- 博客(32)
- 收藏
- 关注
RSS订阅原创 hackmyvm-atom
ipmitool -I lanplus -C 0 -H 192.168.182.195 -U admin -P cukorborso user list(重新开启了一次电脑,ip换了 )是一个使用 IPMI工具查询远程服务器用户列表的命令。进入网站根目录,发现数据库文件,将hash值保存到桌面。hacktricks中介绍了这个端口及利用方法。将所得到的用户名放入user文件中。将爆破出的密码保存到pazz文件中。看师傅们的题解找到一个利用工具。使用碰撞出的密码登录root。这是dumphash的。
2025-04-24 16:54:08
1096
原创 hackmyvm-quick3
root的密码:fastandquicktobefaster。大部分/home目录下的用户使用的是bash。更改id的值可以切换用户。
2025-04-20 18:00:00
905
原创 hackmyvm-airbind
抓包,更改Content-Type为 image/jpeg,且在php文件内容前加GIF89a。ping6作用:IPv6 版本的 ping 命令,用于测试主机之间的网络连通性。-I eth0作用:指定发送 Ping 请求的 网络接口(这里是 eth0)。访问扫描到的ip,直接跳转到登录页面,利用admin/admin弱口令登录。在settings.php中找到一处文件上传,上传一句话木马,上传成功。ff02::1作用:目标地址是 IPv6 的 链路本地多播地址。,在这个路径下点击上传的php文件。
2025-04-19 17:47:48
463
原创 Suidy
安装命令:sudo apt-get install seclists 项目地址:https://github.com/danielmiessler/SecLists。suidy目录下有两个目录,note.txt没有权限,suidyyyyy是二进制文件。使用ida打开,设置uid和gid之后执行system命令。将编译之后的exp.c替换suidyyyyy。加权之后运行,发现一分钟一次的定时任务。将suidyyyyy这个文件上传到本。登录不上,可能账号或密码是不存在。访问robots.txt。
2025-04-16 18:00:00
322
原创 hackmyvm-quick2
虽然可以进行包含,但是我们没有找到可以上传文件的地方,所以我们只能利用一个用于生成 PHP 过滤器链的 CLI。require或include的参数,则无需上传文件即可获得 RCE!这个工具如果在可以完全控制传递给 PHP 中的。尝试查看/etc/passwd。查看file.php的源码。访问file.php。
2025-04-15 18:00:00
814
1
原创 haackmyvm-qweasd
在exploit-db搜索一下,发现cve-2024-23897。关键用户是kali,root,penetration。在网上搜索cve-2024-23897。
2025-04-08 20:19:52
331
原创 hackmyvm-buster
在远程tmp目录下新建一个文件传入反弹shell的命令,利用gobuster修改.test.sh的内容去执行他,例如在tmp新建一个b,那么gobuster要返回的内容就要是/tmp/b要去构建这样的路径。wp-query-console存在CVE-2024-50498。在攻击机开启http服务的目录中创建tmp/b这个文件。在靶机的tmp目录下创建a.txt和b文件。密码是1045467。
2025-04-07 22:32:16
626
原创 hackmyvn-casino
随便注册一个账号玩游戏时的url将钱用完时的url可以发现钱用完之后系统会将我们重定向到en.wikipedia.org域名上托管的维基页面。此页面似乎包含如何有效使用网站的规则。wiki页面似乎与web应用程序不在同一服务器上。让我们用我们的IP地址替换该页面,看看web应用程序是否也可以从我们的服务器检索wiki页面。开启http服务,尝试上传本地文件seq用于生成一系列的数字序列。该页面的cookie翻译访问codebreakers查看源码,得到。
2025-04-01 22:08:35
1035
原创 hackmyvm-flossy
这是一个潜在恶意的 Bash 脚本,设计用于定期将指定用户的 SSH 私钥发送到特定的终端设备。用于 将 SSH 私钥转换为 John the Ripper 可破解格式 的命令。第二个ls -la是再次开启了一个ssh连接的终端。将其粘贴到本地文件id中。id的值可以进行爆破。
2025-03-31 23:07:46
645
原创 hackmyvm-JO2024
bash复制代码xauth -f log list # 查看 log 文件中的 X11 认证记录 xauth -f log merge # 将 log 文件合并到当前会话的 .Xauthority xauth -f log extract - # 导出 log 文件中的认证信息。这个文件是二进制的,所以用 cat 读取的时候会乱码。这是一个用于备份文件的bash脚本,主要功能是将 /home/vanity目录下的文件(除user.txt外)复制到 /backup目录,并进行完整性校验。
