Y4tacker's Blog

89744bb4b9e6f1e0e75d077d02f9c0160ad0fdcda774162311fed7c5e089feddc0a835fd76f016d4871ce28d0031a57b32458c12049f9ac3213004387fc806873c623e3de51c35d905d8d72dc5fe1c5478df637c988e06b9bc40ae37f6b08d174bf997bcb91fdab205b637609ce788053ac2eaae29accb2f08b199cb0c6bc70b2eb38f47216c559fd71edc7517d8ff7c75fb22fb8a4586b1f1fbd92af5b3f1ceb1c0c66ebe7d343b0e1841052d1af33936e719da0270d0c0fdc1d181dac649c030cade24550def51e91eaf4cabd45206d36880597d945f55c6fb2830849d8cc6aa8ca547ebf03fe7f183d64865dad4178962a56945244d46a ...

临行随笔临走了，简单谈谈我的感受，最近几年带给我的成长无疑是巨大的，从什么时候开始感觉自己真正成长呢？其实有几个瞬间，一是我能放弃现实追逐理想，二是我发现我的表达欲正在逐渐消失(能慢慢专注于提高自己)，三是拥有一颗平淡的心，关于这点之后会慢慢说来 正式进入川大前我读了一年预科，这一年其实给我带来了很多，从高中心里的阴霾走了出来(现在一直觉得高中那会儿我很傻，从阳光到孤独)，到了大学新的环境我犹如新生一般，慢慢开始接纳新的事物，本来走向阴郁的心开始打开，这一年里我蜕变了很多，体重从144降低到120以下，重新变得爱笑，变得喜欢在人前表现自己，这一年当中我感觉到我活出了自己，这是最有意义的一刻，但其实我知道这一切都是健身给我带来的，每天三小时的训练让我学会了忍耐，学会了付出，这一年里我很开心，也很伤心，我很开始是因为我发现我用心对待周围的同学，帮他们解决他们的问题，我很伤心是因为他们说我是老师的舔狗，我那时就在想，我不求成绩，不求回报，只是一味的喜欢表现自己帮助他人，虽然那时候我可能真的有些地方不太会说话(这来自于我本能的肆无忌惮)，特别是最后由于预科最后需要综合成绩选专业，我那时候第一次 ...

GoogleCTF2022-Log4j写在前面唯一一个Java题了，挺有意思的一道题学到很多 题目附件：https://github.com/google/google-ctf/tree/master/2022/web-log4j 非预期分析题目给了一个公网环境(题目似乎没有重启，能猜到不可能是RCE)以及附件压缩包，里面同时有python以及java的环境，先简单看看python的，这里运行了web服务，将输入作为分割传入chat函数后通过subprocess调用命令执行并返回结果，这里不存在命令注入 123456789101112131415161718192021222324252627app = Flask(__name__)@app.route("/", methods=['GET', 'POST'])def start(): if request.method == 'POST': text = request.form['text'].split(&#x ...

探寻Java文件上传流量层面waf绕过姿势系列二写在前面这篇和上篇不同的是上篇更多关注于RFC文档规范的部分，而这篇更关注于如何从代码层面上的利用来绕过，具体内容请接着往下看 正文tomcat灵活的parseQuotedToken继续看看这个解析value的函数，它有两个终止条件，一个是走到最后一个字符，另一个是遇到; 如果我们能灵活控制终止条件，那么waf引擎在此基础上还能不能继续准确识别呢？ 123456789101112131415161718192021private String parseQuotedToken(final char[] terminators) { char ch; i1 = pos; i2 = pos; boolean quoted = false; boolean charEscaped = false; while (hasChar()) { ch = chars[pos]; if (!quoted && isOneOf(ch, terminators)) { break ...

探寻Tomcat文件上传流量层面绕waf新姿势写在前面​ 无意中看到ch1ng师傅的文章觉得很有趣，不得不感叹师傅太厉害了，但我一看那长篇的函数总觉得会有更骚的东西，所幸还真的有，借此机会就发出来一探究竟，同时也不得不感慨下RFC文档的妙处，当然本文针对的技术也仅仅只是在流量层面上waf的绕过 Pre很神奇对吧，当然这不是终点,接下来我们就来一探究竟 前置这里简单说一下师傅的思路 部署与处理上传war的servlet是org.apache.catalina.manager.HTMLManagerServlet 在文件上传时最终会通过处理org.apache.catalina.manager.HTMLManagerServlet#upload 调用的是其子类实现类org.apache.catalina.core.ApplicationPart#getSubmittedFileName 这里获取filename的时候的处理很有趣 看到这段注释，发现在RFC 6266文档当中也提出这点 1Avoid including the "\" character in ...

