- 博客(49)
- 收藏
- 关注
原创 HTB:Vaccine[WriteUP]
点击SIGN IN进入后,可以看到右上角一个大大的SEARCH等着我们进行注入。从nmap扫描结果可见,除了SSH、HTTP服务外,靶机还开启了。接下来在SEARCH处随便输入一些字符获取完整URL,直接使用。使用口令对backup.zip文件进行解压,获得两个文件。回看题目,要求与john工具配合破解,使用。直接解压提示需要密码,将下载到的文件丢到。靶机IP:10.129.201.120。
2024-10-02 21:48:47 376
原创 HTB:Oopsie[WriteUP]
当可执行文件被设置 setuid 权限后,执行时会以文件所有者身份而非执行用户身份运行。它主要用于实现特定系统管理任务,如普通用户通过设置了 setuid 权限的程序(如修改密码的程序)以高权限执行特定操作,同时也可提供受限的特权访问。可见该页面所用脚本语言为:PHP ,接下来我们上传Kali自带的Webshell。从上文可知,通过修改cookie中的值可以访问仅管理员可访问的文件上传页面。上传成功后接下来需要对靶机进行目录扫描找到文件上传路径,我这里使用。点击Uploads按钮,成功劫持到请求包,修改。
2024-10-01 23:32:22 477
原创 HTB:Archetype[WriteUP]
同理:我们上文用python开启的http.server服务没关闭,直接将winPEAS放置在同目录进行上传。找到sql_svc文件夹, 接下来使用wget将nc从本地上传至该目录下的Downloads中。到了这一题直接跳跃到了提权,但是我们还没有拿到low权shell,所以继续getshell。archetype\sql_svc,代表xp_cmdshell成功执行了命令。将nc放置在同目录下,开启http.server服务并输入好端口。使用此命令将枚举出该samba服务器中的所有共享对象,可见。
2024-09-30 23:48:59 668
原创 HTB:Three[WriteUP]
通过存储桶中的对象,我们可以看到index.php文件,所以可以确定该Web脚本语言为。接着在shell.sh同目录下启动http.server服务,随便选择开启一个闲置端口。在靶机Webshell中,通过curl访问本地shell.sh文件进行反弹shell。使用ls命令逐级查找flag的位置,最终在上一级目录找到了flag.txt。本地写一个shell.sh文件来获得一个反弹shell,再使用nc持续监听。考虑到该服务使用PHP进行编写,并且允许我们对该桶进行增删改查。
2024-09-29 22:05:22 1020
原创 春秋云境:CVE-2015-1427[漏洞复现]
执行cat /flag命令,可以看到回显是Base64格式。执行whoami命令,可以看到响应体末尾已经出现回显。Payload:(上方双斜杠需要换成单斜杠)使用Yakit自带的Codec功能进行解码。
2024-08-11 13:41:03 328
原创 春秋云境:CVE-2022-22963[漏洞复现]
到2024年8月11日,为期14天的专项国护结束最近都在忙攻防看1day、nday复现,现在有空了写一下靶场的复现。
2024-08-10 16:05:10 561
原创 春秋云境:CVE-2022-25411[漏洞复现]
尝试admin、123456、admin666、admin123、admin888...等等常见弱口令。进入设置栏目的第一个选项:(这里我把翻译插件从火山换成了腾讯,感觉翻译上都有点问题)通过bp可以看到直接爆破的话会出302重定向响应码,这里可以通过看响应包的长度。在这里可以看到后台管理的登录地址:/admin/,根据题目提示可知是弱口令。往下拉,找到“允许下载的文件类型 ”并在后面加上php,点击保存。PS:有好用的不用挂梯子的翻译插件可以推荐一下给我。在此上传页中,选择我们的木马文件进行上传。
2024-06-25 23:52:18 324
原创 春秋云境:CVE-2022-25578[漏洞利用]
打开主页就能看到右下角的“管理”,或者我们使用dirsearch进行扫描也可以。点击“添加文章”选择,并选择我们制作好的.jpg一句话木马进行上传。输入该CMS相关的一些弱口令:admin、123456、tao。(要是有后台账户和密码我还漏洞利用个啥,可能是扩大攻击面吧)进入后台点击“文件管理”,即可编辑.htaccess文件。按F12,点击Network选项查看我们上传的图片马地址。所以我们渗透的重点就要放在.htaccess文件上。键入代码后,点击左下角的“保存”从网站首页找到我们刚才上传的文章。
2024-04-21 23:18:04 383
原创 春秋云境:CVE-2022-32991[漏洞复现]
