0%

实现包含XXE漏洞的服务

新建项目

不说废话,首先实现一个包含XXE漏洞的服务吧,新建一个SpringBoot项目:
1548150750904

建好之后目录如下

1548154022764

定义Controller

新建XXEController.java:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
@RestController
public class XXEController {
@PostMapping(value = "/xxe")
public String xxe(@RequestBody String userString) throws ParserConfigurationException, IOException, SAXException {
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
DocumentBuilder db = dbf.newDocumentBuilder();
Document doc = db.parse(new ByteArrayInputStream(userString.getBytes("utf-8")));
String username = getValueByTagName(doc, "username");
String password = getValueByTagName(doc, "password");
return "Username: " + username + "Password: " + password;
}

private String getValueByTagName(Document doc, String tagName) {
if (doc == null || tagName.equals(null)) {
return "";
}
NodeList pl = doc.getElementsByTagName(tagName);
if (pl != null && pl.getLength() > 0) {
return pl.item(0).getTextContent();
}
return "";
}
}
阅读全文 »

漏洞复现

0x00 靶机配置

  1. IP:192.168.99.100

  2. 使用apt install redis-server安装redis服务

  3. vi /etc/redis/redis.conf,注释掉bind 127.0.0.1 ::1即让redis监听所有网段

  4. 新版的redis无密码时会触发保护模式,使用CONFIG SET protected-mode no解除保护模式

  5. 以root身份启动redis

    1
    2
    3
    4
    root@anemone-VirtualBox:/etc# ps -ef|grep redis-server
    redis 2847 1 0 21:05 ? 00:00:04 /usr/bin/redis-server *:6379
    root@anemone-VirtualBox:/etc# kill -9 2847
    root@anemone-VirtualBox:/etc# redis-server
阅读全文 »

看完Java的反序列化之后,再看PHP的就很容易,毕竟PHP的反序列化的结果是文本格式。

序列化/反序列化Demo

php的序列化/反序列化的函数主要是serialize和unserialize,参考“最通俗易懂的PHP反序列化原理分析”一文,示例代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
class Person {
public $name = "Anemone";
public $sex = "man";
public $age = 18;
public function toString(){
return $this->name." ".$this->sex." ".$this->age;
}
}

$person = new Person();
$person->age=19;
// 序列化
$serialized=serialize($person);
echo $serialized;
echo "\n";
// 反序列化
$new_person=unserialize($serialized);
echo print_r($new_person);
echo "\n";
阅读全文 »

利用Commons Collections攻击反序列化漏洞由FoxGlove Security团队首次提出,也是我们第一次看到反序列化类型漏洞的利用,而其整个利用过程后来也被成为面向属性编程(POP),虽然事隔久远,但是还是参考先前大佬们的研究学习一下。

Apache Commons Collections

阅读全文 »

java反序列化应该算是java web中最有代表性的一类安全性问题了,因为之前面试也被问到过,这两天好好研究一下。

Demo代码

参考”Java反序列化漏洞从入门到深入”一文,具体流程为:1)序列化不安全的类(攻击者所要做的);2)脆弱程序反序列化不安全的类;3)恶意代码被执行。

阅读全文 »

上周无意在BOSS直聘上发了简历,结果山石网科来电话面试。当时晚上八点,我正在回家的地铁上,很冷,又因为第一次面试有点紧张,自己感觉很多问题答得不好,这里尽量回忆面试内容,希望下次能够做好准备。

Q1:说一下渗透一个网站的具体流程

首先信息收集,判断网站是否有CDN,接着了解整个网站的工作流程,接着扫描端口,看看有什么弱服务,比如Redis弱口令,接着我会找逻辑漏洞,比如说密码重置。(最重要的OWASP TOP 10居然忘了讲)

阅读全文 »

在研究安卓安全时,很多情况下我们需要修改安卓源代码(如动态调试时过掉反调试机制)。LineageOS是根据Android官方源码修改后的版本,对很多手机都适配,因此编译该版本的源码比直接编译AOSP的更加有意义。本文简要说明一下编译LineageOS的步骤。更详细的步骤说明请参考官方文档: https://wiki.lineageos.org/build_guides.html

阅读全文 »

Geth搭建公有节点

Geth搭建公有节点主要是因为实验室有获取区块数据这一需求,因此这里记录一下如何建立一个公有链节点并暴露其json-rpc供其他人调用:

1
geth --syncmode=light --datadir "./public_chain"  --rpc --rpcaddr "127.0.0.1"  --rpcport "8545"
阅读全文 »

2018“安恒杯”WEB安全测试秋季资格赛,被老板批评“只会写文档的黑客”后,赶快刷几题找回点自信Orz。

奇怪的恐龙特性

进入靶机,可以看到网页源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php 
highlight_file(__FILE__);
ini_set("display_error", false);
error_reporting(0);
$str = isset($_GET['A_A'])?$_GET['A_A']:'A_A';
if (strpos($_SERVER['QUERY_STRING'], "A_A") !==false) {
echo 'A_A,have fun';
}
elseif ($str<9999999999) {
echo 'A_A,too small';
}
elseif ((string)$str>0) {
echo 'A_A,too big';
}
else{
echo file_get_contents('flag.php');

}

?> A_A,too small
阅读全文 »