hackzkaq的博客

本文由掌控安全学院 - 江月 投稿。

主流的身份提供商（IdP）使用OAuth2.0协议来支持单点登录服务。由于此协议最初设计用于满足第三方网站的授权需求，所以在使用OAuth来支持移动应用程序（app）身份验证时，研究人员已经发现了很多的缺陷。据我们所知，之前包括BlackHat USA'16 [3]，CCS'14 [2]和ACSAC'15 [5]提到的所有攻击都需要与受害者进行交互。例如通过恶意应用程序网络窃听等。

JSON Web Token (JWT)是一个开放标准(RFC 7519)，它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。在线解密查看内容：

这里设置一个用户自定义函数a,当里面有参数时，返回该参数的内容，这里shell里的a($_REQUEST)[1] 的实际效果为 a($_REQUEST),相当于是a($a)，会返回$a的内容，结果为$_REQUEST，最后一行的实际内容为eval($_REQUEST[1]);测试可以正常连接phpclass User?

本文介绍了 SideWinder 组织的针对性攻击，尤其是针对土耳其的新攻击动向。从地缘政治角度来说，土耳其对巴基斯坦的支持可能引起了印度的警惕。

SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(因为请求是由服务端帮我们发起的，所以我们可以通过它来向其所在的内网机器发起请求)。Gopherus下载地址自己手动把攻击语句转换成Gopher协议的格式会很麻烦，这款工具里面内置了一些早就写好的利用语句，我们只需要学会如何使用它就可以很方便的写出一些我们需要的利用语句。

Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本，相比于 Log4j，Log4j2 在性能、可靠性和灵活性方面都有显著的改进。Log4j2 特点高性能：Log4j2 使用异步日志记录机制，可以提供比传统同步日志记录更高的吞吐量和更低的延迟，因此在高负载情况下仍然能够保持出色的性能。灵活的配置：Log4j2 的配置文件使用 XML、JSON 或 YAML 格式，允许将日志的格式、目标以及日志级别等属性进行灵活的配置和定制。

一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2017-12629环境2、启动CVE-2017-12629环境3、查看CVE-2017-12629环境4、访问CVE-2017-12629环境5、查看CVE-2017-12629漏洞提示信息6、关闭CVE-2017-12629环境五、漏洞复现1、查看core2、Dnslog检测漏洞是否存在1.获取域名2.构造payload并执行3.漏洞存在3、读取/etc/passwd文件1.构造xml文件。

fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容（rmi链接）,让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。

本文由掌控安全学院 - beize 投稿。

（5）调用RtlCreateUserThread远程进程中创建一个新线程 (也可使NtCreateThreadEx或CreateRemoteThread)，将LoadLibrary的地址传递给此API(它需要磁盘上有一个可以检测到的恶意DLL)，将该线程的执行地址设置为 $LoadLibraryAddr（kernel32.dll 中的 LoadLibraryA 函数），以便加载远程进程中的 DLL。因此，当我们运行前面的 IEX 命令时，它会从提供的 FQDN 下载脚本并将其直接注入到内存中。

拿到关键信息flag.txt。

Tomcat内存马（Tomcat Memory Shell）是一种利用Apache Tomcat服务器的漏洞，将恶意代码注入Tomcat进程的内存中的攻击技术ServletContextListener：用于监听整个 Servlet 上下文（创建、销毁）ServletContextAttributeListener：对 Servlet 上下文属性进行监听（增删改属性）ServletRequestListener：对 Request 请求进行监听（创建、销毁）

