kuron3k0's Blog

梦想还是要有的

Thinkphp 6 任意文件写入漏洞

环境搭建 直接用composer安装 D:\tools\xampp\htdocs\thinkphp>php composer config -g repo.packagist composer https://mirrors.aliyun.com/composer/ D:\tools\xampp\htdocs\thinkphp>php composer create-proje...

Posted by kuron3k0 on December 5, 2020

Weblogic CVE-2020-14882调试 && 命令回显分析

简介 这是weblogic的一个未授权前台RCE,通过GET请求即可触发,简单粗暴。 复现一下 直接下载了14.1.1.0.0版本的weblogic,payload先搞上 利用成功,太猛了 触发点是com.bea.console.handles.HandleFactory的getHandle,可以调用一个参数是String的构造函数,payload中用的是com.tangosol....

Posted by kuron3k0 on November 12, 2020

Hessian反序列化——Spring AOP链 && JNDI绕过的调试分析

看完Orange大佬的文章,发现知识盲区,赶紧学习一下 Hessian 一个基于http的RPC框架,轻量级的RMI,这里是Hessian的一些简单的配置和使用 环境搭建 先简单搭个环境 这里需要引入Hessian的包 <dependency> <groupId>com.caucho</groupId> <artifact...

Posted by kuron3k0 on September 29, 2020

从escapeshellcmd讲参数注入

最近项目中遇到很多命令注入,但是或多或少多会有对输入进行过滤,导致利用异常困难,其中有的通过参数注入进行了绕过,现在就根据自己知道的和网上的一些利用方法做一下小结,今后遇到其他可以利用的命令再继续补充。 escapeshellcmd函数做了什么 Function Description escapesh...

Posted by kuron3k0 on August 12, 2020

内网Mysql代理浅析

最近看到TX的一篇红蓝对抗的文章,其中提到了Mssql代理,遂联想到Mysql应该也是一样的原理。于是网上一顿乱搜,不过只找到一篇老外的博客,下面就来大概讲讲具体的利用。 0x00 使用场景 在渗透测试中,由于防火墙的原因,目标主机可能只开放了某一个业务端口,其余反连和直连的端口被全部禁用了,借用mssqlproxy的一个图,很好的呈现了这种场景。 这个时候我们虽然可以利用UDF执行...

Posted by kuron3k0 on July 7, 2020

Padding Oracle Attack 备忘录

最近Shiro出了Padding Oracle的漏洞,听说了这么久,终于在现实世界看到这种攻击,本想好好分析下,但是还是太懒了,然后就不了了之了哈哈哈。等到今天虎哥跟我们分享了Padding Oracle之后,我就刚好趁还记得收藏一下做个备忘,每次看完都要忘一遍。。 0x00 漏洞利用条件 先把漏洞利用条件说清楚一下,首先是会有这么一个类似的场景,服务端加密了一些凭据信息,把它作为我们的...

Posted by kuron3k0 on December 21, 2019

对PHP-FPM RCE漏洞(CVE-2019-11043)的调试和分析

本来只是想验证一下漏洞,但是Emil Lerner大佬的EXP一直用不了,LoRexxar大佬的分析省略了一些关键信息也看不懂(好吧主要还是太菜了),只能自己动手调一遍了,还好90sec的maple大佬分析的很详细,不然感觉调不出来。。 0x00 漏洞成因 万恶之源,就是Nginx处理url的正则有个bug,在解析的时候把path_info置空了 0x01 漏洞利用 首先是Ngin...

Posted by kuron3k0 on October 29, 2019

CVE-2019-3799 —— Spring-Cloud-Config-Server Directory Traversal

0x00 Spring Cloud Config 简介 Spring Cloud Config为分布式系统中的外部配置提供服务器和客户端支持。使用Config Server,您可以在所有环境中管理应用程序的外部属性。客户端和服务器上的概念映射与Spring Environment和PropertySource抽象相同,因此它们与Spring应用程序非常契合,但可以与任何以任何语言运行的应用...

Posted by kuron3k0 on April 26, 2019

DDCTF —— 数据库的秘密

打开题目,提示特定ip才能连接 加上X-Forwarded-For 得到如下页面,很明显是查询中的注入问题 但是发现url参数中带有sig,在burpsuite中随意修改post参数会返回sig error F12查看search按钮触发的js是submitt函数 具体相关代码如下: function submitt(){ obj['id']=docume...

Posted by kuron3k0 on April 24, 2018

PHP 各种黑魔法

总结了一下关于在CTF中PHP的一些小技巧,今后会不断更新。 虽然现在的题目很少会用到了,但知道多点总是没坏处的。 弱类型 <?php //输出 boolean true $a = 0; $b = '0asdf'; var_dump($a == $b); //输出 boolean true $a = 0; $b = NULL; var_dump($a == $b)...

Posted by kuron3k0 on April 14, 2018

FEATURED TAGS
PHP CTF WEB SQL-Injection Spring Directory Traversal PHP-FPM RCE Crypto RedTeam Command Injection Hessian 漏洞分析 JNDI Weblogic OAuth Web Java 反序列化
ABOUT ME

一点一点的进步