- 博客(47)
- 收藏
- 关注
RSS订阅原创 Vulnhub靶场(whowantstobeking)
在很多浏览器搜都是在指权力游戏;在谷歌上搜是指一个名字。解密获得一个油管的视频链接;是个广告.........解压出来获得一个路径;提示I'mkhal.....把这个文件下载下来看看有什么;靶机IP:192.168.47.140。获得一个base64编码的字符串。还记得刚搭好靶机给的一个用户名吗。默认页面就一个文件可以下载。搭建好靶机后进行扫描IP。没有什么可以利用的信息啊。有一个sunita用户。
2025-01-07 19:43:01
481
原创 Vulnhub靶场(potato-suncsr)
用户名就用potato;利用九头蛇爆破一下密码。查询一下ubuntu的版本;然后去kali查询一下他的漏洞。获取靶机 IP 192.168.131.185。利用searchploit 查看一下版本漏洞。官网下载.ova文件双击vm打开导入。将37292.c 编译为可执行文件。版本是:ubuntu 14.04。执行exp就可以获取root权限。获取靶机IP kail终端输入。一个土豆子一个phpinfo。ssh开在7120端口。将这个目录复制到当前。kali开启对外服务。
2025-01-06 19:24:09
479
原创 常见的框架漏洞
ThinkPHP是为了简化企业级应⽤开发和敏捷WEB应⽤开发⽽诞⽣的,是⼀个快速、兼容⽽ 且简单的轻量级国产PHP开发框架,诞⽣于2006年初,原名FCS,2007年元旦正式更名为 ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴 了国外很多优秀的框架和模式,使⽤⾯向对象的开发结构和MVC模式,融合了Struts的思想和 TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。
2025-01-05 18:54:14
1156
原创 Vulnhub靶场(Earth)
可以看出会检查触发器是否存在为条件,这里就是/dev/shm/kHgTFI5G、/dev/shm/Zw7bV9U5、/tmp/kcM0Wewe这3个文件夹都需要存在。使用网站https://gchq.github.io/CyberChef/ 可以解出3段密码。靶机上将/usr/bin/reset_root文件的内容通过nc重定向到攻击机的2222端口。发现了一个用户flag:/var/earth_web/user_flag.txt。浏览器访问http://earth.local,页面显示正常。
2025-01-04 20:46:17
1690
原创 Vulnhub靶场(driftingblues2)
发现开启了22端口,服务为OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)发现开启了80端口,服务为Apache httpd 2.4.38 ((Debian))查看sudo权限的命令,发现有一个nmap命令可以无密码root使用,用于提权。再次点击网页内的链接,却发现无法进行访问,同时也发现了。从新用域名进行访问,再次尝试,即可成功访问。发现开启了21端口,服务为ProFTPD。,进入该目录,查看目录文件。文件,在这个文件中发现了。进入home目录,发现。
2025-01-03 15:49:01
661
原创 Vulnhub靶场(ica1)
在这里用户名首字母都是大写;我们要给他换成小写;使用strings命令查看一下get_access。在kali上搜索一下发现有两个漏洞,依次看一下。这个是一个web应用,框架是qdpm 9.2。数据库的密码和连接字符串存储在yml文件中。一些vm有配置问题,需要修改网卡信息。user和passwd做成一个文件。这个是一个csrf的html文件。在staff这个数据库有三张表。文件给了提示需要suid提权。访问地址后下载下来一个文件。查看了一下note.txt。爆破一下靶机的ssh。切换用户dexter。
2025-01-02 09:09:23
578
原创 常见的中间件漏洞
tomcat是⼀个开源而且免费的jsp服务器,默认端口 : 8080,属于轻量级应⽤服务器。它可以实现 JavaWeb程序的装载,是配置JSP(Java Server Page)和JAVA系统必备的⼀款环境。在历史上也披露出来了很多的漏洞 , 这⾥我们讲几个经典的漏洞复现。
2025-01-01 20:03:12
1292
原创 未访问授权的漏洞
步骤⼆:可使⽤Nmap扫描该端⼝是否开启服务,还可以使⽤Metasploit中关于允许匿名访问的rsync 扫描模块进⾏探测...步骤⼀:使⽤以下Fofa语法搜索使⽤ldap服务的产品....并通过Ldapadmin可视化⼯具做连接验证。步骤⼀:对⽬标环境在资源管理器中⽤以下格式访问...如果该服务器开启了匿名登陆,则可直接进⾏内容查看。步骤三:使⽤-H参数连接⽬标主机的docker,使⽤ps命令查询⽬标系统运⾏的镜像。步骤⼀:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!
