- 博客(36)
- 收藏
- 关注
RSS订阅原创 XYCTF-部分web总结
Via头是 HTTP 请求和响应中的一个常见标头之一。它用于指示请求或响应经过的中间节点(例如代理服务器或缓存)makefile的基本语法使用参考:Makefile教程(绝对经典,所有问题看这一篇足够了)-优快云博客xxd是一个十六进制编辑器,它可以用来查看文件的十六进制表示,并可以将二进制数据转换为十六进制格式。它通常在 Unix 和类 Unix 操作系统(如 Linux)中提供。查看文件的十六进制表示生成十六进制转储文件将十六进制转储还原为二进制文件将二进制文件转换为 C 风格的数组。
2024-04-27 00:00:00
1702
原创 DHCP学习记录
客户端向DHCP服务端申请获得ip的一种约定俗成的话语(协议)手工配置方式:通过网络管理员手工配置某台客户端特定的IP地址,当客户端请求分配时,DHCP服务器就将手动配置的IP地址分配给客户端。。自动配置方式:当DHCP客户端第一次想服务端租用到第一个IP地址后,就将这个IP地址永久分配给客户端使用。动态配置方式:服务器暂时分配一个IP地址给客户端,根据租约到期或者续约租期的方式来管理分配的IP地址。通常主机连接WIFI得到IP的过程就是。
2023-12-30 22:04:22
714
原创 域传送漏洞
当用户访问域名时浏览器解析首先会查看浏览器缓存是否有对应的ip,如果没有则会到本地host文件中查看是否有对应的ip,如果没用则会将域名发送给本地区的DNS服务器.DNS服务器分为递归服务器,根服务器,权威服务器首先是递归服务器拿到域名后查看缓存,如果缓存没用则向根服务器查询顶级域名服务器的ip地址。递归服务器对应的顶级域名找到并询问顶级域名服务器二级域名,顶级服务器返回二级域名对应的ip。递归服务器根据二级域名的ip找对并访问权威服务器。权威服务器返回整个域名的ip给递归服务器。
2023-12-29 20:45:43
655
原创 校赛ezzzz_web(intval特性利用)
if1就是单纯的判断guet的哈希值是什么,提示已经说了长度为14,已经知道了11个位,剩下3个就明显是要爆破了。首先 是一个大的if判断,意思是以2023开头GUETSEC结尾的字符串才可以返回true。从正向来看2023GUETSEC的intval值为2023但逆序后值就为0了。要想满足guet在逆序后的intval值还是相等的很大可能是构造成0了。就可以使用hash扩展攻击得到最终的payload。-a 3是用攻击模式的掩码爆破。知道了flag的长度和md5值。-m是使用的md5爆破方式。
2023-12-25 14:17:47
482
原创 校赛ez_web(文件上传与phar反序列化的碰撞)
执行的函数,无疑就是RCE中想要的system()函数了,而$arg就是前面$this->$var->{$this->func}($_POST['cmd'])中POST传入的cmd参数的值了,显然就是system要执行的命令了。再到另一个文件下载的页面,前面修改filename的值总说是没有权限,现在是admin就可以尝试去访问文件,于是就改filename的值为刚刚看到的class.php发现源码。链子构造好后,就看到file_exists()函数,这个函数是用于检查指定路径的文件或目录是否存在的函数。
2023-12-24 16:59:35
1085
原创 网络渗透作业(2)
对比校园网和个人热点对ip的处理在连接校园的情况下虚拟机获取不了ip是因为MAC 地址过滤:校园网可能对连接设备(虚拟机)的 MAC 地址进行了过滤,而 Kali Linux 的 MAC 地址不在被允许列表中,因此无法获得 IP 地址。
2023-11-12 20:10:03
193
原创 [第五空间 2021]pklovecloud
同一个类中的两个属性进行强比较,neutron有了赋值且赋值是$heat(整体没有出现)而nova又没有,这种情况下看着是无法相等的,但是这样可以利用null来进行比较,换句话说只要dokcer的类是null,哪无论怎么赋值结果都是null。而要利用到该函数就要大体上看如何构造pop链,可以看到是在rce类中的echo_name方法中,而唯一能调用这个方法的只有rcp类中的Tostring方法中,该方法。2.遇到受保护属性可以通过修改方法中的赋值来修改私有属性(很疑惑序列化后方法不是没了吗)
2023-07-05 19:18:09
363
原创 Laravel Debug mode 远程代码执行漏洞(CVE-2021-3129 )
Laravel < 8.4.3可以实现日志利用造成phar反序列化。
2023-07-03 21:12:16
1504
原创 Apache Log4j2远程代码执行漏洞复现(CVE-2021-44228)-----记第一次反弹shell
通过工具来生成带有反弹shell语句的恶意可执行文件,进而通过部署LDAP服务和http服务,然后通过LDAP服务实现JNDI注入使得服务器去请求http服务上的恶意可执行文件从而造成服务器解析反弹shell的指令最后实现getshell参考:(1条消息) log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_Bossfrank的博客-优快云博客log4j2漏洞经典复现(vulhub靶场) - FreeBuf网络安全行业门户。
2023-07-01 19:58:26
291
