- 博客(46)
- 收藏
- 关注
RSS订阅原创 whowantstobeking
进入Home目录,发现没有任何东西,猜测可能被隐藏或者删除,翻译后找到并勾选该选项。查看文件属性:将下载的文件复制到kaili中粘贴到桌面,kali运行命令。发现有一个疑似编码后的字符,猜测可能为base64编码,拿去解码。回到最开始的靶机初始环境,那里有一个需要输入密码的地方,尝试输入。使用 strings 命令查看该文件中的内容。发现这个页面有一个文件,尝试点击,可以下载。记事本打开,乱码,说明该文件不是txt文件。nmap扫描整个d段,查看靶机开放端口。这样我们就能看到被隐藏的文件了。
2025-01-07 19:06:29
239
原创 potato-suncsr
查看源代码发现了网页的标题 potato,就想着爆破一下密码。尝试访问一下端口,发现都访问不进去。爆破结果是密码为"letmein"发现一个大土豆没什么用。没有发现什么有用的信息。使用命令扫描靶机ip。
2025-01-06 18:40:41
173
原创 Earth
根据上面我们可以尝试破解一下密码,结合前面页面显示的密钥可以尝试一下,前面两个密钥的解码都是乱码,只有最后一个可以正常解码。没有反应,应该是对其中的敏感内容进行了过滤,对反弹shell的命令进行一下base64编码试试。这里我们可以得到一些信息:testdata.txt文件里面有密文,使用的是XOR加密。发现有一个文件,但是后缀名未知,猜测后缀名为txt,尝试访问。这里是一个命令执行的输入框,有命令执行漏洞存在的可能性,测试。kali浏览器访问这两个网址,发现页面是相同的内容。扫描主机发现靶机ip。
2025-01-05 16:35:29
606
原创 常见框架漏洞
主要存在Windows+IIS的环境下,任何安装了微软IIS 6.0以上的Windows Server 2008 R2/Server 2012/Server 2012 R2以及Windows 7/8/8.1操作系统都受到这个漏洞的影响验证这个漏洞。new byte[{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115} 表示的命令 touch /tmp/success ⾥⾯的数字是ascii码。
2025-01-05 15:35:08
1560
原创 Empire LupinOne
使用御剑扫描一下子域名,但是没有获取到什么有用的信息。看起来像base加密,尝试用全家桶解密一下。这是一个Apache文档,没有什么用。使用命令查看靶机ip,访问ip。找到一个文件夹,尝试访问一下。继续使用ffuf暴力破解。
2025-01-02 14:34:51
437
原创 driftingblues2
将php reverse shell的代码写入替换Theme File Editor中的404.php模版,如果可以update file成功,就可以获取目标主机的shell。使用刚才爆破获得的用户名/密码登录网站,进入管理系统内,到Theme File Editor页面,选择404.php模版进入网页内。访问ftp,利用匿名用户登录(用户名为ftp或anonymous,密码为空),查看后发现一个secret.jpg图片。替换完毕后,按下Ctrl键+X键,进入如下页面。打开靶机,按下e键,进入到如下界面。
2025-01-02 14:26:55
629
原创 常见的中间件漏洞
Weblogic Server中的RMI 通信使⽤T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应⽤程序的每个Java虚拟机(JVM)中,并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端⼝的应⽤上默认开启, 攻击者可以通过T3协议发送恶意的的反序列化数据, 进⾏反序列化, 实现对存在漏洞的weblogic组件的远程代码执⾏攻击。
2025-01-01 19:56:17
1317
原创 dami金额支付逻辑漏洞
