博客园 - ka1n4t
uuid:6cbd1ba2-f883-4c34-aed1-30dde64a3a3e;id=707069
2024-02-26T03:26:11Z
ka1n4t
https://www.cnblogs.com/litlife/
feed.cnblogs.com
https://www.cnblogs.com/litlife/p/13304175.html
[极棒云鼎杯2020] Web题 - ka1n4t
web 这web题除了最后一个rtmpdump是个0day,其他的都是前端的问题,noxss200比较有意思。 一、cosplay step1 首先获取Bucket里的文件列表: console输入: (function(){ cos.getBucket({ Bucket: Bucket, Regi
2020-07-15T02:41:00Z
2020-07-15T02:41:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】web 这web题除了最后一个rtmpdump是个0day,其他的都是前端的问题,noxss200比较有意思。 一、cosplay step1 首先获取Bucket里的文件列表: console输入: (function(){ cos.getBucket({ Bucket: Bucket, Regi <a href="https://www.cnblogs.com/litlife/p/13304175.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/12596286.html
ysoserial分析【二】7u21和URLDNS - ka1n4t
[TOC] 7u21 7u21中利用了TemplatesImpl来执行命令,结合动态代理、AnnotationInvocationHandler、HashSet都成了gadget链。 先看一下调用栈,把ysoserial中的调用栈简化了一下 其中关于 类如何执行恶意代码的知识可以参考另一篇文章中对C
2020-03-29T18:01:00Z
2020-03-29T18:01:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 7u21 7u21中利用了TemplatesImpl来执行命令,结合动态代理、AnnotationInvocationHandler、HashSet都成了gadget链。 先看一下调用栈,把ysoserial中的调用栈简化了一下 其中关于 类如何执行恶意代码的知识可以参考另一篇文章中对C <a href="https://www.cnblogs.com/litlife/p/12596286.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/12571787.html
ysoserial分析【一】Apache Commons Collections - ka1n4t
[TOC] 0x00 前言 Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、WebSphere、Jenkins等知名大型Java应用都使用了这个库。 0x01 基础知识 Transformer Transfomer是Apache C
2020-03-25T16:28:00Z
2020-03-25T16:28:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 0x00 前言 Apache Commons Collections是Java中应用广泛的一个库,包括Weblogic、JBoss、WebSphere、Jenkins等知名大型Java应用都使用了这个库。 0x01 基础知识 Transformer Transfomer是Apache C <a href="https://www.cnblogs.com/litlife/p/12571787.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/12234149.html
Drupal SA-CORE-2019-010 .开头文件名(如.htaccess) 文件上传 - ka1n4t
[TOC] drupal .开头文件名 文件上传 通过diff 8.8.1的补丁,很容易发现修复点,位于 补丁在文件名两侧进行了trim(..., '.'),结合漏洞通告可以知道应该是文件名过滤不严导致.开头的文件上传。 原生模块分析 漏洞点位于 函数 全局搜索调用本函数的地方,发现只在 中被调用。
2020-01-26T05:58:00Z
2020-01-26T05:58:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] drupal .开头文件名 文件上传 通过diff 8.8.1的补丁,很容易发现修复点,位于 补丁在文件名两侧进行了trim(..., '.'),结合漏洞通告可以知道应该是文件名过滤不严导致.开头的文件上传。 原生模块分析 漏洞点位于 函数 全局搜索调用本函数的地方,发现只在 中被调用。 <a href="https://www.cnblogs.com/litlife/p/12234149.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/12193553.html
Thinkphp < 6.0.2 session id未作过滤导致getshell - ka1n4t
[TOC] Thinkphp clearFlashData(); $sessionId = $this getId(); if (!empty($this data)) { $data = $this serialize($this data); $this handler write($sessi
2020-01-14T10:38:00Z
