自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(212)
  • 收藏
  • 关注

原创 网络安全-jsp绕过

我们来看一下这个样本,它提交的一个参数是 StringBuilder,cmd,把我们执行结果转换成一个流放进InputStreamReader进行一个包装,把字节流转换成字符流,执行之后把结果放入stringBuilder.toString();而这个WebShell为什么可以绕过,正因为它加载的是一个字节码,没有任何关键词,所以我们来尝试进行一个执行,很明显咱们的一个命令执行已经生效了,并且权限相当大可以执行net user。运行一下看看相当于对这个类生成了一个字节码。也可以执行一个计算器。

2024-09-24 14:36:54 858 1

原创 网络安全-长亭雷池waf的sql绕过,安全狗绕过(5种绕过3+2)

雷池官网docker安装我的版本是看官网介绍主要防御top10。

2024-09-23 12:44:56 5274

原创 网络安全-CSRF

这个漏洞很早之前了,但是为了避免大家在面试等等的时候被问到,这里给大家温习一下CSRF全程是没有黑客参与的,全程都是用户自己在操作。

2024-09-22 16:57:11 377

原创 网络安全-webshell绕过,hash碰撞,webshell绕过原理

那既然这样我们怎么去处理呢,这个是非常巧妙的current是返回当前数组的元素,也就是当前数组的值current,此时它就从current重新变成了current($_POST[a])($_POST[b]),变成它a是一个数组,b就是你的任意命令。当然,这只是两款免费的webshell查杀工具,当前我们算是绕过了,但如果是花钱买的,这个动态传参多半是可以监控到的,因为用户可以控制,至少免费的绕过了,如何去利用呢,call_user_func老朋友了,回调函数。

2024-09-21 12:09:56 1628

原创 网络安全-shire写任务计划、反弹shell、写私钥、反序列化

我们经过前面文章很清楚知道,shiro是将数据存储在内存当中,内存落盘实现一个数据存储,而当其结合python,python将登录的session存储到shiro里面就会造成一个反序列化漏洞看看环境登录信息存到session序列化一个引擎序列化存入那我们就需要反序列化的方式取出pass:python序列化的两个方法pickle.dumps、pickle.loads。

2024-09-18 15:07:33 790

原创 ssrf攻击fastcgi复现及环境搭建

网上自己找vulhub-master.zip,我这里没用docker,本地自己搭建的。

2024-09-18 02:57:40 824

原创 网络安全-ssrf

pass:readis【6379】未授权访问(写入webshell,物理路径,写入任务计划(反弹webshell),写入公钥(直接登录服务器))很盛行,因为低版本90%的人基本上不会设置密码,但到2024年有些企业很注意这个点了,大部分人也开始设置了。所以像 mysql 的服务,因为也是基于 tcp 协议开发,所以用 dict 协议的方式打开也能强行读取一些 mysql 服务的返回内容,比如我本地开的mysql我们尝试读取。pikachu,这里我直接docker拉取的,我只写原理,靶场都是随便找的。

2024-09-17 23:46:23 1875

原创 网络安全-利用 Apache Mod CGI

蚁剑官网拉取。

2024-09-17 16:55:06 675

原创 网络安全-LD_PRELOAD,请求劫持

首先disable_function不能禁用mail和error_log这两个函数,因为putenv可以创建环境变量,可以把LD_PRELOAD环境变量创建出来,加载我们创建的一个.so文件,而我们的mail函数在执行的时候会创建一个新进程调用sendmail,sendmail会创建系统服务getuid,而我们创建的恶意的.so文件恰好就劫持了mail调用诸多函数的其中一个比如getuid,会提前执行我们的恶意函数,自然也就执行了。

2024-09-17 14:59:02 925

原创 网络安全-intigriti-0422-XSS-Challenge Write-up

那怎么污染的,我们通过结果看过程,最后因为svg是我们插进去的,在没有插进去之前div应该是第一个,相当于就是将root覆盖为了root,但是我们的命令在进去之前已经被js处理为数组了,所以最后[outerHTML]后面还有一个1去取payload。JavaScript中,数组的下标可以⽤字符或是字符串数字来取值,所以在原型链中,我们可 以给[]对象添加⼀个名称为1的属性,这样 temp 在通过下标 1 取值的时候,实际上取到的 是数组中属性为 1 的值。我们可以看到已经被污染。要求:弹出域名就算成功。

