Q：什么时候可能用到这篇文章的内容？ A：想要绕过防火墙执行代码的时候。 无字母 RCE 方法可以考虑： 取反 按位异或 自增 POC 上传文件 取反 php 5 无法复现，但是 php 7 可以。原因是PHP7前是不允许用($a)();这样的方法来执行动态函数的，但PHP7中增加了对此的支持 如果目标存在 <?php @eval($_REQ…

当你找到了一个反序列化的点，但是不确定目标存在哪些依赖，从而无法及时构造出合适的 Gadget，实在是令人可惜。那么有没有办法 fuzz 出目标的 class 呢？反序列化炸弹的方式可以做到！ 原理：通过构造特殊的多层嵌套 HashSet，导致服务器反序列化的时间复杂度提升，消耗服务器性能，导致延时确认 class。 示例： package yso…

前言 需要在 CTFd 平台中加入当提交 flag 则会在群中播报并且还可以返回排行榜的功能。群聊机器人的实现依赖于 cq-http。整个部署完全使用 Docker。 框架图如下： 在此记录并分享思路。 sign-server 在部署 cqhttp 前，我们需要先搭建签名服务器，用于登录验证。新建一个目录 mkdir -p ~/docker/uni…

前言 这是 2023.9.8-2023.10.8 工作室招新赛的题，本人出了一些题目，Web 类型的题解如下。 ClickMe 在浏览器地址栏按 F12 移除 style 中的 pointer-events: none; 再点击中间的文本即可。（注意我 ban 了 f12 和 ctrl+u，只是在页面上 ban，在浏览器地址栏还是可以按出来的） 或…

前言 本文在实现完 Jetty Listener 回显内存马后，Servlet 和 Filter 类型的内存马想必就是信手拈来了。阅读本文之前建议先阅读 https://f0rget.me/2023/11/18/jetty-listener-%e5%9e%8b%e5%86%85%e5%ad%98%e9%a9%ac/ ，这样更好理解文章内容。 分析和…

前言 本文介绍的是 Jetty Listener 回显内存马的实现思路和细节以及反序列化漏洞的注入。所给出的 PoC 代码已通过反序列化注入的方式测试成功。 环境 引入依赖以及环境如下： <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="h…

当你遇到一个 Web 环境，可以执行命令，但是 Web 路径没有写权限，也没有回显，目标也不出网，怎么办？思考 SQL 注入中存在延时注入，是否我们也可以做到呢？下面就以 Linux 环境来尝试分析吧。 代码如此： <?php highlight_file(__FILE__); error_reporting(0); // Everythin…

前言 这是通过 JavaAgent + javassist 动态修改 web 服务内部关键类注入恶意代码的内存马技术。限制是需要在已经控制目标机器并且上传 Agent jar 包和 javassist 包才可以完成的注入。 环境 tomcat 环境（目标受害环境）： <project xmlns="http://maven.apac…

“知识在于积累” 比较常见的不死马是通过一个死循环强占一个 PHP 进程不断写入恶意的代码到 php 文件中。代码如下： <?php // 忽略用户中止并允许脚本 // 永远运行 ignore_user_abort(true); set_time_limit(0); unlink(__FILE__); // unlink，删除自身 $file…

前言 Jackson 在 SpringBoot 中自带。而这个依赖包中的 POJONode 在调用 toString 会触发 getter 方法的调用。类似于 fastjson 的 parse 和 rome 的 ToStringBean#toString。因此如果目标环境可以用 TemplatesImpl 并且 jdk 版本较低，那么将可以在 Sp…