- 博客(107)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 [NSSCTF]roud4 web
之后在文件上传页面对字符进行了过滤,我们可以利用zip压缩的方式绕过,压缩后更改后缀为png上传。由于需要绕过wakeup方法,所以需要修改一下属性,修改属性之后同时需要修改签名。这里构造了几层套娃,爆破一下。读一下index.php。...
2022-08-09 14:37:26
473
1
原创 [vsCTF2022]web题目复现
nodejs的eval命令执行,过滤了很多,利用vsCAPTCHA进入页面需要我们输入验证码根据图示:我们需要在每一轮也就是10s内正确输入验证码,总共输入正确1000次,验证码结果为两数相加抓包发现字段,是一段jwt,解码看一下猜测字段含义:第一种思路是将令牌中numCaptchasSolved的值更改为 1000,然后发送它来欺骗服务器,使其认为已经验证了1000次。但是,JWT 是经过签名的,尝试之后发现现有方法都不行,因此必须找到另一种方法。另一种思路是使用 OCR 来检索验证码的内容,但在如此
2022-07-13 18:39:08
706
原创 [ctfshow]终极考核wp
页面明文flag首页http头首页查看源码,发现可疑路径访问,需要登录,抓包得到flag进入登陆页面需要输入密码开门,查看js文件,发现密码为输入密码后得到flag备份数据,数据中存在flag在网络测试功能当中可以执行命令,抓包修改测试命令为ls发现,访问得到一串url编码解码得到flag在系统更新处填入645的flag,进行权限验证后远程更新此时抓一下远程更新的包这里存在远程请求文件,很像文件包含,尝试读一下文件确实可以,我们依次读取一下web 643中得到的文件最终flag在当中利用数组绕
2022-07-07 17:22:54
1627
3
原创 [2022 ACTF]web题目复现
查看dockerfile发现题目使用环境为goahead5.1.4,联想到p神对于该漏洞的复现记录,我们有两种方法解题:GoAhead环境变量注入复现踩坑记hack.c编译exp.pyexp.py简单看一下代码逻辑:server.js整个题目通过websockets通信,当api为getflag时传入flagbot这里发现admin登录没有任何限制,那么我们登录admin再传入getflag即可原型链污染:xss:ToLeSion考点:TLS-Poison一篇文章带你读懂 TLS
2022-07-06 01:06:34
1545
2
原创 [2022 CISCN]初赛 web题目复现
源码泄露www.zip,用网上的链子直接打online_crt考点:CVE-2022-1292SSRF项目后端为python+go,其中python部署在外网,go通过python转发到内网先看python,一共有四个路由:为主界面生成一个x509证书调用c_rehash创建证书链接通过代理访问go内网服务再来看go,有一个admin路由,用以重命名证书文件题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞c_rehash是openssl中的一个用perl编写的脚本工具,用于批
2022-07-04 13:42:48
3864
1
原创 [SCUCTF2022]校赛Web出题笔记
前言本次校赛我出了两个题,一个签到一个中等,由于自己的原因导致这两道题都出现了比较离谱的非预期,这里给师傅们谢罪了。checkin<?phperror_reporting(0);$action = $_GET['a']?$_GET['a']:highlight_file(__FILE__);if($action==='inject'){ die('Permission denied');}$lock = call_user_func(($_GET['Y']));if (
2022-05-27 22:24:55
1925
1
原创 浅谈XS-Leaks之Timeless timing attck
本文首发于先知社区,转载请联系对方原文链接:浅谈XS-Leaks之Timeless timing attck文章目录1 XS-Leaks简介1 什么是XS-Leaks?2 XS-Leaks和CSRF的区别3 XS-Leaks的利用原理和使用条件2 网络计时攻击-network timing1 传统的计时攻击2 Timeless timing1 原理2 优点3 题目讲解简单示例[WCTF 2020]Spaceless SpacingHTTP/2的多路复用[TQLCTF 2022] A More Secur
2022-05-11 23:53:27
704
原创 [2022DASCTF Apr X FATE 防疫挑战赛]web题目复现
warmup-php给了源码: <?phpspl_autoload_register(function($class){ require("./class/".$class.".php");});highlight_file(__FILE__);error_reporting(0);$action = $_GET['action'];$properties = $_POST['properties'];class Action{ public function __
2022-05-02 11:55:55
946
原创 [MRCTF 2022]web题目复现
WEBwebcheckin一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过<?php class KUYE{ public $DAXW = null; public $LRXV = null; function __construct(){ $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 10011
2022-04-27 13:05:48
1470
2
原创 [*CTF2022]web题目复现及wp
