摘要： cc3利用链如下： TrAXFilter(Templates templates) TemplatesImpl->newTransformer() TemplatesImpl->getTransletInstance() _class[_transletIndex].newInstance(); 一 阅读全文

摘要： 利用链如下： 其中LazyMap.get()->ChainedTransformer.transform()-InvokerTransformer.transform()与CC1链一致。 /* Gadget chain: java.io.ObjectInputStream.readObject() 阅读全文

摘要： /* Gadget chain: ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke() La 阅读全文

摘要： 在分析URLDNS之前，必须了解JAVA序列化和反序列化的基本概念。其中几个重要的概念： 需要让某个对象支持序列化机制，就必须让其类是可序列化，为了让某类可序列化的，该类就必须实现如下两个接口之一： Serializable：标记接口，没有方法 Externalizable：该接口有方法需要实现，一 阅读全文

摘要： 原理大致是这样：spring框架在传参的时候会与对应实体类自动参数绑定，通过“.”还可以访问对应实体类的引用类型变量。使用getClass方法，通过反射机制最终获取tomcat的日志配置成员属性，通过set方法，修改目录、内容等属性成员，达到任意文件写入的目的。 环境： jdk9、springmvc 阅读全文

摘要： 研究了一下前段时间的Polkit提权漏洞，里面有很多以前不知道的技巧。漏洞很好用，通杀CENTOS、UBUNTU各版本。 主要是分析这个POC触发原理。POC如下： /* * Proof of Concept for PwnKit: Local Privilege Escalation Vulner 阅读全文

摘要： 作为一名初学者，在碰到很多攻击思路的时候会感觉很妙，比如gadget的构造，这题的sh参数截断。 1、首先分析程序架构和保护措施。 2、使用IDA开始判断程序是否具备最简单的栈溢出执行条件： ret2text：不具备，没有shell可执行代码 ret2shellcode：不具备写入全局区域的入口 没 阅读全文

摘要： 1、下载附件后，运行是一个输入程序，IDA分析main函数，gets可溢出。 F5伪代码如下： int __cdecl main(int argc, const char **argv, const char **envp) { char s; // [rsp+1h] [rbp-Fh] puts(" 阅读全文

摘要： 1、题目名sql_i，环境打开是一张图，可以看到id的参数base64加密了。 源码里还说sqlmap是没有灵魂的。 2、and 、空格，base64加密后提交发现被过滤 3、or没被过滤，空格用/**/替换，base64加密提交，看到表中所有内容，存在注入 1/**/or/**/2/**/</** 阅读全文

摘要： 东西比较老，类似的文章网上已经很多，原理主要是通过服务端的load data动作可以主动向客户端获取文件。 看过hfish等自带的mysql蜜罐读取/etc/passwd，感觉还差点实用性。这次文章主要还是要分析报文的数据交互，利用navicat二次交互获取微信等信息。 一、数据包分析： 1、用正式 阅读全文