- 博客(228)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 学习随笔--hash比较缺陷、bool欺骗、数字转换欺骗、生日攻击
intval转换整数intval(2)=int(2)、intval(3abc)=int(3)、intval('abc')=int(0)md5(数组1)比较md5(数组2),两者相等。json_decode(,true)在后面有true这个参数时解码后会变成关联数组。0.9999999999999999==1返回结果为true。==在比较时不会考虑数字类型,只比较值,他会进行一个强转。["user"]=='admin'比较后结果是true。===比较时值和数字类型都会比较。所以0e1234=0e23123。
2025-07-30 13:43:27
195
原创 DC系列靶场渗透--DC-3
(注:若出现这个问题,IDE 设备(磁盘/CD-ROM)配置不正确。请使用配置编辑器将磁盘/CD-ROM 从“ide1:1”移到“ide1:0”。首先创建文件,将刚刚sql注入的内容添加进去,然后john解码,再使用--show查看解密后的内容。在index.php中添加webshell,其他路径我没找到,所以直接在这里添加webshell。我这里尝试了几个漏洞了利用,都没有成功,但是看其他人的文章说是。这个可以使用,但是我利用这个漏洞的时候会产生报错。在readme中找到了版本。暂且g了,等改天再试试。
2025-01-11 22:57:18
691
原创 DC-2 靶场渗透
使用7744这个端口尝试ssh登陆,使用jerry没有成功,使用tom成功。(这里我们可以总结一下,知道对方的用户名和密码,并且有不认识的端口,我们可以尝试一下ssh)打开的时候注意将网络类型改为和攻击机一致,以便我们后续操作,我这里使用的是kali攻击机,使用的网络连接类型是NAT所以我这里改为NAT。百度搜索会有wordpress用户名枚举的漏洞,有专门的工具利用这个漏洞,这个工具就是wpscan。修改本机的hosts,文件,如果是在kali中该文件位置在/etc/hosts中。
2025-01-03 22:42:25
628
原创 FristiLeaks_1.3靶场渗透
这里的命令我们看eezeepz里面的文件夹里面有命令文件,所以我们猜测admin里面有命令执行的文件。攻击机也设置成桥接模式,这个网卡要与virtualbox相同(这里攻击机用的是kali)打开选择桥接模式,并查看桥接的网卡是那张,这里所桥接的网卡如下图所示。我们进入后查看,又发现了notes.txt文件,我们再i看看。在notes.txt中有线索让我们去家目录下查看一下。但是cd ~的时候都是回到/var/www下。下载压缩包,后使用virtualbox打开。但是我这里尝试了几个exp都没有成功。
2025-01-01 23:43:02
547
原创 kioptrix靶场--level5
这条命令意思就是,其他人访问你的6677端口就会下载28718.c这个文件(我这里尝试28718不行换了26368.c可以)这是一个目录遍历漏洞,我们可以尝试获取用户名和密码,获取用户名后,需要进行下一个操作。然后我们需要将原来的网卡删除,再重新添加一个网卡才可以。扫描一下存活主机,也获取一下就是靶机的IP。在传递过程中靶机没有wget命令,使用nc。我们扫描一下80的目录,这里什么都没有。搜索操作系统的提权漏洞,尝试提权。回头看,这里用的是如下操作系统。扫出来的80端口进去看一看。
2024-12-31 22:15:11
951
原创 kioptrix靶场渗透--level4
尝试使用上面找到的用户进行登陆,显示密码或用户名错误,发现报错与使用admin和root用户时报错不同,合理猜测无admin和root用户。我们可以看到可以使用的命令只有上面显示的那么多,推测他是rbash,我们百度逃逸方式。这里由一个登陆框,首先尝试了admin和root两个用户名和万能密码,但是报错。然后尝试使用john和万能密码,进入后显示出了用户名和正确密码。扫描出来了一个sql文件,打开看一下,里面有用户名和密码。搭建的时候需要自己创建vmx文件,文件如下。但是这个镜像缺少了vmx文件。
2024-12-30 22:44:56
455
原创 kioptrix3
