Y4tacker's Blog

浅谈JspWebshell之编码写在前面​ 最近@phithon在知识星球中分享了一个多重编码的webshell姿势后，先膜一下大佬 出于对代码实现的好奇简单看了看tomcat的具体实现以及尝试是否能够更深入的目的也便有了本篇，当然后面也发现这种方式不太灵活是有一定编码限制的，后面也会提到，当然最终经过我的努力，发现了其他三种实现双重编码的方式，甚至最后发现可以实现三重编码 那么下面就进入正文吧 环境相关及其他说明​ 本篇以tomcat8.0.50为例进行分析，后文简称为tomcat，同时讨论的是第一次访问并编译jsp的过程(有小区别不重要)并且不涉及到其他小版本差异 正文这里没有那么多废话，我们知道其实jsp是Servlet技术的扩展，它本身也是一种模板，通过对这个模板内容的解析，根据一定规则拼接到一个java文件后最终会编译为一个class文件并加载，在这个过程当中就涉及的很多解析的过程，这里由于主题限制，我们不必太过关心，我们重点偏向于去了解它的编码是如何被识别的即可. 对于这部分处理逻辑其实是由org.apache.jasper.compiler.ParserCo ...

读研的意义？写在前面​ 每个人都有各自不同的处境，在每个阶段也会有自己不同的看法，我写这篇随笔也不是想去争论什么，只是觉得该记录一个状态，只是觉得我人生的一部分意义在于不断思考，而这部分思考我想留在未来某一天，闲暇饭余时间再翻开看看，也见证我个人的些许成长. 正文​ 一切的源头还是来自于吃完泡面无意间看到的校友发的一篇灵魂发问帖子(顺便吐槽下可恶的坏蛋室友，两个人合伙吃泡面香我，馋啊…又白锻炼了) 对我而言，我以为很多时候我们选择读研就像当初为什么我们去选择高考一样，一是迫于社会环境，二是我们还很年轻，习惯于被别人安排好道路对家长老师的话只能言听计从，但很多时候我们身为学生确实也身不由己，只能走一步看一步，我们没有退路也没有多余的选择. 而对于我们不同的时间点也会有不同的想法 高中时期我在想什么呢？“班主任告诉我们大学很重要决定一生，读了研更是人上人！” 大一时期我在想什么呢？“我成绩这么好，不读研太浪费机会了” 大二时期经历一些事后，“读研似乎并不是我所要的，放弃吧，忘掉之前的成绩吧” 可虽说放弃，后面经历一些挫折之后也时不时想要回头，因为当时还是离不开周围对我的影响， ...

浅析Apache Commons Text(CVE-2022-42889)前段时间我在知识星球上布置了一个小作业，算是赶在一个新的CVE发布之前做了个简单预警了 之后呢可以预见，Apache官方确实在几天后发布了一次更新，内容是https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om，版本更新以及CVE的内容 其实总体而言这个的挖掘难度不算高，和前一段时间刚出的Apache Commons Configuration的RCE长的也基本一致，原理也不必多说 根据官方的demo呢，咋们也可以很容易看出它的基本用法以及漏洞出发点 简单的从org.apache.commons.text.lookup.DefaultStringLookup也可以看出，它支持一个script的用法 它对应于一个叫org.apache.commons.text.lookup.ScriptStringLookup的类，从它的lookup方法当中我们也可以看到，这就是我们平时RCE所常用到的执行JS实现RCE 因此POC也相对简单 1$&# ...

浅析Apache Commons Jxpath命令执行分析(CVE-2022-41852)本文首发于跳跳糖:https://tttang.com/archive/1771/ 影响版本commons-jxpath:commons-jxpath <= 1.3 一直到最新版本，官方也不打算修了 利用探索测试环境：jxpath1.3 JXPath支持标准的XPath函数，开箱即用。它还支持 “标准 “扩展函数，这些函数基本上是通往Java的桥梁，以及完全自定义的扩展函数。 简单从漏洞描述可以看出由于解析xpath表达式的问题造成的漏洞 其实这来源官方的一个feature，如图看起来它赋予了我们一种动态执行代码的能力 这时候我们就会想为什么会有这种奇怪的需求，毕竟从平时经验来讲xpath，作为一种路径语言，它的功能是帮助我们对xml进行一些简单的信息检索，然而它叫JXpath而不叫Xpath，因此其实从实现上来讲它不仅实现了xpath查询的一些基础功能，更重要的是它搭建了一个通往java的桥梁，从官方的设计初衷也可以看出，它的设计实现其实更像一款表达式语言 Primary applic ...

保研or就业 — 阿里云实习之旅始章​ 昨天刚回成都，之前一直在问自己结果真的有那么重要吗，现在我也能鼓起勇气对自己说，不重要了，我的世界属于我，我的人生也没有那么多的观众，我也没必要在意他人的目光，我终于又成长了一点。 实习经历​ （经历这部分就挑着重点的或者和时间性有关的说说，我也懒） ​ 七月中旬收拾好行李独自前往一个陌生的城市，起初对杭州的影响也就是赛博群里说的饭不好吃，说我这个成都人一定不习惯(Ps:不过外卖还是很不错的)，到了杭州浅浅收视了下房间，便被徐师叫出去干饭了，主管确实是一个很好也很热情的人，在吃饭过程中帮助我开始熟悉环境，也在这个过程中有了对工作的简单认知(Ps:至少知道了咋是做Waf产品和RASP产品). ​ 第一天刚上班的时候，懵懵懂懂不知道干什么，索性在公司发的新电脑上边配置环境边研究着来之前没搞完的安全研究。到了第二天，主管拉我去开会帮助我确定了我实习期间的内容，总体而言还是很好的，给了我很多自由发展的空间。有着公司提供的各种资源，第一个月也是我技术成长最快的时候；一方面我很喜欢研究新的东西，另一方面我还是和以前一样的无所顾忌。当然 ...

