- 博客(122)
- 收藏
- 关注
RSS订阅原创 ApoorvCTF Rust语言逆向实战
上周参加了国外的比赛,名称叫:ApoorvCTF看一下老外的比赛跟我们有什么不同,然后我根据国内比赛对比发现,他们考点还是很有意思的,反正都是逆向,哈哈哈。
2025-07-31 11:08:02
516
原创 IOS逆向--恢复Dyld的内存加载方式
之前我们一直在使用由dyld及其NSCreateObjectFileImageFromMemory/NSLinkModule API方法所提供的Mach-O捆绑包的内存加载方式。虽然这些方法我们今天仍然还在使用,但是这个工具较以往有一个很大的区别......现在很多模块都被持久化到了硬盘上。@roguesys 在 2022 年 2 月发布公告称,dyld 的代码已经被更新,传递给 NSLinkModule 的任何模块都将会被写入到一个临时的位置中。作为一个红队队员,这对于我们的渗透工作并没有好处。
2025-07-24 10:24:43
1047
原创 针对基于智能卡进行认证的活动目录的攻击
参与了一项攻击基于智能卡的活动目录的工作。实际上,你根本不需要使用物理智能卡来验证登录这个活动目录。证书的属性决定了它是否可以用于基于智能卡进行登录。因此,如果你能获得相应的私钥,那么就可以绕过智能卡的验证实现登录。此外,如果启用了允许使用无扩展密钥的证书属性组策略,那么就没必要使用增强型的密钥。因为这可能会导致发给域用户或计算机的其他类型的证书。下面是我们的具体的研究过程。
2025-07-17 15:29:49
803
原创 通过篡改cred结构体实现提权利用
作者利用任意地址读写分别改写modprobe_path以及cred结构体去实现提权的操作,由于改写modprobe_path的方法之前已经研究过了,因此现在详细记录一下如何修改cred结构体完成提权操作。
2025-07-10 13:45:00
887
原创 安全测试中的js逆向实战
通过算法分析可以看出主要调用Et()方法后进行一系列的函数调用,最后返回了需要的sign值,那么这时我们将该js中调用执行过的方法进行复制,在本地新建一个js,粘贴其中,最终打印Et()方法,Et中传入需要的值,也就是n,然后进行运行,如果存在报错缺少方法,缺哪个便去js中复制那个。通过上述的分析,可以看出该程序中的sign的获取是通过Xt()函数传入n值进行生成的,n为一个固定格式的用户的参数,那么便可以通过修改n的值生成sign来绕过校验了,接下来我们通过三种方法进行实操。IndexedDB;
2025-07-08 16:21:29
1569
原创 crAPI靶场学习记录
通过本次靶场学习我对API安全有了更深的认识,之前觉得比较抽象。同时也对HTTP中的GET\POST\PUT\DELETE\OPTIONS等协议有了更深刻的理解。同时在分析lab有些题目的时候,我学习了NoSQL注入的方式,对Mongodb这些非关系型数据库有了基本的认识。同时,精进了我对Burp Suite的操作。美中不足的就是我对 JWT 相关知识不太熟悉,打完靶场后也没太懂这个东西有什么用处。这是我后面需要进行补充学习的。
2025-07-03 15:26:47
664
原创 pocsuites安全工具源码分析
通过set()创建集合方便去重,再遍历conf.url数据,通过parde_target()进行对url进行分析处理,并且在不为空的情况下调用集合的add()方法添加,完成后再将,用于临时存储的target集合里面的数据,放到kb这种全局变量内。随后调用_execute()根据mode值执行。在clip.py中调用main()函数,整个项目则开始执行,进行环境检查,参数获取后,则进入核心代码:在main()函数中调用init()与start()函数,最后则是我上文刚分析过的数据处理与输出格式化。
2025-07-03 14:04:17
752
原创 DedeBIZ系统 审计小结
之前简单审计过DedeBIZ系统,网上还没有对这个系统的漏洞有过详尽的分析,于是重新审计并总结文章,记录下自己审计的过程DedeBIZ 系统并非基于 MVC 框架,而是采用 静态化与动态解析结合 的方式进行页面处理。其“路由”主要依赖 静态文件跳转 和 数据库模板解析,因此可以直接访问 PHP 文件来触发相应的动态解析逻辑。我一般会首先关注对文件的操作,任意文件上传、任意文件删除,任意文件读取、任意文件下载等漏洞都是我第一时间关注的重点,除了黑盒测试时关注功能点外,通过代码审计来看的话速度会更快一点。
2025-06-26 14:15:00
677
原创 Mysql LOAD DATA 读取客户端任意文件