原创 [NISACTF 2022]middlerce-----正则匹配回溯绕过
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。2.到a这个字符从后面往前回溯匹配,先吐出一个d但匹配不上,继续吐出一个s,sd还是与a匹配不上。这个字符表示可以匹配任意的字符,那么按上面说的匹配机制,
2023-06-26 22:33:13
1293
3
原创 [NISACTF 2022]is secret------Flask下的SSTI
应该是要进行一个传参,随便传一个数进去会返回一个不一样的字符,传入该字符又得回原来的数,猜测应该是一个对称加密,但这远远不知道是什么。属性,它会以一个 dict ,返回函数所在模块命名空间中的所有变量。方法的操作系统中打开一个子进程,并执行cat /f*的命令。对包含函数全局变量的字典的引用,所有的函数都会有一个。题目标签是SSTI,于是尝试使用{{6*6}}作为占位符是因为这个变量在模板渲染时已经存在。传入后得到49说的确存在SSTI注入。网上找到脚本尝试{{7*7}} 加密。flask框架下模板注入。
2023-06-25 19:49:49
572
原创 [天翼杯 2021]esay_eval-----记Redis提权
一旦攻击者获得了访问权限,他们就可以上传 exp.so 文件到 Redis 服务器中,并使用 Redis 的 module load 命令加载这个文件。exp.so 文件是一个 Redis 模块,它提供了一些命令和功能,可以让攻击者在 Redis 服务器中执行任意代码,从而获得服务器的控制权。Vim缓存泄露指的是当用户在Vim编辑器中打开了一个文件,并进行了修改,然后使用了Vim或其他工具关闭了该文件,但Vim缓存中仍然保留着该文件的副本,从而导致该文件中的敏感信息(例如密码、私密密钥等)泄露的漏洞。
2023-06-25 16:48:27
280
原创 [湖湘杯 2021 final]Penetratable-----记suid提权
于是可以根据这个发包对里面的data改写成root的,这要登录在admin下进行修改,因为root没有权限哪只能是admin有。sed命令来自英文词组“stream editor”的缩写,其功能是用于利用语法/脚本对文本文件进行批量的编辑操作。可以看到有目录泄露,经过读取有static里可以看到有用信息其他的都说php文件读取后没有回显。但是用同样的方式发现不能对root进行修改密码导致不能登录root。这样意思是在admin下修改root的密码,这里修改为root。登录后暂时没有发现什么有用的信息。
2023-06-24 00:00:00
496
原创 [NISACTF 2022]easyssrf Leaderchen
这里主要是因为不是在index.php中而在别的php文件中,可能会存在遍历。存在文件包含,利用file协议读取flag失败。访问ha1x1ux1u.php发现源码。可以使用php协议中的filter来读取。这里也可以使用写入链的方式读取。利用file协议读取。应该是过滤了file。得base64加密的。
2023-06-24 00:00:00
394
原创 [CISCN 2019华东南]Web11
打开就是一堆信息,观察后看到有XFF,抓包看一下的确没有XFF扩展头。尝试着添加但是一直没有反应(可能是个人的bp问题)XFF的SSTI--smart。用hackbar来添加XFF。因为是SSTI中的smart。由此可以查找并读取flag。
2023-06-24 00:00:00
96
原创 [NISACTF 2022]babyserialize
看到$bb处存在函数调用,该处在Ilovetxw类中__tostring下,要触发__tostring可以看到__set下有(触发__set可以看到__call下有,而触发__call发现TianXiWei类下的__wakeup中有。eval在__invoke下,触发__invoke要找到调用的函数的地方。因为waf过滤了system,这里可以使用大写绕过。首先看见eval可以从这里获取flag。
2023-06-11 22:06:16
229
原创 [鹏城杯 2022]简单包含
有waf,尝试着查看index.php可以正常返回加密的base64,解码后得源码。简单分析,需要满足传入有flag并且传入的字符数要>800才会满足包含条件。
2023-06-11 20:44:55
559
原创 [SWPUCTF 2021 新生赛]finalrce
exec函数是一个PHP内置的外部命令执行程序。它可以在服务器上执行任何可执行文件或命令,并在执行过程中返回输出。tee命令的功能是用于读取标准输入的数据,将其内容转交到标准输出设备中,同时保存成文件。利用这个命令让执行后的内容存到一个文件下然后去访问这个文件,从而实现间接的命令执行。这里很明显是waf绕过命令执行,但是在尝试执行命令后没有回显并出现。这里要注意格式,ls后一定要加/ 不然返回的是刚刚存入的文件。先是一个正则匹配,再到一个exec执行命令的函数。这里用一个linux的一个命令。
2023-06-11 20:20:13
732
原创 [ZJCTF 2019]NiZhuanSiWei