对之前使用nmap扫描到的80端口进行访问，发现了一个页面，判断存在web服务，尝试使用扫描工具对目录进行一个探测。探测到靶机开放了多个端口，其中存在redis服务的6379端口，开始尝试是否存在redis未授权访问漏洞。利用之前已经远程连接到的redis数据库，利用写入备份文件的方式，在这个地方可以尝试写入一句话木马。编译后的redis-cli文件存放在src目录中，将其复制到bin目录下，就可以在任意位置执行。将公钥写入到foo.txt文件中，前后使用换行，必然和其他符号连接产生其他不可预知错误。

payload形式的命令执行，更适合于漏洞检测，如果多次代码执行，每一次的类加载都会存到jvm的永久区里，特别特别多的话可能会导致占满jvm内存。内存马适合用于做webshell。手动修改字节码的好处在于可以脱离jdk动态生成class。可以用于漏洞检测工具中，无需依赖java环境。相反在 Java 环境中，由于本身需要遵循 Java 的规则，让 “动态类名” 等特性变的不那么容易，恶意类名按限定名只加载一次是一个阻碍工程化漏洞检测的实际问题。

有多种构造函数（创建对象的方法），但我将使用这个，因为它允许我传递用户名和密码。发现存在config.inc.php，并发现了用户名和密码。上传nmap，然后进行端口扫描，发现其存在5985端口。使用nmap进行端口扫描，发现存在大量端口开放。然后继续对其进行爆破，发现存在home.php.访问88端口，发现存在phpadmin登录界面。然后将读取到的内容进行解码，成功获取到读取的内容。使用工具进行目录枚举，未发现有用的目录。然后尝试进行上传，发现没法上传成功。使用curl进行测试，发现有回显。

接着在c_lookup方法中调用DirectoryManager.getObjectInstance，解析Reference对象，，解析时会先从本地加载，如果为null，再通过codebase的地址去加载（需要com.sun.jndi.ldap.object.trustURLCodebase的值为true），导致任意类加载。上图这种树状结构，称为目录结构树（Directory Information Tree）(DIT)，树上的每一个节点（不论是叶子节点还是中间的节点），都可以称为条目(Entry)。

本文由掌控安全学院 - 小博 投稿1.未验证邮箱/手机号情景：应用为了方便用户记录用户名，使用邮箱和手机号作为用户名（因此很多应用在注册的时候就要求用户填写，多数时候都会给用户发送激活信息，激活后才能登录）缺陷：1、未审核邮箱/手机号是否有效（及未发送验证信息），从而实现任意注册账号2、未验证数据库中是否已经存在相同的用户名（导致同一账号，有2个密码，且用户数据产生读取问题）2、不安全验证邮箱/手机号用户注册邮箱/手机号提交后，会通过发验证码等方法对其真实性进行验证缺陷：1、返回的验证码：验

在逆向分析过程中，获取调用栈往往是辅助分析的一大手段，同样的也存在一些对抗打印调用栈的方式，为了学习如何对抗堆栈打印的方案，痛下决心从正向开始了解这个技术。本系列也将从Android的Java层和Native层探索backtrace的正向和逆向过程。

某次测试目标给了一个后台系统。

总的来说，当遇到一些数据泄露或者其他的数据需要加解密的时候，并且无法花时间去查看代码反推的时候，可以借鉴这种方式，可以节省很大一部分时间，简直就是偷懒必备技能，这种方式其实就是类似于把他一整个js文档整合成一个文件，这样不怕混淆，即使是混淆后的代码，也可以参考这种方式，因为把所有的代码都整合进去之后，即使他混淆了，也还是在同个文件里面有记录，所以可以成功加解密。

在此案例中，仍使用了LIKE语句进行模糊查询，但增加了查询条件并且使用了括号包裹，考验攻击者能否正常闭合括号，该SQL语句没有对用户输入进行任何过滤或转义，这就为注入攻击提供了机会。常见的字符串为注入点的SQL注入攻击是通过在输入的字符串中插入SQL语句的特殊字符，使得这些特殊字符被误解为SQL代码的一部分，从而改变原始的SQL查询的含义。在这个示例中，--表示SQL中的单行注释，它会导致数据库忽略后续的查询语句，从而绕过了原本的查询过滤条件，获取了所有用户的数据。

