?33333-优快云博客

原创 vulnhub靶场-Deathnote（至获取shell）

想要知道我们上传到模板的路径，我们可以点击模板封面图片，就能够看到解压后的路径，我们的木马与该图片在同一个文件夹下，使用工具直接连接即可。爆破密码时间比较漫长，我们再查看网页，发现kria就是存在于网页上的，那么密码会不会也在网页上。我们向下翻动页面，发现iamjustic3，来到wp-admin页面尝试登陆，成功进入后台。进入后台之后，我们就可以通过上传模板压缩包或后台修改模板文件来获取shell。我们在网站上可以找到一个提示，这个提示与我们获取shell没有关系。arp-scan -l 扫描IP。

2025-01-08 18:10:38 517

原创 vulnhub靶场-potato（至获取shell）

盲猜账号为potato 我们使用九头蛇hydra（或图形化xhydra）来进行爆破密码。使用御剑端口扫描扫描端口，扫到了80和7120两个端口，其中7120为ssh端口。使用dirb http://192.168.171.134 扫描目录。这样我们就知道了ssh的账号密码，直接连接就可以获得shell了。访问192.168.171.134为一个大土豆，没什么用。我们就得到了账号为potato，密码为letmein。发现info.php 访问为phpinfo界面。arp-scan -l 扫描IP。

2025-01-06 18:12:12 529

原创 vulnhub靶场-driftingblues2靶机（至获取shell）

想要知道我们上传到模板的路径，我们可以点击模板封面图片，就能够看到解压后的路径，我们的木马与该图片在同一个文件夹下，使用工具直接连接即可。所以需要在hosts中添加192.168.171.133 drifthingblues.box 将该域名映射到我们靶机的IP地址上。该页面未一个博客，但是点击search会跳转到drifthingblues.box，进入后台之后，我们就可以通过上传模板压缩包或后台修改模板文件来获取shell。修改后再次访问，该页面变为如下所示。正常扫描出IP 端口目录。

2025-01-02 11:35:40 409

原创常见cms获取Shell漏洞（Wordpress、dedecms、ASPCMS、PhpMyadmin）

登录到后台后，我们来到扩展功能的幻灯片设置，打开代理，点击保存进行抓包，在slideTextStatus后面添加%25><%25Eval(Request (chr(65)))%25><%25 ，%25是因为正常的%会被过滤，所以我们使用%25代替，使用chr(65)的原因是如果是("a")的话，那么双引号也会被转义，所以我们直接使用chr(65)来代替a。接着上传完成后我们要获取我们上传的模板的位置，点开我们刚才上传的模板，存在一张预览图，是我们刚才压缩包中的图片，我们查看该图片的位置。

2024-12-30 08:28:24 1141

原创 Vulnhub靶场-Driftingblues 6靶机（至获取shell）

注意，我们之前扫描目录的时候还扫描到一个/textpattern/files/的目录，我们访问该目录，发现了我们上传的文件位置便是在这个目录下。访问robots.txt，存在一个textpattern/textpattern目录，我们访问为一个登录窗口，sqlmap无法注入。扫描到了spammer.zip 和spammer，我们访问这两个不管哪儿个页面都是给我们下载一个压缩包。提示我们扫目录时添加.zip扩展名，所以我们使用gobuster来添加扩展名进行扫描。使用菜刀直接连接，我们便获取到了shell。

2024-12-28 18:25:18 740

原创 Vulnhub靶场-Empire_LupinOne（至获取shell）

recursion 递归扫描 -recursion-depth n 递归深度 -e 指定后缀 FUZZ前面可以加~，~说明是主目录，特指旧版本apache。（.FUZZ 表示不仅扫描正常的目录，还会扫描一遍.开头目录，例如 /public和/.public都会扫描一遍）命令为：ffuf -c -w /usr/share/wordlists/dirb/common.txt -u '（-e .txt .html 表示不仅字典替换扫描，还会在字典后面添加.txt/.html扫描一遍）

