- 博客(23)
- 收藏
- 关注
RSS订阅原创 Java安全
靶场地址查看数据库配置文件,mysql,用户名密码根据自己数据库密码更改使用小皮面板的mysql,新建一个数据名为javasec的数据库运行javasec.sql文件下载运行即可访问本地8000端口,用户名密码admin,admin。
2024-06-19 20:25:33
1277
原创 PHP反序列化
PHP & JavaEE & Python(见图)序列化:对象转换为数组或字符串等格式反序列化:将数组或字符串等格式转换成对象serialize() //将对象转换成一个字符串unserialize() //将字符串还原成一个对象。
2024-06-18 16:51:45
1106
原创 JS安全应用
获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试,一般会在JS中寻找更多URL地址,(加密算法,APIkey配置,验证逻辑,框架漏洞等)进行后期安全测试。上述几种方法,已经达到了反调试的效果,但如果他人查看代码,也可能被找出检测功能并删去。进入burp,找到jsEncrypter模块,点击连接,连接成功会出现True,点击test,测试是否能够加密成功。直接使用https://jsdec.js.org/使用jsjiami V6解密,加密的js文件是一个编码数据的。
2024-06-18 16:27:31
1342
原创 XML&XXE实体注入
转到pe_getxml用例可以看到,wechat_getxml调用了pe_getxml,相当于wechat_getxml调用了simplexml函数。使用CTRL+B快捷键转到wechat_getxml方法声明或用例,下面使用xml返回的数据都是固定的,应该是无回显。pe_getxml方法用到了simplexml,使用CTRL+B快捷键转到pe_getxml方法声明或用例。查看生成的file.txt,成功读取到c盘下123.txt。将get.php放入到服务器,将get.php放入到服务器,
2024-06-18 16:17:33
881
原创 XSS跨站脚本攻击
使用网站上的本身有的swf文件进行反编译,常见的可触发xss的危险函数有:getURL,navigateToURL,ExternalInterface.call,htmlText,loadMovie等等。持续化的XSS攻击方式,将恶意代码存储于服务器,当其他用户再次访问时触发,造成XSS攻击。页面本身没有变化,但由于DOM环境被恶意修改,有客户端代码被包含进了页面并执行。通过修改原始的客户端代码,受害者浏览器的DOM环境改变,导致有效载荷的执行。使用pdf编辑器,打开属性,添加动作,选择执行js语句。
2024-06-18 16:09:14
849
原创 SSRF服务端请求伪造
可以看到127进行16进制转换后为7f,在16进制前加上0x使电脑识别为16进制,ping 0x7f.0.0.1 计算机可识别为127.0.0.1。url需要以http://ctf开头,以show结尾,才能触发file_get_contents()由于有部分协议http这类不支持,可以gopher来进行通讯(mysql,redis等)访问生成的pass.php,查看根目录下的flag。(文件读取,加载,数据操作类的函数)八进制前面加上0,使电脑识别为八进制。过滤localhost,0,1等。
2024-06-18 15:54:08
714
原创 CSRF跨站请求伪造
按住ctrl点击CheckHTTPRefererValid,HTTP_REFERER函数是获取referer头的,如果referer为空的话就执行成功。这个数据包构造好了之后,点击这个html,如果该用户刚好登录了这个cms的后台并且有权限增加用户那么就会成功创建一个admin用户。成功添加,但是这个并没有什么用,因为被攻击者不会主动去修改referfer头。在生成的poc头部加上这个使其数据包自动将referer头去空。放包后成功添加,因为代码逻辑就是为空就是True。2、无过滤防护,有过滤防护能绕过。
2024-06-18 15:45:05
486
原创 Web文件安全
做了过滤只能删除templets下的文件,加上templets用文件遍历绕过。目录权限控制不当,通过控制查看目录路径穿越到其他目录或判断获取价值文件再利用。使用readfile.php中的file变量下载readfile.php。index.php 从首页文件可以看到是Joomla的cms。目录权限控制不当,通过遍历获取到有价值的信息文件去利用。中间件配置不当,目录索引,以下为phpstudy举例。/进行目录穿越,需要加上templets。登录后台,访问下面路径,点击删除抓包。下载index.php文件。
2024-06-18 15:38:45
229
原创 Web文件包含
包含的文件被当作当前的语言去代码执行漏洞原因:1.使用文件包含函数2.包含的文件可控分类:1.本地包含: 有文件利用:配合文件上传 无文件利用: 1.包含日志文件 2.包含session文件 3.伪协议利用2.远程包含:公网服务器自定义文件差异:代码过滤, allow_url_include配置开关白盒发现:包含函数黑盒发现:主要观察参数传递的数据和文件名是否对应。
2024-05-12 23:02:18
975
1
原创 SQL注入
站位到7报错order by 7说明该数据库列表有6位第4位和第5位显示出来,在4,5进行插入语句查询数据库版本,服务器操作系统查询数据库名,用户名查询数据库表名查看表明为“admin”中的列名查询表名为“admin”,列名为“username,password”的第一个字段查询表名为“admin”,列名为“username,password”的第二个字段查询是否有读取权限并没有权限,需要在my.ini添加secure_file_priv=“”读取d盘下的123.txt文件写入后门代码使用哥斯拉连接。
2024-04-26 22:53:23
825
原创 HTB Manager ESC7 域提权
使用kerbrute爆破administrator用户,未爆破出来,因为administrator用户通常是未设置密码错误阀数,不推荐直接爆破,会有安全日志。使用responder开启伪造服务器,当mssql访问时就会把凭证发过来,再通过破解hash登录mssql获得最高权限。将用户名放入user.txt,使用crackmapexec进行爆破密码同用户名一样的。访问权限来进行域权限升级,但可以使用它来颁发或拒绝待处理的证书请求。这里爆破的时间很长,下面是爆破出来的用户名。
2024-01-11 21:11:49
741
原创 HTB Keeper CVE-2023-32784
