_0xf4n9x_'s Blog

0x00 CommonsCollections1链简介 Apache Commons Collections介绍 CommonsCollections1链的两种不同利用方式 影响版本 0x01 准备工作 Java版本的选择 添加sun源码 0x02 Transformer接口及相关实现类 Transformer接口 InvokerTransformer ConstantTransformer ChainedTransformer 0x03 TransformedMap中间链 0x04 AnnotationInvocationHandler Kick-off类 构造方法 readObject方法 反射调用 0x05 利用代码及漏洞验证 0x06 参考 0x00 CommonsCollections1链简介Apache Commons Collections介绍Apache Commons Collections是Apache Commons项目中的一个子项目，它提供了一套丰富的Java集合类和实用工具，用于增强和扩展 Java 标准库中的集合框架。这个项目旨在填补标准 ...

0x00 序列化与反序列化基础 什么是序列化与反序列化 序列化与反序列化在Java中的实现 Java序列化 Java反序列化 serialVersionUID版本控制 不可序列化的 Externalizable接口 0x01 Java反序列化漏洞的前世今生 发展历史 简单的反序列化利用：应用程序逻辑操纵 反序列化危害升级：任意代码执行 反序列化任意代码执行攻击的局限性 0x02 Java反序列化漏洞Kick-off Gadget 重写readObject致使任意代码执行 readObject方法执行过程分析 0x03 URLDNS链分析 Sink：URL#hashCode Kick-off：HashMap#readObject 利用代码及验证 URLDNS链总结 0x04 参考 0x00 序列化与反序列化基础什么是序列化与反序列化序列化是将复杂的数据结构或对象转换为字节序列的过程，以便于在网络上传输、存储或持久化，在序列化过程中，对象的状态被转换成字节流，使得它可以被写入文件或通过网络发送。 反序列化则是序列化的逆过程，即将序列化后的字节流转换回原始的数据结构或 ...

0x00 漏洞简介 0x01 影响版本 0x02 漏洞分析 0x03 漏洞利用 恶意XML构造 编码 概念验证 自动化工具 0x04 References 0x00 漏洞简介亿赛通电子文档安全管理系统（简称：CDG）是一款电子文档安全防护软件，该系统利用驱动层透明加密技术，通过对电子文档的加密保护，防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。亿赛通电子文档安全管理系统引用了低版本存在反序列化漏洞的XStream库，攻击者可利用该漏洞对服务器上传任意文件，进而控制服务器权限。 0x01 影响版本 <= 820 0x02 漏洞分析依赖位于WEB-INF/lib/jhiberest.jar文件，反编译后可以很明显的发现存在XStream的写法，并且XStream的版本用的也是低版本的，1.4.9版本。 同时，此类在web.xml文件中的对应关系如下，由于CDG的Web根路径是/CDGServer3，那么当请求路径是/CDGServer3/SystemService时，请求将会由如下com.esafenet.servlet.service.cdgfile ...

0x00 关于Clash 名词解释 基本使用 Linux平台 macOS平台 Windows平台 使用Tips 0x01 历史漏洞 CFW XSS2RCE - 2022/02/23 CFW路径穿越致使parsers JS RCE - 2023/01/13 0x02 主配置文件 0x03 代码审计分析 parse providers initial providers 小结 0x04 RESTful API 0x05 CSRF2RCE 0x06 总结 0x07 时间线 0x00 关于Clash名词解释 Clash 一个使用Golang编写的，支持Shadowsocks(R)、VMess、Trojan、Snell、SOCKS5、HTTP(S)等多个代理协议的代理工具。 ClashX 旨在提供一个简单轻量化的开源GUI代理客户端，编写于Swift，仅支持MacOS平台。 Clash for Windows（简称CFW，后面统一使用简称） 编写于Electron的闭源GUI代理客户端，支持Windows/MacOS&#x ...

