- 博客(38)
- 收藏
- 关注
RSS订阅原创 vulnhub DC-3
在cd ebpf_mapfd_doubleput_exploit有四个文件。POC里面给了地址和sqlmap的参数直接拿sqlmap跑。使用searchsploit查找一下这个版本的漏洞。然后去访问fshell.php就可以反弹成功。这个靶机有一个报错,更改一下磁盘就可以了。有一个新建文件点击新建后会跳到编辑页面。不过密码加密了使用john去跑密码。看到两个漏洞的POC移出来看一下。创建一个fshell.php文件。/ect都是root权限也没有用。可以看到我们的gshell文件。exp地址将他下载下来。
2025-02-05 14:59:48
673
原创 vulnhub potato靶机
用户名就用potato;利用九头蛇爆破一下密码。查询一下ubuntu的版本;然后去kali查询一下他的漏洞。利用searchploit 查看一下版本漏洞。靶机IP:192.168.47.139。将37292.c 编译为可执行文件。版本是:ubuntu 14.04。执行exp就可以获取root权限。一个土豆子一个phpinfo。ssh开在7120端口。将这个目录复制到当前。kali开启对外服务。
2025-01-06 17:55:49
445
原创 常见的框架漏洞
漏洞根本源于 thinkphp/library/think/Request.php 中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现⼀些问题。其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115} 表示的命令 touch /tmp/success 里面的数字是ascii码。shell.asp。
2025-01-04 20:43:20
1190
原创 常见的中间件漏洞
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。
2024-12-31 20:09:32
1187
原创 未授权访问漏洞
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作。步骤⼀:使⽤以下语句在Fofa与Google上进⾏资产收集....步骤⼆:可通过MSF中的模块进⾏检测与漏洞利⽤。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼆:使⽤Telnet程序直接进⾏链接测试。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼆:执⾏未授权访问测试命令。步骤⼆:执⾏命令进⾏漏洞复现。
2024-12-30 20:10:45
425
原创 常见的CMS漏洞
想知道页面模板的路径在哪从网上搜就可以搜到。点击保存拿BP抓包slideTextStatus 字段的值为。在模板-->模板管理-->默认模板管理找到我们的首页。生成-->HTML更新-->更新主页HTMl。写好我们的木马命名为eval;系统-->系统设置-->SQL命令行工具。在核心-->文件式管理器-->新建文件。来到网站后台扩展功能-->幻灯片设置。在文件上传处也可以上传我们的木马。模块-->辅助插件-->广告管理。2.把我们的模板托出来并改名。在这里我们可以编辑模板代码。找到我们的模板准备连接他。
2024-12-29 19:17:50
385
原创 vulnhub DriftingBlues6靶机
根据robots.txt给的信息来看有一个目录和爆.zip后缀的文件。在之前的目录可以看到我们的木马。解压后得到creds.txt。得出密码myspace4。他有密码还得爆破一下。
2024-12-29 19:16:40
305
原创 vulnhub Empire-Lupin-One靶机
查看robots.txt文件,发现一个不可访问的~myfiles文件,下面应该有其他文件,模糊测试下。得到一封信重要的有:1.存在隐藏文件 2.用fasttrack字典爆破密码 3.用户名icex64。base64解密不出来;这就是登录系统的私钥。我们可以利用kali自带的ssh2john进行密码的暴力破解。2.txt写我们解密后的数据;直接去访问一下这个文件mysecret.txt。把我们解密后的数据写到1.txt。扫到一个 secret。
