Nday备份
89744bb4b9e6f1e0e75d077d02f9c0160ad0fdcda774162311fed7c5e089feddc0a835fd76f016d4871ce28d0031a57b32458c12049f9ac3213004387fc806873c623e3de51c35d905d8d72dc5fe1c5478df637c988e06b9bc40ae37f6b08d174bf997bcb91fdab205b637609ce788053ac2eaae29accb2f08b199cb0c6bc70b2eb38f47216c559fd71edc7517d8ff7c75fb22fb8a4586b1f1fbd92af5b3f1ceb1c0c66ebe7d343b0e1841052d1af33936e719da0270d0c0fdc1d181dac649c030cade24550def51e91eaf4cabd45206d36880597d945f55c6fb2830849d8cc6aa8ca547ebf03fe7f183d64865dad4178962a56945244d46a ...
临行随笔
临行随笔临走了,简单谈谈我的感受,最近几年带给我的成长无疑是巨大的,从什么时候开始感觉自己真正成长呢?其实有几个瞬间,一是我能放弃现实追逐理想,二是我发现我的表达欲正在逐渐消失(能慢慢专注于提高自己),三是拥有一颗平淡的心,关于这点之后会慢慢说来
正式进入川大前我读了一年预科,这一年其实给我带来了很多,从高中心里的阴霾走了出来(现在一直觉得高中那会儿我很傻,从阳光到孤独),到了大学新的环境我犹如新生一般,慢慢开始接纳新的事物,本来走向阴郁的心开始打开,这一年里我蜕变了很多,体重从144降低到120以下,重新变得爱笑,变得喜欢在人前表现自己,这一年当中我感觉到我活出了自己,这是最有意义的一刻,但其实我知道这一切都是健身给我带来的,每天三小时的训练让我学会了忍耐,学会了付出,这一年里我很开心,也很伤心,我很开始是因为我发现我用心对待周围的同学,帮他们解决他们的问题,我很伤心是因为他们说我是老师的舔狗,我那时就在想,我不求成绩,不求回报,只是一味的喜欢表现自己帮助他人,虽然那时候我可能真的有些地方不太会说话(这来自于我本能的肆无忌惮),特别是最后由于预科最后需要综合成绩选专业,我那时候第一次 ...
GoogleCTF2022-Log4j
GoogleCTF2022-Log4j写在前面唯一一个Java题了,挺有意思的一道题学到很多
题目附件:https://github.com/google/google-ctf/tree/master/2022/web-log4j
非预期分析题目给了一个公网环境(题目似乎没有重启,能猜到不可能是RCE)以及附件压缩包,里面同时有python以及java的环境,先简单看看python的,这里运行了web服务,将输入作为分割传入chat函数后通过subprocess调用命令执行并返回结果,这里不存在命令注入
123456789101112131415161718192021222324252627app = Flask(__name__)@app.route("/", methods=['GET', 'POST'])def start(): if request.method == 'POST': text = request.form['text'].split( ...
探寻Java文件上传流量层面waf绕过姿势系列二
探寻Java文件上传流量层面waf绕过姿势系列二写在前面这篇和上篇不同的是上篇更多关注于RFC文档规范的部分,而这篇更关注于如何从代码层面上的利用来绕过,具体内容请接着往下看
正文tomcat灵活的parseQuotedToken继续看看这个解析value的函数,它有两个终止条件,一个是走到最后一个字符,另一个是遇到;
如果我们能灵活控制终止条件,那么waf引擎在此基础上还能不能继续准确识别呢?
123456789101112131415161718192021private String parseQuotedToken(final char[] terminators) { char ch; i1 = pos; i2 = pos; boolean quoted = false; boolean charEscaped = false; while (hasChar()) { ch = chars[pos]; if (!quoted && isOneOf(ch, terminators)) { break ...
探寻Tomcat文件上传流量层面绕waf新姿势
探寻Tomcat文件上传流量层面绕waf新姿势写在前面 无意中看到ch1ng师傅的文章觉得很有趣,不得不感叹师傅太厉害了,但我一看那长篇的函数总觉得会有更骚的东西,所幸还真的有,借此机会就发出来一探究竟,同时也不得不感慨下RFC文档的妙处,当然本文针对的技术也仅仅只是在流量层面上waf的绕过
Pre很神奇对吧,当然这不是终点,接下来我们就来一探究竟
前置这里简单说一下师傅的思路
部署与处理上传war的servlet是org.apache.catalina.manager.HTMLManagerServlet
在文件上传时最终会通过处理org.apache.catalina.manager.HTMLManagerServlet#upload
调用的是其子类实现类org.apache.catalina.core.ApplicationPart#getSubmittedFileName
这里获取filename的时候的处理很有趣
看到这段注释,发现在RFC 6266文档当中也提出这点
1Avoid including the "\" character in ...
