Jenkins未授权访问RCE漏洞复现记录
0x00 环境 A flaw was found in Pipeline: Declarative Plugin before version 1.3.4.1, Pipeline: Groovy Plugin before version 2.61.1 and Script Security Plugin before version 1.50. Script Security sandbox protection could be circumvented during the script compilation phase by applying AST transforming annotations such as @Grab to source code elements. Bo ...
阅读更多
http2协议介绍及抓包分析
0x00 简介之前有个Pwnhub的题目,学习了下http2相关知识,把相关知识简单记录下。题目是gopher协议内网打http2服务,不自己构造http2协议包的,可以用curl配合nc简单构造的小技巧。 123456curl -vv --http2-prior-knowledge 127.0.0.1:1234nc -lvvv 1234 > res.txt # URL编码数据称gopher协议得到返回结果,可以使用nc解码得到flag:nc -lvvv 1234 < response.rescurl -vv --http2-prior-knowledge 127.0.0.1:1234 题目还是主要能让我们学到相关知识,之后我也将博客升级成了https+http2。这里记录下h ...
阅读更多
RMI反序列化攻击方法记录
0x00前言本文主要以Weblogic最新的反序列化漏洞CVE-2018-3191为例,介绍基于RMI的反序列化攻击方法。其中涉及到了Java Exec执行命令的相关知识,在这里整理记录下。在搭建Docker漏洞环境时,遇到了Docker for mac容器与宿主机互通的问题,顺带也记录下~ 0x01 Docker for mac 容器和宿主机互通mac环境下的Docker网络环境和Linux不一样,不能直接ping通容器和宿主机。查了很多文章,最后参考下面2个链接暂时成功~ http://sua7.com/2017/04/29/Docker https://github.com/mal/docker-for-mac-host-bridge。步骤中有2个注意点:1. 每次重启docker,都 ...
阅读更多
Struts2最新POC分析记录
0x00 前言这篇文章记录我调试S2-057漏洞的过程,简单记下几个知识点。 0x01 实验环境 Struts 2.5.16.2 tomcat 9.0.11 0x02 成功的POCIDEA真是好用,修改struts配置文件为有漏洞版本,配置tomcat环境,直接运行对应的Struts2-showcase项目就行了。我在mac环境下,POC都调了好长时间,给出能够成功的POC: 1GET /struts2-showcase/$%7B(%23ct=%23request%5B'struts.valueStack'%5D.context).(%23cr=%23ct%5B'com.opensymphony.xwork2.ActionContext.container'%5D).(%23ou=%23c ...
阅读更多
DDCTF2018 Java SSRF Web出题思路
0x00 说明这次DDCTF2018我出了一道Java Web题目“喝杯Java冷静下”,这里记录下一些出题思路和用到的技术。 0x01 出题思路和技术 通过任意文件下载漏洞,下载java配置文件和class字节码文件。 通过blind XXE进行SSRF攻击。 修改Struts2 POC,读写文件。 整个题目由3个Docker环境内联启动。Java程序基于开源项目quick4j开发,升级了相关可能存在风险的第三方Jar包。 很担心大家会走错思路使用shiro框架的反序列化漏洞进行攻击。 为防止搞事,tomcat启动使用gosu工具指定低权限用户www-data进行启动。 Java Blind XXE读文件,如果是多行会有问题,因此我将flag文件设置成了1行。试过ftp协议,可能是JDK ...
阅读更多
DDCTF 2017 writeup
0x00 前言官方题目下载链接: http://sec.didichuxing.com/static/upload/attachment//article//20170608/1496941331468739866.zip官方解答视频: http://v.youku.com/v_show/id_XMjgxOTkxNjQ4NA==.html?spm=a2h0k.8191407.0.0&from=s1.8-1-1.2 最近整理资料的时候,想起了当时DDCTF的事情,一直没有整理个writeup。今天我从当时发送题目writeup的邮件里面整理出来,记录一下。客观来讲,题目质量很好,当时让我学习到了很多东西,真的值得好好做一做。嗯为滴滴打call 0x01 Hello这题是Mac下的执行文 ...
阅读更多
CTF知识点记录
0x00 前言有半年没更新博客了,这次记录一下最近在ctf中学到的3个知识点,和其中一个详细的思路。 0x00 perl cgi特性pwnhub最新一期《胖哈勃归来》中,是SECCON 2017 Online CTF原题SqlSRF。但是,这次需要用到perl的语言特性来产生另一个解。这里记录一下我的思路和复现过程,很有意思~ 1. 原题解法源码如下: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061#!/usr/bin/perluse CGI;my $q = new CGI;use CGI::Session;my ...
阅读更多
SROP技术CTF案例
0x00 相关资料原始paperSigreturn Oriented Programming (SROP) Attack攻击原理linux系统调用表(system call table) 挺有意思的技术,我就记录一下了。 0x01 smallest题目案例真有意思的pwn题目,让我重新学习了一下pwn。objdump二进制文件,只有几行汇编代码: 123456700000000004000b0 <.text>: 4000b0: 48 31 c0 xor %rax,%rax 4000b3: ba 00 04 00 00 mov $0x400,%edx 4000b8: 48 89 e ...
阅读更多
0ctf2017 web题目总结
前言周末没来得及好好做做0ctf,现在整理学习一下~~ complicated xss题目介绍有两个网站,government.vip和admin.government.vip:8000。 漏洞也有两个: government.vip xss 没防护 admin.government.vip:8000网站cookie中的username可以xss。有个sandbox防护~ 最终需要有admin权限上传shell~ 设置子域cookie根据上面两个漏洞,可以得到大致思路:通过government.vip网站,设置admin.government.vip:8000中的usernamecookie(里面是我们构造好的Payload)。然后,让管理员转到admin.government.vip: ...
阅读更多
S2-046分析(CVE-2017-5638)
0x00 漏洞简介今天出现了新的S2-46漏洞,看了下和S2-045漏洞很相似。最终的利用函数也是一样的,具体请参考我之前的分析http://paper.seebug.org/241/。 这里,我记录下这个漏洞调试的几个点,和关键地方。 官方公告,请看http://struts.apache.org/docs/s2-046.html 仔细阅读漏洞描述: ProblemIt is possible to perform a RCE attack with a malicious Content-Disposition value or with improper Content-Length header. If the Content-Dispostion / Content-Length ...
阅读更多