Portainer常见的操作docker的图形化工具，轻量又好用，但是有不少Portainer存在弱口令，诸如：portainer/portainer；前期信息收集得知目标为SpringBoot框架，spring的配置文件都是yml和properties，linux直接查找指定后缀名的文件，未发现敏感信息。弱口令进入portainer之后，尝试挂载根目录进行逃逸失败，随即尝试特权模式进行Docker逃逸。随后翻到网站根目录，发现了不同文件夹下边有三个jar包，应该都打包成jar运行了。

由于传参是需要进行base64编码的，所以此处我们在使用sqlmap的时候需要用到tamper脚本中的base64encode.py脚本，只需要在常规的语句中机上。（7）接下来就是获取其中某一个表的字段名和字段值了，只需将相应的SQL语句进行BASE64编码，然后输入即可。的传参有些是明文的，有些是经过编码或者加密的，所以我们搜索的时候不要仅限于。，可以额外的尝试搜搜1的base64编码值MQ==，即可以搜索。这样子搜索完，我们可测试的范围就扩大了。，或者搜索1的md5加密值，即可以搜索。

TXT记录一般指为某个主机名或域名设置的说明，如：2）mail IN TXT "邮件主机, 存放在xxx ,管理人：AAA"，Jim IN TXT "contact: abc@mailserver.com"也就是您可以设置 TXT ，以便使别人联系到您。如何检测TXT记录？1、进入命令状态；（开始菜单 - 运行 - CMD[回车]）；2、输入命令" nslookup -q=txt 这里填写对应的域名或二级域名"，查看返回的结果与设置的是否一致即可。

关键词：网络安全入门、学习、零基础学安全、网络安全学习路线。

作为一个安服仔，日常渗透中，不同阶段所使用的工具是不同的，除开自动化一条龙的脚本之外，很多时候是需要反复的进入不同的文件夹运行不同的命令，每次使用工具的时候命令可能也是一样的，那么是否有种方式将常用的工具，常用的命令集成在一起，渗透的时候仅需给定目标，就可以调用工具自动执行命令。之前流行过的GUI_Tools是一个，有了图形化页面，点击即可运行，但是一个是在Windows环境下界面实在不敢恭维，一个是无法更好的交互（或者也许我没找到交互的方式）。

随着云计算的运用越来越广泛 很多架构部署都已经开始上云，云计算的本质 我认为是在用最节省的资源配置办最合适高效的事情 在给我们方便快捷的服务同时，很多安全危险面也已经开始逐步暴露出来，云上漏洞已经不得不引起我们的重视了，列如1.数字化调度平台FlexBooker遭遇数据泄露，威胁分子闯入其AWS（亚马逊网络服务）服务器后，370万用户的敏感信息外泄。泄露的数据包括姓名、电子邮件地址和电话号码2.科技巨头亚马逊任由一个未加保护的Prime视频数据库“”泄露了大约2.15亿条Prime视频观看习惯记录。

【精选】SRC快速入门+上分小秘籍+实战指南

最近发现一款很强大的内网渗透工具Viper接下来我给大家介绍一下具体的安装过程，这里我在kali上进行安装（1）首先打开kali终端，切换到root用户,确认以下操作都在root用户下操作，sudo -s安装 docker如下图表示docker安装成功安装docker-composecurl -L https://get.daocloud.io/docker/compose/releases/download/1.25.5/docker-compose-uname -s-uname -m > /u

1、本网站遇到的问题是找不到账号，除了admin爆破不出来其他常用的用户名。2、通过鹰图平台获取到该ip所属企业。3、通过爱企查获取用户姓名。4、通过抖音搜索，根据ip定位和头像以及简介确认用户。5、爆破密码，最简单的123456直接进后台…。没看够~？欢迎关注！免费领取安全学习资料包！（私聊进群一起学习，共同进步）t=N7T8免费领取安全学习资料包！（私聊进群一起学习，共同进步）https://docs.qq.com/doc/DRGJHbUxpTWR2Y3lq。