2024-12-27 19:18:40
822
原创 vulnhub jangow靶机
在末尾添加"quiet splash rw init=/bin/bash"/interfaces (将网卡信息设置为自己的网卡,重启电脑即可生效。删除"recovery nomodeset"编辑文件sudo vim /etc/重启电脑登录root修改网卡信息。Ctrl+x 启动进入如下界面。继续选择第二个 按e进入编辑。passwd修改root密码。网络模式改为NAT模式后打开。启动时点击第二个 按回车。cat查看写没写进去。
2024-12-26 17:13:24
272
原创 CMSeasy;大米CMS漏洞复现
填写联系方式完成购物 价格正数时需要我们付款 价格为负数时网站给我们付款。因为商品数量为负数,网站并不会承认这种订单,但是钱到了,可以去买正数的。选购商品为【CH-18 路由器】选择其购买的数量为-10。将数量改为负数 站内扣款 实现网站给我们的账户充钱。来到网站后台查看订单信息 订单存在。注册账户登录 账户余额为0。在买一遍来实现我们的零元购。//平台吃钱有点狠啊。
2024-12-26 17:12:46
516
原创 niushop开源商城靶场漏洞
有很多地方都存在文件上传;有的地方是要校验,加一个GIF89a就可以绕过。右键图片在网页新建打开图片标签;在放行一次修改数量为0.00000001。在用户名和密码位添加payload。payload设置;在BP中进行抓包,改为1.php。用户在已登录的状态点击我们的链接。去蚁剑连接生成的h.php就行。制作修改用户信息链接。来到个人信息修改个人头像。sqlmap跑出来的。通过改变数量改变价格。后面全部放行就OK了。
2024-12-23 19:09:09
539
原创 文件解析漏洞
Nginx的文件解析漏洞...和IIS7.0的解析漏洞同样的原理,因为 cgi.fix_pathinfo=1 造成的解析漏洞。在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个文件路径/xx.jpg。在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过⼀些服务器的安全。后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。然后在网站下创建我们的shell;无论我们的php在哪都会解析我们文件里的php代码。
2024-12-21 16:40:41
992
原创 文件包含漏洞(hackme和tomato靶机实战)
在phpinfo中可以看到网站的绝对路径和当前用户。发现了superadmin去md5解密获取密码。phpinfo源代码有给include的函数。利用一下include函数去尝试读取其他文件。挨个访问后有文件上传的路径;网页首页是个登录界面,注册个账号登录看看。我们可以利用报错连接来运行我们的一句话。扫描到靶机的IP后去访问他。扫描到靶机的IP后去访问他。读取到了就来看一下日志文件。sqlmap一跑就出来了。判断是否存在SQL注入。或者用kali输入命令。登陆后来到了文件上传。
2024-12-20 20:11:03
346
原创 upload-labs靶场通过攻略
根据源码发现是一个白名单上传,它只允许上传它给定的后缀名,关键的代码是这里;抓包之后可以看见多了保存名称,没有对上传的文件做判断,只对用户输入的文件名做判断。根据源码发现这关的黑名单不太严谨,我们就可以使用php同种类型的不同后缀。把我们制作好的图片马上传,点击在信标签打开图片就可看到我们图片的名称。我们这关需要写一个生成新的php文件并把我们的一句话写进去。根据源码发现,这关我们上传的php文件是上传之后才被删除。我们可以在文件尾部加上点空格点(. .)就可以成功上传。清掉所有payload。
2024-12-19 18:10:49
1185
原创 sqlilabs第三十关到第三十五关靶场攻略
普通的联合注入( 如果不行,可以尝试一下?id=1&id=-1") )第三十关和二十九关差不多,将单引号换成双引号。这关还是宽字节注入,可以到是POST提交。数字型的宽字节注入但是这关不需要%df。在1后面加%df让他成为一个字符。跟三十二一样都是宽字节注入\。后面还是联合查询一样的流程。我们到bp重放器进行注入。查询表名,字段名,数据。直接联合注入就拿下这关。
