m0_74196038的博客

原创 玄机alog挖矿应急

1.首先要认识这里是靶场，所以此时的设备并没有与靶场建立连接，而是处于断开连接的状态，我们要做的就是上机排查相关日志、权限维持的相关手段等，还原攻击者的链路和人物画像。这里我主要介绍一下思路，因为我在做的时候发现可能是环境的问题，有时候同一个命令的执行结果是不一样的，有时候有结果，有时候啥都没有。4.排查ssh公钥后门文件，里面有黑客用户名称。但是在passwd和影子文件里面是没有这个账户的，这里我不太明白。3.计算文件的md5值，然后放到微步上分析一下，确定是恶意文件，然后也可以分析出来相关的恶意ip。

原创 [极客大挑战 2019]PHP

private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上一个url编码为%00的字符前缀，但是这个前缀是不可见的，并且在复制的时候会丢失。但是，这里要注意的就是我们提前序列化好的数据，在进行反序列化之前，会执行wakeup函数，而这里一旦执行wakeup函数，就会把我们的参数给改了，那就会不满足输出flag的条件。这是正常的：O:4:"Name":2:{s:14:"Nameusername";

原创 tornado模板注入

服务器端模板注入是指攻击者能够利用服务端所采用的模板（框架）语法将恶意有效负载注入模板中，然后在服务器端执行该模板。我在最后拿到cookie然后进行md5的时候，找了一个网站进行加盐的md5，但是结果不对，可能是我哪里搞错了。tornado是python当中的一个模板，因此这个漏洞是归属于SSTI(服务器模板漏洞），所谓的模板其实就是一种框架，python当中常见的模板漏洞还有flask。这是我在做一道ctf题目当中遇到的，不太会，所以浅浅学习了一下，跟大家分享。在Tornado里，应用的设置可以通过。

原创 [RoarCTF 2019]Easy Calc

比如/的askill值是47，但是我们直接使用scandir（/）是会报错的，因为字符要用引号包裹，但是我们通过chr函数，通过它的askill码值得到对应的字符，和‘/’是等价的。简单来说就是当我们通过get、post方法传递参数的时候，参数当中包含的一些特殊字符，后端在把他们存储到相应的$_[POST]、$_[GET]数组当中的时候会把对应的变量名进行处理，会自动去除其中的一些空白符。利用这个特性来绕过waf的检测。— 列出指定路径中的目录内容，返回的内容是数组，包括指定路径当中的所有文件（夹）名。

原创 lovesql 手工sql注入

再爆破出每个表里的字段名，这道题的名称是lovesql,所以第二张表是可能包含信息的概率较大，所以优先爆破出它里面的字段，之后再爆破出里面数据即可得到flag。得到两张表 geekuser,l0ve1ysq1，同样的利用联合查询。5.之后一步一步的构造，先得到当前数据库名。我还傻乎乎的以为密码就是flag 但不是。确定了只有三列 开始尝试联合注入。4.使用联合注入之前先判断显示位。3. 继续注入 判断列数。利用database（）2.万能密码登录成功。

原创 BUU UPLOAD COURSE 1 文件包含

反思：这道题虽然难度不大，但是还是花了不少时间，一开始脑子全想着怎么去改后缀了，没有发现隐藏的文件包含这个利用点和file参数。eval函数是没办法直接执行命令的，它是把字符串当作php代码解析。1.页面是一个文件上传的接口，尝试上传一句话木马，上传成功，但是文件后缀被重命名。因为这里不是直接上传php文件，无法用蚁剑直接连接，只能用hackbar输入命令。system函数是php的函数，用来执行系统命令。eval结合system函数就可以执行系统命令。

原创 ctf题目

但是一个点就是它这里去包含的那个文件名就是flag，而不是flag.php也不是flag.txt，这样创建文件也是可以的，虽然没有后缀名，但是php的网站在进行文件包含的时候，只会解析符合php语法的内容，不符合php格式的内容会被原样输出。这题的难点在于找到sql注入点，这里需要使用bp或者开发者工具当中的网络查找所有状态码为200的请求包，这里网站使用了伪静态的手段，使得在网址栏当中看不到传递的参数，但是在实际的请求包当中是有id这个参数的。1.文件包含的一道题目，没什么难度，3.限制只能本地访问。

