Kingkk's Blog.

Kingkk's Blog.

热爱Web但是技术渣/或许是个黑客

【Struts2-命令-代码执行漏洞分析系列】S2-012
前言漏洞环境改自vulhub的,环境地址 https://github.com/kingkaki/Struts2-Vulenv/tree/master/S2-012 漏洞信息https://cwiki.apache.org/confluence/display/WW/S2-012 The second evaluation happens when redirect result reads it from the stack and uses the previously injected code as redirect parameter. This lets maliciou...
【Struts2-命令-代码执行漏洞分析系列】 S2-008 & S2-009
前言这两篇漏洞分析总感觉有些不尽人意的地方,可能也是因为太菜了吧。漏洞环境改自vulhub https://github.com/kingkaki/Struts2-Vulenv S2-008漏洞信息https://cwiki.apache.org/confluence/display/WW/S2-008 主要是利用对传入参数没有严格限制,导致多个地方可以执行恶意代码 Remote command execution in Struts <= 2.2.1.1 (ExceptionDelegator)When an exception occurs while applying ...
【Struts2-命令-代码执行漏洞分析系列】S2-007
前言继上回S2-001之后,继续分析了S2-007,若有疏漏,还望多多指教。 漏洞环境根据vulhub中的环境修改而来 https://github.com/vulhub/vulhub/tree/master/struts2/s2-007 这回的S2-007和上回的S2-001漏洞环境地址 https://github.com/kingkaki/Struts2-Vulenv 有感兴趣的师傅可以一起分析下 漏洞信息官方漏洞信息页面: https://cwiki.apache.org/confluence/display/WW/S2-007 形成原因: User input is eva...
从零开始学习struts2 S2-001
前言由于之前面向对象语言学习的是C++,而且java还是有着蛮多的语言规范,导致看不怎么懂java,从而java安全这块的内容一直没怎么涉及。 后来之前蛮火的S2-057,自己也就没怎么能去参与。于是想着,趁着暑假这最后还有一两个星期的时间,入门学习一下java安全。想着即使在这块没有什么研究,但能做到看得懂,会利用把。 于是挑了看起来最简单的S2-001来尝试复现,由于在java web这块完全没有什么基础,导致踩了很多坑,很多也是环境、搭建上面的问题,最后总算还是艰难的完成了复现,遂记录一下。 环境搭建平台:win10 工具: Apache Tomcat 9.0.7 Intelli...
Discuz漏洞分析
Discuz 标题存储型XSS测试环境 Discuz x3.3 utf-8 漏洞利用首先需要在后台开启四方格功能(很多discuz网站一般都是开的 然后在发帖标题设为 1&#x003c;img src=1 onerror=alert(1)&#x003e; 回到主页之后,当鼠标划过主题名称的时候,就会触发漏洞 漏洞分析检查元素的时候可以看到,这里触发了onmouseover 这个函数的位置在discuz\static\js\common.js中 123function showTip(ctrlobj) { $F('_showTip', arguments)...
xss知识点小记
前言最近在学习xss,记录一些比较重要的知识点。有时能从根本上解决一些问题的疑惑 同源策略同源策略可以说是浏览器安全中最最基础也最为重要的部分了。同源策略限制了资源的任意加载,限制恶意请求。 何为同源这个估计大家都比熟悉,简单的来说就是如下三点 协议相同(http/https) 端口相同 host相同 请求过程跨域请求在html中的不同位置都会有发生,主要分为如下三类 Cross-origin embedding嵌入资源,比如一些图片、视频、字体、css、js资源等 这种嵌入式的资源是可以跨域访问的 Cross-origin write例如form表单的提交,以及一些link的重定...
网鼎杯writeup-web
前言感觉又是一对web狗极度不友好的比赛,一开始网络环境都是奔溃的,正紧能做题已经是最后两个半小时了。第二道题还是最后一个半小时放出来的,相当难受了。(i春秋真的可以升级下服务器了。。。 不过spider这道反日爬虫的题目感觉还是很有意思的,加上最近刚学的xss和redis,决定还是好好复现一下 spider题目给了提示说是动态爬虫,一开始对这个不是很了解,大意应该就是自带js解析,类似于浏览器会自动加载js,然后再抓取里面的内容。毕竟这年头ajax那么流行,只抓纯html页面怕是没什么内容。 可以写一个简单的测试样例 12345<a id="a">123</a>...
xss练习记录
前言由于各种原因吧,之前也没好好学过xss,就知道简单的闭合弹个窗什么的,趁暑假有时候,系统的学习一下xss。毕竟xss也是web安全的一个重头戏。而且看完一叶飘零师傅的文章,感觉xss比我之前想象的要强的多,也可以达到很强的破坏力。 就先和刷sqllibs一样吧,做一些题目练手。 prompt.mllevel 0比较简单了,没做什么过滤和防护,闭合双引号就能逃逸出来了 level 1做了一些过滤,不允许输入<xxx>、</xxx>形式的标签 12345function escape(input) { var stripTagsRE = /<...
redis未授权访问与ssrf利用
Redis未授权访问About Redis简介redis是一种key-value键值对的非关系型数据库,默认运行在6379端口 它启动时不会像apache一样,以一种www-data低权限身份运行。而是以运行者的身份,例如用root权限直接运行redis时,redis的权限就是root权限 其次它的默认配置是无需密码的,也就造成了默认的未授权访问 redis还支持本地存储,也就导致了任意文件写入。从而可以写入私钥,利用私钥直接ssh登录服务器。 一些常用命令连接redis 1redis-cli -h 192.168.85.132 查看版本信息 1192.168.85.132:6379&g...
Flask debug pin安全问题
前言之前在国赛决赛的时候看到p0师傅提到的关于Flask debug模式下,配合任意文件读取,造成的任意代码执行。那时候就很感兴趣,无奈后来事情有点多,一直没来得及研究。今天把这个终于把这个问题复现了一下 主要就是利用Flask在debug模式下会生成一个Debugger PIN 12345kingkk@ubuntu:~/Code/flask$ python3 app.py * Running on http://0.0.0.0:8080/ (Press CTRL+C to quit) * Restarting with stat * Debugger is active! * Deb...