随笔分类 - 代码审计
摘要:首发先知社区:https://xz.aliyun.com/t/10323 虽说weblogic xmldecoder的洞是几年前的,但是之前内外网场景下老是遇到,大多数情况是不出网、不方便写webshell(weblogic负载均衡,轮询)场景,需要解决的问题就是回显构造和内存马的植入。所以想花个时
阅读全文
摘要:先知社区:https://xz.aliyun.com/t/7725 最近遇到的实际环境为weblogic,所以这里顺便总结下测2020-2551的一些相关的点 2551也是学习了很多优秀的师傅文章,非常感谢 0X00 漏洞利用基础学习 从0开始学习复现这个洞不免又会设计到Java反序列化漏洞中那些老
阅读全文
摘要:0x01 框架路由和底层过滤 路由: 入口: index.php,api.php,admin.php init.php 2804行,新建$app对象,实例化的PHPOK的主类 $app = new _init_phpok(); include_once($app->dir_phpok."phpok_
阅读全文
摘要:0x01 漏洞代码 install.php: <?php $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config'))); Typecho_Cookie::delete('__typecho_config')
阅读全文
摘要:今晚有空 以后随缘写博客了 好好沉淀 web1当天做出的队伍很少 其实不难 折腾到最后就差一步 可惜 0x01 读取文件 截图没留了 只留了代码部分。 有个页面 有上传和下载功能 起初以为是上传漏洞 发现上传后都会在后面加.jpg 且phpsessionid为文件名和目录 上传绕了很久 再看的时候是
阅读全文
摘要:很简单的一个代码 /ucenter/repass.php <?php include('../system/inc.php'); if(isset($_SESSION['user_name'])){ header('location:index.php'); }; if(isset($_POST['
阅读全文
摘要:最近看java框架源码也是看的有点头疼,好多还要复习熟悉 还有好多事没做...慢慢熬。 网上好像还没有特别详细的分析 我来误人子弟吧。 0x01 tp3 中的exp表达式 查询表达式的使用格式: 表达式不分大小写,支持的查询表达式有下面几种,分别表示的含义是: 重点看exp EXP表达式支持SQL语
阅读全文
摘要:\inc\zzz_template.php public function parserIfLabel( $zcontent ) { $pattern = '/\{if:([\s\S]+?)}([\s\S]*?){end\s+if}/'; //{if:xxxx}xxx{end if} if ( pr
阅读全文
摘要:admin.php入口: language.php 传入的cont1参数 进入save_language($cont1) data\inc\functions.all.php# save_file: langpref的值对应的文件,用于控制网站的语言选择,会自动被全局php文件包含。可以包含上传功能
阅读全文
摘要:admin.php 入口: 后台action=editpage,此时包含进data/inc/editpage.php可以进行文章编辑: editpage.php# save file写入php文件: 对post传递的title和content等参数直接调用save_page函数: sanitize函
阅读全文
摘要:apps\home\controller\ParserController.php #parserIfLabel 第一处if判断,我们可以在函数名和括号之间插入控制字符,如\x01 第二处判断: 可利用PHP无参数RCE绕过 当然这里还有白名单关键字的判断: // 解码条件字符串 $matches[
阅读全文
摘要:composer create-project yiisoft/yii2-app-basic app 搜索__destruct和__wakeup grep -A 10 -rn "__destruct" yii\db\BatchQueryResult: 这里调用了close,搜索close发现 yii
阅读全文
摘要:首先注册两个账号,账号A和账号B 然后用账号B购买一些商品,产生交易记录和订单号码 账号A : admin@qq.com 密码test 账号B : admin2@qq.com 密码test 账号A提交订单信息后 账号b可见 /Home/c/UserController.php: 查询数据的时候,并没
阅读全文
摘要:/A/c/PluginsController.php 中的frparam函数没有对传入的文件路径进行过滤, 未对目录进行限制导致的目录穿越漏洞 action_do函数: deldir函数的里面遍历目标文件下的所有文件最终会调用unlink功能进行删除 //先删除目录下的文件: $dh=opendir
阅读全文
摘要:开始复现审计一下tp3和tp5的框架漏洞,当个练习吧。 涉及注入的方法为where() table() delete()等。 环境 tp3.2.3 : 0x01 注入成因 测试代码: I方法断点 跟进去看。 F7跟进, thinkphp/ThinkPHP/Common/functions.php :
阅读全文
摘要:变量覆盖一些基础记录: 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 ###漏洞函数: $$可变变量 extract()函数使用不当 parse_str()函数使用不当 import_request_variables()使用不当 1.$$ 一个可变变量获取了一个普通变量的值作为这个可变变量的
阅读全文
摘要:modules/upload.inc.php: 获取后缀并判断: \phpdisk\includes\function\global.func.php: get_real_ext function get_real_ext($file_extension){ global $settings; $f
阅读全文
摘要:\diy\module\member\controllers\Api.php # down_file() 函数中先获取获取POST参数url,然后验证用户权限、进行远程文件加载 list($size, $ext, $path) = explode('|', dr_authcode($p['code'
阅读全文
摘要:\kkcms\admin\cms_login.php登录页面判断验证码: 以及生成验证码: \kkcms\system\verifycode.php: <?php session_start(); $image = imagecreate(50, 34); $bcolor = imagecolora
阅读全文
摘要:cms来源AWD线下攻防平台题目。 链接:https://pan.baidu.com/s/1eUkyRspQmsv-0fIBby8ZlQ 提取码:tywa 失效可以联系我 0x01 文件上传漏洞 访问admin.php?action=images 可以上传图像,而这里过滤不严造成文件上传漏洞: ad
阅读全文