- 博客(24)
- 收藏
- 关注
RSS订阅原创 Corrosion2靶机
下载backup.zip文件之后,发现这个zip文件是被加密,推测这个文件就是readme.txt中说到的文件。用压缩包中记录的账号密码登录,网站的manager控制后台,发现可以部署直接在线部署war包,可以利用这个点进行shell反弹。确定靶机开放了22、80、8080端口,对应为ssh远程服务和两个web服务,分别打开对应web界面。按照靶机作者枚举的提示,本次使用dirsearch工具进行扫描两个web服务,使用默认字典的进行爆破。war构建完成之后,上传war包进行利用。
2025-08-03 12:51:44
127
原创 Noob靶机
解密网址:http://www.rot13.de/index.php,成功解密。使用namp -A -sV -T4 -p- 靶机ip 查看靶机开放的端口。发现开放了21的ftp,、80的http、55077的ssh服务端口。bmp文件盲猜pass为sudo,jpg文件没密码成功得到信息。55677是一个ssh服务,上边解出来的东西就是账号密码,登录。回到最开始的那个脚本,利用其中的账户密码,切换成n00b用户。在Documents发现了一个backup.sh文件。先查看一下ftp端口,有文件。
2025-08-03 12:45:18
119
原创 ELECTRICAL靶机
使用enum4linux来进行枚举,看看用户名是否可以探测,可以看到探测出来两个用户名但是没有密码,去登录界面抓包爆破。爆破ssh密码,将我们的密钥存为1.txt使用ssh2john将密钥格式转化为可破解的格式。根据扫描出来的端口来看,只有一个8834端口可能可以访问,其他的端口无法使用浏览器连接。使用这一组用户名和账号登录进nessus,查看可利用信息,里面存在ssh连接的相关信息。使用John破解,得到ssh连接的用户名electrical密码electrical。在凭据里面发现了ssh的用户名。
2025-08-03 12:33:49
295
原创 常见的中间件漏洞
该漏洞是由于Apache HTTP Server 2.4.49版本存在⽬录穿越漏洞,在路径穿越⽬录 <Directory/>Require all granted</Directory>允许被访问的的情况下(默认开启),攻击者可利⽤该路径穿越漏洞读取到Web⽬录之外的其他⽂件,在服务端开启了gi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执⾏任意cgi命令(RCE)导致服务器上的数据泄露或获取服务器权限。该过滤器在没有进⾏任何安全检查的情况下尝试将来⾃客户端的数据流进⾏反序列化,从⽽导致了漏洞。
2025-07-31 18:11:07
659
原创 Napping靶场实战
在/var/www/html目录下放两个html文件,一个为站点首页(index.html),一个为钓鱼界面(test.html)在kali上wget下载的网站首页文件为.php,需要重命名为.html。登录后发现可以提交页面,提交完链接后点击here即可跳转到链接界面。在输入链接处,提交创建的钓鱼页面,过个两三分钟后,返回了数据包。通过nmap搜索到靶机ip和开放端口,我们尝试访问80端口。在返回的信息中发现了账号密码,密码这里需要url解码一下。并在kali监听端口,监听的端口为钓鱼页面里链接的端口。
2025-07-29 17:30:24
297
原创 breakout靶机攻略
开机可以看到,他已经给出了靶机的IP地址,就不用我们自己去探测了。由于靶机开放了smb服务,所以我们可以收集有关靶机smb的信息。应该是密码,先放下不管,查看10000端口和20000端口。鉴于我们已经有了用户的密码,所以我们要着手寻找用户名了。使用命令enum4linux可以收集大量的信息。发现靶机开放了三个网页端口和SMB服务。网页为正常网页,查看一下源码发现有注释。使用之前的密码与账户进行登录20000。查询后发现是ook加密,解密后是。进入该界面发现下面可以使用终端。下载靶机,导入到vmware。
2025-07-29 16:57:25
162
原创 redis未授权获取shell的四种方式
为了应对这种情况,Redis就提供了主从模式,主从模式就是指使用一个redis实例作为主机,其他实例都作为备份机,其中主机和从机数据相同,而从机只负责读,主机只负责写,通过读写分离可以大幅度减轻流量的压力,算是一种通过牺牲空间来换取效率的缓解方式。密钥验证,是一种基于公钥密码的认证,使用公钥加密、私钥解密,其中公钥是可以公开的,放在服务器端,你可以把同一个公钥放在所有你想SSH远程登录的服务器中,而私钥是保密的只有你自己知道,公钥加密的消息只有私钥才能解密。redis弱密码或者无密码。
2025-07-28 17:32:30
209
原创 未授权访问-部分举例与原理
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露漏洞原理未授权访问是系统对用户的限制不全,或者无限制,可以让用户或者限制访问的用户,访问到内部的敏感信息,执行权限之外的功能,通常也和越权一起出现。
2025-07-28 17:12:19
611
原创 Earth靶机
根据前面收集的信息,有一个testdata.txt文件在https://terratest.earth.local网站目录下,看看内容,从已知信息知道,这个文本是用作加密测试用的。再仔细看看综合扫描内容,发现有DNS解析,到/etc/hosts加上解析,再次访问页面正常了。总而言之,表示接下来需要将testdata.txt与某段字符进行XOR加密,结果很可能是terra的密码。内容过滤了很多后缀名,但是其中一个比较特殊,没有后缀名,经过尝试后发现是txt文件。页面中都有三段16进制字符串,可能是密钥。
2025-07-27 18:40:23
365
原创 vulnhub Red靶机
