- 博客(289)
- 收藏
- 关注
RSS订阅原创 【代码审计】CVE-2023-51074漏洞点解读&修复
最近在看内网相关的东西,好东西都写本地了没发出来,被4riH04X师傅叫去看个洞,浅写一下🤔CVE-2023-51074 是一个影响组件的安全漏洞,涉及问题,可能导致拒绝服务(DoS)攻击。
2025-03-16 17:50:37
1324
原创 【钓鱼】基于office的一些钓鱼技法
解压docx文件,修改 word\_rels\settings.xml.rels文件的Target属性,将其指向部署恶意模版文件的服务器。先随便创建一个快捷方式,让其指向powershell,并用-command指定恶意命令。去下一个pdf风格的png文件,改后缀为ico文件。3.新建并保存一个使用任意模版的docx文件。1.制作包含宏的恶意模版文件(.dotm)下面用office2016来演示。2.将恶意模版文件上传至服务器。打开docx文件,成功执行命令。保存后打开文件,成功命令执行。
2025-01-26 12:55:53
612
原创 【Web】2025-SUCTF个人wp
先是找入口点,全局搜__destruct,看到RejectedPromise这个类对handler、reason可控,可以拼接message触发__toString。从_methodMap中取一组数据,配合_loaded,可以调用任意类的任意方法,最后走到sink。结合“测试”的提示&404特征辨别题目服务是php-S启动的。因为是先解压再检验文件后缀,所以可以用解压失败来绕过。以admin身份登录,拿到读文件的权限。找到一个比较干净的触发eval的类。find提权拿flag。bp把自动更新长度关掉。
2025-01-19 20:33:26
1680
原创 【Web】2025西湖论剑·中国杭州网络安全安全技能大赛题解(全)
本地起一个服务,折半查找fuzz黑名单,不断扔给fenjing去迭代改payload。本地搭一个服务查看替换后拼接的sql语句,发现成功闭合。username存在报错回显,发现可以打SSTI。逗号的绕过参考ctfshowweb344。引号被ban只要用前面自带的引号就行。replace的绕过参考。打入,下载flag文件。
2025-01-18 20:00:00
4107
1
原创 【adb】5分钟入门adb操作安卓设备
是一个多功能的命令行工具,用于与 Android 设备进行交互、调试和管理。它提供了对设备的直接控制,能够帮助开发者进行调试、安装应用、传输文件等。ADB 通过 USB 或者 Wi-Fi 连接 Android 设备与计算机。首先需要启用设备的“开发者选项”和“USB 调试”。然后,通过 USB 数据线连接设备并使用 adb devices 命令检查设备是否已正确连接。ADB 会在后台启动守护进程,并通过设备上的调试端口与电脑进行通信。这里教一下adb怎么用wifi连接手机。
2025-01-08 21:14:15
1220
原创 【APP】5分钟上手基于BurpSuite的APP抓包
ipconfig -all查看电脑在WLAN下的IP。bp设置监听的端口和ip,ip设置为上一步看到的ip。在设置中搜索证书,按步骤安装证书。在wifi处设置代理为bp监听。手机和电脑连上同一个wifi。这里为10.0.23.80。der后缀改为cer。
2025-01-07 17:28:19
432
原创 【Web】软件系统安全赛CachedVisitor——记一次二开工具的经历
题目预设的visit.script是与内网的redis通信,可以打用gopher协议打redis任意文件写,但题目没有计划任务,考虑直接覆写/scripts/visit.script。大概描述一下:从main.lua加载一段visit.script中被##LUA_START##(.-)##LUA_END##包裹的lua代码。因为有##LUA_START##(.-)##LUA_END##包裹,所以不会被脏数据影响。直接用redis-over-gopher一直打不通。CachedVisitor这题。
2025-01-05 23:00:10
684
2
原创 【Web】极简&快速入门Vue 3
props: {</script><template><p>父组件值:{{ parentValue }}</p><script>data() {return {
2025-01-04 16:45:17
933
原创 【小程序】5分钟快速入门抓包微信小程序
