sucker的博客

原创 Wallaby‘s: Nightmare (v1.0.2)靶场渗透

iptables -t nat -A PREROUTING -p tcp --dport 外部端口 -j DNAT --to 内网IP:端口。天哪，这个家伙管理员要我......很高兴我搬到了另一个港口，这样我就可以更安全地工作了!iptables -A INPUT -p tcp --dport 端口 -j ACCEPT。iptables -A INPUT -p udp --dport 端口 -j ACCEPT。输入名字，跳转到一个新的页面，这个网站存在文件包含漏洞。

原创 Glasgow Smile: 1.1靶场渗透

在所有用户可读写执行时，且这个文件是一个以root权限执行定时任务的文件时，就能够被利用于反弹shell。然后在网站首页index.php里面插入一个反弹shell的木马，就使用kali自带的。与此同时kali打开对1234端口的监听，一分钟后成功接收到来自靶机的shell。7，保存后，点击template preview，就会触发反弹shell代码。11，经过测试发现是abner用户的密码，横向移动成功。10，得到rob用户账户密码之后，尝试横向移动。这正是penguin的密码，横向移动成功。

原创 LemonSqueezy: 1靶场渗透

orange/ginger尝试登录，然后又得到一个密码，应该是phpmyadmin的密码 n0t1n@w0rdl1st!9，将python反弹shell的命令写入到/etc/logrotate.d/logrotate。访问这个URL，与此同时kali linux要打开对4444端口的监听。注意到/wordpress.tar.gz，访问一下下载这个压缩包。网站存在wordpress和phpmyadmin，非常经典的架构。5，使用wordpress的专属扫描工具。6，尝试登录phpmyadmin。

原创 心脏滴血漏洞（CVE-2014-0160）漏洞复现

该脚本用于检测目标服务器是否受心脏滴血漏洞影响，通过构造异常的TLS心跳请求（Heartbeat Request），触发服务器返回内存中的敏感数据。typ, ver, ln = struct.unpack('>BHH', hdr) # 大端格式解析：1字节类型，2字节版本，2字节长度。18 03 02 00 03 # TLS记录头：类型0x18（心跳），版本0x0302（TLS 1.2），长度0x0003。客户端发送心跳请求（：输出数据，若长度超过3字节（1字节类型+2字节长度），判定漏洞存在。

原创 搭建复现环境

掌握其核心配置和命令后，您可以轻松管理多容器应用，实现开发与生产环境的高度一致性。- ./html:/usr/share/nginx/html # 挂载目录。- mysql_data:/var/lib/mysql # 数据库持久化。）定义复杂的应用服务、网络、存储卷等资源，并通过单一命令完成所有服务的启动、停止和重建。- ./www:/var/www/html # 代码持久化。一个容器实例的定义（如Web服务、数据库），可指定镜像、端口、环境变量等。1，安装配置Docker 这个流行的容器化工具。

原创 InfoSec Prep: OSCP靶场渗透

若二进制文件设置了 SUID 权限位（即 -rwsr-xr-x ），且未正确降权，攻击者可能利用它访问文件系统、提权或维持权限（例如作为 SUID 后门）。在 Debian Stretch 及更早版本 中，默认允许 Shell（如 bash）以 SUID 权限运行（无需额外参数即可保留特权）。该页面的乱码有base64编码的特征，解码就能得到内容。是一个RSA私钥，应该会在之后的横向移动环节用到。7，这里使用bash命令的suid提权方法。4，访问80端口开放的http服务。3，对靶机进行端口服务探测。

原创 GoldenEye: 1靶场渗透

漏洞攻击前需要在设置中修改： Home ——Site administration——Plugins——Text editors——TinyMCE HTML editor 来到此处，修改PSpellShell然后save！在My profile——Messages——选择Recent conversations看到一个doak发来的消息，得到新的邮箱用户名doak。另外，您可能知道，RCP-90 远优于任何其他武器，而 License to Kill 是唯一的游戏方式。猜测是admin的密码了。

原创 W34kn3ss: 1靶场渗透

该漏洞涉及2008年Debian系统中OpenSSL库的重大安全缺陷，导致生成的SSH密钥熵严重不足，仅有65,536种可能的组合（仅依赖进程PID作为熵源）。Debian的修复涉及调整RNG实现（如恢复/dev/urandom作为熵源），并通过补丁（如shell-path.patch）优化了SSH组件的执行路径安全。4，网站信息收集的内容提示过使用域名访问，修改kali的/etc/hosts文件即可。然后查看pub文件，并且和给的密钥在文件夹/root/rsa/2048中进行匹配。