则我们的目标就在于寻找welcome.php地址以及相关的可注入eid参数。该漏洞是由于welcome.php中的eid参数包含了SQL注入漏洞。可以看到这里的URL地址就出现了welcome.php和eid参数。进入了home目录,这里有三个话题可以选择开启。先在页面正常注册、登录一个账号。拿到了四个数据库,继续选择ctf库进行爆表。随便选择一个进行开启点击Start即可。进入后查看网页URL。
2024-04-17 10:48:18 471
原创 BugkuCTF:overflow2[WriteUP]
我们需要构造payload使buf数组溢出,然后接上这里的total总的合成地址即可实现shell交互。总共需要填充28个字节,后面溢出可以填充为成0x20+0x8,或者直接写成0x28。总链:total = 0x40126b + 0x402004 + 0x401050。存在/bin/sh意味着我们可以利用这个字符串启动shell,双击查看地址。先看到_system函数,此函数可以直接返回一个由实参当作命令的消息。再查看下方的地址信息,获取到该函数十六进制地址为:0x401050。查看一下flag文件。
2024-04-14 16:08:24 379 4
原创 BUUCTF:BUU UPLOAD COURSE 1[WriteUP]
这里我们构造的木马是POST的方式上传,那就用MaxHacKBar来执行。接下来把我们要执行的命令以POST的方式赋值给shell就可以命令执行了。eval函数是无法直接执行命令的,只能把字符串当作php代码解析。点击"Load URL"并且把刚才我们上传的文件路径粘贴到后面。经测试这里发现直接用一句话木马,用蚁剑连接也是可以成功的。的值使得服务器执行system命令。最后也是在根目录下找到了flag。也是可以在根目录找到flag。利用eval函数解析。
2024-04-06 21:50:48 551
原创 攻防世界:mfw[WriteUP]
其中有一串关键代码:$file = "templates/" . $page . ".php";我们通过前面的GitHack已知悉flag.php文件就在templates目录下。所以我们构造payload的时候使$page有cat flag.php命令就行。在templates目录下存在flag.php文件,但里面并没有flag。如此这般,该条代码最后执行的效果应该是:【绿色部分被//注释】
2024-04-02 17:23:11 484
原创 XCTF:3-1[WriteUP]
在多个数据包里发现了flag.rar、flag.txt等文件。接下来尝试把我们上面拿到的base64代码放进程序里进行解密。回到开头拿到的flag.rar文件,使用密码对其进行解压。先对开头从TCP流中获取到的base64代码尝试进行解码。找到之前搜索flag,找到flag.txt字样的数据包。仔细分析该TCP流,发现了一串不知名的base64代码。使用wireshark打开,直接搜索flag字样。里面虽然有flag.txt,但是我们没有密码。原理我们不需要清楚,我们只要使用就可以了。
2024-02-04 13:58:08 639
原创 CTF盲水印工具:Blind-WaterMark安装
使用python3的程序对使用python2程序添加了水印的图片进行水印提取会导致算法错误。当然如果输出的图片没出现水印则可以删掉试试,可能是使用python3的工具添加的水印。opencv python-4.*.*:代表的是opencv的版本。最后的命令是因为现在大部分题目用的都是python2进行的水印加密。后面的cp310、cp39:代表的是python版本。如果你是python2版本,就运行第一行的命令。完成上面的步骤,依赖文件就算是安装完成了。接着挑选适合我的python版本的。
2024-02-01 21:57:19 2908 4
原创 XCTF:warmup[WriteUP]
所以当我们构造的url进入checkFile时,$page和$_page的值就会一直等于‘hint.php?’不存在,则$page整体都将被截取,则?file=******************使$page在$whitelist中,则必须是source.php或者hint.php才判定为真。’,所以变成:url/?且经过截取后,问号前面的值也一定还会等于‘hint.php?考虑该文件应该不在hint.php的同目录,所以应该是在根目录。
2024-01-31 16:01:06 2004
原创 XCTF:Normal_RSA[WriteUP]
pubkey.pem是rsa公钥,加密者利用这个文件对flag原文进行了加密。通过对N值进行分解,获得rsa加密中的关键值:p、q。如果对rsa加密算法不了解的可以补一下教学视频。flag.enc内容是通过rsa加密了的密文。再次利用python帮我们把T的值算出来。手动补齐十六进制头:0x。
2024-01-28 21:36:07 707 1
原创 Bugku CTF:请攻击这个压缩包[WriteUP]
BugKu{不是非得两个文件你才能明文攻击}拿到手就是一个加密了的压缩包里面有一个flag.png文件像这种没有任何提示的情况下。
2024-01-15 18:22:19 2016
