中。可获得分支接口(除了根路径接口)目标获得其中的接口,类似如下。很全面,以后直接使用就可以了。
2024-11-25 01:04:59
1445
原创 jeecg-boot的sign签名算法
这里总结下,X-TIMESTAMP到时候可以直接写成当前时间戳,X-Sign写成md5(请求包的参数内容转换为json格式+dd05f1c54d63749eda95f9fa6d49v442a),注意最后生成的md5要大写。注意要大写,我们上图小写了,所以导致不匹配。那么三个参数排列的顺序是怎么样的呢?可以看到两个不一样,所以校验失败。按照参数从小到大的字母顺序排列。可以看到成功绕过sign检测。可以看到返回false。这是api所需要的参数。
2024-11-25 00:47:41
474
3
原创 阿里云oss转发上线-实现不出网钓鱼
此时的问题是client和server的上传文件有冲突问题,client上传太快了,server会oss检测当前文件的内容和之前的内容是否一致,client传的太快会让server认为和上一个内容一样,所以就不上传返回包请求了,可以看到请求转发过来了(此时只是先客户端上传监听到的数据到oss,然后服务端下载到本地转发到cs服务器),那么我们需要完成服务端上传的功能,以至于cs的返回包上传到oss上,供客户端读取。最终方案,client端上传之后等待60秒,server端上传之后等待30秒,
2024-11-25 00:03:40
981
原创 tessteract及其ddddocr验证码识别
提示 对于部分透明黑色png格式图片得识别支持: classification 方法 使用 png_fix 参数,默认为False。安装,python3.9可以成功安装dddocr,3.6安装失败。
2024-11-15 18:21:09
259
原创 c#加载shellcode
两个方法,命名空间注意和项目一致,一个loader类,一个Main类,Main调用loader类中的test方法。得到a.txt文件改名为config.txt(这里改名不改名都可以,因为后面资源文件名字改掉就好)是匹配的才可以,所以结合之前的config(资源名字)匹配就可以资源加载了。这里项目需要通过添加资源文件,因为是从资源文件中读取的shellcode。新建完之后先修改名称为之前代码中的config,也就是和下面这块。添加进来即可,这里命名空间都是对的都是项目的命名空间。
2024-11-15 18:08:08
779
原创 GeoServer之xpath表达式远程代码执行CVE-2024-36401漏洞复现及分析
比如GetPropertyValue(获取属性值),GetFeatureWithLock(获取带锁特征),CreateStoredQuery(创建存储查询),DropStoredQuery(删除存储查询),ListStoredQueries(列出已存储的查询),DescribeStoredQuery(描述存储查询)尽管版本之间存在一些重要差异,但请求语法通常保持不变。检查缓存中是否存在xpath已编译的表达式,如果 expr 不为 null,表示缓存中已存在已编译的表达式,直接返回该表达式,否则会编译。
2024-11-15 17:44:18
875
原创 cobaltstrike之execute-assembly内存加载—后渗透利用
通过execute-assembly内存加载来执行文件,从而避免后渗透中被杀毒软件静态报毒,使更多的工具能够继续利用,常见的方式有权限维持,代理上线等操作。
2024-09-24 16:35:05
676
原创 dotnet4.0编译问题
是在 C# 6.0 引入的,而 .NET Framework 4.0 默认使用的 C# 编译器版本是 4.0,它不支持这些特性。用visual studio2022编译,最低net只能用6.0版本的,并且execute-assembly不支持。https://github.com/breakid/SharpUtils有一些功能,我来试试env的。我想使用4.x版本进行编译,因为visual studio不支持,那么使用命令行进行编译。可以看到成功达到效果,那么接下来看看完成一些功能。这样就可以成功生成了。
2024-09-24 16:01:20
377
原创 致远漏洞(登陆绕过+任意文件上传)
1.获得cookie每次请求都会得到一个cookie值,都可以用,如下:失败的cookie如下:2.上传zip文件注意这里zip文件直接burp右键paste from file放进去即可这里压缩文件如上3.解压压缩文件可以看到报错找不到指定文件,是因为我们压缩包中没有带layout.xml,其必须存在否则在利用解压漏洞时会解压失败空内容即可注意上传目录:然后我重新生成zip文件再次解压,但是访问不到,应该这里有问题因为解压出来的目录都为空,直接用下面脚本吧。
2024-07-10 23:02:56
