- 博客(43)
- 收藏
- 关注
RSS订阅原创 vulnhub potato
用户名就用potato;利用九头蛇爆破一下密码。查询一下ubuntu的版本;然后去kali查询一下他的漏洞。利用searchploit 查看一下版本漏洞。靶机IP:192.168.47.139。将37292.c 编译为可执行文件。版本是:ubuntu 14.04。执行exp就可以获取root权限。一个土豆子一个phpinfo。ssh开在7120端口。将这个目录复制到当前。kali开启对外服务。
2025-01-06 18:10:25
486
原创 常见的框架漏洞
漏洞根本源于 thinkphp/library/think/Request.php 中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现⼀些问题。其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115} 表示的命令 touch /tmp/success 里面的数字是ascii码。shell.asp。
2025-01-05 22:47:43
954
原创 常见的中间件漏洞
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。
2025-01-01 13:37:42
414
原创 未授权访问漏洞
1.redis#搭建靶场cd /vulhub-master/redis/4-unaccdocker-compose up -ddocker ps#kali安装redis服务apt install redis#连接redisredis-cli -h IP -p 端口#redis常见命令(1)查看信息:info(2)删除所有数据库内容:flushall(3)刷新数据库:flushdb(4)看所有键:KEYS *,使⽤select num可以查看键值数据。(5)设置变量:set t
2024-12-30 20:15:20
621
原创 常见的CMS漏洞
访问 pageadmin 在后台可以上传模板,把webshell打包成zip上传模板,系统会自动解压,成功会在后台存在后门,访问即可获取webshell。工具-->文件管理-->功能菜单-->上传文件-->解压。在模板-->模板管理-->默认模板管理找到我们的首页。生成-->HTML更新-->更新主页HTMl。系统-->系统设置-->SQL命令行工具。在核心-->文件式管理器-->新建文件。在文件上传处也可以上传我们的木马。模块-->辅助插件-->广告管理。应用-->插件安装-->上传文件。
2024-12-29 21:23:24
471
原创 DriftingBlues6靶机
根据robots.txt给的信息来看有一个目录和爆.zip后缀的文件。在之前的目录可以看到我们的木马。解压后得到creds.txt。得出密码myspace4。他有密码还得爆破一下。
2024-12-29 21:22:27
563
原创 目录CmsEasy网站支付漏洞和目录dami网站支付漏洞
发现有两个订单,我们查看订单第一个订单价格是-5400,管理会当成垃圾文件处理。发现有两个订单,我们查看订单第一个订单实付是零,管理会当成垃圾文件处理。我们再查看另一个账单,实付金额为 1150,就会当成订单处理。我们再查看另一个账单,实付金额为 5400,就会当成订单处理。账户余额变成 2300,这时我们再次购买这次的数量为一。账户余额变成 5400,这时我们再次购买这次的数量为一。这时我们就可以不花钱购物了,这时我们到管理员后台查看。这时我们就可以不花钱购物了,这时我们到管理员后台查看。
2024-12-26 20:10:29
454
原创 目录jangow-01-1.0.1靶机
靶机 ip:192.168.152.155把靶机的网络模式调成和攻击机kali一样的网络模式,我的kali是NAT模式,在系统启动时(长按shift键)直到显示以下界面 ,我们选第二个,按回车。继续选择第二个,这次按 e 进入编辑页面接下来, 删除"recovery nomodeset"并在末尾添加"quiet splash rw init=/bin/bash"按 F10 或者 ctrl+x 启动。
2024-12-26 20:09:48
570
原创 CTFHub disable_functions通过
根目录里有/flag但是不能看;命令也被ban了就需要绕过了。上传后我们点进去可以看到多了一个绕过的文件;来到首页发现有一句话直接就可以用蚁剑连接。环境不行蚁剑连不上就换一个工具。这关需要选择编码器和解码器。直接会给我们弹出终端。
2024-12-24 20:02:44
456