原创 XCTF:hello_pwn[WriteUP]
发现read函数中的unk_601068正好在dword_60106C的后第4个字节。使stack栈溢出,字节数正好到dword_60106C的位置。解题方法很明显了,往read函数里扔4个字节的数据。双击sub_400686函数,查看具体执行动作。计算一下字节长度也是一样的算出来四个字节。这个函数的作用就是运行系统命令 cat。再按F5,对main函数进行反汇编。查看当前目录的flag.txt内容。双击左侧的函数栏中的main函数。把IP地址和端口号,换成题目给的。直接就输出了flag。
2024-01-14 21:41:44 502
原创 XCTF:就在其中[WriteUP]
Ctrl+A全选、Ctrl+C复制,保存到一个空白的pri.key文件中。先使用binwalk查找该pcapng文件中key.txt的位置。这里要注意,echo后面要跟上一对单引号,把私钥内容括起来。绿框内是传输的所有文件,但这里主要分析怎样拿到flag。还出现了一个pub.key公钥,那应该就有对应的私钥。key.txt应该是经过了公钥加密(rsa加密算法)在第14个TCP流中,找到了pub.key的内容。再次切换流,不多时就找到了私钥pri.key。查看out.txt中的内容就拿到flag了。
2024-01-13 13:15:42 644
原创 XCTF:我们的秘密是绿色的[WriteUP]
从try.zip中解压得到的flag.zip中,还有一个flag.zip。而50 4B 01 02的加密标志位 01 是奇数,很典型的zip伪加密。与try.zip中的readme.txt的文件crc32是相同的。但还不是flag的最终形态,应该还有一个字母偏移,考虑凯撒编码。通过观察,发现flag.zip中的readme.txt文件。比较符合flag的形态,前面四个字母应该是正好对应flag。根据文本中的提示,该压缩包的解压密码应该是与生日相关。考虑正常的生日格式应该是:XXXX.XX.XX。
2024-01-12 23:22:22 855
原创 XCTF:MISCall[WriteUP]
恢复出来的s.py文件,是将原来的flag.txt文件中的内容。使用tar命令可对该文件进行解压(这不纯纯套娃吗)在ctf文件夹中(不是.git文件夹)执行以下命令。里面的flag.txt是假的flag,但问题不大。进行一次sha1加密,然后前面再加上"NCN"使用bzip2命令可对该文件进行解压。再次使用file命令,查看该文件类型。但现在的只剩一个flag.txt了。生成了一个后缀为.out的文件。尝试将s.py文件从堆栈中恢复。进入生成的这个ctf文件夹中。这边还有一个.git文件夹。
2024-01-11 14:35:19 492
原创 XCTF:再见李华[WriteUP]
使用密码,成功解压该zip文件后查看key.txt内容。十六位的哈希数,但没任何意义(只有迷惑作用)1.无特殊字符,也就是只有数字、大小写字母。因为密码的后半部分,也就是署名我们是知道的。前面的掩码(需要猜解的部分)则使用问号表示。2.1000个字,也就是四个位数。以上,综合考虑需要使用掩码破解。使用foremost尝试提取。里面的key应该就是flag。3.最后要署名(LiHua)但是这个zip文件开了密码。所有数字选项全部勾上。
2024-01-11 13:52:28 509
原创 XCTF:stage1[WriteUP]
考虑图片是png,隐写方式有可能是高宽修改,也可能是色相隐藏,色彩通道位隐藏等等。按Ctrl+Shift+C复制、Ctrl+Shift+V粘贴(和普通cv有区别)出现了flag、test.pyR、test.pyt、等字样。将此文件另存为test.pyc文件后,将它反编译回py文件。考虑这原来应该是一个pyc文件(py编译后的二进制文件)对代码进行修改,让它成为能运行的python程序。把生成的out.py文件拖到windows。因为生成的py代码是伪代码,并非原代码。
2024-01-08 13:57:44 662
原创 XCTF:凯撒大帝在培根里藏了什么[WriteUP]
根据语境,且密文与凯撒加密后的密文不符合,先尝试培根解密。所以解密后明文应该是:havefunwithcrypto。获取明文结果: ngbklatcoznixevzu。除了第6条,其他解密出来的明文都是不明所以的乱码。由于凯撒加密有26种密钥,所以这里一条一条的看。又因为题目提示了,最终flag是大写字符串。根据题目提示,应该有两种加密算法。写个py程序把字符串转成全大写。于是再进行一次凯撒解密。
2024-01-07 12:26:18 568
原创 XCTF:What-is-this[WriteUP]
文件是 .gz 后缀,用gunzip、gzip、unzip等工具进行解压。当然使用foremost也可以,但效果一样这里不演示。很明显这是一个tar文件,尝试将其解压出来。(看起来很像电视剧雪花的图片,不明所以)总之,获得了两张jpg图片。于是乎~直接显示出flag。下载获取得到一个压缩文件。得到一个没后缀名的文件。考虑应该是两张图片结合。