漏洞简介 固件下载分析 Python代码审计 概念验证步骤 引子 某次HW期间看到该漏洞的利用，遂尝试分析一番。 漏洞简介同迅神行者路由通过系统管理、网络管理、策略管理、监控统计、面板管理五大人机互动管理功能，对流经的所有应用数据进行实时监控与管理。神行者路由流控产品存在未授权命令注入漏洞，攻击者可以利用该漏洞对服务器执行任意命令。 固件下载分析找到厂商官网，下载中心可以直接获取到路由固件包。 这里直接对ISO相关文件进行解压，发现Web目录结构如下，若要尝试搭建可以见官方文档，此外，路由默认账号密码是admin:sxzros。 Python代码审计首先直接查看路由的分配，如下。 1234567891011121314151617# @Filename: urls.pyurlpatterns = [ url(r'^favicon.ico$',RedirectView.as_view(url=r'static/assets/img/favicon.ico')), #登录 url(r'^$','xapp ...

0x00 技术栈 0x01 组件依赖 0x02 功能点熟悉 0x03 默认不安全配置 0x04 RCE Shiro 721反序列化漏洞 Zip Slip任意文件覆盖漏洞 Freemarker SSTI 0x05 XSS 0x06 SSRF HttpClient.execute() URL.openConnection() 0x00 技术栈该项目使用了SpringMVC框架、Spring Data JPA框架，Hibernate作为数据库持久化框架，Shiro作为安全框架，以及Freemarker模版引擎。 0x01 组件依赖通过观察Maven同步的依赖库，发现部分使用的组件和版本如下。 commons-beanutils 1.9.3 commons-collections 3.2.2 commons-logging 1.1.3 freemarker 2.3.28 shiro-core 1.3.2 hibernate-core 5.0.12 log4j 1.2.17 snakeyaml 1.17 0x02 功能点熟悉在正式进行审计前，应 ...

0x00 前期交互及信息收集 0x01 远程代码执行？？？ MS15-034复现 进一步利用/危害 0x02 由 phpMyAdmin 入手 目录爆破 CVE-2016-5734 寻绝对路径，外写木马 0x03 后渗透测试 中国蚁剑 连接 Metasploit 发现学校其中一台服务器可能（绝对）存在漏洞。我想（绝对）能拿下它； 而且渗透测试的过程很有趣，便将其记录下来。 0x00 前期交互及信息收集由于是对内网直接进行大扫描，所以直接判断这不仅是一个 Web 服务器（多个），同时还运行着 FTP、数据库。 在此，再次使用 nmap 扫描一次，结果如下： 1234567891011121314151617181920212223242526272829303132333435$ sudo nmap -T4 -n -sS -sV -O 192.168.3.72Nmap scan report for 192.168.3.72Host is up (0.00076s latency).Not shown: 974 closed portsPORT ST ...

场景分析 吐槽 信息收集 原理简述 开始实战 所需 伪装程序 服务器 客户端 代理 测试 质量 关于网速 未遵循标准的结果 Reference 本文在绝大数人眼里或许是篇福利文；在此文中介绍如何通过 DNS TUNNEL 的方式来绕过校园网认证，实现免认证免费上网；或许此招式并不是最优解，但对于绝大多数校园认证网确实能够成功实现。 怎么说呢！其实我早盯上了校园网了。 场景分析吐槽在某所高校中，存在一家网络运营商，主要面向毫无收入的学生们，为我们提供日常上网冲浪。 其特点就是三字：贵、差、抠。每月79RMB的高昂费用；网络质量差，打游戏经常460；还只让三个设备使用。 没办法，我虽不用此校园网，但还是看不下去，遂有了本文。 信息收集在这所高校的网络中，统一使用的是 WiFi 热点客户端认证方式；当连上 WiFi 后，本机会向 DHCP 服务器获取一个内网 IP；关于这个 IP 地址，起初还让我很是疑惑，没想到在资源如此匮乏的大天朝，此运营商还会分一个公网 IP 给俺； 后来才知道这是个保留地址，详见其 维基百科 。 Address block Scope De ...