- 博客(36)
- 收藏
- 关注
RSS订阅原创 ATT&CK实战系列-红队评估(一)
这个靶场的流程,就是外网渗透拿到主机shell扫描内网存活主机,并查看是否存在历史漏洞使用内网代理和路由转发来对内网主机进行攻击应该还有很多思路,这个是比较简单的靶场,继续加油。
2023-02-26 20:04:25
805
原创 2023VNCTF Web
这题在机场等同学的时候做了一下,但是那个解压功能一直报错,我还以为是我的问题,结构第二天做一下发现是可以的goeval代码注入filepath.Clean构造任意解压路径。
2023-02-19 17:02:40
1048
原创 NSSCTF Round#8 Basic
根据出题人的本意是让我们上传一个包,然后去加载那个包,但是我是直接用的别人的exp,而且题目环境也包含exp里需要的文件,所以直接打就行。感觉部分源码和MyDoor是一样的,只是我尝试用伪协议读取index.php的时候没回显,所以猜测应该就是用了include来读取文件。发现可以执行命令,因为php的特性如果执行给N_S.S传参,那么N_S.S在后端会被规范成N_S_S。所以使用N[S.S来使后端得到的参数为N_S.S(具体原因自己去搜吧)之前的字符串的命令,并且是对你上传的文件进行执行的,(猜的)
2023-02-11 16:44:12
1522
1
原创 idekctf2022部分web
我爱idekctf!!!!有dockerfile真是太棒了因为实在不会前端,所以暂时只复现非xss的题目题目附件我都放在了。
2023-01-26 11:26:11
1086
原创 Try Hack Me-HackPark
把之前生成的shell.exe上传到这里,改名为Message.exe,然后再开启一个监听,就可以得到system权限的shell。我们可以生成一个反弹shell载荷,让目标主机下载下来,然后让他执行这个载荷,就可以反弹shell了。按照要求,改一下exp里的ip和port,把文件名改为PostView.ascx,然后再上传。等他执行我们上传上去的恶意Message.exe后,就可以得到system权限的shell。所以这里提权的方式是,修改系统服务对应的二进制文件,将其修改为我们的攻击载荷,即上面的。
2023-01-04 14:56:39
253
原创 CC1反序列化链
这个类是TransformedMap(上面的那个)的父类在AbstractInputCheckedMapDecorator的MapEntry静态类中的setValue()调用了} }Java的entry是一个静态内部类,实现Map.Entry< K ,V> 这个接口,通过entry类可以构成一个单向链表。这个MapEntry类继承了AbstractMapEntryDecorator,而AbstractMapEntryDecorator又实现了Map.Entry接口。
2022-11-02 16:01:29
318
原创 includer
这个题是在zedd的博客看到的题十分巧妙,所以尝试进行复现和学习具体的就看zedd师傅的博客就行了这个比赛好像是给dockerfile然后自己搭建的。
2022-10-21 17:23:21
264
原创 2021长安杯取证比赛
得到虚拟机文件,仿真(因为存在快照,所以仿真和直接用虚拟机打开是不一样的,也可以用虚拟机打开后恢复到快照)添加检材分析最近访问的文件,因为是用veracrypt加密的容器一般是.txt,所以这个应该是加密容器。登录后查看(在不知道密码的时候,也可以直接按照他的加密方式自己设置密码,直接替换数据库里对应的数据)这个是登录网站后台的,结合上面登录嫌疑服务器的ip,不是这个ip。这个是数据库所在的服务器,是和检材2的服务器配合使用的。,为嫌疑服务器,所以应该是问的这个的硬盘。
2022-10-15 20:14:38
164
原创 java序列化和反序列化
那么在对这个类的对象进行反序列化时,就不会执行原本的readObject()而是这个类中重写的readObject(),从而执行命令弹计算器。因为这个key是HashMap的键,所以我们可以找一个同样拥有hashCode()方法的类,来调用。2.在反序列化过程中,它的父类如果没有实现序列化接口,那么将需要提供无参构造函数来重新创建对象。3.入口类参数中包含可控类,该类又调用其他有危险方法的类,readObject时调用。就不会被序列化,从而在反序列化的时候就是用父类的无参构造函数来初始化父类的属性。
2022-10-12 09:49:59
494
原创 java反射
