- 博客(156)
- 收藏
- 关注
RSS订阅原创 ewbee-mall是一套电商系统代码审计
当然还有一些其他字符,编码呀也可以进行绕过。但我们可以首先使用分号(;)进行尝试,在 URL 中有一个保留字符分号(;),主要作用是作为参数分隔符进行使用的。
2024-08-16 19:47:42
929
原创 halo博客系统代码审计
正向梳理功能时,发现后台设置下博客备份功能存在一个删除功能,通过抓包发现是根据文件名进行的删除操作,可能存在任意文件删除漏洞,如下图所示:通过抓包获取到接口名为 /admin/backup/delBackup ,通过关键字逐一尝试,最终使用关键字delBackup 定位到该接口的 Controller 层代码为 BackupController,如下图所示:点击进入 BackupController 层,具体代码位于第 211 行至第 220 行,如下所示::下面进行代码审计分析。
2024-08-15 20:28:29
1152
原创 企业通用报表平台代码审计
本项目是基于Maven构建的。对于Maven项目,我们首先从 pom.xml 文件开始审计引入的第三方组件是否存在漏洞版本,然后进一步验证该组件是否存在漏洞点。本项目引入的组件以及组件版本整理如下。
2024-08-14 19:58:06
1080
原创 华夏erp2.3代码审计
该项目使用的是Mybits的数据库,直接在*.xml文件中全局搜索 ${我们选一个比较有可能有注入的 UserMapperEx.xml 进行查 看回溯到UserMapperEx.java。继续回溯到UserService.java。继续回溯可以看到UserComponent.java中userName的值是从search中获取的。在select方法中调用了getUserList方法。最终回溯到Controller层。
2024-08-13 15:23:22
960
原创 mcms-5.2.4代码审计
rememberMe cookie的处理流程 用户登录并勾选“记住我”选项后,Shiro会生成一个包含用户身份信息的序列化对象。这个对象首先被序列化,然后使用AES加密,最后进行Base64编码,形成rememberMe cookie的值。当用户再次访问网站时,Shiro会检索rememberMe cookie的值,进行Base64解码、AES解密和反序列化操作,以恢复用户的身份信息。漏洞成因。
2024-08-12 11:40:18
1052
原创 商城系统审计代码审计
Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地 是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护 进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我 们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置 文件来灵活地进行配置,而不需要修改应用的代码。
2024-08-01 16:19:22
981
原创 ofcms代码审计
最重要的是,找到模板注入请求的后端API注入的命令为:<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}发现请求的路径如下:为/src/main/java/com/ofsoft/cms/admin/controller/cms/TemplateController.java后台->模板设置->模板文件->模板目录->修改index.html在 com.ofsoft.cms.admin.controll
2024-07-30 20:14:16
996
原创 代码审计实战教务系统环境搭建
如果这⾥不设置的情况下编译的时候就会⾃动在项⽬⽣成out⽬录 启动项⽬的时候会失败的。接着 点击项⽬设置 点击 模块 选择路径 选择 使⽤模块编译输⼊路径。修改java⽂件夹⾥的mysql设置的信息 数据库 账号和密码。导⼊tomcat依赖 选择项⽬结构 项⽬设置 选择依赖。登录⽤户 20162430634 密码 0。设置tomcat 这⾥设置端⼝是8888。启动tomcat 访问8888端⼝。选择部署 设置外部源为web⽬录。创建数据库 导⼊mysql。⽤idea打开⽂件夹。
2024-07-30 10:09:29
357
原创 mcms-5.2.8代码审计
最重要的是,找到模板注入请求的后端API注入的命令为:<#assign value="freemarker.template.utility.Execute"?
