从源码看JsonPickle反序列化利用与绕WAF

前言 源自强网杯决赛的一道题ezlogin,hint提供了部分源码 if not waf(token): return 'Invalid token' token = jsonpickle.decode(token, safe=True) if time() - token.timestamp < 60: if token.username != 'admin':

· 227浏览 · 2024-12-10 13:26
fastjson之parse和parseobject利用差异

fastjson之parse和parseobject利用差异 parse和parseobject区别 结论 FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 J

· 645浏览 · 2024-12-10 04:20
Web安全--业务逻辑漏洞篇

一、逻辑漏洞的概念 1、逻辑漏洞的定义 逻辑漏洞是指在软件或系统的设计和实现中,由于逻辑错误或缺陷导致的安全问题。这些漏洞不是由于代码编写的错误引起的,而是由于系统设计时的逻辑思路有问题,导致系统在某些情况下无法正常处理,进而被攻击者利用。 简单理解:就是编程人员的思维逻辑不够严谨造成的漏洞。 2、逻辑漏洞的危害 逻辑漏洞的存在,可能导致系统崩溃、数据泄露、功能异常等问题,严重时甚至可能被黑客利用

· 1335浏览 · 2024-12-09 13:57
记一次SSTI长度限制绕过

一、简介 在做ctf的ssti考点的时候碰到了大多数都是对payload的恶意字符绕过,好像没遇到过对长度的限制。然后网上也挺少有这方面的研究,于是在我打ctfshow2024的单身杯的时候遇到一题关于ssti长度限制的题目 二、题目 rce后下载的源码 app.py #!/usr/bin/env python3 import os from flask import Flask, render

· 404浏览 · 2024-11-28 03:50
JAVA安全之JMX攻防研究分析

基本介绍 JMX(Java Management Extensions,即Java管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架,JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用,我们可以将JMX理解为一个服务器,它能让客户端远程访问该服务器上运行的JAVA程序的API并通过相应的函数对该程序进行增删改查,运维人员常部署Za

· 452浏览 · 2024-11-27 06:21
jetty 内存马构造分析

利用自带的函数添加内存马(jdk_1_8_66) 控制器, package org.example; import org.eclipse.jetty.server.Server; import org.eclipse.jetty.servlet.FilterHolder; import org.eclipse.jetty.servlet.ServletContextHandler; impor

· 633浏览 · 2024-11-25 08:52
Java安全:基础漏洞审计实战

java基础漏洞代码审计 功能对应的漏洞点 配置信息了解 查看配置文件: ├── pom.xml # Maven项目配置主要是组件的版本信息 ├── src/main/resources/conf(这个目录可以没有)/*.properties# 主配置目录,一些组件的配置的信息入mybatis,shiro,log4j,springboot(a

· 431浏览 · 2024-11-22 07:40
flask请求头回显的学习和探究如何进行错误页面污染回显

写这篇文章的起因是我在无聊逛先知社区时发现了这两篇文章 Jinja2-SSTI通过Server请求头带出命令回显 Jinja2-SSTI 新回显方式技术学习 看完这两篇文章我对文章内容进行了学习以及复现有了几个想法。 1.在我复现时发现了一个致命的问题,就是其响应的请求头内容因为要经过latin-1编码必须要为ascii码字符,即其一遇到中文字符便会报错(我个人经过思考觉得有如下解决方法,1.通过

· 625浏览 · 2024-11-20 15:48
spring +fastjson 的 rce

spring +fastjson 的 rce 前言 众所周知,spring 下是不可以上传 jsp 的木马来 rce 的,一般都是控制加载 class 或者 jar 包来 rce 的,我们的 fastjson 的高版本正好可以完成这些,这里来简单分析一手 环境搭建 <dependency> <groupId>org.springframework.boot</

· 623浏览 · 2024-11-15 08:24
2024 hkcertctf web 部分wp

新免費午餐 一个登录一个注册 进去是个小游戏 300分拿flag 游戏结束的时候通过update_score.php更新分数 审前端代码 <script> const game = document.getElementById('game'); const scoreDisplay = document.getElementById('scorebo

· 287浏览 · 2024-11-13 15:33
关于OpenRASP的绕过实现

最近学习了一下Baidu的OpenRASP,正好碰到一道RASP的题目,先看看RASP是怎么做的 RASP防护 open RASP也是利用Javaagent去做代理,premain是启动时加载agent,agentmain是启动后加载agent,这里init做了一件事,就是把rasp.jar的路径加载到bootstrap类加载器,那什么是bootstrap类加载器呢? bootstrap 类加载

· 476浏览 · 2024-11-12 07:58
javay原生类反序列化链子实例化rce的失败尝试

链尾来自于avss geekcon2024的old log,查找到一个链子去通往他,但是实例化成功了,无法查遍了Format都无法控制参数,于是手动patch了一个继承Format类使他的parseObject可控。 用codeql查询到漏洞利用链的过程就省略了 有反序列化,有springboot的jar包 测试环境 import com.sun.net.httpserver.HttpServe

· 336浏览 · 2024-11-08 07:13
高版本JDK加载字节码分析

这是一段很典型的动态加载字节码操作,在jdk8中,可以执行任意代码。 import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import java.util.Base64; public class evilByteClassloader { public static v

· 374浏览 · 2024-11-08 03:14
从Apache Solr 看 Velocity 模板注入

从Apache Solr 看 Velocity 模板注入 前言 学过 freemaker,学过 Thymeleaf 模板注入,但是还没有学过 Velocity 模板注入,然后学习一个知识最好的方法就是要找一个实际中的例子去学习,好巧不巧,前端时间还在分析 apache solr 的 cve,这次又搜到了 Apache Solr 的 Velocity 模板注入漏洞,开始学习,启动,感觉结合一个例子来

· 313浏览 · 2024-11-07 13:06
由SCTF引入的LaTex Injection

LaTeX前言 LaTeX的文件后缀是.tex,通常需要编译运行,并且可以像编程语言一样执行命令,读写文件等,这也是安全隐患LaTex Injection的原因,官方提供了配置项(shell_escape、shell_escape_commands)去配置能否执行命令以及允许执行的命令列表 其中shell_escape有三种配置值,分别为: f:不允许执行任何命令 t:允许执行任何命令 p:支持执

· 292浏览 · 2024-11-06 02:36