3084
原创 致远CopyFile文件复制漏洞
也就是首先用时间创建目录,该时间目录下创建destFile,然后copyFile进行复制,但是这里copyFile和我们下面分析的还不一样,那么接下来分析copyFile怎么进行的复制。整体利用思路先随便上传一个正常后缀文件, 且知道文件上传的路径和文件名, 再将其复制到WEB路径下,那么先看下面的文件复制,需要上传的一个正常后缀文件,再找上传点。源文件和目标文件都进行了拼接,那么就都可以进行跨目录操作,但是注意这里多了判断,如果目标文件存在,就不会复制生成了,那么每次操作都换个目标文件名就可以。
2024-07-10 22:25:13
564
原创 父进程隐藏——ConsoleApplication903项目
代码主要实现部分为上面红框内,伪造父进程最重要的一个 api 就是 InitializeProcThreadAttributeList,另外还有个重要的结构体 STARTUPINFOEXA。父进程伪造细节——https://www.wangan.com/p/7fygfy13b72f6be2。首先我发现用calc来做进程隐藏实验是失败的,父进程一直都是svhost.exe。以上我们是直接获得的pid,那么我们将他修改成通过进程名去获得对应pid。那么我用我自己生成的cs木马beacon903.exe试试。
2023-11-29 00:51:25
315
原创 apachesolr中简单使用
然后把D:\solr-8.1.0\solr-8.1.0\dist目录下的solr-dataimporthandler-8.1.0.jar复制到D:\solr-8.1.0\solr-8.1.0\server\solr-webapp\webapp\WEB-INF\lib目录下。那么我们将D:\solr2\solr-9.3.0\solr-9.3.0\server\solr\configsets下的任何一个目录下的conf拷贝到new_core过去。然后再次点击add core。首先点击add core。
2023-11-05 23:46:44
1248
原创 apachesolr启动带调试
这里solr.cmd报错,报错原因是java版本问题,后面发现这是因为多个java版本导致读取java_home失败,那么我们修改solr.cmd中的JAVA_HOME为SOLR_JAVA_HOME。环境变量将SOLR_JAVA_HOME配置上。添加-f -a命令,solr专属,并非万能。
2023-11-05 23:37:28
1295
原创 正则表达式提取http和http内容
提取http和https的域名(注意以下虽然写着http的,但是http和https都可以提取到)可以看到漏掉了一部分域名,是因为后面没有斜杠结尾,那么我们使用时候先全部后面加上/在进行正则匹配。要取反的正则表达式).)*$这样匹配到的就是我们不要的内容。这样匹配到的就是我们要的内容。
2023-10-22 02:26:23
668
原创 c++踩坑点,类型转换
const char *” 类型的实参与 “WCHAR *” 类型的形参不兼容。但是在我们这里不适用,因为加了类型转换后,找不到相应pid了。std::string转换到PVOID的方式如下。那么我们修改方法传参为万能的LPCWSTR。
2023-10-22 02:04:59
432
原创 修改ConsoleApplication17_2项目实现oss上线
这段代码在ConsoleApplication17_2的基础上进行更改,请求方式从之前的ip和端口和文件名改成了一个url实现。可以看到能成功上线但是有个问题就是占用cpu大小为9%左右,这里我用的是腾讯云oss实现的,用阿里云oss实现也是9%左右。首先创建号oss,上传文件,复制临时链接。我再次进行url的aes加密。
2023-10-22 01:54:42
273
原创 Feign负载均衡写法
在Feign的实现下,我们只需要创建一个接口并使用注解的方式来配置它(类似于以前Dao接口上标注Mapper注解,现在是一个微服务接口上面标注一个Feign注解即可)这里将接口写好之后使用@Component注解注入spring容器,然后新建模块springcloud-consumer-dept-feign。这里其实就是springcloud-consumer-dept-80模块复制过去,不一样的是。这里使用接口方式注入,也就是用了spring容器的思想不使用RestTemplate来获取。
2023-09-03 17:48:12
867
原创 shiro550漏洞分析
可以看到调用中参数为subjectContext,也就是我们的cookie,转换成字节数组bytes,然后进入if语句判断是否为空,然后进入principals = convertBytesToPrincipals(bytes, subjectContext);勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段。
