- 博客(97)
- 收藏
- 关注
RSS订阅原创 第三届京麒CTF Web
修改前端的disable属性, 将其删除, 使得可以更改输入框的内容, 变为可控。等进行执行, 那么就可以通过构造payload进行rce。不断测试, 可以发现通过这个payload可以rce。输入表达式可以执行计算操作, 大概代码里面是使用了。xss的题目还有待复现, 感觉好难 ><查看环境变量可以拿到flag。
2025-05-26 21:45:35
278
原创 “轩辕杯“云盾砺剑CTF挑战赛 Web wp
的路由,三本书的路由是一样的, 但是内容不一样, 可能是存在POST传了其他的参数, 抓一下包就可以发现, 直接任意文件读, 可以直接读到flag, 直接非预期了。看到它上传文件的逻辑, 先把文件保存下来之后去检查它的文件内容, 如果有不合法的字符, 就把文件给删除, 这里很明显可以进行一个竞争去绕过它的字符过滤。发现可以执行一些内置函数的操作, 想要查询却查不了, 试了了很久, 后面想到可以通过。(或者代码里面的其他的html文件都可以), 让它的内容为ssti的rce, 这样在。
2025-05-26 21:38:08
1264
原创 [春秋云镜] Spoofing仿真场景
在这里插入代码片Spoofing是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。CVE-2020-1983 Tomcat文件包含MS17-010RBCDnoPac。
2025-05-20 23:36:38
1278
原创 [[春秋云境] Privilege仿真场景
在这个靶场中,您将扮演一名资深黑客,被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用,并通过后渗透技巧深入 XR Shop 的内部网络,寻找潜在的弱点和漏洞,并通过滥用 Windows 特权获取管理员权限,最终并获取隐藏在其内部的核心机密。该靶场共有 4 个 Flag,分布于不同的靶机。考点信息泄露Jenkins初始管理员密码jenkins后台RCEOracle RCESeRestorePrivilege提权SPN。
2025-05-19 23:31:40
885
原创 [ 春秋云镜 ] Certify仿真场景
Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。考点grc提权SMB密码喷洒spnADCS ESC1。
2025-05-13 01:44:07
1092
原创 [春秋云境] Delegation仿真场景
Delegation是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。diff提权rdp密码爆破注册表提权-服务配置(ImagePath)DFSCoerce强制域认证+非约束性委派。
2025-05-11 03:08:03
910
原创 [春秋云镜] Brute4Road 仿真场景
Brute4Road是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。redis主从复制rcebase64命令提权sweetpotato提权约束性委派。
2025-05-09 15:17:56
1057
原创 2025ACTF Web部分题解
但是admin的密码和key在secret.py里面, 而这里也不存在文件读取的漏洞, 所以无法获取key和密码。后面看其他佬的wp, 原来要用到sql注入来伪造邮件来源, 不过感觉还是没太看懂其他那些, 也没有环境复现了。前面登录随便输入可以进入文件上传页面, 随便上传一张图片, 发现路由存在。构造出admin的session(自己本地搭一下环境运行一下就可以)分析一下源码需要以admin的用户登录, 可以进行ssti注入rce。ezmail.org连不了, 本地无法调试, 不知道咋弄, 先放弃。
2025-05-06 15:19:58
1051
原创 [ 春秋云镜 ] — Time 仿真场景
Time是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
2025-04-19 16:55:01
1086
原创 2025TGCTF Web WP&&复现
