Java反序列化漏洞之TransformedMap版CC1链
0x00 CommonsCollections1链简介
Apache Commons Collections介绍
CommonsCollections1链的两种不同利用方式
影响版本
0x01 准备工作
Java版本的选择
添加sun源码
0x02 Transformer接口及相关实现类
Transformer接口
InvokerTransformer
ConstantTransformer
ChainedTransformer
0x03 TransformedMap中间链
0x04 AnnotationInvocationHandler Kick-off类
构造方法
readObject方法
反射调用
0x05 利用代码及漏洞验证
0x06 参考
0x00 CommonsCollections1链简介Apache Commons Collections介绍Apache Commons Collections是Apache Commons项目中的一个子项目,它提供了一套丰富的Java集合类和实用工具,用于增强和扩展 Java 标准库中的集合框架。这个项目旨在填补标准 ...
Java反序列化漏洞
0x00 序列化与反序列化基础
什么是序列化与反序列化
序列化与反序列化在Java中的实现
Java序列化
Java反序列化
serialVersionUID版本控制
不可序列化的
Externalizable接口
0x01 Java反序列化漏洞的前世今生
发展历史
简单的反序列化利用:应用程序逻辑操纵
反序列化危害升级:任意代码执行
反序列化任意代码执行攻击的局限性
0x02 Java反序列化漏洞Kick-off Gadget
重写readObject致使任意代码执行
readObject方法执行过程分析
0x03 URLDNS链分析
Sink:URL#hashCode
Kick-off:HashMap#readObject
利用代码及验证
URLDNS链总结
0x04 参考
0x00 序列化与反序列化基础什么是序列化与反序列化序列化是将复杂的数据结构或对象转换为字节序列的过程,以便于在网络上传输、存储或持久化,在序列化过程中,对象的状态被转换成字节流,使得它可以被写入文件或通过网络发送。
反序列化则是序列化的逆过程,即将序列化后的字节流转换回原始的数据结构或 ...
亿赛通电子文档安全管理系统XStream反序列化远程代码执行漏洞
0x00 漏洞简介
0x01 影响版本
0x02 漏洞分析
0x03 漏洞利用
恶意XML构造
编码
概念验证
自动化工具
0x04 References
0x00 漏洞简介亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。亿赛通电子文档安全管理系统引用了低版本存在反序列化漏洞的XStream库,攻击者可利用该漏洞对服务器上传任意文件,进而控制服务器权限。
0x01 影响版本
<= 820
0x02 漏洞分析依赖位于WEB-INF/lib/jhiberest.jar文件,反编译后可以很明显的发现存在XStream的写法,并且XStream的版本用的也是低版本的,1.4.9版本。
同时,此类在web.xml文件中的对应关系如下,由于CDG的Web根路径是/CDGServer3,那么当请求路径是/CDGServer3/SystemService时,请求将会由如下com.esafenet.servlet.service.cdgfile ...
流行代理软件Clash CSRF未授权配置重载致使RCE
0x00 关于Clash
名词解释
基本使用
Linux平台
macOS平台
Windows平台
使用Tips
0x01 历史漏洞
CFW XSS2RCE - 2022/02/23
CFW路径穿越致使parsers JS RCE - 2023/01/13
0x02 主配置文件
0x03 代码审计分析
parse providers
initial providers
小结
0x04 RESTful API
0x05 CSRF2RCE
0x06 总结
0x07 时间线
0x00 关于Clash名词解释
Clash
一个使用Golang编写的,支持Shadowsocks(R)、VMess、Trojan、Snell、SOCKS5、HTTP(S)等多个代理协议的代理工具。
ClashX
旨在提供一个简单轻量化的开源GUI代理客户端,编写于Swift,仅支持MacOS平台。
Clash for Windows(简称CFW,后面统一使用简称)
编写于Electron的闭源GUI代理客户端,支持Windows/MacOS ...
