- 博客(128)
- 收藏
- 关注
RSS订阅原创 Nodejs vm/vm2沙箱逃逸
什么是沙箱:沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。什么是VM:VM就是虚拟环境,虚拟机,VM的特点就是不受环境的影响,也可以说他就是一个 沙箱环境 (沙箱模式给模块提供一个环境运行而不影响其它模块和它们私有的沙箱)类似于docker,docker是属于 Sandbox(沙箱) 的一种。简而言之,vm提供了一个干净的独立环境,提供测试。
2023-04-13 19:50:27
2520
1
原创 MinIO从信息泄漏到RCE
验证管理员权限→获取最新版本→获取最新版本的sha256sum信息→下载并验证sha256sum→验证无误后替换自身并重启。将环境变量存储在envValues里面,其中envValues采用遍历的方式获取了skipEnvs[envK]的value。如果MinIO以集群方式部署,存在信息泄露漏洞,攻击者可以通过HTTP请求获取目标进程的所有环境变量,包括。具体利用可以参考https://github.com/AbelChe/evil_minio。这个路由的功能中,可以从远程加载二进制文件,下载并更新。
2023-04-08 15:32:23
1793
原创 hxpctf2022 valentine
它是这里来防止模板注入, 写题的时候走到这里就是想绕过校验,但是没有找到合适的方法。其实我们用bp抓包就可以忽略这里的重定向问题哈哈哈,可以顺利拿到重定向的uudi路径。全局肯定不行了,所以使用单个模板文件方式,可以看到,其实就是多写一句。拿到题目的感觉是模板渲染嘛,并且是ejs模板。一般的payload是。
2023-03-13 19:40:32
836
1
原创 ctfshow 年ctf
来设置私有属性,给一个未定义的属性赋值时,触发__set(),传递的参数是被设置的属性名和值.所以,2023是兔年,密码也是。聪明的小伙伴们,你能破解出下面的密码吗?老g师傅最近发现了一个有趣的ctf工具,你能找出flag吗?据说上面的无线电信号代表的是中文,由红岸基地发往半人马星系。弱比较和强比较的问题 2023那里是强比较,还是很容易的。里面的$this->key,为happy2year类。还有个(),所以是个无参函数, 有个trick是。虽然exp比较简单,但是里面的逻辑挺值得学习的。
2023-02-10 06:05:55
851
原创 2022西湖论剑 部分wp
拿到文件路径/usr/local/lib/php/extensions/no-debug-non-zts-20190902/zend_test.so。可以考虑用SSRF来绕过)读取 /proc/self/maps 查看当前进程的内存映射关系,发现加载了一个名为zend_test的扩展。参考此文https://xz.aliyun.com/t/9707#toc-11。提取出来,黑白像素转01二进制,注意要竖着跑 ,像素太多,我将结果保存到文件里。总之php文件被加密了,寻找加密猜测应该是有依赖,思路可以是读。
2023-02-05 21:14:35
1557
1
原创 ctfshow黑盒测试篇
在search.php这里使用堆叠注入来实现向link表中添加url,我们已知三个字段,并且id控制选择页面。与上题一样,不一样的点在于这题将file字符ban了,可以利用16进制0x绕过。link表里的第三个字段是url,也就认为是搜索引擎那里跳转的url。这里可以利用ssrf可以添加跳转页面即url字段,比如添加。现在的目的应该是删除这个lock.dat然后重置密码。这里传入什么参数也是靠黑盒来猜了,用file参数。$id应该是传的参数,是php的文件名。search.php的注入点,跑不出。
2023-01-28 01:14:59
729
原创 ctfshow代码审计篇
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
2023-01-26 19:15:46
1464
原创 Thinkphp QVD-2022-46174 多语言rce
如果 Thinkphp 程序开启了多语言功能,那就可以通过 get、header、cookie 等位置传入参数,实现目录穿越+文件包含,通过 pearcmd 文件包含这个 trick 即可实现 RCE。PHP环境开启了PHP环境安装了pcel/pearDocker默认的PHP环境恰好满足上述条件。所以先使用vulhub进行漏洞利用的复现。
2023-01-18 19:00:14
2045
1
原创 burpsuite靶场——XXE
XML全称是可扩展标记语言,是用来存储和传输数据的一种数据格式,结构上和HTML类似,但是XML使用的是自定义的标签名,XML在Web早期中比较流行,现在开始流行JSON格式的数据了。XML实体是一种表示数据项的方式,比如用实体< and >表示符号,XML用实体来表示XML标签。DTD全称是document type definition,其可以定义XML文档的结构、它可以包含的数据类型和其他项目。DTD在XML文档开头以可选DOCTYPE节点中声明。
