Hu3sky's blog

Hu3sky's blog

Hack the World

Joomla 3.4.6 远程代码执行
前言看了网上的一些分析之后,觉得分析的都不是很全,要不然只是分析了流程,要不然POP链只是简单的提了一下,也不说为什么要这么构造。。上来就扔别人的poc,个人感觉这样不是很好,既然是自己分析,就还是要把POP链的每一步都了解清楚,我踩坑的时候,去请教了一位写了分析的师傅,也没回复我,不知道是我太菜了还是怎么样orz。。。于是有了这篇分析,师傅们看了如有什么问题,还请多包涵 环境搭建安装包https://downloads.joomla.org/it/cms/joomla3/3-4-6 Session机制login过程第一个请求会调用write函数写入(后面有介绍),303重定向后会调用r...
WebLogic-XMLDecoder反序列化分析
关于Oracle WebLogic Server(以下简称WebLogic)是一个可扩展的企业级Java平台(Java EE)应用服务器。其完整实现了Java EE 5.0规范,并且支持部署多种类型的分布式应用程序。 版本一般使用的是10.3.6这两个大版本也叫WebLogic Server 11g和WebLogic Server 12c。 CVE-2017-10271漏洞描述漏洞引发的原因是Weblogic“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行 XMLDecoder 类用于读取使用 XM...
Fastjson反序列化漏洞以及多版本补丁分析
关于https://github.com/alibaba/fastjson/wiki/security_update_20170315 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29/1.2.30/1.2.31或者更新版本。 环境Fastjson:1.2.23(http://repo1.maven.org/maven2/com/...
JAVA XXE
前言没接触过java xxe,于是学习一下java xxe 关于XXE这个和php里的xxe几乎没什么差别,都是外部实体的引用,payload也一样 12345<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE lltest[<!ENTITY xxe SYSTEM "file:///etc/passwd">]> <user><username>&xxe;</username><password>123456</password></us...
Thinkphp多个版本注入分析
Thinkphp3.2.3bind绕过利用save注入payload1http://127.0.0.1/thinkphp3/index.php?m=Home&c=index&a=index&age[0]=bind&age[1]=0%20and%20(extractvalue(1,concat(0x7e,(select%20user()),0x7e))) 修改代码1234567891011<?phpnamespace Home\Controller;use Think\Controller;class IndexController extends ...
Thinkphp3个版本数据库操作以及底层代码分析
前言(文章首发于先知社区)发现自己对tp的底层不太熟悉,看了@phpoop师傅文章有所启发,于是有此文,记录自己的分析过程希望大师傅们嘴下留情,有分析不对的地方还请师傅们指出o r Thinkphp3.2.3首先开启调试在/Application/Home/Conf/config.php加上1'SHOW_PAGE_TRACE' => true, 并且添加数据库配置12345678910//数据库配置信息'DB_TYPE' => 'mysql', // 数据库类型'DB_HOST' => 'localhost', // 服务器地址'DB_NAME' =>...
java反序列化由浅入深及JNDI注入理解(二)-JAVA Apache-Commons-Collections
漏洞背景Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启动或者已经停止维护的项目)。 Commons Collections包为Java标准的Collections API提供了相当好的补充。在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。让我们在开发应用程序的过程中,既保证了性能,同时也能大大简化代码。 作为Apache开源...
Ciscn华北赛区Dropbox题解
前言最近一直在做CTF的培训,所以需要刷不少题,这里记录一下这道题目 题解注册后,上传文件 发现可以下载 抓包后修改filename可以进行任意文件读取 index.php12345678910111213141516171819202122232425262728293031323334353637383940414243444546<?phpsession_start();if (!isset($_SESSION['login'])) { header("Location: login.php"); die();}?><!DOCTY...
java反序列化由浅入深及JNDI注入理解(一)-Spring反序列化
前言刚步入大三,该接触接触JavaWeb安全了,之前试着调试过St2的漏洞,现在来入门一下java反序列化,如有什么错误的地方,还请各位师傅指出和包含 序列化在Java中,只要一个类实现了java.io.Serializable接口,那么它就可以被序列化 SerializeTest.java12345678910package serialize;import java.io.FileInputStream;public class DeSerializeDemo { public static void main(String[] args) throws Except...
2019护网杯esaypy
前言本次护网杯 4道web, 两道python,其中一道0解ssrf python,一道ssti,一道java web好像也是0解,然后一道web+逆os。。。运气比较好,通过第一题的0解 python ssrf扫出了还没开放的ssti。。以为是ssrf的第二步。。然后ssti题目一上,就把flag交了,拿了一血 easypy过滤及其残忍 绕过方法是动态传参 能够获取到str类 12345http://49.232.103.198:57666/render?data={{%22%22|attr(request.args.param)|attr(request.arg...
Hu3sky
Keep going,Get Stronger