2024-07-29 21:50:34
573
原创 Inxedu 因酷网校在线教育系统之sql注入代码审计
全局搜索 ${,开启文件过滤,关注*Mapper.xml文件点击进入,SQL注入点在第97行,使用直接拼接了参数查找哪里声明那个方法点击,查看谁调用了它。在调用接着点击最终来到的实现层点击,回溯到Controller层,最终发现是定位到该文件,为同一个文件,然后再去根据RequestMapping去确定目录路径文件路径+方法请求路径最后构成了 /admin/article/delete然后再去看传入了什么参数,什么方式进行传递的根据这句语法,得出传入参数 articelId。
2024-07-25 20:48:41
346
原创 java之log4j反序列化
Log4j2默认支持解析ldap/rmi协议(只要打印的日志中包括ldap/rmi协议即可),并会通过名称从ldap服务端获取对应的Class文件,使用ClassLoader在本地加载Ldap服务端返回的Class类。
2024-07-20 15:43:15
1277
原创 ubunt22.04安装docker
默认情况下,只有root用户和docker组的用户才能运行Docker命令。我们可以将当前用户添加到docker组,以避免每次使用Docker时都需要使用sudo。Docker在Ubuntu上依赖一些软件包。执行以下命令来添加Docker官方的GPG密钥。来验证我们是否成功安装。我们可以通过下面的命令来查看。
2024-07-13 21:47:41
431
原创 windwos下mysql的udf提权
UDF(User Defined Functions)即用户自定义函数,通过这种方式可以实现命令执行,其原理是通过lib_mysqludf_sys提供的函数可以执行系统命令 攻击场景:同之前利用日志写WebShell的场景,即堆叠注入或MySQL终端权限或类似phpMyAdmin数据库管理工具后台权限等。
2024-07-10 12:22:39
1217
1
原创 ubuntu22.04搭建mysql5.7
把bind-address = 127.0.0.1 注释掉。#安装完毕后进行登录,输入刚才设置的mysql实例密码。#此步需要输入mysql实例的root密码。# 如果需要远程连接,则设置。# 检查MySQL状态。在navicat上链接。#开始安装mysql。#安装mysql服务。
2024-07-08 20:24:43
1846
原创 vulhub靶场之chill_hack
将名为 backup.zip 的 ZIP 文件的密码哈希提取出来,并将结果保存到名为 backup.john 的文件中。反弹 shell(我看的攻略,目前不知道具体的过滤规则,在后面反弹 shell 成功后,查看源码时分析绕过原理)// 如果命令中的单词在黑名单中,显示警告信息并更改背景图片。// 如果命令不在黑名单中,执行命令并显示结果,同时更改背景图片。// 定义黑名单,包含不允许执行的命令。// 遍历黑名单中的每个命令。// 遍历命令中的每个单词。// 获取用户输入的命令。
2024-07-03 13:13:46
696
原创 matrix-breakout-2-morpheus靶场
此时猜想该POST数据中的filename参数是否可控,因为内容是可控的,只要文件名可控,那么我们就可以轻易进行文件上传了。还是将重点放回80端口,因为robot.txt提示我们继续找找,可能是因为我们的字典太小了,我们换个扫描器换个字典试下,利用kali自带的最大的一个字典。通过gobuster扫描了一个几十万的字典,我们可以看到有一个graffiti.php。尝试输入1提交,并打开burp抓包啊查看,发现网站会将提交的内容追加到graffiti.txt文件中。github上找到exp。
2024-07-01 14:54:40
812
原创 java之命令执行审计思路
无法执行的原因: Clazz.newInstance() 中要求访问目标类构造函数,由于 java.lang.Runtime 的构造函数 私有,所以执行失败。Clazz.newInstance() 中要求访问目标类构造函数,由于 java.lang.Runtime 的构造函数 私有,所以执行失败。//获取到要调用的方法:java.lang.ProcessImpl,start,并且按照规范传递相关的参数。写法一: 通过java.lang.Runtime类内部方法getRuntime()获取当前实例。
2024-06-30 20:15:40
652
原创 java之动态代理
Callback,即回调,它是一个标识接口(空接口,没有任何方法),它的回调时机是生成的代理类的方法被调用的时候,即生成的代理类的方法被调用的时候,Callback的实现逻辑就会被调用。代理类实现代理接口的play()方法中,只是简单的调用了InvocationHandler的invoke方法,我们可以在invoke方法中进行一些特殊操作,甚至不调用实现的方法,直接返回。动态代理类构造器传入要代理的服务类,并使用成员变量接收,在invoke()方法中引用被代理的服务类,并调用其方法。
2024-06-30 09:24:41
812
原创 通天星CMSV6车载监控平台CompanyList信息泄露漏洞
通天星CMSV6车载视频监控平台是东莞市通天星软件科技有限公司研发的监控平台,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。通天星科技应用于公交车车载、校车车载、大巴车车载、物流车载、油品运输车载、警车车载等公共交通视频监控,还应用在家居看护、商铺远程监控、私家车的行驶分享仪上等。
