dll文件编写
DLL文件,即动态链接库文件,在windows中许多pe文件运行时需要将一些dll文件加载进内存,从而调用dll文件里的内容。
DLLMAINdllmain,是dll在被加载时执行的函数(dllmain在dll文件中不是必须的)
BOOL WINAPI DLLMain(//指向自身句柄_In_HINSTANCE hinstDLL,//载入状态_In_DWORD fdwReason,//加载方式(隐式、显式)_In_LPVOID IpvReserved);
其中,载入状态有四种,如下
DLL_PROCESS_ATTACH:进程进入时
DLL_PROCESS_DETACH:进程退出时
DLL_THREAD_ATTACH:线程进入时
DLL_THREAD_DETACH:线程退出时
dllmain根据载入状态的不同,可以做出不同的反应。就像这样
#include <iostream>BOOL APIENTRY DllMain( HMODULE hModule, DWORD ul ...
frp使用
frpfrp,确实蛮好用的,他基本不会被杀软杀掉。而且无论是win到win,linux到linux还是win到linux的转发,它都支持。 Download;https://github.com/fatedier/frp/releases
frp分为有两个主要可执行文件,frps和frpc,对应的配置文件为frps.ini和frpc.ini。
其中frps用作服务端,在进行渗透的时候一般架设在公网VPS上,它的配置文件默认为这样
[common]bind_port = 10067 #监听的端口运行 frps -c frps.ini
frpc用作客户端,在进行渗透的时候一般假设在内网机器上,它的默认文件一般长这样
[common]server_addr = 149.17.4.190 # 指定需要转发到的公网IPserver_port = 10067 # 公网VPS上所监听的端口[socks_proxy] # 标签名,任意type = tcp #设置转发的协议local_ip=127.0.0.1 #填127.0.0.1就完事了local_ ...
java安全中几个重要机制
java 代理代理的作用,就是在原有类的代码不发生改动的情况下,添加新功能。起到一个修饰器的作用。
假设我们现在有个类,用于打印helloworld
class hello{ public void gogo(){System.out.println("Hello Wrold");}}
我们想在不改动hello类的前提下,在输出helloworld时同时输出当前时间到文件,达到日志的功能,该如何解决这个问题呢?以这个问题为切入点,开始学习代理。
静态代理静态代理很简单,不用接触什么新技术。就是创建一个”继承已有的一个类“的类,通过重写父类的方法,达到不改动原有类的基础上增添新功能。纸上得来终觉浅,用代码来说明一下吧。
以刚刚的输出helloworld的类为例。我们编写一个它的子类,并在其中重写其gogo方法,添加日志生成功能
class hello{ public void gogo(){System.out.println("Hello Wrold");}
...
java反序列化-CC链1
Transformer Map 链RCE原理我在网上找到了一则利用代码,虽然这个利用代码很粗浅,并没有CC链1的触发过程,但是对于这条链的原理还是可见一斑的。
import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;import java.util.HashMap;import java.util.Map;public class test { public static void main(String[] args) t ...
php反序列化
php反序列化基础基础:魔术方法construct(): 当本对象被创建的时候自动调用,(unserialize()时不会被自动调用)wakeup(): 对象被unserialize()时自动调用destruct(): 当本对象被销毁时自动调用tostring(): 当本对象被当作字符串处理时调用(echo等)get()/set(): 当试图获取/写入一个不可达到属性或不存在的值时,会自动调用call(): 与get类似,当试图调用一个不可到达方法时调用sleep/wakeup 当对象被序列化/反序列化时调用invoke 当对象被当作函数使用时调用。
其中,对于to_string()的触发条件有很多:
echo/print 打印输出对象时对象与字符串拼接或==比较时对象在经过字符串处理函数如 strlen()strstr()等时以及class_exists()时
ctf中的反序列化经验1.序列化后的结果,一切以var_dump出来的页面的源代码界面为准!,且源代码中的乱码 ...