2024-12-18 16:15:23
442
原创 XXE练习
解密后,在看源码发现好像是账号密码;text/xml和application/xml。登录后是这样,点击Flag后发现新的php文件。Apache的默认页面,并什么可以利用的。利用dirb工具去扫一下后台目录和文件。看到支持接收xml数据注入一下试试。用Nmap扫描整个D段获取靶机IP。Base32解密后发现还得64解码。挨个访问一遍后发现两个登录界面。查看admin.php的源码。得到一个php文件去访问试试。访问一下就成功获取flag。
2024-12-18 15:56:33
736
原创 sqlilabs靶场第二十六关到第三十关攻略
这关就是会对输入的参数进行校验是否为数字,但是在对参数值进行校验之前的提取时候只提取了第一个id值,如果我们有两个id参数,第一个id参数正常数字,第二个id参数进行sql注入。该关卡过滤了注释符空格还过滤了union和select,所以我们可以使用重写绕过。发现使用 order by 不管用了,这时我们继续下一步,我们使用联合查询来猜。我们发现输入的时候它给我们把空格过滤掉了所以我们使用%09 替换空格。空格被过滤了我们可以使用()来代替,and和or可以使用双写来绕过。
2024-12-17 18:49:25
937
原创 sqlilabs靶场二十一关二十五关攻略
所以我们可以用单引号闭合,发现成功。id=-1' union select 1,2,3,4通过不停加数字判断最后根据页面显示是三列,且显示位是2号。第二十三关重新回到get请求,会发现输入单引号报错,但是注释符不管用。注释符都被过滤掉了,现在无法使用注释来实现注入了,但是我们还是可以利用 1=1 这样子的一个表达式来进行注入。这时我们去查看源码, 可以看出,后端代码对我们输入的登录用户名和密码进行了过滤,因此无法注入。可以看到这样也可以成功的注入出数据库的名称。我们看到我们可以注册新用户。
2024-12-17 18:47:38
498
原创 sqlilbas靶场十六关到二十关攻略
我们再次查看源码将我们要写的代码替换掉 uagent 发现我们在后面加上 and ' 就可以使 sql 语句执行成功,这时我们再到 bp 中继续爆破。我们可以看看前端页面输入的时用户名和新密码,输入了admin,然后输入密码,就会显示密码已经成功的更新了。我们在页面中的账号密码框中输入 admin ,然后打开 bp 开始抓包 ,我们抓点击登录按钮后的页面。这时我们输入注释符发现还是报错,这时我们去查看靶场源码,找到我们插入代码的地方。可以看到报错了,说明是存在注入的,那么我们就可以尝试使用报错注入。
2024-12-17 18:32:24
364
原创 SSRF服务端请求伪造(pikachu和CTFhub技能树)
url编码,把所有的%0A换成%0d%0A,并在最后一排添加%0d%0A。url编码,把所有的%0A换成%0d%0A,并在最后一排添加%0d%0A。http协议访问flag.php文件,成功获取flag。我们选择16进制绕过。选择木马提交,bp抓包构造gopher。查看页面源代码,成功获取flag。还是同上去找文件然后打开kali。打开蚁剑连接,在根目录找flag。也可以使用localhost。去访问,成功获取flag。在kali里面打开工具。使用DNS回环地址绕过。开始攻击获取flag。
2024-12-17 18:26:52
621
原创 pikachu-xss通关和beef联动
步骤三:Kali创建木马,造成下载exe和木马同时执行效果(Kali机要保证可以Ping通)进入管理员界面输入账号密码后,网页跳转成部署的flash钓鱼网站(部署成功)步骤五:将木马文件放入网站根目录下(双击运行,查看kali机监听效果)步骤四:测试木马文件shell.exe是否可以运行。进入以后,kali机shell命令进入cmd。kali机监听到,就可以获得外面电脑的监听权。步骤二:部署钓鱼网站(根目录下可信度高)点击立即下载,完成后target到本页面。点击立即下载,即可下载木马文件。
2024-12-13 13:23:19
578
原创 各种WAF防火墙绕过
