自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(34)
  • 收藏
  • 关注

原创 内网信息收集

工作组和域内的横向移动手法不一样。

2025-01-16 13:14:48 194

原创 Webshell工具内网穿透

webshell权限(192.168.52.135)

2025-01-12 21:31:13 259

原创 frp内网穿透

使用场景:拿到了webshell但是上线不了CS(出入站阻止)要对主机的内部网络进行信息收集打点,无法采用cs上面的socks节点去操作,将frpc上传到控制机器创建socks节点。使用vps与被控机器建立socks,本机访问内部网络则通过proxy代理服务端访问内部网络,客户端访问将流量返回给服务端。kali当作客户端,vps当作服务端,webshell机器上传后门,CS上线,使用CS自带socks搭建隧道。服务端启动:frps -c frps.toml。客户端启动:frpc -c frpc.toml。

2025-01-12 13:00:53 568

原创 内网基础-防火墙-隧道技术

第一个上线就走反向或者正向第二个上线走反向(第二个防火墙阻止入站)

2025-01-08 16:17:34 1038

原创 使用python中的mininet库搭建NSA网络环境

这里23.50.125.100那里的路由器我暂时用交换机替换掉了。

2025-01-03 13:53:46 193

原创 内网基础-网络不可达

1、在内网中可使用代理来实现攻击机中的工具访问多层内网,解决网络不可达问题,不需要把工具上传到内网主机中进行下一层内网的渗透CS:服务端在KALI运行,客户端本机运行,上线一台主机->客户端->代理转发->sock代理(就是在你服务端上开一端口来转发攻击机的流量到攻击机网络不可达的网段)代理用具(Proxifier)的使用:![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/c1e73c789d354bb6abe5153e30eb53b2.png。

2025-01-02 17:00:07 403

原创 信息收集2

DIONAEA MEMCACHED 蜜罐 app:“Dionaea Memcached 蜜罐”③应用功能:不用的数据库经常有用作不同的功能,可以通过网站的功能,判断可能的数据库;DIONAEA MSSQL 蜜罐 app:“Dionaea MSSQL 蜜罐”DIONAEA SIPD 蜜罐 app:“Dionaea sipd 蜜罐”DIONAEA SMBD 蜜罐 app:“Dionaea smbd 蜜罐”DIONAEA HTTP 蜜罐 app:“Dionaea Http 蜜罐”

2024-12-31 16:58:13 421

原创 内网攻防-原理架构day1

工作组就像一个可以自由进入和退出的社团,方便同组的计算机相互访问,工作组没有集中管理作用,工作组里的计算机都是相互对等的(即没有服务器和客户机之分)。“域”是一个有安全边界的计算机组合(一个域中的用户无法访问另一个域中的资源),域内资源由一台域控制器(Domain Controller,DC)集中管理,用户名和密码是放在域控制器去验证的。父子域:类比公司总部和公司分部的关系,总部的域称为父域,各分部的域称为该域的子域。单域:即只有一个域的网络环境,一般需要两台DC,一台DC,另一台备用DC(容灾)

2024-12-31 16:57:53 369

原创 使用python库中的mininet搭建网络环境尝试

按照上图搭建的环境最终实现了h1和h2对这条线路上的所有设备的通信。

2024-12-31 15:53:01 143

原创 传输格式&数据-类型&编码&算法&密码存储&混淆-不可逆&非对称性

1、可逆向的 接受id=5带入到数据处理逻辑之前一般会有解密或解码过程 数据库存储的数据是明文和密文都可以,但是对比验证的是明文。detail.php?id=NQ== and 1=1 这样解密之后无法识别所以要对and 1=1进行同样的加密才能正常执行。aes des 或者自定义加密 aes+base64 白盒 看代码 js逆向。2、不可逆向算法的加密 传输的数据采用的对比碰撞校验 对比验证的是密文。影响:安全后渗透测试必须要统一加密发送。比如用户登录后台登陆等地方。

2024-12-20 09:58:20 244

原创 使用python中的mininet库来搭建漏洞靶场环境

示例(含有任意命令执行的的web漏洞靶场)#!/usr/bin/env python3from mininet.net import Mininetfrom mininet.node import Controllerfrom mininet.cli import CLIfrom mininet.log import setLogLevel, info, errorfrom mininet.node import OVSControllerimport osimport sysimport