关于pearcmd利用总结
环境条件有两个条件
pecl是PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.3及以前,pecl/pear是默认安装的;在7.4及以后,需要我们在编译PHP的时候指定--with-pear才会安装。
不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在/usr/local/lib/php
并且php.ini当中 register_argc_argv=On需要开启
准备12<?phpinclude($_GET['file']);
pear会在pearcmd.php获取命令行参数
123456789PEAR_Command::setFrontendType('CLI');$all_commands = PEAR_Command::getCommands();$argv = Console_Getopt::readPHPArgv();// fix CGI sapi oddity - the -- in pear.bat/pear is not removedif (php_sapi_n ...
Y4教你审计系列之RockOA
Y4教你审计系列之RockOA写在前面不知道是啥版本无语子,反正老师给的简单审一下,顺便吐槽一句老师连续两天只教用工具到处乱扫累
放了个备份在https://github.com/Y4tacker/CTFBackup/blob/main/oa/rockoa/rockoa.zip
架构不同于其他这个默认首页上rock.php,也是简单的自己去实现了MVC,我们先看看rock.php
可以看到,首先是定义了项目的PROJECT变量,接下来判断是否安装以及如果没有登陆则跳转到登陆页
12345678910111213141516171819202122232425<?php define('PROJECT', 'webrock');include_once('config/config.php');$islogin = (int)$rock->session(QOM.'adminid',0);$m = 'index';$p = PROJECT;$d = ' ...
Y4教你审计系列之熊海CMS代码审计
熊海CMS代码审计架构审计代码从架构开始,这个CMS架构比较简单,简单的MVC设计模式,根据参数r决定路由的分发,这个路由分发可能导致一个致命的缺陷导致最终实现RCE
123456<?phperror_reporting(0); $file=addslashes($_GET['r']); $action=$file==''?'index':$file; include('files/'.$action.'.php');?>
由此可能存在的前台RCE我们知道熊海安装会先判断同文件夹下有无InstallLock.txt作为是否安装的判断标准
那如果我们通过上面这个路由分发实现目录穿越,那当前目录也就是web目录下的index.php是没有这个文件的
没有对参数做处理
1234567$save=$_POST['save'];$user=$_POST['user'];$password=md5($_POST['password ...
实训打靶记录(二)
实训靶机-2信息搜集端口搜集首先通过nmap扫描靶机,发现两个端口22和3000,其中3000是一个web服务
通过dirsearch发现两个可以目录,居然是nodejs的项目
web服务搜集顺便记录下首页出现的三个用户名tomcat、mark、rastating
简单在github上面搜索下最关键的特征词发现没有这个项目
源码泄漏f12发现下面疑似接口泄漏
但是点进去发现原来是故意给了源码啊
用户信息泄漏简单访问一下发现泄漏了用户名和密码
之后发现去掉latest以后还出现了admin
admin密码撞库拿到了密码manchester,拿着这个去登陆
admin用户登陆发现登陆后有个下载备份
看了下请求信息,发现是get请求并且无传参,看来无法任意文件下载
获得备份文件直接修改为zip发现打不开
直接打开发现是疑似base64
果然是,然后还发现有密码
爆破密码用archpr发现爆破一年应该不能爆破,尝试下用rockyou字典得到了密码magicword
成功获取源码
数据库配置信息泄漏发现敏感信息泄漏mark:5AYRft73VtFpc84k
登陆s ...
实训打靶记录(一)
实训靶机-1实训期间先搞开发再搞了渗透,现在开始渗透阶段了
信息收集端口扫描发现三个端口,暴露了web服务
用dirsearch进行扫描,发现有vendor目录,里面可能有composer生成的铭感信息
发现配置错误,正好能访问对应文件
获得web目录绝对路径
PHPmailer版本5.2.16
存在漏洞利用点kali里面发现漏洞利用点
存在wordpress站点首页点击BLOG跳转到wordpress页面
wpscan尝试扫描漏洞发现两个用户steven与michael
尝试爆破ssh密码收集到的两个用户进行利用
1hydra -L user.txt -P /usr/share/wordlists/rockyou.txt -F -V 192.168.10.131 ssh
成功得到michael的密码Michael
尝试ssh远程登录
mysql查看mysql是否运行
获取mysql密码在wordpress目录下wp-config.php获得了root用户的密码
12345/** MySQL database username */define('DB_US ...