在这里,客户端的第⼀次编码,以及服务端的第⼆次解码,均是由程序员自己设定的,是可控的,可知的。当遇到非ASCII 码表示的字符时,如中⽂,浏览器或通过编写 URLEncode,根据 UTF-8、GBK 等编码 16 进制形式,进行转换,如“春”的 UTF-8 编码为 E6 98 A5,因此其在支持 UTF-8 的情况 下,URL 编码为%E6%98%A5。找到第⼀个字符后继续进行下⼀个字符匹配,从而找到所有的字符串,最后就是要查询的内容,这种SQL 注入语句也不会存在逗号,从而绕过 waf 拦截。
2024-12-07 16:25:38
1636
原创 各大数据库注入攻略
3.查询数据库信息,user回显的dbo表示最高权限,如果是用户名就是普通权限。1.在第⼀关使用单双引号判断是否存在注入,根据报错的回显可知数据类型为字符型。1.给出的源码...可以看到数据库查询的语句如下..构造回显测试..5.查询数据库表名,查询表名一般查询admin或者user表。9.返回登录界面,登录mozhe账号获取key,去提交。4.猜接有哪些表,从而获取目标站点的表信息。5.最后我们去md5解密,登录获取key。7.返回登录界面,获取key去提交。6.查询字段,看到user表先查他。
2024-12-05 18:58:04
793
原创 sqlilabs靶场6-10关攻略
第二步:手工判断数据库名的长度与全程...也可以借助bp对其ASCII码进行爆破。第一步:判断是否有注入,经过分析发现使用单引号可以闭合开始尝试时间盲注。第一步:判断是否有注入,经过分析发现使用双引号可以闭合开始尝试时间盲注。第二步:进行时间盲注判断发现响应时间为sleep函数执行的时间则存在。第二步:进行时间盲注判断发现响应时间为sleep函数执行的时间则存在。第三步:判断数据的长度开始猜测数据库的库名。第四步:依次获取其表的长度与表的名称。第四步:依次获取其表的长度与表的名称。
2024-12-05 17:03:22
399
原创 Ai_Web_1靶机渗透
发现文件绝对路径: /home/www/html/web1x443290o2sdf92213。这里提前获取了绝对路径,但还是跑shell失败,把路径组合起来试最终得到。做目录遍历的时候发现除了robots.txt其他都没有权限。发现靶机开启了80端口,去访问靶机IP地址。到这里就结束了,成功获取os-shell。访问/se3reTdir777/虽然给了个警告,但还是上传成功。2.4.获取os-shell。去访问robots.txt。2.1.确定存在sql注入。2.2.爆出库名,表名。拿sqlmap跑一下。
2024-12-04 19:39:26
578
原创 sqlilabs靶场1-5关攻略
SQL输入?id=1输入?id=2输入?输入?输入?输入?根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显,所以我们可以使用联合查询。联合查询原理简单说一下,联合查询就是两个sql语句一起查询,两张表具有相同的列数,且字段名是一样的第一步:首先要知道表格有几列,如果报错就是超过列数,如果出现正常就是没有超出列出第二步:爆出显示位,就是看看表格里面那一列是在页面显示的。可以看到是第二列和第三列里面的数据是显示在页面的。
2024-12-02 20:01:09
908
原创 CTFHub技能树web-信息泄露篇
获取到文件后打开CTRL+H把空格全部替换为空字符,即可获取到txt文件名,直接访问即可获取flag。去浏览器访问flag_562825338.txt即可获取flag。下载好后打开index.php.bak文件即可获取flag。CTRL+F搜索ctfhub,就能找到flag了。切换到目录直接查看txt文件即可获取flag。查看.svn-base文件即可获取flag。打开flag.txt就能看到flag了。下载好访问txt文件即可获取flag。切换到.hg目录下搜索flag*输入命令,即可获取flag。
2024-11-30 23:02:57
908
原创 信息资产收集(CMS)相关工具
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
2024-11-28 20:52:19
1518
原创 子域名挖掘工具使用方法
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
2024-11-28 19:28:19
2323
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人