pwfortune的博客

原创 [ 取证 ]取证学习,工具使用, 赛题复现

攻击者通过AD CS提权至域管理员，在攻击过程中，攻击者使用有问题的证书模版注册了一张证书，该证书的证书模版名、证书序列号是什么？攻击者在获取域管理员权限后，尝试上传木马文件，但是被杀毒软件查杀，上传的木马文件的绝对路径是什么？查找题目3中持久化程序(下载者)的植入痕迹，计算持久化程序植入时的原始名称MD5(仅计算文件名称字符串MD5)，并提交对应flag{MD5)。描述:服务器网站遭到了黑客攻击，但服务器的web日志文件被存放在了加密驱动器中，请解密获得该日志并将黑客ip作为答案提交。

原创 [ CTFshow ] Java web279-web281

S2-007漏洞一般出现在表单处。当配置了验证规则 -validation.xml 时，若类型验证转换出错，后端默认会将用户提交的表单值通过字符串拼接，然后执行一次 OGNL 表达式解析并返回。Struts2将HTTP的每个参数名解析为OGNL语句执行,而OGNL表达式是通过#来访问struts的对象，Struts2框架虽然过滤了#来进行过滤，但是可以通过unicode编码（u0023）或8进制（43）绕过了安全限制，达到代码执行的效果。#d.read(#e): 读取命令的输出到 #e 数组中。

原创 [ 春秋云境 ] Initial 仿真场景

Initial是一套难度为简单的靶场环境，完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag，各部分位于不同的机器上。

原创 2025NCTF--Web

path=environ就可以看到文件内容了, 本地执行成功。调试一下会发现走到这一步, 存在这样的代码 , 不允许key里面存在。的参数, 可以在每个请求期间运行自定义的 Python 代码。这个函数用于获取一个渲染后的模板, 并返回一个字符串迭代器。按照上面的步骤在靶场环境打一遍就可以拿到flag了。因为前一道题的非预期, 这道题把。这里能用的就是第三种, 传入一个。的值, 从而实现任意文件读取。的属性值, 会发现直接返回了。这样的形式, 可以打印一下。执行代码, 还可以使用。这种无法使用, 使用。

原创 [笔记] 数据结构-第九章-检索

/ 找二叉树中的最大值if(LM!max=LM;if(RM!max=RM;return max;// 找二叉树中最小值if(Lm!min=Lm;if(Rm!min=Rm;return min;//判断是否是二叉树(递归)return 1;//空数为二叉树//找左子树的最大值//找右子树的最小值// 如果左子树的最大值大于当前节点的值，或者右子树的最小值小于当前节点的值，则不是二叉排序树return 0;//递归遍历左右子树是否是二叉排序树return 1;

原创 CCB&CISCN复盘

如果想要尝试复现的话可以尝试拉取这个镜像, 我打完之后就直接把这个容器给制作了一下镜像保存了一下, 但我自己并没有去拉取下来看看是否可行, 不过应该是没问题的吧, 毕竟我是复现完把日志删了之后直接就保存下来的。自己搭了一下环境, 复现一下这道题目, 之前比赛的时候完全没想到这个漏洞要怎么打, 修也不知道要怎么修, 就仅仅是对用户名的账号和密码进行了一下过滤, 完全没起到作用, 唉, 实在太菜。拿admin的cookie的作用主要就是为了拿到上传的文件的路径。一天的比赛 ,就这一个成果, 唉。

原创 [内网渗透] 红日靶场2

在CS先建立监听, 然后生成payload上传到冰蝎上面, 点击运行,也没查看到 (有点奇怪, 不知道为啥会无法查探到另外两台主机)用工具检测一下, 可以发现存在漏洞, 直接利用, 可以执行命令。再添加一个网络, 10.10.10.0 , DHCP也要更改。然后用漏洞检测工具扫一下, 这是一个weblogic的服务。上传一个fscan扫描主机, 但是一直乱码, 就加了个代理。内存马注入, 用冰蝎连接 (之前试了好多, 都没成功)进入web主机 , 可以看到ip地址是。联动msf, 扫描一遍, 也没发现。