2024-12-19 15:46:39 609

原创 内网渗透基础1

过程:1、判断是不是数据不回显并且有漏洞2、有这个漏洞如何把执行的数据得到原因:代码层面函数调用问题,没有输出测试等。

2024-12-15 09:44:57 183

原创 信息收集1

Fofa、鹰图、ZoomEye、BinaryEdge、Censys、 GreyNoise、Onyphe、Shodan、Quake、X情报社区。对内网:借助漏洞反连 ssrf (意义不大) 监听 待本机访问http://127.0.0.1:80/8080/3306。在后续测试中,还要注意对子域名进行筛选整理,太多的垃圾子域名和没用的子域名,主要看你的收集的子域名方法决定。ping 域名、IP,返回的 TTL值越大则为Windows越小则为Linux(不是绝对)查询以上获取出的域名的子域名。

2024-12-14 16:17:12 533

原创 【无标题】

需要注意的是在mybatis-generator自动生成的SQL语句中,order by使用的也是$,而like和in没有问题。SSTI 服务器模版注入,服务端接受了用户的输入,将其作为Web应用模版内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容。在这种情况下使用#程序会报错,新手就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。MyBatis支持两种参数符号,一种是#,另一种是$,#使用预编译,$使用拼接SQL。2、in 之后的多个参数。

2024-11-13 23:09:24 334

原创 【无标题】

password=1,紧接着就开始进行序列化的操作,也就是说我们的password是已经默认为1了,我。发现我们只要将password的值设置为yu22x即可,但是接着往下看,看到了。'Firebasky’替换为’Firebaskyup’长度增加2。们要做的就是将password=1替换为yu22x,看到了。例题1 ctfshow web1_此夜圆。例题1 ctfshow 262。

2024-11-05 19:59:23 290

原创 命令执行总结

使用GET的a作为一个参数,传给c,再给1一个赋值,这样就可以跳过对c的过滤。嵌套include文件包含,利用伪协议文件包含。filter:通过指定的通道来读取指定的文件。不用base64读不到源文件。这里使用base64读取。&符号作为连接,并且。

2023-08-18 14:31:04 104

原创 xctf php2

id经过一次服务器url解码和urldecode解码以后=admin即可输出正确key。参数id URL解码也以后也不能是admin(因为服务器会进行一次URL解码)访问index.phps可以查看页面源码。所以我们将admin两次url加密即可。好久没打CTF了,随便做一道练练手。试着访问一下index.php页面。这里我找了很多在线工具都不好使。参数id不能等于admin。

2023-07-15 14:00:52 167

原创 ctfshow web261

<?phphighlight_file(__FILE__);class ctfshowvip{ public $username; public $password; public $code; public function __construct($u,$p){ $this->username=$u; $this->password=$p; } public function __wakeup()

2021-10-06 20:44:36 625

原创 ctfshow web259

知识点1.某个实例化的类,如果调用了一个不存在的函数会去调用__call魔术方法__call会发送一个请求2.CRLF \r\n3.POST数据提交最常用类型Content-Type:application/x-www-form-urlencoded<?phphighlight_file(__FILE__);$vip = unserialize($_GET['vip']);//vip can get flag one key$vip->getFlag();flag.

2021-09-26 23:45:53 1991 1

原创 [网鼎杯 2018]Fakebook

扫描目录发现/robots.txt flag.php发现备份文件下载下来<?phpclass UserInfo{ public $name = "tsz"; public $age = 10; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; $this->age = (in

2021-09-16 22:05:56 104

原创 [GXYCTF2019]BabySQli

知识点:联合查询的时候会插入联合查询的数据(数据仅在这次请求访问中存在,进行下条访问时,数据不会存在)首先进行注入点测试,发现用户名处是注入点而且是字符型注入登录后发现一串字符串MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5先base32解密再base64解密 得到select * from user where username = '$name

2021-09-16 15:41:42 114

原创 [网鼎杯 2020 青龙组]AreUSerialz

知识点 强弱类型的比较protect 序列化后会有%00*%00字符反序列化<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename

2021-09-14 20:40:57 108

原创 ctfshow web8

整形注入判断是字符型还是整形注入1.检查是否存在注入2.空格过滤用/**/替换3. ,过滤:将limit 0,1样式改为limit 1 offset 0。将substr(string,1,1)改为substr(string from 1 for 1)。id=-1 /**/or /**/1=1 返回正确id=-1/**/or/**/1=2 错误没有回显应该是盲注说明是整形注入这里过滤了andimport requestsurl='http://e2312a42-19a7-4415-

