q

在kali用惯了这个功能，我就找了很多文章都没有找到，后面直接翻kali的环境变量文件，翻到了这个功能，备忘，同时希望对喜欢这个功能的人有所帮助。输入命令时，之前的命令会以阴影显示，按下右键或 Tab 键可以直接补全。安装zsh-autosuggestions。编辑 ~/.zshrc环境变量。

没有web4和web8，web2的4没做出来。meetsec2{2b7cc5b73fe867cc83546583b858c8ab}

靶场地址查看数据库配置文件，mysql，用户名密码根据自己数据库密码更改使用小皮面板的mysql，新建一个数据名为javasec的数据库运行javasec.sql文件下载运行即可访问本地8000端口，用户名密码admin，admin。

PHP & JavaEE & Python（见图）序列化：对象转换为数组或字符串等格式反序列化：将数组或字符串等格式转换成对象serialize() //将对象转换成一个字符串unserialize() //将字符串还原成一个对象。

RCE代码执行：引用脚本代码解析执行RCE命令执行：脚本调用操作系统命令。

获取URL，获取JS敏感信息，获取代码传参等，所以相当于JS开发的WEB应用属于白盒测试，一般会在JS中寻找更多URL地址，（加密算法，APIkey配置，验证逻辑，框架漏洞等）进行后期安全测试。上述几种方法，已经达到了反调试的效果，但如果他人查看代码，也可能被找出检测功能并删去。进入burp，找到jsEncrypter模块，点击连接，连接成功会出现True，点击test，测试是否能够加密成功。直接使用https://jsdec.js.org/使用jsjiami V6解密，加密的js文件是一个编码数据的。

转到pe_getxml用例可以看到，wechat_getxml调用了pe_getxml,相当于wechat_getxml调用了simplexml函数。使用CTRL+B快捷键转到wechat_getxml方法声明或用例，下面使用xml返回的数据都是固定的，应该是无回显。pe_getxml方法用到了simplexml，使用CTRL+B快捷键转到pe_getxml方法声明或用例。查看生成的file.txt,成功读取到c盘下123.txt。将get.php放入到服务器，将get.php放入到服务器，

使用网站上的本身有的swf文件进行反编译，常见的可触发xss的危险函数有：getURL，navigateToURL，ExternalInterface.call，htmlText，loadMovie等等。持续化的XSS攻击方式，将恶意代码存储于服务器，当其他用户再次访问时触发，造成XSS攻击。页面本身没有变化，但由于DOM环境被恶意修改，有客户端代码被包含进了页面并执行。通过修改原始的客户端代码，受害者浏览器的DOM环境改变，导致有效载荷的执行。使用pdf编辑器，打开属性，添加动作，选择执行js语句。

可以看到127进行16进制转换后为7f，在16进制前加上0x使电脑识别为16进制，ping 0x7f.0.0.1 计算机可识别为127.0.0.1。url需要以http://ctf开头,以show结尾，才能触发file_get_contents()由于有部分协议http这类不支持，可以gopher来进行通讯（mysql，redis等）访问生成的pass.php，查看根目录下的flag。（文件读取，加载，数据操作类的函数）八进制前面加上0，使电脑识别为八进制。过滤localhost，0，1等。

按住ctrl点击CheckHTTPRefererValid,HTTP_REFERER函数是获取referer头的，如果referer为空的话就执行成功。这个数据包构造好了之后，点击这个html，如果该用户刚好登录了这个cms的后台并且有权限增加用户那么就会成功创建一个admin用户。成功添加，但是这个并没有什么用，因为被攻击者不会主动去修改referfer头。在生成的poc头部加上这个使其数据包自动将referer头去空。放包后成功添加，因为代码逻辑就是为空就是True。2、无过滤防护，有过滤防护能绕过。

做了过滤只能删除templets下的文件，加上templets用文件遍历绕过。目录权限控制不当，通过控制查看目录路径穿越到其他目录或判断获取价值文件再利用。使用readfile.php中的file变量下载readfile.php。index.php 从首页文件可以看到是Joomla的cms。目录权限控制不当，通过遍历获取到有价值的信息文件去利用。中间件配置不当，目录索引，以下为phpstudy举例。/进行目录穿越，需要加上templets。登录后台，访问下面路径，点击删除抓包。下载index.php文件。

