Paranoid144-优快云博客

原创记录NCC证书获取过程

在XX科技公司实习期间，在范大哥指导下学习漏洞挖掘技术。通过分析某管理系统APP路径，发现一处SQL注入漏洞。使用Sqlmap工具（命令：python sqlmap.py -r1.txt --batch --current-db）成功验证漏洞，最终获得NCC漏洞证书。这是首次通过实践掌握漏洞挖掘方法的重要经历。

2025-11-10 19:40:57 213

原创深圳内网xx系统渗透

在项目经理委托下，作者通过远程连接为客户系统进行渗透测试和漏洞扫描。初始面临客户电脑环境不足（Win7系统）和工具传输困难，通过邮件传送BurpSuite、AWVS等工具并改用APPSCAN完成漏扫。测试过程中发现开放25/110高危端口，并成功扫描出UEditor编辑器页面，为最终报告提供了关键素材。整个过程中克服了系统版本不兼容等障碍，最终顺利推进项目。

2025-10-29 10:22:24 190

原创一次哈尔滨护网时的渗透

哈尔滨7月工作轻松期间，通过渗透测试发现中海达监测系统存在登录漏洞，仅需将登录返回的"fail"修改为"succ"即可绕过认证。虽然成功获得CNVD漏洞编号，但因机构实缴资金不足未能取得正式证书。

2025-10-23 11:22:07 167

原创大湾区杯wp

此次大湾区杯也是成功进入决赛，期待与师傅们的线下决赛

2025-09-10 09:05:10 2158 10

原创 vulnhub靶场-DC2

此靶场比较简单，主要是要注意前期的信息收集，包括端口、目录，此靶场是根据收集到的目录来慢慢突破，然后根据系统服务wordpress使用相应的爆破工具爆破账号和密码，接着就是用ssh的特定端口进行登录，登录完之后发现许多命令却不能使用，网上查找查看文件相关命令，重要的就是rbash逃逸，这里是用bash_cmds自定义shell指令，接着就能够切换用户了，后面就是简单的git提权。

2024-09-01 11:02:58 1129

原创 VulnHub靶场【Lord Of The Root_1.0.1】

此篇靶场用到了端口碰撞的知识，后面用信息收集扫描到了登录框的目录，接着用sqlmap进行爆破，接着ssh登录得到webshell权限，在权限提升方面的话，一般都是进行内核提权，此方法比较简单，查看内核版本，找到相关的exp，下载编译执行即可获得root权限，在mysql中的udf提权中过程较为复杂，这里我还没有得到root权限，有空在试试。

2024-08-15 19:14:48 1005

1.切换至user4，发现root的组里面有user4和user7，意思是user4和user7可以修改/etc/passwd文件,那么提权的方式跟方法五是一样的，直接添加uid为0的用户即可提权。1.继续根据枚举的信息，确认user7是gid为0的组成员，使用和方法3相同的办法进入user7，切换至user7，发现user7属于gid为0的组。2）进入user5目录，执行发现和ls命令一样的结果，这是因为这个脚本是使用root权限执行ls命令，所以这里可以通过全局环境变量提权。

2024-08-12 18:46:48 1913 1

原创 VulnHub靶场-VulnOS:2

刚开始还以为6667端口能够进行漏洞利用，但是后面发现利用不了，转成探测网站的漏洞。对于探测网站的漏洞，我们要注意它的网页源代码查看提示，查找相关的漏洞进行exp的下载，这里考虑到的是sql注入的漏洞，我们用sqlmap爆破即可，基本权限提升套路都是：下载exp-->>上传exp-->>编译-->>执行。

2024-08-10 20:52:39 1642

原创 Vulnhub靶场-FRISTILEAKS: 1.3

将上述base64编码保存到一个1.txt文件，随后在kali上进行base64解密，显示一个png。直接回显出一个登录框的界面，先尝试下amdin/admin弱口令登录，尝试失败，点击查看源代码看看。本来是想上传图片马的，但是看了看别人上传的文件，可以直接上传文件后获得webshell。紧接着访问/cgi-bin文件，显示禁止的页面，没有权限进入此目录。访问一下/robots.txt的三个目录文件，都是一张图片，显示t。扫描存在上述文件，我们一一进行访问，看能不能得到有用信息。

2024-08-08 14:10:31 1033

原创 Vulnhub入门篇-Kioptrix2014

信息收集还是非常重要的，以及对网站的信息搜索，网站使用的中间件、系统之间的漏洞都可以拿来利用，但是我上面有不足之处，并没有获得webshell，提权就是根据FreeBSD的漏洞进行利用的。

2024-08-04 15:33:18 1335

原创 NSSCTF【NSSRound#6 Tea】

具体思路：利用tarfile任意文件覆盖漏洞，覆盖/tmp/clean.sh，再触发clean路由反弹shell，但是反弹的shell是ctf用户，没有权限读取根目录下的flag文件，flask是root用户运行，因此可以进入flask的 /console 控制台读取文件，前提是算出pin码，所以需要用反弹的ctf用户的shell找到对应信息算出pin码，登录/console后最终拿到flag.能够进行文件的上传与下载，同时限制了文件只能是tar文件，并对文件名进行了过滤，禁止了..和/符号。

