Kingkk's Blog.

Kingkk's Blog.

热爱Web但是技术渣/或许是个黑客

hctf2018-web writeup
前言去年参加hctf的时候还是个小萌新,正好这个周末没什么事情参加了一下htcf的十周年纪念版,题目质量很高哈 和队友一起有幸做出了几道web题,记录并学习一下。(web狗只会做web。。。 Warmup签到题,题目比较简单 html源码里能看到source.php的提示,从而可以获取到源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748<?php class emmm { public static function ...
weblogic漏洞扫描工具 weblogic-scan
前言前段时间试着挖了一段时间的src,在挖掘过程中由于相当多的站是使用weblogic搭建的,手工测测得有点疲惫了,网上也没找到比较好的工具。于是花了两三天的时间写了一个。感觉效果还行? 前期检测的功能不是特别多,但是比起手工已经省了不少的力气了。后期尽量会继续加些功能的。 github地址:https://github.com/kingkaki/weblogic-scan weblogic-scanweblogic 漏洞扫描工具妄想试图weblogic一把梭目前检测的功能 console 页面探测 & 弱口令扫描 uuid页面的SSRF CVE-2017-10271 w...
2018SECCON ghostkingdom
前言唯一的一道web题,周末有事去啦就没做上,赛后复盘了一下。 有两个之前没学过的知识点,CSS injection和Ghost命令执行(暑假出来的时候太懒就没复现T_T 这篇writeup想以另外一种形式来写,会更注重下这两个漏洞的原理和利用。 ghostkingdom主要功能题目开始是个简单的注册登录,登录的时候仔细观察可以发现登录的账号密码是通过GET方式传输的(稍后会有用 进去之后有三个主要的功能点 给管理员发送消息(测试xss似乎不管用 截屏 上传图像(只有本地登录的用户才可以开启这个功能 一番测试之后,可以发现发送消息的url有一些端倪 1http://ghostkin...
hitcon2018 One Line PHP Challenge
前言膜orange,质量相当高的题目。 整理思路题目相当简单,就一句话 1($_=@$_GET['orange']) && @substr(file($_)[0],0,6) === '@<?php' ? include($_) : highlight_file(__FILE__); 可以看到需要一个文件以@<?php开头的文件,然后就可以进行文件包含。 环境以及配置都是默认的Ubuntu18.04+Apache2+PHP7.2 不考虑0day的情况下。这里文件名是可以完全控制的,就需要想到各种协议流以及php的伪协议。 这样,或许可以利用伪协议的方式来控制文件...
ThinkPHP 聚合查询漏洞
前言说是漏洞,更恰当一点应该是安全隐患吧,由于是框架洞,总要结合一些开发人员不够专业的代码才能产生漏洞。 这个聚合查询的漏洞主要影响的版本有 Thinkphp5 < 5.1.25 Thinkphp3 < 3.2.4 影响的函数涉及到所有的聚合查询函数 而且,有一点就是,可以看到在TP5中涉及到SQL查询的地方,几乎都用了预编译 而且由于PDO::ATTR_EMULATE_PREPARES设置的原因,导致模拟预处理关闭,从而在预编译阶段无法从数据库中获取数据,从而报错退出。从之前爆出的几个TP5漏洞中就能看到,这样一个很大的弊端就是即使注入存在,也无法从数据库中获取到数据...
Metinfo6.1.2 两处sql注入分析
前言Metinfo算是我审的第一个cms吧,前期感觉算是一个写的不怎么好的cms,伪全局变量的问题更是不知道引发了多少次漏洞。还记得那些网上的审计教程,说到变量覆盖这个问题都是以metinfo来举例的。但后期逐渐来了次mvc的大换血,框架更新了下,变量问题也得到了相应调整,也算是逐渐在变好吧。 说了那么多,由于是第一个接触的cms问题,最近被爆出洞也就跟着一起复现了下(我好菜啊。。反正我就挖不到 SQL注入1漏洞出现在app/system/message/web/message.class.php:37的add函数中 123456789public function add($info)...
phar & fastcgi & rsync 漏洞小结
前言几个简单复现了下的漏洞类型,但是又我之前没学过的。 总是喜欢记录一下,但是又不想分开三篇来记录,就合到了一篇里面。 phar反序列化前段时间black hat会议上新提出的一种攻击手法(但orange师傅2017年就用这个在hitcon出过题) 主要是利用phar://协议在解析数据的时候,会触发一次unserialize,从而产生反序列化 phar文件格式文件格式里有那么几个比较重要的参数 stub为一个phar的标志,格式为 1xxx<?php xxx; __HALT_COMPILER();?> 后面必须以__HALT_COMPILER();?>结尾,否则无法识...
护网杯-web
前言实力证明还是我还是最菜的那个,总之没写出来什么题,而且由于web题目都关了,复现也比较复杂,这里我也就简单记录下思路,防止以后忘了也能看下,4uuu师傅出的ez_laravel给了docker镜像,详细分析和复现下,确实是一道好题,膜4uuu师傅。 https://github.com/sco4x0/huwangbei2018_easy_laravel 想看wp的可以看 http://n3k0sec.top/2018/10/13/%E6%8A%A4%E7%BD%91%E6%9D%AFwp/#WEB https://xz.aliyun.com/t/2893#toc-15 https:/...
Apache/Nginx中Host头攻击的一些差异
Host header 服务器的域名(用于虚拟主机 ),以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口,则端口号可被省略。 自超文件传输协议版本1.1(HTTP/1.1)开始便是必需字段。 以上是维基百科中对于Host头部的说明。可以看到Host头部并非是用于区别发送到哪台主机的字段。而是用于区分一台主机上不同的虚拟主机。(可以在Apache和Nginx中配置相应Host对应的虚拟主机。 利用PHP可以在$_SERVER['HTTP_HOST']字段中获取到该字段的值 1var_dump($_SERVER['HTTP_HOST']); 当...
禅道pms-路由及漏洞分析
文章首发安全客 https://www.anquanke.com/ 路由分析路由是分析和审计cms前一个很重要的点,能了解整个cms的基本框架和代码流程。 禅道各个版本中路由都没有什么较大的变化,这里以9.1.2为例进行分析。 首先,禅道里有两种类型的路由,分别对应者两种不同的url访问方式 PATHINFO:user-login-L3plbnRhb3BtczEwLjMuMS93d3cv.html 以伪静态形式在html名称中传参 GET:index.php?m=block&f=main&mode=getblockdata 类似于其他常规cms在get参数中传...