原创 NullByte: 1靶场渗透

观察网页结构，合理怀疑网站通过GET请求传入的用户名进行相应的sql查询，那么可以测试时候网站对单双引号敏感，也就是是否存在sql注入。输入双引号，发现报错，而单引号不报错。知道了数据库名为seth，接下来从记录了所有数据表名的总表中爆出seth下所有数据表。判断出来是MD5值，然后使用MD5解密网站，解密得到ramses的密码omega。不知道是做什么，但是发现当前用户是可以执行这个文件的，执行之。8，判断这段密文的加密方式，首先base64解码。爆出数据库名，数据库版本，还有当前用户。

原创 Bob: 1.0.1靶场渗透测试

最后在/home/bob/Documents/Secret/Keep_Out/Not_Porn$ cd No_Lookie_In_Here/notes.sh下得到密钥。bob用户被允许使用sudo命令以root权限执行所有命令，直接sudo启动一个shell。7，既然知道了其他用户的账户密码，那么就可以ssh横向移动，用户jc密码Qwerty。所以密钥就为HARPOCRATES，然后回到那个gpg文件所在的目录，进行解密。5，在命令执行漏洞的页面getshell。3，对靶机进行端口服务探测。

原创 3.MYSQL函数

MySQL 提供了丰富的字符串处理函数，用于对文本数据进行操作、转换和分析。：拼接多个字符串。：用指定分隔符拼接字符串（自动跳过 NULL）。或 SUBSTR()：截取子字符串。：从左/右截取指定长度的子字符串。：返回字符串的字节数（注意字符集影响）。或 CHARACTER_LENGTH()：返回字符数（与字节数无关）。：返回子字符串第一次出现的位置（找不到返回0）。：类似INSTR，可指定起始位置。：替换字符串中的子串。：反转字符串。UPPER(str)LOWER(str)：转换为大写/小写。

原创 2.SQL语法基础

DQL 是 SQL 中专门用于查询数据的子语言，核心语句是 SELECT。DQL 不修改数据，仅用于从数据库中检索数据，支持复杂条件过滤、多表关联、分组统计、排序分页等操作。

原创 1.数据库基本概念

原创 0.MySQL数据库学习路线

学习 MySQL 数据库需要循序渐进，以下是一份系统化的学习路线规划，适合从零基础到进阶的学习者。按此路线坚持学习，3-6个月可掌握 MySQL 的核心技能，1年左右能应对复杂场景的优化与架构设计。：掌握数据库基本概念、MySQL 安装配置、SQL 基础语法。：掌握复杂查询、事务、索引原理，学会设计规范化数据库。：掌握索引优化、执行计划分析、存储引擎特性。四个阶段，并附关键学习资源建议。：通过项目实战掌握高可用架构设计。

原创 Breach: 1靶场渗透测试

7，keystore可以认为是存放秘钥的一个包，需要提供正确的密码才能将包里的秘钥取出来。SSL加密HTTP协议（HTTPS），进行身份认证和数据加解密，没有正确的SSL证书就无法破解http数据包的内容。在 Breach 1.0 中，Burp Suite 的核心作用是通过代理机制突破加密通信限制、提取敏感信息（如认证凭据），并辅助漏洞利用（如文件上传）。的容器文件，常见于软件开发、数据加密和身份认证场景。15，对于定时任务，是可以写脚本进行恶意权限提升的，但是这个文件属于root，无法写入。

原创 DerpNStink: 1靶场渗透

11，因为知道网站的CMS是wordpress，那么网站配置文件wp-confog.php一般都会泄露数据库账户密码。内部进程获得伪root权限，映射当前用户UID/GID到命名空间内的0（root）/weblog下有东西，网站的CMS采用的是wordpress。12，然后讲密码写入一个txt，然后在使用john进行拆解爆破。16，第二种方式进行提权，去github copy公开的exp。8，弱口令爆破出网站的登陆密码为admin/admin。6，网站的后端代码应该是PHP，数据库是mysql。

