Time？-CSDN博客

原创 ctfshow权限维持

简单来说，不死马就是在执行的时候会先将自己删除，但它下面会有一个无线循环一直创建一句话木马。通过while无限循环，读取根目录下的f开头的文件，如果知道完整路径可以将它写到一个文件中。/tmp目录下可以写文件，开启php的命令，php -S 0.0.0.0:80。，会删除文件，但无法杀死进程，我们可以通过执行无限循环的代码获取flag。然后访问1.php，然后访问一下生成的木马，然后访问check。通过前面，不死马的特性，我们可以知道，虽然访问。可以利用它的缺陷，它无法删除点号开头的文件。

2025-05-15 19:59:16 975

原创 Weblogic SSRF漏洞复现（CVE-2014-4210）【vulhub靶场】

Weblogic中存在一个SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。

2025-05-15 19:57:39 518

原创第二章日志分析-apache日志分析

示例：[Tue Oct 10 14:55:36.123456 2023] [error] [client 192.168.1.1] File does not exist: /var/www/html/missing.html。示例：192.168.1.1 - - [10/Oct/2023:14:55:36 +0000] "GET /index.html HTTP/1.1" 200 1024。记录每个HTTP请求的详细信息，如客户端IP、请求时间、请求方法、请求资源、HTTP状态码、响应大小等。

2025-05-14 09:28:03 440

原创第一章应急响应- Linux入侵排查

elf 文件是指可执行与可链接格式（Executable and Linkable Format, ELF），它是一种常见的文件格式，用于存储可执行文件、目标代码、共享库以及核心转储（core dump）。启动项：在 Windows 中，可以修改注册表中的启动项，在 Linux 中，可以修改 rc.local 或 crontab。显示使用该连接的进程的进程 ID 和程序名。index.php是不死马，它的核心是在html目录下创建一个.shell.php的后门文件，并伪造时间戳，然后通过。

2025-05-14 09:25:34 629

原创第一章应急响应-Linux日志分析

和上面的重复了，cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more。"Failed password for root" 是搜索模式，即查找所有包含"Failed password for root"的行，这些行表示尝试登录root用户的失败尝试。此命令会列出所有包含 new user 的日志行，这些行通常记录了用户创建的详细信息。

2025-05-13 08:18:39 1042

原创第一章应急响应-webshell查杀

其实我们可以通过将文件都传到本地，通过D盾进行一个查杀的，这样更快，但这毕竟是靶场尽量还是手工查杀，熟悉应急响应流程。我们先查找一下网站的目录，到网站页面，可以看到有很多php文件，这样我们可以大致确定黑客上传的应该是php木马。第三个flag是让我们查找隐藏文件路径，刚刚我们通过find找到的就一个隐藏文件。查看文件内容，发现确实是使用了字符串拼接进行免杀，代码中没有直接暴露的高危函数。其中，[SiteID] 是网站的标识符，通常是一个数字。这样找太慢了，我们通过，find命令进行快速查找。

2025-05-12 19:45:16 821

原创 ctfshow

过滤了 error_reporting() ， ini_set() ， highlight_file()f12，查看了一下cookie，可以看到使用的是jwt加密，有非常明显的两个点，jwt是由三部分组成。后台应该是根据这里传入的id值到数据库中查询url，然后访问url，返回访问结果，存在ssrf。ctfshow的sqli-labs和本地搭建最大的不同，就是show的flag不在当前的。sqlmap没有跑出来，看了一下wp，发现是通过堆叠注入配合ssrf获取flag的。

2025-04-02 20:08:12 683

原创 XYctf2024

试了一下xff头，发现不行，xff头用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。在Makefile中可以使用函数来处理变量，从而让我们的命令或是规则更为的灵活和具有智能。shell函数也不像其它的函数。强比较：使用三个 ''==='' 比较，比较值，也比较类型。弱比较：使用两个 ''=='' 比较，只比较值，不比较类型。第一个if，md5强比较，0e绕过不行了，需要数组绕过。看到提示，又翻看了f12，没有什么发现，扫一下目录。更改ua头，它包含了操作系统，浏览器等信息。

2025-03-12 21:21:46 938

原创 XYCTF2024

试了一下xff头，发现不行，xff头用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。在Makefile中可以使用函数来处理变量，从而让我们的命令或是规则更为的灵活和具有智能。更改Referer，Referer它是当前请求页面的来源页面的地址。强比较：使用三个 ''==='' 比较，比较值，也比较类型。弱比较：使用两个 ''=='' 比较，只比较值，不比较类型。看到提示，又翻看了f12，没有什么发现，扫一下目录。函数调用，很像变量的使用，也是以。

