- 博客(35)
- 收藏
- 关注
RSS订阅原创 deathnote靶机
这里可以反弹shell;在之前发的文章里有两种方法获取shell。在之前的收集过程中获得获得了两个txt文档;还是利用 arp-scan -l 扫描一下靶机 ip。这是一种Brainfuck编码的方式;文中和密码多次提到kira用户;访问网页多次跳转域名;十六进制转字符串后获得base64编码;我们使用wpscan工具来扫一下用户名。这个网站是wordpress搭建的。首页给的提示也是密码。那问题就在这个数组;访问哪个都是挑登录页面。这个文件夹让我们回去看。'登录成功又获得字符串。使用九头蛇爆破ssh。
2025-01-09 02:51:11
340
原创 whowantstobeking靶机
进入~目录的.local/share目录中,发现一个账号名的压缩包,解压之后得到一个写着路径的文件,查看note.txt文件,得到一句话I'm khal.....使用命令su root,密码输入khaldrogo,成功提权,进入root目录,得到flag。开始收集信息,sudo -l命令,查看到不需要密码就可以root执行sudo的脚本文件。使用ssh尝试登录,用户名daenerys,密码dracarys。但是进入到目录之后,发现不存在两个脚本文件。得到了一串编码后的数字,我们去解码。
2025-01-07 21:30:34
253
原创 Potato靶机
结合刚才的网页是一个土豆,可以猜测一下,它的用户名就是potato,我们使用九头蛇来进行密码爆破试一下。下载下来得.c 文件是不能使用的,需要使用 gcc 工具将.c 变为 exp 才可以使用。我们得到它得内核版本为 ubuntu 3.13.0-24-generic。先切到tmp目录下再下载,因为tmp目录是存放临时文件的目录。我们还是使用 arp-scan -l 查找 ip。下载并修改成功,我们现在给他修改一下权限 777。得到了三个页面我们访问一下没有什么有用的信息。我们去查一下他有什么漏洞。
2025-01-06 18:05:43
387
原创 Earth靶场
而密文就是我们主页面最下面这一串16进制的数字,我们可以看出来这里面最大的数就是F,所以肯定是一个16进制的数字。扫描ip时候我们发现443是打开的,扫描第二个dns解析的443端口能扫描出来一个 txt 文件。打开后我们拿到了一个用户名 terra,并且这里告诉了我们一个加密方式是利用XOR异或方式加密的。打开后我们发现一个notes.*,就是什么后缀名都可以,但是notes明显应该是txt后缀。把这两条解析添加到hosts文件中去,这样我们才可以访问页面。testdata.txt其实就是我们的密钥。
2025-01-05 19:20:36
249
原创 常见的框架漏洞
漏洞根本源于 thinkphp/library/think/Request.php 中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现⼀些问题。其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115} 表示的命令 touch /tmp/success 里面的数字是ascii码。shell.asp。
2025-01-05 19:17:44
651
原创 常见的中间件漏洞
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。
2025-01-01 23:54:39
885
原创 未授权访问漏洞
步骤⼀:使⽤以下语句在Fofa上进⾏资产收集....或开启Vulhub靶场进⾏操作。步骤⼀:使⽤以下语句在Fofa与Google上进⾏资产收集....步骤⼆:可通过MSF中的模块进⾏检测与漏洞利⽤。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼆:使⽤Telnet程序直接进⾏链接测试。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼀:使⽤以下语句在Fofa上进⾏资产收集。步骤⼆:执⾏未授权访问测试命令。步骤⼆:执⾏命令进⾏漏洞复现。
2024-12-31 01:03:09
448
原创 DriftingBlues: 6靶机
我们找一下功能点,在 content 中 files 找到了可以上传文件的地方。发现一个 zip 文件,我们在浏览器中访问它下载到本地,发现它需要密码。访问之前获取到的文件 /textpattern/textpattern。以及一段提示信息(希望我们在扫描目录的字典中加入.zip的扩展名)工具将压缩文件的密码转换为hash格式输出到 1.txt 文件中。我们获得了一个/textpattern/textpattern。我们查看一下写出的 1.txt 文件。我们使用御剑扫描一下网站的后台。
2024-12-29 19:18:27
229
原创 常见的CMS漏洞
访问 pageadmin 在后台可以上传模板,把webshell打包成zip上传模板,系统会自动解压,成功会在后台存在后门,访问即可获取webshell。工具-->文件管理-->功能菜单-->上传文件-->解压。在模板-->模板管理-->默认模板管理找到我们的首页。生成-->HTML更新-->更新主页HTMl。系统-->系统设置-->SQL命令行工具。在核心-->文件式管理器-->新建文件。在文件上传处也可以上传我们的木马。模块-->辅助插件-->广告管理。应用-->插件安装-->上传文件。
2024-12-29 19:17:51
405
原创 Empire Lupin One靶机