2021-09-13 16:50:00 903

原创 CTFSHOW反序列化

CTFSHOW web258反序列化正则匹配class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public $class = 'info'; public function __construct(){ $this->class=new info(); } public functio

2021-09-11 11:29:35 219

原创 [ZJCTF 2019]NiZhuanSiWei

1.data伪协议写入文件2.php://filter 读取文件3.反序列化<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_con

2021-09-09 15:41:16 113

原创 [BJDCTF2020]Easy MD5

MD5($pass,true)的绕过MD5弱类型比较MD5强碰撞随便输入一个值进行查询抓包发现这里用万能密码ffifdyopffifdyop原理:ffifdyop哈希后会变成276f722736c95d99e921722cf9ed621c然而mysql数据库会把hex转ascii 正巧哈希后的字符串转ascii前几位是’ or ‘6 因此拼接入查询语句就成了select * from ‘admin’ where password=’’ or ‘6xxxxxxxxx’ 为一个永真式可以绕过

2021-09-07 17:43:08 140

原创 Strcmp()函数漏洞

注:php5.3之后的版本才有int strcmp ( string $str1 , string $str2 )参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。这个函数期望传入的变量为字符串类型,当传入其它类型的的时候比如数组,类会发生报错信息,同时也会return 0;虽然报错了,但是却返回了0,可等同于判断相等了<?php $password="*

2021-09-07 16:59:16 1125

原创 BUUCTF [极客大挑战 2019]PHP

用dirsearch扫描网站目录根据命令 python dirsearch.py -u http://68b6f5c9-433a-4387-ab64-fd54034a861a.node4.buuoj.cn:81/ -e php -w 网站备份的字典路径找到一个www.zip 文件下载解压在index.php中发现如下代码文件包含了class.php文件GET传参可以通过select参数传参将变量select反序列化class.php<?phpinclude 'flag.php.

2021-09-07 12:16:22 216

原创 BUUCTF

BUUCTFGXYCTF2019]Ping Ping Ping通过测试貌似过滤的空格$IFS$9 可以代替空格发现过滤了flag尝试1.fla*不好使2 fla/g 不好使3.fla‘’g 不好使看到index里有一个变量$a于是想到用变量拼接

2021-09-02 00:13:23 560

原创 CTFSHOW misc入门

misc43题目提示根据提示中的错误想到用pngdebugger来分许发现发现所有IDAT块的crc32值都是错误的把错误信息存放到txt文档中结合提示把,错误的crc提取出来,hex转字符串得到flag这里附上脚本# coding=utf-8flag=""a=[]f=open("1.txt")for i in range(83): s=f.readline() a.append(s) if("CRC0" in a[i]): flag=flag

2021-08-31 23:39:00 1023

原创 PE手动添加shellcode

1、用OllyDBG加载notepad,左下角command框中输入bp MessageBoxA下断点。查看断点即可得MessageBox地址为:0x755b10602、call和jmp指令地址的计算#include <stdio.h>#include <windows.h>void func(){ MessageBox(0, 0, 0, 0);}int main(){ func(); return 0;}main 函数的反汇编

2020-07-19 21:47:13 637

原创 RVA转换FOA

RVA->FOA已知内存地址adress1、如果RVA属于头(DOS+NT)那么不需要进行计算了.因为头在文件中根内存中都是一样展开的.直接从开始位置寻找到RVA个字节即可。2、如果不在头,就要判断在那个节里面. 判断节开始位置.跟结束位置. 我们的RVA在这个值里面.adress-ImageBase-VirtualAddress=该内存地址在该节的相对偏移值FOA=该内存地址在该节的相对偏移值+PointerTORawDATAFOA->RVAFOA-PointerTORawDAT

2020-07-19 20:54:12 1220

原创 PE增加一个节

#define _CRT_SECURE_NO_WARNINGS#include<stdio.h>#include<stdlib.h>#include<string.h>#include<Windows.h>#include<malloc.h>DWORD Read2file(LPSTR file_path, PVOID* pfilebuffer);char file_path[] = "C:\\CTF\\notepad.exe";

2020-07-10 08:56:13 413

原创 滴水逆向PE扩大最后一个节

#define _CRT_SECURE_NO_WARNINGS#include<stdio.h>#include<Windows.h>#include<malloc.h>char file_path[] = "C:\\CTF\\notepad.exe";char save_path[] = "C:\\CTF\\extend_note.exe";DWORD Fileread(char** Filebuffer) { FILE* fp = NULL; cha

2020-07-10 08:54:25 273

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除