这里用的virtualbox打开靶机,VMware打开的攻击机,桥接模式靶机ip 192.168.1.105 kali ip 192.168.1.100。
2025-07-27 18:24:49
245
原创 大米CMS/CMSeasy靶场支付逻辑漏洞
进入网站首页,注册登录,找到商品界面,发现不能直接更改数量,使用burp抓包。尝试修改数量为负数,提交,选择站内扣款。查看个人账户,发现网站给我们付钱。此处为购买数量,进行修改后放行。发现可以进行支付且为负数。访问首页进行注册登录。
2025-07-25 14:22:11
182
原创 Web-Machine-N7靶机通关攻略
发现ip变成了localhost,查看网站源码发现form表单有个url,尝试把localhost改为靶机ip后再次提交,存在csrf漏洞,得到一半的flag。发现只允许admin用户,我们进行抓包,发现cookie和role。发现了admin.php和index.php,尝试访问。开启环境,使用kali扫描到靶机ip,进行访问。发现没有有用的东西,返回kali,进行目录扫描。刚好32位,尝试md5解密,结果为admin。发现了文件提交页面,随便选择文件进行提交。扫描到一个可疑文件,进行访问。
2025-07-24 18:08:54
121
原创 Vulnhub靶场---matrix-breakout-2-morpheus
打开burp进行抓包,发现上传的信息会保存至graffiti.txt文件中。我们尝试用物理机访问该网站,没有发现有用的东西,访问该网站的81端口。我们尝试修改包为保存至1.php中,注入shell,使用蚁剑进行连接。发现靶机ip为192.168.192.136。继续扫描该ip的端口,发现开放了如下端口。没有发现有用的文件,我们换更大的字典。使用nmap扫描,得到靶机ip。返回kali,我们扫描一下目录。发现一个新文件,尝试访问。发现要输入用户名与密码。进入目录找到flag。
2025-07-24 16:43:09
187
原创 CTFHub Bypass disable_function系列
目标:获取服务器上 /flag 文件中的 flag。需要了解 Linux LD_PRELOAD 环境变量。剩下的题目与上述方式相同,只是插件功能不同,一个一个尝试即可。进入环境,点击getflag,使用工具进行连接,插件绕过。进入环境我们发现有一个一句话木马,我们使用工具进行连接。进入目录发现多了一个文件,复制文件路径继续尝试连接。右键打开终端发现被禁用,尝试使用插件绕过。再次打开虚拟终端,尝试使用命令,成功获取。使用base64连接。
2025-07-23 18:30:51
169
原创 Log4j2:CVE-2021-44228漏洞复现
Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。
2025-07-23 18:08:16
233
原创 文件解析漏洞(IIS,Nginx,APACHE)
在一个文件/xx.jpg后面加上/.php会将 /xx.jpg/xx.php 解析为 php 文件。步骤二:因为我们上传php文件会被拦截,所以在.jpg后面添加两个空格并给上.php后缀,上传时进行抓包,在16进制修改中将原本连个空格的0x20 0x20修改为0x20 0x00进行发包。在该版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在一个文件路径/xx.jpg后面加上/xx.php会将/xx.jpg/xx.php 解析为 php 文件。在IIS 6处理文件解析时,分号可以起到截断的效果。
2025-07-22 17:54:09
424
原创 tomato靶机攻略
var/log/auth.log 记录了所有和用户认证相关的日志。image=/etc/passwd,成功显示,说明存在文件包含漏洞。该目录下发现多了一些报错信息,大概率写入木马成功,使用中国蚁剑进行连接,密码为上文的a。然后在网页端查看ubuntu报错信息:/var/log/auth.log。用nmap扫描⼀下kali主机IP,同网段存活ip,找到靶机的ip。查看info.php的网页源码,发现存在文件包含漏洞。发现没用,用dirsearch进行目录扫描。靶机ip为134,访问该ip。
2025-07-21 18:24:23
220
原创 upload-labs靶场攻略
当我们直接上传php文件,bp抓不到包,提示不符合规定,说明是前端校验1.创建一个php文件,写入后门然后修改后缀为jpg格式,绕过前端校验2.用burp抓包,抓到包修改后缀名为.php上传成功。
2025-07-20 18:26:08
812
原创 墨者学院sql手工注入靶场
点击该页面后发现有参数判断注入说明存在注入通过order by来判断列数1 order by 2 //页面正常,说明存在2列1 order by 3 //页面错误,说明存在2列判断回显位置oracle数据库的语法不支持union select 只支持union select from 且不支持联合查询数字。1 union select null,null from dual //页面正常,说明语法正确。
2025-07-14 18:06:39
858
原创 sqli-labs靶场通关攻略(个人学习持续更新)
该语句的意思是查询information_schema数据库下的columns表里面且table_users字段内容是users的所有column_name的内。该语句的意思是查询information_schema数据库下的tables表里面且table_schema字段内容是security的所有table_name的内容。输入id=1'闭合后报错,推断sql语句是单引号字符型且有括号,所以我们需要闭合单引号且也要考虑括号。尝试单引号闭合,发现正常,再尝试双引号闭合,发现报错,证明该题是双引号字符型。
2025-07-09 19:03:45
270
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人