- 博客(97)
- 收藏
- 关注
RSS订阅原创 WEB安全--Java安全--fastjson1.2.24(JdbcRowSetImpl利用链)
我们通过@type指定系统类JdbcRowSetImpl,但是这个类并不存在命令执行的危险方法,所以要借助JNDI服务使JdbcRowSetImpl类中的lookup方法远程加载我们的恶意类来实现攻击。所以主要是利用JNDI注入达到的攻击。
2025-07-28 00:14:01
664
原创 WEB安全--Java安全--Fastjson反序列化原理初探
这里的fastjson包版本为1.2.24,通过pom的方式即可导入可以看到在运行主类后,发现字符串被处理为json对象打印出来了当然也可以提取出json对象中的具体值。
2025-07-26 02:48:12
1012
原创 WEB安全--SQL注入--时间函数bypass
sql注入将webshell写入服务器web目录中(需要知道物理路径)==> 服务器脚本提权 ==> 在蚁剑中执行系统命令。上传.dll/.so文件(需要知道物理路径)==> 进行系统提权(UDF) ==> 在数据库命令行执行系统命令。根据这一特性,我们可以尝试用普通的真假条件语句结合响应包中的内容去判断,可以将此sql时间盲注转化为类似布尔盲注的形式。某些复杂的正则或字符串处理函数在不同的输入下计算量不同,可造成微小但可检测的延迟。判断当前用户权限(至少需要有文件写权限)等待锁释放(通常可控制几秒)
2025-05-29 11:13:45
885
原创 WEB安全--CSRF&SSRF
Redis是非关系型数据库,数据存储在内存中所以读取速度比关系型数据库更快,通常作为缓存使用;如果服务器停止运行,内存中的数据就会全部丢失。所以为了数据安全,Redis催生出了持久化功能:把内存数据写入硬盘中永久落盘,且管理员能够定义写入文件的路径和文件(config set)。*<参数数量> CR LF$<参数 1 的字节数量> CR LF<参数 1 的数据> CR LF......$<参数 N 的字节数量> CR LF<参数 N 的数据> CR LF。
2025-05-28 17:52:40
604
原创 WEB安全--RCE--webshell HIDS bypass4
我们回过头来看$da->getTimestamp()>=1725329100||$n='1' ,当$da->getTimestamp()>=1725329100为假,$n='1'就会执行赋值的操作,这时$n的值就由'F'变为'1',但是当$da->getTimestamp()>=1725329100为真,那么就不会执行$n='1'的操作,$n='F'的值就不变了。此时满足时间条件,$n='F',ltrim从参数的默认值常量名中去掉前导的$n,也就是说FSYSTEM会变成SYSTEM,就能构成命令执行。
2025-05-27 10:21:31
520
原创 WEB安全--RCE--webshell HIDS bypass2
此时$s[1]->a的值是我们URL传递的参数,而$c = $s[0]->a,且$s[1]->a 的值会同步影响$s[0]->a,所以$c = $_GET['a'];可以看到$s反序列化后有两个值,但是源码中似乎只有一个stdClass;原因是[0]是由[1]引用复制后的值,可以理解为。$s[1]->a = $_GET['a']一直在接收我们的传参,不过由于if判断,当$i = 97时才会进入下一步;get_declared_classes()[55]对应的是File。
2025-05-12 09:27:11
373
原创 WEB安全--内网渗透--利用Net-NTLMv2 Hash
在前两篇文章中分析了NTLM协议中Net-NTLMv2 Hash的生成、如何捕获Net-NTLMv2 Hash,现在就来探讨一下在内网环境中,如何利用Net-NTLMv2 Hash进行渗透。
2025-04-07 23:35:36
2094
原创 WEB安全--内网渗透--LM&NTLM基础
该接口定义了与安全有关的功能函数,如:1、身份验证机制2、为其他协议提供的Session Security机制(会话安全机制),为通讯提供数据完整性校验以及数据的加、解密功能该接口只是定义了一套接口函数,但是并没有实现具体的内容。
2025-04-06 22:21:49
1294
原创 WEB安全--文件上传漏洞--36C3 CTF includer bypass
这里可以使用一直上传大量数据的垃圾文件与检测后端建立连接,然后在file_get_contents()识别垃圾文件内容时认为是无害的这个时候上传我们的<?5、绕过stripos(file_get_contents($_POST['file']), '<?')检测后,发送PHP代码,include_once()包含PHP代码执行。现在我们能够上传垃圾临时文件了,假如我们上传成功了,那我们去哪得到文件文件路径呢?
