该文被密码保护。
posted @ 2020-03-26 01:21 ka1n4t 阅读 (0) 评论 (0) 编辑
摘要:[TOC] 7u21 7u21中利用了TemplatesImpl来执行命令,结合动态代理、AnnotationInvocationHandler、HashSet都成了gadget链。 先看一下调用栈,把ysoserial中的调用栈简化了一下 其中关于 类如何执行恶意代码的知识可以参考另一篇文章中对C 阅读全文
posted @ 2020-03-30 02:01 ka1n4t 阅读 (21) 评论 (0) 编辑
该文被密码保护。
posted @ 2020-03-26 01:21 ka1n4t 阅读 (0) 评论 (0) 编辑
摘要:[TOC] 0x00 前言 Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、WebSphere、Jenkins等知名大型Java应用都使用了这个库。 0x01 基础知识 Transformer Transfomer是Apache C 阅读全文
posted @ 2020-03-26 00:28 ka1n4t 阅读 (91) 评论 (0) 编辑
摘要:[TOC] drupal .开头文件名 文件上传 通过diff 8.8.1的补丁,很容易发现修复点,位于 补丁在文件名两侧进行了trim(..., '.'),结合漏洞通告可以知道应该是文件名过滤不严导致.开头的文件上传。 原生模块分析 漏洞点位于 函数 全局搜索调用本函数的地方,发现只在 中被调用。 阅读全文
posted @ 2020-01-26 13:58 ka1n4t 阅读 (83) 评论 (0) 编辑
摘要:[TOC] Thinkphp clearFlashData(); $sessionId = $this getId(); if (!empty($this data)) { $data = $this serialize($this data); $this handler write($sessi 阅读全文
posted @ 2020-01-14 18:38 ka1n4t 阅读 (31) 评论 (0) 编辑
摘要:[TOC] 前言 这一个需要管理员权限的二次SQL注入,利用起来比较鸡肋。这里仅分享一下挖洞时的思路,不包含具体的poc。 分析 漏洞触发点在components/com_content/models/articles.php:L458 通过访问 可以到达漏洞点,但是state我们控制不了,因为首先 阅读全文
posted @ 2019-12-31 22:52 ka1n4t 阅读 (200) 评论 (0) 编辑
摘要:[TOC] 0x00 前言 没有 0x01 分析 这个漏洞被描述为“未授权访问私密内容”,由此推断是权限判断出了问题。如果想搞懂哪里出问题,必然要先知道wp获取page(页面)/post(文章)的原理,摸清其中权限判断的逻辑,才能知道逻辑哪里会有问题。 这里我们直接从wp的核心处理流程main函数开 阅读全文
posted @ 2019-12-04 00:52 ka1n4t 阅读 (113) 评论 (0) 编辑
摘要:[TOC] 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。 0x01 我打我自己之 序列化问题 关于序列化是什么就不再 阅读全文
posted @ 2019-10-17 11:24 ka1n4t 阅读 (443) 评论 (2) 编辑
摘要:测试url: http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2 控制器是获取id参数作为进行聚合查询的字段名,如下图所示 看一下存在漏洞的parseKey方法 可以看到,这里直接在$ke 阅读全文
posted @ 2019-08-07 01:13 ka1n4t 阅读 (109) 评论 (0) 编辑
摘要:[TOC] 环境搭建 $ composer create project topthink/think thinkphp 5.1.7 修改composer.json 5.1. = 5.1.7 $ composer update 分析 这个注入点与5.0.15的注入点位置都在parseData里,都是 阅读全文
posted @ 2019-08-01 01:52 ka1n4t 阅读 (213) 评论 (1) 编辑