Sally Zhang

摘要： 传统漏洞之前学习过一段时间，但在实际工作中用的并不顺手，我想找个系统点的靶场来进行练习，于是找到了Web for Pentester。 Web for Pentester是PentesterLab提供的靶场，ISO下载地址：https://www.pentesterlab.com/exercises 阅读全文

摘要： 题目 解题过程 试了一下单引号，发现存在注入，数据库类型是MariaDB 第一反应是工具跑一下>_<，跑出数据库名称：supersqli 继续跑表名，没跑出来，尝试了下执行sql，也木有任何返回。。。 看了一下当前用户是root，但不是dba，难道是木有权限。。。 再回到页面试了下，发现有过滤关键字 阅读全文

摘要： CVE-2014-3120是ES的命令执行漏洞，之前在vulhub中做过漏洞复现(https://www.cnblogs.com/sallyzhang/p/12450035.html)，复现方式为手工复现。学习了一段时间的msf(metasploit简称msf)，现在尝试用使用msf。 1. 开启虚 阅读全文

摘要： 漏洞原理 和3210的漏洞很像，也是恶意代码执行漏洞，3210是执行任意MVEL表达式和java代码，3210之后MVEL表达式被弃用，ES的动态脚本语言换成了Groovy(而且增加了sandbox)，然额换成Groovy之后仍然存在恶意代码执行漏洞（ES：我好难，2333...） 复现环境 在ub 阅读全文

摘要： 漏洞原理 利用ES的备份功能，快照应该是文件，但ES没有对快照是否是文件进行验证，遇到目录就递归读取文件的内容从而导致目录遍历。 复现环境 在ubuntu 16.04虚拟机中用vulhub靶场提供的docker容器来复现 jdk版本1.7 ElasticSearch版本1.6.0 影响版本 1.6. 阅读全文

摘要： 基础知识 1. 全文检索：扫描文章中的每一个词，给每一个词建立一个索引指明该词在文章中出现的位置和次数。当进行查询操作时直接根据索引进行查找。 2. 倒排索引：索引表中的每一项都包括一个属性值和具有该属性值的各记录的地址。由于不是由记录来确定属性值，而是由属性值来确定记录的位置，因而称为倒排索引(i 阅读全文

摘要： 题目 hmm....代码硬伤暴击..>_<..，赶紧去补了一下php的序列化知识。。。 解题过程 题目已经说明了这题是php的反序列化。代码里面是一个类，类名xctf，类里面就一个string型变量，值为"111"。那么这题就是php的类的序列化。 __wakeup方法是php的魔术方法，当调用反序 阅读全文

摘要： 题目 解题过程 扫了下端口和目录，没发现啥有用的信息。。。看了下提示，需要用到php源文件phps(咱之前没听说过) 访问：http://111.198.29.45:49502/index.phps，出现源码： <?php if("admin" $_GET[id]) { echo("<p>not a 阅读全文

摘要： 题目 从给出的代码来看，参数名是page，并且过滤了php协议。正好之前学过文件包含漏洞，看能不能学以致用。。。 解题过程 输入：http://111.198.29.45:54883/index.php?page=data:text/plain,%3C?php%20phpinfo();?%3E 返回 阅读全文

摘要： 题目 今天做CTF的时候，遇到下面这道题，看上去应该跟ThinkPHP版本5的相关漏洞。之前听过ThinkPHP有漏洞，具体情况不清楚。。。 解题过程 去vulhub上搜了下ThinkPHP，还真有，把docker容器打开看了下，页面一摸一样哈哈： 这是一个远程代码执行漏洞，先学习vulhub复现这 阅读全文