- 博客(34)
- 收藏
- 关注
RSS订阅原创 攻防世界——Web题ez_curl
这道题最终得不到flag,用了很多师傅的代码也不成功。但还是需要学习重点在中间那部分:(1)!req.query.admin.includes('false') 检查URL查询参数admin的值是否包含 false 如果不包含则条件成立(2)req.headers.admin.includes('true') 检查headers头admin的值是否包含 true要让这两个条件都成立再看一下源代码上面的代码主要是两点:(1)for语句逐段检查Headers中是否包含:admin:true。
2025-04-13 22:23:23
630
原创 vulfocus漏洞学习——joomla 远程代码执行 (CVE-2021-23132)
Joomla是一套用PHP和MYSQL开发的内容管理系统。由于Joomla com_media模块对上传文件校验不严格,攻击者可以通过上传恶意文件,从而实现远程代码执行。
2025-04-10 21:20:54
316
原创 vulfocus漏洞学习——Webmin 远程代码执行 (CVE-2022-0824)
Webmin是一套基于Web的用于类Unix操作系统的系统管理工具,提供图形化界面管理工具。漏洞源于Webmin的某些功能模块未能正确验证和过滤用户输入,导致攻击者可通过参数注入恶意命令。
2025-04-09 19:21:27
714
2
原创 内网渗透——红日靶场二
相较于第一次打红日靶场来说,感觉已经熟练了不少,之前的知识补充还是很有用的,虽然也许还存在一些问题,但慢慢来会让自己好受不少。写的部分还是有一些欠佳,而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了,真真是对不起给予我帮助的师傅们。有问题的地方,还请各位斧正,希望能给我一些宝贵的意见!
2025-04-01 21:34:23
1038
原创 vulfocus漏洞学习——nostromo 远程命令执行 (CVE-2019-16278)
也是成功把vulfocus镜像给整好了,而且竟然能成功拉取镜像!(我用的服务机是centos 7,以前都是kali 或 Ubuntu>-<)启动靶场环境,在此之前,先了解一些基础的东西(1)Nostromo 是一款开源的Web服务器,专为Unix/Linux系统设计,常用于嵌入式设备等(2)此漏洞的根源是:Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。
2025-03-25 10:54:25
368
原创 域渗透学习——伪造黄金、白银票据攻击
之前在学习kerberos协议的时候,初步了解了什么是黄金票据,什么是白银票据。当Client想要访问Server上某个服务时(1)需要向AS证明自己的身份,通过验证后AS会发放一个TGT(票据授予票据)(2)随后Client会像TGS证明自己的身份,通过验证后TGS会发放一个ST(服务授予票据)(3)最后Client向Server发起认证请求。而其中,黄金票据就是, 白银票据就是在学习红日靶场(一)的过程中,我初步接触到了伪造黄金票据攻击,实现的结果为:对全域的控制。
2025-03-24 20:10:01
1327
原创 域渗透学习——用户枚举和密码喷洒
在域渗透过程中,我们会尝试一系列的信息收集手段,其中用户枚举可以帮助我们识别有效用户账户,为后续攻击提供关键信息。比如,收集用户名后,可尝试利用弱密码,默认密码或已泄露的凭证进行。再比如,获取真实用户名后,可伪造内部邮件或登录页面,诱骗用户提交凭证或敏感信息。那么用户枚举的原理是什么呢?
2025-03-23 14:00:43
538
原创 BUUCTF-pwn学习 ciscn_2019_c_1/ libc泄露
回顾一下我们学到的知识1.libc的泄露原理,libc的保护机制2.GOT表和PLT表之间的关系3.64位和32位在传参方面的区别4.gadget是什么。
2025-03-20 18:09:16
1187
原创 域渗透—哈希传递攻击(PTH)学习
(1)Pass-The-Hash 是一种针对身份认证机制的横向移动技术。(2)横向移动:在入侵多个系统后,通过内部网络或协议漏洞,在多台主机之间跳跃以扩大攻击范围。(3)攻击者无需破解用户密码的明文,只需获取密码的哈希值,就可以利用该哈希值模拟用户身份,访问网络中的其他系统或服务。到这里,横向移动技术了解了,首先我就有下面几点疑问:1.密码的哈希值如何窃取?2.为什么只需要哈希值就可以模拟用户的身份?后面关键就围绕这些来展开,现在再来了解一下攻击原理(注,是攻击原理,而非窃取哈希)