2024-09-13 15:15:19 814

原创 网络安全-原型链污染

JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象,对象以其原型为模板、从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。

2024-09-10 16:50:30 1490

原创 网络安全-dom破坏结合jq漏洞以及框架漏洞造成的xss-World War 3

如果notify为真的话那么html是代码解析meme-code的值在页面随便输入一个text=aaaa&img=bbbbb很明显调用到这里因为text和img都存在了而我们可以很明显看到一点Meme Code没值,没值的话那就代表onload根本没有加载,当我们什么都没写的情况下很明显加载值了当我们把地址参数写对的情况下,我们的onload很明显是可以执行的而我们从始至终都没有看到created...,因为notify是false1.绕过过滤框架2.html 逃逸出style标签。

2024-09-10 10:42:43 1129

原创 thinkphp5漏洞分析之文件包含

最后,再通过一张攻击流程图来回顾整个攻击过程。

2024-08-20 01:01:24 940

原创 PHP-FPM未授权访问漏洞

docker直接搭建。

2024-08-18 04:37:35 583

原创 RCE漏洞基础初了解

所谓rce简单来说就是可以执行系统命令的函数,举个例子php。

2024-08-12 03:10:32 826

原创 mysql字符编码利用技巧(三字节和四字节)

不完整的汉字导致转utf-8的时候被抛弃了。

2024-08-11 13:55:19 763

原创 cms框架cookice注入漏洞

通过审计代码中,有远程登录板块,而可以看到这个板块是从cookie中拿出来安全码,而上一步未授权我们已经成功拿到安全码,拿到后通过xxtea_decrypt这个函数进行解密,解密后进行一个反序列化。我们可以看到构造函数ip是通过X_FORWARDED_FOR来获取的,而这个刚好可以伪造,那我们再加着ishtml=1就达成了第一个要点未授权访问。我们将安全cookie添加到我们的index.php后,开始写我们的语句。原因:我们需要和源码是反着的,源码:先解码,再解密,再序列化。先序列化再加密再编码。

2024-08-08 07:50:07 587

原创 [网鼎杯 2018]Comment1复现

BUUCTF在线评测首先我们通过靶场进入发现是一个留言板通过dirsearch收集目录获取一个重要资产目录,我们通过访问,很清楚是一个.get的源码泄露,我们尝试恢复一下,恢复工具为githacker工具安装:开始恢复恢复源码如下2.2源码分析2.2.1源码中写了一个get[do]这个参数点击发帖我们可以看到而源码中这个地方没有注入点因为有addslashes(php中防注入函数)我们提交个数据看看详情,代码是走到了comment底下而这个地方很明显没有过滤而addslashes在

2024-08-06 07:23:03 727

原创 sql注入之无列名注入

我们在注入的过程中很多时候利用的就是information_schema这个库获取 table_schema table_name, column_name这些数据库内的信息,而在市面上很多厂商的waf会对其进行过滤和黑名单,而我们在不使用information_schema库,那只能去看看mysql中其他与生俱来的库,这个时候sys库就尤为显眼。

2024-08-05 19:35:33 786

原创 thinkphp框架远程代码执行

一定添加--privileged不然只能拉取环境首页不显示。二、thinkphp远程代码执行。vulfocus网上自行下载。

2024-07-29 05:30:32 604

原创 向日葵RCE复现(CNVD-2022-10270/CNVD-2022-03672)

在浏览器中访问ip+端口号+cgi-bin/rpc?action=verify-haras (端口号:每一个都尝试,直到获取到session值CID)Cookies添加拿到的CID后加上payload请求。首先打开nmap扫描向日葵主机端口。网上下载低版本的向日葵

2024-07-29 01:07:12 509

原创 渗透hfs任意命令执行

我们使用这个命令执行漏洞去添加一个用户。输入我们刚才创建的ad和123456。将用户添加到管理员组和远程桌面组。将用户添加到远程桌面组。

2024-07-21 02:38:01 342

原创 2021强网杯

网上自己找。

2024-07-02 21:21:53 794 1

原创 csrf+xss组合拳

这个漏洞很早之前了,但是为了避免大家在面试等等的时候被问到,这里给大家温习一下CSRF全程是没有黑客参与的,全程都是用户自己在操作。

2024-06-19 15:28:18 777

原创 网络安全-钓鱼篇-利用cs进行钓鱼

自行搭建,kill,Windows10,cs。

2024-05-29 13:40:45 1380 1

原创 内网渗透-不出网cs的各种姿势(内网穿透)