原创 [内网渗透] 红日靶场1

然后再直接查询一下, 写入shell (这个查询的操作会被记录到日志里面去, 从而将我们的shell给写入到日志文件里面去, 而日志文件之前也已经被设置为了。可以看到各种的参数, 比如服务器的绝对路径, 甚至最下面还有一个mysql的检测连接, 尝试一些弱口令, 发现root/root可以连接到数据库。进入到数据库了, 还是root的身份, 应该权限很高, 尝试拿shell, 写入文件。跟打域成员主机一样, 用上面的操作可以添加用户, 添加到管理员组, 从而拿下域控主机。

原创 GHCTF2025--Web

替换为空, 使用了bottle库, 查找一些资料, 发现存在ssti模板注入, 本地搭建环境, 把waf去掉, 可以发现使用。前面一直卡在这, 没办法执行一些函数操作啥的, 就没管了, 后面wp出来之后才知道这是Sqlite注⼊ , 怪我见识短浅了。有点奇怪, 我自己本地试了一下这个cookie是可以被反序列化然后执行的, 但是靶机上一直没成功,可能没有权限还是干嘛。可以执行代码, 但是题目是没有回显的, 所以需要反弹shell, 连上自己的vps。php反序列化, 看似代码很多, 其实大都是没有用的。

原创 阿里云CTF2025 ---Web

posixsubprocess.fork_exec 是 CPython 内部实现子进程的底层函数，属于 未暴露给标准审计事件 的底层调用。以为是命令啥的有错误, 但是本地试了一下命令是没问题的, 可以写入文件, 可能题目是没有权限写吧, 所以一直没成功。确实没有触发到RuntimeError , 可以执行命令 ,但是因为环境是无回显的, 无法看到执行的命令的结果。, 而常规的那些想要执行系统命令的函数都不在这几个白名单里面, 所以需要绕过。看完wp后发现还可以用通配符来着, 当时给忘了, 有点蠢了。

原创 HGAME2025 Week1

显然是xss类型的题目, 存在/admin路由和/flag路由, 查看/flag显示只能admin查看, 通过xss拿到admin的cookie, 再以admin的cookie替换自己的cookie就可以访问/flag路由拿到flag了。想到覆盖文件, 上传一个app.js文件覆盖之前的app.js文件, 但是也没有用, 没有办法使它执行。有文件上传, 重命名功能, 但是文件上传之后无法查看自己上传的文件, 进过测试可以发现在。上传mortis文件, 再重命名, 刷新一下页面就可以看到flag了。

原创 2024国城杯 Web

这四道题目Jasper大佬都做了镜像可以直接拉取进行复现。

原创 CISCN&&CCB Web&&Misc

小路是一名实习生，接替公司前任网管的工作，一天发现公司网络出口出现了异常的通信，现需要通过回溯出口流量对异常点位(防火墙)进行定位，并确定异常的设备。现在需要你从网络攻击数据包中找出漏洞攻击的会话，分析会话编写exp或数据包重放获取防火墙设备管理员权限，查找防火墙设备上安装的木马，然后分析木马外联地址和通信密钥以及木马启动项位置。找出受控机防火墙设备中驻留木马的外联域名或IP地址，结果提交形式：flag{xxxx,如flag{wwW.abc.com}或flag16.122.33.44)

原创 2024楚慧杯-Web

说实话第一步就一直卡着了, dirsearch扫了个www.zip , 看到那个load.php, 一直以为是要文件上传(感觉这题目有点抽象,寄)进去一堆图片, 随便翻翻没找到啥东西, 后面发现有个搜索框, 随便输入一点东西发现会回显输入的。分析流量, 可以看到很多的http的流量, 响应的内容基本都加密的, 不过找到了一个密码的字典。使用工具计算 其key值, 再尝试去进行解密, 不过字典内容这么多, 一个一个试特别难。绕过, 根目录下存在flag, 但是没有权限读取, 尝试在环境里面找找可以找到。

