LoRexxar's Blog

LoRexxar's Blog

热爱电子竞技的Web弱渣/Vidar-team/知道创宇404Team

typecho前台getshell漏洞分析

漏洞是鹿师傅挖的,但是被无意中爆了出来…心疼鹿师傅… 0x01 简述Typecho1是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序2,目前使用SVN来做版本管理。 2017年10月13日,知道创宇漏洞情报系统监测到typecho爆出前台代码执行漏洞3,知道创宇404团队研究人员成功复现了该漏洞。 经过分析确认,该漏洞可以无限制执行代码,通过这种方式可以导致getshell。 0x02 复现打开安装好的typecho 生成对应的payload 1YTo3Ont...

前端防御从入门到弃坑--CSP变迁

原文是我在内部showcase的时候修改而来的,总结了一些这一年接触CSP的很多感想… 前端防御的开始对于一个基本的XSS漏洞页面,它发生的原因往往是从用户输入的数据到输出没有有效的过滤,就比如下面的这个范例代码。 123<?php$a = $_GET['a'];echo $a; 对于这样毫无过滤的页面,我们可以使用各种方式来构造一个xss漏洞利用。 123a=<script>alert(1)</script>a=<img/src=1/onerror=alert(1)>a=<svg/onload=alert(1)> 对于这样的漏洞点...

WordPress安全架构分析

文章搞得乱七八糟给大家添麻烦了,干货不多,有需要的人阅读就好了,文章首发在seebug paper上。 0x01 前言WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月,约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。 在zoomeye上可以搜索到的wordpress站点超过500万,毫不夸张的说,每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞… 由于前一段时间...

Discuz!X 3.4 任意文件删除漏洞分析

节日快乐!! 0x01 简述Discuz!X社区软件1,是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。 2017年9月29日,Discuz!修复了一个安全问题2用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。 2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析确认,该漏洞于2014年6月被提交到Wooyun漏洞平台,Seebug漏洞平台收录了该漏洞3,漏洞编号ssvid-93588。该漏洞通过配置属性值,导致任意文件删除。 经过分析确认,原有的利用方式已经被修复,添加了对属性的formty...

阿里先知xss挑战赛 Writeup

8月里阿里先知办了一个xss的挑战赛,可惜全程都刚好属于比较忙的时候,很多题目都是违背基本规则的,要花长时间来搜索尝试…和一个朋友花了一天的时间,也就做出来6、7题,后来就没有提交了… 现在整理所有的Writeup,先膜一发@L3m0n师傅,大部分不会的题目思路都是看了他的Writeup才知道的…下面整理的wp中,我做了的部分会尽量加入我的理解,其他部分基本为lemon师傅的思路. https://xianzhi.aliyun.com/forum/read/2044.html 01 文件上传123456789101112131415161718192021222324252627282...

Discuz_X authkey安全性漏洞分析

2017年8月1日,Discuz!发布了X3.4版本,此次更新中修复了authkey生成算法的安全性漏洞,通过authkey安全性漏洞,我们可以获得authkey。系统中逻辑大量使用authkey以及authcode算法,通过该漏洞可导致一系列安全问题:邮箱校验的hash参数被破解,导致任意用户绑定邮箱可被修改等…2017年8月22日,360cert团队发布了对该补丁的分析,我们对整个漏洞进行了进一步分析,对漏洞的部分利用方式进行了探究。 漏洞详情2017年8月1日,Discuz!发布了X3.4版本,此次更新中修复了authkey生成算法的安全性漏洞,通过authkey安全性漏洞,我们...

从瑞士军刀到变形金刚--XSS攻击面拓展

这篇文章的原文被我首发在阿里先知社区。 前段时间我阅读了Sucuri Security的brutelogic的一篇博客以及ppt,对xss有了一些新的理解。 在我们真实场景下遇到xss漏洞的时候,我们常常会使用1<script>alert(1)</script> 来验证站点是否存在漏洞(PoC),为了不触及敏感信息,我们往往不会深入研究XSS的危害程度,很多人都只知道Cross-Site Scripting(XSS)可以窃取cookie,模拟admin请求,但事实上在复杂环境下,我们可以使用XSS完成复杂的攻击链。 测试环境wordpress v4.8.0(默认...

