- 博客(56)
- 收藏
- 关注
RSS订阅原创 【HTB】Late
我试了很多payload,转成图片后识别各种报错,前前后后被折磨了快一天。往下翻,找到一个链接,指向http://images.late.htb/看到flask,猜测有ssti漏洞。后面发现果然猜对了,但是很恶心。上pypy64监控进程,找带有root权限并且能编辑程序。使用两个>>成功,一个>就不行。但我是kali 2024的,没搜到这个字体。可以看到svc_acc用户有读写执行的权限。在pspy64执行的结果中,可以看到。字体,12字号,截图才可以。偷个懒,直接用他的图吧。好,接下来折磨开始了。
2024-04-10 14:06:03
374
原创 HTB_Start Point_Tier2——Oopsie
HTB_Start Point_Tier2——Oopsie反弹shell+suid提权
2022-08-22 17:01:09
1527
1
转载 CVE-2021-4034复现
漏洞分析问题出在 pkexec 命令上命令基本格式pkexec [--user username] program其含义,以指定用户身份 运行 文件,默认则为root正常使用,是需要输入密码的。在 main 函数里,如果传入的命令不是绝对路径,就会在 PATH 环境变量的目录里搜索。在 534 行的 for 循环从下标 1 开始遍历 argv[]。但 Linux 里 argv 允许只包含一个元素,就是使用 execve 并给 argv 传入 {0},此时 argc 就是
2022-01-28 10:22:43
418
转载 Windows下创建隐藏账户、影子账户
方法一: 用户名后面加$符号net user test$ password /addnet localgroup administrators test$ /add此时使用命令net user 查看不到此用户,但使用 wmic命令可以wmic useraccount get Name此外,在控制面板也能看到此用户可直接用命令删除net user test$ /del对于此方法,微软官方的回答是方法二:修改注册表前提是...
2022-01-25 09:41:46
3992
原创 cmd下获取wifi密码
for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clearnetsh wlan show profiles 能查看保存密码的WiFi整个命令结果如下
2022-01-24 16:20:52
279
原创 Windows下的影子账户创建与防范
1、查看当前系统账户(1)打开cmd查看当前系统账户:net user(2)开始-->控制面板-->管理工具-->计算机管理,进入本地用户和组,查看用户。(3)打开注册表,进入以下键值,查看用户和组。HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/其中,Names下的键值为用户名,用户名键值下的值,对应的Users下的键,内部的F,V值为该用户的登录设置信息,其中F键值,为权限设置信息。2、添加账户
2021-12-26 21:09:23
2857
1
原创 [漏洞复现]——nginx目录穿越漏洞
前言曾记得面试时被问到这个漏洞,当时没答上来,所以好好学习一下原理Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,Nginx经常被做为反向代理,动态的部分被proxy_pass传递给后端端口,而静态文件需要Nginx来处理。漏洞出现在服务器的静态文件中。如果静态文件存储在/home/目录下,而该目录在url中名字为files,那么就需要用alias设置目录的别名:url上/files没有加后缀/,而alias设置的/home/是有后缀/的,这个/就.
2021-11-30 20:26:48
6101
原创 反序列化漏洞中的原生类利用
前言ctf中代码审计反序列化的题目中,有时候给出的类没有可以利用的函数(类似eval)这个时候该尝试调用php自带的原生类。关于原生类有哪些,分别对应什么功能,可以看这个视频。第二期培训:php原生类_哔哩哔哩_bilibili例题下面是一道反序列化的题目<?phperror_reporting(0);class catalogue{ public $class; public $data; public function __constru
2021-11-16 17:06:22
3927
原创 php伪随机数爆破种子
一、前言ctf中有很多php随机数的题目,考察方式一般如下:给定一个随机数,求产生随机数的种子。做这种题,先了解点知识二、基础知识php产生随机数php 通过 以下两个函数产生随机数mt_srand() //播种 Mersenne Twister 随机数生成器。mt_rand() //生成随机数应用代码为<?php mt_srand(1234); echo mt_rand()."</br>";echo mt_rand()."
2021-11-15 15:49:52
3939
1
原创 never_give_up——bugku
前言一个很老的题目了。两前年有个投机取巧的题解。 直接访问f4l2a3g.txt 得到flag。 现在修复了,必须按部就班的做。那、来吧。解题过程访问靶场、查看源码,发现有1p.html访问会跳转到https://www.bugku.com/用burp拦截一下试试(写笔记复现的时候没有拦截成功。但是第一遍确实是没问题的。)在p1.html的源码里发现有注释<!--JTIyJTNCaWYoISUyNF9HRVQlNUInaWQnJTVEKSUwQSU3...
2021-10-30 17:02:41
760
1
原创 bugku——文件包含
文件包含 配合 伪协议 读取敏感文件!文件包含 配合 伪协议 读取敏感文件!文件包含 配合 伪协议 读取敏感文件!做了那么多文件包含的题目,还是会忘掉这个知识点。该打小手!解题过程访问IP。默认是index.php点击click me? no 、传参 file = show.php尝试查看index.php 的源码。发现不可以。这时候用伪协议绕过?file=php://filter/read/convert.base64-encode/resource=ind...
