- 博客(188)
- 收藏
- 关注
原创 digitalworld.local: FALL靶场
./../../../etc/passwd # 需要回溯 4 层到根目录,再进入 /etc/passwd。# 生成 1-10 个 ../ 进行测试(FUZZ 替换为不同数量的 ../)/var/www/html/test.php # 当前文件路径。提示GET请求参数有问题,需要构造请求参数。/var/www/html/ → 需要 3 个 ../ 到根目录。/opt/app/web/ → 需要 3 个 ../ 到根目录。,位于系统的根目录下,你需要从当前路径回溯到根目录,再进入。
2025-05-21 22:27:46
543
原创 digitalworld.local: VENGEANCE靶场
6,使用获得账户和密码信息:qinyi/giovanni_130R_Suzuka,进行ssh登录,成功获得shell权限。4,起手先访问一下80端口存在的http服务,直接使用IP访问缓慢,需要修改host文件添加一条域名解析。SSL 证书有效期:2021-02-14 至 2022-02-14。支持密钥类型:RSA/ECDSA/ED25519。2,攻击机上做namp局域网扫描发现靶机。支持协议:h2/http1.1。3,对靶机进行端口服务探测。加密的IMAP协议(可能)加密的POP3协议(可能)
2025-05-21 20:50:44
324
原创 Venom: 1靶场
然后信息收集一下,可以查看执行过的系统命令。得到用户名hostinger密码是hostinger,尝试登录ftp服务器。尝试登录一下,账户密码:dora /E7r9t8@Q#h%Hy+M1234。存在21,22,80,443,7070,8084端口开放着服务,访问之。12,切换至nathan用户试试,密码信息收集的时候就已经知道了。7,然后需要在hosts 文件中添加 venom.box,访问。find命令存在suid权限,属主是root用户,尝试提权。6,接着信息收集,使用enum4linux进行扫描。
2025-05-21 19:48:10
897
原创 Secarmy Village: Grayhat Conference靶场
16,只要local_10==0xcafebabe即可获得root shell,所以我们要用值覆盖long这个变量,先通过靶机用socat命令开启8000端口监听。通过key.txt里的x,十进制为120,对于每个字节,我们执行xor并将得到的结果通过函数chr来转换成字符从而形成字符串。请逆向该文件并获取第四个用户的凭据。7,1337.txt提示要通过nc连接靶机的1337端口,我们可以使用该命令来连接,连接后需要token。接着在kali编写py脚本,以相反的顺序发送所需的值,这里借用国外wp的脚本。
2025-05-20 22:29:09
459
原创 Glasgow Smile: 2靶场渗透
扫描到一个joke.sh,打开后发现一行没有注释的命令,这条命令是get一个账号密码登陆一个地址。5,不知道登录账户和密码,把自动化脚本仔细阅读,猜测该站点可能存在pcap数据包文件,进一步扫描。10,解密得到密码UFVE36GvUmK4TcZCxBh8vUEWuYekCY,尝试登录bane。8,使用常用的socat工具实现tcp端口转发,进一步在外部机器可以访问,方便寻找信息。sudo -l发现可以使用carnage用户权限执行/bin/make命令。12,尝试提权,确定这个漏洞利用文件的权限。
2025-05-20 22:26:29
784
原创 symfonos: 2靶场
sessions 将sessions 会话升级为一个meterpreter会话 查看sessions 会话。hydra -L users.txt -P passwords.txt ssh://目标IP。发现网站使用的是libreNMS 系统,使用msf 查看一下该系统是否存在漏洞。sudo -l发现可以使用sudo以root权限执行mysql命令,尝试提权。信息收集得到一个log.txt。4,分析ftp服务器暴露出来的漏洞,尝试匿名登录访问,失败。6,成功登录进去,信息收集一下,查看网络相关信息。
2025-05-18 23:18:55
887
原创 symfonos: 1靶场
8,发现该程序调用了curl,那么我们可以建一个假的curl,追加/tmp到环境变量开头,这样系统调用curl的时候就可以执行假的curl,进而达到提权效果。包含成功,现在可以使用telnet向helios用户发送植入了一句话木马的文件,然后再利用LFI给WEB网站构造RCE漏洞。网页内容未知,可能存在目录遍历、敏感文件或Web漏洞(如文件包含)。存在文件包含漏洞,将40290.txt下载到本地,查看漏洞描述。参数指定任意文件路径,服务器未校验输入,直接包含该文件。
