kkFileView v4.2.0~v4.4.0-beta RCE 漏洞分析
黄金榜上,偶失龙头望。明代暂遗贤,如何向。未遂风云便,争不恣狂荡。何须论得丧?才子词人,自是白衣卿相。烟花巷陌,依约丹青屏障。幸有意中人,堪寻访。且恁偎红倚翠,风流事、平生畅。青春都一饷。忍把浮名,换了浅斟低唱!
Zip Slip漏洞还是很经典的,但没咋接触过,记录一下,Java Zip Slip漏洞案例分析及实战挖掘
环境搭建123wget https://kkview.cn/resource/kkFileView-4.3.0-docker.tardocker load -i kkFileView-4.3.0-docker.tardocker run -it -p 8012:8012 keking/kkfileview:4.3.0
后续可以把jar拉出来,然后动调
1java -Dfile.encoding=UTF-8 -Dspring.config.location=../config/application.properties -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar k ...
第二届 AliyunCTF chain17复现
他时若遂凌云志,敢笑黄巢不丈夫!
学到了,学废了,Orz
原生反序列化先来看看 toString 的新链
javax.swing.event.EventListenerList#readObject
调用add方法
Automatic Call of toString():初次看的时候,发现并没有toString的调用啊,疑惑?其实巧妙的是,在 Object 进行拼接的时候会自动触发该对象的toString方法(很基础的点,但很容易遗漏)
接下来看看是否可控,很明显是EventListener l = (EventListener)s.readObject();
1234567891011121314151617// Serialization support.private void writeObject(ObjectOutputStream s) throws IOException { Object[] lList = listenerList; s.defaultWriteObject(); // Save the non-null event ...
RWCTF 6th ChatterBox
向晚意不适,驱车登古原。夕阳无限好,只是近黄昏。
PostgreSQL注入首先该系统需要登录才能进行后续操作,因为验证的HttpSession
看到登录逻辑
12345678910111213141516171819202122232425262728293031323334353637383940@RequestMapping({"/login"})public String doLogin(HttpServletRequest request, Model model, HttpSession session) throws Exception { String username = request.getParameter("username"); String password = request.getParameter("passwd"); if (username != null && password != null) { if (!SQLC ...
OfficeWeb365 代码审计(.NET初探)
偷得浮生半日闲
安装https://officeweb365.com/download/
下载全新安装包,版本为8.2.30,然后在windows server的IIS环境中安装即可
后台设置界面:http://localhost:8088/config,默认用户名:myname,密码:password
配置文件Config.config:
可以看出账号密码是存储在配置文件中的
反混淆首先,该源码使用.NET Reactor进行混淆,导致反编译出来的代码非常难以看懂,这个时候就得使用工具反混淆:https://github.com/de4dot/de4dot,我们直接下载吾爱破解的:https://down.52pojie.cn/Tools/NET/de4dot.zip
批量反混淆处理
1de4dot.exe -r C:\OfficeWeb365\officeweb\bin\ -ru -ro C:\OfficeWeb365\officeweb\bin2
最后来看看前后差异,反混淆前:
反混淆后:
代码可读性大大滴增强了
代码审计
由于没怎么接触过.net应用,有什么不到之处多多谅 ...
2023 NCTF 部分web题复现
安服仔周末正好没事,参与下南邮举办的 2023 NCTF,都是大佬orz
logging
Hint 1: 可以换个角度 尝试如何让 Spring 控制台报错?Hint 2: 确实是 log4j 2 rce (CVE-2021-44228)Hint 3: fuzz (尝试将 payload 放入某个 HTTP Header)
很明显知道漏洞为CVE-2021-44228,但是在源码中并没有发现触发点,根据提示可以知道在Spring控制台触发该漏洞,爆破Header头
最后发现为Accept
12023-12-23 23:05:23.706 WARN 25724 --- [nio-8080-exec-6] .w.s.m.s.DefaultHandlerExceptionResolver : Resolved [org.springframework.web.HttpMediaTypeNotAcceptableException: Could not parse 'Accept' header [123]: Invalid mime type "123& ...
