c30%00-优快云博客

原创攻防世界——Web题 unseping 反序列化&绕过

代码执行顺序：当我创建对象时执行__construct，此时的method 和 args 被设置好了；之后发生反序列化，调用__wakeup，对传入的参数进行waf检查，确保没有特殊的字符和字符名；最后反序列化结束后，调用__destruct，实现命令执行。最关键的是绕过waf。

2025-05-24 17:36:15 499

该靶场还是学了很多知识，对于内网也更加得心应手了些，回忆一下整篇打靶的路径：首先是通过Tomcat文件上传，成功获得了docker的shell然后利用docker的权限配置问题，进行了docker逃逸进行了ssh爆破，获得了更加稳定的shell使用frp搭建了代理隧道，期间也解决了一些问题，成功用永恒之蓝打下WIN7加载mimikatz抓取win7账号密码，sid。发现是system权限直接修改本机管理员的密码，打开3389端口登录本机管理员。

2025-05-23 19:59:23 1088

原创攻防世界——Web题 fakebook

如果直接使用data传入序列化字符串，是不是就能经反序列化函数解析为UserInfo对象，从而读取该对象的blog值，执行请求并返回响应内容呢！在绕过的同时，我开始扫目录。发现这里有 curl ，可执行请求并返回响应内容，这里我想到的就是搭配file://进行读取了，还有一个原因是：当我访问flag.php、db.php等等，发现返回的内容都为空，但这里应该就是flag.php!于是猜测这里应该是对 union select 整体的一个绕过，如果使用 union/**/select ，发现可以绕过。

2025-05-21 21:39:56 1060

原创攻防世界——Web题 shrine SSTI模板注入

看样子是将config给禁用了，但是这里禁用的应该只是Jinjia2模板中对Flask应用配置对象的“引用”，全局配置对象app.config始终存在于应用的后端，没办法直接从模板层彻底移除，所以我们可以尝试引用全局的config。可以看到有两个路由，一个是 '/' 一个是 '/shrine/' ，看代码也知道基本要进行SSTI模板注入了，有一些过滤在里面，直接访问路由/shrine，并在后面加入{{2+3}}通过这个current_app 可以访问app.config。再访问此时的config。

2025-05-20 20:11:44 350

原创攻防世界 Web题--easytornado

已经可以看出一些端倪了，flag在 /fllllllllllllag 下，但后面需要跟上一个filehash参数，这个参数根据每个文件的名字不同而不同，具体的运算内容是/hints.txt中显示的算式。而handler.settings 包含了 Tornado 应用启动时的所有配置项，这些配置在创建 Application。这里应该就是利用模板注入了，通过注入特殊的参数来获得值cookie_secret。上网搜索了下什么可以访问到tornado里的cookie_secret，给的解释有。

2025-05-20 16:29:45 753

原创 vulfocus漏洞学习——redis 未授权访问（CNVD-2015-07557）

Redis 是一个免费开源的键值存储数据库，数据默认存到内存中，用简单的 C 语言编写，能通过网络访问。该漏洞的成因是：在默认情况下，Redis会绑定到 0.0.0.0:6379，这意味着Redis会直接暴露到公网上，而此时如果又没有设置密码认证，会导致任意用户在可以访问到目标服务器的情况下未授权访问Redis并读取Redis的数据，还可以利用Redis提供的命令将自己的ssh公钥写入目标服务器，从而导致可以直接进行ssh登录目标服务器。

2025-05-19 20:58:13 375

原创攻防世界——web题Web_python_template_injection

以前对于python的模板注入了解得并不很细致，基本就是用别人的payload，希望借此一篇来丰富一下。

2025-05-13 15:54:56 637

原创内网渗透——红日靶场三

前段时间备考计组计网导致很久没有学习了，要开始狠狠补救一下了。到前面的外网渗透都还挺顺的，一进入内网，特别是使用msf时，就有些懵了。今天学习到的msf知识还是很多的，总体来说遇到的问题有，但换个法子也能解决。比如最后面的用msf来管理win2012，我一开始是学习其他师傅使用IPC来共享win2008中的木马，从而让win2012上线，但是一直显示出错，后来就又想到直接横向了。如果有问题的地方，还请提出（抱拳）