2024-06-29 13:01:59
723
原创 ubuntu-22.04.4安装
打开已经安装好的 VMware 程序,点击选项卡中的“主页”--》而后点击“创建新的虚拟机”选择“自定义(高级)”,并点击“下一步”客户机操作系统镜像选择:选择“稍后安装操作系统”,并点击“下一步”选择操作系统类型:选择“Linux”--》版本选择“ubuntu 64 位”--》点击“下一步”设置虚拟机名称和选择虚拟机安装位置:虚拟机名称为“ubuntu”,安装位置可以根据个人需求选择,而后点击“下一步”。注意:不能安装在物理机中的 C 盘。
2024-06-28 18:07:10
1925
原创 PHP-CGI Windows平台远程代码执行漏洞复现(CVE-2024-4577)
CVE-2024-4577是一个在Windows平台上运行的PHP CGI(Common Gateway Interface)的远程代码执行漏洞。该漏洞的存在主要是因为PHP在设计时未能预见到Windows系统的Best-Fit字符编码转换特性,导致攻击者可以通过构造特定的请求来绕过安全限制,从而在远程PHP服务器上执行任意代码。
2024-06-27 21:18:52
1184
原创 java之反射
System.out.println("**********************所有公有构造方法*********************************");System.out.println("******************获取指定私有构造方法,并调用*******************************");System.out.println("*****************获取公有、无参的构造方法*******************************");
2024-06-25 13:54:41
757
原创 CSRF代码审计
浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带 Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的 Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。攻击者可在其服务器上创建钓鱼页面,其中包含构造的发送修改用户密码请求的代码, 当用户在已登录网站的情况下点击攻击者发送的钓鱼链接时,密码将被修改。Referer校验,对HTTP请求的Referer校验,如果请求Referer的地址不在允许的列表中,则拦截请求。
2024-06-24 14:36:15
454
原创 java之SSRF代码审计
HttpURLConnection 是 URLConnection 的子类, 用来实现基于 HTTP URL 的请求、响应功能,每个 HttpURLConnection 实例都可用于生成单个网络请求,支持GET、POST、PUT、DELETE等方式。在调用 URL.openConnection() 获取 URLConnection 实例的时候,真实的网络连接实 际上并没有建立,只有在调用 URLConnection.connect() 方法后才会建立连接。//htmlContent添加到html里面。
2024-06-24 10:34:35
662
原创 java之url任意跳转漏洞
URLRedirect url重定向漏洞也称url任意跳转漏洞,网站信任了用户的输入导致恶意攻击,url重定向主要用来钓鱼,比如url跳转中最常见的跳转在登陆口,支付口,也就是一旦登陆将会跳转任意自己构造的网站,如果设置成自己的url则会造成钓鱼。url跳转常见的地方包括:登陆跳转我认为是最常见的跳转类型,认证完后会跳转,所以在登陆的时候建议多观察url参数跨站点认证、授权后,会跳转站内点击其它网址链接时,会跳转。
2024-06-22 11:14:39
1128
原创 java之目录遍历代码审计
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户指定的文件名,看似正常,但实际用户输入的参数不可控,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,通过用户输入文件名之后,后端直接接收了文件名拼接到需要读取的路径下,进而读取了文件,未对来自前端用户输入的文件名称针对非法字符过滤。通过源码分析,获取到文件名中含有../,当执行下载逻辑的时,file类底层将会访问该路径读取资源。,例如服务器的密码文件,程序的数据库,redie等核心配置文件,因此具有一定的风险性。
2024-06-22 09:44:33
999
原创 mcms-5.2.8环境部署
首先添加tomcat服务器并配置配置Artifacts(这里配置不正确的话,在运行时会报错:Error during artifact deployment. See server log for details.)配置tomcat中的Deployment(此配置与上一步是相辅相成的,依次顺序配置)将应用程序上下文内容设置为包名。
2024-06-17 21:18:10
441
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人