遗憾的InternationalFormatter反序列化链
提前祝大家新年快乐。https://xz.aliyun.com/news/15617这篇文章介绍了一个未完成的反序列化链,直接看sink点。InternationalFormatter(Default
阅读全文web选手入门pwn(33)——minihttpd
1,minihttpdhttps://github.com/kezibei/pwn_study/tree/main/ciscn25%E5%86%AC%E5%88%9D%E8%B5%9B自带libc 2
阅读全文最近跟jdbc有关的新知识——jdbc篇(完)
最近跟jdbc有关的新知识——toString篇最近跟jdbc有关的新知识——json篇最近跟jdbc有关的新知识——getter篇最近跟jdbc有关的新知识——ldap篇1,常用jdbc无论是lda
阅读全文jdk8或许也要告别JNDI利用了
一,前言关于java漏洞的利用,无论是原生反序列化,fastjson反序列化,yaml反序列化,xml反序列化,log4j2,jdbc,SSTI等等,都有可能转到JNDI上进一步利用。为此ldap/r
阅读全文web选手入门pwn(32)——hh(字符串格式化)
1.hh(字符串格式化)https://www.polarctf.com/#/32位,不提供libc,用本地2.27做。再明显不过的字符串格式化,需要篡改bss上的hh为0x4才能进入welcome(
阅读全文最近跟jdbc有关的新知识——getter篇
最近跟jdbc有关的新知识——toString篇最近跟jdbc有关的新知识——json篇最近跟jdbc有关的新知识——ldap篇除了TemplatesImpl哪些getter可以造成危害,我之前的文章
阅读全文web选手入门pwn(31.5)——强网杯bph
https://blog.csome.cc/p/house-of-some/这篇文章介绍了一种house of apple2的进阶利用手法house of some,刚好可以用在bph上。先回顾一下h
阅读全文web选手入门pwn(31)——强网杯bph
1. bph(2025强网杯)https://github.com/kezibei/pwn_study/blob/main/bph(2025%E5%BC%BA%E7%BD%91%E6%9D%AF).z
阅读全文web选手入门pwn(30)——鹏城杯VM
1. entanglement (2025鹏城杯VM)题目如下https://github.com/kezibei/pwn_study/tree/main/2025%E9%B9%8F%E5%9F%8E
阅读全文fastjson写文件挑战
一、 从一道题说起某人第三次投其所好,出了一道fastjson题。https://mp.weixin.qq.com/s/DdveJJ6XRulQkNgud9jf4w简单直接的fastjson反序列化,
阅读全文web选手入门pwn(29)——鹏城杯
1. Pivoting(2025鹏城杯)自带libc 2.35,开始一个明显的信息泄露。看起来像栈地址。然后read让你输入一个名字(buf),看起来也有溢出,但似乎覆盖不到任何东西接着看会根据fla
阅读全文Thymeleaf SSTI bypass历史
SSTI(模板注入)某依最新版本稳定4.8.1 RCE (Thymeleaf模板注入绕过)可以先看这两篇文章。1. =3.0.11最早也是无限制的payload,不赘述__${new java.uti
阅读全文另外一种XXE OOB
一、 从一道题说起新手可以先看基础XXEXXE之java补充某人投其所好,给我推荐了一道题。https://mp.weixin.qq.com/s/Hdd1LeWtzqnc2CGIhPIXBA看起来是一
阅读全文web选手入门pwn(28)
1. FILE_IO这题自带libc 2.34,本地可以用2.35-0ubuntu3_amd64做会比较简单,这里我用2.34-0ubuntu3_amd64做。非常简单直接的IO利用,打IO通常是作为
阅读全文神奇的order by注入——第二篇
一、 泛用检测在一次实战中,我碰到了类似这样的检测。 @RequestMapping("/findUser") public String findUser(@Param("key") S
阅读全文最近一些实战的经验总结
1,Websphere回显马可以执行命令,但不能回显结果还好目标有一个简单的报错SRVE0209E: Writer already obtained通过代码搜索,发现位于https://github.
阅读全文一个接口到底能引发多少漏洞
1. lfw 文件写入/文件删除用友NC因为代码比较早期,被挖掘出了很多漏洞,大部分漏洞都并不复杂,适合初学者入门。而且有着自己的漏洞通告平台,我们可以从中找到补丁文件和一些介绍。比如今天的主角Lfw
阅读全文CVE-2019-10086/CVE-2025-48734(commons-beanutils)
一、 CVE复现熟悉java反序列化的人一定对commons-beanutils不陌生,在fastjson/jackson链没出来之前,CB链往往是反序列化环境中唯一能打的链。而且也是转getter,
阅读全文老链新看——CommonsCollections链
1. LazyMap初学者看到这么多链,一下子头都晕了。但实际上分个段就很简单,用什么分段呢?显然有个明显的分界线——LazyMap。CC链的前半段大部分都是如何触发LazyMap.get(),也就是
阅读全文PHP文件包含/文件读取——高级利用篇
前篇PHP文件包含四、 利用phpinfo包含php上传缓存包含php的上传缓存,目录于phpinfo中upload_tmp_dir其原理是对任意php构造上传表单(即使无法上传文件),都会在此目录生
阅读全文最近跟jdbc有关的新知识——json篇
1,fastjson/jackson在越来越多的厂商意识到反序列化链的危害,并对传统CC/CB等链子进行封堵后,fastjson/jackson原生链已经成了主流链,于是围绕他们的攻防也开始了。以下这
阅读全文实战某凤网站导致的代码审计
0. 前言 这篇文章很早就写了,因为涉及0day不想影响太大,于是就想等作者修了再发。现在漏洞已经公开了,作者也修了,就发出来吧。https://xz.aliyun.com/news/182151.
阅读全文web选手入门pwn(26)——warmup(off by null 2.35)
1. warmup(off by null 2.35)题目来自2023强网杯https://github.com/kezibei/pwn_study/blob/main/warmup23_e6035b
阅读全文一道反序列化bypass题ez_check
1. 题干题目来自https://www.polarctf.com/#/page/challenges先看依赖,只有jackson,那么基本只能走toString-getter-TemplatesIm
阅读全文java代码执行(eval)
一、 EL String payload1 = "Runtime.getRuntime().exec('calc')";ELProcessor eLProcessor = new javax.el.E
阅读全文web选手入门reverse(2)——crackme_easy
前言:代码审计累了就去做pwn,pwn做累了就去找反序列化链,反序列化链找累了就去写代码,写代码累了就去做逆向,逆向做累了就去代码审计。安全学习还是要劳逸结合啊。老题,当然做的时候不知道。Window
阅读全文web选手入门pwn(25)——eazy_heap
1. eazy_heap(off by null 2.27)不提供libc,直接用libc-2.27做。只有增删查,没有改。chunklist开头也是一块0xA0的chunk。漏洞发生点在sub_CF
阅读全文web选手入门pwn(24)——koi和bllbl_shellcode_3
题目均来自https://www.polarctf.com/#/page/challenges1. koi虽然是栈题,但需要用到祖传libc6_2.23-0ubuntu11.3_amd64其实核心就是
阅读全文web选手入门pwn(23)——xor_pwn
先看main,似乎没有直接的溢出。sub_804898F比较简单是限制长度450,重点看sub_80488C2。看起来是输入符合条件的字符串游戏,最后进入a1+50执行shellcode,a1在栈上,
阅读全文