解压缩后出现了一个readme,我们打开后发现要我们在攻击机上添加一个host记录,一会再进行操作。查看需要配置的选项,需要配置的选项有rhosts 和uri(uri是显示登陆页面的地址)执行文件后生成了firefart的用户,且密码是你刚刚设置的密码,这里就是123456。打开kali攻击机的/etc/hosts文件,添加对应hosts记录,如下图所示。run运行,我这里运行失败了,在github上找一找不依赖于msf的脚本。我们在点击服务的登陆功能点是弹回来了这个,我们得知了靶机的cms。
2024-12-22 23:33:37
773
原创 Kioptrix靶场渗透--level1.1
首先查看kali的网段以便得知靶机网段,kali的网段是11.0/24,我们靶机使用的网络模式是nat说明靶机的网段就是11.0/24。脚本靶机中下载,这里如果你直接下载的话发现是下载不了的因为没有权限,所以我们切换到tmp目录,切换后下载成功。尝试 | 执行其他命令,发现可以执行命令(这里;在exploit中搜索,或者kali中搜索。我们查看一下这个脚本,这里有编译命令。看到了80端口,去看一下,有登陆框。在命令执行的地方反弹shell。里面有命令,编译并执行。执行的命令也在文档中。
2024-12-18 23:36:46
993
原创 Kioptrix靶场渗透--level1
这里使用0x6a版本没有整下来,所以使用0x6b版本,成功获取shell,但是这里的权限不是root(这个脚本跑下来应该是root权限)。服务的详细信息给你列出来了,我们现在的思路就是根据nmap给你列出来的版本然后搜索是否有可以利用的点。这里选择和你靶机上面相应的版本尝试渗透,这里选择的是上面图片中的第4个,同时我们这里找到了对应的路径。我这里刚刚死机了,所以重开了一下,由于刚刚编译了欠缺的脚本文件,所以我们其实已经获取了root权限。运行脚本,这里会弹出一些使用说明,就是让你选择对应的版本。
2024-12-13 00:22:07
977
原创 记录一写东西--逻辑漏洞
但是我们将手机注册成功时,服务器返回给我们的数据包进行抓取,例如本来注册成功的时返回的是true,注册失败是返回的是false。我们将注册失败时返回的false改为true,并且将其中的注册信息进行修改,如用户名的修改,密码的修改,这样可以达到覆盖注册的目的。当有一些功能点的判断仅限制于前端,这样就有可能通过修改返回包达成一些自己的目的,如将返回包的状态修改为200,可以达成修改密码成功,支付成功,注册成功等。这个漏洞的危害,就是如果我们可以获取到对方的手机号时,可以尝试修改对方账户信息。
2024-12-08 23:10:06
341
原创 目录遍历漏洞-CVE-2021-41773
目录遍历漏洞(也称为路径遍历漏洞)是一种由于Web服务器或Web应用程序对用户输入的文件名称的安全性验证不足而导致的安全漏洞。
2024-11-24 22:25:52
642
原创 记录一次漏洞复现--JumpServer堡垒机漏洞CVE-2023-42820
Jumpserver是全球首款完全开源的堡垒机,它主要用于对运维人员的操作行为进行管控、审计,并有效管理服务器、网络设备等资产。
2024-11-04 23:35:56
1546
1
原创 记录一次学习--委派攻击学习
总结一下就是用户 A 去访问服务B,服务 B 的服务账户开启了非约束委派,那么当用户 A 访问服务 B 的时候会将用户 A 的 TGT 发送给服务 B 并保存进内存,服务 B 能够利用用户 A 的身份去访问用户 A 能够访问的任意服务。如果我们可以攻破配置约束委派的服务账户(获取密码/Hash)(这个账户就是上面过程中的服务1账户),我们就可以模拟域内任意用户(如 domain\administrator) 并代表其获得对已配置服务的访问权限(获取 TGS 票据)。这里就可尝试强制让域控来连接你的机器。
2024-09-26 19:25:40
841
原创 记录一次学习--kerberos协议学习以及一些攻击手法
AS_REQ:客户端向KDC(密钥分发中心)发起AE_REQ请求,请求的凭据是用自己hash加密的时间戳。AS_REP:KDC使用客户端的密钥进行解密,解密成功且时间戳并没有过期。则发放TGT票据(使用krbtgt的hash进行加密,krbtgt是用户分发中心的账户),TGT里面有PAC,PAC里面有客户端的sid(域管理员500,可以类比llinux中suid),和客户端所在组。然后如果TGT中PAC里面的客户端权限够高,就可以请求所有服务。这个TGT就是黄金票据。