2020-01-14T10:38:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] Thinkphp clearFlashData(); $sessionId = $this getId(); if (!empty($this data)) { $data = $this serialize($this data); $this handler write($sessi <a href="https://www.cnblogs.com/litlife/p/12193553.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/12127838.html
Joomla 3.9.13 二次注入分析(CVE-2019-19846) - ka1n4t
[TOC] 前言 这一个需要管理员权限的二次SQL注入,利用起来比较鸡肋。这里仅分享一下挖洞时的思路,不包含具体的poc。 分析 漏洞触发点在components/com_content/models/articles.php:L458 通过访问 可以到达漏洞点,但是state我们控制不了,因为首先
2019-12-31T14:52:00Z
2019-12-31T14:52:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 前言 这一个需要管理员权限的二次SQL注入,利用起来比较鸡肋。这里仅分享一下挖洞时的思路,不包含具体的poc。 分析 漏洞触发点在components/com_content/models/articles.php:L458 通过访问 可以到达漏洞点,但是state我们控制不了,因为首先 <a href="https://www.cnblogs.com/litlife/p/12127838.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11980530.html
Wordpress未授权查看私密内容漏洞 分析(CVE-2019-17671) - ka1n4t
[TOC] 0x00 前言 没有 0x01 分析 这个漏洞被描述为“未授权访问私密内容”,由此推断是权限判断出了问题。如果想搞懂哪里出问题,必然要先知道wp获取page(页面)/post(文章)的原理,摸清其中权限判断的逻辑,才能知道逻辑哪里会有问题。 这里我们直接从wp的核心处理流程main函数开
2019-12-03T16:52:00Z
2019-12-03T16:52:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 0x00 前言 没有 0x01 分析 这个漏洞被描述为“未授权访问私密内容”,由此推断是权限判断出了问题。如果想搞懂哪里出问题,必然要先知道wp获取page(页面)/post(文章)的原理,摸清其中权限判断的逻辑,才能知道逻辑哪里会有问题。 这里我们直接从wp的核心处理流程main函数开 <a href="https://www.cnblogs.com/litlife/p/11980530.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11690918.html
从一道ctf看php反序列化漏洞的应用场景 - ka1n4t
[TOC] 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。 0x01 我打我自己之 序列化问题 关于序列化是什么就不再
2019-10-17T03:24:00Z
2019-10-17T03:24:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。 0x01 我打我自己之 序列化问题 关于序列化是什么就不再 <a href="https://www.cnblogs.com/litlife/p/11690918.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11312796.html
Thinkphp 5.1.24 parseKey缺陷导致聚合注入 分析 - ka1n4t
测试url: http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2 控制器是获取id参数作为进行聚合查询的字段名,如下图所示 看一下存在漏洞的parseKey方法 可以看到,这里直接在$ke
2019-08-06T17:13:00Z
2019-08-06T17:13:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】测试url: http://127.0.0.1/thinkphp/thinkphp_5.1.24/public/index.php/index/index/sqli2?id=2 控制器是获取id参数作为进行聚合查询的字段名,如下图所示 看一下存在漏洞的parseKey方法 可以看到,这里直接在$ke <a href="https://www.cnblogs.com/litlife/p/11312796.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11280133.html
Thinkphp 5.1.7 parseData缺陷导致insert/update注入 分析 - ka1n4t
[TOC] 环境搭建 $ composer create project topthink/think thinkphp 5.1.7 修改composer.json 5.1. = 5.1.7 $ composer update 分析 这个注入点与5.0.15的注入点位置都在parseData里,都是
2019-07-31T17:52:00Z