同迅神行者路由doLoginOut未授权RCE
漏洞简介
固件下载分析
Python代码审计
概念验证步骤
引子
某次HW期间看到该漏洞的利用,遂尝试分析一番。
漏洞简介同迅神行者路由通过系统管理、网络管理、策略管理、监控统计、面板管理五大人机互动管理功能,对流经的所有应用数据进行实时监控与管理。神行者路由流控产品存在未授权命令注入漏洞,攻击者可以利用该漏洞对服务器执行任意命令。
固件下载分析找到厂商官网,下载中心可以直接获取到路由固件包。
这里直接对ISO相关文件进行解压,发现Web目录结构如下,若要尝试搭建可以见官方文档,此外,路由默认账号密码是admin:sxzros。
Python代码审计首先直接查看路由的分配,如下。
1234567891011121314151617# @Filename: urls.pyurlpatterns = [ url(r'^favicon.ico$',RedirectView.as_view(url=r'static/assets/img/favicon.ico')), #登录 url(r'^$','xapp ...
Jspxcms审计记录
0x00 技术栈
0x01 组件依赖
0x02 功能点熟悉
0x03 默认不安全配置
0x04 RCE
Shiro 721反序列化漏洞
Zip Slip任意文件覆盖漏洞
Freemarker SSTI
0x05 XSS
0x06 SSRF
HttpClient.execute()
URL.openConnection()
0x00 技术栈该项目使用了SpringMVC框架、Spring Data JPA框架,Hibernate作为数据库持久化框架,Shiro作为安全框架,以及Freemarker模版引擎。
0x01 组件依赖通过观察Maven同步的依赖库,发现部分使用的组件和版本如下。
commons-beanutils
1.9.3
commons-collections
3.2.2
commons-logging
1.1.3
freemarker
2.3.28
shiro-core
1.3.2
hibernate-core
5.0.12
log4j
1.2.17
snakeyaml
1.17
0x02 功能点熟悉在正式进行审计前,应 ...
针对校园某服务器的一次渗透测试
0x00 前期交互及信息收集
0x01 远程代码执行???
MS15-034复现
进一步利用/危害
0x02 由 phpMyAdmin 入手
目录爆破
CVE-2016-5734
寻绝对路径,外写木马
0x03 后渗透测试
中国蚁剑
连接 Metasploit
发现学校其中一台服务器可能(绝对)存在漏洞。我想(绝对)能拿下它;
而且渗透测试的过程很有趣,便将其记录下来。
0x00 前期交互及信息收集由于是对内网直接进行大扫描,所以直接判断这不仅是一个 Web 服务器(多个),同时还运行着 FTP、数据库。
在此,再次使用 nmap 扫描一次,结果如下:
1234567891011121314151617181920212223242526272829303132333435$ sudo nmap -T4 -n -sS -sV -O 192.168.3.72Nmap scan report for 192.168.3.72Host is up (0.00076s latency).Not shown: 974 closed portsPORT ST ...
DNS隧道绕过校园网认证
场景分析
吐槽
信息收集
原理简述
开始实战
所需
伪装程序
服务器
客户端
代理
测试
质量
关于网速
未遵循标准的结果
Reference
本文在绝大数人眼里或许是篇福利文;在此文中介绍如何通过 DNS TUNNEL 的方式来绕过校园网认证,实现免认证免费上网;或许此招式并不是最优解,但对于绝大多数校园认证网确实能够成功实现。
怎么说呢!其实我早盯上了校园网了。
场景分析吐槽在某所高校中,存在一家网络运营商,主要面向毫无收入的学生们,为我们提供日常上网冲浪。
其特点就是三字:贵、差、抠。每月79RMB的高昂费用;网络质量差,打游戏经常460;还只让三个设备使用。
没办法,我虽不用此校园网,但还是看不下去,遂有了本文。
信息收集在这所高校的网络中,统一使用的是 WiFi 热点客户端认证方式;当连上 WiFi 后,本机会向 DHCP 服务器获取一个内网 IP;关于这个 IP 地址,起初还让我很是疑惑,没想到在资源如此匮乏的大天朝,此运营商还会分一个公网 IP 给俺;
后来才知道这是个保留地址,详见其 维基百科 。
Address block
Scope
De ...