- 博客(71)
- 收藏
- 关注
RSS订阅原创 栈迁移学习
当存在栈溢出且可溢出长度不足以容纳 payload 时(在完成一般的栈溢出攻击时,有一个条件是“栈上有足够的地方让攻击者进行布局”),可采用栈迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip。因为原来的栈空间不足,所以要构建一个新的栈空间放下 payload ,因此称为栈迁移栈迁移往往在发生栈溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把栈迁往两个位置,一是原来的栈,二是.bss段。
2025-03-31 23:23:19
1106
原创 应急响应
应急响应就是在网络安全事件发生后,快速有效的采取行动,减少数据和系统的损伤。需要有一个完整的应急响应计划,包括应急预案、应急指挥中心、应急响应流程、应急演练等。
2025-03-13 21:18:00
641
原创 PWN--格式化字符串
格式化字符串是指在编程过程中,通过特殊的占位符将相关对应的信息整合或提取的规则字符串。格式化字符串包括格式化输入和格式化输出,其本质是程序员调用相关格式化字符串的操作协议规定。错误的或不当的信息配置可能导致程序运行失效或产生未定义行为在PWN中,格式化字符串漏洞是常见的考察点,仅次于栈溢出漏洞。格式化字符串漏洞成因:程序使用了格式化字符串作为参数,并且格式化字符串为用户可控。其中触发格式化字符串漏洞函数主要是、、、等C库中家族函数格式化说明符CPU利用ebp访问栈内东西printf函数参数从右边
2025-02-03 22:34:16
514
原创 春秋云镜--Exchange
拿到ip后先用fscan扫一下发现8000端口是开放的访问发现是华夏erp的cms,搜索发现可以利用信息泄露得到用户名密码这里也可以用弱口令码admin/123456登录进入后台先用bp查看是否存在这个漏洞利用bp生成一个dns域名用bp抓包运行试试查看接收发现存在漏洞利用MySQL_Fake_Server弹shell下载evil-mysql-server和ysoserial-all.jar并放在同一目录,上传接着在vps中运行访问后即可getshell其中base64编码命令是放入repeater发送后即
2025-01-27 02:32:06
642
原创 春秋云镜--Certify
新工具:JNDIExploit、Certify先用fscan扫一下扫出来一个8993端口,是一个solr平台访问一下查看配置项,发现有log4j2。说明可能存在CVE-2021-44228补充:CVE-2021-44228log4j2 远程代码执行漏洞,通过 JNDI 注入实现log4j2 远程代码执行漏洞复现(CVE-2021-44228)_log4j命令执行流量特征-优快云博客直接用工具反弹shell记得先开监听,然后在vps运行JNDIExploit开启服务这里涉及到vps上部署java环境和上传J
2025-01-23 04:47:12
747
原创 春秋云镜--Time
AS-REP Roasting攻击是一种针对Kerberos身份验证协议的攻击技术,攻击者可以在不需要认证的情况下获取用户的密码哈希值。SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。如果将A域中的域用户迁移到B域中,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。
2025-01-21 02:12:58
680
原创 红日靶场搭建&渗透
不知道为什么打不开,换了好几个浏览器,换连热点,都不行,就找了个百度网盘的,有相同情况的可以用下面这个提取码:h1e5三台靶机的初始密码都是hongrisec@2019 ,初次登录需要改密码。这里之前就配置过win7,用自己的就可以了win7是一个边界服务器,所以是需要有两个网卡的,首先给win7添加一个网卡,在虚拟机设置中选择添加然后上图操作就可以了将win7的网络适配器1设置成自定义Vmnet2,网络适配器2设置成NAT模式在cmd中用ipconfig查看攻击机IP地址。
2025-01-13 03:50:01
1361
原创 ida的使用
1.选项卡顶部 IDA 用不同的颜色区分可执行程序组成部分。下方对不同颜色代表的部分进行说明。例如,灰色代表.data sectio【数据】,如果点击颜色条灰色部分,下方的图形视图也会跳转到该部分中点击地址的位置。粉色部分是External Symbol【外部符号】或者 idata section。蓝色部分表示 code section【代码】中识别出的函数。2.在 IDA 界面底部有一个交互栏可以执行 Python 命令,能够帮助我们快速进行进制转换以及命令。
2024-12-28 23:28:06
1492
原创 基本栈介绍
缓冲区或数据缓冲区是一个物理内存存储区,用于在将数据从一个位置移到另一位置时临时存储数据。这些缓冲区通常位于 RAM 内存中。计算机经常使用缓冲区来帮助提高性能。大多数现代硬盘驱动器都利用缓冲的优势来有效地访问数据,并且许多在线服务也使用缓冲区。例如,在线视频传送服务经常使用缓冲区以防止中断。流式传输视频时,视频播放器一次下载并存储 20% 的视频到缓冲区,然后从该缓冲区进行流式传输。这样,连接速度的小幅下降或快速的服务中断都不会影响视频流性能。