原创 djinn: 1靶场渗透测试

它允许在 WSL 实例中启动完整的 systemd 进程管理系统，使得需要 systemd 管理的服务（如 Docker、SSH、Nginx 等）能够在 WSL 中正常工作。的守护程序，通过监听特定的端口访问序列来动态修改防火墙规则（如 iptables 或 nftables），从而隐藏受保护服务的真实端口，增强系统安全性。9，在http://192.168.23.211:7331/wish的Execute输入id，发现这个地方存在命令执行漏洞。使用sam的身份运行id，成功的切换为sam。

原创 Sar: 1靶场渗透

Sar: 1来自 <https://www.vulnhub.com/entry/sar-1,425/> 1，将两台虚拟机网络连接都改为NAT模式2，攻击机上做namp局域网扫描发现靶机nmap -sn 192.168.23.0/24那么攻击机IP为192.168.23.182，靶场IP192.168.23.2103，对靶机进行端口服务探测nmap -sV -T4 -p- -A 192.168.23.210访问靶场开放80端口的http服务是一个默认的网页4，对这个网页下存在的子目录进行枚举扫描dirsear

原创 Windows server 2022域控制服务器的配置

11，点击"添加新林"，根域名填写"long.com"这个可以根据自己的需求自定义添加，再点击"下一步"5，勾选Active Directory域服务，在突然的弹窗选择添加功能。只需要设置密码(ADserver@206)，再点击下一步。2，需要提前修改计算机名称为DC-1，然后选择添加角色和功能。14，NetBIOS域名会自动生成，点击下一步。1，点击win徽标，打开服务器管理器。9，等待安装完成，安装成功后点击关闭。8，最后选择安装，红框内容自主选择。19，安装成功之后，就会重新启动。

原创 Prime: 1靶场渗透测试

登录进入之后，利用主题编辑器(Appearance-Theme Editor)的漏洞进行反弹代码的上传。通过观察上述的提示发现密码放在/home/saket/password.txt，结合刚才发现的读取文件到漏洞，我们构造一个payload去读取用户密码。通过观察上述的提示发现密码放在/home/saket/password.txt，结合刚才发现的读取文件到漏洞，我们构造一个payload去读取用户密码。需要让靶场下载未编译的exp原文件，然后再进行编译。4，测试index.php的参数，执行如下命令。

原创 第八章-PHP数组

定义索引数组索引数组（Indexed Array）是最常见的数组类型，它的元素通过数字索引来访问。默认情况下，索引从 0 开始。如果没有显式指定索引，PHP 会自动为数组元素分配索引。上述代码定义了一个包含三个元素的数组，元素分别是"Apple""Banana"和"Cherry"，它们的索引依次为012。在上述代码中，"name""age"和"city"是数组的键，它们对应的值分别是"John"25和"New York"。你可以通过这些键来访问对应的值。在这个例子中，$contacts。

原创 PHP前置知识-HTML学习

1.1、Internet因特网：全球资源的总汇，连接网络的网络1.2、TCP/IP 协议簇：传输层/网络层协议1.3、万维网：www（world wide web）HTTP超文本传输协议作用：接受和发布 HTMl 页面URL 统一资源定位符协议://域名:端口号/文件路径/文件名.文件后缀1.4、W3C 组织 负责制定 web 行业的标准。

原创 第七章-PHP字符串操作

（Multibyte String Extension）是专门用于处理多字节字符（如中文、日文、韩文、Emoji 等）的核心扩展。它提供了一系列函数，用于安全操作多字节编码的字符串（如 UTF-8、GBK、Big5 等），避免因直接使用原生字符串函数导致的乱码或逻辑错误。在 PHP 中，字符串长度的处理与字符编码密切相关，尤其是在处理多字节字符（如中文、Emoji 等）时需要注意细节。像 UTF-8 这样的编码中，一个字符可能占用多个字节（如中文占 3 字节，Emoji 占 4 字节）。

原创 第六章-PHP错误处理

你可以通过$errno$errstr<br>";$errline$errfile错误类型特征是否终止脚本致命错误严重错误，脚本立即终止是解析错误语法错误，脚本未执行是警告非致命错误，脚本继续执行否通知非致命提示，脚本继续执行否已弃用错误提示功能将被移除，脚本继续执行否用户自定义错误由开发者手动触发，脚本可能终止（取决于级别）可能异常由throw抛出，可通过try-catch捕获否核心错误系统级错误，通常严重是编译时错误脚本编译阶段错误。