2025-03-17 19:26:29
1129
原创 BUUCTF--pwn—bjdctf_2020_babystack1
总结一下思路:首先buf的起始地址距离rbp距离为 0x10 ,我们需要再将 rbp 覆盖掉才能到“返回函数”,然后再将返回函数覆盖成我们的“后门函数”。这里的0x10 其实包含两部分,12是buf本身输入,4是对齐填充(学了计组也懂一点点了嘿)得到一些最基本的信息,比如64位,小端序,只开了NX保护。发现buf的读入可以被nbytes影响,可以进行栈溢出。首先将下载的文件拖入Ubuntu中,check一下。再进入ida64中查看。同时还找到了后门函数。
2025-03-16 16:38:53
192
原创 内网攻防——红日靶场(一)
学校的课程也刚开始学习计网,本人对于以下几点还是需要学习:(1)进程注入的原理(2)如何实现横向(3)路由与代理由于这篇拖太久了,中途遇到了很多问题,导致整篇下来思路有些乱糟糟的,相信之后熟悉了内网渗透了之后会好很多。对于cs和msf工具的使用还得继续学习,多发现一些自己不懂的问题。
2025-03-15 16:23:43
1366
原创 BUUCTF pwn基础学习——ciscn_2019_n_81
(3)(_QWORD *)&var[13] 使用了强制类型转换,将var[13]得到的地址强制转换为 _QWORD 类型的指针。构造输入时需要覆盖 var[13]为17 var[14]为0(但var[14]一开始就已经是0了)所以只需要覆盖var[13]为17就可以了。但var数组的一个元素占 4个字节,所以从 var[13] 开始,var[13]和var[14] 需要组合为 17LL。(2)&var[13] 表示获取var数组中第13个元素的内存地址,这个地址指向了该元素在内存中的起始位置。
2025-03-08 12:14:53
346
原创 BUUCTF——[GYCTF2020]FlaskApp1 SSTI模板注入/PIN学习
尝试读取这个文件,但这里因为有flag黑名单,需要进行一些绕过,尝试用python列表的特性,使字符串倒过来(this_is_the_flag)(或者直接构造'this_is_the_fl'+'ag.txt'应该也行)linux的id一般存放在/etc/machine-id 或 /proc/sys/kernel/random/boot_i 中。得到:/usr/local/lib/python3.7/site-packages/flask/app.py。获取基类,tuple类的基类是object类。
2025-03-07 16:38:08
1294
原创 BUUCTF [BJDCTF2020]EasySearch1
写一篇文章来学习一下 ssi 注入 以及 dirmap 工具的使用看到这两个框框没什么想法,边探索边扫下目录吧。显示前端报错,先禁用了js,然后又尝试抓了下包,没有发现什么,只好看看扫出来的目录了,最终扫出来了的:index.php.swp (用dirmap扫出来的)虽然两个都显示username,但只有第一个才是真正的$_POST[username]看一下代码逻辑:1.首先判断输入的password 的前6位是否为6d0bc12.如果满足的话就执行打开文件、写入文件、关闭文件的功能。
2025-03-03 22:53:10
596
原创 BUUCTF-[De1CTF 2019]SSRF Me1——python代码审计
原本还打算用从别的师傅那学来的方法——哈希拓展攻击的,但无奈在kali上下不下来,先放着。前面代码部分写得有些乱,还请见谅。
2025-02-28 21:24:03
590
原创 vulfocus靶场漏洞学习——wordpress 垂直越权 (CVE=2021-21389)
(1)首先是BuddyPress的REST API端点(/wp-json/buddypress/v1/signup)未严格校验用户权限,导致攻击者可以发送精心构造的http请求,绕过权限检查(下面是我在kali的docker中弄的一个镜像,并非vulfocus靶场中的,靶场有些不太稳定)此时需要请求包中的两个参数,一个是X-WP-Nonce 一个是Cookie,将这两个值记下来,然后构造,下面的请求包,再将X-WP-Nonce 和 Cookie的值替换成自己的就行了。cmd=id 就成功执行命令了。
2025-02-28 18:19:41
1582
原创 Web漏洞——命令注入漏洞学习
对于开发者来说,要有安全的编码习惯,拒绝拼接命令,不要相信用户的输入。一行不安全的代码,足以摧毁整个系统——永远对系统命令保持敬畏!!!
