文章分类 -  代码审计

摘要:断断续续看过好几次,还是需要总结归纳一次才能方便下次查阅,不然总是零散信息。 fastjson整个历程: 1、fastjson <= 1.2.24 2、fastjson <= 1.2.45,期间大多数为黑名单绕过 有利于waf绕过的特性: 支持json注释: /**/ class类名会把$替换为. 阅读全文
posted @ 2019-07-04 16:23 l3m0n 阅读(92) 评论(0) 推荐(0) 编辑
摘要:发点以前挖的洞。Ueditor是支持获取远程图片,较为经典的进行限制url请求,但是可以通过DNS重绑定绕过其验证. 代码分析 一般请求的url如下,其中source为数组,值为图片地址: /editor/ueditor/php/controller.php?action=catchimage&so 阅读全文
posted @ 2019-02-20 11:33 l3m0n 阅读(1861) 评论(0) 推荐(0) 编辑
摘要:近日ThinkPHP出现由于变量覆盖而引起的RCE,其漏洞根本源于thinkphp/library/think/Request.php中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现一些问题。 例 阅读全文
posted @ 2019-01-21 10:38 l3m0n 阅读(8958) 评论(0) 推荐(1) 编辑
摘要:补丁: https://gitee.com/ComsenzDiscuz/DiscuzX/commit/41eb5bb0a3a716f84b0ce4e4feb41e6f25a980a3 可跨协议打 缺点: 由于payload构造中有第二次跳转,所以要求对方服务器的127.0.0.1:80也是dz PH 阅读全文
posted @ 2018-12-03 10:56 l3m0n 阅读(4071) 评论(0) 推荐(0) 编辑
摘要:python真是so hard 题目链接: https://code breaking.com/puzzle/8/ SSTI 这里面是存在模板注入的,以前从 "P师傅博客学习" 思路就是: 找到Django默认应用admin的model,再通过这个model获取settings对象,进而获取数据库账 阅读全文
posted @ 2018-11-29 22:01 l3m0n 阅读(1061) 评论(0) 推荐(1) 编辑
摘要:赛题地址: https://code-breaking.com/puzzle/7/ 源码下载 这题极其头疼的就是环境为 php 7.2.12、并且禁用了这些函数 system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,apach 阅读全文
posted @ 2018-11-26 12:04 l3m0n 阅读(909) 评论(0) 推荐(1) 编辑
摘要:感谢P师傅做的题目,https://code-breaking.com/ easy - function 环境: php 7.2.12、apache 2.4.25 <?php $action = $_GET['action'] ?? ''; $arg = $_GET['arg'] ?? ''; if 阅读全文
posted @ 2018-11-25 22:17 l3m0n 阅读(2220) 评论(5) 推荐(0) 编辑
摘要:Author: l3m0n@0Kee 对于cve-2018-7600的利用,比较出名的应该是Drupalgeddon2,其中对7的利用是使用了passthru函数执行命令,但是有一个问题便是,你会发现除了能执行命令,好像做不了其他的。下面将剖析这个问题,另外如果disable_functions下将 阅读全文
posted @ 2018-09-07 23:12 l3m0n 阅读(2227) 评论(0) 推荐(1) 编辑
摘要:一个是HTTP信息、堆栈信息,另外则是把所有信息聚集起来然后发送给服务器,用WEB界面进行展示 堆栈信息 这部分比较好做,因为php本身就有 函数可以实现,稍微改一改即可。 把这三部分去掉即可,这样便可以获取到底层函数的调用栈。 当然还有一个就是获取每个被调用函数的参数。 HTTP信息 这部分也可以 阅读全文
posted @ 2018-04-28 03:06 l3m0n 阅读(1737) 评论(5) 推荐(1) 编辑
摘要:先感谢0kee的大哥指导 ~ 这里分为三个部分 1、获取函数的参数值 2、对http传入值的获取,( 、`$_POST $_COOKIE`) 3、如何判断存在威胁(词法分析、污染标记) 函数参数获取 Zend中有接口可以获取到参数: ,`zend_get_parameters_ex` 可以跟进看一下 阅读全文
posted @ 2018-04-26 15:09 l3m0n 阅读(1864) 评论(0) 推荐(0) 编辑
摘要:环境:5.5.9 1ubuntu4.24 创建扩展插件 php扩展开发为了方便,有一个代码生成器 ,`php src php 5.5.9/ext/`便存在此程序 新建一个 ,内容如下 生成文件: ,其中 为扩展名 这样将会在 目录中生成一些文件 1、修改config.m4 PHP_ARG_WITH或 阅读全文
posted @ 2018-04-20 01:02 l3m0n 阅读(3147) 评论(1) 推荐(1) 编辑
摘要:文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何? N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置类来进行反序列化。 基础知识 首先还是来回顾一下序列化中的魔术方法,下面也将以此进行分类来进行研究。 看一下当前php本身内置类有: 但是它仅 阅读全文
posted @ 2018-03-16 16:52 l3m0n 阅读(14533) 评论(0) 推荐(1) 编辑
摘要:此过程为某站点的渗透记录,过程一波三折,但归根结底都是粗心大意造成的,不过自我认为在这个排坑的过程中也学习到了很多。 目前确认8.2 - 9.2.1存在问题 确认版本 首先可以通过接口来确认一下当前禅道的版本。 http://example.com/index.php?mode=getconfig 阅读全文
posted @ 2018-03-08 10:27 l3m0n 阅读(4216) 评论(0) 推荐(0) 编辑
摘要:st2 OGNL学习 OGNL是一种表达式语言,可以通过表达式进行一些对java对象的操作,它的上下文对象可以直接使用名来访问或直接使用它的属性名访问它的属性值 API: 就exp构写的话 1、调用类的静态方法或属性(不受root/上下文影响) 2、表达式的连接是用 3、Ognl取根元素不用 号,取 阅读全文
posted @ 2017-12-07 22:34 l3m0n 阅读(938) 评论(0) 推荐(0) 编辑
该文被密码保护。
posted @ 2017-08-10 12:11 l3m0n 阅读(507) 评论(0) 推荐(0) 编辑
摘要:跟随wupco师傅学习 触发点是一个直接可以反序列化。 题目不难,pop链构造一下,最后是可以生成一个shell 可以看看如何构造pop链:http://www.cnblogs.com/iamstudy/articles/php_object_injection_pop_chain.html 这里想 阅读全文
posted @ 2017-07-27 11:23 l3m0n 阅读(4638) 评论(0) 推荐(0) 编辑
摘要:最近做项目遇到的系统,无奈网上没shell的方法,于是就审计了一下. 条件:管理员权限 /xampp/zentaopro/module/api/control.php public function getModel($moduleName, $methodName, $params = '') { 阅读全文
posted @ 2017-03-29 02:26 l3m0n 阅读(484) 评论(0) 推荐(0) 编辑
摘要:p师傅的小密圈的一个问题 阅读全文
posted @ 2017-02-24 22:11 l3m0n 阅读(3092) 评论(0) 推荐(2) 编辑
摘要:今天被p师傅的黑魔法给震惊到啦,我一定是学了假php,仔细想想,其实对php版本更新并没有在意多少,都是活在5.3那个版本,可现在都是7.0啦! 另外的是在很多时候测试代码的时候,也很依靠版本问题。 http://php.net/manual/zh/appendices.php php5.2以前 1 阅读全文
posted @ 2017-01-18 22:07 l3m0n 阅读(9174) 评论(0) 推荐(2) 编辑
该文被密码保护。
posted @ 2017-01-09 18:48 l3m0n 阅读(1034) 评论(1) 推荐(0) 编辑