2024-12-30 20:08:28
1443
原创 Vulnhub靶场(driftingblues6_vh)
通过访问robots.txt,我们获得了一个 /textpattern/textpattern,以及一段提示信息(希望我们在扫描目录的字典中加入.zip的扩展名)官网下载.ova文件双击vm打开导入。获取靶机IP kail终端输入。在之前的目录可以看到我们的木马。解压后得到creds.txt。工具重新扫描靶机网站目录。得出密码myspace4。
2024-12-29 16:24:32
966
原创 Wordperss漏洞 DeDeCMS漏洞
猜测绝对路径为E:/phpStudy/PHPTutorial/解压后打开第一个文件夹写入一句话木马。重新压缩为一个.zip压缩包。选中我们刚才重新压缩好的文件。先去下载一个免费模板。
2024-12-28 16:37:08
788
原创 Vulnhub靶场(Empire-Lupin-One)
查看robots.txt文件,发现一个不可访问的~myfiles文件,下面应该有其他文件,模糊测试下。得到一封信重要的有:1.存在隐藏文件 2.用fasttrack字典爆破密码 3.用户名icex64。base64解密不出来;这就是登录系统的私钥。我们可以利用kali自带的ssh2john进行密码的暴力破解。2.txt写我们解密后的数据;直接去访问一下这个文件mysecret.txt。把我们解密后的数据写到1.txt。扫到一个 secret。
2024-12-28 08:58:09
538
原创 Vulnhub靶场(Jangow)
在末尾添加"quiet splash rw init=/bin/bash"/interfaces (将网卡信息设置为自己的网卡,重启电脑即可生效。删除"recovery nomodeset"一些vm有配置问题,需要修改网卡信息。编辑文件sudo vim /etc/并且发现url有缺失 输入指令试试。当点击Buscar发现是空白页面。kali终端输入 扫描靶机ip。继续选择第二个 按e进入编辑。网络模式改为NAT模式后打开。页面显示空白 尝试去蚁剑连接。启动时点击第二个 按回车。
2024-12-26 17:36:12
609
原创 Vulnhub靶场(Matrix-breakout)
猜想该POST数据中的filename参数是否可控,因为内容是可控的,只要文件名可控,那么我们就可以轻易进行文件上传了。gobuster的效率相比于dirsearch来说更快,当字典过大的时候可以选择gobuster。输入1提交,并打开burp抓包查看,发现网站会将提交的内容到graffiti.txt文件中。发现可以访问到,接下来尝试将一句话木马写入。官网下载.ova文件双击vm打开导入。发现又多扫出两个文件 挨个访问试试。访问一下 可以看到已经写入成功。试试graffiti.php。
2024-12-25 17:00:22
483
原创 CTFHUB-web进阶(Bypassdisable_function)
根目录里有/flag但是不能看;命令也被ban了就需要绕过了。上传后我们点进去可以看到多了一个绕过的文件;来到首页发现有一句话直接就可以用蚁剑连接。环境不行蚁剑连不上就换一个工具。这关需要选择编码器和解码器。直接会给我们弹出终端。
2024-12-24 18:58:21
330
原创 Vnlhun靶场Log4j2漏洞
JNDI,中⽂名叫java命名和⽬录接⼝,它为我们提供了命名和⽬录服务,具体就不多讲了。主要是JNDI其中有⼀个lookup()⽅法,这是⼀个查找⽅法,上⾯代码执⾏结果也正是因为log4j2在获取到${}这样的格式的时候会⾃动的去调⽤lookup()⽅法。⽽这个⽅法的可怕之处就在于,它可以远程加载对象,⽐如我们传⼀个像如下,但是这样的参数进去,它就可以远程访问到我们(⿊客)本地的类,那如果这些类⾥⾯有恶意代码的话造成的危害显然是⾮常严重的。
2024-12-24 17:57:49
616
原创 Niushop开源商城(漏洞复现)
右键图片在网页新建打开图片标签;在用户名和密码位添加payload。payload设置;在BP中进行抓包,改为1.php。用户在已登录的状态点击我们的链接。制作修改用户信息链接。去蚁剑连接生成的.php就行。在放行一次修改数量为-1。在个人中心修改个人头像。使用sqlmap跑一下。通过改变数量改变价格。后面全部放行就OK了。
2024-12-23 20:05:05
1676
1
原创 Vulhub靶场Apache漏洞
然后我们在后 yjh.php 后面加上空格,再将十六进制中的 20 修改为 0a。上传被拦截,显示是一个坏文件,我们使用 bp 抓包。发现访问失败,这时我们在文件后面加上%0a 再访问。发现木马运行成功,接下来使用蚁剑连接我们的图片马。我们写一个 一句话木马文件 名字为 1.jpg。我们写一个木马 1.php.jpg。访问成功,接下来使用蚁剑连接木马。我们还是到浏览器中访问网站。会得到我们上传文件的路径。获取 shell 成功。上传成功,我们访问一下。我们将写好的木马上传。我们在网站中上传一下。