随便启动个微信小程序,任务管理器中看到小程序进程:WeChatAppEx.exe。创建代理规则,让WeChatAppEx.exe走设置的bp的代理。期末周无聊,抽点时间看看小程序渗透,先讲下微信小程序的抓包。bp先开个端口代理,演示用的8080(懒得再导证书)工具:Burpsuite+Proxifier。应用规则,别的规则设置为Direct直连。Proxifier设置好bp的代理。
2025-01-03 17:49:10
2481
1
原创 【Web】2024“国城杯”网络安全挑战大赛决赛题解(全)
最近在忙联通的安全准入测试,很少有时间看CTF了,今晚抽点时间回顾下上周线下的题(期末还没开始复习😢)感觉做渗透测试一半的时间在和甲方掰扯&水垃圾洞,没啥惊喜感,还是CTF有意思。
2024-12-24 22:24:06
1820
原创 【Web】captcha-killer-modified插件在CTF中的应用示例
账号用d3f4u1t,密码用字典爆,验证码用BP插件识别。访问./Fl4g_is_h3r3/login.php。访问./www.zip拿到一个密码爆破字典。翻找找到管理员用户d3f4u1t和测试路径。扫一下/Fl4g_is_h3r3子目录。爆出来密码是princess!注意爆破进程调小一点。
2024-12-13 17:24:54
498
原创 【Web】2024“国城杯”网络安全挑战大赛题解
因为是GET传参,为尽量缩短payload长度,我们的base64_payload要用最短webshell<?不能有.点号,用attr过滤器来绕过,为了方便执行命令,用request.POST.get()获取请求参数。base64解码拿到admin.php源码,发现需要以admin登录才能使用SSRF功能。我的vps是裸IP,所以用Cloudflare Worker的临时域名来起个服务。访问/.index.php.swp下载index.php.swp。尝试二次编码绕过读到admin.php。
2024-12-10 07:33:44
2570
2
原创 【LLM】NSSCTF Round#25 Basic大模型Prompt挑战全解
目录大模型Prompt挑战一 大模型Prompt挑战二 大模型Prompt挑战三大模型Prompt挑战四大模型Prompt挑战五 大模型Prompt挑战六大模型Prompt挑战七 大模型Prompt挑战八 大模型Prompt挑战九
2024-12-09 12:10:45
774
1
原创 【Web】2023安洵杯第六届网络安全挑战赛 WP
匿名函数在创建后,函数变量会存储一个值从lambda_1开始,数字不断增大的字符串,且每创建一次,这个字符串数字部分都会增大,除非结束php的进程,刷新网页仍会继续计数。第一段正则用于匹配以 include 结尾的字符串,并且在 include 之前,可以有任意多个 5 个字符组成的块。如果 $d0g3 的长度等于 $miao 字符串的最后两个字符的值,且 $name 严格等于 $miao的值。可以污染下面的值来利用render_template_string去RCE。再SplFileObject读文件。
2024-12-07 23:24:32
1668
原创 【Web】复现n00bzCTF2024 web题解(全)
访问./3c68e6cc-15a7-59d4-823c-e7563bbb326c拿到flag。那么我们可以用恶意文件覆盖/etc/cron.custom/cleanup-cron。先用路径穿越覆盖/etc/cron.custom/cleanup-cron。),则攻击者可以将文件解压到任意目录,甚至覆盖系统中的敏感文件。同理上传生成的tar,读dummy.txt拿到flag。再用软链接读/app/ls.txt。生成一个恶意的tar文件,上传。点击View会显示一张图片。再生成恶意tar包,上传。
2024-12-06 02:01:34
1258
原创 【Web】AlpacaHack Round 7 (Web) 题解
flag在md5值拼接flagtxt的文件里,如访问已经存在的目录状态码是301访问不存在的目录状态码是404基于此差异可以写爆破脚本这段waf可以用url编码绕过做个lab可以看到express的req.url直接取到了原始路径gpt搓一个脚本脚本跑出来的路径再拼接/f/l/a/g/t/x/t的url编码拿到flag。
2024-12-06 02:00:47
559
原创 【内网渗透】最简明的ATT&CK实战 | Vulnstack 红队(二)