2024-12-28 00:34:23
851
原创 汇编语言学习
从搜出来的简介可以知道对于每一个程序,其启动的时候,内核会为其分配一段内存,称为栈。在上面这个add程序中,假设启动后内核为其分配的栈空间为 0xff00 - 0x10000,那么在启动的时候,rsp 寄存器就会被赋值为 0x10000,也就是栈顶的位置补充:rsp 寄存器储存的总是当前栈顶的位置接下来,在 main 函数启动的时候,会执行 push rbp 指令,这个指令就相当于下面这两条指令。
2024-12-25 19:23:50
732
原创 ELF文件概述
ELF 文件是一种用于存储可执行程序、目标文件、共享库等的标准文件格式,在 Linux 及其他类 Linux 操作系统(如 Unix 等)中广泛应用。它定义了一种规范的结构,使得操作系统能够准确地加载程序并使其在内存中正确执行。简单来说,当我们编写一段代码(比如用 C 语言编写)并经过编译后,生成的可执行文件往往就是以 ELF 格式存在的。它包含了程序的代码段(存放可执行的机器指令)、数据段(存放程序中定义的各种变量等数据)、符号表(记录程序中定义的函数、变量等符号信息,用于链接等操作)等重要部分。
2024-12-20 00:02:17
1635
原创 ISCTF复现-misc
解压以后发现是很多的txt文件,文件大小一致,而且内容也都是由base64加密以后的结果,这里猜测,可能是flag的值就在某一个文件的base64加密的数据里面,但是太多了,一个一个看不现实,考虑到可以用脚本,然后就会发现什么都没得到,拉了坨大的,后面通过题目提示和资料查找再结合别人的wp,发现会用到约瑟夫算法。没想法了,去看了wp,发现应该是有个文件在解压过程,相关的文件因为某种原因被处理为了冗余文件,被清理了,或者说解压以后就在原文件夹里面把那个文件删除了,尝试用7z解压看看。
2024-12-18 23:48:59
1053
原创 ret2text
GDB(GUN Debugger)是一个用来调试C/C++程序的功能强大的调试器,是Linux系统开发C/C++最常用的调试器GDB主要功能:1>设置断点(断点可以是条件表达式)2>使程序在指定的代码行上暂停执行,便于观察3>单步执行程序,便于调试4>查看程序中变量值的变化5>动态改变程序的执行环境6>分析崩溃程序产生的core文件ret2text就是执行程序中已有的代码,例如程序中写有system等系统的调用函数,在这种攻击方法。
2024-12-16 22:56:11
907
原创 PWN入门之栈溢出
看了很多博客,自己总结下来就是以下几点:1.栈是用来存放局部变量的,例如函数的参数,返回地址,局部变量等,然后由系统自动分配释放2.在C语言中,将数据压入栈中用的是push,将数据弹出用的是pop3.先入栈的数据是在底部的,后入栈的数据在顶部,而去数据的时候又是从顶部开始的,总的来说 就是先进的后出,后进的先出4.递归调用用的是栈作为缓冲区。
2024-12-13 17:17:35
896
原创 虚拟机Ubuntu以及pwn的工具安装
之前pwn入门在kali上装了,师兄说用Ubuntu会比kali好得多,更有利于pwn的学习,本着少走弯路的想法我就决定装一个,再把工具什么的配了。
2024-12-11 16:58:09
1131
原创 PWN的简单了解
Pwn 是一个骇客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:"You just got pwned!")。在骇客行话里,尤其在另外一种电脑技术方面,包括电脑(服务器或个人电脑)、网站、闸道装置、或是应用程序,"pwn"在这一方面的意思是攻破("to compromise",危及、损害)或是控制("to control")。
2024-12-01 21:35:58
1091
原创 AWD入门
AWD(Attack With Defense,攻防兼备)模式。你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。
2024-12-01 09:07:25
1597
原创 24强网拟态复现
这道题题目就是提示,一个异或的密码并且知道keyword是mimic,有两种解法法一:通过异或加解密在线工具就可以得到flag法二:通过脚本得到flag,源码如下。
2024-10-29 11:15:04
635
原创 NSS刷题
要点:1.rce中waf绕过取反思路 题12.falg显示不完全 题23.sql注入时,当前数据库查不到flag就需要尝试查询所有数据库 题44.ssti,bp重发时渲染界面和回显都要查看,不一定都会回显。
2024-10-22 21:40:44
897
原创 AWD入门
AWD(Attack With Defense,攻防兼备)模式。你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。
2024-10-20 16:41:49
1644
原创 ARP欺骗