2024-12-22 21:29:34
622
原创 Upload-labs 靶场(通关攻略)
WebShell一句话木马:<?php @eval($_POST['a'])?><?php @system($_POST['a'])?>删除return checkFile()就能上传成功BP抓包修改后缀改为2.php后放行根据源码发现这关的黑名单不太严谨,我们就可以使用php同种类型的不同后缀后缀加个3 放行根据源码发现这些后缀的都无法上传,这时候就要用到.htaccess文件上传了上传.htaccess配置文件把我们的木马文件后缀修改为png根据源码发现这关没有过滤大小写就可以上传成功了根据源码发
2024-12-19 19:03:27
2409
原创 Sql注入(靶场)26-30关
这关就是会对输入的参数进行校验是否为数字,但是在对参数值进行校验之前的提取时候只提取了第一个id值,如果我们有两个id参数,第一个id参数正常数字,第二个id参数进行sql注入。该关卡过滤了注释符空格还过滤了union和select,所以我们可以使用重写绕过。发现使用 order by 不管用了,这时我们继续下一步,我们使用联合查询来猜。我们发现输入的时候它给我们把空格过滤掉了所以我们使用%09 替换空格。空格被过滤了我们可以使用()来代替,and和or可以使用双写来绕过。
2024-12-19 16:36:35
1017
原创 XXE-labs靶场 XXE 靶机(通关攻略)
随便输入一个账号密码登录 并用bp进行抓包右击发送到重放器(Reperter)通过php协议base64加密读写flag将得到的编码进行base64解密得到flag。
2024-12-18 16:01:16
810
原创 CTFHUB-web(SSRF)
点击浏览上传php文件,发现没有提交按钮,按F12打开查看器。将%0A全部替换为%0d%0A 并在末尾加上%0d%0A。将%0A全部替换为%0d%0A 并在末尾加上%0d%0A。根据题目ban掉十进制;使用Gopher进行攻击访问,获取Flag。选择php文件点击提交,并用bp抓到数据包。使用Gopher进行攻击访问,获取Flag。先尝试访问flag.php,发现没有。先尝试访问flag.php,发现没有。在访问index.php 发现为空。点击环境,访问flag.php。点击环境,访问flag.php。
2024-12-17 18:58:33
515
原创 Sql注入(靶场)21-25关
所以我们可以用单引号闭合,发现成功。id=-1' union select 1,2,3,4通过不停加数字判断最后根据页面显示是三列,且显示位是2号。第二十三关重新回到get请求,会发现输入单引号报错,但是注释符不管用。注释符都被过滤掉了,现在无法使用注释来实现注入了,但是我们还是可以利用 1=1 这样子的一个表达式来进行注入。这时我们去查看源码, 可以看出,后端代码对我们输入的登录用户名和密码进行了过滤,因此无法注入。可以看到这样也可以成功的注入出数据库的名称。我们看到我们可以注册新用户。
2024-12-17 18:55:23
325
原创 Sql注入(靶场)14-20关
这一关与15关的注入方式一样,都是使用盲注可以实现,只是闭合方式不同,这里需要使用")来闭合,就里就不再演示。我们可以看看前端页面输入的时用户名和新密码,输入了admin,然后输入密码,就会显示密码已经成功的更新了。这一关是比较特殊的一关,从17关开始,后端会过滤我们输入的内容,我们看一下后端的代码。可以看到是可以注入出数据库名称了,后面的表名,列名,数据都可以使用这种方式注入。可以看到报错了,说明是存在注入的,那么我们就可以尝试使用报错注入。我们发现页面报错了这时我们还是使用报错注入来获取数据库的名字。
2024-12-17 15:25:10
602
原创 Pikachu-XSS靶场(通关攻略)
在⽹站⻚⾯中有许多⻚⾯的元素,当⻚⾯到达浏览器时浏览器会为⻚⾯创建⼀个顶级的 Document object ⽂档对象,接着⽣成各个⼦⽂档对象,每个⻚⾯元素对应⼀个⽂档对象,每个⽂档对象包含属性、⽅法和事件。也就是说,客户端的脚本程序可以通过 DOM 来动态修改⻚⾯内容,从客户端获取 DOM 中的数据并在本地执⾏。存储型是将攻击者在留言板等输入框中输入的恶意代码直接存入数据库中,由于数据库不识别js代码,一旦有用户打开存有恶意代码的网页界面,那么恶意代码就会被从数据库中读出,是一类危害最大的xss攻击。
2024-12-09 20:30:36
2671