2023-09-03 17:39:27
350
原创 域内密码喷洒
在Kerberos阶段认证的AS-REQ阶段,请求包cname对应的值是用户名,当用户名存在时候,密码正确和错误两种情况下,AS-REP返回包不一样,所以可以利用这一点对域用户名进行密码喷洒攻击。
2023-08-31 14:34:56
446
原创 nvm集合node版本,解决新版本jeecgboot3.5.3前端启动失败问题
使用之前的pnpm启动会报错,pnpm是node进行安装的,查询后发现,vue3版本的页面至少需要node16版本,我之前的版本只有15.5,适用于vue2。那么我将先前的node15.5版本删除,然后安装一个nvm(集合了node的各种版本),具体如下链接。jeecgboot前端3.5.3页面如下。
2023-08-31 14:25:08
733
原创 fastjson windows主机上线
抓包后是get请求,我们将其放到repeater中,修改成post请求,修改成json格式。还可以换一个我们现在最常用的payload。首先创建一个win类,作为命令执行的类。然后写一个漏洞Fastjson的执行类。我们在模拟环境中利用fastjson。可以看到windows主机成功上线。json我们直接从这里拿取即可。将我们的win类传上vps。可以看到仍然可以成功上线。接下来利用ldap协议。
2023-08-30 02:02:26
335
原创 frp实现二级代理
然后我们扫描ad01上网卡发现仍然存在两个网卡,且172不出网,通过fscan扫描到了172网段的一些网站,因为10.10.10.139网站服务器且被我们拿下,那么我们想将它的流量代理到我们的攻击机kali上去攻击访问172网段上的web服务,那么需要做二级代理。通过拿下10.10.10.139主机之后,在web根目录下传入我们的正向代理工具Neo-reGeorg(因为172段不出网,所以传入正向代理工具)可以看到可以成功访问到路径下的代理文件且生成了新代理(二级代理),成功连接上了,然后我们配置代理。
2023-08-30 01:52:19
685
原创 spring创建bean的三种方法
Spring支持如下三种方式创建Bean1:调用构造器创建Bean2:调用静态工厂方法创建Bean3:调用实例工厂方法创建Bean注解@Bean方式Xml方式BeanDefinitionBuilder方式。
2023-08-30 01:22:48
2360
原创 syscall函数(调用底层,非windowsAPI)去执行shellcode
首先使用github提供的项目https://github.com/klezVirus/SysWhispers3。ConsoleApplication3.c:(该payload是弹出计算器,还需要后续去改成上线cs)因为syscall特征非常明显,静态特征就很容易被识别到。syscalls_mem.h也是需要编译的,也是默认的。其他三个都是自动生成的,位置放好相应路径即可。因为这个文件要生成,所以不需要做下面的改动。然后我放到360杀毒中,会报毒。应该是检测到了syscall。可以看到成功弹出计算器。
2023-08-30 00:58:51
542
原创 DLL加载器-远程线程注入(常规dll注入)
注入思路先获取到LoadLibrary的函数地址,之后使用CreateRemoteThread加载这段地址即可简单例子:D:\VS项目\Dll3\x64\Debug\Dll3.dllkernel.dll加载的地址在所有进程都是一样的https://zhuanlan.zhihu.com/p/599915628?utm_id=0DLL进程注入dll注入器生成dll-2-1.exe这里注入的exe是notepad++,找到其进程,注入的dll是我cs生成的beacon.dll主要思路是:
2023-08-30 00:52:02
1913
原创 exchange实战
参考:https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E5%9F%BA%E7%A1%80-%E4%BB%8EExchange%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%B8%8A%E6%90%9C%E7%B4%A2%E5%92%8C%E5%AF%BC%E5%87%BA%E9%82%AE%E4%BB%B6。爆破Exchange邮箱用户名密码,为了防止账号被锁定,所以我们使用密码喷洒攻击,即只使用一个密码来碰撞用户名。删除PSSession。
2023-08-29 01:29:05
413
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人