原创 使用JNDIExploit-1.2-SNAPSHOT.jar复现log4j2详细流程

还有就是之所以这个实验做了两次，就是因为在这个实验当中，我第一次做的时候，由于这个复现是使用那个脚本，所以直接使用命令去开启http服务和ldap服务 ，但是我发现开启了http服务，但是没法访问到，我以为是环境的问题，就打算第二天再做。结果第二天还是不行，后来终于搞明白了，他这里使用工具开启http服务的指令，实际上并没有真正的开启http服务，只是做了一个端口监听，让靶机误以为开启了ldap服务和http服务。-i 指定开启服务的ip，也就是攻击者的ip，也可以是黑客的公网服务器。

原创 ctf杂项总结

3.文件头残缺/错误，可以先使用kail当中的file命令查看它的类型，之后再通过16进制编辑器打开，修改为正确的文件头。分离发现得到的文件夹带一个锁的图案，说明当前文件夹的权限不够，没发打开，并不是加密。3.文件头残缺/错误，可以先使用kail当中的file命令查看它的类型，之后再通过。自动化分类只适合处理完整文件的拼接，dd可以用来处理文件的混合拼接。1.使用kali当中的file命令查看，之后修改为正确的后缀即可。1.使用kali当中的file命令查看，之后修改为正确的后缀即可。

原创 buuctf warmup 超详细

if (in_array($page, $whitelist)) { //使用in_array函数，判断某个元素是否在数组当中，这里是字典的话，就是判断某个值是否在数组当中存在，注意，字典只会判断某个值。$_page = mb_substr( //mb_substr和substr的功能大致都是一致的，用来截取子串，但是mb有个特点就是，它可以指定字符编码，在处理非英文字符时会比较好。//是否在字典当中存在，也就是说查找的是值，而不是键。

原创 kali当中不同的python版本切换（超简单）

kali当中本身就是自带两个python版本的。0 1 2编号选择一个即可。

原创 thinkphp5框架漏洞

ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企业应用开发而诞生的这个poc是通过post方法提交的，然后url当中还是要提交?s=captcha特殊url编码之后的POC。

原创 RCE远程命令/代码执行ctf

我这里犯了一个错误就是接口选错了，应该选择包含一句话木马的文件，而不是选择那个只包含一句话木马的文件，因为这个一句话木马文件的后缀是txt所以不会执行里面的php代码，必须要使用文件包含的方法把它给包含到php文件中才能解析。这道题是后端提供了eval函数作为接口，来处理我们提交的数据，所以只要提交可以执行系统命令的代码即可，使用system函数比较方便。这里里面的flag是被注释了，通过base64编码就可以显示处理，也可以查看页面的源码，这里我使用了base64编码。

原创 sqllab 11-22

在ua头后面加了一个单引号发现报错，但是这里的逻辑是只有用户名和密码正确的时候，它才会去保存你的ua信息，前面试了几次但是用户名和密码是错的，也不行。不信你看，这里使用万能密码，按理来说应该是得到所有数据，但是只得到了一个，就是因为显示位的设置。使用union联合查询，判断显示位，注意语句当中的空格，select后面要加上空格。剩下的内容和之前是一样的，变形轮子即可，这道题的关键就在于发现它是双引号和有括号。注意这里mime表明了内容要进行url编码，测试3报错，2正常，所以有2列。

原创 在kali当中安装vulhub靶场: 报错：在‘python3-pip‘ 后缺少了要操作的目标文件 请尝试执行 “install --help“ 来获取更多信息。解决方案

具体内容看这个博主的文章：kali中安装漏洞靶场Vulhub(超详细)-腾讯云开发者社区-腾讯云 (tencent.com)