2025-03-11 21:02:17 620

原创 emojiCTF2024

的方式执行命令，xxx是字符ascii码的八进制形式，通过这一点，我们可以通过位运算符号和Linux终端的其他特性，在没有数字的情况下继续构造这样的形式以实现无字母数字仅用几个字符就实现任意命令执行。个正则过滤了一些字符和数字，但是发现可以使用 tail 命令，flag 在 flag.txt 下，所以构造 flag.txt 为?先抓个包，更改一下ua头，然后自定义一个头，发现没用，注意到下面的提示，更改了一下请求方法。添加 cf-connecting-ip: 内容随便，表示流量来自 cf 网络。

2025-03-10 20:41:27 319

原创 ISctf-web

而渲染函数在渲染的时候，往往对用户输入的变量不做渲染，即：{{}}在Jinja2中作为变量包裹标识符，Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。简单来说就是服务端接收攻击者的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了攻击者插入的可以破坏模板的语句，从而达到攻击者的目的。定义了一个数组禁用了，cat,tac,head,nl,more,less,tail,vi,sed,od,不区分大小写，绕过这些命令进行查看。

2025-03-07 10:33:43 394

原创 [ZJCTF 2019]NiZhuanSiWei

检查通过 file_get_contents 函数读取 $text 变量指定的文件内容是否等于字符串 "welcome to the zjctf"。测试了一下直接传参，然后进入下一阶段，通过php伪协议读取useless.php发现不行，我们使用data协议将其输入进去试试。看到这个，我们构造一下序列化的代码，让它读取flag.php。读取到了题目给提示的文件。查看源码获取flag。

2024-12-30 17:07:26 372

原创 [网鼎杯 2018]Fakebook

这里可能进行了反序列化，然后根据上面的php代码文件，curl可能存在ssrf。不知道是怎么触发的，扫一下目录看看有没有敏感信息泄露。通过上面的报错信息我们猜测flag是flag.php。访问/user.php.bak,是一个文件下载下来。get方法里面存在 curl_exec()isValidBlog()的正则表达式。data是刚刚注册账号的序列化。有过滤，通过测试是过滤了空格。又看了一下上面注入的报错信息。看了看源码没什么有用的东西。然后通过sql注入写到里面。记事本打开是php代码。

2024-12-26 16:24:12 533

原创 ctfshow-jwt

将信息进行安全的封装，以json的方式传递三部分分别是:Header{'typ': 'JWT' token类型'alg': 'HS256' 算法名称}将这个信息进行base64加密，构成了第一部分payload载荷，存放主要信息的地方{"sub": '1234567890', 标准中注册的声明"name": 'john', 公共的声明"admin" :true 私有的声明}base64加密，得到jwt第二部分第三部分Signature签名签名是将加密后的header和payload用点拼接，再将结果通过He

2024-12-25 20:06:15 1046

原创 Chronos靶机

这个目录应该就是网页的源码目录，但是并没有什么php,jsp,python等等的文件，说明这个网站的编写语言就是js，而我们通常对js的认知就是运行在浏览器的前端代码，而不会认为是用来写服务端应用程序的，但其实node.js就可以实现用javascript语言来编写web应用程序的功能。就是这台靶机的名字，local就是本地的意思，而后面开启了8000端口，而最开始我们对靶机进行端口扫描时靶机就开启了8000端口，所以我们猜测。都是http服务，所以我们依次访问一下试试，先浏览器访问目标的。

2024-12-23 16:49:56 905

原创利用DnslogSqlinj工具DNSlog注入

之后再安装两个python2的库就可以使用dnslog进行自动化注入了。将域名和API进行一个更改。注入命令会放在大括号里面。

2024-12-21 19:37:23 478

原创 ctf文件包含

⽂件包含，通过PHP函数引⼊⽂件时，传⼊的⽂件名没有经过合理的验证，从⽽操作了预想之外的⽂件，就可能导致意外的⽂件泄漏甚⾄恶意代码注⼊。产⽣的条件：常⻅的包含，在之前做命令执⾏的时候也已经⽤过了 include() require() include_once() require_once() 此外，常⽤的还有之前在web37写的伪协议，这⾥再复制过来。

