- 博客(78)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 【复现与代码分析】Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232)
API接口未授权访问一直以来都是令甲方安全人员头疼的问题,在《OWASP API Security Top 10 2019》里面,Broken Object Level Authorization(失效的对象级授权),包括未授权、越权访问等,就是排在第一位的安全问题:未授权漏洞的出现频率越来越高,且漏洞的利用又相对简单,今后应针对这个方向的漏洞多做积累,多做总结。
2023-04-24 14:26:08
1454
原创 java安全(八)TransformedMap构造POC
上一篇构造了一个了commons-collections的demopackage test.org.vulhub.Ser;import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;impo
2022-07-31 15:47:46
1251
原创 java安全(七) 反序列化3 CC利用链 TransformedMap版
给个关注?宝儿!给个关注?宝儿!给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过众所周知,CommonCollections利⽤链是作为反序列化学习不可绕i过的一关图解先挂一张wh1te8ea的利用链图解,非常直观!代码demo分析:代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解demo代码:package test.org.vulhub.Ser;import org.apache.commons.collecti.
2022-04-21 15:02:47
3719
5
原创 java安全(六)java反序列化2,ysoserial调试
ysoserial下载地址:https://github.com/angelwhu/ysoserialysoserial可以让⽤户根据⾃⼰选择的利⽤链,⽣成反序列化利⽤数据,通过将这些数据发送给⽬标,从⽽执⾏⽤户预先定义的命令。什么是利⽤链?利⽤链也叫“gadget chains”,我们通常称为gadget。如果你学过PHP反序列化漏洞,那么就可以将gadget理解为⼀种⽅法,它连接的是从触发位置开始到执⾏命令的位置结束,在PHP⾥可能是 __desctruct 到 eval ;如果你没学过其他语
2022-04-19 16:06:34
4066
3
原创 java安全(五)java反序列化
序列化在调用RMI时,发现接收发送数据都是反序列化数据.例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象.RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
2022-04-09 10:13:08
6460
1
原创 java安全(四) JNDI
JNDIJNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,需要注意的是它并不只是包含了DataSource(JDBC 数据源),JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA通俗理解,使用jndi作为数据源而不是直接去连接数据库,将数据库交给jndi去配置管理,jndi通过数据源名称去应用数据
2022-03-25 20:45:11
9060
原创 java安全(三)RMI
1.RMI 是什么RMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。RMI底层通讯采用了Stub(运行在客户端)和Skeleton(运行在服务端)机制,RMI调用远程方法的大致如下:1.RMI客户端在调用远程方法时会先创建2.Stub(sun.rmi.registry.RegistryImpl_Stub)。Stub会将Remote对象传递给远程引用层(java.rmi.server.Remo
2022-03-22 11:24:17
5432
原创 java安全(二):JDBC|sql注入|预编译
1 JDBC基础JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。2 JDBCConnection2.1连接Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
2021-11-14 10:40:12
6402
原创 对某公司一次弱口令到存储型xss挖掘
免责声明:渗透过程为授权测试,所有漏洞均以提交相关平台,博客目的只为分享挖掘思路和知识传播**涉及知识:xss注入及xss注入绕过挖掘过程:某次针对某目标信息搜集无意发现某国有工程公司的项目招标平台厚码…求生欲满满呜呜呜随手一试就是弱口令登陆, 弱口令yyds!!!发现在供应商资料中存在不少输入点,手痒随手一波xss分享一波常用测试语句:<script>alert('XSS')</script><scr<script>ipt>alert
2021-11-13 19:34:39
653
2
原创 Java安全(一) : java类 | 反射