pwnhub 改行做前端

题目说实话是完成了一半,后一半是无意中上车的,有一些迷…关于注入部分是后来才发现的。 这里先按照我的思路来吧 self-xss站内有提交bug的地方,地址必须是http://54.222.168.105:8065/开头,也就是说我们必须找到一个self-xss的地方。 无意间发现,如果提交错误,那么错误是通过302跳回?error=xxx来输出到页面内jquery中,然后通过jquery输出到页面的,输出内容大多都经过了转义。 也就是说我们没办法通过闭合语句来执行js。 这里有一个小trick,假设<>没有被过滤,那么可以直接插入一个</script>,那么s...

finecms分析

在过去的一段时间里,我对FineCMS公益版进行了一波比较详尽的审计,我们找到了包括SQL注入、php代码执行、反射性XSS、任意url跳转等前台漏洞,其中部分漏洞危害巨大。 CVE-2017-11581CVE-2017-11582CVE-2017-11583CVE-2017-11584CVE-2017-11585CVE-2017-11586CVE-2017-11629 更新至v5.0.11即可修复大部分漏洞 URL 任意跳转漏洞(CVE-2017-11586)漏洞分析/finecms/dayrui/controllers/Weixin.php 204~219 sync函数123456...

xssgame writeup

前段时间无意中玩了玩xssgame,应该是最新的xss挑战了吧,最近才有空整理了一下writeup,网上很多搜到的wp说的都不清楚,这里推荐一片wp。 xssgame(需要翻墙)推荐的wp level 1第一题没什么特别的,查询输入没做任何过滤就输出了,所以直接插入标签就好了。 1http://www.xssgame.com/f/m4KKGHi2rVUN/?query=1<img src="/" onerror=alert(1)> level 2第二题其实有一点儿特别,dom xss,最关键的部分,其实就是如何让语句合理,因为在js的解析器中,js语句是按顺序解释的,如果碰...

第十届信息安全国赛 Web MISC writeup

周末花了一整天的打国赛技能赛的线上赛,去年比赛没能进入线下,当时就是因为感觉选手之间py太严重,今年没想到又遇到了这样的问题,所幸的是,今年运气比较好,做出来的题目比较多,所以py没有太过影响到我们。 下面就奉上web和misc的writeup,就我个人看的话,题目虽然不够新颖,但质量已经算是中上了,所谓的抄袭不知道是不是我见识短浅,就我个人看来都是比较正常的思路,xss可能抄袭了一个sandbox吧,感觉对题目本身没有太大的影响。 webphp挺有趣的一题,虽然过滤很多,但是php是世界上最好的语言,能做的事情还是有很多 列目录,可以找到flag文件1code=$f=[];$d=ne...

0ctf2017 final

几周前刚刚从0ctf final的现场回来,虽然名词不好,但是收获很多,一直没来得及整理,今天终于整理完了… AVATAR CENTER题目很简单,但是刚上手的时候挺萌比的,一共两个功能。 1、修改时区,登陆注册之后有一个修改时区的功能。(盲测讲道理是没什么卵用的)2、上传头像,这里盲测的结果是没有不会做任何处理,包括文件名和内容,但是头像内容是通过函数返回的,访问getavatar,返回文件内容,没办法找到目录在哪。 研究了一会儿发现这题被秒的差不多了,感觉有忽略的条件,于是扫端口发现2121存在ftp服务,匿名登陆上了服务器,翻了翻拿到了源码。 分析下逻辑主要是这样的。 输入时区必...

RCTF2017 web writeup

膜蓝猫师傅,比赛中的很多题目使用的技巧其实都是常用的技巧,但是却没想到会在不同的情况下产生新的利用,让我有了新的理解。 rcdn12345Are you pro?http://rcdn.2017.teamrois.cnThere is no XSS or SQLi. Just prove you are a pro(e.g owning a pro short domain), you will get flag. 这里是个挺常见的trick,之所以做出来的人,可能是没有想明白题目中的提示。 站内有效的功能不多,可以新建basic的cdn,新建成功之后,会获得一个8位的随机字符串做...
LoRexxar
带着对技术的敬畏之心成长,不安于一隅...