- 博客(193)
- 收藏
- 关注
RSS订阅
原创 白嫖CTG4.0
大家好,到点了我来给各位大佬献策CT,不是花钱买不起,而是免费更有性价比,哈哈哈不调侃了我们自此开始正文,咱们主打的就是一个分享是一种态度大家好,到点了我来给各位大佬献策CT,不是花钱买不起,而是免费更有性价比,哈哈哈不调侃了我们自此开始正文,咱们主打的就是一个分享是一种态度当然我更希望大家支持国产对国产有自己的信心(文心一言)我不用是因为我需要更精准的工作,大学生脑子的AI已经不适合我了哈哈哈,调侃调侃各位大佬别介意3.5。
2023-11-24 20:12:19
5105
15
原创 渗透hfs任意命令执行
我们使用这个命令执行漏洞去添加一个用户。输入我们刚才创建的ad和123456。将用户添加到管理员组和远程桌面组。将用户添加到远程桌面组。
2024-07-21 02:38:01
143
原创 内网渗透-不出网cs的各种姿势(内网穿透)
官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons连接后,子Beacon从父Beacon获取到任务并发送。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
2024-05-20 16:18:14
1085
原创 DVWS靶场全总结(详细)--主要用来复习(暂未完善,累了大体框架已成)
看源码可以看到,开发人员将该密码修改操作分成了两步,第一步通过验证码验证是否机器人且验证两次密码输入是否一样,验证通过后,服务器返回表单,第二步,要求用户确认修改密码,客户端提交post请求,服务器完成更改密码的操作。session称为会话信息,位于web服务器上,主要负责访问者与网站之间的交互,当访问浏览器请求http地址时,将传递到web服务器上并与访问信息进行匹配, 当关闭网站时就表示会话已经结束,网站无法访问该信息了,所以它无法保存永久数据,我们无法访问以及禁用网站。
2024-05-10 16:54:35
954
原创 kill中内网渗透工具-msfconsole
这个进程干两件事情,把你的明文密码在进程中存储一份(这里就是它的破绽,既然你在内存中,那我就可以存内存中抓取出来),第二个事情把你的密码进行一个加密,加密后存到SAM这个文件中。迁移了还是没有抓取到那我们可能需要继续迁移,也可能Windows有限制,但其实我们抓到hash值已经够了,因为明文进去也是加密,用密文去进行比对,我们为何不直接用密文?去kill上面看,我的权限很容易可以看到是在管理员组的,那我们hashdump,拿到我们对应win-10的hash值。所以我们要干的一件事情就是迁移我们的进程。
2024-04-25 16:30:23
717
原创 安全中级-环境安装(手动nginx以及自动安装php,mysql)
为了方便大家跟bilibili课程,出了第一节环境bilibili搜凌晨五点的星可以观看相关的教程。
2024-04-16 23:25:06
902
原创 安全中级-初开始
wireshack抓包会有一个MSS(1460),代表什么--(除去IP和TCP头部,数据包TCP数据的最大长度)本地DNS缓存查询-->DNS递归查询-->根域名服务器查询-->顶级域名服务器查询-->解析失败。重要点:TTL值(防环,linux64.Windows128 ),IP数据包包头格式字节(20)文件上传为什么1.为什么消失 2.谁删除的 3.如果我现在要做一个正常的文件上传,应该怎么做。如何最多获取一个网站的ip地址(nslookup[域名解析],tracert)
2024-04-16 01:42:41
1027
原创 网络安全-内网渗透-Kerberos(票据)
在Kerberos协议中主要是有三个角色的存在:访问服务的Client(以下表述为Client 或者用户)提供服务的Server(以下表述为服务)KDC(Key Distribution Center)密钥分发中心 kerberos 测试工具介绍流程图:简单来说:Kerberos是一种基于票据Ticket的认证方式。客户端想要访问服务端的某个服务,首先需要购买服务端认可的。也就是说,客户端在访问服务之前需要先买好票,等待服务验票之后才能访问。但是这张票并不能直接购买,需要一张。