原创 dvwa rce

这里关键的点是找到其他的替换符号来连接多个命令 可以使用换行符的url编码 %0a，查看源码发现只过滤了&&和||，没有过滤命令，使用|等符号即可。抓包分析可以看到请求体里面的数据会被进行url编码。只会执行管道符号后面的内容。

原创 xxe靶场练习

vps服务：虚拟私有服务，开启之后就可以通过http协议下载当前用户文件夹当中的所有文件内容，而且在kali上面还可以监听，下载记录。特点：post方式提交，虽然mime类型不是xml，但是accept可以接收xml，也就是说服务器 是可以解析xml的。针对于这种没有回显的就需要VPS，这里使用kali模拟，使用python快速开启http服务。虽然mime类型是json，但是可以接收所有，最关键的是在前端代码中有提示，crtl+u，利用的点就是在后面携带实体，然后把实体的内容给带出来。

原创 sql注入学习

所谓的数值型还是字符型指的是传入时的处理逻辑，有没有加引号啦，而实际上在实际查询时所查询字段的值是一定的，比如select * from user where id=x,这里id的类型是固定的，不同的就是x的形式在变化，但是最终x的值都需要转换为x的类型才会进行查询。我们利用的原理就是让xpath的格式错误，从而报错，把要执行的sql语句用括号括起来放在第二个参数的位置，因为带括号所以会优先执行我们的sql语句，之后会检测语法错误，从而才报错信息中得到我们需要的信息。关于弱数据类型的详细点可以看这个。

原创 bees靶场文件上传漏洞挖掘

关键他这关比较有意思的地方在于如果你的mime类型不是图片类型的，那么服务器直接会拒绝处理，这也就导致了我在bp修改mime类型的值之后，发送给服务器之后等了好久没反应，最后给了500响应。也就是这个问题，导致我还以为是哪里出了问题，就没在意mime，之后发现这一关就是检测mime的值。一开始尝试不同类型的文件，还有很多的配置文件都不行，然后我以为是后缀白名单验证，想的过于复杂了，但实际上只是检测mime类型。在普通用户登录的界面没有发现可以利用的功能点，通过弱口令进入到后台。

原创 upload靶场通关11-17

这一关貌似只能上传gif图片码才能成功，我上传了jpg的图片之后发现上传前和上传之后的没有任何共同之处，估计是后端php的处理有点问题，之后通过上传gif的图片，再结合16进制的编辑器，找到了渲染前后没有发生改变的位置，只需要把一句话木马插入到这个位置即可。注意：这个命令的顺序是不能调换的，如果把php放在了前面，那么合并的文件当作前半部分就是php文件，所以文件头的类型也就是php的，这样就不行，必须要保证文件头是图片的。但是注意：在插入的时候，插入的位置要和原先一句话木马所在的位置保持一致。

原创 文件上传靶场

这是前端的验证，如果后缀名不符合规定格式，就会直接return flase，是不会上传到服务器的，直接在前端进行了拦截，而且由于在前端验证，如果格式不符合，也是压根抓不到包的，因为请求压根就不会发出去。3.服务端黑名单验证，但是其中的后缀名称不全，可以尝试一些等价拓展名，比如php3，是可以绕过的，但是虽然可以上传成功，但是具体能否被服务端解析，还要看服务端对这种拓展名的解析配置。上传之后看到有弹框提醒，而且网页并没有加载的过程就快速的提示弹框，我们推断它这里是有前端的js验证，通过f12查看源码后，

原创 文件上传漏洞

我们上传的木马，要在服务器能够以正确的形式解析才行，服务器端是根据文件的后缀，来决定用什么样的方式解析，如果网站是用php开发的，那么上传的文件如果后缀是.php，服务器端才会调用php解析引擎去解析php文件，但是如果是jpg文件，服务器是不会去解析的，而是直接返回给客户端。而如果服务器的网站中存在一个这样的文件，那么我门就可以通过网页访问到这个文件，从而能够执行一些命令，就可以获得服务器的一些权限，获得控制权和访问权，这就是webshell。最简单的一个php的一句话木马：<?1.什么是文件上传漏洞？

