ke1nys`Blog

1a90164da2a38547586d85c848ea23234cf9ef63a8ceedbc151c794cde2931a40020b66524494be431b39f09e43fc0e4c2a536b3a7eb75d747ffa65a39de73f1db5312c92f906f50dfe6a1ae0665b81e7d1ecc97db308791f1a7dfd70021216809c04894735e6c409cdf01a7717dc8636a61a9159867356a2a2754bee9a93d78cc75b3222e698622847bd799d6ac22e1b2cf7a143ea4d3369f702ab1467ecd980b4973a00a009f52230a1bd945a674c09aa42a3c3630ebc24b95fc4074124bdb27e9a1c605d387dce6393c86c8195e956a6fa401e77acc2ae47f0fa34ee19f32be36d10bae4b5746c81371b4aa68079b96192213705ce19af ...

都是参考别人的wp做的复现 Unzip(软链接)upload.php 12345678910<?phperror_reporting(0);highlight_file(__FILE__);$finfo = finfo_open(FILEINFO_MIME_TYPE);if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){ exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]);};//only this! 这里考察的是软链接 软链接连接目录 跟着这里做来上传压缩文件就行了 BackendService 题目给了一个界面，但是如何我们就去网上搜索看是否存在漏洞这个 然后找到了一个漏洞 nacos未授权-CVE-2021-29441复现 就是可以给后台加一个 ...

1a90164da2a38547586d85c848ea23234cf9ef63a8ceedbc151c794cde2931a43e7bef0e4fc55e5db5d9717b89185487fe137c35f15cdf62a60b0aa2eb356ea29c05870c434a49a2043023b3921ba62d995162227ff3eda9f49853a9f219a1e8e8b792cd0f8f4a8d9b538b19051d22d96d9928e0c484af3caf7a84002b796d1c91ad6c69a2553521acdaebdcdca0a1835b4ca302d564c0f7442300fc0e75eeae0e6f7e7cb0032ea406967f99b287da888e10db17783f229f2e546367caee91442d2af53033c9142302a78e1a133e0e1fd28694ed0a6e450527e82b0f0ebf18bd2ae1711ff80d4ad75bbe3444e288375e3bf94dfa2a1d651e2 ...

1a90164da2a38547586d85c848ea232378fbb36c43188fe1add4c7fe45a4dd0fda1e8dfaf979b586273a9b291ce0a501874253c84ee1a064706e9351f188336ffc58cf8cf8b0ff88285feccaa1f6d26cd9f207320258eed1f24660fac20014db2b1190df14d0737745b1e77190ca5e2641b93b7c994640828c4a22f540bbb2f10d9d54aebff7101738fab778b820cb85ad41f0ceba62acbea049598f40f09fdb88a3930f6632d51f83d1fcfbd327164d8e4e1b92b64c5d9accdcd3f78340291417e5f792a9ccd87acaaad8c983b41bad7a447a06e3046d58663e78d349087e06d1b7998471e00b4e890921830f54feb5d7c11c18d78e5564b ...

1a90164da2a38547586d85c848ea23234cf9ef63a8ceedbc151c794cde2931a4581f696a791346efc01d07a06616ba7cd945722a41dee658ae0e09f09377c1309d187e8684d484d175172664d5dfc66af72630c371bea28367e8a61955c8d3724b23c210f2e6c18763033e29c595547c3103721ce90d02a3b46d4f9cd8ef8f980659647e66b73577fd259e456bb9a7bd0149f98e2ccff2f8ee9ea7b21eab081eecf6ef0c1f05c6bb6918919e6b1b60564f0884f12d33fbace1a95704de61e576ce89e9639ac0794c77a5358078c4bc2a63a1bf6ecd30ae3dc74e29340f71cd336ac59d70c596d19c89d3c46b227b57d96512244f433c7771b ...

参考wp CookieBack题目 这题太傻逼了，我以为得需要用这个搜索框来查出一些东西来解题，一直卡在这个思路上面 其实这里说的偷cookie，其实就是把自己的cookie传进去就行了……. 特别的离谱………. easy_node这是个nday的题目 访问/src就能拿到源码 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788const express = require('express');const app = express();var bodyParser = require('body-parser')app.use(bodyParser.json())const {VM} = require("vm2"); ...