2024-09-24 16:36:58
1268
原创 防止暴力破解
你可以使用awk去查讯ssh的登陆日志,查看它登陆失败的次数,设定一个值如果超过这个值就将这个IP禁掉。你可以使用shell+iptables即可实现对暴力破解的防御。我们不用暴力破解可以尝试一下密码喷撒用一个密码去测试多个用户名。
2024-09-08 23:30:59
194
原创 记一次学习--内网穿透
设置代理,这里的代理就是你在proxychain中设置的代理,你选的那个版本就要那个版本,刚刚在代理中选的是sock 4a所以这里就选4a。现在创建的代理是kali的1080端口,这个就相当于我们只要连接本地的1080端口就连接到了msf上面,然后就可以走到116的那个网段。首先查看网站,这里是thinkphp5.0的版本,说不定会有对应的漏洞。添加路由,这里由于现在的会话连接的是ubuntu,所以现在是可以通过会话建立到达116的路由的。r=admin,进入了cms的后台,在这里可以尝试以下密码爆破。
2024-09-08 21:47:50
1919
2
原创 记一次学习--webshell绕过(利用清洗函数)
对于shuffle函数来说,他的随机是伪随机,我们可以通过对其代码的分析然后预测数组中元素打乱的规律。对于sheuffle来说底层调用的是mt_rand来生成随机值。然后对于mt_rand来说当他的种子定好他的随机值就不会发生改变了。通过 shuffle 函数打乱只有两个元素的数组。这里抓包可以正常执行。
2024-09-01 21:45:15
307
原创 记录一些信息收集方法
搜索引擎fofa或者钟馗之眼等东西,然后这个里面的东西可以通过http请求头都可以看见,看一下他的返回值,可以通过robots.txt来看框架等等,不过估计用不到,因为这是以前的习惯。onefor.all指纹收集工具.(工具已经集成了上面说的一些方法)指纹收集网上有一些工具可以去用。tidefinger工具。百度谷歌关键词搜索(已经很久远了,基本上起不到作用)子域名挖掘机也是工具这个工具有一个很大的字典也不错。firefox也有一款指纹识别工具。企查查,天眼查查内部资产。
2024-09-01 00:59:49
259
原创 记一次学习--webshell防守理念
source 检测输入源,输入源大部分是用户输入。一些像$_GET或者$_POST等污点追踪一直会追,只有当你程序报错或者经过了一个清洗函数污点追踪才不会追。
2024-09-01 00:58:58
421
原创 记一次学习--webshell绕过
这道题目要读取flag,且当前目录下的文件数目要大于三才可以读取,然后这里的思路就是创建文件。上面题目,下面的call_user_func有一个可变长参数,这个可变长参数是$parameters然后上面有一个if语句判断$parameters是否有action,如果有就删除掉,然后再action参数传system,在parameters传你要执行的命令。我们这里也要想办法利用A中的f,这个就要利用ob_start,ob_start调用例子,这里和call_user_func调用差不多。
2024-08-31 21:48:53
1135
原创 Docker php文件本地包含--pearcmd.php利用
docker包含日志文件,基本不可能,就以我自身的一个项目来说,在尝试包含日志文件时发现,客户将他的日志文件从定向到了设备文件,而php没有包含设备文件的权限然后我们就想如何包含,发现客户的文件目录里有一个phpinfo(),然后可以使用phpinfo实现临时文件的包含。但是这个包含的成功率经测试不是很高。所以我们这里再说一个新招。
2024-08-30 16:23:36
1271
原创 windows上传文件精准包含技巧
需要构造这里,构造这里的原因是要匹配临时文件,这里构造这个<<<呢,在Windows中PHP在读取Windows文件时,会使用到FindFirstFileExW这个Win32 API来查找文件,而这个API是支持使用通配符的即 <,匹配0个以上的字符 DOS_QM:即>,匹配1个字符 DOS_DOT:即",匹配点号,下面就是匹配<<<<匹配的最终结果就是临时文件。你上传文件的时候会生成临时文件,我们需要抓取这个临时文件,首先抓包,然后构造payload。文件包含,代码成功执行同事文件成功上传。
