- 博客(28)
- 收藏
- 关注
RSS订阅原创 android studio 自带模拟器进行 Root 及 Xposed安装
android studio 自带模拟器进行 root 以及 xposed 安装
2022-08-14 01:37:28
4576
1
原创 最新版安全狗(V4.0.2665) sql 注入绕过
前言:之前做测试的时候看见waf 就一脸懵逼,于是决定学一学waf bypass 的技术,这篇文章是关于bypass 安全狗来实现,看了网上的一些文章,然后自己搭了环境,动手实践一下,毕竟纸上得来终觉浅,绝知此事要躬行。0x00 搭建安全狗环境准备环境:虚拟机 win 7 sp1安全狗最新版本 V4.0.2665phpstudy v8.1坑:安装安全狗的时候,这个服务名怎么填都不对,网上的一些教程说把phpstudy 先修改为系统服务,但是问题是那是老版本的phpstudy ,现在使用的
2020-12-01 15:32:10
1456
2
原创 tomcat对url请求中的特殊字符处理 分析
0x00 前言事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf里面谈到了反向代理和tomcat 二义性问题导致路径穿越:然后本地搭建tomcat ,直接在浏览器中用 …;/来进
2020-11-30 23:34:42
3180
原创 thinkphp 源码分析(四)—— 错误和异常处理 以及 log 日志
0x01 前言本来是这样的,继续是smile 师傅的那篇文章,文章中提到了可以用包含日志, 但是一开始我输入:http://127.0.0.1/public/index.php/index/index/inde 这种居然没有产生日志文件,一开始以为thinkphp 会按照日志级别来处理,也就是说我设置了 info 的话,error 级别的日志也会记录。后来发现thinkphp 中config.php 中规定了记录哪些类型的日志才会记录这种类型的日志,不是按照级别高低来的。但是后来就算在config
2020-11-05 14:01:06
1372
原创 thinkphp 源码分析系列(三) —— 多语言
0x01 前言:thinkphp 支持多语言,一直对thinkphp 怎么实现多语言比较好奇。这次来分析一下thinkphp 语言包0x02 分析:在App::run() 中:先是98行设置Lang的默认语言,赋值为Lang::range然后100行检测是否开启多语言自动检测lant_switch_on,如果开启的话,进行语言检测(自动侦测设置获取语言):可以看到195 行,如果get 中传入了lang 参数的话,就把langSet设置为传入的值,cookie中设置了也是一样的,如果都没有的
2020-11-05 13:20:48
287
原创 thinkphp 源码分析系列(二)—— 路由
0x00 前言这篇文章主要是结合 thinkphp 5.0.x 两个rce :(1)变量覆盖filter(2)没有开启强制路由导致rce来分析thinkphp 的路由0x01 路由检测首先要说的是$dispatch 调度信息,类似于:调度信息最后会传入App::exec() 中:而exec 会根据调度信息的type ,去调用相应的函数去映射到具体的函数上去执行。App.php 中run() 函数中,$dispatch 是通过 App.php 中的routeCheck() 函数返回
2020-11-05 12:58:07
495
原创 thinkphp 5.0.x 源码分析系列(一)请求基本流程
0x01 前言这次来分析分析thinkphp 的源码。这是这个系列的第一篇。本篇涉及除了涉及到了框架的基本流程外,还涉及了thinkphp 中类的自动加载机制。0x02 thinkphp 安装这次选择的是thinkphp 5.0.22 完整版,下载的地址: http://www.thinkphp.cn/down/1260.html0x03 目录结构这是官方文档上的目录结构。0x04 请求基本流程分析thinkphp是单入口框架,所有的请求都先经过 public/index.php 文件,
2020-11-05 11:36:48
550
原创 python 利用code对象沙箱逃逸
0x 前言最近遇到一些python 沙箱逃逸的问题,突然想起之前群友发了一个关于python2 code对象沙箱逃逸的博客,然后想自己也重新回顾回顾这个方法,同时也想python2 可以利用code 对象沙箱逃逸,那么python3 可不可以呢?抱着好奇心,然后就有了这篇文章。0x 准备知识1.python 中利用code 对象来动态函数的几种方法【本质都是得到Function类,然后使用Fuction类的构造函数】:(1) 通过types.FunctionType 函数python 文档中查看t
2020-09-07 22:23:20
346
原创 Java 反序列化 ysoserial-URLDNS利用链 调试分析
0x 前言遇到java 反序列化漏洞时,很多时候都会利用 ysoserial 这个工具来生成payload,于是这次决定来跟一根 ysoserial 里面最简单的 URLDNS 这条利用链0x 准备分析先看看 ysoserial 生成 URLDNS 的这段代码:注释里说得很明白,利用链是: * Gadget Chain: * HashMap.readObject() * HashMap.putVal() * HashMap.hash() *
2020-08-15 12:58:59
1435
原创 红日安全靶机实战(一) CS篇
0x00 前言之前是用 msf 来做的,这次尝试尝试用 CS 来做。之前得到webshell 的步骤就不说了,一样的。直接从CS 上线开始讲起。0x01 CS 上线
2020-08-09 13:13:49
1492
原创 红日安全靶机实战(一)
