- 博客(75)
- 收藏
- 关注
RSS订阅
原创 Bugku web Writeup
靶场链接:https://ctf.bugku.com/index.html文章目录前言一、web2 随机数字运算验证码二、web3 $_GET三、web4 $_post四、web5 矛盾 0x01知识点 0x02实践五、web6 flag就在这里六、web7 你必须让他停下七、web11 webshell八、web12 本地管理员九、web8 文件包含 0x01知识点
2021-02-25 14:59:35
805
原创 Webmin 远程命令执行漏洞(CVE-2019-15107)复现
一、环境搭建本次采用vulhub进行复现二、复现过程POST /password_change.cgi HTTP/1.1Host: 192.168.252.145:10000User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif
2022-05-03 18:16:50
758
原创 SQLMap——Tamper学习
一、简介sqlmap是一款用来检测与利用SQL注入漏洞的免费工具,不仅可以实现SQL注入漏洞的检测和利用的自动化处理,自带的Tamper脚本可以帮助我们绕过IDS/WAF的检测。二、Tamper脚本部分Tamper脚本如图:虽然sqlmap提供了许多Tamper脚本,但实际使用过程中网站可能过滤了许多敏感字符和相关函数,这就需要我们能够针对防护规则手动构建相应的Tamper脚本。三、Tamper结构#!/usr/bin/env python"""Copyright (c) 20
2022-05-03 15:43:51
2832
原创 Ubuntu 16.04漏洞复现(CVE-2017-16995)
简介Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。漏洞概述该漏洞存在于带有 eBPF bpf(2)系统(CONFIG_BPF_SYSCALL)编译支持的Linux内核中,是一个内存任意读写漏洞。该漏洞是由于eBPF验证模块的计算错误产生的。普通用户可以构造特殊的BPF来触发该漏洞,此外恶意攻击者也可以使用该漏洞来进行本地提权操作。复现过程查看当前用户id(1)来到“tmp”目录下,执行文件perl linux-exploit-suggester-2.p
2022-04-23 14:05:52
2189
原创 攻防世界Misc
1、this_is_flag2、pdf题目描述:菜猫给了菜狗一张图,说图下面什么都没有说图下面什么都没有 移开图片即可得flag3、如来十三掌题目描述:菜狗为了打败菜猫,学了一套如来十三掌。放到在线佛曰加解密网站上解密:https://keyfc.net/bbs/tools/tudoucode.aspxMzkuM3gvMUAwnzuvn3cgozMlMTuvqzAenJchMUAeqzWenzEmLJW9锁定十三这个关键词,使用CTFCrackTools对文本进行Rot13:
2022-03-31 18:18:13
473
原创 攻防世界crypto
1、base64题目描述:元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这不,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cyberpeace的攻防世界猜谜大会,也想着一展身手。 你们一起来到了小孩子叽叽喳喳吵吵闹闹的地方,你俩抬头一看,上面的大红灯笼上写着一些奇奇怪怪的 字符串,小鱼正纳闷呢,你神秘一笑,我知道这是什么了。Y3liZXJwZWFjZXtXZWxjb21lX3RvX25l
2022-03-31 10:40:02
378
转载 命令执行漏洞挖掘技巧分享
1.1 前言1、第三方开源通用框架/第三方类库的使用,如Struts,Jenkins等。2、业务逻辑处理直接拼接用户可控参数区执行系统命令或者拼凑回调函数代码,中途无任何安全过滤比如说: 应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。这里以php说明含义,任何一门编程语言,使用到了一些系
2022-03-11 16:30:01
1035
原创 freemarker模板注入
一、freemarker和thymeleaf区别freemarker这种编程式模板引擎,比如我们用一个判断会这么写<#if ${isBig}>Wow!</#if>而在thymeleaf中首先要考虑的问题是我的DOM是什么,而不是将 if 的逻辑放在哪里在thymeleaf中判断会写出下面代码:<div th:switch="${user.role}"> <p th:case="'admin'">User is an administrator
2022-02-15 17:20:40
2203
原创 XSStrike
0x01 简介XSStrike 是一款用于探测并利用XSS漏洞的脚本。包含:对参数进行模糊测试之后构建合适的payload使用payload对参数进行穷举匹配内置爬虫功能检测并尝试绕过WAF同时支持GET及POST方式0x02 下载和安装git clone https://github.com/s0md3v/XSStrike.git安装依赖pip3 install -r requirements.txt(python>=3.4)0x03 测试1.测试一个使用GET方
2022-01-24 11:07:22
3217
原创 Dnslog在渗透测试中的应用
前言在某些无法直接利用漏洞获得回显,目标可以发起 DNS 请求的情况下,这个时候就可以通过dnslog把想获得的数据外带出来。SSRF盲打在 DNSlog 平台获取一个子域名 id02zu.dnslog.cn,然后访问 ?url=http://id02zu.dnslog.cn,平台上有靶场发起的访问请求记录网上的例子:在某系统的机票信息存在导出功能:修改导出信息的请求中queryPath参数的路径为自己的 DNSlog:可以看到 DNSlog 平台成功记录访问请求,证明存在 SSRF 漏