WEBoh-my-grafana搜一下相关漏洞,CVE-2021-43798尝试读取文件/public/plugins/alertlist/../../../../../../../../var/lib/grafana/grafana.db/public/plugins/alertlist/../../../../../../../../etc/grafana/grafana.ini# disable creation of admin user on first start of graf
2022-04-21 11:13:20
2373
原创 [Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
简介对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链:基于TemplateImpl;基于JNDI(又分为基于Bean Property类型和Field类型);这里我使用的环境是JDK7u51fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar反序列化TemplatesImpl类+类加载触发先看一下POC:Te
2022-04-18 15:53:56
610
原创 [树莓派]PICO基础使用_微雪OLED显示
简介Raspberry Pi Pico是具有灵活数字接口的低成本,高性能微控制器板。它集成了Raspberry Pi自己的RP2040微控制器芯片,运行速度高达133 MHz的双核Arm Cortex M0 +处理器,嵌入式264KB SRAM和2MB板载闪存以及26个多功能GPIO引脚。对于软件开发,可以使用Raspberry Pi的C / C ++ SDK或MicroPython。规格参数双核 Arm Cortex-M0 + @ 133MHz芯片内置 264KB SRAM 和 2MB 的
2022-04-13 13:09:26
4210
原创 [SCUCTF]2021 校赛 Web题目复现
web1 入门查看headers2 shell<?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); }?
2022-04-08 22:20:09
1864
原创 [操作系统]Nachos4.1安装教程(docker+linux)
博客选取了linux下的安装教程,具体可以去我的github查看完整安装教程以及镜像下载。https://github.com/Snakinyalinux安装本教程基于ubuntu 20.04系统安装01 查看系统发行版本sudo lsb_release -a02 确定linux位数Nachos依赖32位编译环境,如果是64位操作系统则需要安装32位编译环境。dpkg --print-architecture 03 Ubuntu 32位编译环境搭建安装linux基本开放环境su
2022-04-08 09:07:43
3469
原创 [Java安全]Java动态加载字节码
什么是java字节码严格来说,Java字节码(ByteCode)其实仅仅指的是Java虚拟机执行使用的一类指令,通常被存储在.class文件中。这里所有能够恢复成一个类并在JVM虚拟机里加载的字节序列,都在我们的探讨范围内。利用URLClassLoader加载远程class文件这个很基础,直接上代码:先编写一个evil.java并编译为class文件,python开一个http服务import java.io.IOException;public class evil { publi
2022-04-07 12:07:07
717
1
原创 [Java安全]ysoserial_CommonCollections2_Transformer/TemplatesImpl链分析
本机环境:JDK版本:jdk1.7u_51CC版本:Commons-Collections 4.0调用链Gadget chain: ObjectInputStream.readObject() PriorityQueue.readObject() ... TransformingComparator.compare() InvokerTransformer.transform() Method.invoke() Runtime.e
2022-04-04 14:08:32
1358
原创 [渗透测试]Cobalt Strike如何上线linux主机
环境配置CobaltStrike 4.3CrossC2Kali(CS服务端)Kali(CS客户端)Kali(受害机)Cross C2简介Cross C2是一个支持Linux & MacOS系统的拓展插件,支持用户自定义生成的动态库,以无文件落地的方式从内存中加载执行动态库或可执行文件。简而言之就是一个CS的简单小插件,目的就是上线Linux主机, 可做一些简单的操作。支持架构:WindowsLinuxMacOSiOSAndroidEmbeddedR
2022-04-03 19:19:27
5497
原创 [渗透测试]Vulnstack 红队(四)
环境配置网络拓扑图(仅供参考)账号信息:web: ubuntu:ubuntuwin7: douser:Dotest123DC: administrator:Test2008ip信息:攻击机 IP:192.168.111.5 OS:Kali靶机Web IP1:192.168.111.14 IP2:192.168.52.129 OS:UbuntuDC IP:192.168.183.0/24 OS:Windows Server 2008PC
2022-04-03 19:16:58
501
原创 [2022红明谷杯]web题目复现
Fan website存在源码泄露,www.zip审计代码,发现一个album路由,且有一个控制器module/Album/src/Controller/AlbumController.php,控制器能实现上传,删除等操作。在上传部分可以看到过滤了preg_match("/<\?|php|HALT\_COMPILER/i", $cont )从这里猜测应该是phar反序列化,那么我们还需要一个触发点,在文件删除操作调用了unlink函数接下来就是找链子,由于提示了laminas组件,
2022-04-02 13:00:17
1117
原创 [DASCTF 2022]三月赛 web 复现