2025-03-29 15:11:17
760
原创 hackmyvm-reversteg
grep -f a b 是一个在 Unix/Linux 系统中常用的命令,用于从文件 b 中筛选出与文件 a 中的模式匹配的行。提取png隐藏信息的工具:zsteg、exiftool、binwalk、foremost。history可能被写入到定时任务中,每次查看都会更改,真的flag不变。使用 steghide 提取更多信息的密码是“morainelake”提取jpg隐藏信息的工具:strings、steghide。zsteg也可以提取一些关于 PNG 图像的隐藏信息。
2025-03-27 23:03:55
417
原创 hackmyvm-jan
所以目标就是更改ssh的配置文件,让ssh服务重启 sshd_config(修改的是客户端的内容)将本机公钥复制到靶机/home/ssh/.ssh/authorized_keys。使用root连接ssh。
2025-03-26 22:54:39
360
原创 hackmyvm-immortal
以用户 eric 的身份,使用 /usr/bin/python3 解释器,运行位于 /opt/immortal.py 的 Python 脚本。-u eric 表示以用户 eric 的身份运行后续的命令。immortal.py,CTRL+O保存,CTRL+X退出。连接ssh,使用system可以连接上。获得一个关键信息——文件上传路径为。1.bash -p 的作用。莫斯电码,解密出来内容为。使用nano编辑器编辑。
2025-03-25 22:18:12
486
原创 hackmyvm-hero
该命令会在 /opt 目录下创建一个名为 banner.txt 的符号链接,该链接指向 /root/root.txt 文件。新建一个workflow,在加入功能的板块有一个Core,里面有一个可以执行系统命令的板块。在/目录下发现.dockerenv文件 ,这是一个docker环境。//它会列出所有已知的 IP 地址及其对应的 MAC 地址。//arp -a 命令用于显示当前设备的 ARP 缓存表。在 docker 里,只能用 busybox 的命令。访问80端口,给了私钥,但没有端口22。
2025-03-24 22:48:53
706
原创 hackmyvm-lookup
我们需要关注/usr/sbin/pwm,它正试图执行id命令来提取用户名和用户id。出现问题是因为它找不到.passwords文件,因为它位于“think”用户的主目录中,并且路径不同。可以看到我们已经拿到/home/think/.password的内容。发现了一处dns解析,在/etc/hosts中添加。将跑出来的内容保存到本地pass.txt。开启http服务将id文件传进去。运行/usr/sbin/pwm。将私钥完整粘贴到本地文件id中。,在hosts中添加这个域名。发现可以访问,是一处登录框。
2025-03-23 18:00:00
683
原创 hackmyvm-Icecream
查看当前用户或指定用户在系统中被授予的 sudo 权限的命令,可以了解用户可以以 root 或其他用户身份运行哪些命令,以及是否需要输入密码。这种权限通常通过 /etc/sudoers 文件或 /etc/sudoers.d/ 目录中的配置文件设置。用户 ice 在主机 icecream 上被授予了以 root 权限运行 /usr/sbin/ums2net 命令的权限,且无需输入密码。authorized_keys为kali中id_rsa.pub中的内容。切换到tmp目录,上传pspy64。
2025-03-22 00:32:01
880
原创 hackmyvm-connection
ubuntu:192.168.89.225(这里使用ubuntu代替centos7)有一个共享文件夹,尝试连接一下,这个目录看起来像之前的默认页面目录。查看当前目录,进入html目录,下载index.html到本地。就是刚才的那个默认页面,此目录应该就是web目录了。未发现漏洞,可以通过445(smb)端口入手。在 suid 二进制文件中,发现一个特殊文件。密码是kali攻击机的密码。
2025-03-20 22:51:23
453
原创 春秋云境刷题2
构造eci-2zecu5aove0qxlejvfwt.cloudeci1.ichunqiu.com/_admin/imgdownload.php?GDidees CMS v3.9.1及更低版本被发现存在本地文件泄露漏洞,漏洞通过位于 /_admin/imgdownload.php 的 filename 参数进行利用。Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞。
2025-03-19 18:00:00
901
原创 春秋云境刷题1
WSO2文件上传漏洞(CVE-2022-29464)是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。Atom CMS v2.0存在sql注入漏洞在/admin/ajax/avatar.php页面。Victor CMS v1.0 /includes/login.php 存在sql注入。访问/admin/ajax/avatar.php,发现是空白页面。将数据包 粘贴到1.txt。