2022-01-21 15:45:14
1762
原创 Hadoop 未授权访问 getshell
漏洞概述YARN提供有默认开放在8088和8090的REST API(默认前者)允许用户直接通过API进行相关的应用创建、任务提交执行等操作,如果配置不当,REST API将会开放在公网导致未授权访问的问题,那么任何黑客则就均可利用其进行远程命令执行,从而进行挖矿等行为。受影响范围Apache Hadoop YARN资源管理系统环境搭建cd /vulhub/hadoop/unauthorized-yarndocker-compose up -d环境搭建成功,未授权访问到页面#!/usr
2022-01-19 16:19:56
4697
原创 Grafana任意文件读取漏洞(CVE-2021-43798)
一、漏洞描述Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。二、漏洞影响范围影响版本:Grafana 8.0.0 - 8.3.0安全版本:Grafana 8.3.1, 8.2.7, 8.1.8, 8.0.7三、vulfocus靶场复现其他payload:/public/plugins/alertlist/../../../../../../../../../../../etc/passwd/p
2021-12-30 15:02:06
667
原创 Apache Druid LoadData 任意文件读取 漏洞 CVE-2021-36749
Apache Druid 任意文件读取漏洞 CVE-2021-36749
2021-12-30 11:22:00
525
原创 Apache Log4j2远程代码执行漏洞
漏洞介绍Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行影响版本Apache Log4j 2.x <= 2.14.1漏洞复现在IDEA中新建一个Maven项目,在pom.xml中导入依赖文件下载log4j程序包pom.xml文件如下:&
2021-12-10 15:53:41
986
1
原创 支付逻辑漏洞
一、支付过程中可直接修改数据包中的支付金额1、访问http://10.1.1.23/demo/用账号tom密码123456 登录进入系统进入系统后,发现当前余额只有5元,尝试购买1本书籍1和1本书籍2,发现购买不成功,余额不足。再次登陆打开burpsuite工具,浏览器设置本地8080端口代理,购买的数量同样输入1本书籍1和1本书籍2、在点击购买的时候抓取到数据包,分析数据包可以直接看到传输的商品金额分别为10和20,尝试直接将金额都修改为0.1然后点击forward继续发包,可以看到最后成功
2021-04-02 19:46:17
1190
转载 挖洞技巧:支付漏洞之总结
文章目录前言0x01 修改支付价格0x02 修改支付状态0x03 修改购买数量0x04 修改附属值0x05 修改支付接口0x06 多重替换支付0x07 重复支付0x08 最小额支付0x09 值为最大值支付问题0x10 越权支付0x11 无限制试用0x12 修改优惠价前言支付漏洞一直以来就是高风险,对企业来说危害很大,对用户来说同样危害也大。就比如我用他人账户进行消费,这也属于支付漏洞中的越权问题。那么支付漏洞一般存在在哪些方面呢,根据名字就知道,凡是涉及购买、资金等方面的功能处就
2021-04-02 15:26:09
764
原创 身份认证失效漏洞实战
文章目录背景0x1 测试用户0x2 越权访问总结背景钻石代理商马春生同学卷款逃跑,多位下级代理内心受到了难以磨灭的伤害,为了找到她我们将通过代理网站获取到她的手机号码等信息。0x1 测试用户先登陆测试用户(test/test):成功登陆,发现会员号0x2 越权访问查看网页源代码:getProfile({"card_id":"20128880322","user":"test","password":"098f6bcd4621d373cade4e832627b4f6",发现card
2021-04-01 20:32:45
1023
原创 RoarCTF 2019 Easy Java
打开靶场,一个登陆界面,试了万能密码,行不通,点进help查看:此时url:download,猜测是文件下载漏洞burp抓包看下:打开help.docx哦豁,走远了补充一下java web的目录结构敏感目录(1) /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。(2) /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能
2021-03-30 15:59:43
305
原创 文件上传漏洞靶场:upload-labs安装+1~11关
文章目录一、安装二、pass-01 js检查三、pass-02 只验证Content-type四、pass-03 黑名单绕过五、pass-04 htaccess绕过六、pass-05 大小写绕过一、安装phpstudy下载地址:https://www.xp.cn/download.htmlupload-labs下载地址:https://github.com/Tj1ngwe1/upload-labs以windows下phpstudy2018为例:下载upload-labs后,解压,将文件名改为u
2021-03-13 16:17:11
616
1
原创 Hackergame 2020 web 部分WP
文章目录前言一、签到题二、2048三、普通的身份认证器前言之前报了这个比赛,奈何是个菜鸡,只做出来了签到。。今天心血来潮,再做一波一、签到题随便拖动提取器,看到url:number=0.15909,尝试改成1,得到flag二、2048要实现 FLXG,你需要过人的智慧,顽强的意志,和命运的眷属。只有在 2048 的世界里证明自己拥有这些宝贵的品质,实现「大成功」,你才有资格扛起 FLXG 的大旗。不得不说,直接人傻了,这是嘛呀查看源码,发现提示:访问看到如下代码: var