2024-08-01 10:53:10 1377

原创 NSSCTF-GDOUCTF 2023新生赛

再找到hahaha()所在的类为classroom，要使返回为真，三个变量赋值得为对应的值，leader指向name和rank的值，也就说明$leader=new teacher()，发现name和rank是在teacher类那里。md5()函数无法处理数组，如果传入的为数组，会返回NULL，所以两个数组经过加密后得到的都是NULL,也就是相等的。例如 a[]=1&b[]=2。：打开题目---->>>目录扫描（rar文件下载）--->>>代码审计--->>>php伪协议（input，data）

2024-07-31 11:19:45 1232

原创 VulnHub靶机入门篇--kioptrix.level 3

发现有一个login的登录框，可能存在sql注入漏洞，或者弱口令，并且发现这里有一个LotusCMS,网上查找一个信息，看看有没有相关的漏洞。这边可以看到URI为/lcms/但是我本地是没有这个路径的，所以我们这里需要设置下RHOSTS和URI。使用如下命令选择此 Auxiliary，或者使用命令。这里一直没有什么反应，可能是脚本的原因，用。哎，还是失败，查看原因，说使用Nat模式。使用msfconsole命令进入msf6。好像并没有什么用，只能看看80端口的服务。使用第14个的命令或者使用命令。

2024-07-29 16:54:44 1283

原创 NSSRound#4 Team

但是因为phar文件生成时是自动进行序列化的，所以我们我们需要修改文件，phar文件生成时会进行签名，来防止被修改，所以修改文件后我们需要对phar文件重新签名，phar文件有几种不同的加密签名选择，默认签名方法应该是要看生成phar文件的php版本。首先有一个查询文件的功能和一个文件读取的功能，一开始以为是文件上传的漏洞，后面发现不行，应该是网站在后端限制了文件上传的后缀，观察到这里有个文件查询的功能应该是文件读取，试一下直接读flag。提交发现文件没有运行，所以考虑可能是压缩文件格式的问题。

2024-07-29 12:51:20 1367

原创 VulnHub靶机入门篇--Kioptrix4

前面的知识点都跟之前题目差不多，后面出现了sql注入的利用，sqlmap工具的使用，以及获得webshell，在获得webshell之后的提权（数据库提权），以及一些linux的常用命令。

2024-07-28 23:19:17 1472

原创 NSSRound#3 Team

收到响应后，服务器尝试将响应体解析为JSON，并根据解析结果更新whoami对象的属性。花指令就是一个指令后面的机器码就是指令的内容当把内容改掉反汇编就会错误导致后面都出错从而阻止反编译,因此我们要使其正常就需要把错的花指令patch掉就行。这里目的是让whoami[info][FLAG]=env[FLAG]，把环境变量的FLAG直接写入whoami对象属性。的结果加上 n 个 96，如果加上 n 个 96 后的结果在 32 ~ 127 范围内，那么这个结果就是初始的。

2024-07-28 12:15:44 1261

原创 CTF-NSSCTF[NISACTF 2022]

要匹配的第一个字符与字符串中的第一个进行匹配，如果匹配成功就一直匹配下去，直至匹配不成功就到第二个要匹配的字符，如果第二个匹配的字符成功了就一直匹配下去，如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配，如果还不成功就继续吐，直至匹配成功才到下一个要匹配的字符，但是我们知道，既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。由此，当上传的文件名为 /flag ，上传后通过uuid访问文件后，查询到的文件名是 /flag ，那么进行路径拼接时，uploads/ 将被删除，读取到的就是。

2024-07-27 16:50:05 1419

原创权限提升总结

9.利用wesng中收集到的漏洞编号，进行模块利用，并且设置反弹端口，此时的端口号应该与前面的不同，这个端口反弹的权限为提权后的权限，并且监听的回话为3，与上面的会话对应。2.在web权限提升中，最常用的是溢出漏洞提权，用cmd去执行文件进行提权，从下图可以清晰的看到我们在webshell看到的权限和服务器上看到的权限是不一样的。：低权限角色获得高权限角色的权限，例如，一个webshell权限通过提权，拥有了管理员权限，这种提权就是纵向提权。

2024-07-27 10:55:50 1573

原创 Vulnhub系列:Kioptix Level 2

利用arp-scan -l命令查询主机netdicover工具查询主机：netdiscover -i eth0nmap命令查询端口：nmap -nvv -Pn -sSV -p [port] --version-intensity 9 -A [ip]nikto工具扫描漏洞:nikto -h [ip] #-h：-host的简写dirbuster扫描目录弱口令破解sql注入漏洞:admin' OR 1=1/*利用nc反弹shell:nc lvp [ports];