上传的目录是C:\Oracle\Middleware\user_projects\domains\base_domain。PC外网ip: 192.168.111.201 内网ip:10.10.10.201。WEB外网ip:192.168.111.80 内网ip:10.10.10.80。内网扫出来,可以看到201和10都可以打永恒之蓝。拿到shell,顺带getsystem提权。weblogic一把梭工具梭开。关掉防火墙,下载msf马,执行。kiwi模块也犯病跑不出来。尝试打永恒之蓝,均失败。
2024-12-05 02:46:37
546
原创 【内网渗透】最简明的ATT&CK实战 | Vulnstack 红队(一)
win7 外网ip:192.168.152.130 内网ip:192.168.52.143。直接永恒之蓝梭掉(这里先只梭DC吧,拿到域控再PTH,有意思一点)可以看到不能into outfile写马。直接拿域管的hash打pth拿下141。root:root登录后可以操作数据库。传fscan和frp,扫内网,搭代理。看到141和138都有永恒之蓝可以打。入口机是个phpStudy探针。访问/phpmyadmin。dirsearch开扫。执行正向shell马。msf拿到shell。在win7靶机上运行。
2024-12-03 22:41:30
553
原创 【LLM】Langchain+RAG大模型学习笔记
LangChain 是一个用于构建基于语言模型应用的开源框架,它帮助开发者将大语言模型(如 OpenAI 的 GPT)与外部数据源、工具、数据库、API 等集成,从而构建更为复杂、智能和实用的应用。:将多个操作或模型调用按顺序链接在一起。开发者可以组合语言模型与其他工具(如数据库、API 或外部应用程序),以实现更复杂的任务。:LangChain 允许创建智能代理,代理可以根据特定的任务或输入条件动态地选择和调用不同的工具或模型。这使得开发者能够构建能够自动执行多步骤决策的智能系统。
2024-12-02 01:32:11
1181
原创 【内网渗透】最保姆级的2022网鼎杯半决赛复盘打靶笔记
蚁剑连接./wp-content/themes/twentytwentyone/header.php。利用上面生成的 pfx 证书配置域控的 RBCD 给上面创建的HACK$接下来打打ADCS,这里是CVE-2022-26923。/tmp目录下传fscan和frp,扫内网,搭隧道。先把24的MS17-010永恒之蓝打了。弱口令admin:123456登录。弱口令admin:123456登录。172.22.15.26 本机。访问./wp-admin。之后手动标注一下域用户名。dirsearch开扫。
2024-11-01 00:33:57
1407
原创 【内网渗透】最保姆级的春秋云镜Hospital打靶笔记
上传至 web01 服务器(flag01 那台),web01 上开启 python 服务。访问/actuator/heapdump下载到heapdump文件。finalshell连接,这样就可以随时访问,传文件也方便。后续需要用psql提权,所以先改一下root密码。发现新的资产不同于之前的网段,需要搭建多层代理。在web3上运行(只有v1.1版本可以)不能直接读flag文件,走suid提权。拿shiro一把梭工具梭开 注入内存马。vim.basic提权读到flag1。vim.basic提权到root。
2024-10-31 02:38:58
1378
1
原创 【内网渗透】最保姆级的春秋云镜Spoofing打靶笔记
抓到一个zhanghui用户的哈希1232126b24cdf8c9bd2f788a9d7c7ed1,他在MA_Admin组,对computer能够创建对象,能向域中添加机器账户,所以能打noPac。用之前172.22.11.45上抓的机器账户XR-DESKTOP$哈希打172.22.11.26的RBCD,申请ST票据。开启ntlmrelayx,利用前面拿下的XR-Desktop作为恶意机器账户设置RBCD,接着使用。wget下载fscan和frp,搭代理扫内网。curl一下,发现确实被本地kali接收到。
2024-10-17 00:44:37
903
原创 【Web】portswigger 服务端原型污染 labs 全解
JavaScript 原本是一种运行在浏览器上的客户端语言,但随着 Node.js 等服务端运行时的出现,JavaScript 被广泛用于构建服务器、API 和其他后端应用,从逻辑上讲,这也意味着原型污染漏洞也有可能出现在服务端环境中。虽然基本概念大致相同,但识别服务器端原型污染漏洞并将其开发为可利用的漏洞的过程带来了一些额外的挑战。在本节中,您将学习多种黑盒检测服务器端原型污染的技术。我们将介绍如何高效且无损地进行检测,然后使用交互式、故意设置漏洞的实验室来演示如何利用原型污染进行远程代码执行。