0x01 入侵web服务器0x 1.1 信息收集首先使用 nmap 来扫描ip 段存活的主机nmap -sn 192.168.127.0/24 这里网上有的用 netdiscover 来扫描,其实和 nmap -sn 扫描原理是一样的,都是通过arp 来实现扫描。然后接着nmap 激进模式扫端口:nmap -A -T4 192.168.127.154发现80端口,浏览器访问,发现是phpStudy 搭建的环境,而且网站根路径是C:/php/WWW:0x 1.2 写webshell
2020-08-07 00:44:06
6129
1
原创 天翼杯 web APITest
0x00 前言上周末打天翼杯,这道题磕了很久。拿到这个题的时候,发现是一个node js 题,于是搜了搜 导入的包,发现 express-jwt 最近爆出一个Bypass 的漏洞 。CVE-2020-15084,利用条件是:https://github.com/auth0/express-jwt/security/advisories/GHSA-6g6m-m6h5-w9gf没有用 algorithms 参数 然后使用jwks-rsa 最为 secret 。好吧,比赛的时候我好像忽略了第二个利用条件
2020-08-03 13:18:35
308
原创 thinkphp v6.0.x 反序列化利用链分析
0x00 前言继续分析 thinkphp v6.0.x 反序列化利用链,本来是打算先分析 thinkphp v5.2.x 的利用链的,但是使用composer 安装失败,而且官方又说只能通过composer 来安装 , 网上找了好久没找到解决方法,然后去github上面提交 issue ,官方给的回复 是没有 5.2版本,这个回答确实有点懵。所以就先来分析 6.0.x 的反序列化利用链。0x01 分析thinkphp 6.0 __toString() 后面的利用链和 thinkphp 5.2 是
2020-07-25 16:04:52
700
原创 thinkphp v5.0.24 反序列化利用链分析
0x00 前言前几天分析了 thinkphp v5.1.37 反序列化利用链, 今天继续来分析thinkphp v5.0.x 反序列化利用链。0x01 环境搭建这次直接从官网下载 ,下载地址:http://www.thinkphp.cn/donate/download/id/1279.html0x02 分析0x 2.1 先找触发__call() 方法的地方前面和 thinkphp v5.1.37 一样,都是think\process\pipes\Windows 的__destruct() 里面调
2020-07-23 15:12:01
8932
原创 thinkphp v5.1.37 反序列化利用链分析
0x00 前言最近看到一篇代码审计的文章中 ,里面多次提到用thinkphp 的 反序列化利用链 来写shell 。由于之前没有对thinkphp 反序列化利用链做过系统的分析,所以决定最近对thinkphp 反序列化利用链 亲自动手来复现 分析以下。0x01 环境搭建我是直接在github 上下载源码来搭建环境的,看到网上也可以用composer来安装。我这里就介绍从github上拉源码来安装的方法:需要下载 thinkphp 两部分:https://github.com/top-think/
2020-07-20 21:47:05
2794
原创 [强网杯 2019]Upload wp
0x00 前言本来是在刷 文件上传的题,然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题,看了看wp 后,觉得很有意思,值得记录一下0x01 题解1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容2.dirmap 扫目录,扫到源码,/www.tar.gz下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出题人故意留的提示3.审计源码先看两个断点处:login_check() 函数
2020-07-16 16:05:09
1526
原创 asp.net 中 viewstate 反序列化攻击 学习记录
0x00 前言asp.net 平时接触得少,ctf 中也比较少遇到,之前对他的了解也只限于对 c# 语言的一些简单学习。然后这次在 buu 上面遇到 一道 [BJDCTF 2nd]EasyAspDotNet 题,然后在看wp 的时候,又碰巧了解到 HITCON CTF 2018 - Why so Serials? 和这题差不到,都是利用了viewstate 反序列化来做;然后在查资料的时候,又发现 CVE-2020-0688 exchange远程代码执行漏洞 也是利用viewstate 反序列化漏洞。
2020-07-13 08:34:10
5466
原创 [ASIS 2019]Unicorn shop ( 自找 wp 记录)
0x00 前言这题拿到之后有点懵,后来看了 网上的 wp 更加懵,网上大多数都是直接说 去 compart 搜thousand,然后找个大于1337 的就可以,至于为什么?基本都没有给出解答。于是乎 就有了这篇水文0x01 自找 wp 过程既然网上的wp 基本都没给出一个合理的解释,那么我们就自己去找原因。首先 想这道题要是有源码的话,那么一切都好解决了,于是尝试性地 去 github 搜了搜 ,还真搜到源码了。https://github.com/Tiaonmmn/asis_2019_unicor
2020-07-09 11:57:56
1272
5
原创 Typecho反序列化漏洞分析
