1. 数据库历史语句查询 2.Nodejs使用constructor.prototype污染有值变量 3.basename丢弃非ASCII文件名+PHP反序列化字符逃逸+协议格式解析理解 4.RMIConnector#connect二次反序列化+JDBC连接Mysql恶意服务任意读文件 5.JDBC连接Mysql恶意服务任意读文件+Grovy1

两三个月之前实习的时候通达OA的漏洞学习笔记（漏洞记录还是很全的），赶紧发了清一下库存，免得文件夹吃灰。

关于pahr的文件结构和相关特性的深入学习

一篇对各种短标签的使用限制和版本说明的摸鱼笔记 今天主要是学了使用gdb调php源码的, 明天再另外写一篇文章吧

2022北京工业互联网安全大赛初赛WP-Web 这次比赛Web只有两道题, 因为早上要上课到十二点才放学, 但是比赛三点多就比赛结束了, 所以做的很匆忙, 第一题的有两层(这点搞得我很难受...), 第二题的话就是一个使用引用修改变量 ezRead 题目一进去就是一个点击的地方,点进去之后看到访问的链接是/read.php?Book=ZGRsLnR…

Phar反序列化如何解决各种waf检测和脏数据的添加问题? 快来学爆,看完这些之后对phar的waf检测和脏数据的问题再也不用挠头了 本文首发于奇安信攻防社区: Phar反序列化如何解决各种waf检测和脏数据的添加问题? phar支持的格式 phar文件可以是下面三种格式： zip .zip .phar.zip tar .tar .phar.tar…

6.0.12LTS的反序列化链寻找 按照以往 我通过搜索发现框架中是有两个可用的__destruct函数的，之前一直用的都是从vendor/topthink/think-orm/src/Model.php:1063触发的调用链 而Pivot就是Model的唯一实现类,所以最后就是以Pivot作为触发点了 POC1: <?php namespa…

Thinkphp的审计学习|6.0.12LTS 想要对TP框架进行审计学习那么先了解它的框架加载机制和流量走向是很有必要的, 因为当前最新版为6.0.12LTS,刚好国赛的ezpop也是这个版本的代码, 这里我就直接拿题目的源码进行调试了 Something... 了解一下下面几点： 请求的时候在指定控制器和操作方法的时候|和/的作用是一样的,因为…

.htaccess文件的华点 今天找了一下使用.htaccess配置文件绕过<?的方法,发现有不不少值得关注的配置,另外也学习了一下.htaccess的工作方式和配置语法。 --2022.5.27 [TOC] 简单介绍 相关模块 相关指令 core mod_authn_file mod_authz_groupfile mod_cgi mod_…

PHP手册查阅后のNewly discovered 今天把手册通过查找关键字把很多函数都翻了一遍,几乎用了一整天的时间,不过还是有一些新的函数发现的,比如读取文件的readgzfile和代替var_dump和printf的debug_zval_dump以及一大堆回调函数,对php的更能又有了一些新的了解,这里放一些手册查阅过程中看到的一些注意到的函…

PHP filter_var 函数绕过 今天在日报看到了有关PHP函数绕过的文章就去学习了一下,但是有点尴尬的是文章是纯英文的直接翻译有很多地方会导致理解出问题,所以最后硬着头皮通过看原文学习, 所以这也可以说是一个简单的翻译文章吧, 原文见PHP filter_var shenanigans 。 关于filter_var函数 在官方文档中的介绍:…

HFCTF 2022-EZPHP ​ 这次的虎符虽说让我坐牢了两天,但是亦可说是收获满满, 这次比赛Web的题目共有4道, 但是我觉得EZPHP还是值得单独记录的, 因为这个题目可以说是一个让我受益匪浅的组合拳的类型, 也给我带出了两个新的LFI方法 和一些Nginx的知识: Nginx-fastcgi缓存文件 长链接窗口期绕过文件检测 在这个题目…

如何利用环境变量注入执行任意命令 这篇文章单纯就是学习我是如何利用环境变量注入执行任意命令的一个记录, 当时刚发这篇文章看到就觉得很有意思所以就学习了一下, 但是笔记文章写到一半就搁置下来了, 结果没想到今天的虎符HFCTF-2022的EZPHP就用到了, 所以就把文章继续写完了, 但是让人尴尬的是, 文章里面所有的poc用到题目环境中没一个是可行…

[蓝帽杯 2021]One Pointer PHP 虽然这个比赛只有一个Web题但是质量确实挺高的,值得用一篇文章来记录一下 这道题主要核心内容就是打PHP-FPM服务的原理和方法 One Pointer PHP 解题步骤 设置数组溢出 使用FTP被动连接打php-FPM SUID提权 0x01 PHP数组溢出 题目代码内容不多 //user.ph…

Phar的绕过 [TOC] 受害函数 fileatime / filectime / filemtime stat / fileinode / fileowner / filegroup / fileperms file / file_get_contents / readfile / fopen` file_exists / is_dir / i…

文件上传文件名绕过原理 最近学习php的fpm和cgi看到了以前刚开始学习到文件上传时的一些漏洞发生原理,记录一下吧 Nginx(IIS7)解析漏洞 漏洞现象 用户访问http://127.0.0.1/favicon.ico/.php时，访问到的文件是favicon.ico，但却按照.php后缀解析了 原理 正常来说，SCRIPT_FILENAME…

PHP-FPM && PHP-CGI && FASTCGI CGI 早期的Web服务器，只能响应浏览器发来的HTTP静态资源的请求，并将存储在服务器中的静态资源返回给浏览器。随着Web技术的发展，逐渐出现了动态技术，但是Web服务器并不能够直接运行动态脚本，为了解决Web服务器与外部应用程序（CGI程序）之间数据互通…

bypass disable:CVE-2014-6271(Bash破壳漏洞) 漏洞范围： GNU Bash 版本小于等于4.3 其实现在大多数的服务器的bash版本都超过了4.3,已经对这个漏洞就行了修复也就无法利用了,不过学习了一下这个漏洞也还是记录一下吧 漏洞成因： 目前的bash使用的环境变量是通过函数名称来调用的，导致漏洞出问题是以“(){…

LD_PRELOAD 后门 用途 主要是用于绕过 disable_functions ,本质上是加载顺序的问题， 动态链接库加载过程中会先加载 LD_PRELOAD 指向的变量，这样我们可以利用这个先加载来进行劫持正常的函数和命令 只要劫持系统命令调用的一个函数就可以在劫持函数任意执行其它函数从而绕过disable_functions 劫持命令调用…

无字母webshell-plus Pation 短标签不需要分号闭合?code=?><?=phpinfo()?><?=system("dir")?> eval执行代码相当于另外生成一个php文件,文件格式为有<?php ..... ?>所以可以通过短标签摆脱;的限制 异或和或运算时要将两…