sky's blog

前言之前写的文章都是偏重于php，本篇文章就以2019 Trend Micro CTF的一道300分的Java Web开始我的Java之路吧~ 题目分析题目给了1个war包，那么很明显是一道代码审计题目，我们使用JD-GUI打开分析一下代码，代码结构大致如下：zhao我们在Office类中看到需要接收2个参数：继续往下跟进，我们看到一个明显的spel表达式注入点：而nametag正是我们传入的参数，同时未做任何过滤，便带入了表达式中进行解析，那么这明显是一个可控利用点。但是如何进入该if条件句成为了一个问题，我们注意到：123String keyParam = request.getPa...

前言今天要坐5个小时的高铁，在车上顺便打了个比赛，以下是web题解。 Game拿到题发现是个老虎机= =，本能的查看JS：1http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/js/cqg.js 发现：随机直接给score.php发包：1234567import requestsurl = 'http://4c7add9a08cb4acda1bec9c7693bf7d121100f86cdf74096.changame.ichunqiu.com/score.php'data =
...

前言为了去重庆XCTF Final吃火锅，周末就冲了一下De1CTF，以下是本次比赛Web题解。 SSRF Me拿到题目源码如下：1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798#! /usr/bin/env python#encoding=utf-8from fla...

前言PHPGGC 是一款能够自动生成主流框架的序列化测试payload的工具，类似 Java 中的 ysoserial，支持大量主流框架的序列化exp一键生成。但因为工具作者的时间有限，不能做到实时更新。而本文旨在分析phpggc原理，并为其添加拓展，以便我们加入最新的，自己需要的exp生成模块。 phpggc流程分析当我们运行：1phpggc Laravel/RCE1 system id 我们跟踪一下具体流程。 初始化流程在创建对象时，我们下断点，发现首先程序会进行load_gadget_chains():紧接着程序会寻找定义申明过的class:经过array_filter，将程序自己...

laravel序列化Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)，若其本身出现漏洞，则对使用响应框架开发的网站影响是致命的。而这里就将分析laravel框架序列化RCE，CVE编号：CVE-2019-9081，受影响范围：laravel >= 5.7。 类名加载我们首先随便构造一段序列化：12345678<?phpclass sky{public $sky='test';}$sky = new sky();echo urlencode(serialize($sky));# O%3A3%3A%22sky%22%...

前言周末参加了LCBC主办的2019 CyBRICS CTF Quals，在金砖五国中，获得了top5的成绩，以下是web的题解。 Bitkoff Bank点一次mine btc，获得0.0000000001 BTC，而购买auto-miner需要0.1 USD。购买auto-miner后，我们的网页会多出这样一个script，每秒帮我们点击1000次，但实际上并非1秒能获得这么多BTC：然后获取flag需要1USD，显然即便依靠auto-miner也是遥遥无期的。通过做题的经验，给了的功能一般不会白给，我们测试一下转换功能，发现不断将BTC转成USD，将USD转成BTC，就会因为汇率问...

前言接之前的两篇文章：12https://www.4hou.com/web/17835.htmlhttps://www.4hou.com/web/17976.html 之前分别介绍了php序列化攻击的魔法方法、session序列化引擎以及原生类序列化问题。本篇文章则主要从真实案例来看序列化的pop链构造。 typecho序列化这一节就简单说一下构造链，因为之前的文章分析过，可详见：1https://skysec.top/2017/12/29/cms%E5%B0%8F%E7%99%BD%E5%AE%A1%E8%AE%A1-typecho%E5%8F%8D%E5%BA%8F%E5%88%97...

前言这篇文章接之前留下的坑，主要分析了java Tapestry的一个从文件读取到反序列化RCE的一个漏洞和ocaml的一个小trick。 hotel booking system发现Tapestry版本号，同时发现该网站是Tapestry的demo，在github已开源：1https://github.com/ccordenier/tapestry5-hotel-booking 同时题目功能极少，只有search功能：以及hint信息：1234Anyway, As the project has no usable gadget libraries, I added C3P0 to ...

前言2019 WCTF看到有一道web题目开源了：https://github.com/paul-axe/ctf.git。同时看到wupco的题解：https://hackmd.io/@ZzDmROodQUynQsF9je3Q5Q/HkzsDzRxr。感觉这道题非常有趣，于是在此分析一下。 信息搜集拿到题目后，粗略的看了一下几个功能：1.注册2.登录3.写文章同时注意到cookie：看到有序列化的值，那么猜测可能有源码泄露：1http://192.168.1.106:10003/.git/ 扫描后发现确实存在文件泄露。 目录穿越代码量非常少，但挑战不小。我们关注到主要有3个大类：User...

前言接之前的分析文章，本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。 web3预置后门扫描打开源码发现是主流cms typecho，先上工具扫一波：同时注意到版本号：根据github的开源项目回滚到当前版本：并进行diff： 用户名RCE容易发现/admin/login.php处，$rememberName被反引号包裹，可以进行RCE。 SSRF漏洞/var/Widget/XmlRpc.php：该漏洞应该为typecho对应版本的原生漏洞，可以搜到相关信息：那么关键点就在于过滤时，未把file协议过滤掉：/var/Typecho/Http/Client/Adapter.ph...