2025-05-09 22:05:15 746

原创攻防世界——Web题ez_curl

这道题最终得不到flag，用了很多师傅的代码也不成功。但还是需要学习重点在中间那部分：（1）!req.query.admin.includes('false') 检查URL查询参数admin的值是否包含 false 如果不包含则条件成立（2）req.headers.admin.includes('true') 检查headers头admin的值是否包含 true要让这两个条件都成立再看一下源代码上面的代码主要是两点：（1）for语句逐段检查Headers中是否包含：admin:true。

2025-04-13 22:23:23 759

原创 vulfocus漏洞学习——joomla 远程代码执行（CVE-2021-23132）

Joomla是一套用PHP和MYSQL开发的内容管理系统。由于Joomla com_media模块对上传文件校验不严格，攻击者可以通过上传恶意文件，从而实现远程代码执行。

2025-04-10 21:20:54 426

原创 vulfocus漏洞学习——Webmin 远程代码执行（CVE-2022-0824）

Webmin是一套基于Web的用于类Unix操作系统的系统管理工具，提供图形化界面管理工具。漏洞源于Webmin的某些功能模块未能正确验证和过滤用户输入，导致攻击者可通过参数注入恶意命令。

2025-04-09 19:21:27 893 2

原创内网渗透——红日靶场二

相较于第一次打红日靶场来说，感觉已经熟练了不少，之前的知识补充还是很有用的，虽然也许还存在一些问题，但慢慢来会让自己好受不少。写的部分还是有一些欠佳，而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了，真真是对不起给予我帮助的师傅们。有问题的地方，还请各位斧正，希望能给我一些宝贵的意见！

2025-04-01 21:34:23 1139

原创 vulfocus漏洞学习——nostromo 远程命令执行（CVE-2019-16278）

也是成功把vulfocus镜像给整好了，而且竟然能成功拉取镜像！（我用的服务机是centos 7，以前都是kali 或 Ubuntu>-<）启动靶场环境，在此之前，先了解一些基础的东西（1）Nostromo 是一款开源的Web服务器，专为Unix/Linux系统设计，常用于嵌入式设备等（2）此漏洞的根源是：Nostromo由于在验证URL安全性方面存在缺陷，导致目录穿越，任何人都可以遍历系统中任何文件。

2025-03-25 10:54:25 414

原创域渗透学习——伪造黄金、白银票据攻击

之前在学习kerberos协议的时候，初步了解了什么是黄金票据，什么是白银票据。当Client想要访问Server上某个服务时（1）需要向AS证明自己的身份，通过验证后AS会发放一个TGT（票据授予票据）（2）随后Client会像TGS证明自己的身份，通过验证后TGS会发放一个ST（服务授予票据）（3）最后Client向Server发起认证请求。而其中，黄金票据就是，白银票据就是在学习红日靶场（一）的过程中，我初步接触到了伪造黄金票据攻击，实现的结果为：对全域的控制。

2025-03-24 20:10:01 1393

原创域渗透学习——用户枚举和密码喷洒

在域渗透过程中，我们会尝试一系列的信息收集手段，其中用户枚举可以帮助我们识别有效用户账户，为后续攻击提供关键信息。比如，收集用户名后，可尝试利用弱密码，默认密码或已泄露的凭证进行。再比如，获取真实用户名后，可伪造内部邮件或登录页面，诱骗用户提交凭证或敏感信息。那么用户枚举的原理是什么呢？

2025-03-23 14:00:43 576

原创 BUUCTF-pwn学习 ciscn_2019_c_1/ libc泄露

回顾一下我们学到的知识1.libc的泄露原理，libc的保护机制2.GOT表和PLT表之间的关系3.64位和32位在传参方面的区别4.gadget是什么。

2025-03-20 18:09:16 1232

原创域渗透—哈希传递攻击（PTH）学习

（1）Pass-The-Hash 是一种针对身份认证机制的横向移动技术。（2）横向移动：在入侵多个系统后，通过内部网络或协议漏洞，在多台主机之间跳跃以扩大攻击范围。（3）攻击者无需破解用户密码的明文，只需获取密码的哈希值，就可以利用该哈希值模拟用户身份，访问网络中的其他系统或服务。到这里，横向移动技术了解了，首先我就有下面几点疑问：1.密码的哈希值如何窃取？2.为什么只需要哈希值就可以模拟用户的身份？后面关键就围绕这些来展开，现在再来了解一下攻击原理（注，是攻击原理，而非窃取哈希）