I Doc View在线文档预览 代码审计
好久没有代码审计了,机缘巧合之下获取到了 I Doc View 的源码,那么就分析一下最近爆出来的漏洞吧
影响版本:
I Doc View<13.10.1_20231115
这次分析的版本为: Version: 6.9.8_20160812
在线文档预览API接口:https://www.idocv.com/docs.html
代码审计/doc/upload 任意文件读取看到控制器:classes/com/idocv/docview/controller/DocController.class
可以看到这里需要存在参数token,如果查询结果为 null 则 throw 抛出异常跟进到classes/com/idocv/docview/dao/impl/AppDaoImpl.class的 getByToken 方法
使用QueryBuilder.start查询token的值
其实这个值在默认安装的时候已经被设置了:https://soft.idocv.com/idocv.zip
应用token默认设置为 testtoken,接着往下看
由于我们是GET传 ...
2023 DASCTF X 0psu3 十一月挑战赛 部分web题复现
官方wp:https://dxh3b3fqgc3.feishu.cn/docx/HkgmdV6Fgom3P0x0iUscKxYZnLd
复现一些感兴趣的题
EzPenetration提示:
flag写入方式已修改。flag在wp那个机器的 /flag数据库里的邮箱key已更改为管理员密码,拿到后可直接登录
开局一个wordpress站点,拿出wpscan,在 https://wpscan.com/ 注册一个账号,就可以使用api-token进行漏洞扫描
1wpscan --url http://node4.buuoj.cn:29874/ --api-token=xxxx
发现插件registrations-for-the-events-calendar存在一个未授权sql注入漏洞:https://wpscan.com/vulnerability/ba50c590-42ee-4523-8aa0-87ac644b77ed/
发现是无回显union注入
12345678910POST /wp-admin/admin-ajax.php?action=rtec_send_unre ...
Apache Axis1.4 RCE 漏洞分析
最近出现了很多xxe打本地axis服务的利用方式,这里就分析一下axis1.4漏洞起因以及利用技巧
环境搭建安装教程:intellij idea 下用java Apache axis 创建WebService 服务端 过程
这里我的环境版本如下:
123jdk1.7.0_80Tomcat-6.0.28Apache Axis1.4
使用idea进行搭建,选择Java EE->Web应用程序->Web服务
然后打开项目结构,发现Problems有错误,点击Fix选择Add就行了,即需要将库添加到工件当中
由于idea会自动帮我们生成好server-config.wsdd配置文件和web.xml中的servlet,所以直接启动即可
axis官方文档:https://axis.apache.org/axis/java/SOAP语法:https://www.w3school.com.cn/soap/soap_syntax.asp
enableRemoteAdmin的值默认为false,改成true则会开启远程调用:https://axis.apache.org/axis/java ...
云安全 - The Big IAM Challenge 挑战赛
在学习云安全的时候发现有个 WIZ IAM 挑战赛,开练!
官方介绍:https://www.wiz.io/blog/the-big-iam-challenge
Buckets of Fun
We all know that public buckets are risky. But can you find the flag?
题目给出了IAM Policy:
12345678910111213141516171819202122{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource&q ...
CVE-2023-22515 Confluence Broken Authentication
虽迟但到,CVSS评分为10分的漏洞,还是值得看看的
官方通告:https://jira.atlassian.com/browse/CONFSERVER-92475https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html
影响版本:
18.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.1.1, 8.1.3, 8.2.1, 8.1.4, 8.2.2, 8.2.3, 8.3.1, 8.3.2, 8.4.1, 8.4.2, 8.5.1
漏洞分析下载存在漏洞的版本以及修复版本:
12https://product-downloads.atlassian.com/software/confluence/downloads/atlassian-confluence-8. ...