2025-05-18 23:18:24
870
原创 digitalworld.local: DEVELOPMENT靶场
patrick,密码是P@ssw0rd25(原来是因为禁止远程登录这一个ssh用户)5,对网站存在的漏洞进行挖掘利用。首先弱密码尝试一下登录,跳转到一个会报错的页面。6,然后ssh登录,密码12345678900987654321。原来存在一个CVE漏洞,尝试阅读exp技术文件。2,攻击机上做namp局域网扫描发现靶机。发现当前文件夹存在几个txt文件,查看之。4,访问8080端口存在的http服务。查看页面源代码发现提示,访问一下。信息收集一下,发现使用的命令有限。7,信息收集,查看怎么提权。
2025-05-15 23:38:05
1116
原创 W1R3S: 1.0.1靶场
成功找到了密码的hash结果,再shadow文件中,有三个账号有密码,分别是root,www-data和w1r3s。Cuppa CMS 是一款开源的内容管理系统(CMS),旨在为用户提供简单易用的网站创建和管理功能。:当前版本无已知严重漏洞(CVE-2011-2523后门漏洞仅影响2.3.4)。:无已知高危漏洞(如CVE-2016-6210用户枚举需特定条件)。若存在Web应用(如CMS),可能存在SQL注入、文件上传等漏洞。从FTP/Web文件中查找数据库配置(用户/密码)。
2025-05-15 21:23:44
1139
原创 The Ether: EvilScience (v1.0.1)靶场
能够文件包含到ssh日志文件,尝试使用一句话木马污染ssh日志文件,再getshell漏洞利用。6,发现蚁剑连不上,和这个页面会302跳转有关系。5,使用恶意用户名登录ssh,这个一句话木马的用户名就会被记录到日志文件,实现文件污染。分析中国读取日志文件的python脚本存在命令执行漏洞,以root权限执行系统命令。没有什么用处,在浏览网页的过程中发现存在文件包含功能,疑似存在文件包含漏洞。需要进行模糊测试从而找到哪些文件是能够被文件包含的。4,使用漏洞扫描工具进行扫描。3,对靶机进行端口服务探测。
2025-05-15 00:02:46
687
原创 Lord Of The Root: 1.0.1通关
(需要使用powershell脚本在window上面敲击一下1,2,3端口,否则无法正常访问1337端口的web服务)没有明显的特征,因为是一个登录框,尝试结合burpsuite手工注入验证有无sql注入。$ports = @(1, 2, 3) # 修改为猜测的端口序列。这些文件非常规系统文件,可能是靶场故意设置的提权点。发现只有22端口开放了ssh服务,那就只能访问看看。目标服务器可能隐藏了其他服务的端口,需通过预定义的。4,然后再访问1337端口的http服务。还是直接偷懒使用sqlmap扫描一下。
2025-05-14 21:15:24
695
原创 WEB攻防-PHP漏洞解析
字符串逃逸与序列化篡改:通过操纵序列化字符串长度实现属性覆盖,防御需结合签名校验与输入过滤。会话管理漏洞:Session Fixation和劫持可通过会话重置与强随机数防御,文件上传竞争需原子化操作和临时目录隔离。
2025-05-14 10:10:15
1053
原创 SQLi-Labs 第21-24关
二次注入是指攻击者通过合法操作(如注册、评论)将恶意数据存入数据库后,这些数据在后续的另一个独立操作中被读取并拼接到SQL查询中,从而触发注入漏洞。2,那么这个网站的漏洞利用方式也是和Less-20关一样的,只是攻击语句要先base64编码,再URL编码(闭合方式需要加上一个括号)存储型注入是指恶意数据被持久化到数据库后,在应用程序读取并使用这些数据时触发的注入攻击,通常影响所有访问相关数据的用户。:攻击者提交恶意数据(如含SQL片段的用户名),数据经转义后存入数据库。
2025-05-13 09:42:30
619
原创 基于HTTP头部字段的SQL注入:SQLi-labs第17-20关
1,源代码对uname和passwd进行了 check_input()函数的处理,所以我们在输入uname和passwd上进行注入是不行的。当应用程序未对User-Agent头进行过滤或转义,直接将其拼接到SQL查询语句中时,攻击者可构造包含SQL代码的User-Agent值,篡改原始查询逻辑。HTTP(超文本传输协议)头部(Headers)是客户端和服务器在通信时传递的元数据,用于控制请求和响应的行为、传递附加信息或定义内容类型等。过滤 space(空格),需用 /**/、%0a、() 等方式绕过。
2025-05-12 20:04:42
911
原创 lampiao靶场渗透