此时另外一个线程也正好就比它晚一点点,对合法的name经过blackJack()检查, 给safe赋值"nil", 那么现在的safe在还没判断之前就从"非法路径"更新为"nil"了, 就通过了 safe!而如果这里的是safe:=blackJack(name), 那么就是每个线程都是自己的独立的变量了, 其他的线程访问不了, 类似于加锁, 就无法条件竞争了。而对于这道题目, 想要拿到flag, 就是要读取文件, 需要路径穿越, 但是有waf, 不让用。
2025-04-18 19:41:17
1203
原创 [春秋云镜] Tsclient仿真场景
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
2025-04-13 23:49:05
868
原创 NSS#Round30 Web
到这里就可以实现任意文件读取了, 但是不知道为什么用hackbar, 还是burpsuite 还是yakit都无法看到文件读取的内容(本地搭建环境是可以的), 还得是用python来进行请求。(这里给个phpinfo()也可以运行, 要是没有删除环境里面的变量说不定可以拿到, 不过这里是不行了,不知道有没有其他的方法在这里rce)本来想基于这个黑名单的过滤, 本地部署一下让fenjing跑一下来着, 但是一直没跑出来 …通过上传一个文件, PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是。
2025-04-10 20:13:08
843
原创 [ 取证 ]取证学习,工具使用, 赛题复现
攻击者通过AD CS提权至域管理员,在攻击过程中,攻击者使用有问题的证书模版注册了一张证书,该证书的证书模版名、证书序列号是什么?攻击者在获取域管理员权限后,尝试上传木马文件,但是被杀毒软件查杀,上传的木马文件的绝对路径是什么?查找题目3中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称MD5(仅计算文件名称字符串MD5),并提交对应flag{MD5)。描述:服务器网站遭到了黑客攻击,但服务器的web日志文件被存放在了加密驱动器中,请解密获得该日志并将黑客ip作为答案提交。
2025-04-02 22:42:56
708
原创 [ CTFshow ] Java web279-web281
S2-007漏洞一般出现在表单处。当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。Struts2将HTTP的每个参数名解析为OGNL语句执行,而OGNL表达式是通过#来访问struts的对象,Struts2框架虽然过滤了#来进行过滤,但是可以通过unicode编码(u0023)或8进制(43)绕过了安全限制,达到代码执行的效果。#d.read(#e): 读取命令的输出到 #e 数组中。
2025-03-29 21:15:53
889
原创 [ 春秋云境 ] Initial 仿真场景
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。
2025-03-29 17:54:00
960
原创 2025NCTF--Web
path=environ就可以看到文件内容了, 本地执行成功。调试一下会发现走到这一步, 存在这样的代码 , 不允许key里面存在。的参数, 可以在每个请求期间运行自定义的 Python 代码。这个函数用于获取一个渲染后的模板, 并返回一个字符串迭代器。按照上面的步骤在靶场环境打一遍就可以拿到flag了。因为前一道题的非预期, 这道题把。这里能用的就是第三种, 传入一个。的值, 从而实现任意文件读取。的属性值, 会发现直接返回了。这样的形式, 可以打印一下。执行代码, 还可以使用。这种无法使用, 使用。
2025-03-28 21:07:39
808
原创 [笔记] 数据结构-第九章-检索
/ 找二叉树中的最大值if(LM!max=LM;if(RM!max=RM;return max;// 找二叉树中最小值if(Lm!min=Lm;if(Rm!min=Rm;return min;//判断是否是二叉树(递归)return 1;//空数为二叉树//找左子树的最大值//找右子树的最小值// 如果左子树的最大值大于当前节点的值,或者右子树的最小值小于当前节点的值,则不是二叉排序树return 0;//递归遍历左右子树是否是二叉排序树return 1;
2025-03-21 22:49:47
272