2022-12-26 13:40:16
1364
原创 burpsuite——身份验证
这题的情况是: 错误登录只允许三次,否则要等待1分钟继续登录,可利用的点是我们可以正常登录自己的用户来重置次数。然后这里的通过响应时间来进行区分,经过测试,如果用户名正确,则响应时间根据你设置密码的长度增加而增加。就是个简单的cookie 存储密码的md5 ,主要post传入的密码也需要爆破,一一对应。所以在爆破carlos的密码时,中间要穿插正确的账号密码,准备这样的字典进行爆破。判断是否是正确用户,每个账户需要多试,如果是正确用户,试多了会有某种错误提示。就是所谓的暴力破解,用户名和密码的字典都给了。
2022-12-26 13:36:19
1189
原创 burpsuite靶场——SSRF
即使有一些HTTP流量会被拦截,也会因为不怎么拦截DNS流量而获取我们想要的结果。从名字就能看出来这个插件可以对每一个点都进行collaborator测试以发现可以使用带外技术发送请求的点,为了方便插件进行测试,我们将靶场地址添加到目标中。有的后端系统用户是无法直接访问的,但是服务器可以成功向其发送请求,所以如果利用ssrf同样可以向这些本不对用户开放的后端系统发出恶意请求。有的情况还可以利用SSRF盲打对目标后端系统进行探测,比如探测目标网络中开放的主机及端口之类的,这些同样也可以通过带外通道接收到。
2022-12-26 13:32:12
1502
原创 burpsuite靶场——HTTP请求走私
HTTP 请求走私是一种干扰网站处理从一个或多个用户接收到的 HTTP 请求序列的方式的技术。请求走私漏洞在本质上通常很关键,允许攻击者绕过安全控制,获得对敏感数据的未授权访问,并直接危害其他应用程序用户。
2022-12-26 13:29:35
501
原创 burpsuite靶场——CSRF
跨站点请求伪造(也称为 CSRF)是一种网络安全漏洞,允许攻击者诱使用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。
2022-12-26 13:24:49
1911
原创 DASCTF 2022十月挑战赛 web
拿到源码就看哪里可以命令执行RCE,看那些php特殊函数,这里的话 就是`call_user_func($this->cmd, $this->content);首先destruct就直接调用了这两个方法,newnewnew()里面的参数我们是可控的属性,flag()里调用了不存在的方法。这里为何还需要User对象用一个不存在的属性实例化 Test()类,确实不太理解,有和没有的区别如下。admin被注册了,考虑如何登录admin,用普通用户登录一下,有发布文章,修改密码,查看文章的功能。
2022-11-04 14:55:00
820
原创 ctf工控 流量题
某工程师在运维中发现了设备的某些异常,怀疑可能遭受到了黑客的攻击,请您通过数据包帮助运维人员确定出被遭到了攻击的数据包。Flag格式为:flag{hex的data数据包后90位,字母为大写}工程师发现电力网络中存在异常流量,尝试通过分析流量包,分析出流量中的异常数据,并拿到FLAG,flag形式为 flag{}。工业协议中存在异常数据。请通过流量中的数据找寻 flag,flag形式为 flag{}。某黑客拿到上位机的权限后对工控设备存储的数据进行了大量的修改,请分析其攻击数据,并找到其中的flag信息。
2022-10-17 19:22:53
3044
原创 [羊城杯 2020] Web
文件名限制了只能是[a-z]和‘.’,而且题目环境设置了只有index.php文件解析,其他php文件不解析,想到的就是写一个.htaccess文件。利用php_value auto_prepend_file .htaccess让php文件包含htaccess文件,htaccess里的代码会执行。先看题目逻辑,会清除目录下除了index.php的所有文件 ,而且只有一次写的机会,因为想要第二次写的话,就会把第一次写的东西给清了。也是2019的某道题,首先看提供了一个file_put_contents()
2022-10-03 01:07:38
1305
原创 VulnHub — CH4INRULZ_v1.0.1
刚才上传文件后在/development/uploader/upload.php有回显,尝试读取这个upload.php。没有file参数发送给我 ,所以猜测这里可以传file参数,尝试了一下是post传参。文件读取刚刚上传的webshell.gif ,成功让gif文件以PHP执行。正在开发的api接口, 猜测files_api.php 可以文件读取。得到一组用户名和密码, frank frank!这里出问题了 ,靶机的g++环境有问题?然后访问到a目录发现 脚本上传成功,解压脚本。