将dami网站的压缩包放在自己网站的根目录下,并解压(解压时关闭杀毒软件)下划到公司产品,随便选择一件商品,将数量修改为 -1 ,立即购买。浏览器访问自己网站下的cmseasy目录,安装网站。安装完毕,进入网站首页,首先注册一个账户,然后登录。再次来到此商品购买界面,不修改数量,点击立即购买。选择付款方式为站内付款,点击提交订单。然后进入会员中心,查看订单。
2024-12-26 18:07:05
248
原创 cmseasy金额支付逻辑漏洞
重复上述操作再次购买相同产品,这次不用修改商品数量,默认为 1 即可,购买成功后再次进入会员中心,查看订单。将cmseasy网站的压缩包放在自己网站的根目录下,并解压(解压时关闭杀毒软件)进入网站首页,先注册账户,信息可以随便填写,然后登录。浏览器访问自己网站下的cmseasy目录,安装网站。登录成功,选择精选产品,任意选择一款产品购买。将商品数量改为 -1 ,下一步填写联系方式。进入会员中心,发现账户余额变为商品价格。选择余额支付,点击购买,提示购买成功。设置管理员,点击开始安装。
2024-12-26 18:05:34
291
原创 jangow-01-1.0.1
键才能输出保存,修改完成后重启靶机即可。把所有的功能点都点一遍,当我们点击Buscar时,出现以下页面,发现有传参的地方。这里我们发现并没有查到靶机的ip,这时我们重启靶机。然后来到kali终端,继续运行以下命令查看靶机ip。替换完毕后,按下Ctrl键+X键,进入如下页面。再次写入一个1.txt文件,测试是否成功写入。可以在被过滤的地方加一个反斜杠,再次写入。打开靶机,按下shift,出现下图界面。输入命令看看能不能执行,发现成功解析。再次访问1.txt,测试可以成功写入。再次按下e键,进入到如下界面。
2024-12-26 18:04:23
430
原创 matrix-breakout-2-morpheus
发现网站会将提交的内容追加到graffiti.txt文件中,由于file参数是可控的,那么我们可以修改文件名改变文件上传的路径,尝试上传一句话木马到1.php中。还是将重点放回80端口,因为robot.txt提示我们继续找找,可能是因为我们的字典太小了,我们换个扫描器换个字典试下,利用kali自带的最大的一个字典。在输入框中随便输入,发现输入的数据被显示到页面上,抓包。分别访问这几个端口,也没有什么发现,我们换个思路。我们从当前页面没有得到有用的信息,尝试扫描后台。测试连接成功,添加,成功获取权限。
2024-12-25 16:17:44
534
原创 vulhub log4j2漏洞复现攻略
action= 这⾥有个参数可以传,可以按照上⾯的原理先构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执⾏我们传上去的payload然后在DNSLOG平台上那⾥留下记录,我们可以看到留下了访问记录并且前⾯的参数被执⾏后给我们回显了java的版本号。以上可以看到有三个服务,看到熟悉的 rmi 和 ldap ,实际上这个jar的作⽤就是帮我们⽣成了恶意代码类,并且⽣成了对应的url,然后我们就可以回到刚才的⽹站去进⾏JNDI注入。先在⾃⼰搭建的DNSLOG平台上获取⼀个域名来监控我们注⼊的效果。
2024-12-24 19:21:48
682
原创 ctfhub disable_functions
在前面的关卡中,我们已经学会使用绕过插件进行禁用函数绕过,下面我们来秒过吧。这里测试连接失败,将编码器改为base64,就能连接成功了。鼠标右键打开虚拟终端,测试命令,发现终端被禁用,尝试绕过。可以发现页面显示一个一句话木马,复制网址,尝试蚁剑连接。鼠标右键--插件市场,添加本地插件,重启应用。鼠标右键--加载插件--辅助工具--绕过。再次打开虚拟终端,尝试使用命令,成功获取。进入初始环境界面,点击‘GetFlag’发现和上一关一样,继续尝试蚁剑连接。返回,鼠标右键--编辑数据。本关同样使用禁用函数绕过。
2024-12-24 19:20:05
524
原创 Niushop-master靶场漏洞
外带原理:将dnslog平台中的特有字段payload带⼊⽬标发起dns请求,通过dns解析将请求后的关键信息组合新的三级域名带出,在dns服务器的dns⽇志中显示出来。该网站还有一处sql注入漏洞,我们可以进入后台系统--设置--数据库管理--SQL执行与导入。使用bp抓取提交信息的请求包,鼠标右键--相关工具--生成CSRF-Poc--复制HTML。输入查询语句,点击执行,成功执行,但是我们得不到具体信息,这时需要利用外带注入方法。选择数量,进行抓包,修改抓到包的num数量为0.000001,放行。