官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons连接后,子Beacon从父Beacon获取到任务并发送。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。

2024-05-20 16:18:14 1575

原创 DVWS靶场全总结(详细)--主要用来复习(暂未完善,累了大体框架已成)

看源码可以看到,开发人员将该密码修改操作分成了两步,第一步通过验证码验证是否机器人且验证两次密码输入是否一样,验证通过后,服务器返回表单,第二步,要求用户确认修改密码,客户端提交post请求,服务器完成更改密码的操作。session称为会话信息,位于web服务器上,主要负责访问者与网站之间的交互,当访问浏览器请求http地址时,将传递到web服务器上并与访问信息进行匹配, 当关闭网站时就表示会话已经结束,网站无法访问该信息了,所以它无法保存永久数据,我们无法访问以及禁用网站。

2024-05-10 16:54:35 1132

原创 kill中内网渗透工具-msfconsole

这个进程干两件事情,把你的明文密码在进程中存储一份(这里就是它的破绽,既然你在内存中,那我就可以存内存中抓取出来),第二个事情把你的密码进行一个加密,加密后存到SAM这个文件中。迁移了还是没有抓取到那我们可能需要继续迁移,也可能Windows有限制,但其实我们抓到hash值已经够了,因为明文进去也是加密,用密文去进行比对,我们为何不直接用密文?去kill上面看,我的权限很容易可以看到是在管理员组的,那我们hashdump,拿到我们对应win-10的hash值。所以我们要干的一件事情就是迁移我们的进程。

2024-04-25 16:30:23 878

原创 安全中级-环境安装(手动nginx以及自动安装php,mysql)

为了方便大家跟bilibili课程,出了第一节环境bilibili搜凌晨五点的星可以观看相关的教程。

2024-04-16 23:25:06 1010

原创 安全中级-初开始

wireshack抓包会有一个MSS(1460),代表什么--(除去IP和TCP头部,数据包TCP数据的最大长度)本地DNS缓存查询-->DNS递归查询-->根域名服务器查询-->顶级域名服务器查询-->解析失败。重要点:TTL值(防环,linux64.Windows128 ),IP数据包包头格式字节(20)文件上传为什么1.为什么消失 2.谁删除的 3.如果我现在要做一个正常的文件上传,应该怎么做。如何最多获取一个网站的ip地址(nslookup[域名解析],tracert)

2024-04-16 01:42:41 1101

原创 网络安全-内网渗透-Kerberos(票据)

在Kerberos协议中主要是有三个角色的存在:访问服务的Client(以下表述为Client 或者用户)提供服务的Server(以下表述为服务)KDC(Key Distribution Center)密钥分发中心 kerberos 测试工具介绍流程图:简单来说:Kerberos是一种基于票据Ticket的认证方式。客户端想要访问服务端的某个服务,首先需要购买服务端认可的。也就是说,客户端在访问服务之前需要先买好票,等待服务验票之后才能访问。但是这张票并不能直接购买,需要一张。

2024-04-01 13:10:55 1204 1

原创 网络安全-内网渗透2

我们是有一款工具hashcat专门破解net-HTLMv2-HashMD5的值不是破解出来的,是对明文对出来的md5在线解密破解,md5解密加密 (cmd5.com)但是对于破解net-HTLMv2-Hash概率很小。

2024-03-31 17:49:07 1517

原创 真实sql注入以及小xss--BurpSuite联动sqlmap篇

因此我尝试了注入,在order by 1和order by 2的时候是没有报错的,而3就有了证明一件事情,表格是两列,咱们暂且确定他是user列和password当然是我猜的。那就ok了,我们直接去sqlmap爆破即可,这里提示一个小点,BurpSuite联合sqlmap使用,将数据包导出来然后导入sqlmap目录下使用。首先我先去网站的robots.txt去看了看无意间发现很多资产。很明显我输入的已经到里面了,我们现在尝试更改命令为查询语句。而当我注入列的时候情况出现了。出现了报错,有报错必有注入点。

2024-03-29 17:44:51 826

原创 网络安全--内网篇

一个简单的域环境,3台机器即可,一个server2012,win7,,win10。

2024-03-29 17:12:25 1156

原创 hxp CTF 2021 - A New Novel LFI(新颖的解法)

编码形式,并且通过这个编码形式产生的字符串里面, C 字符前面的字符对于 PHP Base64 来说是非法字符,所以接下来我们只需要 base64-decode 一下就可以去掉不可见字符了,但是与此同时,我们的 C 字符也被 base64-decode 解码了,这时候我们需要再把解码结果使用一次 base64-encode 即可还原回来原来的 C 字符了。那这里有小伙伴就有疑问了,字符集编码怎么来的,这里就要说一个国外的老师将字符集编码进行了一个开源。那我们可以用Base64创造我们想要的内容吗?