2019-07-31T17:52:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 环境搭建 $ composer create project topthink/think thinkphp 5.1.7 修改composer.json 5.1. = 5.1.7 $ composer update 分析 这个注入点与5.0.15的注入点位置都在parseData里,都是 <a href="https://www.cnblogs.com/litlife/p/11280133.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11273652.html
Thinkphp 5.0.15 设计缺陷导致Insert/update-SQL注入 分析 - ka1n4t
分析 与上一个漏洞类似,这个也是前端可以传入一个数组变量,如['exp','123','123'],后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架,为了保证应用业务正常运行,不能为主应用做过多的安全防御(如转义、去除危险字符等)。 上一个漏洞
2019-07-30T16:35:00Z
2019-07-30T16:35:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】分析 与上一个漏洞类似,这个也是前端可以传入一个数组变量,如['exp','123','123'],后端根据array[0]来将array[1]和array[2]直接拼接到SQL语句中。 由于TP只是框架,为了保证应用业务正常运行,不能为主应用做过多的安全防御(如转义、去除危险字符等)。 上一个漏洞 <a href="https://www.cnblogs.com/litlife/p/11273652.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11273647.html
Thinkphp 3.2.3 parseWhere设计缺陷导致update/delete注入 分析 - ka1n4t
[TOC] 分析 首先看一下控制器,功能是根据用户传来的id,修改对应用户的密码。 13行把用户传来的id参数送入where()作为SQL语句中的WHERE语句,将pwd参数送入save()作为UPDATE语句。 这里我们假设请求id参数为array("bind","aaa"),pwd参数为bbb。
2019-07-30T16:32:00Z
2019-07-30T16:32:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 分析 首先看一下控制器,功能是根据用户传来的id,修改对应用户的密码。 13行把用户传来的id参数送入where()作为SQL语句中的WHERE语句,将pwd参数送入save()作为UPDATE语句。 这里我们假设请求id参数为array("bind","aaa"),pwd参数为bbb。 <a href="https://www.cnblogs.com/litlife/p/11273647.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/11241571.html
Thinkphp <= 5.0.10 缓存getshell复现 - ka1n4t
[TOC] Thinkphp
2019-07-24T15:27:00Z
2019-07-24T15:27:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] Thinkphp <a href="https://www.cnblogs.com/litlife/p/11241571.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10798061.html
Typecho-反序列化漏洞学习 - ka1n4t
[TOC] Typecho 反序列化漏洞学习 0x00 前言 补丁: https://github.com/typecho/typecho/commit/e277141c974cd740702c5ce73f7e9f382c18d84e diff 3b7de2cf163f18aa521c050bb54
2019-04-30T12:55:00Z
2019-04-30T12:55:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] Typecho 反序列化漏洞学习 0x00 前言 补丁: https://github.com/typecho/typecho/commit/e277141c974cd740702c5ce73f7e9f382c18d84e diff 3b7de2cf163f18aa521c050bb54 <a href="https://www.cnblogs.com/litlife/p/10798061.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10787682.html
Discuz3.4-SSRF-从触发点到构造payload - ka1n4t
[TOC] SSRF逆向分析 0x00 前言 之前有复现过一些漏洞,但是每次按照别人的思路复现完了之后感觉还是有很多疑问,知道了怎么做但是不知道为什么这么做,所以这次我尝试自己从补丁一步步找到攻击链,构造poc。 0x01 收集情报 补丁地址: https://gitee.com/ComsenzDi
2019-04-28T15:14:00Z
2019-04-28T15:14:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] SSRF逆向分析 0x00 前言 之前有复现过一些漏洞,但是每次按照别人的思路复现完了之后感觉还是有很多疑问,知道了怎么做但是不知道为什么这么做,所以这次我尝试自己从补丁一步步找到攻击链,构造poc。 0x01 收集情报 补丁地址: https://gitee.com/ComsenzDi <a href="https://www.cnblogs.com/litlife/p/10787682.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10748506.html
php session序列化攻击面浅析 - ka1n4t
