- 博客(61)
- 收藏
- 关注
原创 CISP-PTE综合靶机-WinServer2003
nmap扫描出来ms17-010最后在C:/\Documents and Settings/\Administrator/\桌面路径下面成功得到key3:4d9d3q8v。
2024-06-23 12:09:54
397
原创 CISP-PTE综合靶机-WinServer2003
1.收集网站的地址和开放的端口,完成前期信息收集。10分2.访问站点,找出站点的敏感文件,利用返回数据找到相关敏感信息,完成网站结构的信息收集。10分3.利用文件包含漏洞读取敏感文件,找出数据库连接凭证,利用此凭证连接数据库。10分4.网站后台提权:找出后台管理员登录密码、登录站点,拿到第一个f1ag。10分5.利用文件上nmap扫描出来ms17-010最后在C:/\Documents and Settings/\Administrator/\桌面路径下面成功得到key3:4d9d3q8v。
2024-06-23 12:08:33
275
原创 Cronjob提权
提权为该靶机的精髓,Cronjob通常以root特权运行。如果我们可以成功篡改cronjob中定义的任何脚本或二进制文件,那么我们可以以root特权执行任意代码。Cronjob。
2024-04-20 18:16:01
442
1
原创 nmap使用
默认的 sS 是发送一个syn包,只建立TCP链接的第一步,如果收到了目标主机的syn加ack回复,则表示目标主机相应的端口是开放的。而收到复位数据包RST,则表示端口是关闭的。而 sT 是利用三次握手过程来判断端口的状态。它通过发送完整的TCP请求,等待目标主机的回复,收到syn加ack回复,即开放。所以说,sS适用于大规模且快速探测。而 sT 具有更好的准确性,但速度也相应会慢上一些。最大的优点是具备更好的隐蔽性,在面对防火墙的检测上,完整的 tcp 请求比只发syn包的更具有隐蔽性。
2024-04-16 23:01:29
1263
原创 [网鼎杯 2020 玄武组]SSRFMe
## 主从复制[[redis-主从复制]]### 原理- 字面意思,redis为了数据更改方便,有这一模式,主机的内容更改会导致从机的内容跟着更改。- 这时我们将自己的服务主机设置为主机,目标的设置为从机,则从机会有主机的执行脚本,从而rce- 详细的参考博客
2024-04-09 22:33:42
636
原创 sql注入-MySQL
盲注点确认后,我们一般不会去手动尝试一个字节一个字节的跑出来,而是采用工具比如sqlmap或者一些脚本来辅助我们,毕竟是属于重复无意义的工工作,交给机器就好了语句和之前其他查询都是类似,唯一的区别,就是盲注变成了一位字符一位字符的判断,不像之前那样一次性全部获取数据。
2024-04-07 23:27:30
1195
原创 [第一章 web入门]afr_3
任意文件读取,session伪造+ssti。可以发现secret_key在key.py,flag在flag.py里面并且,/n1page路由下面有ssti注入,注入的数据刚好是session
2024-04-04 17:39:17
795
2
原创 [NPUCTF2020]验证
[NPUCTF2020]验证🐎首先要first和second的length属性相同,那就不能用数字和字典了,使用字符串或者数组然后因为`keys[0]`我们不知道,但是他基本上是String类型,根据上面的String类型加别的类型规则,我们只需让`first=[1]`,second='1',就可以让`first+keys[0] === second+keys[0]`,从而绕过md5不能用text格式了,需要用json传,保证一个是数组一个是字符串。根据上面我们在来看这题需要使用箭头函数的自调
2024-04-01 13:07:25
1935
原创 命令执行(chile_process.exec)
Node.js中的chile_process.exec调用的是/bash.sh,它是一个bash解释器,可以执行系统命令。在eval函数的参数中可以构造来进行调用。如果上下文中没有require(类似于Code-Breaking 2018 Thejs),则可以使用来执行命令(使用数组绕过过滤,再调用child_process执行命令)
2024-04-01 13:05:19
848
原创 第一章 web入门]afr_2
Nginx错误配置导致目录穿越漏洞这里请求的是/img,如果是/img../,在后端拼接时会变成/img/../,形成穿越,来到根目录
2024-03-30 23:27:31
174
原创 [第一章 web入门]afr_1
【代码】[第一章 web入门]afr_1。- 使用php://filter伪协议读取源码payload?p=php://filter/read=convert.base64-encode/resource=flag
2024-03-30 23:27:30
388
原创 [羊城杯 2020]EasySer
进入页面,发现是ubuntu+apache2,但是好像没啥用尝试访问/robots.txt,得到访问/star1.php/,查看源码,得到提示一看就知道是ssrf,使用http://127.0.0.1/ser.php,得到源码源码。
2024-03-29 23:27:10
635
原创 git泄露
当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。工具GitHack使用:python2 GitHack.py URL地址/.git/remove flag 表示当前版本add flag 表示这次提交的版本init 表示初始的版本使用git diff命令可以对比提交版本,对比这三个版本发现在add flag中获得此题flag。
2024-03-28 23:26:41
550
原创 gopher伪协议
而file_get_contents()造成的SSRF,gopher协议就不用进行二次URLEncode。curl_exec()造成的SSRF,gopher协议需要使用二次URLEncode;注意不要使用+当做空格,就页面里面用%20,bp或hackbar用%2520。(img-kwRcQIhN-1711552424782)]因为是使用into outfile函数写入的,有一下限制。需要注意的是,post请求有4个参数为必要参数。[[mysql-文件读写#当我们不得不添加别的参数。
2024-03-27 23:26:26
621
原创 Django路由
在实际开发过程中,一个Django项目会包含很多的app,这时候如果我们只在主路由里进行配置就会显得杂乱无章,所以通常会在每个app里,创建各自的urls.py路由模块,然后从根路由出发,将app所属的url请求,全部转发到相应的us.py模块中。而这个从主路由转发到各个应用路由的过程叫做路由的分发。
2024-03-26 23:26:07
2238
原创 [PwnThyBytes 2019]Baby_SQL
在phpsession里如果在php.ini中设置session.auto_start=On,那么PHP每次处理PHP文件的时候都会自动执行session_start(),但是session.auto_start默认为Off。与Session相关的另一个叫session.upload_progress.enabled,默认为On,在这个选项被打开的前提下我们在multipart POST的时候传入PHP_SESSION_UPLOAD_PROGRESS,PHP会执行session_start()
2024-03-19 22:04:29
756
原创 [GWCTF 2019]mypassword
使用语句进行读取cookie,可以使用这个网站 https://beeceptor.com/查看源码,发现:feedback.php,list.php。这里过滤不完全,对每个关键字只判断了一次,并且是替换为空。进入register.php页面,注册123,123。进入feedback.php页面,发现有留言功能。cookie在最后,可以添加cookie进行绕过。不行的话就用自己的公网ip吧,反正我没有成。猜测存在xss漏洞[[xss]]添加cookie进行绕过。
2024-03-17 11:00:04
442
原创 [羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat
[羊城杯 2020]Easyphp2&&[羊城杯 2020]Blackcat
2023-12-04 20:50:54
153
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人