Bmth's blog

默认账号密码： 1234# consolethanos/thanos123.com# syswebcli/cli123.com tongweb配置文件：conf/tongweb.xml 默认端口如下： 默认端口 端口作用 8088 默认应用访问端口 9060 默认控制台端口 7200 JMX端口 5100 EJB远程端口 8005 默认停止端口 开启调试：.\startserver.bat debug 5005 补丁分析漏洞信息：https://www.tongtech.com/newsDetail/102461.html补丁下载：https://www.tongtech.com/dft/download.html 影响产品版本： 12TongWeb>=7.0.0.0, <=7.0.4.9_M9TongWeb>=6.1.7.0, <=6.1.8.13 可以知道漏洞在 8088 web应用端口的ejbserver/ejb接口 看到com/tongweb/tongejb/server/httpd/ServerServlet.cl ...

复现环境：https://gz.imxbt.cn/games/36/challenges#1412-wso2 wso2系统中在连接h2时存在一定的安全隐患，SOAP接口导致了安全问题，环境启动需4-5分钟，请耐心等待。 访问/services/Version可以探测到版本信息 访问/carbon/进入后台登录界面，在repository/conf/deployment.toml文件中可以得到admin账号密码 1234[super_admin]username = "admin"password = "abcd1234"create_admin_account = true 可以知道当前的java版本为21 根据：Attacking WSO2 Products：RCE via Data-sources admin service 我们可以通过 NDataSourceAdmin 服务的 testDataSourceConnection 功能连接任意的JDBC URL POC： 12345678910111213141516171819202 ...

SU_JDBC-master 由实战改编 证明你是jdbc大师的时候到了(PS：请在本地能够稳定获得flag的前提下再尝试线上环境) 访问/api/connection发现是一个数据库连接功能 存在拦截器com.suctf.interceptor.PathInterceptor 检测逻辑： 匹配”suctf”这个单词，但允许在字母之间插入任意数量的非单词字符（包括零个）。并且不区分大小写 将路径转为小写，然后检查是否包含”suctf” 先将路径转为小写，然后替换掉所有不是小写字母和数字的字符（即只保留a-z和0-9），然后检查结果是否包含”suctf” 在com.suctf.config.WebConfig中设置了大小写不敏感 参考：Hacking GitHub’s Auth with Unicode’s Turkish Dotless ‘I’一道有趣的CTF赛题-unicode引发的WebAssembly与js交互问题 我们可以通过/%C5%BFuctf进行绕过 接下来就走到了testConnection，通过jackson读取配置，driver默认为org.postgres ...

Fastjson Decoder题目：https://github.com/cwkiller/Java-Puzzle/blob/main/Fastjson%20Decoder 依赖：fastjson-1.2.78.jarcommons-io-2.2.jar fastjson反序列化 报错获取版本信息 12{ "@type": "java.lang.AutoCloseable" 报错探测依赖： 123456{ "x": { "@type": "java.lang.Character"{ "@type": "java.lang.Class", "val": "org.springframework.web.bind.annotation.RequestMapping"}} 如果类不存在会返回null，存在返回：can not cast ...

不能通杀！！！略鸡肋 不过大佬的思路太强了，值得学习，膜拜Orz 环境搭建下载：https://gitee.com/y_project/RuoYi我这里下载的是4.8.1 新建数据库ry，然后导入sql/ry_20250416.sql 修改src/main/resources/logback.xml的日志路径地址修改src/main/resources/application-druid.yml的数据库账号密码 最后启动即可 Thymeleaf模板注入这个版本的Thymelea版本为3.0.15 该版本修复了T ()这样执行RCE，并且新增了检测机制containsExpression 看到org.thymeleaf.spring5.util.SpringRequestUtils#checkViewNameNotInRequest 对viewName、requestURI、paramNames都做了检测 1234567891011121314151617181920212223private static boolean containsExpression(String t ...

烂梗烂梗。。。 最近不是出了一个jdk17的反序列化，文章如下：高版本jdk+springboot链子高版本JDK下的Spring原生反序列化链JDK 17 TemplatesImpl ByPass 原理分析shiro+Spring高版本原生链 恰好最近实战当中遇到了jdk17的log4j，那么就来看一下 Spring的jdk17利用链这里参考网上的代码 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091package exp.jdk17;import com.fasterxml.jackson.databind.node.POJONode;import javassist.*;import org.springframework.aop.framework.AdvisedSupport;im ...

前言在网上找了一圈，发现phpMyAdmin的弱口令爆破工具已经是好几年前的了：phpMyAdmin多线程破解工具，比较新的版本根本无法使用，并且存在无法自定义路径字典，无法多线程爆破等等问题 既然网上找的工具不顺手，那么直接自己写一个(Cursor)！此篇仅用作记载，并非奇技淫巧，毫无技术含量，主要太久没update了 分析这里先拿phpStudy下载的phpMyAdmin4.8.5进行分析 可以看出首页没有什么变化的，但我们查看一下网页源码，发现 在所有的js文件后面存在?v=4.8.5，这个就是phpMyAdmin具体的版本了我们还可以通过访问/doc/html/index.html获取版本信息： 相关的路径还有： 12/README/ChangeLog 等等，但不同版本可能存在差异 爆破逻辑看一下登录成功的请求包 这里有一个参数token，很经典的CSRF防御： 每次加载登录页面时 token 都会改变。如果你的爆破脚本没有在每次尝试前先获取这个最新的 token 并随表单提交，那么所有的登录请求都会因“令牌错误”而失败，即我们再次请求就会发现登录失败了： 我们可以得到信息 ...

默认账号密码：admin/geoserver 公开的POC：https://github.com/Mr-xn/CVE-2024-36401 影响版本：GeoServer < 2.23.62.24.0 <= GeoServer < 2.24.42.25.0 <= GeoServer < 2.25.2 注意typeNames必须在系统中存在才能利用访问/geoserver/wfs?request=ListStoredQueries&service=wfs&version=2.0.0可以搜索到所有的typeName GetPropertyValue存在两种传参方式，第一种是xml格式： 123456789101112POST /geoserver/wfs HTTP/1.1Host: 127.0.0.1:8080Content-Type: application/xmlContent-Length: 356<wfs:GetPropertyValue service='WFS' version ...

青丝白发一瞬间，年华老去向谁言。春风若有怜花意，可否许我再少年？ 学习ing SU_ez_solon先看到pom.xml，主要依赖如下 12345678910111213141516<dependency> <groupId>com.alipay.sofa</groupId> <artifactId>hessian</artifactId> <version>3.5.5</version></dependency><dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.83</version></dependency><dependency> <groupId>com.h2database</gro ...

挺有意思的一道题，看了官方wp才发现其实不难，但做的时候完全想不到，很巧妙的漏洞结合 提示： install.php mt_rand的安全问题 下载最新版本安装包：https://gitee.com/snowsun/emlog/releases/download/pro-2.5.4/emlog_pro_2.5.4.zip mt_rand伪随机数在给出第二个提示的时候才反应过来是伪随机数的问题，根据mt_rand定位到include/lib/common.php 1234567891011121314151617function getRandStr($length = 12, $special_chars = true, $numeric_only = false){ if ($numeric_only) { $chars = '0123456789'; } else { $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMN ...