摘要:
之前只是学会如何去利用,但是没有掌握这个漏洞的原理,因此这里复现一下这个漏洞,并且总结出一些利用方法 Thinkphp有两大版本的区别 5.0.x 5.1.x 这些都是因为PHP未开启强制路由造成的,还有一种是利用变量覆盖达到命令执行的目的 下面会分逐一析一下 未开启强制路由命令执行 常见Payla 阅读全文
摘要:
接着看一下 cc6 的这条链 基础学习 先看一下P神给的简单链 可以看到还是 cc1 的套路,后半段调用的是 LazyMap.get() 方法,只有前半部分是新的链 这里面找到了 org.apache.commons.collections.keyvalue.TiedMapEntry 类 查看其 g 阅读全文
摘要:
cc就是commons-collection(CC1只能在 jdk 8u71 之前的版本使用) 好好的学习一下吧 P神写的POC  cc1有两种链,这里面一一分析一下 过程涉及的关键接口与类 ysoserial给的链 下部分其实跟p神的poc是一样的,只是入口点不同 Transformer Tra 阅读全文
摘要:
作为 ysoserial 中最简单链,这里简单记录学习一下 首先使用ysoserial生成urldns的探测类型 首先先去 dnslog.cn 获取一个url  java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://pk3q64.dns 阅读全文
摘要:
Json Web Token简称jwt,用于身份认证等相关场景 JWT的结构 JWT由三部分组成, Header Payload Signature 其中 Header 一般是用于指定算法用于签名, Payload 则是我们声明的一些信息, Signature 则是根据 Header 以及 Payl 阅读全文
摘要:
一般添加用户账号会被AV检测到,但是我们可以使用 Windows 的 API进行绕过 使用到的API函数 //添加一个用户账号NET_API_STATUS NET_API_FUNCTION NetUserAdd( LPCWSTR servername, DWORD level, LPBYTE buf, LPDWORD parm_err);//将用户添加到指定的组,这里我们肯定是添加... 阅读全文
摘要:
Token简介 Windows下有两种类型的Token Delegation token(授权令牌):用于交互会话登录(例如本地用户直接登录、远程桌面登录)Impersonation token(模拟令牌):用于非交互登录(利用net use访问共享文件夹 两种token只在系统重启后清除,具有Delegation token的用户在注销后,该Token将变成Impersonation toke... 阅读全文
摘要:
这里面原本是想学习一点免杀的,但是免杀涉及 Windows 的编程技巧太多了(但是又不想去拿别人的东西用,一是开源的东西很快就会被杀,二是不甘心自己就这样),于是决定在这里面补充一下知识点,希望自己能写出自己的免杀的程序和对后面学习 Windows 相关编程有用 SOCKET连接 主要API函数 初始化 WSADATA结构int WSAStartup(WORD wVersionRequested... 阅读全文
摘要:
这里分析一下 Thinkphp3.2.3里面的一些漏洞问题 Where注入 在控制器中写个利用demo, 字符串 方式作为where传参时存在注入 public function getuser(){ $user = M('users')->where('id='.I('id'))->find(); dump($user); } 下断点分析  中间... 阅读全文
摘要:
后台SQL注入 漏洞位于 /admin/configure.php 的46 行,可以看到这里未对 ip 进行过滤  跟进 delCommentByIp  直接接入了 sql语句中 利用方法  根据 ip进行删除评论,抓包后修改 ip  不能直接构造 POC  有个认证信息 后台还有一个注入是在 /admin/configure.php  未对 tag 进行过滤,取 $tags 数组... 阅读全文