Gu0f3n's blog

udf 全称为’user defined function’，意思是’用户自定义函数’。用户可以对数据库所使用的函数进行一个扩展（windows利用dll文件，linux利用so文件），那么我们就可以利用这个特点，往MySQL里面添加一个可以执行系统命令的函数即可。 UDF 提权就像 “利用数据库给自己开后门”。举个例子：假设你偷偷在公司的打卡机里装了一个小程序，这个小程序本来应该只用来记录考勤，但你把它改成了能直接开老板办公室的门禁卡——这就是 UDF 提权的核心逻辑。 数据库就像一台手机，UDF 就是用户自己安装的 App。正常 App 用来听歌、聊天，但黑客装的 App 其实是偷密码的间谍软件 二、利用条件1、常规情况：1.1 mysql配置文件secure_file_priv项设置为空，（如果为NULL或/tmp/等指定目录，即无法自定义udf文件导出位置，则无法利用）； 1.2 CREATE权限、FILE权限（root用户默认拥有所有权限）。 2、特殊情况：2.1 INSERT权限、UPDATE权限、DELETE权限。 提权步骤（简单版）传文件：把恶意代码 ...

下载好靶机 然后先在本地进行扫描确定靶机的ip地址 sudo nmap -sn 192.168.205.0/24 发现 Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-25 04:03 EDTNmap scan report for 192.168.205.1 (192.168.205.1)Host is up (0.0012s latency).MAC Address: 00:50:56:C0:00:01 (VMware)Nmap scan report for 192.168.205.2 (192.168.205.2)Host is up (0.00089s latency).MAC Address: 00:50:56:F7:4F:9C (VMware)Nmap scan report for 192.168.205.136 (192.168.205.136)Host is up (0.00074s latency).MAC Address: 00:0C:29:19:D7:D3 (VMware)Nmap scan repor ...

之前复现了java cc1链子 顺便在这进行一个总结 核心武器：反射万能钥匙（InvokerTransformer）比喻：InvokerTransformer类像一把万能钥匙，能通过反射调用任何方法。比如用钥匙打开“Runtime类”的锁，执行exec("calc")弹计算器 流水线组装：串联工具人（ChainedTransformer）比喻：为了绕过限制，攻击者需要多个“工具人”协作。ChainedTransformer就像一个流水线，把多个操作串联起来： 工具人A：先拿到Runtime对象（ConstantTransformer 工具人B：用万能钥匙调用exec方法（InvokerTransformer） 原理：把这两个工具人按顺序放进ChainedTransformer，执行时会先获取Runtime对象，再调用exec方法。 触发机关：改造地图（TransformedMap）比喻：TransformedMap是一个被魔改的地图，当地图中的值被修改时（比如调用setValue），会自动触发流水线上的工具人 点火开关：反序列化入口（AnnotationIn ...

URLDNS 链子分析* Gadget Chain: * HashMap.readObject() * HashMap.putVal() * HashMap.hash() * URL.hashCode() 原理： java.util.HashMap 重写了 readObject, 在反序列化时会调用 hash 函数计算 key 的 hashCode.而 java.net.URL 的 hashCode 在计算时会调用 getHostAddress 来解析域名, 从而发出 DNS 请求. 在利用yso生成链子的时候先从GeneratPayload.class触发 package ysoserial;import java.io.PrintStream;import java.util.ArrayList;import java.util.Arrays;import java.util.Collections;import java.util.Iterator;import java.util.LinkedList;import ...

学习一下网络知识 主要学习下DNS,因为在后续的内网渗透与应急感觉用的会比较多 DNS解析流程有个大致的了解 这里就不一一细谈了主要还是学习一下域名解析记录 域名解析记录A记录（快递地址簿）****代表Address，用来指定域名对应的IP地址，如将item.taobao.com指定到115.238.23.xxx，将switch.taobao.com指定到121.14.24.xxx。A****记录可以将多个域名解析到一个IP地址，但是不能将一个域名解析到多个IP地址 例子：item.taobao.com指向115.238.23.xxx，相当于告诉快递员“淘宝商品页的快递送到这个地址” 特点： 一个域名只能对应一个IP，但多个域名可以指向同一个IP（比如淘宝的多个子页面共用服务器） 如果服务器搬家（换IP），得手动改地址簿 MX记录（邮局分拣员）Mail Exchange，就是可以将某个域名下的邮件服务器指向自己的Mail Server，如taobao.com域名的A记录IP地址是115.238.25.xxx，如果将MX记录设置为115.238.25.xxx，即xx ...

