qq_74263993的博客

链接3: https://pan.baidu.com/s/1jSRiiYMzzE18n2YphHcROA?6. 对于喜欢自己手敲命令的，可以在sqlmap执行语句里自己手输，然后点一把梭。（命令形式跟没有图形化界面的sqlmap是一样的）链接2：https://drive.uc.cn/s/51ab73db17604?7.对于post的sql注入，只需要将请求包复制进目标url就行，其他步骤跟之前的一样。2.选择要执行的操作。链接1：https://pan.quark.cn/s/cf4ab0073ebc。

链接1: https://pan.baidu.com/s/1L0l0xZHonlzM_EY8pyEkvg?3. 进入文件，看看是否有这些文件，data.db可能一开始没有，因为你还没有数据，主要看看有没有Behinder.jar文件。链接2：https://drive.uc.cn/s/10c3cd695e614?链接3：https://pan.quark.cn/s/778389c4588f。5.回车后会发现打开了终端，接着输入java执行命令就好了。（java环境自己去搭建吧，我这里就不教了。

将一句话木马（shell.php）压缩成压缩包形式(shell.zip)，将压缩包后缀改为.jpg(shell.jpg)或者png。file:// 用于访问本地文件系统，比如：在CTF中通常用来读取本地文件的且不受配置文件中allow_url_fopen与allow_url_include的影响。：一般配合post输入，它提供了一种直接获取 POST 请求数据的方式，尤其适用于处理来自客户端的原始数据，适合执行php文件。(当可以使用php://filter，但是。--------本地文件传输协议。

每种协议的具体用法可自行查阅，这里只做分析。

4.目录扫描，发现robots.txt和wordpress/wp-login.php 可以访问。发现许多可以访问的目录，但是一个一个试，发现就wp-content/uploads/目录有用。下的2021文件夹，进入07文件夹，找到notes.txt和user.txt。10.继续进行信息收集，发现case.wav文件有内容，一看就是十六进制。12.拿到权限查看目录下文件，查看root.txt的内容，得到flag。将其进行十六进制解码，再进行base64解码，得到密码。查看发现就是账号和密码。

sC： 启用默认的脚本扫描，这些脚本在 nmap 中称为“脚本的默认类别”（default scripts category）。6.访问网页http://192.168.1.188/enter_network/，顺便输入账号密码，查看cookie可以发现role。7.访问http://192.168.1.188/enter_network/admin.php，发现要求为admin。5.看别人的wp，发现还有一个enter_network没扫出来，添加目录再扫一遍，发现admin.php。

当我们直接使用kali下的tplmap时报错了。Tplmap 0.5这是因为tplmap要求的版本较低，好像python3以上的都不可以。（没做所有版本测试，但是我用的python2可以。

3.那我们就将这个数据包发给bp，进行修改。请求包加一个ip伪装X-Forwarded-For: 127.0.0.1。1.拿到题目，他让我们使用这个'WLLM'浏览器，那我们就用bp抓包，修改成User-Agent:WLLM。2.得到响应有个a.php文件，那我们就访问一下，发现请求权限不够，ip地址不对。4.这时得到secretttt.php文件，访问得到flag。很基础的一题，就是修改发送的数据包。

虽然电脑经常蓝屏，或者发生了蓝屏现象，但是仍然可以进入系统，并且可以进行桌面操作。1.按下win键，搜索计算机管理。 2.依次点击：系统工具->事件查看器->Windows日志->系统 3.在右侧众多日志中找到发生蓝屏现象的日志，通常情况下级别为错误，来源为BugCheck。 4.双击查看日志保存地址。 5.找到该文件夹，下面的所有DMP文件都是你电脑发生错误的日志记录。1.下载日志分析工具WinDbg（在微软商店就可以直接下载）2.右击，以管理员身份运行WinDbg 3.找到并打开对应的日志文件点击文

