Bmth's blog

安服仔周末正好没事，参与下南邮举办的 2023 NCTF，都是大佬orz logging Hint 1: 可以换个角度 尝试如何让 Spring 控制台报错?Hint 2: 确实是 log4j 2 rce (CVE-2021-44228)Hint 3: fuzz (尝试将 payload 放入某个 HTTP Header) 很明显知道漏洞为CVE-2021-44228，但是在源码中并没有发现触发点，根据提示可以知道在Spring控制台触发该漏洞，爆破Header头 最后发现为Accept 12023-12-23 23:05:23.706 WARN 25724 --- [nio-8080-exec-6] .w.s.m.s.DefaultHandlerExceptionResolver : Resolved [org.springframework.web.HttpMediaTypeNotAcceptableException: Could not parse 'Accept' header [123]: Invalid mime type "123& ...

好久没有代码审计了，机缘巧合之下获取到了 I Doc View 的源码，那么就分析一下最近爆出来的漏洞吧 影响版本： I Doc View<13.10.1_20231115 这次分析的版本为： Version: 6.9.8_20160812 在线文档预览API接口：https://www.idocv.com/docs.html 代码审计/doc/upload 任意文件读取看到控制器：classes/com/idocv/docview/controller/DocController.class 可以看到这里需要存在参数token，如果查询结果为 null 则 throw 抛出异常跟进到classes/com/idocv/docview/dao/impl/AppDaoImpl.class的 getByToken 方法 使用QueryBuilder.start查询token的值 其实这个值在默认安装的时候已经被设置了：https://soft.idocv.com/idocv.zip 应用token默认设置为 testtoken，接着往下看 由于我们是GET传 ...

官方wp：https://dxh3b3fqgc3.feishu.cn/docx/HkgmdV6Fgom3P0x0iUscKxYZnLd 复现一些感兴趣的题 EzPenetration提示： flag写入方式已修改。flag在wp那个机器的 /flag数据库里的邮箱key已更改为管理员密码，拿到后可直接登录 开局一个wordpress站点，拿出wpscan，在 https://wpscan.com/ 注册一个账号，就可以使用api-token进行漏洞扫描 1wpscan --url http://node4.buuoj.cn:29874/ --api-token=xxxx 发现插件registrations-for-the-events-calendar存在一个未授权sql注入漏洞：https://wpscan.com/vulnerability/ba50c590-42ee-4523-8aa0-87ac644b77ed/ 发现是无回显union注入 12345678910POST /wp-admin/admin-ajax.php?action=rtec_send_unre ...

最近出现了很多xxe打本地axis服务的利用方式，这里就分析一下axis1.4漏洞起因以及利用技巧 环境搭建安装教程：intellij idea 下用java Apache axis 创建WebService 服务端 过程 这里我的环境版本如下： 123jdk1.7.0_80Tomcat-6.0.28Apache Axis1.4 使用idea进行搭建，选择Java EE->Web应用程序->Web服务 然后打开项目结构，发现Problems有错误，点击Fix选择Add就行了，即需要将库添加到工件当中 由于idea会自动帮我们生成好server-config.wsdd配置文件和web.xml中的servlet，所以直接启动即可 axis官方文档：https://axis.apache.org/axis/java/SOAP语法：https://www.w3school.com.cn/soap/soap_syntax.asp enableRemoteAdmin的值默认为false，改成true则会开启远程调用：https://axis.apache.org/axis/java ...

在学习云安全的时候发现有个 WIZ IAM 挑战赛，开练！ 官方介绍：https://www.wiz.io/blog/the-big-iam-challenge Buckets of Fun We all know that public buckets are risky. But can you find the flag? 题目给出了IAM Policy： 12345678910111213141516171819202122{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource&q ...

虽迟但到，CVSS评分为10分的漏洞，还是值得看看的 官方通告：https://jira.atlassian.com/browse/CONFSERVER-92475https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html 影响版本： 18.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.1.1, 8.1.3, 8.2.1, 8.1.4, 8.2.2, 8.2.3, 8.3.1, 8.3.2, 8.4.1, 8.4.2, 8.5.1 漏洞分析下载存在漏洞的版本以及修复版本： 12https://product-downloads.atlassian.com/software/confluence/downloads/atlassian-confluence-8. ...

环境搭建我这里使用phpstudy搭建的 WordPress 环境，官网下载 6.3.1 版本，https://wordpress.org/download/releases/ 注意在安装的时候会自动更新到wordpress最新版本，需要禁止自动更新 在填完数据库信息，点下一步之后会生成 wp-config.php 文件，这个时候在 wp-config.php 文件中添加如下代码即可： 1define( 'WP_AUTO_UPDATE_CORE', false ); 创建漏洞点，需要包含wp-load.php，然后调用wp()函数初始化 12345678910<?phprequire_once __DIR__ . '/wp-load.php';// Set up the WordPress query.wp();$a = unserialize('...');echo $a; 漏洞分析wp-includes/class-wp-theme.php 通过__toString会调用到它的 display 方法 跟进到 g ...

PostgreSQL JDBC Attack 任意代码执行 socketFactory/socketFactoryArg影响范围： REL9.4.1208 <= PostgreSQL <42.2.25 42.3.0 <= PostgreSQL < 42.3.2 官方通告：https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-v7wg-cpwc-24m4 漏洞分析直接看到触发漏洞的地方org.postgresql.core.SocketFactoryFactory#getSocketFactory 从info中获取socketFactory和socketFactoryArg，如果不存在则设置为默认值 发现默认值均为null 12345678910SOCKET_FACTORY( "socketFactory", null, "Specify a socket factory for socket creation" ...

快一年没分析过php反序列化了，恰巧前不久看到烽火台实验室发了一个通达oa的yii2反序列化漏洞，就趁这个机会好好学习一下 环境搭建通达OA v11.10下载地址：https://cdndown.tongda2000.com/oa/2019/TDOA11.10.exe 网站源码部分在 webroot 目录下，使用了 zend 对源码进行加密，可以用 SeayDzend.exe 工具进行解密 安装之后的 php 版本为5.4.45，OA管理员用户名 admin，密码为空 漏洞分析反序列化触发点在通达中有一个模块/general/appbuilder/web/index.php，采用了yii框架实现，并未通过 auth.inc.php 文件来进行鉴权 用?截取url，需要满足url字符串存在/portal/以及/gateway/，并且不包含后续关键字即可访问对应的接口，构造 1/general/appbuilder/web/portal/gateway/? 此时会加载视图general/appbuilder/views/layouts/main.php 这里会执行yii\helpers ...

日常看看p神的知识星球有什么新trick，发现有人问了 craftcms 调用 imagick 写文件的方法，很经典的一个php原生类利用：Exploiting Arbitrary Object Instantiations in PHP without Custom Classes，但是实战一直没有遇到过，就趁这次机会好好学习一下 环境搭建看到：https://craftcms.com/docs/4.x/requirements.html 需要使用php8以上版本，安装好所有的扩展，下载存在漏洞的版本：https://github.com/craftcms/cms/releases/download/4.4.14/CraftCMS-4.4.14.zip 安装步骤：https://craftcms.com/knowledge-base/first-time-setup 12php craft setupphp craft serve 然后访问http://127.0.0.1:8080/即可看到成功安装 漏洞分析官方通告：https://github.com/craftcms/cms/ ...