c0ll4r

总共需要拿到6个flag shiro反序列化打开一看这个remember me就像是shiro 利用工具下载地址： https://github.com/SummerSec/ShiroAttack2/releases 用工具检测了一下发现是shiro框架 爆破找到了秘钥 然后爆破一下利用链和回显地址 成功rce flag在env里 直接打个内存马 查看发现是单网卡机器 传个fscan上去扫一下 fscan下载地址 https://github.com/shadow1ng/fscan/releases 给fscan权限 chmod 777 fscan_amd64 扫一下c段 ./fscan_amd64 -h 172.16.238.10/24 这里先用nps搭个代理 代理工具下载地址 https://github.com/ehang-io/nps/releases 下这两个文件 一个是客户端的 一个是服务端的 使用教程 https://github.com/ehang-io/nps/blob/master/README_zh.md 其中conf文件夹下的nps.con ...

这里主要想写一下fastjson这类万金油漏洞的具体打法 主要也是学习一些java的知识。对这个漏洞的停留我也只是停留在扫描器扫描 然后网上随便复制个poc直接打 迄今为止我也没复现成功过这玩意 所以想着先复现一次rce 然后跟两篇高质量文章 但估计也跟不完 明天还是得给客户完善一下答辩的事情 唉 好难 vulhub-1.2.24用插件直接扫能发现洞 会自动检测所有数据包 然后进行探测 https://github.com/pmiaowu/BurpFastJsonScan/releases 漏洞分析文章 https://forum.butian.net/share/3055 https://forum.butian.net/share/3096 fastjson的序列化与反序列化package org.example;import com.alibaba.fastjson.JSON;public class Main { public static void main(String[] args) { // 将一个 Java 对象序列化为 ...

background真就没啥事做 我也一直在想自己比三年前的自己强了些什么？但总是感觉强了 然后就想这个靶机来试试看 检验一下自己的综合能力 MATRIX-BREAKOUT-信息搜集先直接访问ip就是拒绝连接，fscan和nmap来个全套扫描 啥收获都没有 实际上是没获取到ip地址 然后装个virtualbox 然后这玩意要下载三个东西才能用 我记得之前一直都是一个软件直装的啊 参考https://zhuanlan.zhihu.com/p/111567471 http://download.virtualbox.org/virtualbox/7.0.18/ 我装在自定义的位置(貌似只能根目录)还要授权 参考https://blog.csdn.net/nancyjiang/article/details/139098236 icacls C:\VirtualBox /reset /t /cicacls C:\VirtualBox /inheritance:d /t /cicacls C:\VirtualBox /grant *S-1-5-32-545:(OI)(CI)(RX)icacl ...

background本机双网卡 目标机器不出网 与本机物理连接 想要别人也能访问到目标机器 于是使用本机做桥梁 踩了一些坑 大概是跟版本有些问题 我这里用的是0.44.0 服务端修改frps.ini [common]bind_port = 7000dashboard_port = 7500nohup ./frps & 客户端[common]server_addr = 服务器ipserver_port = 7000[halo]type = tcplocal_ip = 192.168.3.111local_port = 80remote_port = 8090 cmd运行即可 访问服务器8090端口即可

background华中选拔赛落幕了 这次比赛没有取得想要的成绩 我也发现了自己的一些问题 有时候真的就是一个很简单的问题 半天看不懂 然后挺容易手忙脚乱的 emmmm 有的题真的感觉不难 但是自己真的没接触过java awdp的时候全程在死磕php 也是逆天了 全程0解 我们一共就出了个nosql注入的flag 也不会修 真是废了 而且10轮的时候才交上去 有个pwn真的是被干烂了 反正我们是被打爆了 awd-php漏洞点一打开就是一个登录框 常规操作 备份数据库 源码 打包d盾扫一下 一眼的马子 直接删掉或者写成其他的东西 研究一下怎么用 这里是goto加密了 我看到的时候第一时间就慌了 真就是很简单的一个东西我都没看出来 赛后别人写框出来贴我脸上了我才看懂 我们没靠这个后面吃到啥分 我们抓到流量的时候感觉已经晚了 大家都修的差不多了 直接就输出出来就完事了啊 我还去解密解啥啊 真的是蠢 直接system里面接post参数game就完事了 接下来脚本批量打就行了 没啥说的 i春秋的平台挺好的 支持一大段flag提交 绿盟的还得写个提交的脚本 漏洞点一-fi ...

background看见公众号发了个day 搜了一下发现全网首发这个rce啊 其他地方发的都是任意文件读取 文件读取嘛 这个洞没啥太大的卵用 其实 但我看到是php的系统 任意文件读取有时候还是能出货的 读点源码审一下还是可以的 这个rce的poc要钱 其他有的公众号文件读取的还是不要钱的 fuzz 这里主要记录自己测试的过程 准备读点代码来看的 但是运气很好 一来就若进去了一个系统 admin 123456 yyds 后台找找能rce的地方 最爱的ping 这输入不了 是因为我之前fuzz的时候整废了 这个口子命令有问题就废了 只是前端废了 输入不了了 正常发两个包 看看数据包 正常fuzz addr_value=219&pingname=127.0.0.1|whoami&pingtime=2&packetsize=1addr_value=219&pingname=127.0.0.1;whoami&pingtime=2&packetsize=1 没反应 回显是白的 前端还卡死了 盲打ping dns addr_val ...

