Sword技术分享

漏洞原理主要是pam_rootok.so模块造成的漏洞 pam_rootok.so主要作用是使得uid为0的用户，即root用户可以直接通过认证而不需要输入密码。 1.PAM认证机制，若sshd服务中开启了PAM认证机制（默认开启），当程序执行时，PAM模块则会搜寻PAM相关设定文件，设定文件一般是在/etc/pam.d/。若关闭则会验证密码，无法建立软链接后门。 2.当我们通过特定的端口连接ssh后，应用在启动过程中就会去找到配置文件，如：我们的软链接文件为/tmp/su，那么应用就会找/etc/pam.d/su作为配置文件，那么则实现了无密登录。 123通俗点来说，是sshd服务启用了PAM认证机制，在/etc/ssh/sshd_config文件中，设置UsePAM 为yes。如果不启用PAM，系统严格验证用户密码，不能建立后门。在/etc/pam.d/目录下，对应文件里包含"auth sufficient pam_rootok.so"配置，只要PAM配置文件中包含此配置即可SSH任 ...

漏洞介绍Redis安装后，默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空或者弱口令）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的config 命令，可以进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。 漏洞危害（1）攻击者无需认证访问到内部数据，可能导致敏感信息泄露，黑客也可以恶意执行 flushall 来清空所有数据； （2）攻击者可通过EVAL执行lua代码，或通过数据备份功能往磁盘写入后门文件； （3）最严重的情况，如果 Redis 以 root 身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器 漏洞影响 ...

漏洞描述攻击者可以利用该漏洞执行PHP 命令，也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute) Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装，无需配置即可直接安装使用，一键搭建。 其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。 影响版本 phpStudy 2016和2018两个版本 后门代码存在于\ext\php_xmlrpc.dll模块中 phpStudy2016 查看 \phpStudy\php\php-5.2.17\ext\php_xmlrpc.dll \phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll phpStudy2018查看 \phpStudy\PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll \phpStudy\PHPTutorial\PHP\PHP-5.2.1 ...

CVE-2017-18349 漏洞描述FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。 漏洞影响版本Fastjson1.2.24及之前版本 漏洞原理fastjson在解析json对象时，会使用autoType实例化某一个具体的类，并调用set/get方法访问属性。漏洞出现在Fastjson autoType处理json对象时，没有对@type字段进行完整的安全性验证，我们可以传入危险的类并调用危险类连接远程RMI服务器，通过恶意类执行恶意代码，进而实现远程代码执行漏洞。 漏洞复现环境搭建利用vulhub的docker镜像快速搭建 环境运行后，访问http://your-ip:8090即可看到JSON格式的输出。 漏洞利用code1：向发送POST一个JSON对象，就可以更新服务端的信息 1curl http://192.168.142.133:8090/ -H "Content-Type: application/json" ...

程序的执行过程可看作连续的函数调用。当一个函数执行完毕时，程序要回到调用指令的下一条指令(紧接call指令)处继续执行。函数调用过程通常使用堆栈实现，每个用户态进程对应一个调用栈结构(call stack)。编译器使用堆栈传递函数参数、保存返回地址、临时保存寄存器原有值(即函数调用的上下文)以备恢复以及存储本地局部变量。 不同处理器和编译器的堆栈布局、函数调用方法都可能不同，但堆栈的基本概念是一样的。 1 寄存器分配 寄存器是处理器加工数据或运行程序的重要载体，用于存放程序执行中用到的数据和指令。因此函数调用栈的实现与处理器寄存器组密切相关。 Intel 32位体系结构(简称IA32)处理器包含8个四字节寄存器，如下图所示： 图1 IA32处理器寄存器 最初的8086中寄存器是16位，每个都有特殊用途，寄存器名城反映其不同用途。由于IA32平台采用平面寻址模式，对特殊寄存器的需求大大降低，但由于历史原因，这些寄存器名称被保留下来。在大多数情况下，上图所示的前6个寄存器均可作为通用寄存器使用。某些指令可能以固定的 ...

漏洞描述通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识，攻击者在远程且未经授权的情况下，通过利用此漏洞，可以直接绕过登录验证逻辑，伪装为系统管理员身份登录OA系统。通达OA官方于2020年4月17日发布安全更新。 漏洞影响版本通达OA < 11.5通达OA 2017版本 漏洞原理本次复现为2017版本，则重点分析该版本，但原理都是基本相同的，只不过文件路径不同而已。根据POC的代码分析如下，该漏洞涉及的文件包含以下四个： 1234/ispirit/login_code.php/general/login_code_scan.php/ispirit/login_code_check.php/general/index.php 通达OA源码使用zend5加密 ，分析源码需要先进行解密 本事使用的解密工具是:SeayDzend，工具使用很简单 /ispirit/login_code.php： 该文件用来获取codeuid参数，如果不存在，则会自动生成一个codeuid，并且将其写入CODE_LOGIN_PC缓存中（通达OA使用了缓存系统 ...

