07 2019 档案

0ctf-Wallbreaker Easy复现
摘要:补坑+1。 有预留的后门,并且给了phpinfo,因此可以从phpinfo中先搜集一波信息: 这里禁用了很多命令执行的函数,所以应该要bypass_disablefunction,先读一下flag在哪,但是这里有openbase_dir限制,因此能够还必须绕过它,这里system默认忽略openba 阅读全文
posted @ 2019-07-31 23:41 tr1ple 阅读(1631) 评论(0) 推荐(0)
CISCN final 几道web题总结
摘要:因为都有源码,所以这里直接从源码开始分析: 1.Easy web 这道题本来的意思应该是通过注入来load_file读取config.php来泄露cookie的加密密钥,从而伪造身份进行登陆再上传shell 这里本来addslashes以后就基本没法注入,但是这里却多了两行替换,所以能够继续注入, 阅读全文
posted @ 2019-07-30 21:22 tr1ple 阅读(1259) 评论(0) 推荐(0)
Redis 4.x RCE 复现学习
摘要:攻击场景: 实际上就是通过主从特性来 同步传输数据,同时利用模块加载来加载恶意的用来进行命令执行的函数,从而进行rce redis之前的攻击方法有 1.写shell 但是对于网站根目录而言,redis不一定据有写权限 2.root权限写crontab或者ssh文件 高版本redis运行时为非root 阅读全文
posted @ 2019-07-28 13:07 tr1ple 阅读(1182) 评论(0) 推荐(0)
Imagetragick 命令执行漏洞(CVE-2016–3714)
摘要:Imagetragick介绍: 命令执行漏洞是出在 ImageMagick 对 https 形式的文件处理的过程中。 ImageMagick 之所以支持那么多的文件格式, 是因为它内置了非常多的图像处理库, 对于这些图像处理库, ImageMagick 给它起了个名字叫做”Delegate”(委托) 阅读全文
posted @ 2019-07-25 21:58 tr1ple 阅读(1954) 评论(0) 推荐(0)
bypass disable_function总结学习
摘要:通常bypass的思路如下 readelf -Ws /usr/bin/sendmail 通过readelf可以查看id程序可能调用的系统API函数,这个命令结果仅代表可能被调用的API,不代表一定调用 通过strace -f +程序执行 才能看到程序实际的内部调用情况 1.利用LD_PRELOAD 阅读全文
posted @ 2019-07-20 10:06 tr1ple 阅读(2864) 评论(2) 推荐(0)
Insomni’hack CTF-l33t-hoster复现分析
摘要:题目地址: https://github.com/eboda/insomnihack/tree/master/l33t_hoster 源码如下: 这道题首先可以上传.htaccess,那么此时就可以让服务器去解析任意后缀当作php执行,一步一步看 首先 这一段代码判断$parts的值,但是如果上传. 阅读全文
posted @ 2019-07-19 11:17 tr1ple 阅读(2551) 评论(0) 推荐(0)
CVE-2014-6271 Shellshock 破壳漏洞 复现
摘要:补坑。 什么是shellshock CGI是一种协议,旨在允许web服务器直接执行服务器中类似控制台程序,这些程序也就是CGI脚本,通常用来处理来自动态网页的数据并通过HTTP进行交互。 必须指定一个新目录,通常是cgi-bin或者类似的名字,以使CGI脚本能够运行。当浏览器请求CGI目录中包含的特 阅读全文
posted @ 2019-07-18 11:31 tr1ple 阅读(1863) 评论(0) 推荐(1)
0ctf-ezdoor-复现分析
摘要:在学习opcache的时候,看到了这个题目,刚好有环境,就来复现一下,这个题目也让我学到了很多。 创建镜像: docker build -t 0ctf-ezdoor . 启动容器: docker run -itd -p 9010:80 --name 0ctf-ezdoor 0ctf-ezdoor 源 阅读全文
posted @ 2019-07-17 10:03 tr1ple 阅读(958) 评论(0) 推荐(0)