如果你知道某个类的名字,想获取到这个类,就可以使⽤ forName 来获取。对象,那么就直接拿它的 class 属性即可。可以让我们给private属性的成员赋值,一般配合。通过Class类创建对象,引入不能序列化的类。如果你已经加载了某个类,只是想获取到它的。通过invoke调用除了同名函数以外的函数。给person加一个私有方法和公有方法。反射的作用:让java具有动态性。如过上下文中存在某个类的实例。给person加一个私有成员。先创建一个person类。操作内部类和私有方法。
2022-10-12 09:49:26
158
原创 通过.frm 和.ibd 批量恢复mysql数据
其次,mysql数据库必须是按表存放数据的,默认不是,但是大家生产肯定是按分表设置的吧,如果不是,则无法这样恢复数据。然后在mysqlfrm所在的目录打开命令行,复制粘贴上面的命令到命令行执行,在sql文件夹得到.sql文件(sql文件夹要先创建好)首先找到网站源码里对数据库连接的config文件,将其参数改为我们自己建立的数据库。.ibd文件存了每个表的元数据,包括表结构的定义等。先将.frm文件的文件名提取出来,他们的文件名对应着一个数据表。然后将要恢复的数据库的.ibd文件复制到新建数据库的目录下。
2022-10-10 09:42:19
3918
11
原创 2022北京工业互联网安全大赛初赛-wakeup
这道题打的时候没做出来,赛后看了别人的wp,看到是用引用来赋值,就自己复现出来了。源码首先要先了解一点基本知识。
2022-09-28 12:59:01
1074
2
原创 [CISCN 2022 初赛]ezpentest
sql注入:盲注、`utf8mb4_bin`字符集的利用、`case when then else end` 的使用php混淆解密:phpjiami混淆php反序列化:原生类、`spl_autoload_register`函数、GC垃圾回收机制的利用
2022-07-25 23:01:52
1139
原创 php 同时符合:全不等于和等于
$num=$_GET[1];if(is_numeric($num) and $num!=='818' and trim($num)!=='818'){ if($num=='818'){ echo $flag; }else{ echo "hacker!!"; }绕过方法:$num=%0c818原理:1.is_numeric()函数在前面前面加上换行、空格、制表符也会返回true2.$num!=='818'用的是强比较,不会进行.
2022-05-24 16:05:22
95
原创 ctfshow web118
第一次见这种方法进入靶场查看源码知道了我们是往code传参,然后system执行代码但是我在执行一些代码的时候,并不会回显,应该是被禁了。这里使用了linux系统变量构成命令来执行的方法我们要构造nl命令来查看flag看题目给的hint貌似是想说这个系统变量${PATH}只有bin这一个文件夹假如${PATH} 为abcdef那么${PATH:3} def${PATH:~0} f${PATH:~A} f //A是字符串转换为数字为0所
2022-05-19 20:28:49
427
原创 MSSQL-反弹注入(zkaq靶场)
MSSQL就是sql server 他跟mysql进行注入的方式有所不同这里写两种方法1.联合查询注入首先mssql使用联合查询时,是不能用select 1,2,3这样填充的,必须要和表中的数据类型一样,但是可以使用null来填充首先来猜字段order by 3时正确,order by 4时错误所以字段数为3然后进行猜数据类型。先?id=1’ union all select NULL,NULL,NULL – qwe回显正常挨个测试数据类型?id=1’ union all sele
2022-04-29 16:26:10
3337
原创 __wakeup()绕过
__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数如xctf-unserialize3只要序列化的中的成员数大于实际成员数,即可绕过如<?phpclass xctf{ public $flag = '111'; public function __wakeup() { exit('bad requests'); }} $a=new xctf();var_dump(seri
2022-04-23 17:58:07
6590
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人