摘要:[TOC] 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。 0x01 我打我自己之 序列化问题 关于序列化是什么就不再 阅读全文
posted @ 2019-10-17 11:24 ka1n4t 阅读 (122) 评论 (2) 编辑
摘要:测试url: http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2 控制器是获取id参数作为进行聚合查询的字段名,如下图所示 看一下存在漏洞的parseKey方法 可以看到,这里直接在$ke 阅读全文
posted @ 2019-08-07 01:13 ka1n4t 阅读 (48) 评论 (0) 编辑
摘要:[TOC] 环境搭建 $ composer create project topthink/think thinkphp 5.1.7 修改composer.json 5.1. = 5.1.7 $ composer update 分析 这个注入点与5.0.15的注入点位置都在parseData里,都是 阅读全文
posted @ 2019-08-01 01:52 ka1n4t 阅读 (141) 评论 (1) 编辑
摘要:分析 与上一个漏洞类似,这个也是前端可以传入一个数组变量,如['exp','123','123'],后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架,为了保证应用业务正常运行,不能为主应用做过多的安全防御(如转义、去除危险字符等)。 上一个漏洞 阅读全文
posted @ 2019-07-31 00:35 ka1n4t 阅读 (129) 评论 (0) 编辑
摘要:[TOC] 分析 首先看一下控制器,功能是根据用户传来的id,修改对应用户的密码。 13行把用户传来的id参数送入where()作为SQL语句中的WHERE语句,将pwd参数送入save()作为UPDATE语句。 这里我们假设请求id参数为array("bind","aaa"),pwd参数为bbb。 阅读全文
posted @ 2019-07-31 00:32 ka1n4t 阅读 (185) 评论 (2) 编辑
摘要:[TOC] Thinkphp 阅读全文
posted @ 2019-07-24 23:27 ka1n4t 阅读 (123) 评论 (0) 编辑
摘要:[TOC] Typecho 反序列化漏洞学习 0x00 前言 补丁: https://github.com/typecho/typecho/commit/e277141c974cd740702c5ce73f7e9f382c18d84e diff 3b7de2cf163f18aa521c050bb54 阅读全文
posted @ 2019-04-30 20:55 ka1n4t 阅读 (307) 评论 (0) 编辑
摘要:[TOC] SSRF逆向分析 0x00 前言 之前有复现过一些漏洞,但是每次按照别人的思路复现完了之后感觉还是有很多疑问,知道了怎么做但是不知道为什么这么做,所以这次我尝试自己从补丁一步步找到攻击链,构造poc。 0x01 收集情报 补丁地址: https://gitee.com/ComsenzDi 阅读全文
posted @ 2019-04-28 23:14 ka1n4t 阅读 (262) 评论 (0) 编辑
摘要:[TOC] 0x00 首先,session_start()是什么? 当会话自动开始或者通过 session_start() 手动开始的时候, PHP 内部会依据客户端传来的PHPSESSID来获取现有的对应的会话数据(即session文件), PHP 会自动反序列化session文件的内容,并将之填 阅读全文
posted @ 2019-04-22 09:52 ka1n4t 阅读 (106) 评论 (0) 编辑
摘要:[TOC] 0x00 废话 "DSXS" 是一个只有一百行代码的xss扫描器,其作者刚好就是写sqlmap的那位,下面来看一下其扫描逻辑。0x01部分文字较多,感觉写的有点啰嗦,如果看不下去的话就直接看最后的0x02的总结部分。 0x01 扫描逻辑 程序有两个 非并行 的逻辑,第一个逻辑是检测dom 阅读全文
posted @ 2019-04-20 17:55 ka1n4t 阅读 (462) 评论 (0) 编辑