此时e1在3, 7, 3 * 3, 3 * 7, 7 * 7, 3 * 3 * 7, 3 * 7 * 7, 7 * 7 * 7, 3 * 7 * 7 * 7, 3 * 3 * 7 * 7内取值。3.对mk=m^gcd(e1,e2)%n进行爆破 mk=m^gcd(e1,e2)+n*k 其中k属于整数，遍历k当且仅当mk可以开gcd(e1,e2)时输出。免费领取安全学习资料包！得到s,t后，求取M=m^gcd(e1, e2) = pow(c1, s, n) * pow(c2, t, n) % n。

没有对接口进行严格的权限管理，导致可以通过访问user_getUserInfoByUserName.action获取system用户的。试了一下，很多就算用了付费的MD5解密也解不开[跟密码复杂程度有关]，当然也有解得开的，然后输入账号/密码，就可以登录了。然后使用burp抓取数据包（攻击成功的），选择部分返回包里的内容，使用插件nuclei。最后一定要去验证一下漏洞是否真的存在，然后再提交，通过这种联动，就可以批量打漏洞了。前两天听了月佬的课，知道了httpx和nuclei联动的强大，所以一起写在这里。

一、网页抓包环境需求：火狐浏览器(1) 打开测试工具BurpSuite，默认工具拦截功能是开启的，颜色较深，我们点击取消拦截。下图取消拦截状态，数据包可以自由通过：(2) 按下图顺序点击选显卡来到代理设置(3) 可以看到默认的代理设置情况，本地代理地址：127.0.0.1，代理端口8080。如果前面没有勾选一定要选择勾选。工具代理设置完毕。(4) 证书安装，浏览器输输入http://burp/,点击图示位置下载证书(5) 配置证书，打开浏览器并导入证书火狐浏览器开打开证书配置界面。

本来只想写个抓包反编译过程，没想到大肠包小肠有意外收获网上大多数的小程序测试抓包都是用的安卓模拟器，这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式。

在实际情况中也碰到使用 MSSQL 数据库的情况，这时候直接使用 navicat 进行连接，搜索。默认是postgresql数据库，只能在vCenter服务器本地登录，执行语句查询ESXI的密码。访问上面的路径，如果404，则代表不存在漏洞，如果405 则可能存在漏洞。比较快的一种方法，但是修改之后无法获取原来的密码，管理员会发现密码被改。

众所周知，计算机只能够理解0和1，也就是二进制。可是我们的世界0和1以外，还有太多太多的符号和语言了，这时候，我们通过人为的规定一种0和1的排列组合顺序为某一种符号或者语言，这就是编码。是一种人为的规定的一种映射集合。因为一开始计算机只在美国用，要表达的也仅仅是大小写英文单词和一些特殊符号等。于是用八位的字节的01不同顺序来表示一些想表示的符号，所以一共可以组合出256种不同的状态。他们把其中的编号从0开始的32种状态分别规定了特殊的用途，33号以后到127表示一些英文单词，运算符号，阿拉伯数字等。

挖了一段时间EDU老破小的站，也该拿证书站下手了。下手的第一个目标，那必然是漏洞排行榜第一的某交大！！！

我们可以在关于页面看到edusrc的收录规则现阶段，教育行业漏洞报告平台接收如下类别单位漏洞：教育部各省、自治区教育厅、直辖市教委、各级教育局学校教育相关软件可以看到不仅是大学的资产、还有小学初中高中的教育局的也可以交到上面、而资产不仅只有网站，也可以从小程序，app方面入手，不过这方面利用难度就要大一些。

漏洞详情版本16.7以前的Typora中的updater/update.html存在基于DOM的XSS，可以通过加载定制的markdown文件实现任意javascript代码执行。