2025-03-18 22:24:08
429
原创 使用shell实现加减乘除和阶乘的运算
awk '{print $2}' $fileName : 一行一行的读取指定的文件, 以空格作为分隔符,打印第二个字段。:要搜索的模式,即包含 "inet " 文本的行。将上面的脚本编辑到计划任务中,并将echo 输出内容重定向到一个固定文件中,计划时间随意一天一次。read -p "请输入运算符(+,-,*,/):" operator。, 在列表中指定多个值,在分钟。#User:指定以哪个用户身份运行服务,这里需要替换为实际的用户名。是一个强大的文本搜索工具,它用于搜索文件中匹配指定模式的行。
2024-12-02 00:50:28
1616
原创 一文看懂代理池搭建
学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章 笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与 本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!使用清华镜像站下载(https://mirrors.tuna.tsinghua.edu.cn/anaconda/archive/?再打开一个cmd命令窗口,输入命令:python proxyPool.py server,启动webApi服务。(在proceed([y]/n)?
2024-11-19 22:20:45
705
原创 命令执行2(cfshow)
php:// 访问各个输入/输出流,在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。但是过滤了括号之后就不能用带有括号的函数,可以用include(文件包含)以及php伪协议filter://访问文件。示例1:php://filter/read=convert.base64-encode/resource=[文件名]我们可以用字母代替数字的索引,用a代替1。php://filter协议。
2024-11-14 23:43:03
841
原创 命令执行1总结(ctfshow)
然后使用命令system(“cat /tmp/flag.php”)即理论上可以查看flag文件,由于该页面过滤了flag字样,那么即可使用通配符的方式也就可以得到题目的flag值。命令内部是有flag的,但是为何没有被过滤呢,这是由于页面代码对c中的flag进行了过滤,但是c的整体仅是一个内部是GET语句的eval语句,而flag并不属于c中的内容,自然也不会被过滤。
2024-11-14 23:35:39
750
原创 每周小题(buuctf)
尝试1 and 1=1 #永真式1 and 1=2 #若永假式 #若永假式运行错误,则说明此SQL注入为数字型注入1' and '1'='2 #若永假式运行错误,则说明此SQL注入为字符型注入回显的页面均为尝试报错注入。
2024-05-01 15:09:44
108
原创 每周小题(攻防世界)
在tornado模板中,存在一些可以访问的快速对象,这里用到的是handler.settings,handler 指向RequestHandler,而RequestHandler.settings又指向self.application.settings,所以handler.settings就指向RequestHandler.application.settings了,这里面就是我们的一些环境变量。page中不能存在input,ta:text,text,而且不能是在page的开头处存在,否则就die掉。
2024-04-03 23:14:55
1872
1
原创 每周小题(buuctf)
在“提交查询”处提交1,在url处得到一个password变量,抓包,也可以看响应头需要password=md5($pass,true)条件为真时,才会执行select * form 'admin'md5语法参数描述string必需。要计算的字符串。raw可选。r,b这里需要注意的是,当raw项为true时,返回的这个原始二进制不是普通的二进制(0,1),而是 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种。
2024-03-18 22:46:53
1646
原创 文件包含做题做题复现及方法总结
pos(localeconv())得到点号,因为scandir(’.’)表示得到当前目录下的文件,所以scandir(pos(localeconv()))就能得到flag.php了。实验结果证明了以上的论述,要想绕过这个“黑洞“,需要往里面传入两个参数,shell会执行第一个参数,将第二个参数带入到黑洞,上图实验最后一条语句也证明了这个论述。但是过滤了flag,传入flag.php是行不通的,这时候可以使用data://text/plain,c=tac flag.php%26%26ls或?
2024-03-11 13:13:39
1730
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人