imagemagick漏洞任意命令执行(cve-2016-3714)
参考 https://www.leavesongs.com/PENETRATION/CVE-2016-3714-ImageMagick.html
何为ImageMagick简而言之,就是一个处理图片的程序。
RCEImageMagick有一个功能叫做 delegate(委托),作用是调用外部的lib处理文件。在ImageMagick的配置文件 /etc/ImageMagick/delegates.xml 可以看到所有的委托(自己去看)
它的委托一般是长这样的,意思是在处理https图片时,会调用command的里的指令.command里的%m代表一种占位符,%m占位符代表获取https图片的url(当然占位符不仅仅%m一种,还有 比如%i是输入的文件名,%l是图片exif label信息 等等等等)
<delegate decode="https" command=""curl" -s -k -o "%o" "https:%M""/>
Image ...
FastCgi协议&PHP-FPM未授权导致RCE
参考: https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html 离别歌
Fastcgi要说PHP-FPM,首先就要说一下Fastcgi协议.
Fastcgi其实是一个和HTTP本质一样的通信协议。HTTP用于浏览器和服务器中间件通信,Fastcgi用于服务器中间件与某个语言后端通信。Fastcgi协议由多个record组成,record由header和body组成。服务器中间件将body和header按照fastcgi规则封装好发送给语言后端,后端解码后拿到具体数据进行指定的操作,再按fastcgi协议封装号结果返回给服务器
record Header固定8个字节,每个变量一个字节Body分为两类:真正的内容数据,和额外数据(非必须)一个fastcgi record结构最大支持2^16=65536字节的body
typedef struct { /* Header */ unsigned char version; // 版本 unsigned char ty ...
PHP disablefunctions绕过
RCE函数黑名单绕过:1.exec/shell_exec (执行系统命令,无回显)
<?phpecho (exec/shell_exec('whoami'));?>
2.system/passthru (执行系统命令,有回显)
<?php passthru/system('whoami');?>
3.popen (popen ( string $command , string $mode ) )作用:创建一个管道,fork一个子进程来执行传入的command命令。并在正常的情况下返回I/O流,管道由pclose手动关闭.
<?php$command=$_POST['cmd'];$handle = popen($command , "r"); while(!feof($handle)) { echo fread($handle, 1024); //fread($handle, 1024); ...
记录一下用过的c++ windows api
API:收录一下调过的API进程与内存打开一个已存在的本地进程:OpenProcessHANDLE OpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId);
dwdesiredaccess 指定能获得指定进程哪些权限。可选值如下
PROCESS_ALL_ACCESS //所有能获得的权限PROCESS_CREATE_PROCESS //需要创建一个进程PROCESS_CREATE_THREAD //需要创建一个线程PROCESS_DUP_HANDLE //重复使用DuplicateHandle句柄PROCESS_QUERY_INFORMATION //获得进程信息的权限,如它的退出代码、优先级PROCESS_QUERY_LIMITED_INFORMATION /*获得某些信息的权限,如果获得了PROCESS_QUERY_INFORMATION,也拥有P ...
windows启用SeDebugPrivilege
有很多工具需要启用SeDebugPrivilege才能正常使用,比如mimikatz就有个很经典的 privilege::debug.如果没有这个权限,administrator用openprocess可能都会报错,所以需要提升,管理员组拥有该权限但默认禁用,普通用户不拥有该权限,也就是说仅仅只有管理员账户能启用该权限。这个权限提供了强大的能力以至于可以忽视安全上下文行动。
我们会用到AdjustTokenPrivileges和LookupPrivilegeValueA,以及Token PRIVILEGES结构树
Token PRIVILEGES结构树typedef struct _TOKEN_PRIVILEGES { DWORD PrivilegeCount; LUID_AND_ATTRIBUTES Privileges[ANYSIZE_ARRAY];} TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;
PrirvilegeCount 表示Privileges数组中有多少个元素 Privileges 指向L ...