- 博客(12)
- 收藏
- 关注
RSS订阅原创 记一次后渗透作业
网站搭建完成之后,就可以对其进行渗透了。这里因为我设置的web应用端口不是常见端口,所以nmap没有扫出来,就直接当作端口已知了,毕竟实战中这种情况不多见。1、靶机(Windows)安装easy file sharing server(efssetup_2018.zip),该服务存在漏洞。但是这里直接运行,脚本会报错。2、利用Nmap扫描发现靶机(Windows)运行了该服务。2、获得靶机(Windows)控制权。3、利用该漏洞,使得靶机运行计算器。3、下载靶机上任意一个文件。1、生成主控端、被控端。
2023-12-26 22:07:29
53
1
原创 一次代码审计练习
这里有个小tips。但是如果是特殊框架开发的源码,我们就要针对不同框架的特性去进行审计。这里就很清晰了,我们现在的目的就是去找谁调用了这个parseriflabel类。第一个我们是不可控制的。因为我们是复现,所以是确定这里有漏洞的,所以这里的if判断就不那么重要。这次练习主要针对的是rce方向的两个漏洞,复现的是两个cms上的漏洞。关于load_file($tplfile,$location)的值,我们可以不用跟下去分析,我们直接echo出来。这里我们要审计的是代码执行漏洞,我们直接查找相关函数eval。
2023-12-25 16:57:33
70
原创 cc1链的学习
总结下来cc链的思路就是找到危险类中的危险方法,然后就是如何使用这个方法,之后思考如何跳转到别的类,别的类的某方法可以和危险方法联动,然后思考怎么实现这个类。一开始我觉得只要修改Target就够了,但是改了之后值还是null,在这里卡了很久,看了别的师傅的文章,原来这里memeberType是获取注解中成员变量的名称,然后并且检查键值对中键名是否有对应的名称。我们进入这个类,先看这个方法怎么实现的。很明显membertype是空的,这就导致跳出循环了,我们必须保证它 不是空的,我们看看它是什么。
2023-12-09 16:36:20
66
原创 dc5靶机
但是如上图,我的kali的gcc版本过高,导致靶机运行的时候出错。按照文件的说明,可分为三部分,将第一个框里内容保存为第一文件,名为libhax.c,然后使用打五角星的命令编译,编译结束会生成libhax.so文件。同样地,第二个框里内容保存为rootshell.c文件,使用打五角星的命令编译,编译结束后生成rootshell文件。我们抓住关键,eof是指一个程序内容的结束,所以仔细观察,我们可以把上述内容分为三个部分。包含以下footer,很显然,这就是之前我们的页面,证明这里有文件包含。
2023-09-12 18:18:32
116
原创 dc4靶机
通过修改前端代码,我们可以达到执行命令的效果(不知道这是xss漏洞还是ssrf)盲猜是弱口令,账号是admin,结合bp,字典跑密码。进入之后发现old-passwords.bak。Charles放假了,把自己的密码给了jim。这里有必要说一下Linux各大目录的作用。很遗憾,从权限上看,依然是一个普通用户。利用网页漏洞执行发送shell操作。打包所有内容,利用它爆破ssh端口。一个22是ssh远程登陆页面。backups一眼备份文件。上面提示有新Email。输入命令添加管理员用户。没发现什么有用的线索。
2023-09-07 22:11:45
40
原创 xsslabs
所以payload:?这题与众不同的地方是type这里参数的type是hidden的,为了在前端执行代码。又尝试了onerror图片报错的方法,依然被过滤。我们可以看到,可能有交互的参数有四个,在黑盒中,我们可以一个个尝试。显然, 参数name参与交互,直接script语句构造断言函数即可。前面我们用的 onclick,script都被过滤了。显然,双引号和<>被替换了,那我们就绕过他们。我们可以看到,代码没有对name做任何过滤。xss实际上需要我们找到交互的地方。几乎和上面没有区别,就是闭合“
2023-07-24 23:27:44
44
原创 uploadlabs
(是可以抓包知道路径和更改之后的名字的)因为是白名单过滤,我们可以传图片码,然后寻找解析漏洞或者文件包含漏洞。我们可以传图片码,也可以在上传的php加上可以通过验证的文件头。意思是ini所在的文件夹下名为1.jpg的文件全部被文件夹下的PHP文件包含。观察代码可以知道,会先接收文件(会进行白名单过滤),然后再对文件改名。说真的,这关要是实战遇到的黑盒,我会直接跑路。由于第一次上传没有验证,我们可以抓第一次上传的包,利用bp反复上传。不过在实战的情况下,我们是很难在这种不稳定的情况下连接后门的。
2023-07-17 00:35:03
85
原创 sqlilabs
所以,在from后,尝试1'and updatexml(1,concat(0x7e,(select password from (select table_name from information_schema.tables where table_schema='security' limit 2,1) limit 0,1)),0)#尝试了在password上注入,但是失败了。一开始尝试1'and (updatexml(0,concat(0x5e,database()),0))#但是报错。
2023-07-14 14:48:05
92
1
原创 dc-2详解
想到之前扫端口扫出来的7744,站点是ssh的,用于远程控制安全。这个提示是rbash说的,怀疑是这个解释器导致的。应该是提示我们用Tom的权限通过su获得Jerry的。dc靶机系列一般最后flag都是提取root权限,上次的一用的是suid提权。这里试了好几次才进去,su之后要记得进入,不然哪里能用tom的权限使用Jerry的命令呢。意思是你要是字典不行,太菜了,就用cewl日站得到专属字典来破解密码。点一下这个logol,显然是一个内容管理系统吧,百度一下。输个之前爆破的密码,能获得权限。
2023-06-14 20:41:51
113
原创 DC-1详解
选出两个带有网站特征的模块,根据rank选择出最有可能成功的模块(即选择excell:优秀的)结合flag3和2的提示,不爆破root密码,和find命令有关。特殊的PERMS将帮助寻找密码,但是你需要—exec类似命令取得到在暗处的东西。为了方便之后的提权命令正常执行,我们利用python转换shell为交互式。前一句话的意思是特别的特征。提示:暴力拆解不是获得权限的唯一方式,你还有什么方式?提示:每个完美的cms都需要一个配置文件,你也一样。你能在root权限下找flag吗,不过这应该很难吧。
2023-05-31 17:03:52
227
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人