Jolokia读写文件新姿势
之前看到一个Jolokia新的利用姿势: SSRF to RCE with Jolokia and MBeans 这篇文章介绍了在SSRF只能GET请求的场景下,Jolokia一些读写文件,加载.so文件的利用方法 我参考这篇文章,结合了之前APISandbox的一些打法出在了 NCTF 2021 上面 Java管理扩展(JavaManagemen…
攻击Shiro思路和构造poc
攻击shiro思路 伪造加密过程 shiro在容器初始化的时候会实例化CookieRememberMeManager对象,并且设置加密解密方式 实例化时调用父类构造方法,设置加密方式为AES,并且设置key 看下调用 栈 <init>:109, AbstractRememberMeManager (org.apache.…
Shiro反序列化漏洞成因分析
概述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 它的原理比较简单:为了让浏览器或服务器重启后用户不丢失登录状态,Shiro支持将持久化信息序列化并加密后保存在Cookie的re…
ApacheCommonsCollections利用链乱记
这是一篇流水账,主要是记录下调试过程 cc链的gadget: URLDNS利用链 URLDNS利用链特点: 使用Java内置的类构造,对第三方库没有依赖 在目标没有回显的时候,能够通过DNS请求得知是否存在反序列化漏洞 比CommonCollection简单更容易上手 我们可以构造一个反序列化点: import java.io.FileInputS…
thinkphp5代码审计
本篇博文会复现大多数tp5的漏洞,持续更新 审计环境搭建 安装thinkphp 推荐使用composer,版本切换很方便 composer create-project --prefer-dist topthink/think=5.0.10 tp5.0.10 将 composer.json 文件的 require 字段设置成如下: "require…
红明谷杯 Writeup by X1cT34m
Misc 签到 BP抓包爆破 Crypto RSA attack 开三次方根就有了 from gmpy2 import iroot from Crypto.Util.number import * p1=1720712010939452941542922406318097335451545596333867582340638240534388359…
虎符CTF Writeup by X1cT34m
MISC 你会日志分析吗 时间注入,手撸日志得到ascii码,转换到ZmxhZ3tZb3VfYXJlX3NvX2dyZWF0fQ==,base64解密 Web 签到 签到访问任意PHP文件,User-Agentt: zerodiumphpinfo(); User-Agentt: zerodiumsystem('cat /flag'); unsetm…
HGAME 2021 Writeup
Level - Week3 Forgetful 考点:简单python-SSTI 题目是一个记事本,添加描述的时候存在SSTI,在查看页面可以看到SSTI已经成功了: 最为常规的payload: {{[].__class__.__mro__[1].__subclasses__()}} {{[].__class__.__mro…