0x01 环境准备首先 git clone 到本地,然后phpstorm 打开,git reset hard 到漏洞修复之前的commit0x02 审计首先在install.php 开头就做出了两个判断,需要finish 参数以及refer头要是本站的值核心漏洞处:第一行直接反序列化Typecho_Cookie::get(’__typecho_config’),没有进行任何过滤跟进Typecho_Cookie::get() 函数发现此函数是用来取cookie 中的值的,但是如果对应
2020-07-06 11:48:51
1463
原创 redis 主从复制 rce 和 题目复现
0x01 RESP 协议redis 客户端和服务端之间采用RESP 协议来通信,RESP 协议全称 REdis Serialization Protocol理解 Redis 的 RESP 协议搞清RESP 协议,就可以看懂 redis-rogue-server.py 中是怎么构造协议的了,以及怎么把redis 客户端命令转化成 通信时的 数据了0x02 主从复制 中的FULLRESYNC (全局同步):贴一篇文章,讲到很详细:Redis 全量同步解析也就是说master 回复 +FULLR
2020-07-03 12:21:21
1371
原创 linux 中 重定向到 stdin 的思考
下午群里讨论一个事 ,源于关闭了stdout , stderr , 为什么 利用exec 1>&0 实现了能重新在终端看到输出一开始也觉得纳闷,怎么exec 1>&0 可以直接"重新"利用stdout 呢。&0不是标准输入吗?后来经过 群大佬的指点,以及stackoverflow ,终于明白了其中的道理先来 ls -l /proc/$$/fd 看一下,发现0 ,1, 2 也就是对应的stdin,stdout,stderr都是一个软链接,指向/dev/pts/3 ,也
2020-06-27 16:41:05
770
原创 最新版安全狗(v4.0.2.665) 文件上传 绕过
0x00 前言:继续上次 bypass 安全狗,这次测试的是 bypass 最新版安全狗来上传 php 一句话0x01 实验环境:win7 sp1 + phpstudy v8.1(apache 2.4) + 安全狗v4.0.2.665服务端脚本:<?phpuse function \move_uploaded_file as test;if (file_exists("upload/" . $_FILES["file"]["name"])) { echo $_FI
2020-06-20 19:17:05
2017
2
原创 HRS 请求走私 学习记录
前言:其实http 请求走私,去年火起来的时候就有了解了,也自己看过一些portswigger 上面的视频和文章,但是没有自己动手来实践,这次来自己动手来实践一下。0x01 什么是请求走私:HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。产生原因:设置了transfer-encoding : chunked (http 2 将移除)后 , 请求主体按一系列块的形式发送,并且将省略Content-Length.在每一个块的开头需要用十六进制数说明当前块的长度,
2020-06-11 18:11:44
983
原创 php bypass disable_functions 总结
php bypass disable_functions 总结前言:之前在做ctf 题的时候,遇到很多次给出shell 但是却有disable_function 限制的题目,一直没有好好搞清楚绕过的方法,今天来一个总结0x00 先说一个php 7 的绕过吧,直接一把梭:(????)https://github.com/mm0r1/exploits/tree/master/php7-backtrace-bypass0x01: 明确要使用的绕过方法:(1) 首先查看phpinfo ,如果是php
2020-06-04 21:02:38
2507
原创 利用 CVE-2020-1938 读取webapp 下任意文件复现 以及源码调试分析
利用 CVE-2020-1938 读取webapp 下任意文件复现 以及源码调试分析前言:之前挖src 的时候,想着用幽灵猫来挖,但是由于没有理解原理,导致测试的时候直接用脚本扫描出错了也一脸懵逼,所以想好好分析分析这个漏洞,全面了解原理,也学习学习tomcat0x01 漏洞介绍0x02 环境搭建:1.下载tomcat:tomcat源码压缩包(https://archive.apache.org/dist/tomcat/tomcat-7/v7.0.99/src/apache-tomcat-7
2020-06-01 17:17:27
1105
原创 windows 远程桌面修改端口后无法连接成功
笔者修改了win 10 远程桌面端口3389 为 3400 ,修改方法成功按照网站修改注册表的方法修改。但是再连接远程桌面的时候,总是连接不上,也按照网上说的在防火墙中设置允许远程桌面也都设置了,使用netstat -nao | find 3400 发现端口确实开着的。但是在外面扫描3400 端口 发现端口是关闭的 (使用linux 中的nc -vz ip地址 3400)但还是连接不上。于是还是...
2019-08-28 23:47:20
11217
2
原创 win xp系统安装在虚拟机里面无法连接网络,无本地连接问题解决
win xp系统安装在虚拟机里面无法连接网络,本地连接问题解决今天,在虚拟机里面安装xp系统,发现xp系统安装成功后,无法连接网络,并且xp里面无本地连接,后来折腾了一下午,后来终于找到解决办法,也决定写这篇博客:关掉虚拟机xp电源,虚拟机设置里面,删除原来的网络适配器,重新添加新的网络适配器,即可。第一次写博客,如果有用,还请文末赞一赞啊注:msdn纯净版操作系统下载慢怎么办?解:先...
2019-05-02 01:22:11
8471
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人