环境搭建压缩包需要下载特定版本，官方提供的安装包没有这个漏洞 1.靶机环境是centos7 ，首先解压缩包，并上传到靶机目录 tar -zxvf 压缩包名称 2.进入vsftpd目录，赋予文件权限，之后进行make &&make install 123cd /vsftpd-2.3.4chmod 777 *make &&make install 漏洞利用code:1使用msf利用 123use exploit/unix/ftp/vsftpd_234_backdoor set RhoSTS 192.168.142.145exploit code:2手动利用 打开命令行登录ftp服务器，在用户名处输入root:)然后随意输入一个密码回车等待， 输入nc 目标ip 6200 即可连接 修复建议升级新的版本

启动环境1startup.bat ​ 2. 访问抓包修改文件后缀 ​ 可以显示phpinfo Nginx 解析漏洞复现1.开启环境 2.抓包修改文件后缀，类型以及内容头 上传成功 使用蚁剑连接

一起下棋棋盘密码 https://www.qqxiuzi.cn/bianma/qipanmima.php ​ ​ basic rsa1234567891011import gmpy2from Crypto.Util.number import *from binascii import a2b_hex,b2a_hexflag = "*****************"p = 262248800182277040650192055439906580479q = 262854994239322828547925595487519915551e = 65533n = p*qc = pow(int(b2a_hex(flag),16),e,n)print c# 27565231154623519221597938803435789010285480123476977081867877272451638645710 ​ CheckIn密文：dikqTCpfRjA8fUBIMD5GNDkwMjNARkUwI0BFTg==base64解：v)L_F0<} ...

百家姓baijiaxing.txt 百家姓解码：http://anhao.tlrkl.top/ 16.txt 十六进制转字符串：https://www.sojson.com/hexadecimal.html str.txt ​ 17insanity打开就有flag ​ 17sanity打开就有flag ​ 签到提示平台就是题目，打开源码 149行发现base64 ​ 两次base64解码得到flag ​ 八卦迷宫​ 12cazy{战长恙长战恙河长山山安战疫疫战疫安疫长安恙}cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang} Bear熊曰：http://hi.pcmoe.net/ 领悟熊所言奥秘 ​ 西安加油导出全部的http对象 ​ 把hint.txt base32解码 ​ 把secret.txt base64解码 ​ 还原压缩包文件 flag： cazy{make_XiAN_great_Again} xcel破解​ flag：flag ...

张三的程序张三的程序.exe code1：shift+f12 ​ code2:点击写出日志在C盘根目录生成flag.txt ​ So_easySo_easy_re.exe 64位程序用ida打开，main函数发现 ​ base64解码 ​ JREReverse.class jadx打开 ​ python脚本 12345str = [180, 136, 137, 147, 191, 137, 147, 191, 148, 136, 133, 191, 134, 140, 129, 135, 191, 65]flag=''for i in range(0,len(str)): flag += chr((str[i]-ord('@'))^32)0print(flag) 上上签​ remainshangsahngqian.zip 走出迷宫的数字就是flag ​ ida分析main函数，也有密码 ​ flag：flag{66666666622224484444422} CHARSCHARS.zip 发现一串字符串 ​ ascii解码之后 }esreve ...

日志分析log.zip 题目中提示上传目录是uploads上传了一个木马 php文件 ​ 133.1.16.173 WiFi名称WiFi名称.zip wifi密码保存文件名：wpa_supplicant.conf。 主要查看ssid、psk信息即可。其中ssid=这里显示的是连接过的wifi名称，psk=这里就是需要查看的手机Wifi密码了。 直接搜索文件名即可wpa_supplicant.conf ​ ​ qsnctf{青少年CTF运维部:2018qsnctf} 近在眼前​ phpmyadmin弱口令登录root/root ​ ​ 高启强的电脑flag就在自启动文件的目录下 qsnctf{69e29719-b0e0-47c8-bbac-bc9fabdd2f89} SSH的密码使用hydra爆破得到密码 ​ 使用账号root密码password登录 ​ SSH-01隐藏的文件.flag.txt ​ SSH-02配置了ssh和apt查看配置文件 第一个flag在 /etc/apt/sources.list ​ 第二个flag&# ...