usr/share/wfuzz/wordlist/general/common.txt是kali自带的字典。我们查看到 robots.txt 文档中有~myfiles 文档,这时我们猜测他会不会还有其他的文档带有~这时我们得到了一个 icex64,并且知道了这个目录下还有文件我们爆破一下。文件里面全是编码过的数据,分析一下发现是 base58 编码,我们去解码。爆破出了一个 mysecret.txt,我们去访问一下。找到了一个 secret ,我们去访问一下。我们 cat 查看一下 user.txt。
2024-12-27 19:19:27
386
原创 Vulnhub靶场(Jangow)
在末尾添加"quiet splash rw init=/bin/bash"/interfaces (将网卡信息设置为自己的网卡,重启电脑即可生效。删除"recovery nomodeset"一些vm有配置问题,需要修改网卡信息。编辑文件sudo vim /etc/并且发现url有缺失 输入指令试试。当点击Buscar发现是空白页面。kali终端输入 扫描靶机ip。继续选择第二个 按e进入编辑。网络模式改为NAT模式后打开。页面显示空白 尝试去蚁剑连接。启动时点击第二个 按回车。
2024-12-26 18:22:24
355
原创 Cmseasy和大米cms的金额支付逻辑漏洞
将数量改为负数 站内扣款 实现网站给我们的账户充钱。来到网站后台查看订单信息 订单存在。填写订单时改数量为-2。
2024-12-26 18:21:49
186
原创 Matrix-Breakout 2 Morpheus靶场
这个工具扫出来了好几个目录和文件,我们访问一下graffiti.txt,graffiti.php 这两个文件。发现我们输入的数据是 123456 生成的文件为 graffiti.txt。发现 123456 在页面中显示出来了,我们再去访问 txt 文件。到目前为止我们没有找到任何有用的信息,我们尝试使用其他的工具。我们修改成我们的一句话木马,生成一个 123.php 文件。获取到 shell,我们找到了一个 flag 文件。我们放行,然后到网站中访问一下。我们在访问一下 php 文件。
2024-12-25 17:24:26
248
原创 CTFHub disable_functions通过
根目录里有/flag但是不能看;命令也被ban了就需要绕过了。上传后我们点进去可以看到多了一个绕过的文件;来到首页发现有一句话直接就可以用蚁剑连接。环境不行蚁剑连不上就换一个工具。这关需要选择编码器和解码器。直接会给我们弹出终端。
2024-12-25 00:04:06
184
原创 Log4j2漏洞
可以发现 /solr/admin/cores?action= 这⾥有个参数可以传,可以按照上⾯的原理先构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执行我们传上去的payload然后在DNSLOG平台上那⾥留下记录,我们可以看到留下了访问记录并且前⾯的参数被执行后给我们回显了java的版本号。拿取JDK1.8并构造Payload且直接访问。网址:www.dnslog.cn。反弹Shell-base64加密。获取到root权限了大功告成。
2024-12-25 00:00:04
300
原创 niushop商城漏洞
有很多地方都存在文件上传;有的地方是要校验,加一个GIF89a就可以绕过。1.后台--微信--消息管理素材管理-->添加消息存储-->标题。1.后台-->设置-->基础设置-->商城第三方统计代码。右键图片在网页新建打开图片标签;在放行一次修改数量为0.00000001。payload设置;在BP中进行抓包,改为1.php。2.后台-->网站--->广告位。用户在已登录的状态点击我们的链接。去蚁剑连接生成的h.php就行。制作修改用户信息链接。通过改变数量改变价格。后面全部放行就OK了。
2024-12-23 19:58:03
210
原创 Apache解析漏洞
然后我们在后 yjh.php 后面加上空格,再将十六进制中的 20 修改为 0a。上传被拦截,显示是一个坏文件,我们使用 bp 抓包。发现访问失败,这时我们在文件后面加上%0a 再访问。发现木马运行成功,接下来使用蚁剑连接我们的图片马。我们写一个 一句话木马文件 名字为 1.jpg。我们写一个木马 1.php.jpg。访问成功,接下来使用蚁剑连接木马。我们还是到浏览器中访问网站。会得到我们上传文件的路径。获取 shell 成功。上传成功,我们访问一下。我们将写好的木马上传。我们在网站中上传一下。
2024-12-23 02:01:13
244
原创 Nginx解析漏洞
这个木马的效果是访问成功后会自动在目录中生成一个 shell.php 文件,内容为<?我们将数据包的网址改为我们要访问的 2.jpg 两个空格.php 继续到十六进制中改 20 为 00。然后我们再 jpg 后面加上两个空格再给上.php,再将十六进制中的第二个 20 修改为 00。我们访问不到,这时我们 bp 是抓不到 2.jpg 这个静态页面的,因为它没有交互。我们访问到了,但是虽然说木马上传成功但是我们这样是没有办法使用蚁剑连接的。这是我们访问一下 shell.php,查看有没有生成成功。
2024-12-23 02:00:28
169
原创 IIS解析漏洞
在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;.jpg会被服务器看成是。shell.asp。另外IIS6.0默认的可执行文件除了asp还包含 asa\cer\cdx。在默认网站里创建一个a.asp文件夹并创建一个1.jpg写进我们的asp代码。在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行。然后在网站下创建我们的shell;加上/.php就可以被解析为php文件。单独创建一个1.jpg发现并不能解析。在a.asp下被解析。