2024-04-01 13:10:55
969
原创 网络安全-内网渗透2
我们是有一款工具hashcat专门破解net-HTLMv2-HashMD5的值不是破解出来的,是对明文对出来的md5在线解密破解,md5解密加密 (cmd5.com)但是对于破解net-HTLMv2-Hash概率很小。
2024-03-31 17:49:07
1325
原创 真实sql注入以及小xss--BurpSuite联动sqlmap篇
因此我尝试了注入,在order by 1和order by 2的时候是没有报错的,而3就有了证明一件事情,表格是两列,咱们暂且确定他是user列和password当然是我猜的。那就ok了,我们直接去sqlmap爆破即可,这里提示一个小点,BurpSuite联合sqlmap使用,将数据包导出来然后导入sqlmap目录下使用。首先我先去网站的robots.txt去看了看无意间发现很多资产。很明显我输入的已经到里面了,我们现在尝试更改命令为查询语句。而当我注入列的时候情况出现了。出现了报错,有报错必有注入点。
2024-03-29 17:44:51
696
原创 hxp CTF 2021 - A New Novel LFI(新颖的解法)
编码形式,并且通过这个编码形式产生的字符串里面, C 字符前面的字符对于 PHP Base64 来说是非法字符,所以接下来我们只需要 base64-decode 一下就可以去掉不可见字符了,但是与此同时,我们的 C 字符也被 base64-decode 解码了,这时候我们需要再把解码结果使用一次 base64-encode 即可还原回来原来的 C 字符了。那这里有小伙伴就有疑问了,字符集编码怎么来的,这里就要说一个国外的老师将字符集编码进行了一个开源。那我们可以用Base64创造我们想要的内容吗?
2024-03-28 17:04:55
877
原创 ctf-36C3解析
所以整个流程我们可以总结为以下:1.利用compress.zlib://http://或者compress.zlib://ftp://来上传任意文件,并保持 HTTP 长链接竞争保存我们的临时文件2.利用超长的 name 溢出 output buffer 得到 sandbox 路径3.利用 Nginx 配置错误,通过.well-known../files/sandbox/来获取我们 tmp 文件的文件名目录穿越:4.发送另一个请求包含我们的 tmp 文件,此时并没有 PHP 代码。
2024-03-28 09:12:21
780
原创 网络安全-文件包含
我们先来看一个简单的代码当我点击click go baidu的时候直接就会实现跳转,而我的url后面会出现?file=这就是文件包含最经典的反应因为我靶机搭建在windows上面所以,我尝试读一下本地文件,但是会显示flag在当前目录文件下原因是在过滤了四个协议的情况下,不等于百度便会跳转到if返回本质其实是在file处传递了一个php://input这个协议,我们前几篇文章页说了phpinput可以接收post原始流比如任意命令执行。
2024-03-25 23:52:52
1516
原创 文件包含例子
include_once()与require()_once(),如果文件已包含,则不会包含,其他特性如上。文件包含可以读本地文件 ,但是只能读非php文件,因为include会将php文件解析。require(),会生成致命错误(E_COMPILE_ERROR)并停止脚本。include(),只生成警告(E_WARNING),并且脚本会继续。那我们可以让a=I want flag嘛,试试。现在报了一个没有这个文件的错误。因为此为文件流的形式读取。一、常见的文件包含函数。
2024-03-15 07:47:41
795
原创 phpcms上传导致getshell详解及案例
