WebsiteGuide漏洞分析
从权限提升到任意文件写再到rce
2023香山杯-sharedBox
从香山杯sharedBox到kkfileview2.2.1漏洞分析
DolphinPHP RCE漏洞分析
DolphinPHP RCE漏洞分析 参考:https://xz.aliyun.com/t/11118
漏洞点定位 跟修复的 Commit diff一下
可以看到对call_user_func函数的调用增加了is_disable_func()的判断,所以漏洞点就是application\common.php的call_user_func函数
漏洞分析判断参数是否可控 从call_user_func函数开始回溯,param[1]是回调函数名称,log[$param[0]]是传递给回调函数的参数。
**==$param[1]==**:这个参数的值来自于解析日志规则时的 $match[1] 数组元素,而 $match[1] 是由正则表达式 /(\[\S+?\])/ 匹配
$action_info['log']得出的。这个正则表达式的含义是匹配方括号内的非空白字符,但不包括空格、制表符、换行符等。而$action_info['log']是一个数据库查询操作的返回值。
**= ...
Cacti命令执行漏洞分析(CVE-2022-46169)
Cacti命令执行漏洞分析(CVE-2022-46169)Assign: Penguin, 5x
源码分析12https://github.com/Cacti/cactihttps://github.com/Cacti/cacti/releases/tag/release%2F1.2.22
影响版本
Cacti == 1.2.22
漏洞修复
Commit b43f13a
漏洞点定位lib/functions.php
remote_agent.php
分析本文的分析将从命令执行的点为起点,进行逆向的分析。
命令执行的点remote_agent.php的poll_for_data()函数
函数开始,首先获取了一些请求变量:$local_data_ids、$host_id和$poller_id ,其中$poller_id使用的是get_nfilter_request_var() 函数获取参数,即未对输入进行校验。
如果$local_data_ids 数组不为空,则进入foreach循环遍历$local_data_ids数组。在循环内部,首先调用了inp ...
2023SCTF-pypyp?
复现2023SCTF的pypyp?
记一次edu站点的文件上传漏洞挖掘
记一次edu站点的文件上传漏洞挖掘前言此漏洞已报送edusrc,且已经通过审核并修复
可注册站点的发现通常使用搜索引擎语法找出目标站点的注册点domain:xx && (body:”注册” || body:”register”)
漏洞挖掘通过语法找到这个站点,是研究生课程申请系统,根据经验这种站点一般都有很多上传的功能点,如头像、简历等
现在此站点注册一个账号,测试账号:xxxx 密码:123abcABC
进入站点后,可以看到有很多研究生课程可以申请
选择申请某一个研究生
发现有文件上传的功能点,可以上传图片,直接测试一下有没有过滤
上传一个文件抓包修改,经过测试,发现没有检测文件类型和文件内容,但是返回包没有返回上传路径
修改后缀和内容,因为是后端是java,使用哥斯拉生成的木马
发现上传成功,接下来就是要寻找上传的文件路径
经过寻找后,发现刷新网页,发现了请求图片的地址,图片地址应该时按照返回包中的id进行命名的
尝试访问上传的木马的id,发现页面存在,于是使用哥斯拉进行连接
url是:https://xxx ...
2023ciscn-reading
reading描述 可以阅读.txt书籍
题目源码 通过任意文件读取 读源码
首先尝试 ../ 目录穿越,发现 .. 被替换成 . ,改为 …/ 进行目录穿越
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899# -*- coding:utf8 -*-import osimport mathimport timeimport hashlibfrom flask import Flask, request, session, render_template, send_filefrom datetime import datetimeapp = Flask(__name__)app.secret_key = hashlib.md5(os. ...
ATT&CK实战系列——红队实战(一)
ATT&CK实战系列——红队实战(一)纯小白向文章,大佬勿喷,有错误的地方希望大佬们指正
介绍http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019:
环境搭建拓朴图如下:
(win7为VM1,win2003为VM2,win2008为VM3)
网络配置因为我的kali是用wsl2搭建的,而靶机是在vmware下搭建的,所以要重新配置一下vmware的虚拟网卡首先,要获取WSL2下kali的虚拟网络的IP地址和子网掩码
通过命令: ifconfig
可以看到kali的ip为172.22.251.229
为了使vmware中运行的虚拟机可以和kali互通,需要在VMware虚拟网络编辑器中设置一个自定 ...
TCP-urgent-pointer
TCP-urgent-pointer 知识点:流量分析、urgent-pointer、脚本编写
首先分析流量,发现upload了一张图片,猜测有关键信息
发现上传了一张图片,将它导出
得到图片,提示urg
参考https://writeup.ctfhub.com/Challenge/2019/%E5%B7%A5%E4%B8%9A%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E6%8A%80%E8%83%BD%E5%A4%A7%E8%B5%9B/%E6%88%90%E9%83%BD%E7%AB%99/v1v1LKxrfTfJNn1CaRtkhE.html
根据提示观察流量包的urgent-pointer
用tshark命令将urgent-pointer的非0值全部导出,并将换行符替换为空格
基本上每组都是五位数,猜测是十进制数转十六进制,十六进制再转ascii字符
得到lf,反过来就说flag的前两个字符,根据这个规则编写脚本
12345 ...