Bmth's blog

用友NC在java反序列化中也算典型的例子了，就简单的看一下 环境搭建参考：用友nc6.5详细安装过程用友6.5安装及配置注意要点 注意在配置数据源时，需要将 sqljdbc4.jar 包复制到 jdk/lib 目录下添加远程调试：-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 漏洞分析先看看关键路由，在webapps/nc_web/WEB-INF/web.xml 1234<servlet> <servlet-name>NCInvokerServlet</servlet-name> <servlet-class>nc.bs.framework.server.InvokerServlet</servlet-class></servlet> 发现 service 和 servlet 均由 NCInvokerServlet 处理跟进到lib/fwserver.jar的nc.bs.framework.server.In ...

Make JDBC Attacks 早有耳闻，但一直没有机会学习，正巧最近出了一个 Metabase 的RCE漏洞，就复现分析一下 环境搭建存在漏洞版本的源码：https://github.com/metabase/metabase/releases/tag/v0.46.6可以直接下载提供的jar包：https://downloads.metabase.com/v0.46.6/metabase.jar 注意启动的时候需要 JDK>=11java -jar metabase.jar最后访问 3000 端口进行安装即可 漏洞分析setup-token泄露在 Jan 28, 2022 Metabase官方修改了一处代码https://github.com/metabase/metabase/commit/0526d88f997d0f26304cdbb6313996df463ad13f 在安装完成后移除了 clear-token 操作，导致在 properties 中仍然存在setup-token看到src/metabase/api/session.clj 而 setup-t ...

基础知识Microsoft SQL Server 是微软开发的关系型数据库管理系统（DBMS），它具有极其广泛的用途，可以在各个方面使用，从存储个人博客的内容到存储客户数据等 SQL Server 默认开放的端口是 TCP 1433 我这里测试的版本是Microsoft SQL Server 2017 (RTM) - 14.0.1000.169 (X64) 首先是一些基础的命令 123456789101112#查看当前用户名select user;#查看版本信息select @@version;#查看服务端主机名select @@servername;#查看当前数据库名select db_name();#查看客户端主机名select host_name();#查看是否是管理员select is_srvrolemember('sysadmin'); 常见存储过程存储过程是一组为了完成某个特定功能的SQL语句，一次编译永久生效。然后用户通过指定存储过程的名字以及参数来执行 xp_dirtree 列文件夹、文件： 12execute master.dbo.xp_dir ...

MySQL提权当拿到 mysql 执行权限，想要更深层次的利用，就会考虑如何命令执行 假如说拿下了 phpMyAdmin 的情况下 如何进行RCE利用 直接写webshell前提条件： 知道网站物理路径 secure_file_priv 无限制 网站路径有写入权限 我们先查看一下secure_file_priv的值 12select @@secure_file_priv;show global variables like 'secure%'; 当secure_file_priv的值为 NULL，表示限制 mysqld 不允许导入|导出 当secure_file_priv的值为/tmp/，表示限制 mysqld 的导入|导出只能发生在/tmp/目录下 当secure_file_priv的值为空，表示不对 mysqld 的导入|导出做限制 获取数据库版本号： 1SHOW VARIABLES LIKE '%version%'; 获取mysql安装目录 1select @@basedir; 像这种情况下可以直接写webshell 12s ...

前些日子这个洞刚出的时候几乎通杀，有幸拿到了源码，就来分析一下 代码审计权限绕过首先是一个权限绕过问题，看到配置文件 cas-client.properties 发现cas.ignore.pattern，很明显存放的就是绕过权限的路径，全局查找一下看到bic-sso-client-1.6.9.4.RELEASE.jar!/com/hikvision/sso/client/config/util/CasClientConfig.class 全局查找调用CasClientConfig.getCasClientConfig方法的类，看到bic-sso-client-1.6.9.4.RELEASE.jar!/org/jasig/cas/client/util/AbstractConfigurationFilter.class的 getPropertyFromInitParams 方法 那么就找下什么时候 propertyName 的值为 ignorePattern在bic-sso-client-1.6.9.4.RELEASE.jar!/org/jasig/cas/client/authent ...