[TOC] 0x00 首先,session_start()是什么? 当会话自动开始或者通过 session_start() 手动开始的时候, PHP 内部会依据客户端传来的PHPSESSID来获取现有的对应的会话数据(即session文件), PHP 会自动反序列化session文件的内容,并将之填
2019-04-22T01:52:00Z
2019-04-22T01:52:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 0x00 首先,session_start()是什么? 当会话自动开始或者通过 session_start() 手动开始的时候, PHP 内部会依据客户端传来的PHPSESSID来获取现有的对应的会话数据(即session文件), PHP 会自动反序列化session文件的内容,并将之填 <a href="https://www.cnblogs.com/litlife/p/10748506.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10741864.html
只有一百行的xss扫描工具——DSXS源码分析 - ka1n4t
[TOC] 0x00 废话 "DSXS" 是一个只有一百行代码的xss扫描器,其作者刚好就是写sqlmap的那位,下面来看一下其扫描逻辑。0x01部分文字较多,感觉写的有点啰嗦,如果看不下去的话就直接看最后的0x02的总结部分。 0x01 扫描逻辑 程序有两个 非并行 的逻辑,第一个逻辑是检测dom
2019-04-20T09:55:00Z
2019-04-20T09:55:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 0x00 废话 "DSXS" 是一个只有一百行代码的xss扫描器,其作者刚好就是写sqlmap的那位,下面来看一下其扫描逻辑。0x01部分文字较多,感觉写的有点啰嗦,如果看不下去的话就直接看最后的0x02的总结部分。 0x01 扫描逻辑 程序有两个 非并行 的逻辑,第一个逻辑是检测dom <a href="https://www.cnblogs.com/litlife/p/10741864.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10708488.html
浅析一款扫描dom-xss的浏览器插件 - ka1n4t
[TOC] 0x00 前言 这款插件的名字叫 "ra2 dom xss scanner" ,其作者刚好也是jsprime的开发者,后续有可能会继续跟进一下jsprime。这个ra2比较老了,大概是七年前的一款,后来也就没有更新过。下面简单的分析一下其扫描的原理。 0x01 浅析 其大致的原理如下,首
2019-04-14T17:39:00Z
2019-04-14T17:39:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 0x00 前言 这款插件的名字叫 "ra2 dom xss scanner" ,其作者刚好也是jsprime的开发者,后续有可能会继续跟进一下jsprime。这个ra2比较老了,大概是七年前的一款,后来也就没有更新过。下面简单的分析一下其扫描的原理。 0x01 浅析 其大致的原理如下,首 <a href="https://www.cnblogs.com/litlife/p/10708488.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10693582.html
sqlmap Bool型&延时型 检测策略分析 - ka1n4t
sqlmap Bool型&延时型 检测策略分析 [TOC] 0x00 预备 queryPage() 首先先讲一个核心的函数:queryPage()。这个函数在以下分析中贯穿始终。其被用于请求页面, 同时具有多种返回值以适配多种检测策略,见下图: 下面分析一下这几个return的情况。 第一个retu
2019-04-11T16:43:00Z
2019-04-11T16:43:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】sqlmap Bool型&延时型 检测策略分析 [TOC] 0x00 预备 queryPage() 首先先讲一个核心的函数:queryPage()。这个函数在以下分析中贯穿始终。其被用于请求页面, 同时具有多种返回值以适配多种检测策略,见下图: 下面分析一下这几个return的情况。 第一个retu <a href="https://www.cnblogs.com/litlife/p/10693582.html" target="_blank">阅读全文</a>
https://www.cnblogs.com/litlife/p/10380701.html
SpringSecurityOauth RCE (CVE-2016-4977) 分析与复现 - ka1n4t
[TOC] 影响版本: 2.0.0 2.0.9 1.0.0 1.0.5 0x00 前言 这个漏洞与之前那个SpringBoot的SpEL表达式注入漏洞点基本一样,而且漏洞爆出来的时间点也差不多,可是没有找到那个漏洞的CVE编号,不知道是什么原因。 这个漏洞的触发点也是对用户传的参数的递归解析,从而导
2019-02-14T12:58:00Z
2019-02-14T12:58:00Z
ka1n4t
https://www.cnblogs.com/litlife/
【摘要】[TOC] 影响版本: 2.0.0 2.0.9 1.0.0 1.0.5 0x00 前言 这个漏洞与之前那个SpringBoot的SpEL表达式注入漏洞点基本一样,而且漏洞爆出来的时间点也差不多,可是没有找到那个漏洞的CVE编号,不知道是什么原因。 这个漏洞的触发点也是对用户传的参数的递归解析,从而导 <a href="https://www.cnblogs.com/litlife/p/10380701.html" target="_blank">阅读全文</a>