最近半年个人工作，生活变动比较大，所以不太活跃，目前正在调整中～为什么实现简易版用户态TCP：为了给我的资产监控添加用户态tcp扫描功能，加快扫描速度，多快好省实现构造畸报文的方式绕过网络设备，满足一些奇怪的需求。tcp属于内核态，不会提供让我们胡作非为的功能。本篇文章主要分为如下几个部分：tcp/ip数据包的构建实现tcp的基础以及http传输的原理简单介绍种绕过姿势当然，目前工具暂时不开源，因为还没有完善，待后面完善后再开源。目的是可以无损代替python中的tcp模块构建tcp

SecIN即将2岁啦！感谢师傅们一路以来的温暖陪伴～为了回馈师傅们对SecIN的支持与喜爱2周年我们准备了多重福利不仅有SecTime红队大佬现场教学还有SecYoung潮酷周边穿搭讲解更有超多礼物等你来拿!以上惊喜尽在4月20日“云众可信”视频号直播间希望师傅们“保持热爱，探索不停”

poc我们可以通过script标签来加载这个资源，然后通过alert把我们手机号弹出alert(top.tlbs.msisdn)如图

在org.apache.logging.log4j.core.pattern.MessagePatternConverter#format中，会按字符检测每条日志，一旦发现某条日志中包含$

的授课方式，交流群随问随答。上课时间由于课后有大量的练习、作业。经慎重考虑后我们决定一周只安排两天课，留出时间给学员练习和吸收。每周只安排两天课，共

hw结束前最后一天，某老哥在某设备上抓到一个内存马jsp样本，苦于样本被混淆且无法调试而作罢，于是求助我帮忙分析样本。恰好昨天看到deadeye团队发布的weblogic恶意攻击样本中出现无法使用idea调试，只能使用繁琐的jdb调试的问题。看样子大家对于该类样本都很迷，所以在这里分享一下对于混淆后的java样本如何更快速的调试的方法。首先说一下样本，样本是一个jsp文件，加载class的bytes字节码并执行。字节码是base64编码后的文件，我们直接解码就可以。解码后的文件，照例拖到idea中进行反编译并分析逻辑。样本反编译如图可以看到，该样本中大部分操作都已经被混淆，各种函数调用通过java的反射来完成。对于这种简单的混淆，我们可以将其被加密的字符串还原就可以知道该样本都大致做什么操作。于是牵扯出两种操作：硬杠样本，手写解密调试人工分析样本先说一下硬刚样本这个操作。这个操作只能是将反编译后的代码拖到idea中，分析每一条语句都在做什么，并尝试手工还原变量名称。但是这种方法适用于比较简单的样本且对于应急响应人员的代码能力比较高。在这里我直接贴一下该样本的字符串解密代码看到这里，大家也就知道这段样本都做什么操作了，字符串加密为xor，长度为7，加密后的字符串第一位为本次待解密字符串的长度。调试样本今天重点是调试样本这个操作。正好也解答一下deadeye团队的RealWorld｜针对某特殊群体的供应链打击

今天又是weblogic补丁日。这次补丁日中我成功捡漏一个cve漏洞。下面给大家分享一下怎么捡漏weblogic和怎么反馈给weblogic补丁。既然我们谈到挖weblogic。weblogic框架非常大，初次接触的老哥可能无从下手不知道从哪里开始挖洞。我们可以从补丁来分析一下历史漏洞。这篇文章是我去年下半年在部门分享中讲过，现在分享给大家。在这里还有很多漏洞类型没有覆盖，这种情况不要见怪，这只是一个最基础的讲解。1.

8u21以下的jdk都受到此反序列化gadget的影响。直接关闭iiop/t3这两个协议poc的java生成代码，大家可能一看就明白了，当然，如果你看不懂，可以加我星球获取。

在后渗透中常常需要cobaltstrike工具。而向已攻破的服务器注入一段cobaltStrike的shellcode是最便捷的上线方法。偏偏java这种语言屏蔽了很多操作系统的底层细节，注入shellcode又是偏底层的方法。分享一下java注入shellcode的几种方法1.