1.没有递归函数,导致文件夹内的文件并未被删除修复方法:递归函数2.先上传,后删除,利用时间竞争修复方式:创一个随机字符的文件夹名3.直接解压报错修复方式:在解压后,先删除一次4.利用../../跳出目录究竟是什么原因造成了这个漏洞,究其根本还是以为将用户不安全的POST数据写入了文件,并解压到web目录下了。把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,就不会有麻烦的安全问题了。
2024-03-14 16:16:08
1723
2
原创 pkav之当php懈垢windows通用上传缺陷
因为我们经常了解的%00截断,在Windows里面还有一个111.php:jpg上传的话从jpg处会截断但是我们的php文件为空,而我们可以利用上面所说的特性对其进行覆盖。那我们就可以利用小于号代表星号,星号又代表所有,上传一个空白的php文件。很明显上传上来了但是没有值。三、那我先随便上传一个。
2024-03-14 01:40:53
729
原创 upload-labs靶场通关全网最详细
我们本关的任务是上传一个webshell,当我们上传php文件的时候,会直接阻止我们去看看很明显这个是对前端进行验证的代码那我们直接进入开发者模式可以清楚的看到checkFile()【文件类型校验函数】那就很简单了,我们删除校验改为true,即可成功上传我们的php上传成功:看看结果第二种方法,我们可以使用burp抓包实现,先上传一个.jpg正常的文件但是内容是一句话木马,抓包后修改后缀放行也可实现第三种方法:关闭网页的js攻能,这样js也被我们绕过了我们现在重新进行提交。
2024-03-14 00:32:26
2053
原创 蚁剑连接两个形式--免杀
大致的意思会输出一些内容 随机字符串+环境变量+随机字符串,如果用eval代替assert是完全没问题的,我查了下资料,assert是不能执行多个语句的,eval可以,所以这里使用assert会有返回为空的问题。这里简单来说就是eval函数中参数是字符,如:eval('echo 1;assert函数中参数为表达式 (或者为函数),如:assert(phpinfo())这个问题可以使用base64编码的问题解决,编码后的数据包,可以看到ant这个参数传入的是一句话,因此就可以通过assert执行成功。
2024-03-13 22:01:25
751
原创 文件包含漏洞初识
在web后台开发的时候,我们会使用PHP,Java这种代码,而在使用的过程中,我们经常会使用包含函数(也就是调用),而很多时候,前端用户在选择浏览时会调用包含的文件这无可避免,但是开发人员对于要包含的这个文件没有进行安全考虑的时候,就会导致攻击可以通过修改包含文件的位置来让任意代码执行,文件包含漏洞分为本地和远程。如果工程师打开了远程调用的端口,当用户命令包含远程URL(黑客在自己的网站写恶意代码),传入到后台,让后台调用远程的恶意代码到本地,就是远程的文件包含漏洞。看看配置文件吧,默认开启和关闭。
2024-03-07 15:57:04
897
原创 DOM破坏BurpSuite学院(Up升级版[其实就是代码变多了])
那这里的东西能不能替代,如果可以替代,length是空的,控制是undefined,空值的话直接跳出循环不循环了,它就不会走下面了,那我的恶意属性就不会被删除了。这确实破坏了,但是有什么用?我们需要思考form被留下了,form可不可以触发我们的xss漏洞 ,我们的焦点就可以实现。但是结果,本改被移除的onerror属性逃逸出来了,把一个正常的属性删掉了?其实真正的含义:跟指针有点像,删了一个后面一个给前面跑,指针指到后面直接变为空了也就停止了。很明显svg删掉了,为什么删了还能看到?
2024-03-06 03:41:16
751
原创 DOM破坏BurpSuite学院(简单版本)
这是我们提交的js,载入我们提交的评论后,通过ajax把我们的评论重新再读取出来,展示到页面上。结果:图像出现了,name过滤掉了,email(h5的正则)和website利用不了。我们可以看到我们的代码已经进去了,再随便评论一下,就可以触发我们的XSS代码了。那就简单了,我们写成这样,造成单引号闭合后,用x.y形式反弹我们一个alert。明显不存在,那么这个值我们可以伪造?所以我们只能分析源码,这里有一个过滤框架。这个值不存在取后面的,那我们看看控制台。我们给两个恶意代码,下段看看。我们提交的值没有了?