2025-04-04 18:23:48
495
原创 WEB安全--提权思路
在我们成功上传webshell到服务器中并拿到权限时,发现我们的权限很低无法执行特定的命令,这时为了能做更多的操作,我们就需要提升权限。
2025-04-04 01:18:08
444
原创 WEB安全--文件上传漏洞--php伪协议的利用
在 PHP 中,通常指的是一种通过特定的 URL 协议方案实现某些特殊功能或行为的方式。伪协议通常并不是标准的协议(如 HTTP、HTTPS),而是由应用程序或开发者自定义的“伪”协议,用于执行某些特定任务。
2025-04-03 20:33:30
1588
原创 WEB安全--文件上传漏洞--其他绕过方式
那么就会产生问题,如果我们在后端验证文件后缀合法性之前在网页访问到我们的webshell1,使其生成新的webshell2到上级目录中的文件夹中或上级目录中;那即使这时我们最开始的webshell1被删除,也没关系了,直接访问webshell2即可。
2025-04-02 23:09:29
596
原创 WEB安全--XSS--XSS基础
非持久化,需要用户点击恶意链接触发恶意代码。反射型XSS是指攻击者通过在URL参数或表单数据中嵌入恶意脚本,服务器将该数据直接反射回用户的浏览器。当用户访问修改过的URL时,恶意脚本在浏览器中执行。
2025-04-02 21:38:45
1176
原创 WEB安全--文件上传漏洞--白名单绕过
原理:在我们不能绕过白名单后缀限制时,如果后端检测的是文件类型(数据包中的Content-Type字段),那我们可以利用合法类型替换示例:在上传,php后缀文件时抓包,将数据包中Content-Type:后对应的值修改为合法文件类型。
2025-03-31 17:26:40
656
原创 WEB安全--文件上传漏洞--黑名单绕过
禁止.php .jsp .asp由于匹配时区分大小写,而解析时不区分大小写都可以解析,从而导致绕过黑名单。抓包,改文件名,任意选择被匹配的位置的字符串中的部分字符转换大小写即可。
2025-03-31 16:44:31
460
原创 WEB安全--文件上传漏洞--一句话木马的工作方式
然后用eval(base64_decode())的方式把它解码,这里嵌套的目的是用eval()执行base64_decode()然后网站中的一句话木马中的$_POST['oupe]接到这个变量,也就是接到这些代码,第二个字段则是先用 $_POST('e002eeda8c12f5') 接到这段编码。也就是说最后蚁剑将处理后的值赋给oupeng这个变量,1:e002eeda8c12f5=[省略]于是我们就能用oupeng接到解码后的代码。最后再利用eval()在网站中执行这些代码。
2025-03-31 12:10:16
720
原创 WEB安全--SQL注入--MySQL提权
用户自定义函数,其为mysql的一个拓展接口,可以为mysql增添一些函数。比如mysql一些函数没有,我就使用UDF加入一些函数进去,那么我就可以在mysql中使用这个函数了。
2025-03-30 23:26:48
1230
1
原创 WEB安全--SQL注入--上传webshell的其他方式
1、Web应用提供上传文件功能,用户上传的文件路径会存储在数据库中2、数据库内容可影响Web资源访问路径3、用户有写的权限。
2025-03-30 22:13:17
532
原创 WEB安全--RCE--RCE的绕过
回调函数(Callback Function)指的是将或作为参数传递给另一个函数,从而在特定条件下调用该函数。
2025-03-30 00:47:44
1369
原创 WEB安全--SQL注入--无列名注入
当我们只知道表名不知道列名时,可以通过联合查询创建虚拟字段查询信息,或者是利用join、using关键字报错得到列名。
2025-03-27 00:31:11
462
原创 WEB安全--SQL注入--利用log写入webshell
我们可以通过修改MySQL的log文件,用select关键字写入木马文件放在服务器物理地址中,通过访问物理地址getshell。
2025-03-27 00:02:03
683
原创 WEB安全--SQL注入--SQL注入的危害
黑客通过sql注入可以查询到敏感的信息如数据库名、表名、字段名和用户账号密码(加密后)等,甚者拿到数据库root权限将数据脱库以谋取利益。
2025-03-24 23:42:48
771
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人