2024-12-20 19:14:02 1241

原创 ctfshow

htaccess文件，提供了针对目录改变配置的方法，即，在一个特定的文档目录中放置一个包含一个或多个指令的文件，以作用于此目录及其所有子目录。使用var_dump输出flie_get_contents的结果，flie_get_contents用于读取文件，作为字符串返回。登录成功后，可以看用户了，但因为xss一直在运行，会自动跳转，进制抓包就可以了。和上的差不多，但检查了结果有没有flag，导致上面的语句不可以用了。存在^和$，匹配了开始和结尾，只能匹配一行的数据，使用换行符绕过。

2024-12-19 11:11:25 1563

原创 ctfshow—ssrf

if判断⾥的： FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP （⽐如 192.168.0.1） FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。cURl去获取$url指定的页面内容，curl_setopt 函数设置 cURL 选项，curl_exec 函数执行 cURL 会话。

2024-12-17 16:45:38 1383

原创 ctfshow xss

后台会每隔⼀段时间（⼀般为15秒）去访问⼀次我们的链接（毕竟要领10个鸡蛋bot要康康你的分享状态），当BOT访问我们的xss的时候我们就能拿到admin的cookie。指定该路由只响应PUT请求。根据intval()函数的使用方法，当函数中用字符串方式表示科学计数法时，函数的返回值是科学计数法前面的一个数，而对于科学计数法加数字则会返回科学计数法的数值。前面的确保param1 和 param2 的值不相等，后面的确保 param1 和 param2 的MD5散列值相等。

2024-12-12 18:35:13 1233

原创内网穿透1

让外网能访问你的内网；把自己的内网（主机）当成服务器，让外网能访问。穿透可以使用：ChmlFrp或者Sunny-Ngrok等工具。如果是在局域网中通过小p，可以共享资源，也可以访问和下载文件。内网穿透也叫做内网映射，也叫“NAT穿透”好处：不需要自己购买服务器，就能让别人访问。坏处：自己的ip一但变动的话，就无法访问了。本地可以通过小p进行搭建。

2024-12-08 11:18:22 230

原创 easy_cloudantivirus靶机

到上一层，发现了一个拥有suid权限标记位，并且它的所有者是root，凡是拥有suid这个权限标记位的可执行程序，当它一但执行，无论你当前是任何用户账户，你只要执行这个程序就默认你继承这个程序文件的属主的权限。通过file查看一下sql文件，是一个sqlite文件，这个就有可能是web服务端的数据库，因为sqlite是一个本地的数据库，内容都是以数据库文件的形式存放，一些文件目录下。nc有很多版本，不同liunx发行版，都会使用不同的nc版本，有些发行版是没有-e这个参数的。

2024-12-05 15:00:26 300

原创 medium_socnet靶机

扫描一下端口识别具体的「服务版本」，可以使用 -sV 参数从中可以看到目标http使用的是python语言Werkzeug是一个全面的WSGI（Web服务器网关接口）工具库,为Python开发者提供了构建Web应用所需的各种工具。它不是一个完整的Web框架,而是一个工具集,可以用来创建自己的Web框架或应用。许多流行的Python Web框架,如Flask,都是基于Werkzeug构建的。通过这些信息，如果后面目标服务器上有RCE漏洞我们就可以进行一个反弹shell。

2024-12-05 13:18:11 1577

原创 ctfshow

if判断⾥的： FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP （⽐如 192.168.0.1） FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。访问之后发现是一个视频，用f12看了看也，没什么有用的东西，就将视频下载下来了，用随波逐流看了一下发现有一个隐藏文件。有压缩包不会自动解压。

2024-12-04 15:11:53 976

原创 ctfshow

⽽.user.ini和.htaccess⼀样是⽬录的配置⽂件，.user.ini就是⽤户⾃定义的⼀个php.ini，我们可以利⽤这个⽂件来构造后⻔和隐藏后⻔。传参 file=data://text/plain,<?>，查看目录，然后传参 file=data://text/plain,<?在.user.ini中使用这条配置也说了是在同目录下的其他.php 文件中包含配置中所指定的文件，也就是说需要该目录下存在.php 文件，通常在文件上传中，一般是专门有一个目录用来存在图片，可能小概率会存在.php 文件。

2024-11-27 21:20:12 1585

原创 ctfshow

getallheaders()：返回所有的HTTP头信息，返回的是数组⽽eval要求为字符串，所以要⽤impl ode()函数将数组转换为字符串 get_defined_vars()：该函数的作⽤是获取所有的已定义变量，返回值也是数组，不过是⼆维数组，⽤var_dump()输出可以看⻅输出的内容，看⻅在第⼏位之后，可以⽤current()函数来获取其值，详细可以看官⽅函数。伪协议中的 data://，可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。