登录进去发现一个lnorgaard用户在他的备注中说的,初始密码设置为Welcome2023!带●的是遗失的,第二个字符是猜测的,有些wp不懂就去看资料,说●像o,又懂完了,别误人子弟。把域名及子域名添加到hosts,发现一个登录框,以及是RT 4.4.4版本。下载putty工具,并将其转成openssh格式的id_rsa文件。解压后发现是一个dmp文件,dmp文件是系统错误产生的文件。使用G搜索,密码为:rødgrød med fløde。使用sudo -l查看使用有sudo权限,并没有。
2024-01-09 15:35:46
456
原创 HTB | Codify vm2@3.9.16 中的沙箱逃逸
上传linpeas进行信息收集有一个数据库文件/var/www/contact/tickets.db。在其他wp 找到的破解root密码用python编写的脚本,使用gpt加上了注释使我更容易理解。可以看见这个是一个备份mysql的脚本,用户是root,这里需要验证root密码。将codify添加到hosts,访问80端口发现是vm2沙盒版本为3.9.16。在/var/www/contact/tickets.db发现一个hash。使用hashcat进行进行破解,先查找使用什么模式进行破解。
2024-01-08 18:59:35
483
原创 HTB Sau Maltraill-v0.53 CVE-2021-3560
编译报错Package ‘dbus-1’, required by ‘virtual:world’, not found使用apt安装libdbus-1-dev解决。sh就提权成功了,为什么会用trail服务因为sudo-l只有这个服务才能不用输入密码。手撮失败,sys返回的值为0.002s,改成0.001和改成0.002都创建不了pwn用户,试了无数次,换个方向。maltrail配置文件在/opt/maltrail/maltrail.conf下发现一串hash。搜索sudo systemctl提权。
2023-12-27 21:33:59
450
原创 HTB | Surveillance CVE-2023-41892 CVE-2023-26035
BusyBox 包含了一些简单的工具,例如ls、cat和echo等等,还包含了一些更大、更复杂的工具,例grep、find、mount以及telnet。在/var/www/html/craft/storage/backups中发现一个sql的压缩包,使用python开启http服务,访问并下载文件。使用hash-identifier识别hash属性,识别出来为SHA-256,Haval-256。使用sudo执行shell脚本 pass中的密码是上文linpeas找到的。1888吉利数保存一下。
2023-12-24 23:33:46
1019
原创 使用proxychains代理流量转发至burp
有时候使用exp脚本,不知道流量数据包是什么样的,需要抓包看看数据包。秃子教过在windows下使用Proxifier代理工具进行流量转发至burp,举一反三。kali自带了proxychains,编辑文件,注释掉socks4,添加本机真实ip,不能写127.0.0.1记住端口后面设置burp端口需要一致。就正常执行exp的前提上加上proxychains4。在burp代理添加上代理ip。在burp上成功捕获流量。
2023-12-21 22:20:20
509
原创 HTB-Devvortex-CVE-2023-1326
Devvortex使用nmap扫描服务器使用wfuzz进行子域名爆破爆破出dev的子域名,将子域名加入hosts使用gobuster对dev.devvortex.htb进行目录扫描扫描出administrator的目录发现登录页面扫描出README.txt,发现joomla版本为4.2发现是joomla cms在网上发现有专门的漏洞扫描工具:joomscan下载使用joomscan进行扫描扫描出joomla的版本为4.2.6 并且扫描出部分目录。
2023-12-17 20:20:15
189
原创 HTB Hospital——CVE-2023-35001,CVE-2023-2640-CVE-2023-32629,CVE-2023-36664
查看htdocs权限,发现有system权限,文件夹是system权限的,那么webshell拿到的也应该是system的,上传个web后门进行提权。————本文章仅用于学习记录,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。在c盘看见一个xammp的文件----XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。登录到8080WEB端口,注册一个用户进入发现一个文件上传点。
2023-12-17 17:05:23
431
原创 在kali下安装BurpSuitePRO V2023.10.3 及google浏览器在kali下导burp证书
burpsuitepro直接去官网地址下载:https://portswigger.net/burp/releases/professional-community-2023-10-3-7?再将注册机jdk 放入burpsuite pro安装目录,使用命令打开jdk,使用root权限执行这条命令就不会出现注册码,直接就能使用。各个环境不同,我设置了sudo不需要输入密码,我就设置了这样方式。到这里就安装结束了,但是我使用的是google浏览器,不能直接导burp证书,经过了查询,直接用工具导证书。
2023-12-11 23:23:16
846
原创 渗透综合靶场---SqlServer提权
再次查询是否开启3389端口,已开启就使用mstsc连接----exec xp_cmdshell'netstat -ant | find "3389"'查看目标是否开启3389端口----exec xp_cmdshell'netstat -ant | find "3389"'如何找到上传的文件所在目录,使用burp抓包点击文件,然后修改文件名,然后再放包,浏览器因为找不到文件会报错。扫描端口,知道目标ip,扫描目标ip开启了多少端口,(1-65535) 扫描出下面端口。
2022-12-22 00:31:02
1071
2
原创 slurm配置安装 本地源制作+SSH+NFS+NTP+NIS
制作本地源,ssh免密登录,NTP时间服务配置,NFS共享文件,NIS账号共享,MUNGE安装,SLURM安装
2022-08-12 14:37:25
1935
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人