LoRexxar's Blog

从补丁到漏洞分析 --记一次joomla漏洞应急

2018年1月30日,joomla更新了3.8.4版本,这次更新修复了4个安全漏洞,以及上百个bug修复。 https://www.joomla.org/announcements/release-news/5723-joomla-3-8-4-release.html 为了漏洞应急这几个漏洞,我花费了大量的时间分析漏洞成因、寻找漏洞触发位置、回溯逻辑,下面的文章比起漏洞分析来说,更接近我思考的思路,希望能给大家带来不一样的东西。 背景其中的4个安全漏洞包括1234- Low Priority - Core - XSS vulnerability in module chromes (af...

finecms分析

在过去的一段时间里,我对FineCMS公益版进行了一波比较详尽的审计,我们找到了包括SQL注入、php代码执行、反射性XSS、任意url跳转等前台漏洞,其中部分漏洞危害巨大。 CVE-2017-11581CVE-2017-11582CVE-2017-11583CVE-2017-11584CVE-2017-11585CVE-2017-11586CVE-2017-11629 更新至v5.0.11即可修复大部分漏洞 URL 任意跳转漏洞(CVE-2017-11586)漏洞分析/finecms/dayrui/controllers/Weixin.php 204~219 sync函数123456...

第十届信息安全国赛 Web MISC writeup

周末花了一整天的打国赛技能赛的线上赛,去年比赛没能进入线下,当时就是因为感觉选手之间py太严重,今年没想到又遇到了这样的问题,所幸的是,今年运气比较好,做出来的题目比较多,所以py没有太过影响到我们。 下面就奉上web和misc的writeup,就我个人看的话,题目虽然不够新颖,但质量已经算是中上了,所谓的抄袭不知道是不是我见识短浅,就我个人看来都是比较正常的思路,xss可能抄袭了一个sandbox吧,感觉对题目本身没有太大的影响。 webphp挺有趣的一题,虽然过滤很多,但是php是世界上最好的语言,能做的事情还是有很多 列目录,可以找到flag文件1code=$f=[];$d=ne...

0ctf2017 final

几周前刚刚从0ctf final的现场回来,虽然名词不好,但是收获很多,一直没来得及整理,今天终于整理完了… AVATAR CENTER题目很简单,但是刚上手的时候挺萌比的,一共两个功能。 1、修改时区,登陆注册之后有一个修改时区的功能。(盲测讲道理是没什么卵用的)2、上传头像,这里盲测的结果是没有不会做任何处理,包括文件名和内容,但是头像内容是通过函数返回的,访问getavatar,返回文件内容,没办法找到目录在哪。 研究了一会儿发现这题被秒的差不多了,感觉有忽略的条件,于是扫端口发现2121存在ftp服务,匿名登陆上了服务器,翻了翻拿到了源码。 分析下逻辑主要是这样的。 输入时区必...

pwnhub_拍卖行

算是第一次做pwn题,不过有点不得不说,整个题目几乎都是web思路,除了分析bin的部分需要一点儿别的知识,其余都可以web直接做,下面稍微说下吧 由于各种各样的原因吧,最后还是被取消了成绩,不想解释太多,下面的wp已经把之前没有写过的部分全部修改增加上了,整个思路除了使用别人的poc修改,全部都是自己的思路,从一个web选手的角度去思考而已… 总览整个网站,存在任意文件包含漏洞,但是整个站都是假的,没有任何功能。 http://54.223.241.254/?page=/etc/passwd 这里可以读任意文件1234567891011121314151617181920212223...

信息安全国赛技能赛 Writeup

周末在北京wooyun峰会的旅途上打了一场大学生信息安全的国赛的技能赛,本以为能进的决赛,却因为人手不够再加上个人水平太差错过了,虽然i春秋的平台一股浓浓的国产页游风,但不得不说,题目的质量确实不算差,稍微整理下wp… WEBweb150 脚本抢金币150这题没什么可说,由于验证码比较弱,所以上网找个识别验证码的再写个脚本就好了,贴上队友的脚本 12345678910111213141516171819202122232425262728293031323334353637383940414243444546#!/usr/bin/env python2# coding: utf-8fr...

SQL 显错注入

在做rctf2015的一道web题目的时候,遇到了一个显错注入,学习不少姿势,写下来好好研究下… rand()和order by冲突错误(转自知乎路西法)一般意义上来说,我们常用的显错注入手段是这两个,在mysql的官方文档中有这样一句RAND() in a WHERE clause is re-evaluated every time the WHERE is executed.You cannot use a column with RAND() values in an ORDER BY clause, because ORDER BY would evaluate the co...

关于sqli注入的特殊函数

最近几次参与的几个ctf比赛加上之前的对sql注入一段时间的研究,让我对sql注入有了新的认识,这里留存下几个函数的用法,到需要的时候可以拿出来用。 首先贴出来两个payload,下面根据这两个payload分析每一个函数。 1)+and+(select+1+from+(select+count(*),concat((select+(select+(select+concat(username,0x27,password)+from+cdb_members+limit+1)+)+from+information_schema.tables+limit+0,1),floor(rand(0)...