Ashing's Blog

Stack pivoting

ROP 可能需要很长空间放置长串 ROP Chain，有时并不会有那么多发挥空间，可能很短甚至只能控第一次rip（function pointer等），没有足够的空间放 ROP payload

若可以找到其他地方有足够空间放置 ROP payload，则可通过较少 gadget 来将 stack 搬至 ROP payload 的位置，再进行 ROP，即为 Stack pivoting（stack migration）

利用方式

leave;ret

开启Canary若发生溢出

开启与不开启对比分析

Function Prlogue

• 多了两条命令

并不复杂？甚至认真读了官方文档就可以发现漏洞？原理就是 log4j2 提供的正常功能？

对于${jndi:}格式的日志默认执行JndiLoop.lookup导致的RCE。日志的任何一部分插入${}都会进行递归处理，也就是说log.info/error/warn等方法，如果日志内容可控则可注入恶意命令。

1 输入可控：相信了用户的输入 —> 进入到 log.xx(输入)方法

比如：登录用户名是可控输入，后端一般用日志处理相关的输入信息，如：log.error("xxx, {}",username)，可控输入能够进入 Log4j2 处理程序

2 触发条件：logIfEnabled() —> 进入到logMessage(输入)的方法中

之前看 Docker 手册时顺手记的一些笔记比较杂乱，这里总结日常使用常用的命令

Docker常用命令

Docker 基础命令

搜拉列查看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

# 搜索镜像
$ docker search xxx
# 拉取镜像，默认官方仓库
$ docker pull [registry url [:port]/] 仓库名[:标签]
# 列出所有docker运行的container，q指容器ID
$ docker pa -a[q]

# 检查 容器的数据卷具体信息
$ docker inspect
# 查看 镜像/容器/卷 所占用的空间
$ docker system df
# 查看 资源占用状态
$ docker stats
# 查看 访问记录
$ docker logs
# 查看 镜像构建过程
$ docker history

前言

• 暑假结束，大三开始。真正意义上接触安全1年的时间。回顾一年实验室生活，充实又快乐。我认为，收获不仅仅是技术能力上的提升，更有意义的是自学能力和自我认知。

• 半年来不是啥也没干。关于WEB安全认识理解更深一步。所以想分享记录出来一些总结。当然都是学习了别人的姿势，没有自己真正挖掘出来的漏洞/姿势。至于是否是造轮子，我不敢说。

Web安全梳理

• 以后尽量每周发一个专题或多个专题点的总结，只是把笔记整理整理并不麻烦，同时还能回顾复习一举两得。平时学习内网的利用点。以下是梳理的 WEB 安全基础点：（有一些也没有完全搞懂）