- 博客(20)
- 收藏
- 关注
RSS订阅原创 Kali 连接 TryHackMe
改文件 thm-troubleshoot 为 thm-troubleshoot.sh 然后运行,会分配一个 ip 地址,下载好后文件默认的命名规则就是你的 username.ovpn,然后运行下面命令。当然主机可以通过走 kali 的 vpn 流量来进行访问,kali 下载。然后开启 ssh 服务,并执行下面命令开启 socks5 代理。然后访问 10.10.10.10 验证一下。通过 bp 配置主机的 socks5 代理。访问下载 openvpn 配置文件。开启 bp 代理访问测试。
2025-03-20 14:10:45
1837
2
原创 PentestGPT 下载
(Penetration Testing GPT)是一个基于大语言模型(LLM)的智能渗透测试助手。它结合了(或其他 GPT 模型)与渗透测试工具,帮助安全研究人员自动化安全测试、漏洞分析和渗透测试任务。
2025-03-15 15:47:35
1347
5
原创 Obsidian 自定义快捷键
% tp.file.selection() %> 是占位符,会把选中的文本替换进去。插件,挺好用的一个插件,算是可以真正意义上可以实现自定义快捷键。然后配置一下,添加模板文件。然后点击+号配置快捷键。
2025-03-15 15:46:37
851
原创 ISCTF 2024 web
第一层通过变量覆盖绕过,传入然后典型的intval函数特性,传入num=2024.1最后 which 传入which=flag得到flag。
2024-11-18 13:06:25
2870
2
原创 ctfshow DSBCTF web部分wp
需要值不同而 md5 相同,有长度限制不能进行强碰撞,尝试数组绕过也不行,这里注意到可以让其类型不同而值相同进行绕过,构造 pop 链最后得到 flag。
2024-11-13 11:55:19
960
原创 WSL-Kali-X :在Windows中无缝运行Kali桌面环境
然后还需要下载 WSL,因为之前安装 docker-desktop 已经下载过了,这里就跳过安装了。就能快速打开图形化的 kali 了。也可以直接在应用商店进行下载安装。可以查看当前 wsl 版本。先确保下面这两个功能开启。然后执行下面命令进行迁移。
2024-10-31 14:07:24
946
原创 SCTF2024(复现)
开题:需要登录,进行目录扫描,得到/config,/hello,/robots.txt 等,访问/hello 显示需要 token,查看源码发现存在 sqlwaf可以通过抓包绕过前端 js 验证(或者写 python 脚本),抓包的话这里有个 rsa 加密,利用厨子进行加密得到登录成功的 cookie(也可以利用 python 脚本, rsa 加密有两种填充方式,这里用的是PKCS#1v1.5,实在不知道就直接把源码的加密复制问 gpt。然后访问 robots.txt 中给的路径。
2024-10-06 15:16:24
1577
原创 js原型链污染
如果可以控制a、b、value的值,将a设置为__proto__,我们就可以给object对象的原型设置一个b属性,值为value。这样所有继承object对象原型的实例对象在本身不拥有b属性的情况下,都会拥有b属性,且值为value。demo在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染。
2024-10-04 15:58:24
1170
原创 byteCTF 2024 ezobj(复现)
类对文件格式解析较严,需要写入的文件必须是其支持的图片格式,如jpg、gif、ico等,这就导致写入的内容有了限制,参考师傅文章知道 ppm 的图片格式允许在末尾随便加脏数据并且没有 crc 校验等,用来上传 webshell 是完全没有问题的,刚刚的内容 base64 解码为。一般直接上传到 html 目录下就可以直接 getshell 了,但是这里的 html 目录没有写入权限,还是需要上传 so 文件才行,那么显然 ppm 的文件格式就不行了,有脏数据。才能查看/tmp 目录下的文件,可以通过。
2024-09-25 14:24:00
1200
1
原创 DC-1靶机渗透超详细笔记
访问 https://vulnhub.com ,然后搜索 DC,点入后可以看到对靶机的介绍下载镜像文件。用 VM 打开,把网络模式改为 nat 模式。然后开启虚拟机。
2024-07-25 10:34:33
1257
原创 DASCTF2024 Sanic‘s revenge(复现)
看来还是得老实的一步一步做呀,看见源码说删除了一些源码,那么当务之急是要先寻找源码,访问"/app/app. py",显示文件不存在,猜测源码文件应该是改了名字或者换了位置,然后本来想试着自己去找找新链子发现确实是不怎么好找,摆了。那么先读一手环境变量,文件名称“/proc/self/environ”,有时候也可以读取“/proc/1/environ”试试,发现还真有 flag。,实现穿越(这里穿越还是穿越的/static/,也就是到了 /app 目录下,因为 parts 没变嘛,污染。
2024-07-23 12:08:34
2690
原创 ROME 反序列化
ROME是主要用于解析RSS和Atom种子的一个Java框架。ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。他有个特殊的位置就是ROME提供了ToStringBean这个类,提供深入的toString方法对Java Bean进行操作。
2024-07-11 09:19:22
893
原创 spring boot学习
Spring 是开放源代码项目,可提供一种简化的创建 Java 应用的模块化方法。Spring 项目系列于 2003 年启动,以响应早期 Java 开发的复杂性,并提供对开发 Java 应用的支持。Spring 这个名称通常是指应用程序框架本身或整个项目组或模块。
2024-07-03 21:10:07
983
原创 CB链分析与利用超详细
和 cc2 不同的是因为 cc2 最后是直接由 compare 调用的 transform 方法,而这里是通过 compare 去调用 getter 方法,所以还要控制 compare 方法的参数。Apache Commons Beanutils是Apache Common下的一个工具集下的另一个项目,提供对普通Java类对象(JavaBean)的一些操作方法。这里用到的 getProperty 和 setProperty 实际上就是调用的 javaBean 中的 getter 和 setter 方法。
2024-07-02 22:25:41
1613
原创 CC7分析与利用超详细
继续看会调用equals方法,在ysoserial中把e.key为LazyMap对象,但是LazyMap对象没有equals方法,不过它继承了类,所以会调用类的equals方法:然后还会调用,那么这里的map是什么呢,朔源到LazyMap中,发现在我们在构造poc时为了使LazyMap调用到的transform方法,用了而这里的map就是HashMap,但是HashMap中没有equals方法,发现它继承了类。跟进到类中的equals方法:在这里进行了get方法的调用,条件是当value不为null时。
2024-06-29 17:02:12
2335
1
原创 CC6分析与利用超详细
经过之前对链和链的分析,感觉自己对反序列化也有了个比较清晰的认知。分析了这两条链子后就该分析CC6了,这条链子不受jdk的版本影响,并且只要commons collections 小于等于3.2.1,都存在这个漏洞。
2024-06-28 23:31:03
2435
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人