LoRexxar's Blog

typecho前台getshell漏洞分析

漏洞是鹿师傅挖的,但是被无意中爆了出来…心疼鹿师傅… 0x01 简述Typecho1是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序2,目前使用SVN来做版本管理。 2017年10月13日,知道创宇漏洞情报系统监测到typecho爆出前台代码执行漏洞3,知道创宇404团队研究人员成功复现了该漏洞。 经过分析确认,该漏洞可以无限制执行代码,通过这种方式可以导致getshell。 0x02 复现打开安装好的typecho 生成对应的payload 1YTo3Ont...

WordPress安全架构分析

文章搞得乱七八糟给大家添麻烦了,干货不多,有需要的人阅读就好了,文章首发在seebug paper上。 0x01 前言WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月,约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。 在zoomeye上可以搜索到的wordpress站点超过500万,毫不夸张的说,每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞… 由于前一段时间...

pwnhub_another php web部分

周末不是太有时间,所以就没怎么打pwnhub,后来快结束的时候完成了web部分,这里贴上web部分的wp吧 开始没啥可说的,应该是用来当一些咸鱼的吧,index.php~ 登陆框,验证码很普通的,没啥可说的,试了试没啥可玩的,那就扫目录,找到了.svn 123http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/.svn/400 跑脚本拖源码报错了,搜了搜好像是拖的数据库报错了,所以手动看看,好像是内容被改过了 12345678http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/...

phpmailer RCE漏洞分析

最近爆出来个CVE-2016-1003,国内人分析了两天发现ying 是国外十几年前发现的漏洞,分析了两天发现影响覆盖越来越严重,现在最新的patch也被绕过了,又爆了新的cve… 朋友的博客 CVE-2016-1003最早爆出来的版本是这样的 http://seclists.org/oss-sec/2016/q4/750 漏洞详情https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html 环境,poc,exp相关https://github.com/op...

php 伪协议

最近php伪协议的各种神奇妙用好像突然又常常提到了,php中支持的伪协议有下面这么多123456789101112file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流(I/O streams)zlib:// — 压缩流data:// — 数据(RFC 2397)glob:// — 查找匹配的文件路径模式phar:// — PHP 归档ssh2:// — Secure Shell 2rar:// — RARogg:// — 音频流expect:// — 处理交互式的流 今天着重...

sangebaimao之火币网

题目在wooyun峰会上就放出来了,在上周orange菊苣和一众师傅讨论的结果下,才终于有了第一步的路,虽然没能力拿下一血,但是还是磕磕绊绊的做出来了… 多文件上传导致的php源码泄露原理根据上周各位师傅们的讨论,找到这个洞 https://bugs.php.net/bug.php?id=49683 还有一篇文章 https://nealpoole.com/blog/2011/10/directory-traversal-via-php-multi-file-uploads/ 根据第二篇文章直接复现环境(事实证明和原环境相差非常小),由于foreach的关系,如果我们构造picture...

sangebaimao之招聘又开始了,你怕了吗?

招聘又开始了,又要被火日师傅虐了,运气不错,赶在考试期间还把题目做出来了,遇到了特别神秘的参数污染,还是ll大法无敌… md5碰撞?这个类似于验证码的东西已经用了很久了,不知道最早是不是火日师傅出的,但是没想到还有人不知道怎么过这个验证码,就把脚本贴上来吧。 12345678910111213141516171819import randomimport hashlibdef crack_code(code): str = 10000 while 1: m2 = hashlib.md5() m2.update(repr(str)) if (m2.hexdigest()[0:...

alictf2016_web_writeup

感觉时间总算是转了一年,去年也大概是alictf才开始能做出签到题目以外的题目,今年强撸了一波alictf,不得不说,又遇到蓝莲花+0ops出题,web真的难度很高,比较蛋疼的是homework,说实话是一道想法很好很好的题目,但是强行和asis有区别,写了实战情况不合的权限….不管怎么说还是学了很多东西,整理下wp… find password题目其实挺蛋疼的,本来是简单的登陆盲注,但是却写了很多奇怪的过滤,导致写脚本的时候各种出问题,花了很长时间改,不过用了以前的通用脚本还是感觉不错的,在sqlmap不能用的情况,还是可以用,结尾贴github链接 先说题目,在login的时候有一...

在php opcache检测隐藏的后门程序

文章是来自于前段时间发现Opcache可以构造php webshell的作者博客。 from http://blog.gosecure.ca/2016/05/26/detecting-hidden-backdoors-in-php-opcache/ 本文讲的是怎么检测和分析隐藏在opcache中的恶意文件,在阅读这篇文章之前,你需要明白关于上次文章提到的利用php7 的 opcache构造webshell的利用方法。原文http://blog.gosecure.ca/2016/04/27/binary-webshell-through-opcache-in-php-7/ wooyun的翻...

php webshell 各种函数

前段时间打ctf的时候突然发现,有时候我们getshell了,但是由于服务器大部分时候回禁用shell函数,我们往往只能使用eval(),一般意义来说,我们可以通过菜刀蚁剑这样的工具,但是如果我们的shell是通过文件包含的方式成立的,工具经常没法用,突然一下用php函数读文件写文件还需要查查看,所以今天分析下蚁剑的列目录读文件方式,需要的时候可以直接来用 我是通过分析蚁剑的语句来列出的,毕竟菜刀不支持php7 查看当前目录&查看服务器信息1%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%...

Asis2016_Binary Cloud

上周的asis2016比赛中,有个很特别的题目叫Binary Cloud,而getshell的方法是前段时间的才爆出来的Binary Webshell Through OPcache in PHP 7,在实战环境中比较有趣~(~ ̄▽ ̄)~ 题目实际没做出来当时,后来看了ctftime的wphttp://corb3nik.github.io/asis%202016/Binary-Cloud/ 收集信息首先发现存在12345User-Agent: *Disallow: /Disallow: /debug.phpDisallow: /cacheDisallow: /uploads 打开看到/...