今天碰上事情，加上自己又菜，只做出两题。

web-babygo

题目给出了源代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62

<?php
@error_reporting(1);
include 'flag.php';
class baby
{
    protected $skyobj;
    public $aaa;
    public $bbb;
    function __construct()
    {
        $this->skyobj = new sec;
    }
    function __toString()
    {
        if (isset($this->skyobj))
            return $this->skyobj->read();
    }
}

class cool
{
    public $filename;
    public $nice; //baby object
    public $amzing;  //baby object serialized
    function read()
    {
        $this->nice = unserialize($this->amzing);
        echo $sth;
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";
            if (file_get_contents($file))
            {
                return file_get_contents($file);
            }
            else
            {
                return "you must be joking!";
            }
        }
    }
}

class sec
{
    function read()
    {
        return "it's so sec~~";
    }
}

if (isset($_GET['data']))
{
    $Input_data = unserialize($_GET['data']); //baby object
    echo $Input_data;
}
else
{
    highlight_file("./index.php");
}
?>

实现包含XXE漏洞的服务

新建项目

首先实现一个包含XXE漏洞的服务吧，新建一个SpringBoot项目：

建好之后目录如下

定义Controller

新建XXEController.java：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

@RestController
public class XXEController {
    @PostMapping(value = "/xxe")
    public String xxe(@RequestBody String userString) throws ParserConfigurationException, IOException, SAXException {
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        DocumentBuilder db = dbf.newDocumentBuilder();
        Document doc = db.parse(new ByteArrayInputStream(userString.getBytes("utf-8")));
        String username = getValueByTagName(doc, "username");
        String password = getValueByTagName(doc, "password");
        return "Username: " + username + "Password: " + password;
    }

    private String getValueByTagName(Document doc, String tagName) {
        if (doc == null || tagName.equals(null)) {
            return "";
        }
        NodeList pl = doc.getElementsByTagName(tagName);
        if (pl != null && pl.getLength() > 0) {
            return pl.item(0).getTextContent();
        }
        return "";
    }
}

漏洞复现

0x00 靶机配置

1. IP：192.168.99.100

2. 使用apt install redis-server安装redis服务

3. vi /etc/redis/redis.conf，注释掉bind 127.0.0.1 ::1即让redis监听所有网段

4. 新版的redis无密码时会触发保护模式，使用CONFIG SET protected-mode no解除保护模式

5. 以root身份启动redis

   1 2 3 4

   root@anemone-VirtualBox:/etc# ps -ef|grep redis-server redis 2847 1 0 21:05 ? 00:00:04 /usr/bin/redis-server *:6379 root@anemone-VirtualBox:/etc# kill -9 2847 root@anemone-VirtualBox:/etc# redis-server

看完Java的反序列化之后，再看PHP的就很容易，毕竟PHP的反序列化的结果是文本格式。

序列化/反序列化Demo

php的序列化/反序列化的函数主要是serialize和unserialize，参考“最通俗易懂的PHP反序列化原理分析”一文，示例代码如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

<?php
class Person {
    public $name = "Anemone";
    public $sex = "man";
    public $age = 18;
    public function toString(){
        return $this->name." ".$this->sex." ".$this->age;
    }
}

$person = new Person();
$person->age=19;
// 序列化
$serialized=serialize($person);
echo $serialized;
echo "\n";
// 反序列化
$new_person=unserialize($serialized);
echo print_r($new_person);
echo "\n";

漏洞复现

部署脆弱服务

下载struts-2.5.12-all.zip，将 struts-2.5.12/src/apps/ 目录下的 rest-showcase 导入 idea，再配置，如下：

运行后可以看到一个Struts2的一个Demo，大概提供一个订单服务，提供增删改查：

利用Commons Collections攻击反序列化漏洞由FoxGlove Security团队首次提出，也是我们第一次看到反序列化类型漏洞的利用，而其整个利用过程后来也被成为面向属性编程（POP），虽然事隔久远，但是还是参考先前大佬们的研究学习一下。

Apache Commons Collections

java反序列化应该算是java web中最有代表性的一类安全性问题了，因为之前面试也被问到过，这两天好好研究一下。

Demo代码

参考”Java反序列化漏洞从入门到深入”一文，具体流程为：1）序列化不安全的类（攻击者所要做的）；2）脆弱程序反序列化不安全的类；3）恶意代码被执行。

上周无意在BOSS直聘上发了简历，结果山石网科来电话面试。当时晚上八点，我正在回家的地铁上，很冷，又因为第一次面试有点紧张，自己感觉很多问题答得不好，这里尽量回忆面试内容，希望下次能够做好准备。

Q1：说一下渗透一个网站的具体流程

首先信息收集，判断网站是否有CDN，接着了解整个网站的工作流程，接着扫描端口，看看有什么弱服务，比如Redis弱口令，接着我会找逻辑漏洞，比如说密码重置。（最重要的OWASP TOP 10居然忘了讲）

在研究安卓安全时，很多情况下我们需要修改安卓源代码（如动态调试时过掉反调试机制）。LineageOS是根据Android官方源码修改后的版本，对很多手机都适配，因此编译该版本的源码比直接编译AOSP的更加有意义。本文简要说明一下编译LineageOS的步骤。更详细的步骤说明请参考官方文档: https://wiki.lineageos.org/build_guides.html

Geth搭建公有节点

Geth搭建公有节点主要是因为实验室有获取区块数据这一需求，因此这里记录一下如何建立一个公有链节点并暴露其json-rpc供其他人调用：

1

geth --syncmode=light --datadir "./public_chain"  --rpc --rpcaddr "127.0.0.1"  --rpcport "8545"