原创 niushop开源商城靶场漏洞
有很多地方都存在文件上传;有的地方是要校验,加一个GIF89a就可以绕过。右键图片在网页新建打开图片标签;在放行一次修改数量为0.00000001。在用户名和密码位添加payload。payload设置;在BP中进行抓包,改为1.php。用户在已登录的状态点击我们的链接。去蚁剑连接生成的h.php就行。制作修改用户信息链接。来到个人信息修改个人头像。sqlmap跑出来的。通过改变数量改变价格。后面全部放行就OK了。
2024-12-23 19:35:19
1019
原创 文件解析漏洞(lls/nginx/apache)
Nginx的文件解析漏洞...和IIS7.0的解析漏洞同样的原理,因为 cgi.fix_pathinfo=1 造成的解析漏洞。在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个文件路径/xx.jpg。在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过⼀些服务器的安全。后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。然后在网站下创建我们的shell;无论我们的php在哪都会解析我们文件里的php代码。
2024-12-22 22:19:44
2335
原创 文件包含tomato靶机通关和目录文件上传hackme靶机通关
靶机地址:192.168.152.152注:靶机打开后在 kali 中扫描一下就能得到打开网站。
2024-12-21 16:22:46
690
原创 upload-labs靶场
根据源码发现是一个白名单上传,它只允许上传它给定的后缀名,关键的代码是这里;抓包之后可以看见多了保存名称,没有对上传的文件做判断,只对用户输入的文件名做判断。根据源码发现这关的黑名单不太严谨,我们就可以使用php同种类型的不同后缀。把我们制作好的图片马上传,点击在信标签打开图片就可看到我们图片的名称。我们这关需要写一个生成新的php文件并把我们的一句话写进去。根据源码发现,这关我们上传的php文件是上传之后才被删除。我们可以在文件尾部加上点空格点(. .)就可以成功上传。清掉所有payload。
2024-12-19 18:41:32
1929
原创 XXE-Lab靶场漏洞复现
我们可以发现页面中存在xml请求,我们就可以构造我们的xml请求语句来获取想要的数据。输入账号admin/密码admin进行登录,并未有页面进行跳转。这里我们需要将xml语句放入post请求体中并发送。将获取的数据进行解码后我们即可得到我们的flag。如上图所示便是我们需要获取的数据。
2024-12-18 19:36:09
371
原创 XXE靶机漏洞复现通关
这里解密后我们得到一段乱码,判断其应该是php代码,我们将其插入到本机网站的php中进行访问。抓包后我们发现页面存在xml请求,这时我们可以构造语句查询admin.php文件中的内容。扫描得知页面中存在robots.txt和index.html两个页面,我们依次访问。我们点击flag发现报错信息给我们返回了一个新的文件,我们尝试获取文件数据。文件中存在账号密码,密码为md5加密,我们进行md5解密并登录后台。发送后我们得到如下加密信息,解密后我们可以得到如下数据。解码后获得新的文件,我们获取文件的数据。
2024-12-18 19:35:28
761
原创 sql-labs(26-30)
这关就是会对输入的参数进行校验是否为数字,但是在对参数值进行校验之前的提取时候只提取了第一个id值,如果我们有两个id参数,第一个id参数正常数字,第二个id参数进行sql注入。该关卡过滤了注释符空格还过滤了union和select,所以我们可以使用重写绕过。发现使用 order by 不管用了,这时我们继续下一步,我们使用联合查询来猜。我们发现输入的时候它给我们把空格过滤掉了所以我们使用%09 替换空格。空格被过滤了我们可以使用()来代替,and和or可以使用双写来绕过。
2024-12-17 19:50:42
787
原创 sql-labs(21-25)
所以我们可以用单引号闭合,发现成功。id=-1' union select 1,2,3,4通过不停加数字判断最后根据页面显示是三列,且显示位是2号。第二十三关重新回到get请求,会发现输入单引号报错,但是注释符不管用。注释符都被过滤掉了,现在无法使用注释来实现注入了,但是我们还是可以利用 1=1 这样子的一个表达式来进行注入。报错注入不好使了,有报错但是报错是固定的,告诉你错了但是不告诉你具体哪里错了。发现可以登陆成功,我们刚才改的用该是admin的密码。这题是整数型注入,不用闭合,过滤和上题相同。