1.java基础Java平台共分为三个主要版本Java SE(Java Platform, Standard Edition,Java平台标准版)、Java EE(Java Platform Enterprise Edition,Java平台企业版)、和Java ME(Java Platform, Micro Edition,Java平台微型版)。2. java类2.1Classloader 类加载机制Java是一个依赖于JVM(Java虚拟机)实现的跨平台的开发语言。Java程序在运行前需要先编译
2021-10-20 19:57:14
3443
原创 SSRF,以weblogic为案例
复习一下ssrf的原理及危害,并且以weblog的ssrf漏洞为案例漏洞原理SSRF(Server-side Request Forge, 服务端请求伪造)通常用于控制web进而探测内网服务以及攻击内网脆弱应用即当作跳板机,可作为ssrfsocks代理SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。SSRF 形成的原因大都是由于服务端提供了从其他服务
2021-10-19 17:25:32
1586
原创 CVE-2021-41773 && CVE-2021-42013 Apache HTTPd最新RCE漏洞复现 && 目录穿越漏洞
漏洞描述:Apache HTTPd是Apache基金会开源的一款流行的HTTP服务器。2021年10月8日Apache HTTPd官方发布安全更新,披露了CVE-2021-42013 Apache HTTPd 2.4.49/2.4.50 路径穿越漏洞。由于对CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞的修复不完善,攻击者可构造恶意请求绕过补丁,利用穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制
2021-10-16 18:47:05
3567
原创 python 到 poc
0x01 特殊函数0x02 模块0x03 小工具开发记录特殊函数# -*- coding:utf-8 -*-#内容见POC.demo; POC.demo2 ;def add(x,y): a=x+y print(a)add(3,5)print('------------引入lambad版本:')add = lambda x,y : x+yprint(add(3,5))#lambda函数,在lambda函数后面直接加变量,变量后直接冒号,冒号后面是表达式,完美解
2021-10-10 16:12:49
517
转载 Getshell总结
按方式分类:0x01注入getshell:0x02 上传 getwebshell0x03 RCE getshell0x04 包含getwebshell0x05 漏洞组合拳getshell0x06 系统层getcmdshell0x07 钓鱼 getcmdshell0x08 cms后台getshell0x09 红队shell竞争分析0x01注入getshell:一般前提条件:有权限、知道路径MySQLselect 0x3c3f70687020a6576616c28245f504f53.
2021-10-08 21:59:27
2463
原创 Weblogic12c T3 协议安全漏洞分析【CVE-2020-14645 && CVE-2020-2883 && CVE-2020-14645】
前言WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件。 主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 近几年频繁爆发出多个RCE漏洞,而在今年,其T3协议被频繁攻击和发布补丁与绕过,本文主要对今年来由T3协议入口所产生的多个RCE漏洞进行分析,其中主要包括CVE-2020-2555、 CVE-2020-2883(bypass CVE-2020-2555补丁)、 CVE-2020
2021-10-02 20:32:38
2261
原创 CVE-2017-7529Nginx越界读取缓存漏洞POC
漏洞影响低危,造成信息泄露,暴露真实ip等实验内容漏洞原理通过查看patch确定问题是由于对http header中range域处理不当造成,焦点在ngx_http_range_parse 函数中的循环:HTTP头部range域的内容大约为Range: bytes=4096-8192bytes=-字符串指针p中即为“bytes=”后面的内容这段代码是要把“-”两边的数字取出分别赋值给 start 和 end 变量标记读取文件的偏移和结束位置。对于一般的页面文件这两个值怎么玩都没关系。但对于有
2021-07-28 23:16:20
794
原创 CVE-2013-4547 文件名逻辑漏洞
搭建环境,访问 8080 端口漏洞说明:Nginx: Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。影响版本:0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7原理:此漏洞可导致目录跨越及代码执行, 其主要原因是错误地解析了请求的URI,错误地
2021-07-25 19:45:21
1946
5
原创 【实战】记录一次服务器挖矿病毒处理