2024-12-28 17:13:56 954

原创 vulnhub靶场-jangow-01-1.0.1（截止至获取shell）

然后不要回车，按e，进入后向下翻找到并删除删除“recovery nomodeset”并在最后添加“quiet splash rw init=/bin/bash”，修改完成后按F10启动。//注意写入该木马时，echo 后面要写入到指定文件的内容需要用单引号括起来，不可以使用双引号，$_POST里的使不使用单双引号括起来都行。安装靶机后我们发现我们扫描不到靶机的ip，所以我们需要修改靶机的配置文件。扫描目录，只存在一个/site目录，访问，查看页面并没有什么功能点。quiet用于设置静默模式；

2024-12-27 09:21:45 486

原创 vulnhub靶场-matrix-breakout-2-morpheus攻略（截止至获取shell）

扫描出ip为192.168.121.161访问该ip，发现只是一个静态页面什么也没有使用dir dirsearch 御剑都只能扫描到/robots.txt /server-status 两个页面，前者提示我们什么也没有，后面两个没有权限访问扫描端口，存在81端口访问，是一个弹窗登录，没什么用。

2024-12-24 18:58:46 411

原创 CTFHub Web进阶-PHP-Bypass disable_function攻略

首页如图所示，也是直接进行连接，与第一关的区别就是需要修改编码器来进行连接，剩余步骤与第一关相同。需要修改地址，选择箭头所指的地址，然后使用.antproxy.php连接。使用该模式，点击开始后会直接弹出终端界面。连接上进入后没有权限，使用插件来绕过。使用插件为我们创建的木马来连接。来到页面，使用蚁剑直接连接。进入首页点击GetFlag。

2024-12-24 18:57:52 398

原创 NIUSHOP电商系统漏洞挖掘

在进入网页之后我们点击商品分类，可以看到url处存在category_id=76,所以我们尝试在76后加一个单引号，报错，提示我们存在sql注入。我们直接使用sqlmap来跑，注意，要给注入点后面加*，否则他会默认来查看s处是否存在注入漏洞。在前端的个人资料-更换头像处存在文件上传漏洞，因为我的的apache，所以使用了多后缀名绕过，也可以使用抓包修改后缀名等方法来绕过。在后台，也存在一个地方存在sql注入，它可以直接执行sql语句，但是没有回显，我们可以利用外带注入将数据带出来。

2024-12-24 08:52:47 334

原创 Apache解析漏洞（apache_parsing_vulnerability靶场攻略&CVE-2017-15715靶场攻略）

Apache HTTPD 2.4.0~2.4.29版本中，在解析PHP时，1.php\x0A将被按照PHP后缀进⾏解析。如图所示，他会对我们上传的文件进行二次命名，默认存在evil.php，我们上传文件后抓包进行修改。在使用蚁剑连接或在url中访问时，需要注意在文件名后面加上%0a，因为。上传成功后会显示文件所在的路径，我们直接使用蚁剑等直接连接即可。放行，文件即可上传并重命名成功，我们直接使用蚁剑连接即可。只要文件的后缀中存在相应的后缀，那么就会自动识别并执行。我们上传的文件为111.jpg。

2024-12-21 16:37:53 308

原创 Nginx解析漏洞（Vulnhub-nginx_parsing_vulnerability靶场攻略&CVE-2013-4547靶场攻略）

上传后提示我们请确保上传的文件是图像，那么可能对上传的图片文件进行了文件头审核，那么我们上传我们的图片马，即给php文件修改的jpg文件开头加上GIF89a。我们测试我们上传成功的代码（此处url中的test.jp我们与之前的123.jpg内容一样，将下面的test都等同于123就行）随意上传一个正常的图片文件可以上传并告诉了我们上传的文件所在的目录，那么我们将php文件后缀改为jpg尝试上传一下。如图所示，我们无法直接访问123.jpg，所以我们需要访问123.jp来抓包修改数据访问。

2024-12-21 16:37:12 783

原创 IIS解析漏洞 6.x/7.x

每个文件内的语句为<%now()%>,即显示当前时间。url后加/.php。

2024-12-21 16:36:24 387

原创 Vulnhub-Tomato靶机攻略

发行版操作系统，`/var/log/auth.log`是Linux（尤其是Debian系如Ubuntu）记录身份验证和授权事件的日志文件，包括登录尝试（成功或失败）、SSH活动、sudo使用和PAM模块的操作。查看antibot_image页面，可以看到存在许多目录，我们挨个访问并查看页面源代码，最后我们在info.php的页面源代码中看到了</?我们还可以从info.php中获得其他的信息，该靶场的系统为ubuntu，Ubuntu是一个以桌面应用为主的。我们也可以通过图形化界面来连接。