2024-10-04 12:09:20
1899
1
原创 【NoSQL】portswigger NoSQL注入 labs 全解
NoSQL 数据库以不同于传统 SQL 关系表的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此,它们的关系约束和一致性检查通常比 SQL 少,并且在可扩展性、灵活性和性能方面具有显著优势。与 SQL 数据库一样,用户使用应用程序传递给数据库的查询与 NoSQL 数据库中的数据进行交互。但是,不同的 NoSQL 数据库使用各种查询语言,而不是像 SQL(结构化查询语言)这样的通用标准。这可能是自定义查询语言或 XML 或 JSON 等通用语言。
2024-10-03 22:20:10
1762
3
原创 【JWT安全】portswigger JWT labs 全解
根据设计,服务器通常不会存储有关其发出的 JWT 的任何信息。相反,每个令牌都是一个完全独立的实体。这有几个优点,但也带来了一个根本问题 - 服务器实际上不知道令牌的原始内容,甚至不知道原始签名是什么。因此,如果服务器没有正确验证签名,就无法阻止攻击者对令牌的其余部分进行任意更改。如果服务器根据此 来识别会话username,则修改其值可能会使攻击者能够冒充其他登录用户。同样,如果该isAdmin值用于访问控制,则可能为特权升级提供一个简单的payload。
2024-10-02 20:56:12
2550
1
原创 【内网渗透】最保姆级的春秋云镜Flarum打靶笔记
psexec无密码连上FILESERVER,拿到SYSTEM权限(psexec自带提权效果)发现zhangxin用户是ACCOUNT OPERATORS组的,可以打RBCD。rockyou.txt爆出administrator/1chris,登录。切到/tmp目录下wget下载fscan和frp,扫内网搭隧道。直接secretsdump,先导出SYSTEM的hash。读到一个用户表,dump下来并处理成users.txt。用phar协议触发反序列化,反弹shell。但因为靶机配置原因没连上去。
2024-10-01 22:38:04
1026
原创 【API安全】crAPI靶场全解
目录BOLA VulnerabilitiesChallenge 1 - Access details of another user’s vehicleChallenge 2 - Access mechanic reports of other usersBroken User AuthenticationChallenge 3 - Reset the password of a different userExcessive Data ExposureChallenge 4 - Find an API e
2024-09-27 13:19:45
1451
原创 【内网渗透】最保姆级的春秋云镜Privilege打靶笔记
在xradmin/ruoyi-admin/src/main/resources/application-druid.yml找到Oracle的账密。internal-secret/credentials.txt里找到XR-0923的账密。whami /priv查看用户权限,发现又多一个SeBackupPrivilege。回到脚本控制台获取对应的明文,获得gitlab PRIVATE-TOKEN。抓tianjing的hash,写入hash.txt。上传fscan,frp,扫内网,搭代理。
2024-09-20 02:13:55
1388
原创 【Web】从网安的角度浅聊Groovy命令执行
Groovy 是一种基于 Java 平台的动态语言,旨在提高开发效率。它与 Java 语言高度兼容,允许开发者以更简洁的方式编写代码。Groovy 支持面向对象编程、闭包、DSL(领域特定语言)等特性,使得它在构建脚本、自动化任务、Web 开发等方面非常有用。
2024-09-18 23:35:46
873
原创 【内网渗透】最保姆级的春秋云镜Delivery打靶笔记
WIN-HAUWOLAO有CHENGLEI的session,而CHENGLEI属于ACL Admins 组,ACL Admins 组对 WIN-DC 具有 WriteDacl 权限。随便填一下数据抓包发现是以xml格式传输数据,可以打用xstream反序列化打CC依赖。172.22.13.28 OA系统、mysql弱口令root/123456。发现是phpstudy起的服务,并且可以写web文件。wget下载frp和fscan,扫内网,搭隧道。编译恶意c文件,给到suid root。
