Y0n3er's Blog

本文首发于先知社区：https://xz.aliyun.com/news/91821 环境搭建SU_jdbc-master.zip 12docker build -t jdbc-master .docker-compose up wp学习！ 鉴权绕过明显的jdbc入口点 不过这里有个鉴权，首先是将PathInterceptor 这个拦截器注册进spring mvc中，拦截的所有路径 然后看看拦截规则，简单的就是匹配到suctf这几个字符就403即上面的jdbc入口点，这里对特殊字符也进行了过滤 12345678910111213public class PathInterceptor implements HandlerInterceptor { public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { HttpServletRequest r = reques ...

3377cbb697117c2cea7c5b942325fd70069f83ba2674b0326015d86a2995b0f03a271d875275501bea1e2b4490a28fe352709eda4a2cabb4133eafa30b895c604a415d6f471791212daebcaa22fe1f3b3dbabdebf3232f0049c2ce6ecc207a033c1d1bec568c7dad47bd4e2824ea07c77bb3def2421bd374d5c165f4d3f9d2a23ebbd8789b255ba41e17ebf8c285eaa9d128c39dd22837f38750ca3dc156d44797b8ae78d7d25f0a64be6a9a40d0c478ef0a12ad5be41af25e9eaf890e58699feb0734e1f2f071cdaa288e5d1d2da5d7c48f04e3920617018d36e3c1cb22edc6f5ebca088789ad6b5c968d7a1448d979644e54dc450902f06 ...

某微前台登录绕过+后台组合拳RCE 实际环境该payload可能无法成功利用，未仔细测试rasp的绕过

暂不公开

https://mp.weixin.qq.com/s/cI5yPxJSKX7V87WONdke2g

https://mp.weixin.qq.com/s/laMT4-M00t8xAY_Autdb3A

首发于奇安信攻防社区：奇安信攻防社区-ClassPathXmlApplicationContext的不出网利用学习 trick来自于p神知识星球挑战，复现这个先看看postgresql jdbc driver rce这个洞，之前没跟过 CVE-2022-21724 PostgreSQL JDBC Driver RCE分析影响范围： 9.4.1208 <=PgJDBC <42.2.25 42.3.0 <=PgJDBC < 42.3.2 这里从先知找了个调用流程图还不错 当jdbc可控时就会造成rce，直接用payload跟一遍流程 1234567891011121314package com.ar3h.postgresqljdbcattack.poc;import java.sql.DriverManager;public class payload { public static void main(String[] args) throws Exception{ String socketFa ...

CVE-2025-24813，跟的不是很细，大概复现了一下 环境搭建可以本地搭，我这里为了方便直接用docker了 123456789101112131415version: '3.8'services: tomcat: image: tomcat:9.0.8-jre8-slim container_name: CVE-2025-24813 volumes: - ./web.xml:/usr/local/tomcat/conf/web.xml - ./context.xml:/usr/local/tomcat/conf/context.xml - ./commons-collections-3.2.1.jar:/usr/local/tomcat/webapps/ROOT/WEB-INF/lib/commons-collections-3.2.1.jar ports: - "8080:8080" - "8000:8000" environment: ...

之前打ctf线下赛遇到过这个系统，一直想分析来着，搁置到现在。。。 影响版本<=1.4.0 环境搭建无敌的p神没得说，还贴心配置了调试端口 https://github.com/vulhub/vulhub/blob/master/aj-report/CNVD-2024-15077/README.zh-cn.md 权限绕过这类的漏洞一般就是Filter之类的写的有问题导致的权限绕过，直接来到TokenFilter 可以看到这里直接用了getRequestURI 获取的接口，这个东西之前就爆出来有解析差异导致的权限绕过，下面刚刚好有个url包含swagger-ui 就直接放行，那么利用; 就可以直接绕过权限校验 可以看到这样直接就绕过了权限校验，之前没分析过，借此分析一下。 Tomcat和getRequestURI结合导致的权限绕过tomcat的处理在CoyoteAdapter.service() 方法中，这里我对getRequestURI 和这个service 都下了断点，首先在service 断住了，说明是tomcat先处理url，调用栈如下 12345678910 ...

本文首发于先知社区：文章 - JsRpc联动burp实现自动加解密（详细版） - 先知社区 练手地址：https://github.com/0ctDay/encrypt-decrypt-vuls JsRpc：https://github.com/jxhczhl/JsRpc JsRpc基本使用首先观察一下原始的数据包 可以看到除了请求体需要解密，还有请求头中的timestamp、requestId、sign 需要实时更新，所以请求包中总共有四个地方需要处理，由于是直接只用JsRpc，那么就只需要找到对应的处理位置然后调用即可，不需要弄清楚具体的处理逻辑 可以看到就是图中的几个地方处理的，具体逻辑就不分析了，主要是学会使用jsrpc 首先把这几个函数先提升到全局，需要先断点让其加载到作用域 然后在控制台执行下面语句提升至全局作用域 12345678window.requestId=p//requestIdwindow.v1 = v//函数vwindow.sign=a.a.MD5//签名signwindow.l=lwindow.d=d 然后注入jsrpc中的js文件JsEnv ...

本文首发于先知社区：https://xz.aliyun.com/news/17175 为什么说是假呢？因为这个”权限绕过“只是方便开发测试，毕竟应该没人会把开发环境直接放到公网吧 项目地址Releases · 1024-lab/smart-admin https://gitee.com/lab1024/smart-admin/ 漏洞分析（权限绕过）首先看了看项目的依赖，基本上没得搞，fastjson为2，看一下拦截器在MvcConfig 下注册添加了AdminInterceptor 为拦截器 123456@Overridepublic void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(adminInterceptor) .excludePathPatterns(SwaggerConfig.SWAGGER_WHITELIST) .addPathPatterns("/**");} e ...

看到p神的vulhub环境更新了，正好是个权限绕过，对这块不太熟复现一手 影响版本及编号Affected versions：>= 1.0.0, < 1.5.0 CVE-2024-43441 漏洞分析既然是权限绕过，那么就得分析鉴权，直接找login，在hugegraph-server下的hugegraph-api找到登录接口src/main/java/org/apache/hugegraph/api/auth/LoginAPI.java 但是奇怪的是无法走进这里生成token的逻辑，直接就进入了AuthenticationFilter#filter 中进行token的校验了，那么就可以先看一下校验，进入authenticate 方法，当设置好jwt格式的请求头后就会走到下面的jwt校验 1Authorization: Bearer ... 继续跟进来到下面的代码 1234public HugeAuthenticator.User authenticate(Map<String, String> credentials) throws ...