2024-12-23 19:08:25
1199
原创 文件解析漏洞靶场攻略
在I1S7.0和I1S7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。由此可见.asp文件夹中的任意文件会被当做asp文件去执行。这样就可以看到这一关的端口号为:8080,浏览器访问 :8.155.6.37:8080 就能进入这一关。本关继续使用之前的方法上传文件,发现被拦截,不可行,尝试抓包,修改文件类型。在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行。
2024-12-22 21:00:15
959
原创 tomato靶场攻略
image=/etc/passwd (用image参数传入想要获取的文件路径),成功显示,说明存在文件包含漏洞。木马写入失败(和kali版本有关,这里我的写入失败,但是可以尝试一下),我们尝试使用另一种方法:xshell。tomato的默认网络连接方式为桥接模式,导入前注意修改,将tomato.ova的镜像导入虚拟机中。当访问到info.php的源码时,发现一个被注释的get型文件包含漏洞,参数为image。没有任何发现,然后使用御剑端口扫描工具扫描端口,这里选择端口列表时为:1-10000。
2024-12-20 18:30:06
387
原创 hackme靶场攻略
这时就需要之前御剑扫描到的那几个网址,分别访问试试。出现此页面则表示导入成功,打开kali虚拟机终端,切换为root权限。在‘1’后面加一个‘*’,鼠标右键选择复制到文件,保存到桌面。就能发现上传后的1.php文件,双击打开,这个就是木马的路径。遇到一个ip时首先使用御剑扫描后台,这里先保留,后面会用到。前提:kali和hackme的连接方式都为net模式。我们选择一个内容为一句话木马的php文件上传。注册账户(admin,123456),登录。没有思路了,输入一个‘1’抓包试试。打印‘users’表。
2024-12-20 18:29:22
379
原创 upload-labs(1-19关)通关攻略
发现没有了前几关的验证方式,而且是一个黑名单验证,意思是如果上传了它这些后缀的文件,就会把后缀名删除,没了后缀名也就无法正常解析,不过不需要着急,这关同样只验证一次,所以我们只需要把后缀改为.pphphp,它删除掉中间的php后后缀仍然为php。发现和第17关的差距是,这关还检测了后缀名,不能直接上传php文件,所以这关要上传图片马,其他步骤和17关类似。访问图片时使用文件包含。开始攻击,然后用浏览器一直访问1.php,按F5一直刷新,如果在上传的瞬间访问到了,它就无法删除。
2024-12-19 19:24:43
1501
原创 XXE-labs靶场通关攻略
得到一串乱码,在自己的网站根目录(www)下新建一个php文件,将这一串乱码复制到其中。出现一个登录页面,输入任意 Name 和 Psaaword ,使用bp抓取登录数据包。根据得到的php代码可知flag的位置,复制括号中的内容进行一次base64解码。其中的密码需要根据提示进行md5解密,解密后得到密码为:admin@123。我们可以得到一个存放flag的目录,再次读取该文件。复制右边的一串数据,进行一次base64解码。得到一个登录页面,使用前面的账号密码登录。点击Flag,又能得到一个php文件。
2024-12-18 16:14:52
584
原创 XXE-Lab for PHP
出现一个登录页面,输入任意 UserName 和 Psaaword ,使用bp抓取登录数据包。发现 username 位置为回显位,我们可以构造xxe攻击,具体操作如下。修改 username 和 password 的值,查看右边的变化。只修改 username 的值,查看右边的变化。只修改 password 的值,查看右边的变化。发送到重放器,点击“发送”
2024-12-18 16:12:18
598