backgroundApache ActiveMQ是Apache软件基金会所研发的开放源代码消息中间件；由于ActiveMQ是一个纯Java程序，因此只需要操作系统支持Java虚拟机，ActiveMQ便可执行 CVE-2015-5254漏洞编号：CVE-2015-5254影响版本：Apache ActiveMQ 5.13.0之前5.x版本，https://www.cvedetails.com/cve/CVE-2015-5254/ 漏洞产生原因：该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java Message Service(JMS)ObjectMessage对象利用该漏洞执行任意代码。 61616是工作端口，消息在这个端口进行传递; 8161是网络管理页面端口 默认账号密码 admin admin https://github.com/matthiaskaiser/jmet/releases/download/0.1.0/jmet-0.1.0-all.jar 在工具的目录下创建一个 external的文件夹 java -jar jmet-0. ...

0x01博客许久未更新 很久很久了 之前挖了个啥用没有的day就想着先不同步到公网上去 其实这个hexo真的很方便了 公网和本机真的差别不大 要启动就是一条命令的事情 但是吧 博客域名买了五年 也不能空着 我对博客这个事情还是有点“情怀”的 所以不管了 直接同步上去吧 这个洞也不是啥大宝贝 没啥实质性太大的用处 博客还是要勤快的更新 脑子里要不断的学习新的知识 0x02这段时间呢 也算是瞎忙 但是自己有没有真正的提升我还是知道的 好像这几年来我都没有什么提升啊 但好像又增长了很多经验 刚完事了一场省会城市的攻防演练 确实相比较于其他地级市卷了不少 成绩还算满意 也算是我们一个团队的成果 我还是第一次打25k分(这个分数好像对沿海城市的一些攻防演练来说算不上什么 但是在我们这里已经不算很低了) 某头部厂商打了41K拿了第一。我们毕竟是学校队伍 很多资源之类的是与厂商不能比的。这次呢我也算发挥可以 最后两天拿了个靶标的shell 拿了将近一个区的人口数据 然后又是个重大成果 这个点大概上了10k+的分数吧 开打前几天我一直没啥产出 在那里写报告 然后就陷入了自我怀疑 自我否定的轮回里 ...

background之前认识一个网友，说电脑网络有问题让我给他解决，有意思的是他是开的todesk让我给他解决的。没错，我todesk他电脑给他解决网络故障问题。这个例子我本来不想记录的，但是今天回家又遇到了一样的问题产生的原因，于是就想着记录一下。 网友的故障问题直接上记录吧 这里我上他电脑捣鼓了一会，确实不是浏览器的问题(像ie浏览器有的站因为TLS协议太新了的问题，ie不能正常显示的)，都能todesk了那肯定也不是网络问题。访问不了一些网站，那不就是有防火墙之类的东西拦截了吗？然后这里我就做出来判断。 我追踪了一下路由节点，就是直接光猫后面就是运营商分配的10的地址了，所以指定就是在这里的问题 我就我直接访问了第一个路由节点就是光猫的登录页面，第二个就是10的地址了，我这里也很好奇他的路由器在哪里？(她要看电视，于是我问他能不能用爱奇艺将就一下)，我就问他要光猫的后台密码。 你感觉奇怪，我感觉更奇怪，你的路由器在哪里？(一般这个过滤娱乐网址的功能路由器提供的比较多一点，能开绿色模式之类的东西，光猫也能过滤，仅仅是我个人的看法，不一定正确，我也不是专业搞网络的，233 ...

0x01这一堆实际上都没啥用 $fp参数是不可控的 0x02这里确实有注入，但是进不去这个条件，我看了数据库里压根就没有key这张表 这里$cipher我们可控，$key要从库里面取，所以这个判断应该是进不去的 if ($cipher == $key) 0x03这里的$fp实际上也算是不可控的，除非找个文件上传+路径穿越，有这东西了不如试着传马和ssh秘钥 然后我到库看了下这里的parameter_name都没有这些条件，所以不会对$record有啥影响，直接搞就行了，payload往/etc/yuneng/ecuid.conf里放 sql注入-1看起来是参数不可控的，但这里的时区是可控的，我刚看这个系统的时候被人批量打了很多弹shell的东西 date_default_timezone_set()就是个设置时区的函数，那些人批量打的id >rce.txt这种不知道是啥意思，这里面不能rce吧。 这里很明显的注入了 追get_status_zigbee() 跟status_zigbee() 直接注入 expPOST /index.php/display/sta ...