原创 CCB&CISCN复盘
如果想要尝试复现的话可以尝试拉取这个镜像, 我打完之后就直接把这个容器给制作了一下镜像保存了一下, 但我自己并没有去拉取下来看看是否可行, 不过应该是没问题的吧, 毕竟我是复现完把日志删了之后直接就保存下来的。自己搭了一下环境, 复现一下这道题目, 之前比赛的时候完全没想到这个漏洞要怎么打, 修也不知道要怎么修, 就仅仅是对用户名的账号和密码进行了一下过滤, 完全没起到作用, 唉, 实在太菜。拿admin的cookie的作用主要就是为了拿到上传的文件的路径。一天的比赛 ,就这一个成果, 唉。
2025-03-21 22:37:31
1001
原创 [内网渗透] 红日靶场2
在CS先建立监听, 然后生成payload上传到冰蝎上面, 点击运行,也没查看到 (有点奇怪, 不知道为啥会无法查探到另外两台主机)用工具检测一下, 可以发现存在漏洞, 直接利用, 可以执行命令。再添加一个网络, 10.10.10.0 , DHCP也要更改。然后用漏洞检测工具扫一下, 这是一个weblogic的服务。上传一个fscan扫描主机, 但是一直乱码, 就加了个代理。内存马注入, 用冰蝎连接 (之前试了好多, 都没成功)进入web主机 , 可以看到ip地址是。联动msf, 扫描一遍, 也没发现。
2025-03-13 22:54:23
386
原创 [内网渗透] 红日靶场1
然后再直接查询一下, 写入shell (这个查询的操作会被记录到日志里面去, 从而将我们的shell给写入到日志文件里面去, 而日志文件之前也已经被设置为了。可以看到各种的参数, 比如服务器的绝对路径, 甚至最下面还有一个mysql的检测连接, 尝试一些弱口令, 发现root/root可以连接到数据库。进入到数据库了, 还是root的身份, 应该权限很高, 尝试拿shell, 写入文件。跟打域成员主机一样, 用上面的操作可以添加用户, 添加到管理员组, 从而拿下域控主机。
2025-03-11 00:07:13
889
原创 GHCTF2025--Web
替换为空, 使用了bottle库, 查找一些资料, 发现存在ssti模板注入, 本地搭建环境, 把waf去掉, 可以发现使用。前面一直卡在这, 没办法执行一些函数操作啥的, 就没管了, 后面wp出来之后才知道这是Sqlite注⼊ , 怪我见识短浅了。有点奇怪, 我自己本地试了一下这个cookie是可以被反序列化然后执行的, 但是靶机上一直没成功,可能没有权限还是干嘛。可以执行代码, 但是题目是没有回显的, 所以需要反弹shell, 连上自己的vps。php反序列化, 看似代码很多, 其实大都是没有用的。
2025-03-09 22:04:49
2389
原创 阿里云CTF2025 ---Web
posixsubprocess.fork_exec 是 CPython 内部实现子进程的底层函数,属于 未暴露给标准审计事件 的底层调用。以为是命令啥的有错误, 但是本地试了一下命令是没问题的, 可以写入文件, 可能题目是没有权限写吧, 所以一直没成功。确实没有触发到RuntimeError , 可以执行命令 ,但是因为环境是无回显的, 无法看到执行的命令的结果。, 而常规的那些想要执行系统命令的函数都不在这几个白名单里面, 所以需要绕过。看完wp后发现还可以用通配符来着, 当时给忘了, 有点蠢了。
2025-03-08 21:21:17
831
原创 HGAME2025 Week1
显然是xss类型的题目, 存在/admin路由和/flag路由, 查看/flag显示只能admin查看, 通过xss拿到admin的cookie, 再以admin的cookie替换自己的cookie就可以访问/flag路由拿到flag了。想到覆盖文件, 上传一个app.js文件覆盖之前的app.js文件, 但是也没有用, 没有办法使它执行。有文件上传, 重命名功能, 但是文件上传之后无法查看自己上传的文件, 进过测试可以发现在。上传mortis文件, 再重命名, 刷新一下页面就可以看到flag了。
2025-02-26 21:58:21
921
原创 CISCN&&CCB Web&&Misc
小路是一名实习生,接替公司前任网管的工作,一天发现公司网络出口出现了异常的通信,现需要通过回溯出口流量对异常点位(防火墙)进行定位,并确定异常的设备。现在需要你从网络攻击数据包中找出漏洞攻击的会话,分析会话编写exp或数据包重放获取防火墙设备管理员权限,查找防火墙设备上安装的木马,然后分析木马外联地址和通信密钥以及木马启动项位置。找出受控机防火墙设备中驻留木马的外联域名或IP地址,结果提交形式:flag{xxxx,如flag{wwW.abc.com}或flag16.122.33.44)