包含的文件被当作当前的语言去代码执行漏洞原因：1.使用文件包含函数2.包含的文件可控分类：1.本地包含：​ 有文件利用：配合文件上传​ 无文件利用：​ 1.包含日志文件​ 2.包含session文件​ 3.伪协议利用2.远程包含：公网服务器自定义文件差异：代码过滤， allow_url_include配置开关白盒发现：包含函数黑盒发现：主要观察参数传递的数据和文件名是否对应。

靶场项目地址：https://github.com/sqlsec/upload-labs-dockerfofa搜索语法：“

站位到7报错order by 7说明该数据库列表有6位第4位和第5位显示出来，在4,5进行插入语句查询数据库版本，服务器操作系统查询数据库名，用户名查询数据库表名查看表明为“admin”中的列名查询表名为“admin”，列名为“username,password”的第一个字段查询表名为“admin”，列名为“username,password”的第二个字段查询是否有读取权限并没有权限，需要在my.ini添加secure_file_priv=“”读取d盘下的123.txt文件写入后门代码使用哥斯拉连接。

使用kerbrute爆破administrator用户，未爆破出来，因为administrator用户通常是未设置密码错误阀数，不推荐直接爆破，会有安全日志。使用responder开启伪造服务器，当mssql访问时就会把凭证发过来，再通过破解hash登录mssql获得最高权限。将用户名放入user.txt，使用crackmapexec进行爆破密码同用户名一样的。访问权限来进行域权限升级，但可以使用它来颁发或拒绝待处理的证书请求。这里爆破的时间很长，下面是爆破出来的用户名。

登录进去发现一个lnorgaard用户在他的备注中说的，初始密码设置为Welcome2023!带●的是遗失的，第二个字符是猜测的，有些wp不懂就去看资料，说●像o，又懂完了，别误人子弟。把域名及子域名添加到hosts，发现一个登录框，以及是RT 4.4.4版本。下载putty工具，并将其转成openssh格式的id_rsa文件。解压后发现是一个dmp文件，dmp文件是系统错误产生的文件。使用G搜索，密码为：rødgrød med fløde。使用sudo -l查看使用有sudo权限，并没有。

上传linpeas进行信息收集有一个数据库文件/var/www/contact/tickets.db。在其他wp 找到的破解root密码用python编写的脚本，使用gpt加上了注释使我更容易理解。可以看见这个是一个备份mysql的脚本，用户是root，这里需要验证root密码。将codify添加到hosts，访问80端口发现是vm2沙盒版本为3.9.16。在/var/www/contact/tickets.db发现一个hash。使用hashcat进行进行破解，先查找使用什么模式进行破解。

编译报错Package ‘dbus-1’, required by ‘virtual:world’, not found使用apt安装libdbus-1-dev解决。sh就提权成功了，为什么会用trail服务因为sudo-l只有这个服务才能不用输入密码。手撮失败，sys返回的值为0.002s，改成0.001和改成0.002都创建不了pwn用户，试了无数次，换个方向。maltrail配置文件在/opt/maltrail/maltrail.conf下发现一串hash。搜索sudo systemctl提权。

BusyBox 包含了一些简单的工具，例如ls、cat和echo等等，还包含了一些更大、更复杂的工具，例grep、find、mount以及telnet。在/var/www/html/craft/storage/backups中发现一个sql的压缩包，使用python开启http服务，访问并下载文件。使用hash-identifier识别hash属性，识别出来为SHA-256,Haval-256。使用sudo执行shell脚本 pass中的密码是上文linpeas找到的。1888吉利数保存一下。

有时候使用exp脚本，不知道流量数据包是什么样的，需要抓包看看数据包。秃子教过在windows下使用Proxifier代理工具进行流量转发至burp，举一反三。kali自带了proxychains，编辑文件,注释掉socks4,添加本机真实ip，不能写127.0.0.1记住端口后面设置burp端口需要一致。就正常执行exp的前提上加上proxychains4。在burp代理添加上代理ip。在burp上成功捕获流量。