原创 python复习重点

特性：列表、元组、字符串都是有序的，支持下标索引，字典，集合是无序的，字典里面存放的是键值对，可以通过key进行索引得到对应的值，key相当于是序列当中的下标，不能重复。字典转换成列表，字典里的键值对会转化成一个元组[ ( ,) (,) ]，如果想要取出其中的元素需要使用二次索引的方法。range函数，用来生成一个整数序列，默认从零开始 ，比如range（5），生成的序列中的元素就是从0到4.python当中的变量赋值的本质都是引用，但是如果进行了修改，那就是创建了一个新的变量了。

原创 ssrf靶场日记

ssrf（服务器请求伪造）发生的场景：客户端的某些请求需要服务器请求外部的url，就是服务器需要向其他服务器请求资源。但是服务器对请求的url没有过滤和限制，导致客户端可能会能够恶意获取到服务器内部（内网）的信息ssrf（服务器请求伪造）发生的场景：客户端的某些请求需要服务器请求外部的url，就是服务器需要向其他服务器请求资源。但是服务器对请求的url没有过滤和限制，导致客户端可能会能够恶意获取到服务器内部（内网）的信息。

原创 csrf靶场记录

这个页面是一个模仿修改密码的网页，尝试修改，发现修改的参数会直接在url中显示，也说明这是以post方式提交的表单，尝试修改参数构造恶意的url，在其他的网页进行访问尝试成功，在一个新的窗口访问构造的url，密码修改成功。

原创 xss漏洞靶场通关

而且你会发现不管你输入的是什么，herf里面始终都是那个字符串，所以我们猜测服务器可能设置了一些机制，如果我输入的值不满足url的规则，那么herf就始终为那个字符串。先分析什么地方可以提交我们的j恶意代码，这里没有输入框，大概率是get方式提交请求，那么提交的参数就会在url当中直接显示出来，分析url中的参数，并检查页面元素。如果不闭合这个value的右引号是不行的，因为它并不是普通的引号字符，是用来标志value结束的，所以必须要闭合。尝试构造别的标签，尝试成功，注意href的值必须被双引号括起来。

原创 记一次暴力破解（超详细）

爆破流程和暴力破解的大致流程都一样，但是这里涉及到验证码， 要保证第一次的验证码正确，因为只有验证码正确，才会进行账号和密码的验证，而我们在第一次验证码正确时，进行抓包拦截，只要不放包，那么之前的验证码就是一直有效的，放包的话验证码就会刷新。这里的验证码是由前端进行生成和验证的，你会发现当验证码错误的时候压根抓不到包，这是就是由于它是在前端生成和验证的原因，只有验证码正确的时候，这个请求包才会发出去，否则压根不会发出去。注意这里的 验证码是在服务器生成的，提交的验证码包含在请求体当中，

原创 bp使用学习

只要bp处于拦截状态，没有选择forward放包，那么此时所进行的通信都只是在bp和服务器之间的，浏览器不会得到数据。我们进行验证码绕过的时候，首先要保证第一次的验证码是正确的，然后再进入爆破模块，我们知道只要服务端的响应包给到客户端，那么验证码就会刷新，但是我们这里是用bp进行了拦截的，所以我们可以使用第一次的验证码进行反复尝试。intercept（拦截）：拦截默认是处于关闭的off状态，如果开启状态为on状态的话，bp就会拦截客户端的web请求，然后就可以对拦截到的请求进行处理，进行。

原创 php函数

在使用class类定义类中的属性（变量），如果那个属性没有被赋初始值，即初始化，则要在变量前加上 var 关键字。在使用类当中的函数和属性时都要用->,而且在调用类当中的函数时一定要在函数名称后面加上（），无论这个函数是否有参数。

原创 php基础语法

/ true在输出到浏览器时会显示为1。// false在输出到浏览器时没有显示。：可将紧跟其后的一个或多个字符串、表达式、变量和常量的值输出到页面中，布尔类型，里面只能存放两种不同的数据(true-真，false-假)的内置函数，它可输出任意类型的数据，如字符串、数组等（可选的第三个参数规定常量名是否对大小写不敏感。任意类型的数据，还可以获取数据的类型和元素个数。默认是大小写敏感的。''单引号中不能调用其他的变量。没有被初始化的值，在打印时为空。的用法相同，唯一的区别是。第二个参数定义常量的值。