信息收集及kill:查看监控显示长期CPU利用率超高,怀疑中了病毒top 命令查看进程资源占用:netstat -lntupa 命令查看有无ip进行发包netstat -antp然而并没有找到对应的进程名查看java进程和solr进程ps aux :查看所有进程除相关进程:kill -9(无条件退出进程)为了防止有定时任务,再次启动恶意进程crontab -l 命令查看正在进行中的定时任务crontab -r 删除所有定时任务居然没有????保存样本,删除
2021-07-25 18:49:48
1775
原创 CVE-2017-10271 WebLogic XMLDecoder反序列化漏洞
漏洞产生原因:CVE-2017-10271漏洞产生的原因大致是Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。攻击者发送精心构造的xml数据甚至能通过反弹shell拿到权限。涉及版本:10.3.6.0.012.1.3.0.012.2.1.1.012.2.1.2.0环境搭建:vulhub工具利用:检测:工具:weblogicScanner
2021-07-09 11:10:55
5337
1
原创 Yapi Mock 远程代码执行漏洞
跟风一波复现Yapi漏洞描述:YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态,强烈建议客户尽快采取缓解措施以避免受此漏洞影响fofa:Fofa:app="YApi"漏洞复现:默认注册功能开启。注册后创建项目:添加接口:创建接口成功:选择“高级Mock”,“脚本”,开启脚本:写入poc并保存:const sandbox = thisconst ObjectConstruc
2021-07-09 11:01:19
641
原创 centos7&&ubuntu搭建Vulhub靶场(推荐Ubuntu)
这里写目录标题一.前言总结二.成功操作:三.出现报错:四.vulhub使用正文:一.前言总结二.成功操作:三.出现报错:四.vulhub使用一.前言总结二.成功操作:三.出现报错:四.vulhub使用正文:一.前言总结建议直接使用Ubuntu安装,直接看第二步的操作。Centos安装docker详细教程如下链接,:(建议python和pip环境使用3<python<=3.7版本(Centos7预装2.7),python2停止维护,pip2也不能搭建新的vulhub)建议直接使用u
2021-06-11 17:17:46
920
3
原创 一次打卡软件的实战渗透测试
直接打卡抓包,发现有疑似企业网站,查ip直接显示以下页面直接显示了后台安装界面…就很有意思探针和phpinfo存在尝试连接mysql失败fofa扫描为阿里云服务器找到公司官网使用nmap扫描,存在端口使用onethink查询onethinkOneThink是一个开源的内容管理框架,基于最新的ThinkPHP3.2版本开发,提供更方便、更安全的WEB应用开发体验,采用了全新的架构设计和命名空间机制,融合了模块化、驱动化和插件化的设计理念于一体,开启了国内WEB应用傻瓜式开发的新潮流。
2021-02-25 13:12:59
387
原创 Xctf练习sql注入--supersqli
三种方法方法一=1 回显正常=1’回显不正常,报sql语法错误=1’ --+ 回显正常,说明有sql注入点,应该是字符型注入(# 不能用)=1’ order by 3 --+ 回显失败,说明有2个注入点=1’ union select 1,2 --+ 回显显示过滤语句:=1’; show databases --+ 爆数据库名=-1’; show tables --+ 绕过过滤,显示表下的列名=1’;show columns from words --+ 尝试堆叠
2020-12-28 18:41:48
325
2
原创 sql预编译
一.数据库预编译起源:数据库接受sql语句,需要解析和制定执行,中间需要花费一段时间.有时候同一语句可能会多次执行, 那么就会造成资源的浪费如何减少编译执行的时间 ? 就有了预编译,预编译是将这类语句提前用占位符替代,一次编译,多次执行.预编译后的执行代码会被缓存下来,下次调用就不需要编译了,省去解析优化如何实现 ? 通过PreparedStatement和占位符来实现的。二.预编译的作用1.优化sql语句的执行,提升性能2.防止sql注入: 使用预编译,其后注入的参数将不会再用sql编译
2020-12-28 17:48:33
477
原创 php操作mysql数据库
phpmyadminphpadmin是一个mysql图形化管理工具,是一款实用php开发的mysql苦户端软件,基于web跨平台的管理系统,支持简体中文,官网:www.phpmyadmin.net可以下载免费最新版。提供图形化操作界面,完成对mysql的操作本地搭建后,浏览器输入localhost/phpadmin 可进入操作较简单网上资料也有很多就不赘述了重点介绍一下php操作mysq数据库的函数php操作mysql数据库1.mysqlconnect()函数链接mysql服务器:语法:
2020-12-13 13:35:11
527
原创 mysql常规使用(建立,增删改查,视图索引)
目录1.数据库建立2.增删改查3.视图建立:1.数据库建立mysql>mysql> show databases;+-----------------------------------+| Database |+-----------------------------------+| information_schema || challenges
2020-12-13 10:33:01
219
原创 sqli-lab——Writeup(38~over)堆叠等......