OpenSSH 6.6.1 存在多个历史漏洞(如CVE-2014-2653、CVE-2016-0777),需确认是否已修复。访问文件/CHANGELOG.txt,发现是Drupal为框架的网站 ,版本为7.54。网站是drupal框架搭建的,惯用套路就是查看数据库配置文件,拿到数据库登录密码。: Nmap未识别具体服务,但返回ASCII艺术文本,可能为自定义Web应用。标题为“Lampião”,可能为定制化Drupal站点。尝试登录tiago用户,发现登录成功,获取tiago权限。
2025-05-11 22:37:42
885
原创 sunset:Solstice靶场
检查CVE-2019-15846(Exim 4.92.1以下远程代码执行),但需确认版本是否受影响。检查版本是否有已知漏洞(如CVE-2021-41617),但该版本较新,可能已修复。测试CVE-2017-7494(Samba远程代码执行),但需配置允许写入共享。漏洞利用成功,成功执行了系统命令,接下来构造命令反弹shell(需要URL编码)旧版本,可能存在缓冲区溢出漏洞(如CVE-2010-4221)。若可写,可上传反向Shell或测试文件。检查PHP版本漏洞(7.3.14),如反序列化、文件包含(
2025-05-11 20:46:31
1178
原创 PHP会话技术
要素关键配置项典型值示例生命周期expires作用路径path/api跨域能力domainsamesiteLax数据安全securehttponlytruetrue。
2025-05-09 23:50:22
1228
原创 djinn: 3靶场渗透
10,根据这两个python程序的源码,在/tmp下新建一个文件,文件名字为29-06-2020.config.json,内容如下,本地服务器的authorized_keys文件的内容是使用ssh-keygen生成的id_rsa.pub文件内容。12,因为jason用户允许在密码验证后使用sudo命令以root权限执行apt-get命令,而密码是我设置的。发现一个jason用户,但是这个用户并不存在,但是我们是可以新建这个用户,盗用它的sudo操作。漏洞利用没有成功,可能需要手动测试(在31337端口上)
2025-05-09 23:46:08
1153
原创 djinn: 2靶场渗透
12,所以就可以进入到家目录,发现best/admin/ever路径,进入到里面,将反弹shell一句话写入到clean.sh,本地监听,稍等一会(定时任务是每三分钟执行一次)因为cat读取的是/etc/passwd,验证触发成功,尝试使用拼接符使靶机执行系统命令。及其衍生工具(如 KeePassXC、KeeWeb 等)使用的数据库文件格式,专门用于安全存储和管理用户的敏感信息。验证存在远程命令执行漏洞,绕过方式存在,执行这个程序的用户是ugtan,可以命令执行以横向移动到这个用户。
2025-05-08 14:21:12
338
原创 Loly: 1靶场渗透
信息收集一下,一般的套路就是阅读mysql数据库配置文件,获取数据库账户密码。然后登录数据库,获取普通用户/超级用户泄露的账号密码。11,在kali使用python开启监听,然后靶机使用wget下载即可。然后看到文件上传的位置,由此进行一个访问触发反弹shell。根据上面,测试其他的几种,也就是js,html,zip。4,扫描出来了wordpress的网页,访问看看。6,然后再尝试使用wpscan进行扫描爆破用户名。先上传zip文件,访问的时候以php后缀名访问。7,使用账户密码进行登录,登录成功。
2025-05-07 19:52:24
897
原创 sunset: dawn靶场渗透
7,两个文件中挑一个文件进行利用,在本地新建该文件,写入反弹shell一句话,本地开启监听,smb连接,将该文件上传到靶机。命令会直接调用操作系统的 Shell,而由于当前进程权限为 root,因此新启动的 Shell 也会继承 root 权限。:利用Apache路径遍历(CVE-2021-41773)或Web应用漏洞(如文件上传)。暴露了一些日志文件的路径,前三个没有访问的权限,第四个泄露了一些信息。(或管理员权限)启动 MySQL 客户端,具体权限取决于。:Web服务用户执行,可能通过Web漏洞触发。
2025-05-07 17:58:47
1035
原创 HA: Natraj靶场渗透测试
9,需要换一种修改方法,那就是先复制靶场的/etc/apache2/apache2.conf文件到攻击机,然后修改对应内容,然后再把修改之后的文件上传到靶场,然后覆盖原来的/etc/apache2/apache2.conf。find / -writable -type f 2>/dev/null | grep -v "/proc/" |xargs ls -al |grep root //查找写权限文件。2>/dev/null //查找777文件。
2025-05-06 21:47:48
1139
原创 BBS (cute): 1.0.2靶场渗透