ezpop <?phpclass crow{ public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); }}class fin{ public $f1; public
2022-03-29 19:37:09
6471
1
原创 [HFCTF 2022]两道web题目wp
ezphp<?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?>看到这段代码不难联想到P神的博客 我是如何利用环境变量注入执行任意命令题目给了一个docker用于本地搭建环境,可以发现题目用的系统环境为debian。在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash。由于
2022-03-28 20:01:11
6611
原创 [NSSCTF][羊城杯2020]WEB复现
easycon考点:一句话,base64转图片访问index.php,提示eval post cmd,应该是有一句话,直接蚁剑连接里面有一个bbbbbbbbb.txt,打开发现是一串base64编码发现是jpg头,base64转图片即可easyphp考点:.htaccess <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){
2022-03-13 23:32:48
5191
原创 [Python]网络编程基础
客户端/服务器网络编程在服务器响应客户端请求之前,必须进行一些初步的设置流程来为之后的工作做准备。首先会创建一个通信端点,它能够使服务器监听请求。一旦一个通信端点已经建立,监听服务器就可以进入无限循环中,等待客户端的连接并响应它们的请求。客户端所需要做的只是创建它的单一通信端点,然后建立一个到服务器的连接。然后客户端就可以发出请求,该请求包括任何必要的数据交换。一旦请求被服务器处理,且客户端收到结果或某种确认信息,此次通信就会被终止。套接字:通信端点套接字是计算机网络数据结构,在任何类型的通信开始之
2022-03-13 14:44:50
6085
原创 [Java安全]ysoserial_CommonCollections1_LazyMap链
ysoserial_CommonCollections1_LazyMap本文分析yso中的利用链本机环境:JDK版本:jdk1.7u_51CC版本:Commons-Collections 3.1import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collection
2022-03-12 14:45:04
3608
原创 [PHP]浅谈php混淆与反混淆
PHP编译PHP是解析型高级语言,事实上从Zend内核的角度来看PHP就是一个普通的C程序,它有main函数,我们写的PHP代码是这个程序的输入,然后经过内核的处理输出结果,内核将PHP代码"翻译"为C程序可识别的过程就是PHP的编译。C程序在编译时将一行行代码编译为机器码,每一个操作都认为是一条机器指令,这些指令写入到编译后的二进制程序中,执行的时候将二进制程序load进相应的内存区域(常量区、数据区、代码区)、分配运行栈,然后从代码区起始位置开始执行,这是C程序编译、执行的简单过程。同样,PHP的
2022-03-11 09:49:26
3884
原创 [渗透测试]Vulnstack 红队(三)
环境配置网络拓扑图(仅供参考)攻击机:kali ip:192.168.111.5靶机:web-centos 外网ip:192.168.111.10 内网ip:192.168.93.100web1-ubuntu ip: 192.168.93.120PC ip: 192.168.93.30win 2008 ip:192.168.93.20win 2012 ip:192.168.93.10渗透测试信息搜集端口扫描:nmap -sS 192.168.111.10发现
2022-03-10 14:26:33
3913
原创 [NSSCTF][SCTF 2021]WEB复现
感谢NSSCTF提供复现环境loginmemiddleware.gopackage middlewareimport ( "github.com/gin-gonic/gin")func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" { c.Abor
2022-03-09 23:32:32
1909
原创 [Java安全]CommonCollections1_TransformedMap链
CommonCollections1_TransformedMap本机环境:JDK版本:jdk1.7u_51CC版本:Commons-Collections 3.1import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.Const
2022-03-08 12:33:38
667
原创 [TQLCTF2022]NETWORK TOOLS复现
考点DNS缓存污染FTP SSRF原理通过在DNS资源记录中插⼊控制字符,从⽽影响DNS的解析结果,或是插⼊不符合域名规范的特殊字符,最终实现DNS缓存污染、SQL 注⼊、XSS等效果。DNS域名系统(Domain Name System,DNS),主要作用是将域名转换为ip地址。它是由一个分层的DNS服务器实现的分布式数据库,也是一个使得主机能够查询分布式数据库的应用层协议。DNS服务器通常是一个运行BIND(Berkeley Internet Name Domain)软件的UNI
2022-03-04 23:13:35
1748
原创 [代码审计]YCCMS V3.4
CMS简介YCCMS是一款PHP版轻量级CMS建站系统。程序页面设计简洁,生成静态html,后台功能强大。利于优化、超强收录、超强排名。适合做关键词排名、淘宝客程序,是个人、企业建站的理想选择。YCCMS采用PHP5+MYSQL做为技术基础进行开发,OOP(面向对象),MVC模块化开发,代码易维护,方便功能扩展和二次开发。更高效、更安全、更稳定。项目结构漏洞分析1 RCE漏洞利用POC:/admin?a=Factory();phpinfo();//../漏洞分析利用点在:/publ