原创 Sql注入(靶场)九-十关
我们可以使用同样的方法得到,数据库里面有四个表'emails','referers','uagents','users'.我们可以使用同样的方法得到,数据库里面有四个表'emails','referers','uagents','users'.这时我们可以得到users表中字段名为'id','username''password',这时我们可以得到users表中字段名为'id','username''password',注:间隔就是说数字一个一个来,间隔为1就是1,2,3,4 间隔为2就是2,4,6。
2024-12-08 21:22:10
1316
原创 WAF(防火墙)绕过
在这里,客户端的第⼀次编码,以及服务端的第⼆次解码,均是由程序员自己设定的,是可控的,可知的。当遇到非ASCII 码表示的字符时,如中⽂,浏览器或通过编写 URLEncode,根据 UTF-8、GBK 等编码 16 进制形式,进行转换,如“春”的 UTF-8 编码为 E6 98 A5,因此其在支持 UTF-8 的情况 下,URL 编码为%E6%98%A5。找到第⼀个字符后继续进行下⼀个字符匹配,从而找到所有的字符串,最后就是要查询的内容,这种SQL 注入语句也不会存在逗号,从而绕过 waf 拦截。
2024-12-07 19:44:54
2260
原创 MongoDB靶场(手工注入)攻略
是⼀个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案是⼀个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最富,最像关系数据库的。MongoDB 将数据存储为⼀个文档,数据结构由键值(key=>value)对组成。
2024-12-05 20:23:20
496
原创 PostGREsql靶场(手工注入)攻略
简称PG,是⼀种特性非常齐全的自由软件的对象-关系型数据库管理系统。默认的端口是:5432,默认的用户名是: postgres ,默认的数据库也是:postgres。
2024-12-05 19:52:37
680
原创 DB2靶场(手工注入)攻略
IBM公司研制的⼀种。DB2主要应用于大型应用系统,具有较好的可伸缩性,可shu支持从大型机到单用户环境,应⽤于OS/2、Windows等平台下。DB2提供了高层次的数据利用性、完整性、安全性、可恢复性,以及小规模到大规模应用程序的执行能力,具有与平台无关的基本功能和SQL命令。
2024-12-05 19:30:46
427
原创 Oracle靶场(手工注入)攻略
是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的⼀组软件产品。是目前世界上使⽤最为广泛的,数据库管理系统。占⽤1521--》JSP inurl:/.jsp?id= 政府/重点单位。
2024-12-05 19:01:19
860
原创 Sql注入(靶场)六-八关
1. 测试报错字符双引号引起报错 说明页面有报错语句的位置2. 测试闭合注释为"--+?id=1"--+得出3列由于页面没有任何回显数据,我们猜测需要报错函数介⼊3. 使用报错函数,报错函数里面两个参数,写两个1占位置4. 我们可以操控的是第⼆个参数的位置,所以第⼆个参数的位置换成concat()函数,这个函数也 有两个参数,写两个1占位置5. 我们可以操控的地⽅也是第⼆个参数的位置 把第⼆个参数的位置换成(),⾥⾯写我们的⼦查询 语句 成功查出数据库名 后⾯查什么在⼦查询括号⾥⾯查就⾏6. 查表名。
2024-12-05 17:56:55
1247
原创 MSSQL靶场(手工注入)通关攻略 第一关
方法:通过以下Payload来探测当前站点是否是MSSQL数据库,正常执⾏说明后台数据库是。通过报错可以得到 users 表的字段名为 id,username,password。发现加入单引号时报错,但是注释掉后面的之后的就正常了,所以他是单引号闭合的字符型。方法:user回显的dbo表示是最高权限,如果是⽤户的名字表示是普通权限。由报错信息可知第一个表为users表,接着查询第二个表。回显正常,确定使用的是MSSQL数据库。得到第三个表uagents,查第四个表。得到第四个表uagents,查第五个表。
2024-12-05 17:33:42
821
原创 AI WEB靶场(通关攻略)后续
浏览器访问http://192.168.131.164:80/se3reTdir777/uploads/tmpufyuw.php。选择1.php一句话木马文件上传。发现为空,说明已经植入。
2024-12-04 20:33:55
387
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人