上传表单处理代码在 core/modules/preview.php 和 core/core.php 中有关头像处理逻辑,未对上传的文件扩展名和 MIME 类型做有效验证。.jpg 等变种)。部分版本中对头像上传支持的文件扩展名没有严格过滤,甚至允许上传 .php 或者通过使用 filename.php.jpg 形式上传,服务器端未对 MIME 类型或实际文件内容做校验。目标主机有5个开放端口22(SSH),80(HTTP),88(HTTP),110(PoP3),995(SSL PoP3)。
2025-05-06 18:08:18
1111
原创 Hacker kid: 1.0.1靶场渗透测试
TornadoServer 6.1 的 SSTI 漏洞本质是开发者未能正确处理用户输入,结合模板引擎的动态渲染特性,导致攻击者可注入恶意代码。Tornado 框架的 SSTI(服务端模板注入)漏洞主要源于开发者对用户输入处理不当,将未经验证或过滤的用户输入直接嵌入模板渲染函数中。再用php://协议的base64流查看一下saket用户的环境变量(file://协议不能正常回显)靶场提示你去尝试?是一种对传统 root 权限的细粒度拆分机制,允许将原本只有超级用户(root)才能执行的操作,划分为多个。
2025-05-06 16:17:29
728
原创 upload-labs PASS 1-5通关
对于上传文件的情况,服务端可能会根据文件的扩展名来进一步验证 MIME 类型,例如确认上传的文件确实是 .jpg 扩展名的图片,且 MIME 类型为 image/jpeg。第一关的防御机制在前端(客户端),操作是javascript过滤:function checkFile(),定义了一个检查文件后缀名的函数,只允许图片类型文件上传。2,在某些特定环境中某些特殊后缀仍会被当作php文件解析 php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml。
2025-04-29 18:58:46
1207
原创 第十四章-PHP与HTTP协议
HTTP(yperextransferrotocol,超文本传输协议)是互联网上应用最广泛的协议之一,用于客户端(如浏览器)与服务器之间的通信。它是 Web 技术的基石,理解 HTTP 协议是开发 Web 应用的核心基础。
2025-04-28 21:21:11
1182
原创 第十三章-PHP MySQL扩展
方面要点查询数据query 或 prepare + get_result查询多行查询单行fetch_assoc 直接用分页查询两次查询:数据和总数分开防SQL注入预处理 + bind_param动态条件组装 WHERE 和 参数,分离绑定稳定性保障任何 query 或 prepare 后必须判断成功字符集设置避免乱码。
2025-04-28 21:20:31
1198
原创 第十二章-PHP文件上传
当表单设置时,浏览器会将表单数据编码为多部分(multipart)格式。Boundary分隔符:随机生成的字符串(如),用于分隔表单字段和文件内容。请求头示例:请求体示例:2. 数据分块传输大文件上传时,HTTP协议支持分块传输(),但PHP会自动重组完整数据。二、PHP服务端处理机制1. 接收与解析数据流处理:PHP通过(Server API)接收原始HTTP请求数据。临时文件生成:PHP将上传的文件内容写入临时目录(),默认路径由的指定。临时文件名随机生成(如),与原
2025-04-27 21:57:06
1074
原创 第十一章-PHP表单传值
通过HTML的标签定义表单,关键属性包括:2. PHP接收表单数据的超全局变量PHP通过预定义超全局变量获取表单数据:3. GET vs POST的区别3.1 底层原理GET请求:数据通过URL参数传输,如 。浏览器历史记录和服务器日志会保存完整URL。POST请求:数据在HTTP请求体中传输,不可见。适用于敏感操作(如修改数据库)。3.2 使用场景扩展GET的典型场景:搜索引擎关键词传递:。分页导航:。POST的典型场景:用户注册、登录、支付操
2025-04-27 21:56:31
723
原创 Pikachu靶场-PHP反序列化漏洞
函数时,未对输入进行严格校验,导致攻击者构造恶意序列化字符串触发类中的魔术方法(Magic Methods),从而执行任意代码或进行危险操作。// 输出:O:7:"Example":1:{s:12:"Examplecmd";若反序列化的数据来源不可控(如用户输入、Cookie、数据库字段),攻击者可注入恶意对象。,且系统中使用了不安全的PHP魔法方法,容易造成安全漏洞(如代码执行、XSS等)。:攻击者可构造恶意序列化数据,触发类属性覆盖或魔术方法执行。
2025-04-27 16:47:48
1087
原创 pikachu靶场-敏感信息泄露