phpinfo中敏感信息记录
摘要:比赛中或者渗透中如果遇到phpinfo,从里面发现的一些线索能够对后续的渗透和解题帮助很大,这里记录总结一下目前网上比较常用的的。 下图来源于:https://seaii-blog.com/index.php/2017/10/25/73.html 1.绝对路径(_SERVER["SCRIPT_FIL 阅读全文
posted @ 2019-07-16 14:52 tr1ple 阅读(1124) 评论(0) 推荐(0)
未授权访问总结学习
摘要:fastcgi(9000端口): 以下这段话摘自p神 http数据实际上是由客户端浏览器到达服务器中间件,中间件再将数据再次封装打包给后端语言进行处理,处理结束再返回给服务器中间件。 php-fpm(fastcgi进程管理器): FPM其实是一个fastcgi协议解析器,Nginx等服务器中间件将用 阅读全文
posted @ 2019-07-15 12:50 tr1ple 阅读(2523) 评论(0) 推荐(0)
关于PHP内部类的一些总结学习
摘要:前言: 这篇文章主要对一些可以进行反序列化的php内置类的分析总结(膜lemon师傅之前的总结),当然不是所有的php内置类在存在反序列化漏洞时都能够直接利用,有些类不一定能够进行反序列化,php中使用了zend_class_unserialize_deny来禁止一些类的反序列化,比如序列化Dire 阅读全文
posted @ 2019-07-12 18:53 tr1ple 阅读(2531) 评论(0) 推荐(0)
PHP反序列化总结
摘要:之前遇到过很多次php反序列化相关的内容,总结一下。 常见的PHP魔术方法: 1.PHP反序列化与POP链 1.1Autoloading与(反)序列化威胁 1.2Composer与Autoloading 寻找依赖库漏洞的方法,可以说是简单粗暴:首先在依赖库中使用RIPS或grep全局搜索__wake 阅读全文
posted @ 2019-07-10 18:11 tr1ple 阅读(14652) 评论(0) 推荐(6)
SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习
摘要:0x01:url标准的灵活性导致绕过filter_var与parse_url进行ssrf filter_var() filter_var()函数对于http://evil.com;google.com 会返回false也就是认为url格式错误, 但是对于以下三个返回True 0://evil.com 阅读全文
posted @ 2019-07-06 16:33 tr1ple 阅读(1130) 评论(0) 推荐(0)
parse_url小结
摘要:本篇文章对parse_url进行一个小结 0x01:parse_url 执行以上代码:,将得到下面的结果 将输出: 1.//upload?如果是//,则被解析成host, 后面的内容如果有/,被解析出path,而不是query了 2.如果path部分为///,则解析错误 感想:在实际上bypass的 阅读全文
posted @ 2019-07-05 13:15 tr1ple 阅读(7103) 评论(0) 推荐(1)
Padding Oracle 和 CBC字节翻转攻击学习
摘要:以前一直没时间来好好研究下这两种攻击方式,虽然都是很老的点了= =! 0x01:Padding oracle CBC加密模式为分组加密,初始时有初始向量,密钥,以及明文,明文与初始向量异或以后得到中间明文,然后其再和密钥进行加密将得到密文,得到的密文将作为下一个分组的初始向量,与下一个分组的明文进行 阅读全文
posted @ 2019-07-03 08:27 tr1ple 阅读(2246) 评论(0) 推荐(0)
代码审计之CVE-2019-9081 Laravel5.7 反序列化 RCE复现分析
摘要:环境: php7.2+apache+laravel5.7 漏洞描述: Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。Illuminate是其中的一个组件。Laravel Framework 5.7.x版本中的Illuminate 阅读全文
posted @ 2019-07-03 07:56 tr1ple 阅读(1824) 评论(0) 推荐(1)