梦~醒🍇

[TOC] 漏洞详情 受影响的系统 仅限于 Debian 系 Linux 发行版（如 Debian、Ubuntu）及其衍生版本。 不受影响的系统：CentOS、RHEL 等非 Debian 系发行版不受此漏洞影响（漏洞源于 Debian 维护者在打包 Redis 时的补丁问题，而非 Redis 自身代码问题）。 受影响的 Redis 版本范围 redis版本小于等于6.x的都可以尝试。 触发条件 攻击者需具备 Redis 的未授权访问权限或合法凭证。 漏洞原理 背景 Redis 允许通过 eval 命令执行 Lua 脚本，但正常情况下这些脚本运行在沙箱中，无法执行系统命令或文件操作。 补丁引入的漏洞 Debian/Ubuntu 在打包 Redis 时，通过补丁代码向 Lua 沙箱中注入了一个名为 package 的全局对象。该对象本应在源码中被注释（出于沙箱安全考虑），但补丁错误地重新启用了它。 沙盒逃逸过程 加载动态库：攻击者可通过 package.loadlib 加载 Lua 系统库（如 liblua5.1.so.0），调用其导出函数（如 luaopen_io）获取 io ...

[TOC] 介绍Apache Shiro 1.2.4 反序列化漏洞（CVE-2016-4437） Apache Shiro是⼀款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、 易⽤，同时也能提供健壮的安全性。 Apache Shiro 1.2.4及以前版本中，加密的⽤户信息序列化后存储在名为remember-me的Cookie 中。攻击者可以使⽤Shiro的默认密钥伪造⽤户Cookie，触发Java反序列化漏洞，进⽽在⽬标机 器上执⾏任意命令。 漏洞成因 其漏洞的核⼼成因是cookie中的身份信息进⾏了AES加解密，⽤于加解密的密钥应该是绝对保密 的，但在shiro版本<=1.2.24的版本中使⽤了固定的密钥。因此，验证漏洞的核⼼应该还是在于我 们（攻击者）可否获得这个AES加密的密钥，如果确实是固定的密钥 1kPH+bIxk5D2deZiIxcaaaA== 或者其他我们可以通过脚本⼯具爆破出来的密钥，那么shiro550漏 洞才⼀定存在。 Shiro特征 ⾸先应该判断⼀个⻚⾯的登录是否使⽤了shiro框架进⾏身份验证、授权、密码和会话管理。判断 ⽅法在 ...

题目来源：NSSCTF平台 [TOC] [SWPUCTF 2021 新生赛]easyupload2.0 考点：文件上传绕过 进行文件上传测试，首先上传jpg文件，然后抓包改成php文件，结果提示php文件不能上传。 上传htaccess文件也不行，于是改成后缀为phtml。 phtml也会被当成php解析。 发现上传成功，用蚁剑连接，找到flag. NSSCTF{76333d4d-efe1-4a18-acf5-09bd35c8ca3b} [SWPUCTF 2021 新生赛]PseudoProtocols 考点：PHP伪协议，文件包含 先扫一下目录，发现什么都没有，然后看到需要传参，又要读取hint.php，使用filter伪协议 1php://filter/read=convert.base64-encode/resource=/var/www/html/hint.php 得到一串base64，解码 12345PD9waHANCi8vZ28gdG8gL3Rlc3QyMjIyMjIyMjIyMjIyLnBocA0KPz4=<?php//go to /test2 ...

[TOC] eval执行 1234567 <?phpif (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]);} else { highlight_file(__FILE__);}?> 没有任何绕过，直接执行 12?cmd=system('ls /');?cmd=system('cat /f*'); ctfhub{953435d20ae6652047e620c4} 文件包含 审计代码，发现过滤了flag关键字，include包含文件的内容，根据提示，发现有个shell.txt文件，而且文件内容是接受传参请求，可以利用这个漏洞。 所以思路就是文件包含shell.txt文件，然后传参触发eval函数来rce。 1?file=shell.txt&ctfhub=system('cat /f*'); ctfhub{e95bf56ca09c475de96779f8} ...

[TOC] web easy_php 考点：文件上传绕过，截断，源码审计 打开网站后，可以下载源码，先下载源码，然后再扫一下网站目录 配合源码审计，审计过程省略。其中在文件上传的目录下已经有文件了，再结合提示可以知道，不用再自己上传文件。 那么就需要触发文件，看这里代码 可以知道在/file.php页面中可以进行url的get传参，然后会将参数值过滤后进行高亮，触发反序列化链。 但是这里的过滤中，是f1ag而不是flag，所以其实没有过滤flag关键词。 因此结合源码，直接构造payload: 1?file=/flag 1flag{a16dcb7549915546893a27a6d7927615} easy_code 考点：利用PHP特性绕过，filter伪协议 访问/robots.txt 可以看到有 gogogo.php ctfer 参数有三个检测，只需要用科学计数法，PHP 会自动四舍五入 1ctfer=6.66999999999999999999999999999999999999999e2 Hackbar 里设置 cookie 为 p ...

-m hash的类型 指定hash的加密类型，默认是MD5类型 在对应的类型前面有它的id,可以通过id来指定类型 当我们想要找一个类型在hashcat支不支持的时候，例如windows系统加密的是NTML,可以执行命令 hashcat64.exe -h | findstr NTLM 可以看到NTLM的ID号为1000 -a 攻击方式 破解密码的方式 分别有: highlighter- 1c 123450 | Straight 字典破解1 | Combination 组合破解3 | Brute-force 掩码破解6 | Hybrid Wordlist + Mask 混合字典 + 掩码7 | Hybrid Mask + Wordlist 混合掩码 + 字典 掩码 当没有字典的时候，可以使用掩码指定密码的每一位是什么类型的字符，首先我们知道密码有多少位 例如:?d?d?d?d?d?d?d?d代表密码为8为数字，?u?l?l?l?l?d?d?d代表密码为7位，首个字母大写，然后四个小写字母，最后三个数字 破解windows hash密码 使用字典爆破windows ha ...