java层我们先从最基础的，向一个正在运行的JVM加载agent的操作开始分析。很多恶意javaagent，都在想方设法禁止后续javaagent加载

新版冰蝎的内存马使用基于javaagnet技术实现，在昨天的文章中，我只谈了怎么还原被修改的内存马。但是在检测这块，我并没有详细说明，其实这块我也不太清楚。不过经过我昨日连夜分析javaagent相关技术资料，找到一种检测javaagent内存马比较通用的方法。分享给大家，希望让hw蓝队的小同学做应急响应的时候，不被甲方问倒。当然，清除javaagent内存马是一个比较有挑战的任务，如果您感觉在不重启目标服务器的情况下很难完成该项任务，请与我们联系。1

obj.getClass().getSuperclass().getDeclaredField("detailMessage");

最近遇到个挺恼火的事，刚通过某漏洞拿下的weblogic服务器被应急响应的小同学给下线了。于是最近在思考，怎么才能更好地去隐藏我们的内存马，让应急响应的小同学无法查杀。为什么不用javaagent？第一，麻烦，适配难度高。第二，很容易被应急响应查杀，只需要看一下jvm的启动参数即可知道是否存在javaagent的后门。为啥公开了，因为我手里还有很多种方案的，包括tomcat，weblogic等等，发出来大家一起学习。大家努力，让应急响应的小同学今年全翻车。看完各大安全厂商发布的蓝队锦囊就感觉挺扯淡，攻防本质在于人对于底层的理解，而不是夸夸其谈。至于怎么查杀，琢磨琢磨，捉摸不透的话私信1.

简介weblogic服务器的特点为架构庞大复杂，蓝队一般很难防御，且多部署于外网。而且weblogic的攻击成本比较低，只要存在漏洞，一般可以直接获取目标服务器的root权限。在hw中被各大攻击队，防守方重点关注。当然，目前网上公开的各种exp程序，当然也包括我自己的工具，或多或少都有点问题。于是近期在朋友的要求下，整理了部分攻击方法以及”完美“利用。红队可以用来完善自己的工具，蓝队可以用来写溯源报告。1.

并且官方还附赠了是否关闭成功插件的方法，那就是访问https:///ui/vropspluginui/rest/services/checkmobregister

简介某远OA是一套办公协同软件。近日，阿里云应急响应中心捕获到多个利用致远OA文件上传与权限绕过漏洞的利用样本。由于某远OA旧版本某些接口存在未授权访问，以及部分函数存在过滤不足，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意脚本文件，从而控制服务器。某远OA官方已针对该漏洞提供补丁，漏洞利用细节暂未公开。首先我们可以看出，这首先是一个未授权访问漏洞，再结合任意文件上传漏洞的利用。当然，这个非授权访问漏洞比较精彩，所以先分析这个洞。补丁下载某远oa的补丁是可以在官网下载的，当然，都是2020年10月补丁，可能是某里云搞错了。为啥突然诈尸一样更新了呢某远安装包百度一下破解版，只能这样。补丁分析首先我们分析补丁都改动了什么。这个才是重点com.seeyon.ctp.common.spring.CTPHandlerInterceptorCTPHandlerInterceptor这个东西，我们可以类比为spring版的filter，针对某些请求做过滤。我们可以看到，如果url出现"./",

com.mysql.jdbc.Driver浏览器访问 http://127.0.0.1:9999/product/1 我们可以看到，二级缓存生效了，将结果已经存储到我们预先设定的缓存中，截图如下

冰蝎3.0内置的默认16个userAgent都比较老，属于N年前的浏览器产品。现实生活中很少有人使用。所以这个也可以作为waf规则特征。附内置的16个ua

上一篇文章介绍了Tomcat基于Filter的无文件webshell的demo。Filter的webshell很简单，只是实现了一个简单的命令执行。查找了网上的公开的webshell，发现基于Filter并且功能比较齐全的webshell基本没有。所以萌生了自己魔改冰蝎以适配tomcat内存马的想法。0x00

0x01简介shiro结合tomcat回显，使用公开的方法，回显大多都会报错。因为生成的payload过大，而tomcat在默认情况下，接收的最大http头部大小为8192。如果超过这个大小，则tomcat会返回400错误。而某些版本tomcat可以通过payload修改maxHttpHeaderSize，而某些又不可以。所以我们要想办法解决这个很麻烦，并顺便实现tomcat的内存马，用来持久化shell。我的测试环境如下:tomcat

JSESSIONID=../../../tmp/test修复方案升级tomcat至最新版本关闭session持久化检查项目中是否存在文件名和后缀均可控的上传点