​ 环境搭建不说了 网上很多优秀的文章教学 先列出利用的链子然后我们需要倒着进行分析 AnnotationInvocationHandler.readObject()-->AbstractInputCheckedMapDecorator.MapEntry.setValue()-->TransformedMap.checkSetValue()-->ChainedTransformer.transform()-->InvokerTransformer.transform() CC1链的末尾（入口/源头）就是Commons Collections库中的Tranformer接口，这个接口里面有个transform方法。 InvokerTransformer 找到这个类发现实现了Tranformer接口的方法 public Object transform(Object input) {//定义了一个返回类型是object的公共方法且接受的参数是一个input的Object if (input == null) {//检查传入 ...

XML基础XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 <!--XML申明--><?xml version="1.0"?> <!--文档类型定义--><!DOCTYPE note [ <!--定义此文档是 note 类型的文档--><!ELEMENT note (to,from,heading,body)> <!--定义note元素有四个元素--><!ELEMENT to (#PCDATA)> <!--定义to元素为”#PCDATA”类型--><!ELEMENT from (#PCDATA)> <!--定义from元素为”#PCDATA”类型--><!ELEMENT head (#PCDATA)> <!--定义head元素为”#PCDATA”类型--><!ELEMENT body (#PCDATA)> <!--定义body元素为”#PCDATA”类型-- ...

ASP安全 遇到的比较少这里就不去复现了直接干看课程了 window asp iis access(sqlsever) 中间件问题 数据库问题 语言问题 aceess 数据库 一般后缀名 asp asa mdb(下载) mdb默认下载 mdb文件在网站目录下 思路：知道数据库地址就可以尝试下载获取数据库文件 获取当前管理员账号信息 吧n asp后门上传 ASP的数据库文件除了可以以mdb结尾，也能以asp结尾，由于mdb文件能下载而asp文件会被执行，因此当我们访问以asp结尾的数据库文件时只能看到乱码数据而不会自动下载，但依旧可以将乱码内容复制到记事本中，再将文件后缀修改成mdb，即可看到正常内容。 后门植入ASP的原理是当网站存在用户输入数据并被保存在数据库中时（例如留言信息），如果我们输入精心编写的ASP执行语句（类似一句话木马，但看起来是乱码的），然后服务器将其存储到数据库中，我们再访问这个asp数据库文件，由于服务器会把这个文件当成ASP解释执行，因此我们的执行语句也会被执行，这个时候再用菜刀等连接工具即可拿下服务器。 IIS 中间件解析漏洞 第一个就是文件夹有asp后缀 里 ...

php开发 这个课听着无聊 文件上传功能 是自己写的还是应用的别人的框架 文件下载 直接下载 和传参下载 文件删除i基本上碰不到了 文件写入 web漏洞核心 可控变量和特定函数 输入输出类安全问题 xss漏洞 反射：存储：dom 输入的内容直接显示出来 导致前端直接执行js代码 alert(1) 全局变量$_SERVER 数据包的所有请求头 csrf跨站点请求伪造 后台管理系统有多个文件页面，为了方便验证，一般会选用cookie或session进行验证cookie：身份验证存储到客户端浏览器内session：身份验证存储到服务端服务器内 未授权访问 登录后的页面没有验证是否登录成功 验证方式cookie,session cookie：身份验证存储到客户端浏览器内cookie安全：cookie修改伪造盗取session：身份验证存储到服务端服务器内session安全：会话劫持（session劫持） 验证码复用 先输入正确密码然后抓包保存 这个验证码可以一直用 js前端验证 在浏览器上进行的验证 威胁：浏览器可以在前端直接忽略 框架

Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。攻击者可利用该漏洞控制组件，影响数据的可用性、保密性和完整性。 0x01 影响版本Oracle WebLogic Server 10.3.6.0.0版本，12.1.3.0.0版本，12.2.1.1.0版本，12.2.1.2.0版本 构造如下Payload： <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header><work:WorkContext xmlns:work="http:/ ...