Kingkk's Blog.

Kingkk's Blog.

热爱Web但是技术渣/或许是个黑客

phpcms 漏洞分析
phpcms v9.6.0 前台getshell漏洞分析漏洞发生在phpcms9.6.0\phpcms\modules\member\index.php 中的register函数,也就是对应着注册功能主要关注130行-136行之间的代码12345678//附表信息验证 通过模型获取会员信息if($member_setting['choosemodel']) { require_once CACHE_MODEL_PATH.'member_input.class.php'; require_once CACHE_MODEL_PATH.'member_update.class....
随笔-7.3
随笔-7.3又是一个学期的期末,由于突然做完了手头的一些事情,但又没有大量空余的时间学习。不知道干什么好的我还是随便写篇随笔吧。 这应该算是变化比较大的一个学期了。一个学期前还在考虑安全到底能不能当饭吃。如今实验室的三个学长也都到找了工作和实习。至少对在网安这路上的前行打了一剂强心针吧。这学期一开学,组长刚刚学了一寒假的pwn,应该算是刚入门吧。有了pwn选手之后的我们,差不多打了连续两个月的ctf。一开始是一些xctf的比赛,然后强网杯、DDCTF,可能反而越是到后来,就是打一些学校重视,类似于国赛这些。打ctf的过程其实也收获了很多。之前的我有时候看到ctf的writeup,总觉...
Metinfo v6.0.0 getshell in background
Metinfo v6.0.0 后台getshell漏洞分析漏洞发生在metinfo6\admin\column\save.php约32行处的column_copyconfig函数12345678910111213141516171819202122232425262728293031require_once '../login/login_check.php';require_once 'global.func.php';if($action=="editor"){ if($name=='')metsave('-1',$lang_js11); if($if_in==1 and ...
Flask/Jinja2 SSTI && python 沙箱逃逸
前言想着之前学了Flask,就正好把之前的SSTI模板注入,和python沙箱逃逸一起给学了虽然模板注入和沙箱逃逸是两码事,但是由于jinja2的python运行环境也是一个沙箱,就会涉及到到一些沙箱逃逸的东西而且沙箱逃逸也不仅仅只有在SSTI中发挥作用,所以虽然写在一起,但沙箱逃逸可能还会占一块比较大而独立的部分 SSTISSTI,又称服务端模板注入攻击。其发生在MVC框架中的view层。 服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题 先来看一...
flask-学习记录
前言等待漏洞审核和国赛名单真是个难熬的事情,目前已经等到麻木了期间就决定学习一下flask,了解一下python web之前学过一些Django,但是那时候还懵懵懂懂,而且Django封装了太多东西,那时候也就只能照着教程来依葫芦画瓢然后这回打算从更加轻量级的flask入手,来学习python web 正文不知道写啥就写博客系统呗,于是就花了两个星期左右时间写了一个博客系统还是先上下项目的github地址吧 主要的功能在github里已经说清楚了,写博客主要是为了理清flask的运行逻辑,以及一些相互关系 目录结构先上一下整个项目的目录结构123456789101112131...
74cms 漏洞分析
74cms v4.0-v4.1 前台getshell参考文章 漏洞发生在\Application\Home\Controller\MController.class.php中 代码如下123456789101112public function index(){ if(!I('get.org','','trim') && C('PLATFORM') == 'mobile' && $this->apply['Mobile']){ redirect(build_mobile_url()); } ...
metinfo5.3漏洞分析
Metinfo 5.3.17 前台SQL注入漏洞分析主要是参考p神的文章 注入点出现再一个公共函数库中/include/global.func.php中的jump_pseudo()123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960function jump_pseudo(){ global $db,$met_skin_user,$pseudo_jump; global $met_column,$met_ne...
一个从零开始的mvc
前言仔细算来,已经差不多有20天没有更新过博客了,自己的网站页差不多有十几天没来过了。好吧,其实是去coding去了,感觉没什么好记录也没什么需要记录的,也就没有写博客了。 正文emm,身为半个野路子出来的人,没有做过开发,从小迪开始,零星的收集着知识点,用着一些大佬写好的工具,抓几个包,肆意的跑着。实际渗透起来,总觉得像是一个无头的苍蝇,乱飞,费力而且找不到想要的东西。 这学期一开学差不多当了两个月的赛棍,从n1ctf一直到最后参加的ciscn。国际赛,全国赛,学校看重的比赛,乱七八糟的比赛都参加了。中间writeup写了不少,也学了不少骚操作。。可是连续打到了上一个月底的时候,在写w...
2018DDCTF writeup
前言DDCTF实在被虐的有点惨,中途就放弃了(逃……)只能赛后复现一下,不间断更新。。 数据库的秘密进入第一步是一个ip验证 用firefox的插件,添加一个x-forwarded-for 的header就行进入之后是个简单的查询功能任意查询之后发送给一个包,发现多了一个author参数回到html页面,发现的确有这个隐藏的form值经过一些尝试之后发现如下几点1、其他的非隐藏值都有被过滤,无法进行注入。但是对author进行admin'# 和admin' and 1#测试是发现存在注入2、有安全狗拦截3、不能进行任意发包,会对sig和time参数进行校验 接下来就是...
BCTF2018 LOVE Q
前言为数不多做出来的“高分题”(刚做出来的时候算高分,后来就掉下去了),记录一下 正文进入首页 和之前的N1CTF的web 7777类似,算是一个升级版最恶心的部分是waf,过滤了很多 数字部分能用的只有 2 和 9 比较符号除了 > 其余等号和小于号都过滤了还有一个问题,没有回显,ha?这回的points设置之后无法判断回显时间盲注的函数sleep、benchmark之类的函数都被禁用了没有回显怎么盲注呢,然后就将关注点转义到了为数不多的输出上 “sorry”当语句执行出错时,会输出sorry,想到找到一个语法正确,但是无法执行的语句 mysql> select ...
kingkk
FRIENDS
mt FAtwAER