2024-12-26 19:19:25
942
原创 2024楚慧杯-Web
说实话第一步就一直卡着了, dirsearch扫了个www.zip , 看到那个load.php, 一直以为是要文件上传(感觉这题目有点抽象,寄)进去一堆图片, 随便翻翻没找到啥东西, 后面发现有个搜索框, 随便输入一点东西发现会回显输入的。分析流量, 可以看到很多的http的流量, 响应的内容基本都加密的, 不过找到了一个密码的字典。使用工具计算 其key值, 再尝试去进行解密, 不过字典内容这么多, 一个一个试特别难。绕过, 根目录下存在flag, 但是没有权限读取, 尝试在环境里面找找可以找到。
2024-12-23 21:28:00
529
原创 CN-fnst::CTF Web
只能饿饿饿饿饿势力操作, 说明是登录的问题, 要用相应的账号登录才能查看, 而不是我们随便注册的一个账号(感觉这里有点抽象, 账号是。审计一下代码, 很明显看到class.php存在反序列化, 且存在文件上传的接口, 那么就可以想到是利用phar进行反序列化。后面就是前面那里的一下md5的绕过, 用数组就行, 还有一个就是需要爆破一下, 匹配它的md5的前5位是。有点奇怪就是, 好像没读到根目录文件, 读的网站目录的文件, 不过思路差不多就是这样了。参数 , 可以操作进行phar的反序列化, 存在waf。
2024-12-18 21:56:03
729
原创 HACKTHEBOX -- Pentest Notes
但是根据Dockerfile里面的内容可知, flag在根目录下, 并且它的名字还是随机命名的, 所以查询是查不到它的, 是需要列出根目录下的文件, 并读取它。开启靶机, 访问其url可以发现是一个登录框, 可以注册账号或者下载的文件里面存在一个data.sql里面也存在一个账号, 可以登录进去。前面用了其免费提供的两个小时的环境做了一下那几个基础的靶机, 后面时间到了, 需要开通vip, 所以就得自己用openvpn连接了。登录进去后可以发现有三个框, 随便点一个,观察到它的URL路由的一个变化,
2024-12-05 22:26:54
437
原创 数据结构(c语言) 第八章--图 (个人笔记)
由顶点的有穷非空集合和顶点之间边的集合组成通常表示为 G( V , E )G表示一个图V是图G中顶点的集合E是图G中边的集合是一种表示图的逻辑结构的存储方式,适用于无向图、有向图以及网络图。它使用一个二维数组来记录图中结点之间的关系,每个元素表示对应结点间是否存在边以及边的权值。形式假设图有 n 个结点,邻接矩阵是一个 n×n 的二维数组 A。无权图:元素 A[i][j] 的值表示从结点 i 到结点 j 是否有边。如果有边,则 A[i][j]=1;否则 A[i][j]=0。
2024-12-03 10:31:14
828
原创 “蜀道山”高校联合公益赛 Web (部分)
然后内容的检测绕不过, 就通过前面放一堆垃圾字符, 然后就可以正常上传一句话木马了, 然后访问执行命令就行。根据代码的逻辑, 第一次执行的时候, file_exists都是false, 所以会在log文件里面写入。之前没做出来, 没有环境了, 拿网上的代码, 稍微改了一下试着复现了一下。是用双引号包裹的, 不是单引号, 如果是单引号应该是无法执行命令的。给了源码, 过滤了后缀, 然后也有文件内容的检测, 过滤的特别严。的标签, 所以包含就会作为php的代码去执行。直接抓包改host和GET请求。
2024-11-27 22:23:05
876
原创 春秋云境 CVE 复现
WBCE CMS v1.5.2 /templates/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCEAtom CMS 2.0版本存在远程代码执行漏洞,该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。74cmsSEv3.4.1存在任意文件读取漏洞。
2024-11-26 23:17:47
1248
原创 MoeCTF 2024 web