2022-02-28 11:32:50
1700
原创 Thinkphp6.0.x反序列化分析
影响版本Thinkphp6.0.0~6.0.2环境搭建Phpstudy:OS: WindowsPHP: 7.3.4ThinkPHP: 6.0.1创建测试环境:composer create-projec topthink/think:6.0.* tp6.0.1之后进入composer.json修改"topthink/framework": "6.0.1",再执行composer update创建入口点:app/controller/Index.php<?phpnames
2022-02-24 01:01:33
1060
原创 [HSC-1th]web wp
Web-sign inrobots.txt协议,fiag_ls_h3re.php开发者工具查看源码即可CLICKmain.js文件中EXEC <?phperror_reporting(0);if(isset($_REQUEST["cmd"])){ $shell = $_REQUEST["cmd"]; $shell = str_ireplace(" ","",$shell); $shell = str_ireplace("\n","",$shell); $
2022-02-22 21:31:03
1443
原创 [CTF]命令执行无回显利用
背景exec,shell_exec等函数可以执行命令但没有回显,我们需要寻找方法来得到命令执行后的结果<?php highlight__file(__FILE__) shell_exec($_GET[cmd]); ?>判断命令是否执行延时利用sleep函数cmd=ls|sleep 5HTTP请求目标主机通过向VPS发起HTTP请求,VPS监听到请求则代表命令执行成功(注意:ping命令不产生http请求)VPS:nc -lvp 8888目标主机:cm
2022-02-21 01:42:54
7214
原创 [BUUCTF][VNCTF2022公开赛]web wp
GameV4.0base64解码即可newcalc0镜像为node:lts-alpine,package.json全部为最新包const express = require("express");const path = require("path");const vm2 = require("vm2");const app = express();app.use(express.urlencoded({ extended: true }));app.use(express.json(
2022-02-14 19:42:39
2367
原创 [渗透测试]Vulnstack 红队(二)
域环境初始化DCIP:10.10.10.10 OS:Windows 2012(64)应用:AD域WEBIP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64)应用:Weblogic 10.3.6 MSSQL 2008PCIP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32)应用:攻击机IP:192.168.111.5 OS:Kaliweblogic漏洞利用nm
2022-02-10 00:11:00
2215
原创 [JAVA安全]ysoserial_URLDNS分析
ysoserial的URLDNSURLDNS Payload 不依赖任何的第三方库 , 通过HashMap类的反序列化可以触发DNS查询先看代码:public class URLDNS implements ObjectPayload<Object> { public Object getObject(final String url) throws Exception { //Avoid DNS resolution during pa
2022-02-09 11:29:03
1676
原创 [ctfshow]2022 新春欢乐赛 wp
热身开局看到源码,但是却没有显示源码的代码。那么只能是被包含进去了,直接phpinfo搜prepend可以看到包含的文件,查看之得到flag。?f=system("tac etc/ssh/secret/youneverknow/secret.php");web1highlight_file(__FILE__);error_reporting(0);$content = $_GET[content];file_put_contents($content,'<?php exit();'
2022-02-09 11:25:12
1350
原创 [渗透测试]Vulnstack 红队(一)
官方描述红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019域环境初始化攻击机:kali ip:192.168.111.5靶机:win7 外网ip:192.168.111.6 内网ip:192.168.52.14
2022-02-08 10:45:18
2156
2
原创 [渗透测试]02 PowerShell基础
PowerShell是一种命令行外壳程序和脚本环境,它内置在 Windows 7、Windows Server 2008 R2 及更高版本的 Windows 系统中,同时 PowerShell 是构建在 .NET 平台上的,所有命令传递的都是 .NET 对象。PowerShell 有如下特点:Windows 7 以上的操作系统默认安装PowerShell 脚本可以运行在内存中,不需要写入磁盘可以从另一个系统中下载 PowerShell 脚本并执行目前很多工具都是基于 PowerShell 开发的
2022-02-08 10:43:58
551
原创 [BUUCTF][EIS 2019]EzPOP
[EIS 2019]EzPOP<?phperror_reporting(0);class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
2022-02-07 17:42:57
348
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人