前言 这是 2023.9.8-2023.10.8 工作室招新赛的题,本人出了一些题目,Web 类型的题解如下。 ClickMe 在浏览器地址栏按 F12 移除 style 中的 pointer-events: none; 再点击中间的文本即可。(注意我 ban 了 f12 和 ctrl+u,只是在页面上 ban,在浏览器地址栏还是可以按出来的) 或…
前言 本文在实现完 Jetty Listener 回显内存马后,Servlet 和 Filter 类型的内存马想必就是信手拈来了。阅读本文之前建议先阅读 https://sec.1i6w31fen9.top/2023/11/18/jetty-listener-%e5%9e%8b%e5%86%85%e5%ad%98%e9%a9%ac/ ,这样更好理解…
前言 本文介绍的是 Jetty Listener 回显内存马的实现思路和细节以及反序列化漏洞的注入。所给出的 PoC 代码已通过反序列化注入的方式测试成功。 环境 引入依赖以及环境如下: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="h…
当你遇到一个 Web 环境,可以执行命令,但是 Web 路径没有写权限,也没有回显,目标也不出网,怎么办?思考 SQL 注入中存在延时注入,是否我们也可以做到呢?下面就以 Linux 环境来尝试分析吧。 代码如此: <?php highlight_file(__FILE__); error_reporting(0); // Everythin…
前言 这是通过 JavaAgent + javassist 动态修改 web 服务内部关键类注入恶意代码的内存马技术。限制是需要在已经控制目标机器并且上传 Agent jar 包和 javassist 包才可以完成的注入。 环境 tomcat 环境(目标受害环境): <project xmlns="http://maven.apac…
“知识在于积累” 比较常见的不死马是通过一个死循环强占一个 PHP 进程不断写入恶意的代码到 php 文件中。代码如下: <?php // 忽略用户中止并允许脚本 // 永远运行 ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); // unlink,删除自身 $file…
前言 Jackson 在 SpringBoot 中自带。而这个依赖包中的 POJONode 在调用 toString 会触发 getter 方法的调用。类似于 fastjson 的 parse 和 rome 的 ToStringBean#toString。因此如果目标环境可以用 TemplatesImpl 并且 jdk 版本较低,那么将可以在 Sp…
前言 任意文件上传漏洞应该避免,攻击者可以上传任意数量、任意大小的文件至服务器,导致服务器磁盘不足,无法正常运行,造成拒绝服务攻击。甚至可以造成远程命令执行。 绕过 服务端有时候会对用户上传的文件进行校验。我们可以有这些思路进行绕过。 文件头 https://en.wikipedia.org/wiki/List_of_file_signatures…
实验环境 仍旧像介绍 tomcat 一样,目标是反序列化注入内存马。引入存在漏洞 rome 依赖。 pom.xml 主要如下: <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-pa…
前言 本文对 Tomcat 的各种内存马进行了简单学习和整理,所给出的 PoC 代码均已通过反序列化注入的方式测试成功。 环境 引入依赖以及环境如下: <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> &…