摘要: 题目地址: https://github.com/eboda/insomnihack/tree/master/l33t_hoster 源码如下: 这道题首先可以上传.htaccess,那么此时就可以让服务器去解析任意后缀当作php执行,一步一步看 首先 这一段代码判断$parts的值,但是如果上传.阅读全文
posted @ 2019-07-19 11:17 tr1ple 阅读(7) 评论(0) 编辑
摘要: 补坑。 什么是shellshock CGI是一种协议,旨在允许web服务器直接执行服务器中类似控制台程序,这些程序也就是CGI脚本,通常用来处理来自动态网页的数据并通过HTTP进行交互。 必须指定一个新目录,通常是cgi-bin或者类似的名字,以使CGI脚本能够运行。当浏览器请求CGI目录中包含的特阅读全文
posted @ 2019-07-18 11:31 tr1ple 阅读(10) 评论(0) 编辑
摘要: 在学习opcache的时候,看到了这个题目,刚好有环境,就来复现一下,这个题目也让我学到了很多。 创建镜像: docker build -t 0ctf-ezdoor . 启动容器: docker run -itd -p 9010:80 --name 0ctf-ezdoor 0ctf-ezdoor 源阅读全文
posted @ 2019-07-17 10:03 tr1ple 阅读(12) 评论(0) 编辑
摘要: 比赛中或者渗透中如果遇到phpinfo,从里面发现的一些线索能够对后续的渗透和解题帮助很大,这里记录总结一下目前网上比较常用的的。 下图来源于:https://seaii-blog.com/index.php/2017/10/25/73.html 1.绝对路径(_SERVER["SCRIPT_FIL阅读全文
posted @ 2019-07-16 14:52 tr1ple 阅读(15) 评论(0) 编辑
摘要: fastcgi(9000端口): 以下这段话摘自p神 http数据实际上是由客户端浏览器到达服务器中间件,中间件再将数据再次封装打包给后端语言进行处理,处理结束再返回给服务器中间件。 php-fpm(fastcgi进程管理器): FPM其实是一个fastcgi协议解析器,Nginx等服务器中间件将用阅读全文
posted @ 2019-07-15 12:50 tr1ple 阅读(20) 评论(0) 编辑
摘要: 前言: 这篇文章主要对一些可以进行反序列化的php内置类的分析总结(膜lemon师傅之前的总结),当然不是所有的php内置类在存在反序列化漏洞时都能够直接利用,有些类不一定能够进行反序列化,php中使用了zend_class_unserialize_deny来禁止一些类的反序列化,比如序列化Dire阅读全文
posted @ 2019-07-12 18:53 tr1ple 阅读(21) 评论(0) 编辑
摘要: 之前遇到过很多次php反序列化相关的内容,总结一下。 常见的PHP魔术方法: 1.PHP反序列化与POP链 1.1Autoloading与(反)序列化威胁 1.2Composer与Autoloading 寻找依赖库漏洞的方法,可以说是简单粗暴:首先在依赖库中使用RIPS或grep全局搜索__wake阅读全文
posted @ 2019-07-10 18:11 tr1ple 阅读(24) 评论(0) 编辑
摘要: 0x01:url标准的灵活性导致绕过filter_var与parse_url进行ssrf filter_var() filter_var()函数对于http://evil.com;google.com 会返回false也就是认为url格式错误, 但是对于以下三个返回True 0://evil.com阅读全文
posted @ 2019-07-06 16:33 tr1ple 阅读(17) 评论(0) 编辑
摘要: 本篇文章对parse_url进行一个小结 0x01:parse_url 执行以上代码:,将得到下面的结果 将输出: 1.//upload?如果是//,则被解析成host, 后面的内容如果有/,被解析出path,而不是query了 2.如果path部分为///,则解析错误 感想:在实际上bypass的阅读全文
posted @ 2019-07-05 13:15 tr1ple 阅读(25) 评论(0) 编辑
摘要: 以前一直没时间来好好研究下这两种攻击方式,虽然都是很老的点了= =! 0x01:Padding oracle CBC加密模式为分组加密,初始时有初始向量,密钥,以及明文,明文与初始向量异或以后得到中间明文,然后其再和密钥进行加密将得到密文,得到的密文将作为下一个分组的初始向量,与下一个分组的明文进行阅读全文
posted @ 2019-07-03 08:27 tr1ple 阅读(40) 评论(0) 编辑