MySQL 客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客户端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成,那么当它发送完第一个请求过后并不会存储这个请求,而是直接丢弃,所以第二步就是根据服务端的响应来继续进行,这里服务端就可以欺骗客户端做一些事情。但是一般的通信都是客户端发送一个 MySQL 语句然后服务器端根据这条语句查询后返回结果,也没什么可以利用的。
2025-06-25 15:20:07
992
原创 Apache Calcite Avatica 远程代码执行 CVE-2022-36364
Apache Calcite Avatica JDBC 驱动程序根据通过 httpclient_impl 连接属性提供的类名来创建 HTTP 客户端实例;但是在驱动程序实例化之前不会验证该类是否实现了预期的接口,这样一来就会导致可以通过调用任意类来执行代码。必须拥有控制 JDBC 连接参数的权限类路径中有一个具有 URL 参数和执行代码能力的函数(目前需要自己构造)
2025-06-19 15:31:50
1031
原创 ASCII码-shellcode的技巧
网上已经有成熟的工具了,所以就简单记录一下工具怎么用吧结合题目来看吧,没有开启NX保护,基本这类型题目九成九都是shellcode题程序一开始会让我们在bss段上输入数据,并且判断输入的字符大小是否小于0x1F,再结合NX保护没开启的操作,很容易可以想到此时输入的就是shellcode,而每个字节的不能小于0x1F,那么使用ASCII码shellcode就可以完全绕过了,因为小于0x1F的都是不可见字符接着再来看题目存在的漏洞,题目存在很明显的UAF漏洞。
2025-06-19 15:17:00
655
原创 记录一次时序数据库的实战测试
InfluxDB是一个由InfluxData开发的开源时序型数据库。它由Go写成,着力于高性能地查询与存储时序型数据。InfluxDB被广泛应用于存储系统的监控数据,IoT行业的实时数据等场景。在了解了InfluxDB的基本概念之后我们得先了解一下什么是时序性数据库。特征时序性数据库 (TSDB)关系型数据库数据模型专门设计用于时间序列数据,包括时间戳、测量值、标签和字段。通用数据模型,表格结构,支持多种数据类型。
2025-06-12 15:19:34
861
原创 从靶场到实战--双一流高校多个高危漏洞
Git就是一个开源的分布式版本控制系统,在执行git init初始化目录时会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除而是直接发布到服务器上,那么攻击者就可以通过它来恢复源代码,从而造成信息泄露等一系列的安全问题。这种:syl88888888一看就是弱口令,但如果你只是通过现存的什么top100,top500这种字典是爆破不出来的,所以在进行渗透测试时一定还要根据页面特征,关键字,系统名称首字母等信息制作特定的社工字典尝试。
2025-06-12 15:12:27
789
原创 三个月测一站-漏洞挖掘纯享版
延时成功,虽然从设计功能点来看,这其实并不能算是漏洞,因为本身开发者就是要这么设计的,但在挖掘漏洞时,这种功能点依旧可以通过审核,且在实战中如果这类功能点没有做好权限限制,也能利用sql语句获取敏感信息,写马,修改账户密码等。也就是id=1时的数据,而转化为数据包观察,直接实现数据库信息遍历,拿下五台数据库敏感信息,包含mysql,oracle等类型,危害瞬间扩大。进入一个系统时,一定不要着急马上测试,要先总体看看这个系统的功能点,基本结构,布局,然后再将功能点转化为数据包,接口,参数进行测试。
2025-06-05 15:58:42
756
原创 软件系统安全逆向分析-混淆对抗
在一般的软件中,我们逆向分析时候通常都不能直接看到软件的明文源代码,或多或少存在着混淆对抗的操作。下面,我会实践操作一个例子从无从下手到攻破目标。
2025-06-05 15:53:26
1003
原创 基于安全产品DNS隧道流量分析
本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。域名准备选择哪家的云都没问题,这里我选择的TX云,因为之前注册过了,自己拿来做个流量分析不成问题。
2025-05-29 15:59:16
384
原创 kernel heap exploit
Linux kernel 将内存分为 页(page)→区(zone)→节点(node) 三级结构,主要有两个内存管理器—— buddy system 与 slub allocator,前者负责以内存页为粒度管理所有可用的物理内存,后者则以slab分配器为基础向前者请求内存页并划分为多个较小的对象(object)以进行细粒度的内存管理。
2025-05-29 15:54:32
592
原创 realloc函数应用&IO泄露体验