泄露个人身份信息(如姓名、身份证号、手机号)可被用于诈骗、冒名开户等犯罪活动。使用存在已知漏洞的库(如Log4j 2.x的CVE-2021-44228)。利用配置文件中的API密钥,访问云服务资源(如AWS S3存储桶)。:暴露用户账号密码、邮箱等凭证,导致社交媒体、银行账户被非法登录。:私密聊天记录、邮件内容外泄,可能引发信任危机或法律纠纷。未实施WAF(Web应用防火墙)或IDS(入侵检测系统)。通过泄露的数据库密码,攻击内网其他系统。记录用户密码、信用卡号等(如写入。),暴露文件路径或SQL语句。
2025-04-27 15:55:42
345
原创 Pikachu靶场-目录遍历
目录遍历漏洞(Directory Traversal)是一种常见的安全漏洞,攻击者通过操纵文件路径参数访问服务器上的受限文件或目录。直接包含用户可控文件,若文件内容包含 PHP 代码,可能导致代码执行(需结合文件上传等其他漏洞)。:应用程序未对用户输入的文件路径进行严格验证,导致攻击者可构造特殊路径跳出预期目录。解释器解析的文件,无法通过泄露的源代码进行审计而后制定攻击形式。同级目录下的敏感文件名,仍可能访问非预期文件。参数进行过滤,直接拼接进文件路径并加载文件。:仅允许指定字符(如字母、数字、短横线)。
2025-04-27 15:27:32
484
原创 盲注命令执行(Blind Command Execution)
盲命令执行的本质在于攻击者无法直接看到执行结果(如标准输出),因此需要依赖间接反馈机制(Side-Channel Techniques)来验证命令是否成功执行。攻击者通过这种漏洞,注入恶意命令,但因为系统未返回执行结果,攻击者只能通过旁路手段(如延迟、外部请求等)来间接推断命令是否成功。:通过条件语句来判断系统中某些特定条件是否成立,从而引发页面的不同响应,攻击者根据响应差异来判断命令执行结果。:通过注入引发系统延迟的命令,攻击者可以根据响应时间的变化来判断命令是否执行成功。
2025-04-25 14:18:02
899
原创 Pikachu靶场-File Inclusion
文件包含漏洞(File Inclusion Vulnerability)是Web应用程序中的一种常见安全漏洞,通常由于开发者未对用户输入进行严格过滤,导致攻击者能够包含并执行恶意文件。,攻击者准备恶意文件,在攻击机(192.168.23.182)上创建包含恶意代码的文本文件(如。攻击者通过篡改参数,包含服务器本地的敏感文件(如配置文件、日志文件等)。1,观察网站,提供了一个选择框,运行用户根据名字选择提交查询。1,观察网站,提供了一个选择框,运行用户根据名字选择提交查询。
2025-04-24 19:36:54
869
原创 100.HTB-Meow
在第一层,您将获得网络安全渗透测试领域的基本技能。您将首先学习如何匿名连接到各种服务,例如 FTP、SMB、Telnet、Rsync 和 RDP。接下来,您将发现 Nmap 的强大功能,Nmap 是一个有价值的工具,用于识别目标系统上的开放端口,允许您评估其漏洞。最后,您将探索连接到 MongoDB 服务器,为您的渗透测试知识增加一个有价值的层次。这一层将为您进入网络安全领域奠定坚实的基础。账户密码都是root,然后直接在根目录下面得到flag。2,根据提示尝试连接23端口的telnet服务。
2025-04-24 17:08:14
251
原创 Pikachu靶场-RCE漏洞
防御需结合输入过滤、最小权限、代码审计等多层机制,同时及时更新依赖库和框架补丁。即使代码执行失败,攻击者仍可能通过盲注(Blind RCE)探测漏洞。:利用Struts2、Spring、Fastjson等框架的漏洞(如CVE-2017-5638)。:应用程序未对用户输入进行严格过滤,直接将输入内容拼接至系统命令、代码执行函数或反序列化过程中。:污染开源库(如PyPI、npm包)间接引入RCE。:反序列化未经验证的数据触发恶意代码(如Java的。:通过未授权接口执行系统命令(如路由器固件漏洞)。
2025-04-22 23:20:17
981
原创 ThinkPHP5 的 SQL 注入漏洞
也就是:$_GET['ids'] 是一个数组,key 为 '0,updatexml(0,concat(0xa,user()),0)'这是一个报错注入语句,updatexml() 是 MySQL 中常见的报错函数,用于将数据输出到错误信息中。攻击者可利用漏洞构造恶意 SQL 语句,绕过预编译机制,直接操作数据库,导致数据泄露、篡改甚至服务器沦陷。时,预编译过程会直接解析 SQL 语句中的动态内容,导致攻击者可通过报错注入(如。)是 ThinkPHP5 框架中一系列因设计缺陷导致的安全问题,主要影响早期版本。
2025-04-21 19:40:26
730
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人