2025-02-26 20:34:05
1663
原创 LD_PRELOAD 绕过 disable_function 学习
(1)举个情景来帮助理解: 假设你要搬家,但家具不换,全部打包带走。(2)优点:搬到新家后,直接开箱即用,不依赖外部资源(不去邻居家借洗衣机)(3)缺点:搬家时行李又多又重(程序体积大),而且如果家具升级(比如库更新),得重新买一套再搬一次(重新编译程序)(4)在编译时,所有依赖的库代码可直接嵌入到可执行文件中,程序独立运行,但体积较大,且库更新需重新编译程序(1)举个情景来帮助理解:这次搬家,只带必需品,其他东西(比如工具书,电器)选择去附近的图书馆或共享商店按需借用。需要时随时去拿,用完归还。
2025-02-24 21:54:38
1079
原创 BUUCTF [CISCN 2019 初赛]Love Math
只对c这个参数进行了检查,我们可以再命名两个参数来接收system 和 cat /flag;然后是对字符和函数名的过滤,两个参数可以命名为数学函数的形式来逃逸,而[]可以用{}来代替,最后就到了_GET这个字符;接触到了三个数学函数hex2bin -->可以将16进制数转换为ASCII码,这个至关重要base_convert --> 将hex2bin看作是一个36进制数,用10进制转换来表示该36进制数dechex --> 将10进制数转换为16进制,使得16进制数能够逃逸。
2025-02-19 17:48:23
1089
原创 DC-9靶机渗透测试全过程
DC-9靶机对我来说难度还是很大,整篇有很多是参考着各位师傅的wp进行的。这里我再消化一下接触到的知识:(1)端口的filtered过滤状态(2)knockd敲门进程(3)/proc/sched_debug 目录文件这里提权用的是已经编译好的执行程序,如果找不到编译文件怎么办?虽然说不一定只有这一条路,但需要学习的知识还有很多。DC靶机到这里就全结束了,花的时间有些长,也学到了不少东西,对于渗透测试的过程更清晰了些,这段也是对自己成长的见证了^-^
2025-02-18 11:24:09
1294
原创 DC-7靶机渗透测试全过程
社工信息搜集、一些网站配备的命令行工具的了解、通过下载插件来满足自己的需求,这些思路对我来说都是蛮新的,也参考了很多师傅的wp(因为实在是不会--_--|),没有解决问题的头绪。我在打靶机的时候,可能并不会去注意Drush命令工具(虽然会让AI给我解释,但是并不会想到要去利用它),然后关于插件,一开始登录进去之后,我第一个想的就是找个插件漏洞,但发现没有插件。。。
2025-02-15 16:48:27
1467
原创 DC-6靶机渗透测试全过程
(1)本次学习了nmap的提权方式,并且温习了下WPScan的用法,相比于主动去找插件的漏洞,感觉WPScan应该也能扫出来(感觉)
2025-02-14 19:03:57
1141
原创 DC-4靶机渗透测试全过程
(1)首先对于DC-4靶机,与之前的靶机不同的是,网页并不是某个大型的cms系统,里面的功能点需要自己去挖掘。一开始的登录框猜的有三种可能:sql注入 万能密码 弱密码。通过弱密码登录进去之后去找可能存在漏洞的功能点,最终找到可能是RCE,使其成功弹个shell连接上了。(2)然后是接触到了使用hydra进行ssh爆破,以及新的一种提权知识,希望我能记下来。
2025-02-10 11:23:30
1218
原创 DC-3靶机渗透测试全过程
(1)这次的靶机学习也学到了很多,感觉自己对这类的渗透测试越来越熟练了(2)接触到的知识以及工具有: joomla joomscan john 反弹shell 通过系统漏洞使用exp提权(3)希望对于新学习的工具我能掌握,由于痕迹消除这块还没有系统学习过,我希望能掌握几个自动化工具的用法。有问题的地方欢迎指出!
2025-02-07 21:12:09
655
原创 DC-2靶机渗透测试全过程
(1)本来这里想做一下痕迹清除的,但看了很多日志发现并没有我们攻击机的记录(感觉很奇怪)(2)通过DC-2靶机,学习到的知识有:WordPress WPScan Cewl 以及绕过rbash,希望我能再多掌握一些工具(3)并且还回顾了一下痕迹清除这块有问题的地方欢迎各位师傅提出!
2025-02-06 16:02:40
805
原创 自己写一个最简单的CMS系统——并进行一定的安全加固
希望能通过写一个简单的CMS系统(php+mysql)来理解一些cms架构,并对于一些功能点能进行安全加固。该文可能会有一些长,我是边编写,边写文章的,并且这部分还没有系统的学习过。所以之后在使用时发现的问题可能在最后改过来了,但我可能忘记提及,请见谅。(1)这篇对自己的提升是很大的,譬如在安全加固那一块,以前不太清楚的点(会话劫持、CSRF)也搞懂了一些。
2025-02-04 22:07:30
1418
原创 BUUCTF--[网鼎杯 2020 朱雀组]Nmap
先来看看escapeshellarg是如何发挥作用的?escapeshellarg(): 防止命令注入攻击(a)当命令中不含单引号时(先不管怎么转化的)比如: test.txt;rm -rf /escapeshellarg 会将其转化为:'test.txt;rm -rf /'这样可能在执行后续的命令ls时格式为: ls 'test.txt;rm -rf /' 从而导致只会列出名为test.txt;rm -rf /的文件,而不会执行 rm -rf /命令,从而防止命令注入攻击。
2025-01-30 15:36:24
950
原创 BUUCTF--[强网杯 2019]高明的黑客 —— 学习一下python脚本编写
import re # 正则表达式库import os# 可配置项max_threads=100 # 最大线程数retry_times=5 # 设置重连次数os.chdir(file_path) # 改变当前工作目录为file_path所指定的目录,不然会找不到文件!files=os.listdir(file_path) # 获取此时目录下的所有文件列表s1=threading.Semaphore(max_threads) # 创建一个信号量对象,用于控制最大的并发线程数量。
2025-01-22 19:36:43
746
原创 DC-1 靶机渗透测试全过程
1.这次真的学到了很多!包括提权和痕迹清除,对渗透测试的过程更清楚了一些2.信息收集一定要尽可能收集多的信息3.这里也学到了很多的目录结构,希望我可以记下来4.思维导图总结:5.有问题的地方欢迎指正。
2025-01-21 17:28:57
1098
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人