本题主要介绍realloc函数,平时我们使用realloc最多便是在打malloc_hook-->onegadget的时候,使用realloc_hook调整onegadget的栈帧,从而getshell。在realloc函数中,也能像malloc一样创建堆,并且比malloc麻烦一些,但是倒是挺有趣的。
2025-05-21 15:15:00
1396
原创 若依 RuoYi4.6.0 代码审计
IDEA打开项目,等待自动加载,修改application-druid.yml配置文件:数据库名,账号密码,连接数据库,修改application.yml中的端口,避免与80端口冲突。此方法会接收一个SysRole类型的role值,并且将接受的role值以selectRoleList方法处理后返回给list,最后返回给http响应。authc 为登录拦截器,需要登录认证才能访问。该处代码先接收resource的值,再将该值放入checkAllowDownload方法里面校验后,进入下载文件的代码调用。
2025-05-19 14:30:00
1625
原创 逆向分析Office VBS宏类型文档
该题目贴合实际,在实战中经常遇到此类宏病毒将Office文档中嵌入以VBA(Visual Basic for Applications)编写的宏代码脚本,当运行Office文档时,便可以执行各种命令。VBA脚本文件重定向能够将脚本默认文件vbaProject.bin进行替换,在打开文本时加载其他文件,增加分析者的分析复杂程度。
2025-05-15 15:54:34
942
原创 Privilege Escalation 权限提升
除了我们已经介绍过的工具之外,还有许多不同语言的一些 shell 存储库。其中最突出的一个是 Payloads all the Things。此外,PentestMonkey Reverse Shell Cheatsheet 也很常用。除了这些在线资源,Kali Linux 还预装了位于 /usr/share/webshells 的各种 webshell。SecLists repo 虽然主要用于单词列表,但也包含一些用于获取 shell 的非常有用的代码。
2025-05-08 16:39:14
613
原创 Java反序列化(0):URLDNS的反序列化调试分析
URLDNS链子是Java反序列化分析的第0课,网上也有很多优质的分析文章。笔者作为Java安全初学者,也从0到1调试了一遍,现在给出调试笔记。
2025-04-23 15:21:20
759
原创 SIM Jacker攻击分析
2019年9月12日,AdaptiveMobile Security公布了一种针对SIM卡S@T Browser的远程攻击方式:Simjacker。攻击者使用普通手机发送特殊构造的短信即可远程定位目标,危害较大。sim卡的使用在手机上的使用非常普遍,所以一旦SIM卡上出现什么问题就会造成非常大的影响。在19年的报告纰漏中,在全球估算共有10亿设备的sim卡容易遭受SIM Jacker攻击,这篇也是比较浅显的对整个攻击进行分析。
2025-04-17 16:30:15
1022
原创 某应用虚拟化系统远程代码执行
微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。
2025-04-16 16:29:45
649
原创 Sudo堆溢出漏洞(CVE-2021-3156)复现
• 首先利用setlocate作为堆块分配与释放的原语,构造出适合的堆布局确保server_user堆块尽可能贴近漏洞代码开辟出来的堆块。• 其次利用堆溢出将server_user堆块的ni->name值覆盖,覆盖的值为恶意构造的动态链接库名。• 最后等待动态链接库被加载执行。
2025-04-10 14:52:35
1008
原创 sqlmap 源码阅读与流程分析
总结一下就是两点,一种方法是通过正则匹配的检测,另外一种方法是根据页面相似度来检测,我自己应该很难写出来 waf 检测的东西;届时再做尝试。
2025-03-27 16:43:44
852
原创 禅道后台命令执行漏洞
禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、 组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整地覆盖了项目管理的核心流程。禅道管理思想注重实效,功能完备丰富,操作简洁高效,界面美观大方,搜索功能强大,统计报表丰富多样,软件架构合理,扩展灵活,有完善的 API 可以调用。禅道后台存在 RCE 漏洞,均存在于历史版本,对这些漏洞进行复现分析。
2025-03-27 16:22:23
761
原创 建立通信隧道
端口转发(Port forwarding),有时被叫做隧道,端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为。简单来说就是将一个端口收到的流量转发到另一个端口。
