- 博客(17)
- 收藏
- 关注
RSS订阅原创 NKCTF 2024
使用nodejs的fs模块可以读取文件,我猜测文件位置是app/app.js查看到源码。首先要知道这个漏洞是因为join去合并拼接产生。他源码并没有过滤掉fork我们正好可以利用。但是有nc可以利用nc来达到反弹shell。pga4_session来构造反序列化。爆破密码进去直接命令执行得到flag。比赛题目环境是由docker容器搭建。还有一个smbserver.py。即可读取到app/app.js。环境内无curl以及bash。构造如上,路径无所谓。公网ip监听端口即可。
2024-03-25 09:30:55
532
原创 HTB-Sick-ROP
常规套路检查使用strings发现貌似没有什么可利用的点本地运行调试发现我输出什么他就会照样输出是静态的话我们使用ROPgadget --binary sick_rop --ropchain然后拖入ida发现就4个功能,第一次碰到启动写了一个死循环一直调用vuln而vuln模块的话调用了read和write函数,这个时候构造成srop。
2024-03-09 21:06:05
362
1
原创 HTB-reverse
这个的话主要看前面那个代码然后本地分析,需要注意的是这个要在linux运行才能对。ida打开后能看到HTB{%S%S}标识,直接找到带入即可。
2024-03-09 21:05:10
346
原创 HTB-TwoDots-Horror
这个代码是node.js写的我们首先查看这个dockerfile发现并没有flag信息。来达到获取cookie但是因为这个blog利用了csp。这个数据库语法使用了预处理无法造成常规sql注入。在利用upload来上传我们需要的payload。这里接收cookie的用的是webhook。这里存在了flag放进了cookies。内容加进图片并且要不小于120x120。然后不知道为什么我就得不到cookie。要求你必须要写两个段落也就是两个点。并且上面还引用了我们需要的。这个是记录路由的地方。
2024-03-09 21:04:37
335
原创 HTB-Sau
获得靶机ip使用nmap扫描同时使用浏览器访问查看一下发现访问后没有出现内容nmap扫描结束内容如下这里的80端口显示被过滤了那我们使用nmap -sF来进行扫描这个端口看看tips: FIN 为 TCP会话结束标志,在FIN扫描中一个设置了FIN位的数据包被发送后,若响应RST数据包,则表示端口关闭,没有响应则表示开放。此类扫描同样不能准确判断windows系统上端口开发情况,适合探测Linux系统上的端口开放情况发现是打开的没问题然后访问开启的55555端口发现可以使用详细扫描扫描到了。
2024-03-09 20:56:03
313
原创 WEB刷题-md
这个题对我来说真的有难度,这个题的步骤是这样的,一开始进行目录扫描,扫到了phpinfo.php和一些没有用的,看源码static可以看到很多js代码,这些js代码里面有一个req可以查看到账号信息和调用函数,知道了admin账号能够修改账号密码,root用户能够下载文件,user和app用户什么都干不了,那我们首先的目标是是看admin上面有没有突破口了。然后即可执行命令有两种方法可以执行,如sort和使用\转义可能会好奇那个\不是过滤了反斜杠了吗,对的但是我们传进去的样子是经过转义的这个是无法过滤的。
2024-03-09 20:55:33
1507
原创 HTB-Keeper
nmap扫描访问ip提示我没有令牌需要访问添加hosts进行目录扫描发现m那里能进行登录直接进去跳转登录界面显示了rt 4.4.4+dfsg-2ubuntu1服务版本信息搜索默认密码尝试登录成功收集信息发现用户除了root还有一个lnorgaard并且在备注那里看到了密码。
2024-03-09 20:52:46
335
原创 HTB-hunting-md
这是一道手写shellcode题目开启了PIE地址随机化使用strings可以看到里面是有个HTB{xxx}的信息./hunting运行尝试发现无论输入任何数都显示拖入ida32查看没有显示main函数,只有自己找,找到如下代码可以判断为主函数这个代码使用了mmap(addr, 0x1000u, 3, 49, -1, 0);请求了0x1000内存给了dest以及buf并且将strcpy(dest, aHtbXxxxxxxxxxx);我们需要的flag拷贝到了dest内存中。
2024-03-09 20:51:58
336
原创 HTB-CozyHosting
访问error报错爆的是java的spring boot框架的错误,使用专门扫路由的字典扫描到了。然后进去admin网页后能看到这个ssh的连接方式,我们使用’能够测试出这个的报错。发现登录成功并且在目录下还有一个user.txt这个就是我们的第一个flag。这种渗透我们一定要注意的是这些有/bin/sh的也就是能够执行命令的用户。然后在通过nc或者python从上面把这个jar包下载到本地进行分析。发现竟然能调动root的/usr/bin/ssh。我们去尝试使用josh去ssh登录。
2024-03-09 20:50:21
429
原创 HTB-Codify
nmap扫描ip并且浏览器访问ip加上hostsnmap扫描出打开了3个端口3000和80都是一样的web界面我们直接在js上执行命令。
2024-03-09 20:49:31
368
原创 HTB-Analytics
nmap扫描同时http访问换上hostshosts换好后进行目录扫描查看主页面有一个登录login进去后发现域名是把hosts添加上查看到cookie是metabase服务可以试试。
2024-03-09 20:48:08
384
原创 PWN刷题解析
这个题涉及的知识点有点多毕竟保护全开,打开ida查看到sub函数里面的有个字符串溢出可以得到canary和基地址,用gdb因为开启了ple不能在main函数上下断点就只有下在printf上了然后调试你可以用stack查看到rbp上面的地址是****00可以猜到这个就是canary了因为canary一般情况下都是以00结尾的,canary保护主要是通过在栈下设置一个地址,返回是也必须带上那个地址不然就会触发保护,然后ple保护的话主要是通过每次修改.text、.data的地址。
2024-03-09 20:46:25
398
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人