2022-09-09 20:02:41
1101
原创 VulnHub — DC-1
Set User ID是一种权限类型,允许用户使用指定用户的权限执行文件。那些具有suid权限的文件以最高的权限运行。不少东西,其实可以试试用哪个,这里就直接用drupal_drupalgeddon2 也就是序号4。. SUID的目的就是:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。不清楚什么原因,这个靶机的ip一直扫不到 偶尔又扫到了,不知道什么问题。攻击成功生成 url ,直接去登录即可 ,就是管理员后台了。前半段是为了能顺利执行find 命令, 后面就是提权利用了。
2022-09-09 20:02:02
414
1
原创 VulnHub — mrRobot1
Set User ID是一种权限类型,允许用户使用指定用户的权限执行文件。那些具有suid权限的文件以最高的权限运行。. SUID的目的就是:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。那么就得到了用户名robot,密码abcdefghijklmnopqrstuvwxyz。将其保存为新的字典 ,去登录页面尝试用户名和密码的爆破。22端口被关闭了 访问80网站,很像一个终端的页面。还有一个dic文件,访问下载下来是个字典文件。进入 发现有flag 但是没有权限查看。
2022-09-09 20:01:08
283
原创 VulnHub — NARAK
扫描一下目录 ,dirsearch 和 dirb都用了一下 ,dirmap倒是没出来。BrainFuck 解码后:chitragupt (应该是某用户的密码)浏览器访问 ,一堆这个关于题目背景的地狱图片 ,没有什么信息。已经反弹shell ,执行下面命令进入python交互式。爆破出 用户名密码了,就可以cadaver 进行连接了。连接上,可以 put 一个 webshell ,成功后。发现nc 成功连接靶机,可以输入命令了。前两条命令输入,没反应,就可以重新登陆了。这样的话,页面就好看一些了。
2022-09-09 18:14:21
274
原创 VulnHub — Me-and-My-Girlfriend-1
源码提示,用X-Forwarded-For 修改成 本地ip ,直接用插件改了。登录进来,观察到这里可以修改 user_id的号, 修改试试。格式如下,密码输入以上密码就可,然后成功连接,可以操作了。这题还需要提权,查看alice的权限 ,需要用php 提权。用 nmap扫描 ,看有没有其他段 ,顺利找到靶场ip。试出来5时候,名字是alice ,正是本题女主的名字。成功看到flag1.txt ,获得第一个flag。进入注册页面,成功注册,然后进行登录。然后访问靶场ip ,查看源码。
2022-09-09 18:08:49
384
原创 [DASCTF 7月赛] 复现
压缩包密码就是上面 的admin密码550f37c7748e。一个png ,用zsteg打开能看见有个zip,提取出来。FTK Imager 打开后Mount 该文件。上面也得到了密文U2Fs.... 是AES密文。再用efdd 打开,配合pc.raw挂载。这串数字是八进制 ,也可直接ciphey。得到了密钥 358daebef0b7d。文件名是thes3cret。访问后有源码,有过滤。...
2022-08-17 15:49:18
374
原创 sql-lab (3)
在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在;结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。...
2022-08-16 23:35:05
950
原创 纵横网络靶场 部分wp
生产系统的运维人员在进行日常审计中发现设备存在大量的告警日志,自动化工程师在进行上载分析中也没有发现相关的问题所在,请您帮助进行分析相关设备的存在的问题,flag格式为:flag{hex数据}flag形式为 flag{}。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常 点,并拿到FLAG,flag形式为 flag{}。...
2022-08-14 23:07:28
1695
1
原创 [陇剑杯2021] 复现
根据上面的文章可以知道(对于PHP_XOR_BASE64加密方式来说,前后各附加了16位的混淆字符),所以我们拿到的流量要先删除前16位和后16位字符,同时Godzilla的流量还会进行一个gzip压缩,因此最外层还要用gzdecode进行一次解码。密码在网卡的GUID里,GUID 和接口绑定是绑定的,win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]中。(请提交带有文件后缀的文件名,例如x.txt)...