原创 内网渗透练习-红日靶场一

这些工具可能会检查服务器是否在运行 PHPMyStudy（类似 PHPStudy），并暴露出一些常见的配置漏洞或弱点，或者是用于暴力破解、信息收集等操作。根据提供的信息，这是一个 Apache HTTP 服务器，版本为 2.4.23，运行在 Windows 上。尽管它是一个基于命令行的工具，但它也支持一些图形化的功能，如图像传输和多屏支持。PHPMyStudy 探针网页通常指的是一些用于检测 PHP 环境的探针工具网页，这些工具通常用于扫描服务器的配置、安装的软件、服务是否存在已知的漏洞或安全隐患。

原创 zico2: 1靶场渗透测试

tar 的 --checkpoint 和 --checkpoint-action 功能设计初衷是用于备份或恢复大文件时执行定期操作（如日志记录）。phpLiteAdmin是一个基于 Web 的轻量级 SQLite 数据库管理工具，类似于 phpMyAdmin（用于 MySQL），但专门为。它通过简单的 PHP 脚本提供对 SQLite 数据库的图形化管理界面，适合开发者和运维人员快速操作数据库。同样建议限制访问或禁用不必要的RPC服务。8，那就尝试通过web网站尝试getshell，首先检索软件的漏洞。

原创 第五章-PHP函数

字符串/数组操作：处理数据的基础工具。文件系统：读写文件和目录管理。日期时间：时间处理与格式化。数据库：MySQLi和PDO操作。错误处理：调试与异常捕获。JSON：数据序列化与解析。注意事项根据PHP版本选择函数（如PHP8新增的字符串函数）。操作文件或数据库时注意路径和SQL注入安全。使用最新函数（如替代md5()加密）。这个项目实现了以下功能使用文件包含（include）实现了公共头部和底部使用自定义函数进行数据验证和文件操作使用基本语法（条件判断、循环、表单处理等）

原创 第四章-PHP文件包含

在 PHP 开发中，文件包含（File Inclusion）是一种代码复用和组织的重要机制，其核心目的是将代码模块化、提高可维护性。3. 配置集中管理将数据库配置、API密钥等敏感信息统一存储在独立文件（如 ），便于维护和安全管控。文件包含的原理1. 运行时的代码插入PHP 解释器在运行时将目标文件的内容“插入”到包含位置，并执行其中的代码。与编译型语言（如 C 的 ）不同，PHP 包含是动态的，可基于条件或变量路径。2. 作用域继承共享变量作用域：被包含文件可以直接访问包含

原创 第三章-PHP流程控制语句

场景推荐结构避免的陷阱多条件判断switch或match(PHP 8+)忘记break导致穿透数组遍历foreach引用变量未unset未知次数的循环whiledo-while缺少终止条件导致无限循环模板中的条件渲染替代语法 (混合 PHP 和 HTML 的缩进分类典型语句核心用途条件语句ifswitchmatch根据条件选择执行路径循环语句forwhileforeach重复执行代码块跳转语句breakcontinuegoto中断或跳过代码执行替代语法提升模板代码可读性。

原创 BSides Vancouver: 2018 (Workshop)

若权限为 777 且设置了 SUID，直接修改文件内容可获取 root 权限。是存在登录页面的，推测ftp服务器泄露文件的用户名用于登录wordpress。替换文件内容，插入恶意代码（如反弹 Shell），等待高权限用户或服务调用。7，尝试修改404页面的内容，使用的脚本是kali自带的反弹shell木马。修改定时任务脚本，注入提权代码，利用 Cron 以 root 权限执行。10，ssh成功登录。修改服务配置文件，诱导服务重启后加载恶意模块或执行命令。8，在攻击机上开启nc对4444端口监听，

原创 PHP语法基础

浮点数适用于科学计算或无需高精度的场景。精确计算（如货币）建议使用整数（如分单位）或DECIMAL类型（数据库中）。始终警惕精度误差，合理选择比较方法和运算库。布尔型用于表示逻辑真/假，是条件判断的核心。理解隐式转换规则可避免逻辑错误。在关键场景中使用显式转换和严格比较（===）以提高代码健壮性。

原创 eLection: 1靶场渗透测试

当用户执行一个设置了 SUID 位的程序时，该程序会以。那么攻击机IP为192.168.23.182，靶场IP192.168.23.196。// 直接执行用户输入的命令。SUID 程序本身并不直接导致提权，但若程序存在以下漏洞，攻击者可通过它。如果 SUID 程序的代码存在安全缺陷，攻击者可利用漏洞。编译文件，然后给权限执行，提权变成root用户。2，攻击机上做namp局域网扫描发现靶机。在 Linux/Unix 系统中，运行，而非执行者的权限。4，访问一下80端口存在的服务。3，对靶机进行端口服务探测。