2021-10-29 14:22:21
262
原创 game1——bugku
这种前段Java游戏类的题目还是很经典的,所以总结下思路基本思路我们玩的游戏,是前端JavaScript的写的,所以最终得分一定与前端代码有关。所以思路一 是 修改前端代码,让自己“开挂”。 不过 这对我们JavaScript的水平要求比较高,部分同学达不到。所以这里引出思路二。 我们前端玩游戏的数据,总是要传给后端的,可以拦截数据包,修改数据! 这个题就这样做。解题过程先玩一局游戏。玩完一把游戏后。能看到score.php 传输了我们的得分 和 签名signht..
2021-10-29 11:20:00
2089
原创 bugku——source
解题思路:source 有源码的意思。 先 Ctrl + u 查看源代码,得到一个错误的flag。既然是源码泄露,直接上dirsearch 扫描python3 dirsearch.py -u "your_url"发现有git泄露 (忘了截图了,见谅)使用wget 下载源码wget -r ip/.git-r 参数为 递归,下载所有文件。若kali没有 wget ,使用以下命令下载apt-get updateapt-get install wget下载完..
2021-10-29 10:27:40
537
原创 [RoarCTF 2019]Easy Calc
Ctrl + u 查看 源码访问 /calc.php<?phperror_reporting(0);if(!isset($_GET['num'])){ show_source(__FILE__);}else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^']; foreach (
2021-10-25 17:11:30
111
原创 buuctf——rot
题目破解下面的密文:83 89 78 84 45 86 96 45 115 121 110 116 136 132 132 132 108 128 117 118 134 110 123 111 110 127 108 112 124 122 108 118 128 108 131 114 127 134 108 116 124 124 113 108 76 76 76 76 138 23 90 81 66 71 64 69 114 65 112 64 66 63 69 61 70 114 62
2021-10-23 11:02:34
2763
原创 buuctf——密码学的心声
题目不难,但是很有意思,记录一下题目介绍二战时期,某国军官与一个音乐家情妇相好,然而自从那时起,他屡战屡败,敌人似乎料事如神。他也有怀疑过他的情妇,但是他经过24小时观察他的情妇,发现她每天都只是作曲,然后弹奏给战地电台,为士兵们鼓气,并未有任何逾越。那么,间谍到底是谁?这张曲谱是否有猫腻? (答案为一个明文字符串,提交获得的有意义语句通顺字符串即可)l = [111,114,157,166,145,123,145,143,165,162,151,164,171,126,145,...
2021-10-22 18:50:53
2510
转载 buuctf——RSA2 维纳攻击法
题目信息N = 1019918097775532534702767513992647401311576823292526735017921545070061584344320091419953672419625257059500462534001888846582624965347064387915150718858608975527366568995669157312972258172506398736433763101039921706469065572428328939149020535...
2021-10-22 18:28:40
2154
1
转载 2021-10-22ROT5/13/18/47编码
ROT5、ROT13、ROT18、ROT47 编码是一种简单的码元位置顺序替换暗码。此类编码具有可逆性,可以自我解密,主要用于应对快速浏览,或者是机器的读取,而不让其理解其意。ROT5 是 rotate by 5 places 的简写,意思是旋转5个位置,其它皆同。下面分别说说它们的编码方式:ROT5:只对数字进行编码,用当前数字往前数的第5个数字替换当前数字,例如当前为0,编码后变成5,当前为1,编码后变成6,以此类推顺序循环。ROT13:只对字母进行编码,用当前字母往前数的第13个字母替换当前字
2021-10-22 17:58:53
316
原创 buuctf Dangerous RSA
低加密指数攻击rsa 的加密 为 c = m ^ e mod n当e 很小,n很大 时,有两种情况① m ^ e 有可能小于 n 。 此时, c = m ^ e 。 密文 m = c 开e次方当m ^ e > n 。 此时。 m ^ e = kn + c 。 k 是整数 。对 k 进行爆破,就能找到对应的m脚本#python3## -*- coding: utf-8 -*-#from gmpy2 import irootimport libnume =...
2021-10-22 09:34:37
764
原创 buuctf - Unencode
头一次见这样的加密。写个记录得到的密文89FQA9WMD<V1A<V1S83DY.#<W3$Q,2TM]UUencode 编码解码网址CTF在线工具-在线UUencode编码|UU编码|UUencode解码|UUencode编码原理|UUencode编码算法得到的flagflag{dsdasdsa99877LLLKK}uuencode 介绍这个类似于base64,只是被取代了详情:https://www.jb51.net/article.