原创 【无标题】

ttl限制了数据包被转发的次数或者说是存活时间，它可以限制广播风暴，防止数据包被无效的持续转发，并且浪费大量的流量。通过mac桢当中的type中存放的值为0x0800，上层则为IP，如果是0x0806则为arp协议。先通过查看数据包中的目的ip进行比对，再交付给上一层，层层解包。1、网络设备如何确定以太网数据帧的上层协议？4、IP报文头部中TTL字段的作用是什么？2、终端设备接收到数据帧时，会如何处理？3、子网掩码的作用是什么？进行网段划分，子网划分。

原创 linux常用命令

shell 命令解释器 （它是在内核外面的一层壳，可以与内核打交道）

原创 数据库基础入门（网安基础）

我这里用的是phpstudy，它里面配有mysql，下载即可，我们把MySQL部署在3306端口，之后再去添加。mysql -u root -p // (回车输入密码），-u 后面加用户名（username）只有添加了环境变量的软件，才能在终端控制台操作。show databases ：查看所有数据库。

原创 sql查询函数

right(s,n) 表示从字符串s的最右边开始取n个字符。left(s,n) 表示从字符串s的最左边开始取n个字符。查询函数是指由 select。

原创 sql 语法练习

in 指定在某个集合，必须要使用（ ）将数据放到圆括号中，圆括号表示集合，而且注意这里是元素，而不是范围，比方说（17，19），就表示值为17的或19的，没有18。这里要注意 使用[^x-y] 表示不包含字符从x-y的，它的意思是对整个字符串进行扫描，只要有一位是不在这个范围内的就可以，并不是说整个字符串都不能有字符x-y;注意匹配某一个范围内的字符串的格式为 regexp '[ x-y ]' x,y可以是数字或字符，但是都不需要加引号，只需要在中括号的外面加引号。

原创 网安学习第三天

http会把数据直接放在url里面，而https是放在报文的主体中，不会直接显示出来，更加安全。无论是1.0还是2.0都可以有超链接，类似于翻页，不是凭借这个来判断区分的。1.0是静态的，完全没有交互的，浏览网页就好像在看电子书，电子版的报纸。实际上就是我们所说的网站，www，本质是因特网所提供的一种网络服务（静态网页大多是用HTML编写的，动态用PHP jsp等。伪静态：伪装成静态，但是实际上是与数据库有交互的。发展历程：web1.0 web 2.0。2.0是动态的 交互式的，

原创 网安学习第二天

例如，一个Web API通常会运行在HTTP协议的80端口或HTTPS协议的443端口上，以便通过HTTP请求来调用API的功能。API接口可以用于不同的应用程序之间的通信，也可以用于不同的服务之间的通信。说白了就是不同的端口对应不同的服务（服务是由应用程序提供的），通过IP找到了服务器，但是它里面有很多服务，这个时候就需要端口进行标识区分。，其中0到1023是被保留的端口号，用于一些常见的服务，如HTTP（80端口）、HTTPS（443端口）、FTP（21端口）等。2.sudo su 切换为管理员权限。

原创 网安学习第一天（渗透基础）

exp :就是进行渗透攻击的代码payload :就是渗透成功之后，你想要执行的相关操作的代码nmap 网络端口扫描器Nmap（网络映射器）是一款开源的网络探测和安全评估工具。它被广泛用于网络发现、端口扫描、服务识别、操作系统检测和漏洞扫描等任务。Nmap具有强大的功能和灵活性，可以在各种操作系统上运行，并支持多种扫描技术，如TCP、UDP、ICMP和SCTP等。Nmap可以帮助网络管理员和安全专家识别网络上的主机、开放的端口以及运行的服务。

原创 MySQL客户端访问服务器的流程

原创 访问网页的具体流程

动态网页的核心在于数据库。