2024-03-05 17:51:11
631
原创 demo破坏升级
让我们值得注意的是我们可以通过collection[name] 的形式来调⽤其中的元素,所以我们似乎可以通 过先构建⼀个HTMLCollection ,再通过collection[name] 的形式来调⽤。很明显我们上面的假设成立,那很简单了,我们可以通过这两种方式去进行两层取值,而这种取值的方式标签有以下几种。如果我们刚才所解释的dom破坏形式不再是单纯的x一层结构,而是x,y这种形式,两层结构,我们该怎么办。很明显,x是一个集合,x.y把name取出来了,x.z把标签中间的取出来了。
2024-03-05 16:04:19
676
原创 来分析一下dom破坏
因为系统元素中没有ok,但是我们又需要ok去绕过,且我们想要的是一个字符,先会找系统的,之后找a标签,但是 DOMPurify这个元素又把我们标签过滤掉了,我们难以执行,但是这个DOMPurify框架是有白名单的,我们通过白名单直接就过了DOMPurify这个框架,之后便可实现弹窗这也是我前面给大家所讲的核心点dom破坏强行增加一个元素。好了那我们的想法如上,把刚才的实践一下,那么取的会是ok,两秒后会去执行,依然没有执行?我们在这串代码的情况下看一下打印状态。而接下来,如何破解我们的疑问呢?
2024-03-05 14:27:39
930
原创 浅谈一个CTF中xss小案例
X-XSS-Protection: 0:关闭XSS防护之后get传参,替换过滤为空,通过过滤保护输出到img src里面三、正常去做无法通过因为这道题出的不严谨所以反引号也是可以绕过的正常考察我们的点不在这里,正常考察的是字符串解码两次编码也是无法绕过的因为&已经给我们防止住了没过滤百分号那我们是不是可以urlcode编码,但是在按下回车的那一下,我们网页自动就给我们又转回来了,等进入程序后又被过滤了那转码我们控制不了,我们可不可以添加一个%25很明显还是不行。
2024-03-03 00:48:53
1280
原创 浅谈XSS简单漏洞xss-labs-master(初级)
网上很多gethub自己下就行XSS简介:当用户访问被XSS注入的网页,XSS代码就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。用户最简单的动作就是使用浏览器上网,并且浏览器中有Javascript解释器,可以解析JavaScript,然而由于浏览器不具有人格,不会判断代码是否恶意,只要代码符合语法规则,浏览器就会解析这段XSS代码。简单来说,XSS就是通过攻击者精心构造的JS代码注入到网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击浏览器的效果。
2024-02-28 21:38:08
1666
原创 nosql的注入
关系型数据库 mysql oracle sqlserver非关系型数据库 key-value redis MongoDB(not only sql)
2024-02-28 01:04:03
1495
原创 sql注入之堆叠注入
堆叠注入产生原因是因为mysql_multi_query()支持多行查询,如果没有这个函数我们使用不了堆叠注入,其次堆叠注入通过分号分隔。
2024-02-23 02:56:35
2018
原创 sql-labs25-28a
mysql中有常见的空格%0a,%0c,%0d,好还是不行。那很明显and爆破注入是可以的,去试试,很明显确实是可以的。它说你的OR和and属于它,那就是过滤了OR和and。不用or和and进行爆破注入,很明显是有注入点的。ok,此道题算是解了但是如果我们用了and了呢。换了一个闭合方式和26一样的,单引号闭合多个括号。跟28一样的,而且限制变少了,没空格等限制了。替换一下空格 /**/,很明显也被过滤掉了。但是报错被注释了,那我们只能盲注了。好了很明显注入点在2,3操作就行了。看看界面没空格和注释符了。
2024-02-23 01:30:45
826
原创 来分析两道小题
首先它会接两个参数一个是id一个是ps,传递的话会包含一个flag.php,然后数据库连接,之后传递过滤,然后查询,如果查到了就会取id,取出来看是不是跟adog一样,如果是它告诉你账号被锁定,如果不是展示flag。
2024-02-22 22:25:01
1706
对于CLion,DataGrip,GoLand,IDEA,phpStorm,PyCharm,WebStorm如何启动
2023-06-01
学校刷课系统(下载文件自动跑程序,完美避过监控系统)
2023-03-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人