前言说是漏洞,更恰当一点应该是安全隐患吧,由于是框架洞,总要结合一些开发人员不够专业的代码才能产生漏洞。
这个聚合查询的漏洞主要影响的版本有
Thinkphp5 < 5.1.25
Thinkphp3 < 3.2.4
影响的函数涉及到所有的聚合查询函数
而且,有一点就是,可以看到在TP5中涉及到SQL查询的地方,几乎都用了预编译
而且由于PDO::ATTR_EMULATE_PREPARES设置的原因,导致模拟预处理关闭,从而在预编译阶段无法从数据库中获取数据,从而报错退出。从之前爆出的几个TP5漏洞中就能看到,这样一个很大的弊端就是即使注入存在,也无法从数据库中获取到数据...
前言Metinfo算是我审的第一个cms吧,前期感觉算是一个写的不怎么好的cms,伪全局变量的问题更是不知道引发了多少次漏洞。还记得那些网上的审计教程,说到变量覆盖这个问题都是以metinfo来举例的。但后期逐渐来了次mvc的大换血,框架更新了下,变量问题也得到了相应调整,也算是逐渐在变好吧。
说了那么多,由于是第一个接触的cms问题,最近被爆出洞也就跟着一起复现了下(我好菜啊。。反正我就挖不到
SQL注入1漏洞出现在app/system/message/web/message.class.php:37的add函数中
123456789public function add($info)...
前言几个简单复现了下的漏洞类型,但是又我之前没学过的。
总是喜欢记录一下,但是又不想分开三篇来记录,就合到了一篇里面。
phar反序列化前段时间black hat会议上新提出的一种攻击手法(但orange师傅2017年就用这个在hitcon出过题)
主要是利用phar://协议在解析数据的时候,会触发一次unserialize,从而产生反序列化
phar文件格式文件格式里有那么几个比较重要的参数
stub为一个phar的标志,格式为
1xxx<?php xxx; __HALT_COMPILER();?>
后面必须以__HALT_COMPILER();?>结尾,否则无法识...
前言实力证明还是我还是最菜的那个,总之没写出来什么题,而且由于web题目都关了,复现也比较复杂,这里我也就简单记录下思路,防止以后忘了也能看下,4uuu师傅出的ez_laravel给了docker镜像,详细分析和复现下,确实是一道好题,膜4uuu师傅。
https://github.com/sco4x0/huwangbei2018_easy_laravel
想看wp的可以看
http://n3k0sec.top/2018/10/13/%E6%8A%A4%E7%BD%91%E6%9D%AFwp/#WEB
https://xz.aliyun.com/t/2893#toc-15
https:/...
Host header
服务器的域名(用于虚拟主机 ),以及服务器所监听的传输控制协议端口号。如果所请求的端口是对应的服务的标准端口,则端口号可被省略。
自超文件传输协议版本1.1(HTTP/1.1)开始便是必需字段。
以上是维基百科中对于Host头部的说明。可以看到Host头部并非是用于区别发送到哪台主机的字段。而是用于区分一台主机上不同的虚拟主机。(可以在Apache和Nginx中配置相应Host对应的虚拟主机。
利用PHP可以在$_SERVER['HTTP_HOST']字段中获取到该字段的值
1var_dump($_SERVER['HTTP_HOST']);
当...
文章首发安全客 https://www.anquanke.com/
路由分析路由是分析和审计cms前一个很重要的点,能了解整个cms的基本框架和代码流程。
禅道各个版本中路由都没有什么较大的变化,这里以9.1.2为例进行分析。
首先,禅道里有两种类型的路由,分别对应者两种不同的url访问方式
PATHINFO:user-login-L3plbnRhb3BtczEwLjMuMS93d3cv.html 以伪静态形式在html名称中传参
GET:index.php?m=block&f=main&mode=getblockdata 类似于其他常规cms在get参数中传...
ThinkPHP 5.0.9 鸡肋SQL注入虽说鸡肋,但是原理还是很值得深思的,而且也能靠报错获取一手数据库信息。
漏洞利用先从官网下载版本为5.0.9的thinkphp,然后创建一个demo应用,这里直接借鉴的p神vulhub中的代码和数据
https://github.com/vulhub/vulhub/tree/master/thinkphp/in-sqlinjection/www ( 不直接用docker环境是为了方便后期调试溯源
还有一个点就是thinkphp默认是开启debug模式的,就会显示尽可能多的报错信息,也是利用这个才能获取到数据库信息。这个感觉其实也怪不了官网,毕竟...
前言最近和组内大佬一起刷的vulnhub,GeminiInc有v1和v2两个版本,感觉有很多新奇的东西,遂单独拿出来记录一下
GeminiInc V1主机探测arp-scan -l探测一手ip信息,检测到靶机ip为192.168.85.142
nmap探测一波端口信息
1nmap -sS -T4 -A -v 192.168.85.142
开了常规的22和80端口
web attack访问80端口后是个监听的目录,只有一个test2目录,进去就是了
给出了一个建站模板的github地址
分析一波之后可以在install.php中看到默认的管理员账号密码
可以尝试用这个默认的管理员账号...
Node 1主机探测先用arp-scan -l或者nmap -sP扫描一下C段进行主机发现
发现主机ip为192.168.85.135
然后利用nmap进行详细扫描
1nmap -sS -T4 -A -v 192.168.85.135
获取源码访问下3000端口,是个正常的web服务
查看js文件后可以看到一些api端口,访问一下可以发现一些类似memached的字段
可以试着找一些网站解一下hash
解出tom的密码为spongebob,尝试登录一下
似乎在说需要管理员登录,于是重新看了些api,发现/api/users中可以看到管理员的密码哈希值
还是可以解出,然后登录之后...
About WebLogic
WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到12c(12.1.1)版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件(但目前Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic Server之外的企业包),以及OEPE(Oracle Enterprise Pack for Eclipse)开发...