2025-03-17 19:26:29 1227

原创 BUUCTF--pwn—bjdctf_2020_babystack1

总结一下思路：首先buf的起始地址距离rbp距离为 0x10 ,我们需要再将 rbp 覆盖掉才能到“返回函数”，然后再将返回函数覆盖成我们的“后门函数”。这里的0x10 其实包含两部分,12是buf本身输入，4是对齐填充(学了计组也懂一点点了嘿)得到一些最基本的信息，比如64位，小端序，只开了NX保护。发现buf的读入可以被nbytes影响，可以进行栈溢出。首先将下载的文件拖入Ubuntu中，check一下。再进入ida64中查看。同时还找到了后门函数。

2025-03-16 16:38:53 234

原创内网攻防——红日靶场（一）

学校的课程也刚开始学习计网，本人对于以下几点还是需要学习：（1）进程注入的原理（2）如何实现横向（3）路由与代理由于这篇拖太久了，中途遇到了很多问题，导致整篇下来思路有些乱糟糟的，相信之后熟悉了内网渗透了之后会好很多。对于cs和msf工具的使用还得继续学习，多发现一些自己不懂的问题。

2025-03-15 16:23:43 1821

原创 BUUCTF pwn基础学习——ciscn_2019_n_81

（3）(_QWORD *)&var[13] 使用了强制类型转换，将var[13]得到的地址强制转换为 _QWORD 类型的指针。构造输入时需要覆盖 var[13]为17 var[14]为0（但var[14]一开始就已经是0了）所以只需要覆盖var[13]为17就可以了。但var数组的一个元素占 4个字节，所以从 var[13] 开始，var[13]和var[14] 需要组合为 17LL。（2）&var[13] 表示获取var数组中第13个元素的内存地址，这个地址指向了该元素在内存中的起始位置。

2025-03-08 12:14:53 362

原创 BUUCTF——[GYCTF2020]FlaskApp1 SSTI模板注入/PIN学习

尝试读取这个文件，但这里因为有flag黑名单，需要进行一些绕过，尝试用python列表的特性，使字符串倒过来（this_is_the_flag）（或者直接构造'this_is_the_fl'+'ag.txt'应该也行）linux的id一般存放在/etc/machine-id 或 /proc/sys/kernel/random/boot_i 中。得到：/usr/local/lib/python3.7/site-packages/flask/app.py。获取基类，tuple类的基类是object类。

2025-03-07 16:38:08 1403

原创 BUUCTF [BJDCTF2020]EasySearch1

写一篇文章来学习一下 ssi 注入以及 dirmap 工具的使用看到这两个框框没什么想法，边探索边扫下目录吧。显示前端报错，先禁用了js，然后又尝试抓了下包，没有发现什么，只好看看扫出来的目录了，最终扫出来了的:index.php.swp （用dirmap扫出来的）虽然两个都显示username,但只有第一个才是真正的$_POST[username]看一下代码逻辑：1.首先判断输入的password 的前6位是否为6d0bc12.如果满足的话就执行打开文件、写入文件、关闭文件的功能。

2025-03-03 22:53:10 649

原创 BUUCTF-[De1CTF 2019]SSRF Me1——python代码审计

原本还打算用从别的师傅那学来的方法——哈希拓展攻击的，但无奈在kali上下不下来，先放着。前面代码部分写得有些乱，还请见谅。

2025-02-28 21:24:03 647

原创 vulfocus靶场漏洞学习——wordpress 垂直越权（CVE=2021-21389）

（1）首先是BuddyPress的REST API端点（/wp-json/buddypress/v1/signup）未严格校验用户权限，导致攻击者可以发送精心构造的http请求，绕过权限检查（下面是我在kali的docker中弄的一个镜像，并非vulfocus靶场中的，靶场有些不太稳定）此时需要请求包中的两个参数，一个是X-WP-Nonce 一个是Cookie，将这两个值记下来，然后构造，下面的请求包，再将X-WP-Nonce 和 Cookie的值替换成自己的就行了。cmd=id 就成功执行命令了。

2025-02-28 18:19:41 1709

空空如也

空空如也