原创 Flask内存马学习

原创 CN-fnst::CTF Web

只能饿饿饿饿饿势力操作, 说明是登录的问题, 要用相应的账号登录才能查看, 而不是我们随便注册的一个账号(感觉这里有点抽象, 账号是。审计一下代码, 很明显看到class.php存在反序列化, 且存在文件上传的接口, 那么就可以想到是利用phar进行反序列化。后面就是前面那里的一下md5的绕过, 用数组就行, 还有一个就是需要爆破一下, 匹配它的md5的前5位是。有点奇怪就是, 好像没读到根目录文件, 读的网站目录的文件, 不过思路差不多就是这样了。参数 , 可以操作进行phar的反序列化, 存在waf。

原创 HACKTHEBOX -- Pentest Notes

但是根据Dockerfile里面的内容可知, flag在根目录下, 并且它的名字还是随机命名的, 所以查询是查不到它的, 是需要列出根目录下的文件, 并读取它。开启靶机, 访问其url可以发现是一个登录框, 可以注册账号或者下载的文件里面存在一个data.sql里面也存在一个账号, 可以登录进去。前面用了其免费提供的两个小时的环境做了一下那几个基础的靶机, 后面时间到了, 需要开通vip, 所以就得自己用openvpn连接了。登录进去后可以发现有三个框, 随便点一个,观察到它的URL路由的一个变化,

原创 数据结构(c语言) 第八章--图 (个人笔记)

由顶点的有穷非空集合和顶点之间边的集合组成通常表示为 G( V , E )G表示一个图V是图G中顶点的集合E是图G中边的集合是一种表示图的逻辑结构的存储方式，适用于无向图、有向图以及网络图。它使用一个二维数组来记录图中结点之间的关系，每个元素表示对应结点间是否存在边以及边的权值。形式假设图有 n 个结点，邻接矩阵是一个 n×n 的二维数组 A。无权图：元素 A[i][j] 的值表示从结点 i 到结点 j 是否有边。如果有边，则 A[i][j]=1；否则 A[i][j]=0。

原创 “蜀道山”高校联合公益赛 Web (部分)

然后内容的检测绕不过, 就通过前面放一堆垃圾字符, 然后就可以正常上传一句话木马了, 然后访问执行命令就行。根据代码的逻辑, 第一次执行的时候, file_exists都是false, 所以会在log文件里面写入。之前没做出来, 没有环境了, 拿网上的代码, 稍微改了一下试着复现了一下。是用双引号包裹的, 不是单引号, 如果是单引号应该是无法执行命令的。给了源码, 过滤了后缀, 然后也有文件内容的检测, 过滤的特别严。的标签, 所以包含就会作为php的代码去执行。直接抓包改host和GET请求。

原创 春秋云境 CVE 复现

WBCE CMS v1.5.2 /templates/install.php 文件存在漏洞，攻击者可精心构造文件上传造成RCEAtom CMS 2.0版本存在远程代码执行漏洞，该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。74cmsSEv3.4.1存在任意文件读取漏洞。

原创 MoeCTF 2024 web

但是app.py只能访问到 /static/ 目录下的图片, 无法访问到 /uploads下的flag图片,然后app.py里面的image路由下存在 url参数,随便上传一张图片, 可以发现它是这样去访问到图片的。所以就可以通过爆破出 app2.py运行的端口, 通过这个url参数去访问app2.py运行的服务。题目要去给一个id, 然后有回显 , 很容易想到 ssti, 直接用现成的一个payload就行。app.py的端口是5000, app2.py的端口是5001-6000的随机一个。

原创 CVE-2024-2961漏洞的简单学习

PHP利用glibc iconv()中的一个缓冲区溢出漏洞，实现将文件读取提升为任意命令执行漏洞在php读取文件的时候可以使用 php://filter伪协议利用 iconv 函数, 从而可以利用该漏洞进行 RCE。

原创 源鲁杯 2024 web(部分)