这里可以利用file协议来读取到useless.php中的内容。源码分析有一个uesless.php的文件包含,所以尝试着读取。可以利用php://filter协议读取文件(多指php源码)发现又存在file_get_contents文件读取。这里需要使用data协议对读取的文件进行输入。可以通过data协议来对任意文件进行输入内容。其中存在一个__tostring的魔术方法。在前面的源码中发现可以通过echo来触发。这就可以利用这个读取flag.php了。而在要读取到该文件就要先绕过。
2023-06-11 18:03:41
138
原创 [HZNUCTF 2023 preliminary]ppppop
这里在B类中调用system没有,直接触发__call方法并将system作为参数传入__call中造成执行系统命令来查看环境变量从而得到flag。得到源码后就是反序列化构造pop链了,不难看出是通过A类来触发B类中的__call从而实现任意命令执行。一片空白的原因可能就是布尔值为0,改成1再base64加密后替换原cookie发包。解码发现是序列化后的字符串而且有一个布尔类型的变量为0。打开一片空白,抓包发现base64加密后的cookie。
2023-06-10 19:12:14
607
原创 [GDOUCTF 2023]反方向的钟
hahaha是classroom的一个方法,所以这里要实例化classroom赋给dapartment。hahaha返回true三个变量相等其中后面两个变量明显是一个对象中的name和rank变量。a为类,b用php协议读取flag.php /代码中说了flag在flag.php中。有这两个变量的只有teacher类,所以要实例化该类并赋值给leader。返回为真的时候调用,这样又要看到dapartment调用hahaha。所以目标点加上school类中的IPO方法。
2023-06-04 20:57:41
969
原创 CTFSHOW国赛复现-----Unzip(软连接利用)
因为解压的目录更改了,所以要把解压文件所在目录放在var/www/html(因为html目录下是web环境)这样才能在解压shell文件时实现getshell。这里利用linux构造软连接使得上传文件指向到var/www/html目录下。接下来就是在var/www/html目录下上传一个shell文件就可以了。再上传该压缩包,因为解压后的目录同名所以会覆盖原指定目录。所以此时目录是var/www/html/cmd.php。在test的目录下创建一句话php文件。--symlinks表示压缩软连接。
2023-06-04 17:03:46
3080
原创 php-SER-libs-main反序列化靶场通关详细思路
这里先是要把my类实例化到body中,而project要是my中不存在的方法,理应随便赋值但是在触发__call后call需要输入两个参数,name可以自行赋值,但是func就要在触发时就有参数,所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候,在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间,文件名等)储存在session中,而当我们以。新手学习反序列化
2023-05-30 18:24:00
5953
4
原创 ISCC--实战第一阶段(记Drupal漏洞利用)
或者进入pycharm中(如果是用pycharm的话)在里面搜索beautifulsoup4下载即可。使用最常见的cve-2018-7600漏洞。如果报错可以尝试进入python输入。输入ps -ef查看进程即可。按要求下载VPN连接后。用linux搜索相关漏洞。在网上搜索该漏洞的poc。把地址改成需要利用的地址。
2023-05-19 23:29:42
480
1
原创 LitCTF-Ping
说明这个判断单是在前端的,先按规则输入ip就可以正常抓取。所以是ping注入,但无论如何注入都无法闭合。返回上一个目录,直至发现flag。于是发往重发器进行ping注入。抓包都会弹出,导致无法抓取。查看源码,得知是输入ip。
2023-05-14 18:20:48
112
原创 LitCTF部分题目WP(Virginia,ping,SQL)
由此可以看出每一个以为都递增的移动,所以可以写个小脚本解码出来。发现解码出来的还有一部分是乱码,将部分乱码再次进行爆破。维吉尼亚,想到维吉尼亚解码但没有key就爆破key。最终得知flag是不一样的凯撒,那只有变异凯撒。解码的第一个是86而L对应的是76,退了10。第二个是116而i对应的是105,退了11。第三是128而t对应的是116,退了12。对照表格被次比赛是LitCTF。
2023-05-14 18:12:40
1831
原创 [HDCTF 2023]LoginMaster 复现 (记quine注入)
benchmark时间盲注 [HDCTF 2023]LoginMaster 复现quine注入解释
2023-04-24 22:44:36
1173
原创 春秋云镜 免费空间 部分web题目
春秋云镜 靶场免费空间(持续更新)Web Based Quiz System SQL注入;Pharmacy Management System shell upload
2023-04-11 20:18:42
304
原创 ctfshow crypto-BJDCTF2020-easyras
ctfshow crypto-BJDCTF2020-easyras解题思路(wp)
2023-02-28 16:02:52
408
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人