2025-03-20 15:15:00
411
原创 Imagemagick 命令注入漏洞(CVE-2016-3714)
漏洞名称:Imagemagick 命令注入漏洞(CVE-2016-3714)漏洞定级:高危漏洞描述:ImageMagick 在处理恶意构造的图片文件时,对于文件中的 URL 未经严格过滤,可导致命令注入漏洞。通过命令注入漏洞,黑客可以在服务器上执行任意系统命令,获取服务器权限。影响范围:ImageMagick 6.9.3-9本身及以前所有版本。
2025-03-19 15:14:55
930
原创 Nftables栈溢出漏洞(CVE-2022-1015)复现
Nftables栈溢出漏洞攻击流程• 首先利用nft_bitwise进行内核基地址的泄露。• 其次是利用nft_payload改写返回地址,并将提权代码注入进去。• 最后等到代码被触发。Nftables栈溢出漏洞利用的限制• 不同的内核版本的内核栈布局几乎不同,因此不同版本之间的利用手法相差较大,因此漏洞的利用十分依赖于内核版本,针对不同的版本需要做出针对性的漏洞利用的exp编写。
2025-03-13 14:06:19
707
原创 PHP 远程代码执行漏洞复现(CVE-2019-11043)
CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。向Nginx + PHP-FPM的服务器 URL发送 %0a 时,服务器返回异常。该漏洞需要在nginx.conf中进行特定配置才能触发。攻击者可以使用换行符(%0a)来破坏 fastcgi_split_path_info 指令中的Regexp。Regexp被损坏导致PATH_INFO为空,从而触发该漏洞。
2025-03-13 13:59:31
392
原创 Java 反序列化 - commons collection 之困(一)
说到 java 反序列化,去搜索的话能看到网上有很多分析关于 commons collection 利用链的文章,emm 我一开始看不懂,看到很多代码的图头晕。这篇文章的话其实是我跟着 p 神的文章一路走下来的,所以整个逻辑会按照 p 神的文章走。那对于反射、动态代理也有一些自己的理解,所以就记录下来。希望也给你们多一个角度的理解。
2025-03-12 15:45:05
1058
原创 SQL Server 2016 安装和配置
操作系统:Windows Server 2019 标准版下载SQL Server 2016 安装文件下载SQL Managerment Studio。
2025-03-05 14:00:00
3350
原创 docker下运行漏洞环境
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。项目地址下载整个项目或者克隆完成后cd进入到漏洞目录,目录里有个docker-compose.yml文件,比如weblogic系列的CVE-2020-14882未授权访问漏洞的docker-compose.yml文件。
2025-03-03 16:15:00
733
原创 linux下搭建lamp环境(dvwa)
LAMP是指一组通常一起使用来运行动态网站或者服务器的自由软件名称首字母缩写:Linux,操作系统 Apache,网页服务器MariaDB或MySQL,数据库管理系统或数据库服务器PHP、Perl或Python,脚本语言。
2025-02-27 16:12:14
893
原创 Struts2远程代码执行漏洞CVE-2018-11776
Apache Struts框架是一个基于 Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目,Struts基于Model-View-Controller (MVC)的设计模式,可以用来构件复杂的Web应用。它允许我们分解一个应用程序的商业逻辑、控制逻辑和表现逻辑的代码,使它的重用性和维护性更好。Struts框架是Jakarta工程的一部分,由Apache软件基金会管理。
2025-02-27 16:08:08
465
原创 Apache Flink漏洞复现
Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致任意文件读取(CVE-2020-17519)和任意文件写入(CVE-2020-17518)漏洞。CVE-2020-17518攻击者利用REST API,可以修改HTTP头,将上传的文件写入到本地文件系统上的任意位置(Flink 1.5.1进程能访问到的)。
2025-02-20 14:00:00
1461
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人