Yoga7xm's Blog

Yoga7xm's Blog

Winter is comming

Fastjson 反序列化漏洞简析
Fastjson是由阿里开发的JSON库,据说是最快的JSON库 传送门:https://github.com/alibaba/fastjson 环境搭建 环境:fastjson1.2.24+tomcat8.5+jdk 1.8.0_102 war包地址:传送门 下载war包之后,首先利用tomcat部署完成解压,然后在IDEA中导入解压后的文件夹,配置外部的lib路径和Tomcat,运行即可 TemplatesImpl 链 Fastjson通过bytecodes传入base64编码的恶意类字节码,自动调用getoutputProperties(),而且会实例化传入的恶意类,调...
Metinfo6.13 两处XSS漏洞分析
前言马上要考试了,然后就简单的分析下俩个XSS的洞,开始准备考试了… XSS 1(前台存储型)漏洞点在admin/login/login_check.php,同样可以利用上一处变量覆盖的点 关键在这个update子句中,将authcode()处理后的$turefile写入到数据库中字段为met_adminfile,跟进函数authcode() 用于进行加解密的函数,并没有对其内容进行检测、过滤。而该变量为数组$url_array[]倒数第二项。这里导入了admin/include/common.inc.php 这里对传入的COOKIE、POST、GET的参数进行过滤,然后赋值到全局...
Linux Suid提权
前言Suid是Linux除rwx基本权限之外的一种特殊权限,与之对应的还有SGID、SBIT三种。该属性一般用在可执行文件上,当用户调用该命令时,用户的有效ID为命令文件的属主ID。 12➜ tmp ll /usr/bin/passwd -rwsr-xr-x 1 root root 63K 7月 27 2018 /usr/bin/passwd 其中文件属主的s标志代表设置的SUID属性 SUID & SGID & SBITSUIDSUID,出现在二进制文件拥有者执行权限X上,标记为S,八进制数为4000。如果执行者有其对应执行权限X,那么在程序运行过程中,程序将获...
phpBB 反序列化漏洞分析
前言最近刷小密圈的时候,看到了一个phar漏洞的实例,有点好奇在真实CMS中,这种反序列化如何利用,所以就来分析学习一波。 漏洞分析phpBB是国外一个非常受欢迎的论坛CMS,3.2.3以下的版本存在phar反序列漏洞,可以在登录管理面板的情况下Get Shell 触发点漏洞位于\includes\functions_acp.php:validate_config_vars()内,文件操作函数file_exists的变量$path可控,于是可以触发phar反序列化上传的恶意文件导致RCE 回溯可以找到调用validate_config_vars()的地方,位于includes/acp/...
PHP反序列化之phar
前言准备分析phpbbs反序列化的那个洞,正好是用phar协议反序列化操作然后去构造POP链RCE的,所以提前借助几个CTF题来熟悉下手法和思路 Phar查看PHP文档对phar协议的简介 Phar archives are best characterized as a convenient way to group several files into a single file. As such, a phar archive provides a way to distribute a complete PHP application in a single file and ...
Typecho 反序列化RCE漏洞分析
前言最近想琢磨下PHP反序列化及POP链的构造,这个漏洞之前就听说了,而且影响挺大的,所以分析一波,学习下思路,利用思路还是挺巧妙的。 漏洞分析漏洞点在根目录下的install.php文件中,搜索unserialize可以定位到 未经过任何过滤直接反序列化操作,假如此处的__typecho_config变量可控,说明存在反序列漏洞,于是跟进Typecho_Cookie::get()方法 先判断是否存在$_COOKIE['__typecho_config'],假如不存在就从POST中取得,然后返回,很明显传入反序列化的变量是可控的。这里Payload既可以通过POST直...
RFI Getshell By SMB & WebDav
前言由于php.ini中,allow_url_fopen默认是关闭状态的,所以不允许加载外界URL。但是最近刷到了几条Trick来绕过,于是记载学习下。思路其实也挺清晰的,在allow_url_fopen和allow_url_include均为off的情况下,使用SMB URL(UNC路径)可以加载资源实现RCE。UNC中是不能出现冒号的,而且为Windows系统专用。 环境 Windows10:两项配置项均已关闭 Kali:samba Win7:文件共享 一个小Demo文件跑在Win10上 12<?phpinclude($_GET['file']); SM...
Open_basedir Bypass
前言在复现TCTF的时候,发现了open_basedir也是可以绕过的,于是乎学习一波师傅们的手法和思路。 open_basedir 配置该配置的作用是将PHP所能打开的文件限制在指定的目录树,包括文件本身,当文件在指定的目录之外时,PHP将拒绝打开,但是直接用命令执行函数是不会受影响的。Windows中用分号隔开目录,Linux下利用冒号分隔 在PHP5.2和5.3之前的时候,使用它作为是前缀使用,对比一下 1234567//basedir.php<?php ini_set('open_basedir','/tmp/t');var_dump(scandir('/tmp/t'));...
disable_funcions Bypass
前言最近看了一些渗透案例,大多数的PHP环境可能都会设置disable_functions去做安全加固,又加上前段时间的TCTF,所以想学习一波Bypass手法和思路。 Bypass disable_functions黑名单1assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open,``,mail php < 5.6.2 & bash <= 4.3(破壳)比较老的方法了 poc.php 1234567891011121314151617181920212223242526<?php ...
CS shell 与 Msf session 转换
前言MSF和CS均为后渗透利用的神器,2.0时期的CS虽然基于MSF,但是3.0后已经作为一个独立的平台,但是对MSF的支持还不错 转换CS To Msf Session先起一个监听器,然后再搞个后门,拿到一个上线机器,想要将其转给Msf Session 步骤: MSF利用Handler模块开启监听 1msf5>handler -p windows/meterpreter/reverse_tcp -H 192.168.1.101 -P 8899 -x CS中在目标机器上新增一个会话,并且新增一个监听器,使用windows/foreign/reverse_http,端口与MS...
avatar
Yoga7xm
岁月是一场有去无回的旅行,好的坏的都是风景
FRIENDS
Baidu Google Bing