漏洞研究 - 随笔分类 - ka1n4t

Drupal SA-CORE-2019-010 .开头文件名(如.htaccess) 文件上传

摘要：[TOC] drupal .开头文件名文件上传通过diff 8.8.1的补丁，很容易发现修复点，位于补丁在文件名两侧进行了trim(..., '.')，结合漏洞通告可以知道应该是文件名过滤不严导致.开头的文件上传。原生模块分析漏洞点位于函数全局搜索调用本函数的地方，发现只在中被调用。阅读全文

posted @ 2020-01-26 13:58 ka1n4t 阅读(492) 评论(0) 推荐(0)

Thinkphp < 6.0.2 session id未作过滤导致getshell

摘要：[TOC] Thinkphp clearFlashData(); $sessionId = $this getId(); if (!empty($this data)) { $data = $this serialize($this data); $this handler write($sessi 阅读全文

posted @ 2020-01-14 18:38 ka1n4t 阅读(961) 评论(0) 推荐(0)

Joomla 3.9.13 二次注入分析（CVE-2019-19846）

摘要：[TOC] 前言这一个需要管理员权限的二次SQL注入，利用起来比较鸡肋。这里仅分享一下挖洞时的思路，不包含具体的poc。分析漏洞触发点在components/com_content/models/articles.php:L458 通过访问可以到达漏洞点，但是state我们控制不了，因为首先阅读全文

posted @ 2019-12-31 22:52 ka1n4t 阅读(1406) 评论(0) 推荐(0)

Wordpress未授权查看私密内容漏洞分析（CVE-2019-17671）

摘要：[TOC] 0x00 前言没有 0x01 分析这个漏洞被描述为“未授权访问私密内容”，由此推断是权限判断出了问题。如果想搞懂哪里出问题，必然要先知道wp获取page(页面)/post(文章)的原理，摸清其中权限判断的逻辑，才能知道逻辑哪里会有问题。这里我们直接从wp的核心处理流程main函数开阅读全文

posted @ 2019-12-04 00:52 ka1n4t 阅读(974) 评论(0) 推荐(0)

从一道ctf看php反序列化漏洞的应用场景

摘要：[TOC] 0x00 first 前几天joomla爆出个反序列化漏洞，原因是因为对序列化后的字符进行过滤，导致用户可控字符溢出，从而控制序列化内容，配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景，感觉很有意思，故有本文。 0x01 我打我自己之序列化问题关于序列化是什么就不再阅读全文

posted @ 2019-10-17 11:24 ka1n4t 阅读(4825) 评论(2) 推荐(3)

Thinkphp 5.1.24 parseKey缺陷导致聚合注入分析

摘要：测试url： http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2 控制器是获取id参数作为进行聚合查询的字段名，如下图所示看一下存在漏洞的parseKey方法可以看到，这里直接在$ke 阅读全文

posted @ 2019-08-07 01:13 ka1n4t 阅读(562) 评论(0) 推荐(0)

Thinkphp 5.1.7 parseData缺陷导致insert/update注入分析

摘要：[TOC] 环境搭建 $ composer create project topthink/think thinkphp 5.1.7 修改composer.json 5.1. = 5.1.7 $ composer update 分析这个注入点与5.0.15的注入点位置都在parseData里，都是阅读全文

posted @ 2019-08-01 01:52 ka1n4t 阅读(663) 评论(1) 推荐(0)

Thinkphp 5.0.15 设计缺陷导致Insert/update-SQL注入分析

摘要：分析与上一个漏洞类似，这个也是前端可以传入一个数组变量，如['exp','123','123']，后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。由于TP只是框架，为了保证应用业务正常运行，不能为主应用做过多的安全防御（如转义、去除危险字符等）。上一个漏洞阅读全文

posted @ 2019-07-31 00:35 ka1n4t 阅读(1490) 评论(0) 推荐(0)

Thinkphp 3.2.3 parseWhere设计缺陷导致update/delete注入分析

摘要：[TOC] 分析首先看一下控制器，功能是根据用户传来的id，修改对应用户的密码。 13行把用户传来的id参数送入where()作为SQL语句中的WHERE语句，将pwd参数送入save()作为UPDATE语句。这里我们假设请求id参数为array("bind","aaa")，pwd参数为bbb。阅读全文

posted @ 2019-07-31 00:32 ka1n4t 阅读(942) 评论(4) 推荐(1)

Thinkphp <= 5.0.10 缓存getshell复现

摘要：[TOC] Thinkphp 阅读全文

posted @ 2019-07-24 23:27 ka1n4t 阅读(2824) 评论(0) 推荐(0)

Typecho-反序列化漏洞学习

摘要：[TOC] Typecho 反序列化漏洞学习 0x00 前言补丁： https://github.com/typecho/typecho/commit/e277141c974cd740702c5ce73f7e9f382c18d84e diff 3b7de2cf163f18aa521c050bb54 阅读全文

posted @ 2019-04-30 20:55 ka1n4t 阅读(3927) 评论(0) 推荐(0)

Discuz3.4-SSRF-从触发点到构造payload

摘要：[TOC] SSRF逆向分析 0x00 前言之前有复现过一些漏洞，但是每次按照别人的思路复现完了之后感觉还是有很多疑问，知道了怎么做但是不知道为什么这么做，所以这次我尝试自己从补丁一步步找到攻击链，构造poc。 0x01 收集情报补丁地址： https://gitee.com/ComsenzDi 阅读全文

posted @ 2019-04-28 23:14 ka1n4t 阅读(1863) 评论(0) 推荐(0)

只有一百行的xss扫描工具——DSXS源码分析

摘要：[TOC] 0x00 废话 "DSXS" 是一个只有一百行代码的xss扫描器，其作者刚好就是写sqlmap的那位，下面来看一下其扫描逻辑。0x01部分文字较多，感觉写的有点啰嗦，如果看不下去的话就直接看最后的0x02的总结部分。 0x01 扫描逻辑程序有两个非并行的逻辑，第一个逻辑是检测dom 阅读全文

posted @ 2019-04-20 17:55 ka1n4t 阅读(3724) 评论(5) 推荐(4)

浅析一款扫描dom-xss的浏览器插件

摘要：[TOC] 0x00 前言这款插件的名字叫 "ra2 dom xss scanner" ，其作者刚好也是jsprime的开发者，后续有可能会继续跟进一下jsprime。这个ra2比较老了，大概是七年前的一款，后来也就没有更新过。下面简单的分析一下其扫描的原理。 0x01 浅析其大致的原理如下，首阅读全文

posted @ 2019-04-15 01:39 ka1n4t 阅读(1164) 评论(0) 推荐(0)

sqlmap Bool型&延时型检测策略分析

摘要：sqlmap Bool型&延时型检测策略分析 [TOC] 0x00 预备 queryPage() 首先先讲一个核心的函数：queryPage()。这个函数在以下分析中贯穿始终。其被用于请求页面，同时具有多种返回值以适配多种检测策略，见下图：下面分析一下这几个return的情况。第一个retu 阅读全文

posted @ 2019-04-12 00:43 ka1n4t 阅读(1249) 评论(0) 推荐(0)

🌧

随笔分类 - 漏洞研究

公告