ARP 欺骗(ARP spoofing)是一种网络攻击技术,通过发送伪造好的 ARP 数据包,伪装成网关使被攻击者误以为攻击者是其网关或其它设备,从而达到欺骗目标设备的目的。这样,攻击者就可以截获查看被攻击者发出的数据包,甚至可以修改、篡改数据包中的内容。arp欺骗最主要的目的是截获数据ARP欺骗攻击能导致网络连通性问题。注:网关并不是指具体的设备,路由器,计算机终端等各种各样的设备都可以是⽹关,⽹关就是数据必须经过的关⼝。
2024-10-16 21:06:05
3122
原创 取证(2024龙信杯部分复现)
近期,某公安机关正式受理了一起受害者报案案件。受害者陈述称,其通过微信平台结识了一名自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动,即所谓的“选妃”过程。在受害者不察之下,整个交流过程被犯罪团伙暗中录音录像。随后,该客服人员以提供更多潜在相亲对象为由,诱导受害者下载并安装了一款预先准备好的恶意木马应用程序(APP)。一旦受害者安装了此 APP,犯罪嫌疑人便利用手中掌握的录音录像资料以及受害者的通讯录信息作为威胁手段,对受害者实施多次敲诈勒索和诈骗行为。面对持续的。
2024-10-12 15:02:38
1018
原创 操作系统基础
find 路径 -name "*.jpg"(扩展名为jpg的图片)或"*1*"(包含1的文件)或"1*"(以1开头的文件) 在特定目录下查找符合条件的文件。直译为媒体存取控制位址,也称为局域网地址(LAN Address),MAC位址,以太网地址或物理地址,硬件地址,它是一个用来确认网络设备位置的位址。自动补全:输入文件/目录/命令前几个字母后可通过tab键补齐。less:逐行查看文件,按方向键,不可主动退出,按q退出。more:逐项查看文件,按空格继续,最后自己退出。
2024-09-19 23:36:13
904
原创 云曦2024秋季开学考复现(部分)
掩码攻击:如果已知密码的某几位,如已知8位密码的第4位是Z,那么可以构造xxxxzxxxx进行掩码攻击,掩码攻击的原理相当于构造了第4位为Z的字典,攻击效率也比逐个尝试的爆破方式高。打开看到第二个界面,这里是GET传参GS限制了payload长度,并且过滤了很多字符,后面只知道可以用异或具体用法不清楚,看了wp。字典:字典攻击的效率比爆破稍高,因为字典中存储了常用的密码,因此就避免了爆破时把时间浪费在无用的密码上。第三部分是一个压缩包,打开看到最前面说这是个png文件,后面又提示base64,直接转图片。
2024-09-13 21:43:57
1057
原创 NSS题目练习
比如执行系统命令、窃取用户数据、删除web页面、修改主页等,简单来说就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些 asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。敲击码是一种用于编码文本的电信码。再用两次base64,就可以得到flag,这里参考了一下别人的wp,发现还有另外一种解法,运用了mota()函数,这个函数是一个解密函数,控制台运行就可以了。这一面的代码写的就是通关结局,有很多种,都可以得到flag,这时候看到最上面的那串字符。
2024-09-04 20:56:28
1059
原创 BaseCTF高校联合新生赛Week1复现(Web)
第一层看见file_get_contents()函数,想到文件包含,可以用伪协议,一般是php://input,但是这里是post传参,就用data://,是一样的,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。第二层要求不能等于 0 ,也就是说在传入的 $challenge 里需要到 'http://jasmineaura.github.io',并且位置是开头,才会是返回的 0,直接传就可以了。打开可以看到有两个md5绕过,一个是get传参,一个是post传参;
2024-09-02 20:28:24
995
原创 流量分析,windows日志分析总结+题目练习
流量分析是指对网络流量数据进行分析和解释,以获得有关网络中通信的信息和情报。网络流量包含了许多有关网络通信的细节信息,如源IP地址、目标IP地址、端口号、协议类型、数据包大小、传输速率等等。通过对这些信息进行分析和解释,可以获得对网络通信的深入理解,并发现潜在的问题和威胁。需要了解网络协议、数据包分析、安全攻防技术等相关知识。在网络安全领域,流量分析被广泛应用于入侵检测、网络监控、漏洞分析等方面。
2024-08-11 01:53:51
1073
原创 PHP总结+题目练习
1.abs(): 求绝对值//4.2 数字绝对值数字2.ceil(): 进一法取整// 10 浮点数进一取整3.floor(): 舍去法取整// 9 浮点数直接舍去小数部分4.fmod(): 浮点数取余$x = 5.7;$y = 1.3;// 两个浮点数,x>y 浮点余数5.pow(): 返回数的n次方// 1 基础数|n次方乘方值6.round(): 浮点数四舍五入// 1.96, 一个数值|保留小数点后多少位,默认为0 舍入后的结果7.sqrt(): 求平方根。