2024-03-28 17:04:55 966

原创 ctf-36C3解析

所以整个流程我们可以总结为以下:1.利用compress.zlib://http://或者compress.zlib://ftp://来上传任意文件,并保持 HTTP 长链接竞争保存我们的临时文件2.利用超长的 name 溢出 output buffer 得到 sandbox 路径3.利用 Nginx 配置错误,通过.well-known../files/sandbox/来获取我们 tmp 文件的文件名目录穿越:4.发送另一个请求包含我们的 tmp 文件,此时并没有 PHP 代码。

2024-03-28 09:12:21 907

原创 网络安全-提权篇

我们在文件包含的时候可以将错误的用户名包含进日志,但是权限问题让人很烦恼,今天的侧重点主要是跟大家聊一聊提权。

2024-03-27 14:39:13 1474

原创 网络安全-文件包含

我们先来看一个简单的代码当我点击click go baidu的时候直接就会实现跳转,而我的url后面会出现?file=这就是文件包含最经典的反应因为我靶机搭建在windows上面所以,我尝试读一下本地文件,但是会显示flag在当前目录文件下原因是在过滤了四个协议的情况下,不等于百度便会跳转到if返回本质其实是在file处传递了一个php://input这个协议,我们前几篇文章页说了phpinput可以接收post原始流比如任意命令执行。

2024-03-25 23:52:52 1657

原创 文件包含例子

include_once()与require()_once(),如果文件已包含,则不会包含,其他特性如上。文件包含可以读本地文件 ,但是只能读非php文件,因为include会将php文件解析。require(),会生成致命错误(E_COMPILE_ERROR)并停止脚本。include(),只生成警告(E_WARNING),并且脚本会继续。那我们可以让a=I want flag嘛,试试。现在报了一个没有这个文件的错误。因为此为文件流的形式读取。一、常见的文件包含函数。

2024-03-15 07:47:41 894

原创 phpcms上传导致getshell详解及案例

1.没有递归函数,导致文件夹内的文件并未被删除修复方法:递归函数2.先上传,后删除,利用时间竞争修复方式:创一个随机字符的文件夹名3.直接解压报错修复方式:在解压后,先删除一次4.利用../../跳出目录究竟是什么原因造成了这个漏洞,究其根本还是以为将用户不安全的POST数据写入了文件,并解压到web目录下了。把压缩包放进tmp目录里,如果上传、解压缩的操作都能在tmp目录里完成,再把我们需要的头像文件拷贝到web目录中,就不会有麻烦的安全问题了。

2024-03-14 16:16:08 2018 2

贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询)

daiqile

2024-02-22

mysql字符集与比对方法collation

sql

2024-02-21

网络安全-负载均衡下的webshell连接

网络安全-负载均衡下的webshell连接

2024-01-27

网络安全-负载均衡下的webshell连接

网络安全-负载均衡下的webshell连接

2024-01-26

web-text示例1

代码跳转

2023-07-05

对于CLion,DataGrip,GoLand,IDEA,phpStorm,PyCharm,WebStorm如何启动

下载好后解压文件,点开文件xxx.vbs直接启动(此压缩包为Linux启动)

2023-06-01

eclipse安装包,打开直接使用即可

java

2023-05-30

eclipse连接mysql全网最详细教程

java

2023-05-30

源码一,下载后解压到桌面按步骤操作即可

python

2023-05-27

学校刷课系统(下载文件自动跑程序,完美避过监控系统)

下载完成打开JSON文件(以记事本格式) 修改 "base_url":后面为你要刷课的网站 "username":后面你的账号 "password":后面你的密码 点击运行,网课自动跑起来

2023-03-30

HCIP中期考试拓扑以及配置思路

如需查看,拓扑上display this,严禁抄袭

2023-02-10

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除