2024-07-26 15:47:41 1042

原创 CTF-NSSCTF[GKCTF 2021]

就是判断 username 和 password 的字符是否存在黑名单，存在转换成 * ，然后一看判断是 ==，可以使用弱类型绕过，即让username 为一个数组，这样 str[i] 就是一个键值，就直接绕过了WAF，但是这样的 username 还是一个数组啊，如何插入SQL语句中造成登录成功呢，所以我们就需要让 username 等于 __proto，想要这样，就需要创建用户，就回到/addAdmin路由，所以我们就需要admin的token，，所以我们只需要登录成功就行，但是它对。

2024-07-26 10:11:20 1119

原创 Vulnhub系列:Kioptix Level 1

从上图可以看到，这个apache服务是用的mod_ssl模块，按照之前的方法，先用msf搜索下有没有这个模块相关的漏洞,进入msfconsole模块，用msf进行搜索。靶机的mod_ssl版本为2.8.4，加上我用的linux系统，所以这边exp选择三个.c中的一个，我这里选择47080.c(跟着网上教程走········)总结：一个是利用msf自带的漏洞利用模块进行攻击，一个是用searchsploit找到exp，然后编译后执行攻击。发现有两个模块可以用，一个是RHOSTS，一个是RPORT。

2024-07-25 00:50:57 1251

原创 CTF-NSSCTF题单[GKCTF2020]

在低于7.2.29的PHP版本7.2.x，低于7.3.16的7.3.x和低于7.4.4的7.4.x中，将get_headers（）与用户提供的URL一起使用时，如果URL包含零（\ 0）字符，则URL将被静默地截断。访问/eval的路由，会设置一个delay，和你传入的get参数的delay进行比较，取较大的那个，然后setTimeout是延时函数，delay秒后就会执行第一个参数，即next()，否则就会send出timeout。是假的，但是有线索，提示说真正的flag的在。

2024-07-24 22:46:46 1595

原创 NSSCTF-2021年SWPU联合新生赛

这里有文件上传，文件读取，还有链子，还禁用一些伪协议，就是没有禁用phar，提示已经十分明显了，虽然upload这里会进行重命名，phar是看文件内容的，改名字是没有关系的。我理解的作用就是在一些控制字符被过滤的时候，可以用转义符，让控制符失去原本的含义，变为字面量，但是作用不变。发现类似flag文件，但是直接访问的话没有内容，依旧是用tee命令输出内容,这里过滤la字符，所以我们要用。从read.php就可以知道是从aa类进入的，这里我们分析分析，可以不可以搞出来一个链子.

2024-07-23 15:37:06 1830

原创 CTF-SSTI模板注入

当前使用的一些框架，比如python的flask，php的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

2024-07-22 13:21:32 2486

原创 CTF-文件上传（文件包含）总结

攻击者在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的（可以上传下载或者修改文件，操作数据库，执行任意命令等）。php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中，正常情况下，PHP会将用户输入的文件名进行resolve，转换成标准的绝对路径，这个转换的过程会将…来实现的，它会检查左侧的表达式是否为 null，如果是则使用右侧的默认值。以及 fd 怎么办呢？

2024-07-21 14:30:49 3736

原创 php反序列化练习题

绕过stristr()当表示字符类型的s大写时，会被当成16进制解析。因此将。

2024-07-19 22:31:23 1168

原创 ctf中php反序列化汇总

解题过程：首先需要找到最后的危险函数，看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发，发现在Petal类中__get方法具备这个调用函数的功能，所以需要去触发__get这个方法。

2024-07-19 14:54:41 2576

原创 HZNUCTF2023中web相关题目

得到源码后就是反序列化构造pop链了，不难看出是通过A类来触发B类中的__call从而实现任意命令，执行后的回显肯定是在class B的__call 魔术方法里，所以我们需要让func和arg成为我们需要的变量。解码之后发现字符串中有一个布尔值，空白原因可能是布尔值为0，一般来说0表示false，我们将0修改为1再进行base64编码，再将编码后的值替代之前cookie值发包。接着给出提示/bin/bash，接着我们构造payload，看看此文件，发现出现2个文件，查询文件无果。filename=a。

2024-07-18 20:42:32 1113

原创 NSSCTF中24网安培训day2中web题目【下】

攻击者可以使用fsockopen函数来发送恶意请求，例如将远程服务器地址设置为攻击者控制的恶意服务器，然后尝试读取该服务器上的敏感数据或执行任意命令。代码的作用是通过将传递的参数$data进行base64解码后，将数据发送到指定的主机$host和端口$port，并读取响应数据。此方法返回仍然存在的所有这些引用的列表，并按定义顺序排序。然后，它将传入的 base64 编码的数据解码，并将数据写入到连接的 socket 中。那么直接构建我们的恶意的外部实体，实现攻击，先尝试获取/etc/passwd下的文件。

2024-07-16 20:46:30 890

空空如也

空空如也