参数传参文件名读取内容, 但是存在 mime_content_type 会检查文件的 MIME 类型。有文件内容的检查, 需要绕过, 短标签绕过 php, 然后反引号执行命令, 再利用。利用导出笔记的那个功能点存在一个任意文件读取的漏洞, 直接读取环境变量拿到flag。就是这里让人感觉有点奇怪, 为什么flag是不全的, 不太理解(后面再研究一下)写入文件中, 然后利用任意文件读取的漏洞去读取 /tmp/1的内容。ssti, 直接焚靖跑 ,但没有回显, 用dns外带。拿到flag的文件名, 然后直接读取。

原创 BuildCTF 2024 web

subprocess.check_output可以执行系统命令 , 利用file传参的值进行一个命令执行, 绕过一下(在bp里面做的)审计一下代码, 直接利用给出的密钥生成role为admin的用户, 进入到 /page页面(在Cookie里面加上jwt的值)可控的参数这里想要执行命令, 那么需要将它与它前面的值和后面的值给分隔开 , 可以用到 || (日志, 可以控制查看日志的名字, 尝试输入一些其他的参数, 会发现存在一个过滤。比较简单, bp直接爆破, 爆破相应的数字可以直接拿到flag。

原创 BaseCTF2024 web

wireshark工具打开, 导出对象 --> http , 存在一个flag.php文件, 打开是反过来的flag, 写个python小脚本将其反过来就行。, 但是那个地址里面的内容是不可控的, 里面也不存在一个这样的内容, 所以可以想到需要一个地址里面的内容可控, 这个时候就会想到使用。打开flag.txt可以发现是一个假的flag, 找半天, 其实真的flag就在这个文件内容的下面, base64两次解密就行。解密打开, 又存在一个flag.txt的伪加密, 010打开,

原创 vulnhub靶场 DC-3

访问相应的url, 下载到shell上面(一个39772.zip文件)我看别人也是这个一样的回显啊, 咋别人就成root了, 我这就不行呢?再模板里面可以新建文件, 可以上传文件, 也可以直接更改文件的代码。拿蚁剑连了一下, 重新上传了一下zip文件也是一样的, 不知道为啥。找到这个漏洞文件, 照着sqlmap打, 换一下host。得到的密码是经过加密的, 用john爆破一下。然后写上一句话马, 或者反弹shell啥的,网上搜一下, 发现存在sql注入的漏洞。前面的文件下载那里是给了使用的教程的。

原创 Vulnhub靶场 DC-2

导入到VMware里面去, 设置NAT模式namp扫描一下c段获取ip地址, 然后再扫描ip地址获取详细的信息得到ip无法访问按照下面这个方法可以访问了在kali上的处理。

原创 [FBCTF2019]RCEService

可以在自己的vps上面在bin目录下找到这些命令。没有发现flag, 使用find命令查找一下。解码成一个关联数组, 通过下标cmd访问。改变了环境变量, 也就无法直接使用。需要一个完整的路径比如。

原创 Vulnhub靶场 DC-1

靶机地址导入到VMware里面先编辑虚拟机设置,选择NAT模式然后具体的扫描一下ip地址可以看到一些开放的端口尝试爆破一下ssh的密码cewl爬取网站的信息,生成字典hydra进行爆破但是没有有效的结果访问一下网站, 可以发现是Drupal CMS打开msfconsole搜索看看有无相关的漏洞利用查看模块需要配置的参数需要配置一下rhosts然后run运行进入到shell里面。

原创 [SUCTF 2019]Pythonginx

给了源码。

原创 CTF 流量题

一个一个可以发现一些数字, 16进制解一下, 可以发现是flag的格式,flag的一部分, 然后继续寻找其他部分的flag。前面提示里面,说要校验一个md5, 又看到协议里面存在一个ftp协议, 所以有可能通过ftp协议上传了一个文件, 选中。题目提示了sql注入, 搜一下, 追踪一下tcp流, 可以发现存在一个sql盲注。这个stop包导致了这个停机的事件, 就是需要找的异常行为数据包。追踪一下http流看看, 可以发现一些奇怪的东西, 解码一下。再前面的统计 协议分级里面, 有发现存在TLS 会话,