知识点:1.堆叠注入原理(stacked injection)在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。1.1与union查询区别而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。1.2使用实例例如以下这个例子。用
2020-12-13 10:13:46
757
原创 sqli-lab——Writeup21~38(各种过滤绕过WAF和)
Less-21 Cookie Injection- Error Based- complex - string ( 基于错误的复杂的字符型Cookie注入)base64编码,单引号,报错型,cookie型注入。本关和less-20相似,只是cookie的uname值经过base64编码了。登录后页面:mV0L3dlaXhpbl80NTY5NDM4OA==,size_16,color_FFFFFF,t_70)cookie的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的unam
2020-12-12 16:39:07
727
原创 sqli-lab————Writeup(18~20)各种头部注入
less18 基于错误的用户代理,头部POST注入adminadmin登入成功(进不去重置数据库)显示如下有user agent参数,可能存在注入点显示版本号:爆库:User-Agent:'and extractvalue(1,concat(0x7e,(select database()),0x7e)) and '库名:less19基于头部的RefererPOST报错注入抓包admin登陆什么也没有在referer后加单引号有回显sql语法错误然后就和 18一样了:Ref
2020-12-10 20:23:06
256
1
原创 sqli-lab———writeup(11~17)
less11用户名提交单引号显示sql语法错误,故存在sql注入根据单引号报错,在用户名和密码任意行输入 万能密码:‘ or 1=1#输入后username语句为:SELECT username, password FROM users WHERE username='' or 1=1; 双引号password语句:Select * from admin where username='admin' and password='' or 1=1# 单引号还有比如:1'union sel
2020-12-10 15:02:15
203
原创 sqli-lab--writeup(7~10)文件输出,时间布尔盲注
前置知识点:1、outfile是将检索到的数据,保存到服务器的文件内:格式:select * into outfile “文件地址”示例:mysql> select * into outfile ‘f:/mysql/test/one’ from teacher_class;2、文件是自动创建的。3,读写文件函数调用的限制因为涉及到在服务器上写入文件,所以上述函数能否成功执行受到参数 secure_file_priv 的影响。,其中当参数 secure_file_priv 为空时,对导
2020-12-08 20:34:39
279
原创 sqlilab--writeup (5~6) 布尔盲注
1.# 和 – (有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用–+的方式来闭合,因为+会被解释成空格。.2.当然,也可以使用–%20,把空格转换为urlencode编码格式.
2020-12-07 21:46:35
268
原创 DVWA Cross Site Request Forgery (CSRF) -------WP
CSRF:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。low<?phpi
2020-11-22 22:59:35
186
原创 DVWA sql注入 WP
sql注入基本思路:1.源码2.判断数字型和字符型3.猜测字段数4.查询数据库中的字段5.查询表中的字段6.查询user表中的字段7.拿字段中数据low:1.源码:<?phpif( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FR
2020-11-19 16:56:51
240
原创 DVWA Command Injection 练习总结
low:首先查看源码没有对字符进行任何过滤target参数为将要ping的ip地址,比如在输入框输入127.0.0.1后,对于windows系统,会发出ping 127.0.0.1操作。这里可以引入命令行的几种操作方式:A && B: 先执行A,如果成功,执行B;A || B :先执行A,如果失败,执行B;A | B:管道,先执行A后,将A的结果作为B的输入,打印的是B的结果;A & B:先执行A,然后不管成功与否,执行B;意味着我们可以通过输入 【ip】+【连接字
2020-11-19 11:18:34
238
原创 CTFHUB《Web-信息泄露-备份文件下载》网站源码,
三种方法:方法一:dirsearch扫描git泄露有文件下载拿到flag方法二:御剑(超时10s)御剑其实也可以扫出来,但是一般我们扫域名超时时间都是三秒,本环境中需要超时10秒才能得到方法三:burp根据已知字典扫参考:https://www.cnblogs.com/carr0t/p/websitesource.html...
2020-11-11 19:33:23
1445
原创 CTFHUB 《基础认证》:burp使用,basic请求了解
题目简介:在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。详情请查看 https://zh.wikipedia.org/wiki/HTTP基本认证根据已知可得,这应该是道爆破密码题,而且已知字典根据抓包可知,本网页提交会将用户名密码经过base64加密后提交,且格式为:用户名:密码先输入字典增加爆破规则:增加前缀admin:再base64编码开始爆破
2020-11-10 20:12:50
1831
原创 CTFHUB 《请求方式》 http请求,curl命令总结
curl -v -X CTFHUB http://challenge-eec5d373af7d2203.sandbox.ctfhub.com:10080/index.php
2020-11-10 11:40:55
1759
cve-2023-1454
2023-04-24
cve-2023-23752扫描poc
2023-04-24
CVE-2020-1938 Apache Tomcat 文件包含EXP
2022-03-29
apache漏洞汇总apache漏洞汇总
2022-03-29
CVE-2020-0688 Exchange RCE 任意命令执行
2022-03-29
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
2022-03-29
sangfor EDR RCE
2022-03-29
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle 漏洞利用
2022-03-29
通达OA综合利用工具通达OA综合利用工具
2022-03-29
CVE-2022-22947-Spring-Cloud-Gateway 内存马POC
2022-03-29
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人