终于忙完项目了，没啥事，继续拿以前没做出来的题审计，还是tcl，得加强代码审计能力 环境搭建先下载个源码，直接选择最新版本：git clone https://github.com/PGYER/codefever.git参考官方文档，就直接用 docker 搭建，一行命令搞定 123456789docker container run \ -d --privileged=true --name codefever \ -p 8081:80 -p 22:22 \ -v ~/config/db:/var/lib/mysql \ -v ~/config/env:/data/www/codefever-community/env \ -v ~/config/logs:/data/www/codefever-community/application/logs \ -v ~/config/git-storage:/data/www/codefever-community/git-storage \ -v ~/config/file-storage:/data/www/codefe ...

闲着无聊，发现phpstorm中还留有一个代码审计的题，当时比赛的时候没做出来，那么就复现一下 环境搭建直接在官网中下载源码：https://down.q-cms.cn/QCMS_V6.0.1_220515.zip 用phpstudy搭建，web目录如下 然后创建一个数据库，导入sql文件，设置手机号以及密码就安装成功了 但是我不是在本机搭建的，就需要添加远程调试，phpstudy扩展开启xdebug，然后修改php.ini为： 12345678910111213[Xdebug]zend_extension=C:/phpstudy_pro/Extensions/php/php7.3.4nts/ext/php_xdebug.dllxdebug.collect_params=1xdebug.collect_return=1xdebug.auto_trace=Onxdebug.trace_output_dir=C:/phpstudy_pro/Extensions/php_log/php7.3.4nts.xdebug.tracexdebug.profiler_enable=Onxdebug. ...

Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器 Openfire的管理控制台是一个基于 Web 的应用程序，被发现可以使用路径遍历的方式绕过权限校验。成功利用后，未经身份验证的用户可以访问 Openfire 管理控制台中的后台页面。同时由于Openfire管理控制台的后台提供了安装插件的功能，所以攻击者可以通过安装恶意插件达成远程代码执行的效果 官方通告：https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm 影响版本： 3.10.0 <= Openfire < 4.6.8 4.7.0 <= Openfire < 4.7.5 环境搭建直接下载 openfire 4.7.4：https://github.com/igniterealtime/Openfire/releases/download/v4.7.4/openfire_4_7_4.tar.gz 然后解压，通过 ...

在Nacos 2.2.3版本中，修复了一个hessian反序列化漏洞 该漏洞主要是针对部分Jraft请求处理时，使用hessian进行反序列化未限制而造成的RCE漏洞 影响版本： 1.4.0 <= Nacos < 1.4.6 使用cluster集群模式运行 2.0.0 <= Nacos < 2.2.3 任意模式启动均受到影响 漏洞分析看到漏洞修复：https://github.com/alibaba/nacos/pull/10542/filescom.alibaba.nacos.consistency.serialize.HessianSerializer 使用 NacosHessianSerializerFactory 代替了默认的 SerializerFactory，而这是一个白名单类，相当于从根源上解决了反序列化问题 继续看到其他改动可以发现 主要就是在onApply、onRequest方法会触发serializer.deserialize反序列化，对如下几个类做了修改： 12345com.alibaba.nacos.nami ...

在2023的ciscn初赛中有一道Nacos配合Spring Cloud Gateway RCE的题，其实非常简单就是：Nacos结合Spring Cloud Gateway RCE利用 ，然后配合CVE-2021-29441即可 其实近期还出现了一个认证漏洞，修复版本：https://github.com/alibaba/nacos/releases/tag/2.2.0.1 在该版本中移除了默认鉴权插件中依赖的nacos.core.auth.plugin.nacos.token.secret.key默认值，来简单看一下 环境搭建下载存在漏洞的版本：https://github.com/alibaba/nacos/releases/tag/2.2.0解压后执行 12345cd nacos/bin#启动服务器bash startup.sh -m standalone#关闭服务器bash shutdown.sh 随后访问ip:8848/nacos即可访问到web服务 默认账号密码是nacos、nacos 修改startup.sh添加JVM远程调试 即可远程调试代码 漏洞分析官方鉴权方面的 ...