2022-08-14 21:30:37
1610
1
原创 [OtterCTF 2018] 电子取证
计算机的主机名不可以被直接读取(vol没有模块可以处理),但是注册表内储存了相关信息,那么便可以从注册表中读取到主机名。这个就是flag 好坑, NSSCTF{Hum@n_I5_Th3_Weak3s7_Link_In_Th3_Ch@in}进程里有Rick And Morty ,漂亮国的动画,一定是下这个片儿进来病毒了。已知在登录过程中,账号可能会以明文的形式储存在内存之中,我们便可以利用。恶意软件是如何进入瑞克的电脑的?指令可以打印文件的hexdump信息,故借此筛选特定信息的位置。...
2022-08-14 01:40:07
871
1
原创 [NSSRound#4] 复现
可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点。zip打不开,是把zip文件头换成rar了,换回去。.....
2022-08-12 23:18:28
1319
2
原创 [SWPUCTF 2021 新生赛] web
简单来说: 检测路径中是否存在%字符,并且如果%后面的两个字符是十六进制字符,就会对后面的两个字符进行url解码转化,如路径中有%2e./,则会解码为../,转换后判断是否存在../,加入路径中使用.%2e/则能绕过,导致目录穿越漏洞,因为当遍历到第一个.时,后面两个字符是%2并不是./,就不会被处理,绕过检测。没有过滤|这个符号,然后exec执行是没有回显的,这个题目是需要用linux的一个命令,”tee“将想要执行的命令写入到一个文件里面,然后再去访问这个文件,以此来执行这个命令。...
2022-08-07 01:47:32
3985
原创 [2022CISCN]初赛 复现
在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。键盘流量,搜索8个字节长度的数据包,这里也能发现版本有2.8.1和2.10.1两种,因此猜测需要分别导出。发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。(如果您还需要进一步的提示,可在本公众号输入“豪密剖析”获取。仔细观察png数据块,通道隐藏的数据可以配合lsb隐写。发包示例:/send?..
2022-08-03 23:51:40
1578
原创 mysql8 新特性注入
可以采用table和小于号进行盲注,table始终显示表的所有列,我们可以注其中一个字段,这里过滤了or所以打算采用另一个存储数据库名和表单名的视图sys.schema_tables_with_full_table_scans,这个视图本身的数据少方便我们搜寻,过滤了and和or可以采用&&或者||第一个是库所以这个方法也可以爆库名,第二个是表,需要查表名就控制第二个字段。最后一个字段很特殊,最后一个字段的最后一个字符,第一次不回显的结果正确。库user表users。...
2022-08-01 23:34:20
1015
原创 Nodejs ctf 基础
总结数字与字符串比较时,会优先将纯数字型字符串转为数字之后再进行比较;而字符串与字符串比较时,会将字符串的第一个字符转为ASCII码之后再进行比较,因此就会出现第五行代码的这种情况;总结空数组之间比较永远为false,数组之间比较只比较数组间的第一个值,对第一个值采用前面总结的比较方法,数组与非数值型字符串比较,数组永远小于非数值型字符串;数组与数值型字符串比较,取第一个之后按前面总结的方法进行比较。应该执行eval()函数,可以执行js代码,那么就可以执行系统命令了。依旧是get传eval。...
2022-07-23 16:27:29
1764
原创 ctfshow ThinkPHP专题 1
PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。,ThinkPHP支持的URL模式有四种普通模式、PATHINFO、REWRITE和兼容模式。...
2022-07-23 00:50:14
783
原创 [NepCTF2022] 复现
www.zip源码泄露,啥也不懂没注意正确的入口在哪里,一直把注意力放在web.php上面。附件下载后是个osz后缀,当时用010看是压缩包文件头,就改后缀了。当时写的过程,确实9.12.2的版本也是用网上流传的9.1.8的链子可以打,右下角有个车牌琼,写的时候都没发现,尚德源茶定位到三亚发现正好是这里。顽皮的HRP又换了种语言写项目来欢迎大家,没想到又让Sharun掘了。目前没学过java,所以跟着wp走一遍,也是网上的链子打。java的框架,给了jar,反编译。binwalk分离图片。...
2022-07-19 23:32:37
844
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人