Hpdoger's Blog.

Hpdoger's Blog.

如临深渊,如履薄冰

ThinkPHP5.0.0~5.0.23RCE漏洞分析
ThinkPHP5.0.0~5.0.23RCE漏洞分析最近TP5一直在爆洞,既然浪潮在,就有必要跟进分析一下。但是由于自己对TP5框架流程不是很了解,所以有了这篇边摸索边分析的文章。 TP5框架流程应用启动在App.php的run()函数,说一下自己对这个框架的大致理解 用户请求 -> 路由解析 -> 调度请求 -> 执行操作 -> 响应输出 App.php代码部分流程如下: (自己的理解,可能有不对的地方,望斧正1、应用初始化initModule()2、run()->routeCheck()对用户的get请求进行路由检测3、若注册了路由则返回相应的调度...
Code-breaking-medium之lumenserial
Code-breaking-medium之lumenserial一道pop链很深的题,复现了一天,到目前已经有九个人做了。太菜了,只能照着柠檬和kk师傅的wp来学习思路。通过这次的复现,感受到耐心对审计的importance。记录一下在学习wp过程中得到的他见与己见。 题目地址:https://code-breaking.com/puzzle/7/ 前期一个ueditor的页面 在App\Http\Controllers的EditorController.php里提供了远程下载功能123private function download($url){ $content =...
从两道CTF题目学习XXE漏洞
从两道CTF题目学习XXE漏洞接触安全到现在,一直没有碰xxe相关的知识。一是觉得xml类型的东西太概念化了,二是觉得实用性不大,因为现在很少见到用xml形式来传输数据。不巧的是最近35CTF就有一道blind xxe题目,干脆把之前的坑填了,从零来学习一下XXE漏洞 XML相关知识什么是XMLXML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 通俗点来说就是存储数据的一种格式它的形式类似于html,都是标签闭合,且有根元素和子元素说法,例如note就是根元素,from和to都是子元素 什么是实体实体有以下四种: 内置实体 (B...
Code-Breaking-Puzzles WriteUp
Code-Breaking-Puzzles WriteUp最近终于可以忙里偷闲来做一下P神的题目,真的能学到不少东西,对底层的一些漏洞知识学习很有帮助。感谢网上已经有好多版本的wp可以提供参考,有一些知识实在是盲区。写一些笔记,不笱求与师傅们观点相异,如果能让看文章的人更能理解这些洞点,也算是我的荣幸了。 easy - function不得不说P神的代码简洁又暴力123456789<?php$action = $_GET['action'] ?? '';$arg = $_GET['arg'] ?? ''...
SWPUCTF2018 Write up
恰逢复习期,也没什么事,打一场SWPUCTF来放松一下,感谢西油出题师傅。最后狗了个第十二名,顺便吐槽一下队友起的什么智障名字。。 SWPUCTF2018MISCPCAP签到题,流量包拖wireshark追TCP包 床前明月光,低头…低头看键盘 199 9 9 88 11 5 5 66 3 88 3 6 555 9 11 4 33 键盘密码 99就代表9那列的第二个值 look ….. 依次读就行了 WEB用优惠码买个X拿到题目扫目录 www.zip源码如下12345678910111213141516171819202122232425$_SESSION['seed&apos...
HCTF2018线下赛感想
跑去丢了一趟人,实在是对不起各位师傅 反思比赛期恰逢考试期,几天一共就睡了几个小时,无论从体力或是经验都输的一塌糊涂。 这次比赛也算是给自己个教训,准备不充分,就把之前备好的流量成功监控了,其余的东西几乎没用 比赛开始配置网络用了挺长时间的,导致登上ssh以后就已经被别人上马了。 其实这是很吃亏的事:第一,你无法及时备份原始的目录,这就有一个很严重的后果,如果后来一不小心恢复了留有马子的备份一切功亏一篑,更严重的是,如果你的一些服务被恶意删了,那开局就直接崩盘。 第二,在你杀别人后门的时候,别人可能就已经打了你一轮,甚至可能会种新的马。而且杀后门的时间又占用了补洞的时间..新一轮的马子又...
RootkitXSS之ServiceWorker
RootkitXSS之ServiceWorker文章首发于先知:https://xz.aliyun.com/t/3228#toc-10 在拿到一个可以XSS点的时候后,持久化成为一种问题。这几天跟师傅们接触到RootkiXss的一些姿势,受益匪浅 Serviceworker定义Service workers(后文称SW) 本质上充当Web应用程序与浏览器之间的代理服务器,也可以在网络可用时作为浏览器和网络间的代理。它们旨在(除其他之外)使得能够创建有效的离线体验,拦截网络请求并基于网络是否可用以及更新的资源是否驻留在服务器上来采取适当的动作。他们还允许访问推送通知和后台同步API。 也就...
HCTF2018线上赛部分WriteUp
HCTF题解admin思路提示只有admin才能查看 注册账号功能,发现注册大写和小写会提示重名注册。也就是说 ADMIN<=>admin 有一篇文章将Unicode安全,提到的一个python函数canonical_username,这个函数会把类似的unicode字符做一个与chrome的地址栏里相似的转换,举个例子BIG会被转换为big。ᴬᴬᴬ,经过函数处理后变成了AAA 我们注册形似ADMIN的名字 后台函数处理把形似ADMIN转换为ADMIN 修改ADMIN的密码,相当于修改admin的密码 登陆admin获得flag 相当于一个越权 相关链接Unicode安全...
ISCC2018 信阳杯线下赛小结
自己巨大的锅..感觉本能拿第一的,却只水了个第二。 从这篇起以后的日子闭关反思 线下ctf上午的线下ctf就不说了,一个misc两个逆向。web狗:???而且misc巨坑,感觉也是比脑洞,b32出来了对比hex还原再crc32。当时B32解出来有乱码,一直在测试编码的道路上,但结束后问了西工的师傅们才发现路走偏了。要学会习惯用winhex分析,跟原始的zip比对….这就解释了为什么有个504的文件头了..总之ctf体验极差 高地赛当时拿到题目是两个私地,一个pwn,一个web.高地也是一个pwn看到网上有这么个吐槽:选手:“ISCC你又出新题啦!” 当时看到题,第一反应是17年的原题,e...
基于Windows下mysql的一些提权分析
索引这篇文章是写基于windows环境下的一些mysql提权方法的分析并利用。这些方法老生常谈,但困于很多文章在讲分析和利用的时候模棱两可,因此想总结一下常见的方法思路。基于windows的提权姿势多的数不胜数,一般在配置文件可以嗅探到root密码的情况(root密码已知)下,或者注入、爆破拿到root密码下,可以考虑mysql提权。文章内容很基础,下面对这些方法进行一些粗谈,有什么理解错误的地方还请客观们轻打…大佬们可以略过这篇文章qaq… 实验环境靶机A: Windows 7 SP1靶机B: Windows server 2003 enterprise x64Phpstudy搭建的p...