2024-12-17 19:44:49
851
原创 SSRF服务端请求伪造(pikachu和CTFhub靶场)
url编码,把所有的%0A换成%0d%0A,并在最后一排添加%0d%0A。url编码,把所有的%0A换成%0d%0A,并在最后一排添加%0d%0A。http协议访问flag.php文件,成功获取flag。我们选择16进制绕过。选择木马提交,bp抓包构造gopher。查看页面源代码,成功获取flag。还是同上去找文件然后打开kali。打开蚁剑连接,在根目录找flag。也可以使用localhost。去访问,成功获取flag。在kali里面打开工具。使用DNS回环地址绕过。开始攻击获取flag。
2024-12-17 19:33:04
590
原创 csrf漏洞(pikachu)
将攻击者的修改请求给受害者lili(lili信息被修改)进入点击受害链接 localhost/333.html。管理员被修改密码原来root错误被强制退出。将CSRF HTML代码放入网站根目录下。抓攻击者allen的post请求修改包。输入密码123456登录正常。攻击者vince的修改请求。受害者访问这个html。受害者kobe原本信息。现在lili正常登录。管理员admin登录。
2024-12-16 22:29:55
519
原创 pikachu-xss通关和beef联动
步骤三:Kali创建木马,造成下载exe和木马同时执行效果(Kali机要保证可以Ping通)进入管理员界面输入账号密码后,网页跳转成部署的flash钓鱼网站(部署成功)步骤五:将木马文件放入网站根目录下(双击运行,查看kali机监听效果)步骤四:测试木马文件shell.exe是否可以运行。进入以后,kali机shell命令进入cmd。kali机监听到,就可以获得外面电脑的监听权。步骤二:部署钓鱼网站(根目录下可信度高)点击立即下载,完成后target到本页面。点击立即下载,即可下载木马文件。
2024-12-13 23:32:00
484
原创 sql-labs(16-20)
我们再次查看源码将我们要写的代码替换掉 uagent 发现我们在后面加上 and ' 就可以使 sql 语句执行成功,这时我们再到 bp 中继续爆破。我们可以看看前端页面输入的时用户名和新密码,输入了admin,然后输入密码,就会显示密码已经成功的更新了。我们在页面中的账号密码框中输入 admin ,然后打开 bp 开始抓包 ,我们抓点击登录按钮后的页面。这时我们输入注释符发现还是报错,这时我们去查看靶场源码,找到我们插入代码的地方。可以看到报错了,说明是存在注入的,那么我们就可以尝试使用报错注入。
2024-12-13 23:30:41
770
1
原创 WAF绕过
在这里,客户端的第⼀次编码,以及服务端的第⼆次解码,均是由程序员自己设定的,是可控的,可知的。当遇到非ASCII 码表示的字符时,如中⽂,浏览器或通过编写 URLEncode,根据 UTF-8、GBK 等编码 16 进制形式,进行转换,如“春”的 UTF-8 编码为 E6 98 A5,因此其在支持 UTF-8 的情况 下,URL 编码为%E6%98%A5。找到第⼀个字符后继续进行下⼀个字符匹配,从而找到所有的字符串,最后就是要查询的内容,这种SQL 注入语句也不会存在逗号,从而绕过 waf 拦截。
2024-12-07 23:11:42
873
原创 sql-labs(11-15)
通过BP爆破我们可以得出表名是:emails,referers,uagents,users。通过BP爆破我们得出user表有三个字段,分别为id,username,password。这里我们可以看到页面只有true和false两种回显,遇到这种情况可以采用布尔盲注。我们发现该页面无回显,但是有报错信息,因此可以采用报错注入来获取信息。我们发现该页面无回显,但是有报错信息,因此可以采用报错注入来获取信息。因为测试数据过多,我们不一一展示,可以采用BP爆破工具进行爆破。通过BP爆破我们就可以得到我们要的数据。
2024-12-07 22:52:10
621
原创 mssql靶场(1)
这时我们通过报错可以得到 users 表的字段名为 id,username,password。查询数据库信息,user回显的dbo表示是最⾼权限,如果是⽤户的名字表示是普通权限。发现加入单引号时报错,但是注释掉后面的之后的就正常了,所以他是单引号闭合的字符型。我们通过报错信息可以看到数据库的第一张表是 usesrs,我们接着爆第二张表。以此类推,如果返回结果为空,说明不知道第五张表,也就是他只有四张表。页面回显正常,当前是 sa,我们继续判断当前用户写,读文件的权限。判断正确之后返回 1,回显正常。