摘要: 环境: php7.2+apache+laravel5.7 漏洞描述: Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。Illuminate是其中的一个组件。Laravel Framework 5.7.x版本中的Illuminate阅读全文
posted @ 2019-07-03 07:56 tr1ple 阅读(45) 评论(0) 编辑
摘要: 1.环境: php5.5.38+apache+seacms v6.54 上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加: 并且在v6.54中增加了对传入变量的长度限制,限制为20个字符之内,因此单一针对一个变量的绕过方法不满足长度要求,所以在阅读全文
posted @ 2019-06-30 22:31 tr1ple 阅读(21) 评论(0) 编辑
摘要: 1.环境: php5.5.38+apache+seacms v6.45 seacms目录结构: 2.利用代码 poc1 poc2: 3.执行效果 4.漏洞分析 漏洞产生链如上图所示,在search.php的212行下断点,因为在此处产生了parseIf()函数的调用,并且最终的命令执行是发生在此函数阅读全文
posted @ 2019-06-28 17:49 tr1ple 阅读(122) 评论(0) 编辑
摘要: PHPGGC学习 理论部分对PHPGGC工具的使用方法有了一个基本的了解,接下来需要利用实践环境进行一个实践操作,巩固一下刚才所学习的内容: 环境: 其中pop链在gadgets.php文件中,pop链的逻辑和描述在chain.php文件中,以Guzzle/RCE1为例子进行分析: chain.ph阅读全文
posted @ 2019-06-24 09:21 tr1ple 阅读(65) 评论(0) 编辑
摘要: 首先git clone一下项目: 运行phpggc 的条件是php cli的版本>=5.6 1:使用方法: 通过./phpggc -l 可以列出所有可用的pop链,其中每条链条都包括可利用组件的名称、版本范围、可利用其进行的操作、触发的反序列化函数(即攻击向量) 通过./phpggc 组件名 -i 阅读全文
posted @ 2019-06-24 09:20 tr1ple 阅读(27) 评论(0) 编辑
摘要: 修复方法: 反弹shell定时任务: 针对centos和ubuntu写定时任务的方法可能不同,具体见文章: https://joychou.org/web/hackredis-enhanced-edition-script.html 通过SSRF还可以攻击redis和mysql 一般来说通过ssrf阅读全文
posted @ 2019-06-22 08:24 tr1ple 阅读(41) 评论(0) 编辑
摘要: 题目docker环境: https://github.com/sco4x0/huwangbei2018_easy_laravel git clone下来直接composer up -d 运行即可,可以把端口映射改为8080:80 使用 docker exec -it 容器name bash就可以交互阅读全文
posted @ 2019-06-18 19:20 tr1ple 阅读(47) 评论(0) 编辑
摘要: 注:本地测试php文件包含+phpinfo泄露导致getshell,此漏洞与php版本无关 使用vulhub环境进行复现: 项目地址:https://github.com/vulhub/vulhub/tree/master/php/inclusion docker-compose up -d 开启环阅读全文
posted @ 2019-06-09 12:24 tr1ple 阅读(96) 评论(0) 编辑
摘要: 拖了好长时间,总结一下这一段时间做的几道值得记录一下的题目,有的没做出来,但是学习到了新的东西 1.homebrew event loop ddctf的一道题目,学到了python eval函数的用法,首先分析题目: 这道题目首先通读源码是必须的,另一个必须要了解到的出题点在eval()函数这个地方阅读全文
posted @ 2019-04-28 23:20 tr1ple 阅读(155) 评论(0) 编辑
摘要: 1.切入漏洞点 某应用使用了版本为6.0.2的guzzlehttp/guzzle代码库,并且在其代码段中存在反序列化函数unserialize(),并且其入口参数为我们可以控制的参数,那么接下来我们就需要在其内部寻找我们可以利用的类并且寻找可以利用的反序列时将会触发的__destruct()函数和_阅读全文
posted @ 2019-03-29 10:09 tr1ple 阅读(49) 评论(0) 编辑