Kingkk's Blog

菜的要死

Phpinfo With LFI

phpinfo with LFI 利用场景 当存在一个任意文件包含的页面,然而又找不到可以包含的文件,且有phpinfo页面时 可以利用phpinfo页面,找到上传的tmp文件,进行条件竞争,生成想要获得shell 利用原理 在对一个页面进行文件上传时,无论这个页面将来是否要利用这个文件,php都会将这个文件保存成一个临时文件,默认为 tmp/php[\d\w]{6} 关于这个文件的信息可以......
php

Phpcms 漏洞分析

phpcms v9.6.0 前台getshell 漏洞分析 漏洞发生在phpcms9.6.0\phpcms\modules\member\index.php 中的register函数,也就是对应着注册功能 主要关注130行-136行之间的代码 12345678//附表信息验证 通过模型获取会员信息if($member_setting['choosemodel']) { requir......

随笔-7.3

随笔-7.3 又是一个学期的期末,由于突然做完了手头的一些事情,但又没有大量空余的时间学习。不知道干什么好的我还是随便写篇随笔吧。 这应该算是变化比较大的一个学期了。一个学期前还在考虑安全到底能不能当饭吃。如今实验室的三个学长也都到找了工作和实习。至少对在网安这路上的前行打了一剂强心针吧。 这学期一开学,组长刚刚学了一寒假的pwn,应该算是刚入门吧。有了pwn选手之后的我们,差不多打了连续两......

Metinfo v6.0.0 Getshell in Background

Metinfo v6.0.0 后台getshell 漏洞分析 漏洞发生在metinfo6\admin\column\save.php约32行处的column_copyconfig函数 12345678910111213141516171819202122232425262728293031require_once '../login/login_check.php';require_once......

Flask/Jinja2 SSTI && Python 沙箱逃逸

前言 想着之前学了Flask,就正好把之前的SSTI模板注入,和python沙箱逃逸一起给学了 虽然模板注入和沙箱逃逸是两码事,但是由于jinja2的python运行环境也是一个沙箱,就会涉及到到一些沙箱逃逸的东西 而且沙箱逃逸也不仅仅只有在SSTI中发挥作用,所以虽然写在一起,但沙箱逃逸可能还会占一块比较大而独立的部分 SSTI SSTI,又称服务端模板注入攻击。其发生在MVC框架中的vi......

Flask-学习记录

前言 等待漏洞审核和国赛名单真是个难熬的事情,目前已经等到麻木了 期间就决定学习一下flask,了解一下python web 之前学过一些Django,但是那时候还懵懵懂懂,而且Django封装了太多东西,那时候也就只能照着教程来依葫芦画瓢 然后这回打算从更加轻量级的flask入手,来学习python web 正文 不知道写啥就写博客系统呗,于是就花了两个星期左右时间写了一个博客系统 还是先......

74cms 漏洞分析

74cms v4.0-v4.1 前台getshell 参考文章 漏洞发生在\Application\Home\Controller\MController.class.php中 代码如下 123456789101112public function index(){ if(!I('get.org','','trim') && C('PLATFORM') == 'mo......

metinfo5.3漏洞分析

Metinfo 5.3.17 前台SQL注入漏洞分析 主要是参考p神的文章  注入点出现再一个公共函数库中/include/global.func.php中的jump_pseudo() 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565......

一个从零开始的Mvc

前言 仔细算来,已经差不多有20天没有更新过博客了,自己的网站页差不多有十几天没来过了。好吧,其实是去coding去了,感觉没什么好记录也没什么需要记录的,也就没有写博客了。 正文 emm,身为半个野路子出来的人,没有做过开发,从小迪开始,零星的收集着知识点,用着一些大佬写好的工具,抓几个包,肆意的跑着。 实际渗透起来,总觉得像是一个无头的苍蝇,乱飞,费力而且找不到想要的东西。 这学期一开学......

2018DDCTF Writeup

前言 DDCTF实在被虐的有点惨,中途就放弃了(逃……) 只能赛后复现一下,不间断更新。。 数据库的秘密 进入第一步是一个ip验证 用firefox的插件,添加一个x-forwarded-for 的header就行 进入之后是个简单的查询功能 任意查询之后发送给一个包,发现多了一个author参数 回到html页面,发现的确有这个隐藏的form值 经过一些尝试之后发现如下几点 1、......