2024-12-23 01:59:37
433
原创 hackme靶机与tomato靶机通关
查看字段:-1'union select concat(column_name),2,3 from information_schema.columns where table_schema=database() and table_name="users"#查看表:输入-1'union select concat(table_name),2,3 from information_schema.tables where table_schema=database()#在kali里面输入命令查看靶机ip。
2024-12-21 16:10:11
321
原创 Upload-labs 靶场
根据源码发现是一个白名单上传,它只允许上传它给定的后缀名,关键的代码是这里;根据源码发现有move_uploaded_file()这样一个函数,它有一个特性,会忽略到文件末尾的/.抓包之后可以看见多了保存名称,没有对上传的文件做判断,只对用户输入的文件名做判断。根据源码发现这关的黑名单不太严谨,我们就可以使用php同种类型的不同后缀。我们这关需要写一个生成新的php文件并把我们的一句话写进去。根据源码发现,这关我们上传的php文件是上传之后才被删除。我们可以在文件尾部加上点空格点(. .)就可以成功上传。
2024-12-19 19:59:42
730
原创 XXE靶场
发现有xml字样,说明可以进行xml攻击;下方有html字样,这里就是我们的攻击点。这里我们要把username之间改成引用,即&xxe;用御剑后台扫描一下发现有一个robots.txt。我们发现了登陆后台,我们随便登陆一下进行抓包。发送到重放器得到一大段,全部复制下来去解码。安装好靶机,来kali查看一下靶机ip。用括号里的再解码,先32位再64位。访问一下robots.txt。得到一段,复制下来到记事本。看到一个文件,去xml一下。发现xml字样,进行注入。得到一个路径再去xml。
2024-12-18 19:43:10
295
原创 CTFHUB-SSRF
点击浏览上传php文件,发现没有提交按钮,按F12打开查看器。将%0A全部替换为%0d%0A 并在末尾加上%0d%0A。将%0A全部替换为%0d%0A 并在末尾加上%0d%0A。根据题目ban掉十进制;使用Gopher进行攻击访问,获取Flag。选择php文件点击提交,并用bp抓到数据包。使用Gopher进行攻击访问,获取Flag。先尝试访问flag.php,发现没有。先尝试访问flag.php,发现没有。在访问index.php 发现为空。点击环境,访问flag.php。点击环境,访问flag.php。
2024-12-17 19:29:10
288
原创 csrf客户端请求伪造
将攻击者的修改请求给受害者lili(lili信息被修改)进入点击受害链接 localhost/333.html。管理员被修改密码原来root错误被强制退出。将CSRF HTML代码放入网站根目录下。抓攻击者allen的post请求修改包。输入密码123456登录正常。攻击者vince的修改请求。受害者访问这个html。受害者kobe原本信息。现在lili正常登录。管理员admin登录。
2024-12-16 23:49:25
323
原创 xss通关
步骤三:Kali创建木马,造成下载exe和木马同时执行效果(Kali机要保证可以Ping通)进入管理员界面输入账号密码后,网页跳转成部署的flash钓鱼网站(部署成功)步骤五:将木马文件放入网站根目录下(双击运行,查看kali机监听效果)步骤四:测试木马文件shell.exe是否可以运行。进入以后,kali机shell命令进入cmd。kali机监听到,就可以获得外面电脑的监听权。步骤二:部署钓鱼网站(根目录下可信度高)点击立即下载,完成后target到本页面。点击立即下载,即可下载木马文件。
2024-12-14 04:20:06
279
原创 AI WEB靶场通关
我们发现如果用绝对路径获取是没有权限的,我们继续尝试在绝对路径上加入我们之前获取到的目录/m3diNf0/、/se3reTdir777/uploads/查看他们有权限吗这时我们发现/m3diNf0/这个目录也没有权限,我们接着尝试/se3reTdir777/uploads/发现创建成功这时我们就获得了他的控制权。
2024-12-04 19:39:40
281
原创 sql注入第五关
报错注入是通过特殊函数的错误使用从而导致报错,并使其输出错误结果来获取信息的。简单点说,就是在注入点调用特殊的函数执行,利用函数报错使其输出错误结果来获取数据库的相关信息 (我们要的信息就包含在页面的报错信息中)。
2024-12-03 18:33:59
366
原创 SQL注入
SQL Inject其目标站点没有对用户在Web表单递交或输入域名的页面请求的查询字符串进行严格的过滤与验证导致拼接的SQL语句被带入到数据库执行从而获取数据库信息以及接管权限的WEB攻击漏洞。
2024-12-02 19:19:55
237
原创 CTFHUB-web
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
2024-12-01 18:16:31
380
原创 资产信息收集
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
2024-11-28 22:06:05
846
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人