环境条件有两个条件 pecl是PHP中用于管理扩展而使用的命令行工具，而pear是pecl依赖的类库。在7.3及以前，pecl/pear是默认安装的；在7.4及以后，需要我们在编译PHP的时候指定--with-pear才会安装。 不过，在Docker任意版本镜像中，pcel/pear都会被默认安装，安装的路径在/usr/local/lib/php 并且php.ini当中 register_argc_argv=On需要开启 准备12<?phpinclude($_GET['file']); pear会在pearcmd.php获取命令行参数 123456789PEAR_Command::setFrontendType('CLI');$all_commands = PEAR_Command::getCommands();$argv = Console_Getopt::readPHPArgv();// fix CGI sapi oddity - the -- in pear.bat/pear is not removedif (php_sapi_n ...

Y4教你审计系列之RockOA写在前面不知道是啥版本无语子，反正老师给的简单审一下，顺便吐槽一句老师连续两天只教用工具到处乱扫累 放了个备份在https://github.com/Y4tacker/CTFBackup/blob/main/oa/rockoa/rockoa.zip 架构不同于其他这个默认首页上rock.php，也是简单的自己去实现了MVC，我们先看看rock.php 可以看到，首先是定义了项目的PROJECT变量，接下来判断是否安装以及如果没有登陆则跳转到登陆页 12345678910111213141516171819202122232425<?php define('PROJECT', 'webrock');include_once('config/config.php');$islogin = (int)$rock->session(QOM.'adminid',0);$m = 'index';$p = PROJECT;$d = '&# ...

熊海CMS代码审计架构审计代码从架构开始，这个CMS架构比较简单，简单的MVC设计模式，根据参数r决定路由的分发，这个路由分发可能导致一个致命的缺陷导致最终实现RCE 123456<?phperror_reporting(0); $file=addslashes($_GET['r']); $action=$file==''?'index':$file; include('files/'.$action.'.php');?> 由此可能存在的前台RCE我们知道熊海安装会先判断同文件夹下有无InstallLock.txt作为是否安装的判断标准 那如果我们通过上面这个路由分发实现目录穿越，那当前目录也就是web目录下的index.php是没有这个文件的 没有对参数做处理 1234567$save=$_POST['save'];$user=$_POST['user'];$password=md5($_POST['password&# ...

实训靶机-2信息搜集端口搜集首先通过nmap扫描靶机，发现两个端口22和3000，其中3000是一个web服务 通过dirsearch发现两个可以目录，居然是nodejs的项目 web服务搜集顺便记录下首页出现的三个用户名tomcat、mark、rastating 简单在github上面搜索下最关键的特征词发现没有这个项目 源码泄漏f12发现下面疑似接口泄漏 但是点进去发现原来是故意给了源码啊 用户信息泄漏简单访问一下发现泄漏了用户名和密码 之后发现去掉latest以后还出现了admin admin密码撞库拿到了密码manchester，拿着这个去登陆 admin用户登陆发现登陆后有个下载备份 看了下请求信息，发现是get请求并且无传参，看来无法任意文件下载 获得备份文件直接修改为zip发现打不开 直接打开发现是疑似base64 果然是，然后还发现有密码 爆破密码用archpr发现爆破一年应该不能爆破，尝试下用rockyou字典得到了密码magicword 成功获取源码 数据库配置信息泄漏发现敏感信息泄漏mark:5AYRft73VtFpc84k 登陆s ...

实训靶机-1实训期间先搞开发再搞了渗透，现在开始渗透阶段了 信息收集端口扫描发现三个端口，暴露了web服务 用dirsearch进行扫描，发现有vendor目录，里面可能有composer生成的铭感信息 发现配置错误，正好能访问对应文件 获得web目录绝对路径 PHPmailer版本5.2.16 存在漏洞利用点kali里面发现漏洞利用点 存在wordpress站点首页点击BLOG跳转到wordpress页面 wpscan尝试扫描漏洞发现两个用户steven与michael 尝试爆破ssh密码收集到的两个用户进行利用 1hydra -L user.txt -P /usr/share/wordlists/rockyou.txt -F -V 192.168.10.131 ssh 成功得到michael的密码Michael 尝试ssh远程登录 mysql查看mysql是否运行 获取mysql密码在wordpress目录下wp-config.php获得了root用户的密码 12345/** MySQL database username */define('DB_US ...