总之，反弹shell需要受害者具有命令执行的漏洞，这样攻击者才能引导受害者进行反向连接从而拿到shell。反向连接弹shell（即反弹shell为攻击者为服务端，受害者主机为客户端主动连接攻击者的服务端）让对方目标机器主动连接攻击者机器（攻击者指定服务端，受害者主机主动连接攻击者的服务端程序）1.python的脚本，受害者需要有python环境，我这就用主机当受害者了。1.受害者打开终端运行代码，攻击方监听端口（代码记得改监听者的IP和端口）攻击者开启网站 ，并且开启监听。各种语言的都行，我就简单说两种。

Windows10（关掉病毒实时查杀，尽量别开防火墙）5.上传木门到Windows10并运行拿到shell。kali机（网络畅通，具有ipv6地址）3.设置msfconsole，生成木马。2.查看自己的ipv6地址。1.启动kali提权。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal"此处填写用户名"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f。但是在家庭其他用户还是能看见。没有发现hack$用户。

1.win10上关闭实时保护，并且运行了反弹shell的脚本（关于如何反弹shell下次再写一篇文章，这里主要讲拿到shell后如何远程登录）4.windows打开3389远程连接的命令有两种办法（前提是自己拿到的shell是管理员权限）5.再次查看3389是否打开（对于有些系统命令端就是打开不了远程连接，那就要在设置里手动打开了）/u就是用户名，/p是密码，/v是靶机（目标）的地址/size就是图形化界面的大小。6.确认远程连接端口是不是3389（因为有些人会将远程连接的端口更改）

1.打开kali终端编辑文件/etc/network/interfaces。2.桥接网卡自己选，1是有线网卡2是无线网卡，选择记得点应用。2.编辑/etc/resolv.conf文件。若是设置动态ip随DHCP自由分配那就改成。3.虚拟机的网络适配器也要选择桥接模式。114.114.114.114是电信的。2.进入终端输入ipconfig。8.8.8.8是goolge的。1.进入vm的虚拟网络编辑器。若是设置静态ip就将内容改成。添加DNS服务器，随便选一个。1.win+r输入cmd。

链接: https://pan.baidu.com/s/1pvY6Rt9OzNHCDACfbC2gpA?从这段js代码我们可以发现定义了一个r={code: 'bugku10000'}，而r.code=='bugku10000'又返回错误。意思就是只有密码正确了r才不等于bugku10000，响应就没有这段代码了，否则就会出现这端代码。所以我们从攻击结果设置这里，找到检索匹配，添加一个{code: 'bugku10000'}通过区分响应包里有没有{code: 'bugku10000'}，就可以得到密码。

发现了/shell.php文件，访问一下，发现是一个后台管理登录页面。别无他法只能爆破喽，爆破后发现密码是hack。简单看一下网页和源码没发现什么明显漏洞。

拿到题目发现是文件上传的漏洞，但是这个黑名单过滤的有点严格，无论是文件里还是文件后缀都不能出现php那我们就用<??>来进行绕过（注意这里要加个GIF89a或者GIP87a进行欺骗）但是后缀依然不能绕过怎么办？接下来就要学新知识了。

链接:https://pan.baidu.com/s/1bhBe6a1_5VFYUY35XG1N9Q?pwd=x9gp 提取码:x9gp。链接:https://pan.baidu.com/s/1u8CMkOORRVpCI2zJysJPQQ?pwd=x9gp 提取码:x9gp。我先挂几个月，后续怕找不到的话，就自己保存网盘。如果自己会魔法，也可以去官网下载我那两个文件。挂上魔法，初始化也能让它自己下载。

百度网盘链接:https://pan.baidu.com/s/13cXAGnulXaYB5gJPguQMwA?pwd=nhe7 提取码:nhe7。UC网盘https://drive.uc.cn/s/4fd18f8ac5c04?夸克网盘链接：https://pan.quark.cn/s/ea5aba45bb10。

1.首先看题目可以知道是用POST传入参数从而达到系统查找，外边这个参数还进行了base64解码和反序列化编码，这又给我们上了一波难度。序列化：O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:4:"l""s";那我们就接着构造：这里涉及到了符号 / ，我们用printf和$()来绕过，注意这里php也要绕过。和__construct来调用构造的ping方法，接着通过$args来作为输入口进行命令的输入。使用""进行ls过滤的绕过。