2024-09-15 19:29:21
996
原创 【Web】XGCTF 西瓜杯 超详细题解
var_export() 确保 $config 数组可以被转换为合法的 PHP 代码并存储到文件中,以便下次项目运行时这些新的配置可以被加载和应用。它的主要功能是在用户请求时检查是否有可用的缓存,如果缓存可用则直接返回缓存内容,从而避免重新处理请求,提升性能。substrstr($data) 的作用是从输入的字符串 $data 中,提取第一个方括号 [ 和 ] 之间的内容。同时我们逃逸出的字符不能大于原来的字符数量,所以我们可以传参start来调整原字符的数量,以此逃逸出预期的字符。
2024-09-10 16:13:50
3596
原创 【内网渗透】最保姆级的春秋云镜Exchange打靶笔记
fscan扫外网访问8000端口->官方网站admin/123456弱口令打/user/list?search=的jdbc+fj反序列化vps搭一个MySQL_Fake_Server。
2024-09-07 15:21:12
746
原创 【内网渗透】最保姆级的春秋云镜Certify打靶笔记
得到zhangxia和chenchen的密码哈希,分别hashcat爆一下。切到/tmp目录wget下载fscan和frp,搭代理,扫内网。拿到生成的administrator.pfx获取域管哈希。拿到personnel.db和flag02.txt。两个rdp都失败了,flag2提示打SPN。改一下/etc/hosts,避免超时。一张导出为username.txt。一张导出为password.txt。172.22.9.19 已拿下。再rdp连上去,发现什么都没有。处理一下导出文件内容的双引号。
2024-09-04 16:37:13
872
原创 【内网渗透】最保姆级的春秋云镜Delegation打靶笔记
结合提示WIN19\Adrian,去打172.22.4.45 ,密码喷洒得到babygirl1这个过期的密码。服务的注册表项进行广泛的修改,包括更改配置、删除和创建新的配置项等。访问./admin后弱口令admin/123456登录后台。再利用强认证漏洞强制DC访问WIN19,拿到其TGT票据。蚁剑上传fscan和frp,扫内网,搭隧道。创建一个administrator权限用户。打administrato的pth。给到hint,明显是一个域用户。找到一个风险文件,大意是可以对。直接读flag2没有权限。
2024-09-02 22:40:33
833
原创 【内网渗透】最保姆级的春秋云镜Time打靶笔记
SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限。:这是一个针对 Kerberos 认证协议的攻击方法,主要目标是尝试从 Active Directory 获取不需要预身份验证的用户的加密凭证信息。巧的是,YUXUAN是自动登录用户。同理打pth拿到flag4。fscan扫一下内网。
2024-08-31 22:00:03
1443
原创 【内网渗透】最保姆级的春秋云镜Brute4Road打靶笔记
管理员权限运行mimikatz 导出MSSQLSERVER的票据。连一下客户端看版本号,5.0.12可以打主从复制。还有个密码表dump下来,是连mssql的密码字典。wp-config.php中泄露了数据库连接信息。低权限shell,base64 suid提权。扫出来wpcargo插件,存在一个公开poc。wpscan扫wordpress服务。fscan扫出redis未授权访问。靶机不出网,打msf正向连接。172.22.2.7 已控制。配好socks5代理后连蚁剑。下载fscan扫内网。
2024-08-27 03:42:44
1049
原创 【Web】NepCTF 2024题解
这里要求存在一个用户NepNepIStheBestTeam,在前面就注册这个用户就能登录8080端口。找到拿字符串的html位置,手改成自己的 id,然后注册。第一个注册流程,无论给什么图片都是TEST。数据占用打崩,让服务重启反弹shell。对着CVE-2024-37084复现。参数不能带空格,用${IFS}flag在phpinfo里。start.sh有权限更改。反弹shell拿flag。upload.py上传。root权限读flag。zip包转字节列表脚本。在文件名处打SSTI。生成恶意文件名的文件。
2024-08-26 09:00:00
1362
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人