但是app.py只能访问到 /static/ 目录下的图片, 无法访问到 /uploads下的flag图片,然后app.py里面的image路由下存在 url参数,随便上传一张图片, 可以发现它是这样去访问到图片的。所以就可以通过爆破出 app2.py运行的端口, 通过这个url参数去访问app2.py运行的服务。题目要去给一个id, 然后有回显 , 很容易想到 ssti, 直接用现成的一个payload就行。app.py的端口是5000, app2.py的端口是5001-6000的随机一个。
2024-11-18 22:56:01
1074
原创 CVE-2024-2961漏洞的简单学习
PHP利用glibc iconv()中的一个缓冲区溢出漏洞,实现将文件读取提升为任意命令执行漏洞在php读取文件的时候可以使用 php://filter伪协议利用 iconv 函数, 从而可以利用该漏洞进行 RCE。
2024-11-14 22:39:20
1121
原创 源鲁杯 2024 web(部分)
参数传参文件名读取内容, 但是存在 mime_content_type 会检查文件的 MIME 类型。有文件内容的检查, 需要绕过, 短标签绕过 php, 然后反引号执行命令, 再利用。利用导出笔记的那个功能点存在一个任意文件读取的漏洞, 直接读取环境变量拿到flag。就是这里让人感觉有点奇怪, 为什么flag是不全的, 不太理解(后面再研究一下)写入文件中, 然后利用任意文件读取的漏洞去读取 /tmp/1的内容。ssti, 直接焚靖跑 ,但没有回显, 用dns外带。拿到flag的文件名, 然后直接读取。
2024-11-05 21:37:38
696
原创 BuildCTF 2024 web
subprocess.check_output可以执行系统命令 , 利用file传参的值进行一个命令执行, 绕过一下(在bp里面做的)审计一下代码, 直接利用给出的密钥生成role为admin的用户, 进入到 /page页面(在Cookie里面加上jwt的值)可控的参数这里想要执行命令, 那么需要将它与它前面的值和后面的值给分隔开 , 可以用到 || (日志, 可以控制查看日志的名字, 尝试输入一些其他的参数, 会发现存在一个过滤。比较简单, bp直接爆破, 爆破相应的数字可以直接拿到flag。
2024-11-05 20:14:52
1091
原创 BaseCTF2024 web
wireshark工具打开, 导出对象 --> http , 存在一个flag.php文件, 打开是反过来的flag, 写个python小脚本将其反过来就行。, 但是那个地址里面的内容是不可控的, 里面也不存在一个这样的内容, 所以可以想到需要一个地址里面的内容可控, 这个时候就会想到使用。打开flag.txt可以发现是一个假的flag, 找半天, 其实真的flag就在这个文件内容的下面, base64两次解密就行。解密打开, 又存在一个flag.txt的伪加密, 010打开,
2024-09-23 22:53:27
3549
1
原创 vulnhub靶场 DC-3
访问相应的url, 下载到shell上面(一个39772.zip文件)我看别人也是这个一样的回显啊, 咋别人就成root了, 我这就不行呢?再模板里面可以新建文件, 可以上传文件, 也可以直接更改文件的代码。拿蚁剑连了一下, 重新上传了一下zip文件也是一样的, 不知道为啥。找到这个漏洞文件, 照着sqlmap打, 换一下host。得到的密码是经过加密的, 用john爆破一下。然后写上一句话马, 或者反弹shell啥的,网上搜一下, 发现存在sql注入的漏洞。前面的文件下载那里是给了使用的教程的。
2024-09-20 22:25:36
229
原创 Vulnhub靶场 DC-2
导入到VMware里面去, 设置NAT模式namp扫描一下c段获取ip地址, 然后再扫描ip地址获取详细的信息得到ip无法访问按照下面这个方法可以访问了在kali上的处理。
2024-09-12 00:18:43
381
原创 [FBCTF2019]RCEService
可以在自己的vps上面在bin目录下找到这些命令。没有发现flag, 使用find命令查找一下。解码成一个关联数组, 通过下标cmd访问。改变了环境变量, 也就无法直接使用。需要一个完整的路径比如。
2024-09-09 20:59:15
219
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人