临行随笔临走了，简单谈谈我的感受，最近几年带给我的成长无疑是巨大的，从什么时候开始感觉自己真正成长呢？其实有几个瞬间，一是我能放弃现实追逐理想，二是我发现我的表达欲正在逐渐消失(能慢慢专注于提高自己)，三是拥有一颗平淡的心，关于这点之后会慢慢说来 正式进入川大前我读了一年预科，这一年其实给我带来了很多，从高中心里的阴霾走了出来(现在一直觉得高中那会儿我很傻，从阳光到孤独)，到了大学新的环境我犹如新生一般，慢慢开始接纳新的事物，本来走向阴郁的心开始打开，这一年里我蜕变了很多，体重从144降低到120以下，重新变得爱笑，变得喜欢在人前表现自己，这一年当中我感觉到我活出了自己，这是最有意义的一刻，但其实我知道这一切都是健身给我带来的，每天三小时的训练让我学会了忍耐，学会了付出，这一年里我很开心，也很伤心，我很开始是因为我发现我用心对待周围的同学，帮他们解决他们的问题，我很伤心是因为他们说我是老师的舔狗，我那时就在想，我不求成绩，不求回报，只是一味的喜欢表现自己帮助他人，虽然那时候我可能真的有些地方不太会说话(这来自于我本能的肆无忌惮)，特别是最后由于预科最后需要综合成绩选专业，我那时候第一次 ...

GoogleCTF2022-Log4j写在前面唯一一个Java题了，挺有意思的一道题学到很多 题目附件：https://github.com/google/google-ctf/tree/master/2022/web-log4j 非预期分析题目给了一个公网环境(题目似乎没有重启，能猜到不可能是RCE)以及附件压缩包，里面同时有python以及java的环境，先简单看看python的，这里运行了web服务，将输入作为分割传入chat函数后通过subprocess调用命令执行并返回结果，这里不存在命令注入 123456789101112131415161718192021222324252627app = Flask(__name__)@app.route("/", methods=['GET', 'POST'])def start(): if request.method == 'POST': text = request.form['text'].split(&#x ...

探寻Java文件上传流量层面waf绕过姿势系列二写在前面这篇和上篇不同的是上篇更多关注于RFC文档规范的部分，而这篇更关注于如何从代码层面上的利用来绕过，具体内容请接着往下看 正文tomcat灵活的parseQuotedToken继续看看这个解析value的函数，它有两个终止条件，一个是走到最后一个字符，另一个是遇到; 如果我们能灵活控制终止条件，那么waf引擎在此基础上还能不能继续准确识别呢？ 123456789101112131415161718192021private String parseQuotedToken(final char[] terminators) { char ch; i1 = pos; i2 = pos; boolean quoted = false; boolean charEscaped = false; while (hasChar()) { ch = chars[pos]; if (!quoted && isOneOf(ch, terminators)) { break ...

探寻Tomcat文件上传流量层面绕waf新姿势写在前面​ 无意中看到ch1ng师傅的文章觉得很有趣，不得不感叹师傅太厉害了，但我一看那长篇的函数总觉得会有更骚的东西，所幸还真的有，借此机会就发出来一探究竟，同时也不得不感慨下RFC文档的妙处，当然本文针对的技术也仅仅只是在流量层面上waf的绕过 Pre很神奇对吧，当然这不是终点,接下来我们就来一探究竟 前置这里简单说一下师傅的思路 部署与处理上传war的servlet是org.apache.catalina.manager.HTMLManagerServlet 在文件上传时最终会通过处理org.apache.catalina.manager.HTMLManagerServlet#upload 调用的是其子类实现类org.apache.catalina.core.ApplicationPart#getSubmittedFileName 这里获取filename的时候的处理很有趣 看到这段注释，发现在RFC 6266文档当中也提出这点 1Avoid including the "\" character in ...

环境条件有两个条件 pecl是PHP中用于管理扩展而使用的命令行工具，而pear是pecl依赖的类库。在7.3及以前，pecl/pear是默认安装的；在7.4及以后，需要我们在编译PHP的时候指定--with-pear才会安装。 不过，在Docker任意版本镜像中，pcel/pear都会被默认安装，安装的路径在/usr/local/lib/php 并且php.ini当中 register_argc_argv=On需要开启 准备12<?phpinclude($_GET['file']); pear会在pearcmd.php获取命令行参数 123456789PEAR_Command::setFrontendType('CLI');$all_commands = PEAR_Command::getCommands();$argv = Console_Getopt::readPHPArgv();// fix CGI sapi oddity - the -- in pear.bat/pear is not removedif (php_sapi_n ...