原创 NepCTF 2024 部分web

审计代码, render_template_string() 存在漏洞 渲染的是files_list , 里面存放的是文件名。查看etc/xinetd.d/看到pwnservice里面有个端口8888,并且这个可以写入，可以尝试利用8888进行连接。会存在一个反序列逃逸的漏洞, 经过替换之后, 字符会增多, 一次替换多出一个字符。照着ssti的思路写就行, 环境里面没有flag, 然后win的命名无法有。所以可以想到通过文件名来入手, 且需要上传的是一个zip文件。, 就无法列出根目录, 需要用到。

原创 Otterctf 2018 内存取证 (复现)

题目地址:https://otterctf.com/challenges描述:首先查看一下镜像的信息题目描述需要获取密码, 使用mimikatz插件 就是flag描述:需要得到主机名和ip查看一下注册表主机名会出储存在中的里面得到主机名:ip地址，则可以通过来读取ip: 描述:使用列一下进程就是这个游戏的名字知道了它的 是708 , netscan配合gerp搜索一下得到它的ip: 描述:使用strings命令查找可打印字符, 在配合grep, 匹配, 找它的上下文得到用

原创 vulnhub靶场 — NARAK

下载靶机镜像后, 用VM打开, 在设置里面打开NAT连接nmap扫描c段, 可以扫描到靶机的地址,

原创 vulnhub靶场 — Me and My Girlfriend

将id改为5可以发现一个alice的用户, 就是前面的描述里面的人物, 可以得到它的一个用户和密码。查看一下权限, 可以发现能够以root用户执行 /usr/bin/php 命令, 不需要密码。尝试更改一下id的值, 可以发现其他账户的用户名和密码, 存在一个水平越权。下载的ova文件, 用VM打开, 就是这个样子, 没有用户名和密码进不去。想要查找一下另外一个flag文件, 很多都是权限不足。这个就是靶机的地址, 开启了22端口和80端口。nmap扫描一下c段, 看一下靶机的地址。, 可以成功登录进去。

原创 buu做题(14)

dirsearch扫描, 字典里面明明有,扫描的时候就是没扫出来, 有点奇怪直接访问也访问不了, 不理解直接看一下源码吧需要满足password的md5值的前六位等于6d0bc1写个python脚本爆破一下登录之后可以看到生成的.shtml文件或者抓包访问文件用户名是可控的, 根据源码也可以知道, 会被写入到这个.shtml文件中搜索一下shtml文件ssi注入写入一些命令执行2020666访问相应的shtml文件。

原创 buu做题(13)

给了一个账户: cookie / monster根据提示, 我们需要以admin的身份登录抓个包 , 可以发现一个奇怪的地方,以这样的方式确定登录的用户, 尝试伪造一下就可以得到flag也可以直接在浏览器上面登录之后 , 修改一下cookie的值为admin ,刷新一下就可以直接出现flag。

原创 buu做题(12)

首先, 限制了传入的参数的长度 小于80然后是有一个黑名单,不允许出现这些字符最后就是一个白名单, 必须要出现那些函数php可以通过变量动态调用函数在限定了字符数的情况下可以通过$_GET[]逃过字符的限制即在这里就是所以还需要构造出可以将16进制转换成字符串又需要构造出hex2bin36进制存在数字和小写字母在线网站: https://tool.lu/hexconvert/函数能够在任意进制之间转换数字--> 可以得到hex2bin然后就是要得到_GET的十六进制。

原创 buu做题(11)

抓个包可以发现是 Smarty框架在页面可以观察到 一个 XFF头, 可以猜测注入点就在这通过if标签执行命令 ,读取flag。

原创 buu做题(10)

尝试购买, 操作失败, 根据题目, 跟Unicode有关, 只能输入一个字符搜索一个比千大的输入4 和 ፼直接得到flag (直接用万也可以)