2024-12-20 17:48:47 891

原创文件上传hackme靶机攻略

再使用dirb扫描靶场的目录，我们可以得到index.php server-status（无法访问） uploads。我们这样就获取了所有的账号密码，有个superadmin用户，再cmd5解码后进行登录，发现是一个上传文件的页面。虽然上面说上传image，但是我们尝试上传一句话木马php文件，仍然可以上传。（如果只允许上传图片的话，那么我们可以通过上传二次渲染专用图来插入木马）打开后使用hackbar尝试phpinfo()成功，那我们便通关。先使用arp-scan -l扫描出我们靶场的ip。

2024-12-20 17:47:57 194

原创 upload-labs靶场攻略1-19关

分析源码，当上传的文件符合过滤条件时，就重命名，否则就直接删除，我们利用抓包爆破竞争，上传文件的源码为：<？第九关四种过滤都在，那么我们可以考虑用点空格点来上传文件名.php. . ，因为过滤规则，所以会先过滤掉最后一个点然后再将空格过滤掉，最后剩下的为文件名.php.第十关我们正常上传一个10.php文件后，他会自动将php删除，所以本关我们采用重复写的方法，来上传文件，重复写要写成 pphphp。查看源代码，做了四种过滤，分别为删除文件名末尾的点，转换大小写，去除字符串::$DATA,首尾去空。

2024-12-19 18:56:11 1372

原创 XXE靶场通关详解

我们获得账号密码后，因为 /xxe该页面无法登录，我们扫描xss的下级页面时扫到了一个/xxe/admin.php，也是一个登录页面，我们使用账号密码在该页面登录。解码后为php代码，我们可以找到账号密码以及一个关于flag的文件地址。我们得到了一个php文件的地址，那么我们再继续获取该PHP文件的源代码。解压压缩包后打开虚拟机，使用arp-scan -l来获取虚拟机的IP。在xxe页面进行抓包，可以看到存在xml，可能存在漏洞，输入语句尝试。我们再次在BP中获取关于flag那个文件的源代码。

2024-12-18 18:29:34 285

原创 sqli-labs 靶场 11-31关

Less 11使用BP抓包，可知闭合方式为使用报错注入，得到数据库名andfromwhere单次查询不全可以使用limit分次查询。

2024-12-17 10:41:23 761

原创 sqli-labs 靶场6-10关

Users表 username列的第一个数据的第一个字符是D，使用BP爆破后续字符以及后续第N个数据。Users表 password列的第一个数据的第一个字符是D，使用BP爆破后续字符以及后续第N个数据。Users表 username列的第一个数据的第一个字符是D，使用BP爆破后续字符以及后续第N个数据。Users表 password列的第一个数据的第一个字符是D，使用BP爆破后续字符以及后续第N个数据。数据库第一个表第一个字符是e，后续使用bp爆破，最后爆破users表。时间注入，页面无变化。

2024-12-05 17:42:58 943

原创 Orcal/DB2/PostGREsql/MongoDB手工注入-墨者学院实战攻略

limit≈ rownum=1 and ...not in或<> ...dual 虚表。

2024-12-05 17:33:08 1202

原创 MSSQL sqli libs靶场第一关通关攻略(sqlserver)

mssql（=号前为mysql，前后两者大致相似）:xtype=‘U’U表示用户定义的表status!=1 排除系统表。

2024-12-05 16:53:52 454

原创 ai-web靶场攻略（每一步都很详细！）

这样我们就可以登录上来了，注意它给了我们两个文件地址，这就是--os-shell生成的两个文件。通过dirb扫描目录。

2024-12-04 16:44:56 462

原创 sqli-labs 靶场1-5关详解

http://localhost/sql/Less-1/?id=1%27%20order%20by%203%20--+http://localhost/sql/Less-1/?id=-1%27%20union%20select%201,2,3--+http://localhost/sql/Less-1/?id=-1%27%20union%20select%201,database(),3--+http://localhost/sql/Less-1/?id=-1%27%20union%20select%201

2024-12-03 17:46:01 745

Zhou15934414455的博客