这里的话是记录一下关于java反序列化的刷题 (因为刚把一些链子给跟完) 东华杯ezgadget原题的jar包 可以把代码拷出来自己跑下链接：https://pan.baidu.com/s/1t5-fV7SUETDEI5-qbZZQrw提取码：8do5 java -jar ezgadget.jar在kali或者自己的服务器上运行跑一下，搭建一个环境 拿到jar包后先放到jd-gui里面进行反编译一下 然后在导到idea进行测试(这里的话是得根据题目自己创建package来导入) 导入到idea里后，进行代码审计 先是查看pom.xml看有无一些常见链子的依赖 这里的话是没有 Tools.java 这里提供了他一些函数是进行base64编码和解码的，还有序列化和反序列化的 IndexController.java TostringBean.java 这里话是提供了一个动态类加载的defineClass方法 并且还会实例化 这里话就说明了这道题是不出网的，得在自己本地执行编译过的恶意代码 那么我们就得找一下谁调用了这个TostringBean.toString()方法 这 ...

写这篇文章主要是为了记录一下学习，这个靶机里有好几个知识点是之前没学过的，然后就学习记录一下 老样子还是先扫一下端口 扫出了这些端口 123456228013944580098080 接下来访问80端口 没收集到啥有用的信息，扫个目录看看 发现一个development目录 于是进行访问 发现两个文件 dev.txt j.txt 所以我们在 dev 中打开这两个文本文件，我们可以看到消息是关于一些 apache struts 和 2.5.12 版本的，而 j.txt 文件是关于机器内部哈希密码的目录。所以现在让我们考虑一下 Apache struts 2.5.12 版本，我们用 google 搜索了 Apache struts 2.15.12 以找到一些漏洞，我们得到了一个可以利用的 Metasploit 模块，但在尝试之后并没有给我一个连接。 我们无法从 Metasploit 模块获得反向 shell 现在让我们回到 Nmap 脚本，结果显示我们打开了 SMB 端口，我们也有 SMB 版本如果 SMB 版本存在漏洞，让我们谷歌一下 经过一些研究，我们得到了 Enum4l ...

1a90164da2a38547586d85c848ea23234cf9ef63a8ceedbc151c794cde2931a411a4dce0576ca6954eba4da492de19556ccfbf8c6a490a36646c6b679f0a571674c1ae66cf5f4f4f76cc2548b90048457eb120e87505a7de97e5aa22101535ae33e87841b264c96c733f07e217dcbdf83a4019d501fc95cfa26f660dbce2f3ea3417c0fa812ead3aabad118fd46e05cf233be8b75092f68567d6147f3fe15f987ad5a92713f7ffeb85d555c670394aa405ecce6e20221eb344aa97818491f193a11e8b3115d6ea673bdc46a635dbd17e24944f748cbd4e0ec33e6e9194a721c04739fd08b059de28ee3a2d69d5cb1f8f4c1d29184d75f70a4 ...

这里的话是导入cc4的maven依赖 CC4这里cc4和前面的不同是在调用transform方法的不同 然后就是接着找谁能调用这个compare方法了 根据发现这条链子的作者写的文章来看 入口点是PriorityQueue这个类 然后就到heapify() 然后接着是siftDown函数 然后接着是siftDownUsingComparator函数 这里的话就和上面的方法对应上了 这里的话都是在PriorityQueue这个类里边进行调用那么因为comparator参数可控，所以就可以直接调用TransformingComparator.compare()方法了，然后就可以调用这个方法里边的transform方法了 最终目的都是为了调用到ChainedTransformer.transform方法 这里的话就会有疑问，就是为什么这里的链子在cc3里不能用，PriorityQueue是jdk里的类，那么出问题的肯定不是他，而是TransformingComparator这个类的问题 就是因为cc3里的这个类没有继承serialize所以就不能进行序列化操作，所以问题就出现 ...