2021-10-18 22:45:51
2067
原创 狐狸逮兔子实验 c++
实验描述狐狸逮兔子实验(一)问题描述围绕着山顶有10个圆形排列的洞,互利要吃兔子,兔子说:”可以,但必须找到我,我就藏于这10个洞中,你先到1号洞找,第二次隔1个洞(即3号洞)找,第二次隔2个洞(即6号洞)找,以后如此类推,次数不限.”但狐狸从早到晚进进出出了1000次,仍没有找到兔子.问:兔子究竟藏在那个洞里?(二)问题分析这实际上是一个反复查找线性表的过程.定义一个顺序表,用具有10个元素的顺序表来表示这10个洞.每个元素表示围绕山顶的一个洞,下标为洞的编号.对所有洞设置初始标志
2021-10-18 19:35:50
818
原创 python求模逆元
from Crypto.Util.number import *print(inverse(3,7)) #3是要求逆元的数,7是模数from gmpy2 import invertprint(invert(3,7)) #3是要求逆元的数,7是模数
2021-10-15 20:27:52
6376
原创 [ctfshow]php特性 102、103详解
<?phphighlight_file(__FILE__);$v1 = $_POST['v1'];$v2 = $_GET['v2'];$v3 = $_GET['v3'];$v4 = is_numeric($v2) and is_numeric($v3);if($v4){ $s = substr($v2,2); $str = call_user_func($v1,$s); echo $str; file_put_contents($v3,$str);}.
2021-10-14 20:39:30
448
转载 php下 && 和 and的区别
直接看问题。 两个都是与,但是结果很不同。问题出在 优先级上。and和or的优先级是低于=的所以第一行先做赋值然后再做了一个and或or的逻辑运算。这个结果没有保存,是无效的。 所以and后面的 false没有任何作用。&& || 的优先级高于 =所以第三行 先 运算,再赋值,即false原文链接:php and 和 &&的一个坑_努力的C_51CTO博客php and 和 &&的一个坑,我原来以为PHP中的an...
2021-10-01 17:30:15
110
原创 Linux、Windows下用命令行计算文件的哈希值(md5等)
1、Windowscertutil -hashfile 文件名 [哈希方法]不加参数默认 sha1 。可以自己选择md52、Linux
2021-09-29 22:00:20
1842
原创 [HBNIS2018]excel破解——buuctf
解题步骤去下载office密码爆破工具的思路没有成功下了好几个流氓软件,恼了。直接拖进010editor搜索flag离谱啊。flag{office_easy_cracked}
2021-09-09 14:31:28
660
原创 [WUSTCTF2020]find_me——buuctf
解题步骤在属性里面发现盲文https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=mangwen
2021-09-09 14:16:53
215
原创 被偷走的文件——buuctf
打开流量文件按照提示,文件对应 FTP 协议搜索发现被偷走了 flag.rarwireshark 截取的流量中,会截取文件传输对应的流量,也就是说,这个流量包 包括 flag.rar我们用foremost 分离,得到压缩包压缩包有密码。这里没有多余的提示,按照惯例 四位数字爆破吧。解压得到flagflag{6fe99a5d03fb01f833ec3caa80358fa3}...
2021-09-08 18:40:00
884
原创 snake——buuctf
解题步骤将图片用foremost分离,得到图片跟一个zip文件解压得到 一个文件夹,里面有俩文件,cipher 密文,key 密钥。文件key能直接打开V2hhdCBpcyBOaWNraSBNaW5haidzIGZhdm9yaXRlIHNvbmcgdGhhdCByZWZlcnMgdG8gc25ha2VzPwo=base64解码What is Nicki Minaj's favorite song that refers to snakes?Nicki Minaj 最喜欢的
2021-09-06 19:35:09
274
原创 面具下的flag——buuctf
解题过程使用foremost分离图片。得到一个压缩包解压后得到.vmdk是虚拟机的配置文件。我试了很多次。无法通过vmvare workstation 打开。 网上查阅资料后发现,vmdk能以 .7z 的后缀打开。尝试在Windows下解压,发现东西不全。部分打开后甚至还是空文件。part one 就是。尝试在Linux下用 7z 解压7z x flag.vmdk 得到四个文件夹在part one 中,看到了熟悉的brainfuck编码https:...
2021-09-05 11:23:34
419
原创 九连环 CTF
解题过程拿到文件之后,用foremost分离foremost 123456cry.jpg 得到一个图片和压缩包。图片不用管。压缩包里面有一个asd的文件夹,能直接打开。里面的 qwe.zip是有密码的,另一个则是伪加密。我们将第二次得到的压缩包(00000038.zip)放到 010editor这样压缩包就能解压了。得到对于得到的这个图片,用steghidesteghide extract -sf good-已合并.jpg密码直接回车,表示为...
2021-09-05 10:33:33
556
原创 [BUUCTF]FLAG(教练我想打CTF)
基本思路 现在图片隐写主流的两个思路是 用工具分离,或者LSB隐写,这一题是后者。用Stegsolve.jar打开,data extract,LSB隐写一般勾选这红绿蓝为0的三个,右边默认,然后preview。若看不到隐藏的信息,可以试试修改右边的 bit order 或者 bit plane order 。一般都能成功当然正确的思路是,用Stegsolve.jar打开后,如果有明显的隐藏信息,则在data extract上勾选相应的。(图上这个就勾选 Red 0)当...
2021-09-04 16:18:53
3935
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人