原创 CTFHub-ssrf
技能树--Web--SSRF内网访问开启题目尝试访问位于127.0.0.1的flag.php吧进入环境根据提示输入即可127.0.0.1/flag.php伪协议读取文件开启题目尝试去读取一下Web目录下的flag.php吧进入环境,根据提示输入file:///var/www/html/flag.php鼠标右键查看页面源代码端口扫描开启题目来来来性感CTFHub在线扫端口,据说端口范围
2024-12-17 19:54:36
1244
原创 metinfo-csrf漏洞复现攻略
然后我们打开网站的 www 目录,在此目录下新建一个文本文档,将复制的HTML代码粘贴过来,并将文件后缀名改为‘.html’,这里我将其命名为 3.html。CSRF漏洞概念:由于⽹站对⽤户⽹⻚浏览器的信任导致⽤户在当前已登录的Web站点的状态下,访问攻击者构造的攻击连接从⽽执⾏⾮本意的操作的漏洞。按照上述指引操作,其中数据库密码为你自己的数据库密码,然后点击“保存数据库设置并继续”此时我们进入管理员设置页面,按照指示设置管理员信息,点击“保存管理设置”检查全部为通过状态,点击“下一步”
2024-12-15 16:19:38
902
原创 WAF绕过相关(下)
分块传输编码(Chunked transfer encoding)是只在 HTTP 协议 1.1 版本(HTTP/1.1) 中提供的⼀种数据传送机制。以往 HTTP 的应答中数据是整个⼀起发送的,并在 应答头⾥ Content-Length字段标识了数据的⻓度,以便客户端知道应答消息的结束;分块传输编码允许服务器在最后发送消息头字段。例如在头中添加散列签名。对 于压缩传输传输⽽⾔,可以⼀边压缩⼀边传输;
2024-12-07 16:57:10
705
原创 WAF绕过相关(上)
SQL 注⼊绕过技术 已经是⼀个⽼⽣常谈的内容了,防注⼊可以使⽤某些云 waf 加速乐等安全产品,这些产品会⾃带 waf 属性拦截和抵御 SQL 注⼊,也有⼀些产品会在服务器⾥安装软件,例如 iis 安全狗、d 盾、还有就是在程序⾥对输⼊参数进⾏过滤和拦截,例如 360webscan 脚本等只要参数传⼊的时候就会进⾏检测,检测到有危害语句就会拦截;SQL 注⼊绕过的技术也有许多。
2024-12-07 16:07:14
1009
原创 mssql靶场-手工注入(第一关)
Mssql数据库相⽐mysql数据库本质上的框架是差不多的,使⽤的 增,删,改,查 命令是互相通的,但是Mysql中使⽤的函数在mssql中有些会起不到作⽤点。
2024-12-05 20:37:49
539
1原创 MongoDB手工注入攻略
MongoDB 是⼀个基于分布式⽂件存储的数据库。由 C++ 语⾔编写。旨在为 WEB 应⽤提供可 扩展的⾼性能数据存储解决⽅案。MongoDB 是⼀个介于关系数据库和⾮关系数据库之间的产品,是⾮关系数据库当中功能最丰 富,最像关系数据库的。MongoDB 将数据存储为⼀个⽂档,数据结构由键值(key=>value)对组 成。
2024-12-05 20:32:20
351
原创 SQL注入相关
在渗透测试中,通常情况下我们使用这个函数来查询数据库中同个表中的不同字段(列),如con cat(username,0x3a,password),0x3a为:(冒号)的hex(16进制)编码,注意这是为了防止报错,常用的编码还有0x7e(~)、0x2c(,逗号)、0x21(!使用分割符将一个或多个字符串连接成一个字符串,是concat()的特殊形式,第一个参数是其它参数的分隔符,分隔符的位置在连接的两个字符串之间,分隔符可以是一个字符串,也可以是其它参数。如果分隔符为 NULL,则结果为 NULL。
2024-12-02 18:54:52
1183
原创 SQL注入靶场(第五关)
报错注入是通过特殊函数的错误使用从而导致报错,并使其输出错误结果来获取信息的。简单点说,就是在注入点调用特殊的函数执行,利用函数报错使其输出错误结果来获取数据库的相关信息 (我们要的信息就包含在页面的报错信息中)。
2024-12-02 18:53:37
445
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人