0%

今天碰上事情,加上自己又菜,只做出两题。

web-babygo

题目给出了源代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
<?php
@error_reporting(1);
include 'flag.php';
class baby
{
protected $skyobj;
public $aaa;
public $bbb;
function __construct()
{
$this->skyobj = new sec;
}
function __toString()
{
if (isset($this->skyobj))
return $this->skyobj->read();
}
}

class cool
{
public $filename;
public $nice; //baby object
public $amzing; //baby object serialized
function read()
{
$this->nice = unserialize($this->amzing);
echo $sth;
$this->nice->aaa = $sth;
if($this->nice->aaa === $this->nice->bbb)
{
$file = "./{$this->filename}";
if (file_get_contents($file))
{
return file_get_contents($file);
}
else
{
return "you must be joking!";
}
}
}
}

class sec
{
function read()
{
return "it's so sec~~";
}
}

if (isset($_GET['data']))
{
$Input_data = unserialize($_GET['data']); //baby object
echo $Input_data;
}
else
{
highlight_file("./index.php");
}
?>
阅读全文 »

实现包含XXE漏洞的服务

新建项目

首先实现一个包含XXE漏洞的服务吧,新建一个SpringBoot项目:
1548150750904

建好之后目录如下

1548154022764

定义Controller

新建XXEController.java:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
@RestController
public class XXEController {
@PostMapping(value = "/xxe")
public String xxe(@RequestBody String userString) throws ParserConfigurationException, IOException, SAXException {
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
DocumentBuilder db = dbf.newDocumentBuilder();
Document doc = db.parse(new ByteArrayInputStream(userString.getBytes("utf-8")));
String username = getValueByTagName(doc, "username");
String password = getValueByTagName(doc, "password");
return "Username: " + username + "Password: " + password;
}

private String getValueByTagName(Document doc, String tagName) {
if (doc == null || tagName.equals(null)) {
return "";
}
NodeList pl = doc.getElementsByTagName(tagName);
if (pl != null && pl.getLength() > 0) {
return pl.item(0).getTextContent();
}
return "";
}
}
阅读全文 »

漏洞复现

0x00 靶机配置

  1. IP:192.168.99.100

  2. 使用apt install redis-server安装redis服务

  3. vi /etc/redis/redis.conf,注释掉bind 127.0.0.1 ::1即让redis监听所有网段

  4. 新版的redis无密码时会触发保护模式,使用CONFIG SET protected-mode no解除保护模式

  5. 以root身份启动redis

    1
    2
    3
    4
    [email protected]:/etc# ps -ef|grep redis-server
    redis 2847 1 0 21:05 ? 00:00:04 /usr/bin/redis-server *:6379
    [email protected]:/etc# kill -9 2847
    [email protected]:/etc# redis-server
阅读全文 »

看完Java的反序列化之后,再看PHP的就很容易,毕竟PHP的反序列化的结果是文本格式。

序列化/反序列化Demo

php的序列化/反序列化的函数主要是serialize和unserialize,参考“最通俗易懂的PHP反序列化原理分析”一文,示例代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
class Person {
public $name = "Anemone";
public $sex = "man";
public $age = 18;
public function toString(){
return $this->name." ".$this->sex." ".$this->age;
}
}

$person = new Person();
$person->age=19;
// 序列化
$serialized=serialize($person);
echo $serialized;
echo "\n";
// 反序列化
$new_person=unserialize($serialized);
echo print_r($new_person);
echo "\n";
阅读全文 »

利用Commons Collections攻击反序列化漏洞由FoxGlove Security团队首次提出,也是我们第一次看到反序列化类型漏洞的利用,而其整个利用过程后来也被成为面向属性编程(POP),虽然事隔久远,但是还是参考先前大佬们的研究学习一下。

Apache Commons Collections

阅读全文 »

java反序列化应该算是java web中最有代表性的一类安全性问题了,因为之前面试也被问到过,这两天好好研究一下。

Demo代码

参考”Java反序列化漏洞从入门到深入”一文,具体流程为:1)序列化不安全的类(攻击者所要做的);2)脆弱程序反序列化不安全的类;3)恶意代码被执行。

阅读全文 »

上周无意在BOSS直聘上发了简历,结果山石网科来电话面试。当时晚上八点,我正在回家的地铁上,很冷,又因为第一次面试有点紧张,自己感觉很多问题答得不好,这里尽量回忆面试内容,希望下次能够做好准备。

Q1:说一下渗透一个网站的具体流程

首先信息收集,判断网站是否有CDN,接着了解整个网站的工作流程,接着扫描端口,看看有什么弱服务,比如Redis弱口令,接着我会找逻辑漏洞,比如说密码重置。(最重要的OWASP TOP 10居然忘了讲)

阅读全文 »

在研究安卓安全时,很多情况下我们需要修改安卓源代码(如动态调试时过掉反调试机制)。LineageOS是根据Android官方源码修改后的版本,对很多手机都适配,因此编译该版本的源码比直接编译AOSP的更加有意义。本文简要说明一下编译LineageOS的步骤。更详细的步骤说明请参考官方文档: https://wiki.lineageos.org/build_guides.html

阅读全文 »

Geth搭建公有节点

Geth搭建公有节点主要是因为实验室有获取区块数据这一需求,因此这里记录一下如何建立一个公有链节点并暴露其json-rpc供其他人调用:

1
geth --syncmode=light --datadir "./public_chain"  --rpc --rpcaddr "127.0.0.1"  --rpcport "8545"
阅读全文 »