2024-08-05 21:11:18
1171
原创 文件上传题目练习
之前学习文件上传的时候都是通过练习ctfhub上的题,知道有upload-labs这个靶场,但是还没尝试过,现在重新复习就打算打一下这个靶场。
2024-07-30 21:24:59
995
原创 文件上传总结
此过程只会删除上传的文件,但是不会删除生成的文件,因此可以使用如下的php代码获取shell。通过界面上的上传功能上传了一个可执行的脚本文件,而WEB端的系统并未对其进行检测或者检测的逻辑做的不够好,使得恶意用户可以通过文件中上传的一句话木马获得操控权。Windows系统在保存1.php::$DATA一类的文件时会自动去除文件后的::$DATA字符串,保存的文件名为1.php。文件包含漏洞会将任意类型的文件当作php文件进行解析,如果文件中包含了php代码,则其中的php代码将会执行。
2024-07-24 21:54:36
1079
原创 sql注入题目练习
下面是我学习sql时做的题,一些是ctfhub上的,之前上次做的时候都是通过看别人wp写的,现在通过自己运用了两种方法重新尝试解答,还有的是NSSctf上的,法一是通过手注,法二是通过sqlmap跑的。
2024-07-22 19:43:45
685
原创 SQL注入总结
id=1’ and if(ascii(substr((select database()),1,1))>100,1,sleep(5))–+ //如果数据库名字的第一个字符的acsii值小于100,则进行延时。id=1"--+,正常,再输入?id=1' and ascii(substr(database(),1,1))>100 --+ //100为ascii表中的十进制,对应字母s。
2024-07-18 00:47:18
1182
原创 常见数据库
(数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,用于建立、使用和维护数据库,简称DBMS。它是在数据库领域一直处于领先地位的产品。它是一种高效率的、可靠性好的、适应高吞吐量的数据库方案。(关系数据库,是建立在关系数据库模型基础上的数据库,借助于集合代数等概念和方法来处理数据库中的数据,同时也是一个被组织成一组拥有正式描述性的表格。MSSQL是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个。
2024-07-15 21:08:04
249
原创 SSRF(2)
Fastcgi协议由多个record组成,record也有header和body一说,服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端,语言后端解码以后拿到具体数据,进行指定操作,并将结果再按照该协议封装好后返回给服务器中间件。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。
2024-06-19 20:53:36
824
原创 NSS题目练习9
可以利用一个网络请求的服务,当跳板进行攻击,攻击者在访问A时,利用A的特定功能构造特殊payload,由A发起对内部网络中系统B(内网隔离,外部不可访问)的请求,从而获取敏感信息。curl_exec():初始化一个新的会话,返回一个cURL句柄,供curl_setopt(),curl_exec()和curl_close() 函数使用。file:/// -- 本地文件传输协议,主要用于访问本地计算机中的文件(file:///etc/passwd。ldap:// -- 轻量级目录访问协议。
2024-06-13 12:09:17
1282
原创 NSS题目练习8
本身strtolower是需要接受一个string,而这里转义数字,表示正则表达式 \1 实际上指定的是第一个子匹配项,也就是一旦匹配到,会进入strtolower() 先执行匹配到的内容(替换“\1”的位置),然后再变成小写,这里就可以命令执行,但是替换进来的不是字符串么?构造payload:?preg_replace的第二个参数用于替换的字符串, \\1表示匹配出第一个分组的正则(即$re,也就是我们使用GET传入的),把输入的值转为小写,然后用于替换。并且每个用户的Session信息都是不同的。
2024-06-12 20:58:47
1128
原创 NSS题目练习7
json_decode接受一个JSON格式的字符串并且把它转换为PHP变量,当该参数assoc为TRUE时,将返回array,否则返回object。Referer 是另一个 HTTP 请求头部字段,它包含了当前请求的来源页面 URL 地址,即前一个页面的 URL 地址。第三层,get_flag接收参数,作为系统命令执行,传参不能有空格,如果有cat,将会被替换为wctf2020。先用dirsearch扫描一下,发现有三个东西,但是不能直接访问flag.php。打开后看到源代码,关闭了报错,有三层绕过。
2024-06-05 21:02:10
887
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人