2024-11-23 19:05:44 1449

原创 vulnhub靶场-tomato

var/log/auth.log是Linux（尤其是Debian系如Ubuntu）记录身份验证和授权事件的日志文件，包括登录尝试（成功或失败）、SSH活动、sudo使用和PAM模块操作。在Linux /etc/passwd文件中每个用户都有一个对应的记录行，它记录了这个用户的一些基本属性。通过传入../../../../../../etc/passwd,获取敏感信息。arp-scan -l用arp-scan探测一下网段内目标靶机的IP。nmap -A -T4 -p- 扫描端口。

2024-11-18 20:49:07 764

原创 vulnhub earth靶机

解密时，再将密文与相同的密钥按位进行异或操作，就能还原出原始的明文。分别访问80和443端口，80端口400错误，443端口也没什么用，回到80端口，400错误一般有两种可能一种是错误的请求方式，另一种是不存在的域名，本文显然后不可能是第二种，再结合扫描出的两个域名，可以绑定域名，然后访问域名试试。在Linux中，存在suid、guid、sticky，SUID（设置用户ID）是赋予文件的一种权限，它会出现在文件拥有者权限的执行位上，具有这种权限的文件会在其执行时，使调用者暂时获得该文件拥有者的权限。

2024-11-17 14:53:31 1740

原创日常ctf

查看源码，访问download.php?套娃ROT13 → 16进制 → base32 → base64 → base85。我们看到url的download.php，试着进行编码访问。发现还有一个我们没有访问过的hereiskey.php。乱码，看url后面的有一个=试试base64解码。考intval缺陷，输入12345a就可以绕过。去掉(k),然后除了nssctf其它都小写。rce 题目，常用的几个系统命令执行函数。传入参数就获取到flag了。通过解码发现是敲击码，解码。点击下载的时候url有变化。

2024-11-15 23:50:31 469

原创 ctf日常

结合上面要求，可以使用url取反方式进行绕过，不用异或和或运算是因为^和`被过滤了。使用脚本将system和ls /进行url编码取反，可以找到根有个flllllaaaaaaggggggg文件；preg_match(“/n|c/m”,$_GET[‘p’], $matches)：过滤字符n和c，\m模式是多行匹配。再上传jpg文件，然后用蚁剑连接，在根目录下找到flag。设计——自定义——首页——编辑，选择php源代码。随便上传一个txt文件，然后将名字改为。设计——组件——素材库——上传素材。

2024-11-14 23:41:15 1062

原创日常ctf

因为我们当前的source.php一般是在html目录下，往上是www，var，然后到根目录，flag一般就放在根目录下面，这里还有一个hint.php?根据之前题目的分析，在获取到源码文件之后，黑客又成功访问了info.php，又继而通过file和filename函数向服务器传递了一些数据。通过之前题目的分析，我们得到了一段URL解码后的数据，其中包含了一段序列化后的字符串，可以看出其中内容，黑客尝试使用类读取/flag中的内容。a=php://input POST部分： I want flag。

2024-11-13 20:12:20 750

原创 iwebsec --xss漏洞

通过反射性xss让受害者点击，如果恶意代码是获取cookit，刚好受害者还有网站登录的权限，就可以获取到受害者的cookit，攻击者需要服务器接受cookit，伪造本地的cookit就有受害者登录网站的权限。说白了就是那些标签，比如。存储型 XSS 是危害性最大的 XSS 了，它一般出现于评论留言功能处，大致的利用方法与反射型 XSS 很像。XSS 本质上来说是一种钓鱼攻击，所以 XSS 的危害角度上也是以钓鱼能够造成的危害为主。等这种类型的 DOM 节点标签而已，而 DOM 型 XSS 打的就是这些。

2024-11-10 18:03:11 507

原创简单的ctf

apache解析漏洞：因为Apache默认一个文件可以有多个用.分割得后缀，当最右边的后缀无法识别（mime.types文件中的为合法后缀）则继续向左看，直到碰到合法后缀才进行解析（以最后一个合法后缀为准）,可用来绕过黑名单过滤。它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。：这个指令将匹配到的文件（在这个例子中是所有的 .jpg 文件）的处理程序设置为 application/x-httpd-php。，，下载下来获取flag。

2024-11-06 21:05:07 1213

空空如也

空空如也