2021-03-13 15:46:15
366
原创 upload-labs第五关 pass-05 大小写绕过
六、pass-05 大小写绕过源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html"
2021-02-26 20:25:19
2045
4
原创 upload-labs第四关 pass-04 htaccess绕过
五、pass-04 htaccess绕过源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".p
2021-02-26 20:18:11
4862
原创 upload-labs第三关 pass-03 黑名单绕过
四、pass-03 黑名单绕过提示:本pass禁止上传.asp|.aspx|.php|.jsp后缀文件!源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['uploa
2021-02-26 20:17:30
3679
原创 upload-labs第二关 pass-02 只验证Content-type
三、pass-02 只验证Content-type源码:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['
2021-02-26 20:16:32
759
原创 upload-labs第一关 pass-01 js检查
二、pass-01 js检查尝试上传1.php限制了上传类型,将1.php后缀改为1.jpg,BP抓包,修改后缀.jpg为.php绕过,再次上传:上传成功并发现地址
2021-02-26 20:15:30
184
原创 文件上传漏洞靶场:upload-labs安装
文件上传漏洞靶场:upload-labs安装一、安装phpstudy下载地址:https://www.xp.cn/download.htmlupload-labs下载地址:https://github.com/Tj1ngwe1/upload-labs以windows下phpstudy2018为例:下载upload-labs后,解压,将文件名改为upload-labs,然后放入WWW目录下。然后在浏览器中输入:http://127.0.0.1/upload-labs/即可...
2021-02-26 15:11:54
869
原创 DVWA Brute Force(暴力破解)通关
文章目录前言0x01、Low Security Level0x02、Medium Security Level前言提示:这里可以添加本文要记录的大概内容:例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示:以下是本篇文章正文内容,下面案例可供参考0x01、Low Security Levelview source查看源码:<?phpif( isset( $_GET[ 'Login' ] ) ) {
2021-02-25 15:22:57
287
转载 DVWA环境搭建
DVWA环境搭建安装环境:win7安装phpstudy1.下载安装phpstudy百度搜索phpstudy,在官网上下载链接: https://www.xp.cn/.这里下载的是phpstudy2018版下载之后选择安装地址,按照默认选项安装即可。下载完成之后开启服务,点击下图启动。访问本地:http:127.0.0.1看是否能正常运行。正常打开如下图。上述过程完成,phpstudy安装完成。在“其他选项菜单”中,点击phpMyAdmin,在浏览器中打开phpMyAdmin,登录
2021-02-25 14:57:26
240
原创 Bugku web35 点了login没反应
三十二、web35 点了login没反应查看源码,发现一个admin.css,访问提示传参?6529,访问:得到如下代码:<?phperror_reporting(0);$KEY='ctf.bugku.com';include_once("flag.php");$cookie = $_COOKIE['BUGKU'];if(isset($_GET['6529'])){ show_source(__FILE__);}elseif (unserialize($cookie
2021-02-24 14:52:56
324
1
原创 Bugku web31 好像需要管理员
三十一、web31 好像需要管理员御剑扫描一下后台,发现robots.txt,访问提示/resusl.php,继续访问,发现要传入一个参数x,并且x的值是要等于password,采用burp爆破得到密码是admin,其实题目好像需要管理员,这里就可以猜到x=admin...
2021-02-24 14:52:21
485
原创 Bugku web34 文件包含
二十九、web34 文件包含点进去查看源码:发现upload.php,访问,可以上传图片将以下代码写入记事本,后缀改为.jpg,上传<script language=php>system("find / -name flag*");</script>上传成功,访问上传的图片,看到/flag文件访问/flag文件得到flag...
2021-02-24 14:51:43
246
原创 Bugku web30 txt???
二十八、web30 txt???<?phpextract($_GET);if (!empty($ac)){$f = trim(file_get_contents($fn));//file_get_contents() 将整个文件返回一个字符串if ($ac === $f){echo "<p>This is flag:" ." $flag</p>";}else{echo "<p>sorry!</p>";}}?>访问
2021-02-24 14:51:09
153
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人