总结一下SSRF中容易忽视的细节

之前面试的时候被问了一些SSRF的细节问题,感觉答得挺差的 总结一下
ssrf本身东西很杂 因为大多数情况都是跟别的服务息息相关 所以综合性很强 面试官也很喜欢问。

00×0 SSRF的绕过姿势

分情况说吧
白名单的时候:找白名单域名的任意url重定向或者找解析差异(类似parse_url和curl[……]

继续阅读

TP6 反序列化利用链

面试自闭了 实战太菜了
无内鬼 审点链子
tp6没有之前的直接触发tostring的windows类了 所以要绕一下 触发了tostring之后就还可以走一条跟之前类似的路

起点是model类的destruct 跟进save

需要调用的方法在updateDate 前面的return很好控制

跟进[……]

继续阅读

利用Python字符串格式化特性绕过ssti过滤

首发先知

00×0 前置知识

由于这篇文章只是想分享一个绕过的姿势,所以不会再从漏洞原理的层面赘言了,如果想学习ssti的话,已经有很多分析的很透彻的文章。

不过,还是需要讲一点前置的绕过姿势的。

Flask在渲染模板的时候,有

"".__class__==="&quo[......]

继续阅读

typecho1.1 rce的分析和思考

起因是跟北邮天璇的师傅聊天的时候聊到mrctf的ezpop-reverage有非预期 其实就是typecho1.1 rce的链子没过滤好,然后我就自己写了个exp 打了一发试试,结果本地打通,远程500了。干脆就不去纠结苛刻的回显利用问题,直接去看看typecho1.1的rce洞。

利用条件

这个洞[……]

继续阅读

thinkphp5.1.37反序列化利用链挖掘

最近心情很有点问题 颈椎也不如以前了 效率是低了不少
不过还是
四月快乐呀

环境搭建

不说咯 都一样的

分析

tp5.1.37的链子是比5.0要简单不少的 而且利用也很方便

因为5.1.37有一个十分好用的request类的__call方法 可以直接调用

那废话不多说 直接正片

前半段是一模一样的[……]

继续阅读

thinkphp5.0.14 反序列化利用链的审计和构造

最近一边划水一边看了点审计,看完了tp文档,然后今天大概审了下tp5.0.14的链子
不会放exp,只写挖掘的流程,会尽可能还原我踩得坑。不得不说框架的反序列化跟平时ctf做的那些不是一个级别的,5.0.x的链子貌似还是相对比较复杂的,按朋友的话是我上来就选了个最难的- -也确实审的有点自闭。简单写[……]

继续阅读