原创 Hack Me Please: 1靶场渗透测试

6，接着再做信息收集，网站可能存在信息泄露的风险，枚举扫描http://192.168.23.195/seeddms51x下的子目录。/seeddms51x/seeddms-5.1.22/ 是一个典型的Web路径，指向。8，发现在添加文档的位置可以上传文档，那就上传反弹shell文件，使用kali自带的。4，80端口存在的http服务，是一个比较精美的web网站页面。5，信息收集扩大了我们的攻击面，再来搜索这个软件版本公开的漏洞。SeedDMS 允许用户上传各种类型的文件，而该版本存在。

原创 Mimikyu靶场通关(CTF-WEB新手必练)

根据题目要求更改referer的值为https://www.google.com即可，得到flag。正确的应该是访问index.php，但是无法直接访问，需要burpsuite抓请求然后改包。1，网站提供了一个提交查询执行ping命令的功能，实际上是调用了服务器的系统命令。1，观察到是一个登录页面，提示又是弱口令，常用密码字典爆破出就行。1，阅读题目要求，提示使用GET方式来传入a,b两个值。1，拿到题目之后，首先扫描网站子目录，查看有什么页面。1，一贯套路，访问robots.txt即可。

原创 玄机靶场练习-redis应急响应

4，通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。权限为-rwxrwxrwx可能表明被人为更改过。查看系统的认证日志（如/var/log/auth.log或/var/log/secure），寻找异常的登录记录，特别是来自非授权用户或IP的登录尝试。2，查找黑客执行过的恶意脚本文件，通过第一阶段的日志分析和对redis主从复制攻击的了解，攻击者会利用漏洞执行一个.so实现攻击。

原创 Redis未授权访问

/添加名为xxx的key，值为后面反弹shell的语句,5个星号代表每分钟执行一次，其中的\n同样是为了换行，避免crontab的语法错误。启动redis服务：需要两个文件 redis-server redis.conf(注意这两个并不是在同一级目录，根据自己当前所在目录进行调用。vim打开redis.conf文件，然后找到daemonize 值改为yes（后台启动，不然窗口一关服务就挂了）目标Redis可访问攻击者主节点的端口（默认6379），且出站连接未被防火墙拦截。

原创 Node: 1靶场渗透测试

hash-identifier 是一款用于快速识别哈希类型（如MD5、SHA1、NTLM等）的Python脚本，常用于渗透测试中分析未知哈希值的加密算法。的结果，发现给出的账户确实都不是管理员，显示的账户都是"is_admin":"false" 那么尝试访问上一级目录看看。5，使用burpsuite抓一个请求包看看，是POST请求。8，丢到kali里面，首先file查看文件类型。11，然后对这个exp进行编译，然后给权限执行。9，然后顺着目录往下翻，找到app.js。

原创 第六章 流量特征分析-钓鱼邮件

1，下载数据包文件 hacker1.pacapng，分析恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么将该 URL作为 FLAG 提交 FLAG（形式：flag{xxxx.co.xxxx/w0ks//?2，下载数据包文件 hacker1.pacapng，分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG（形式：flag{md5}）；注释部分包含一些看似随机的拉丁文句子，它们并不影响代码的执行，只是对代码进行了说明或者掩盖了代码的实际意图。

原创 Raven: 2靶场渗透测试

查看/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png得到flag3。分别查看内容，在http://raven.local/vendor/PATH得到flag1。，该参数直接控制 MySQL 的文件导入/导出权限，是防御文件写入攻击（如SQL注入导出WebShell、UDF提权）的关键配置。然后使用path/to/venv/bin/python和path/to/venv/bin/pip。12，这些信息说明MSF提权是不可行的。

原创 Raven: 1靶场渗透测试

使用这个密码登录网站后台http://raven.local/wordpress/wp-admin/post.php?9，因为网站搭建了一个wordpress的CMS，那么网络管理员就十分有可能使用Mysql数据库，查看靶机是否运行mysql，既然存在mysql服务，那么就可以查看其配置文件由此得到msql数据库的账户密码。5，但是域名解析有问题，无法正常访问，尝试手动添加域名解析。10，登录数据库服务，进一步信息收集，登录成功。访问成功，再尝试做信息收集。11，横向移动操作，ssh登录到steven。