2024-01-06 20:29:10 480
原创 XCTF:NewsCenter[WriteUP]
记住这里的id="sample3",待会sqlmap需要使用到。在该页面按F12查看元素,搜索search这个搜索框。里面有一个假的flag,一开始在这里卡了下...最后,值得一提的是。在另一个名叫cyber的库。使用--dump命令展示column中的数据。先查看secret_table里的东西。使用命令直接查看该搜索框所在的库名。再次使用命令,查看该库下的表单。很显然直接就可以拿到flag了。如图所示:DBS:news。目的是查看该搜索框的id。
2023-12-27 19:17:06 532 1
原创 XCTF:Web_php_include[WriteUP]
分析源码:1.变量$page的值由$_GET方式获得2.strstr函数的功能是查找字符串,查询到为真,否则为假该函数查找方法区分大小写,例:PHP!= pHp而还有一个跟它很像的stristr函数,是不区分大小写的,例:PHP == pHp3.str_place函数的功能是查找变量中是否存在某字符串并替换。
2023-12-07 15:20:12 348 1
原创 XCTF:fileclude[WriteUP]
2.利用php://input输入流,将"hello ctf"以post的方式将字符串提交给file2。1.利用php伪协议filter,使flag.php的值读取进入到file1中。(我这里的HackBar(v2.1.3)不知什么原因无法使用post功能)1.include包含的flag.php文件中应该存放着flag的值。判断file2中的字符串值是否与"hello ctf"全等。3.将第1点和第2点两段代码进行结合(用&连接)判断file1和file2是否已被创建。
2023-12-06 18:01:04 200 1
原创 XCTF:fileinclude[WriteUP]
index.php源码:@include($lan.".php");那么只需要抓包,修改$_COOKIE中language的值传递给$lan就可以了。$lan时:即$lan变量不存在时,执行包含english.php。就可以读取到被包含在index.php中的flag.php源码。再根据题目的提示,flag在flag.php这个文件中。那么index.php就会直接包含flag.php文件。因为flag.php是已经存在的,直接用读取read。所以最后的文件名称是flag而不是flag.php。
2023-12-06 12:36:22 354 1
原创 XCTF:easyupload[WriteUP]
并在proxy模块中,将Content-Type改成jpg的MINE格式改成这个亚子:点击Forward放行这样就显示上传成功了 接下来创建一个SHELL:hp.jpg直接上传即可hp.jpg内容:这里不能用
2023-12-05 20:51:04 296
原创 XCTF:ext3[WriteUP]
使用cat命令,发现flag经过base64加密。可以判断该文件里存在flag.txt。进入test目录后,执行文件查找命令。创建一个文件夹存放其解压出来的文件。现在的问题就在于怎么把它提取出来。直接解密即可提取flag。直接搜索文本:flag。
2023-11-30 16:29:22 73
原创 Bugku CTF:树木的小秘密[WriteUP]
(这里其实直接把123.pyc放进010editor读也能看到flag)可以看到是PyInstaller v3.6的版本进行的封装。或者直接把字符串c,进行base64解码也可以拿到flag。反编译出来的文件有很多,但是这里只看这个 123.py。我这里把123.pyc用uncompyle6进行反编译。所以还需要使用uncompyle6对它再反编译一次。很明显c="xxxxx"这里就是flag了。直接运行刚开始题目给的exe代码,输入。(输出的是这些信息就是成功反编译了)这个工具来进行反编译。
2023-11-26 17:55:43 676 1
原创 Bugku CTF:成绩查询[WriteUP]
看抓到的包最下面是id,选择注入点为:id进行注入。这里我把包信息txt保存为post.txt。复制Raw内容进txt文件用于sql注入。直接展示skctf_flag中的值即可。很明显应该就是‘skctf’
2023-11-25 11:16:39 358
原创 XCTF:misc_pic_again[WriteUP]
这里可以看到通道:b1,rgb,lsb,xy 存在一个隐藏的ZIP文件。查找该文件里是否有ctf或flag等字样(题目提示是hctf)因为这个文件的名字实在太长了,我把它改成1.png。解压后拿到一个名字是 1 的文件。
2023-11-23 14:13:51 259
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人