2024-12-05 20:28:26
398
原创 sql-labs(6-10)
发现如果sql语句正确,查到数据,会显示“You are in...”查看源码,如果错误,显示报错信息,这就给了报错注入,回显带着数据库有用的报错信息利用。查看 secure-file-priv 当前的值,如果显示为NULL,则需要将其设置为物理服务器地址路径/路径设置为空,才可以导出文件到指定位置。原因是union前后的查询的列数不一致,因此改为and 进行报错,但是前面的判断需要为真,不然后面的不执行。注:间隔就是说数字一个一个来,间隔为1就是1,2,3,4 间隔为2就是2,4,6。
2024-12-05 20:23:58
681
原创 MongoDB⼿⼯注⼊(墨者学院)
步骤三:得到数据库名之后就可以尝试爆出数据库下的表名了且构造Payload...其中 db.getColl。步骤四:这样数据库的表名就被爆出来了,⼀共有三个表,分别为: Authority_confidentia。可以在此来显示想要查询的数据。json型数据,db为取当前数据库,即当前的数据库为 mozhe_cms_Authority。步骤五:最终我们就可以获得数据了,将密码进⾏MD5解密,返回登录⻚进⾏登录,划倒⻚⾯最下。步骤⼀:如下给出的源码...可以看到数据库查询的语句如下..构造回显测试。
2024-12-05 20:17:47
412
原创 PostGREsql⼿⼯注⼊(墨者学院)
步骤⼆:开始猜解后端收据库能够返回多少个字段..发现order by 5的时候没有数据回显,order。步骤六:此时我们已经得到了表并开始查询字段,由于查询到的第⼆个表名带有“user”,我们就先。步骤四:在这两个字段当中来查询我们想要的得到的数据。步骤三:开始检测这4个字段当中哪些字段可以被前端显示出来且使⽤union 查询来构造。步骤七:查询到字段以后,最后⼀步就是爆出数据了且如下构造payload。by 4 有回显数据,所以后端返回到前端的数据字段数为4个。端数据库查询语句当中。及数据库的版本...
2024-12-05 20:17:09
441
原创 DB2⼿⼯注⼊(墨者学院)
步骤五:爆列且可以使⽤的表可以是syscat.columns,也可以是sysibm.columns表...且确定其字。步骤四:爆表并确定表名为 GAME_CHARACTER 、 NOTICE 表。段为 ID 、 NAME 、 PASSWORD 、 STATUS。步骤七:解密--》登录后台--》获取其Flag.步骤⼆:使⽤联合查询注⼊来确认回显位。步骤三:查看数据库信息并爆库名。步骤六:爆字段值并获取其Key。
2024-12-05 20:16:28
353
原创 Oracle⼿⼯注⼊ (墨者学院)
如下,两个字段都为字符型,故使⽤ union select ‘null’,‘null’步骤三:获取显错点,联合查询这⾥使⽤了union select,oracle数据库与mysql数据库不同点在于它对。于字段点数据类型敏感,也就是说我们不能直接union select 1,2,3来获取显错点了,需要在字符型字段。步骤⼀:跟其他数据库⼀样,检测注⼊点都是可以通过拼接and语句进⾏判断。步骤六:查询表名,查询表名⼀般查询admin或者user表。步骤七:解密--》登录后台--》获取其Flag.
2024-12-05 20:15:43
1071
原创 sql-labs(2-5)
第一步判断这个网站是否存在sql注入漏洞?id=1'第二步判断属于什么类型漏洞?第三步判断字段数??第四步确认回显位?第五步联合查询爆出数据库名和用户名,需要让左边的执行为假,这样才会执行右边的语句第六步爆出版本号?第七步mysql版本高于5.0版本之后就存在information_schema数据库,这个库中包含了所有的表命、列名等信息;
2024-12-03 18:36:01
2100
原创 sql-labs(第一关)
2.information_schema.columns ------table_schema 所有数据库的库名。1.information_schema.tables ------table_schema 所有数据库的库名。------ table_name所有数据库里面所有表的表名。------ table_name所有数据库里面所有表的表名。------column_name 所有列的列名。报错,判断闭合点为 ' ,初步猜测为字符型。5.联合查询,爆出数据库名,版本号。1.判断是否存在注入。
2024-12-02 19:17:44
262
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人