2024-08-29 12:58:24
458
原创 内网渗透小知识
然后再里面添加内网端口。在设置浏览器的代理,就可以通过内网访问内网资源。然后如果在内网扫描不了IP的话使用上面的代理工具也可以扫描。然后在浏览器中设置,设置socks后可以访问很多。下载proxychains这个工具。如果映射http的话只可以访问一个。在下面这里进行代理配置。
2024-08-28 21:56:45
212
原创 文件包含所用协议实战
这里是要想办法让程序走到if条件语句里面,也就是要读一个a变量并且使用file_get_contents读这个a然后a里面的内容是I want flag。这里过滤了input和filter和data,但是这里有一个上传文件,并且可以上传zip文件。这里过滤了很多协议,但是没有过滤php://filter所以直接读,由于读出来的是base64编码所以要解码。然后读取文件,这里系统是windows使用type来进行读取,成功读出flag。这里过滤了一些协议,但是没有过滤php://input这样的一个协议。
2024-08-28 16:13:50
783
原创 ssrf做题随记--任务计划的写入、csrf简单知识
如何防御:在from表单下添加一个字段:token值,这个东西攻击者是伪造不了的,服务器在你第一次登陆的时候,会生成一个token,然后将这个token返回给你,然后下次你再登陆的时候携带这个token值去登陆,然后服务器会检测token的合法性。linux里面的cron中command执行的shell环境是/bin/sh,ubuntu下的/bin/sh文件是一个软连接文件,然后再ubuntu中这个软连接文件指向了dash,而我们的反弹计划反弹的是bash。centos写入任务计划是很正常的,该咋写咋写。
2024-08-28 10:12:07
545
原创 bypass disable_function绕过
在php-fpm下的php.ini配置文件中有这个么个字段disable_function,在这个字段中disable_function里面你想要禁用那个命令就把命令写在这里,上面写了system,system就被禁用了,修改完配置文件不要忘记重启服务test.php的文件内容访问test.php的没有反应,这就是system被禁止掉了,已经测试过了在项目中各种函数都可能被禁用(会有一部分项目需要的函数被放通),所以当我们拿webshell缺无法执行命令,下面我们来看一下如何绕过。
2024-08-27 15:41:11
2103
原创 ssrf漏洞之php-fpm未授权访问漏洞利用
我们先看一下web.php的请求头,发现是nginx,然后这还是一个php页面。上面是合理的猜测,当然你也可以尝试用nmap扫描一下,扫出来没有不一定真没有,有可能人家的9000端口绑定在127.0.0.1上,这样你扫描他的IP是扫不出来的。下面来看一下payload解码后的内容,就是我们php-fpm未授权访问的两个字段。首先代码中对url的输入没有一点过滤,很明显的一个ssrf漏洞。这里我们环境是有9000端口的,如果没有的可以安装一下。在你的网站目录下创建一个新的php文件,内容如下。
2024-08-26 14:52:27
391
原创 一道ssrf题目--Web-ssrfme
我们可以传webshell到服务器上,但是这个需要我们知道物理路径,这道题目物理路径我们是不知道,需要我们猜测,我们尝试一些默认路径/var/www/html、 /usr/shart/nginx/html,发现都不行。现在我们怀疑是不是权限不够的原因,权限不够那咋个办,我们再找一下在html下有没有别的文件权限是够的。我们接着尝试,我们现在发现服务器的IP是172.21.0.3这个端口,这是在内网当中,在内网当中服务器可能会很多,并且服务器IP可能是连续的,我们可以尝试一下有没有别的服务器供我们入侵。
2024-08-26 00:04:44
1890
1
原创 一道xss题目--intigriti-0422-XSS-Challenge-Write-up
当然后也有别的merge,如下图,这里有qs.settings这个属性然后就可以尝试控制decSettings,但是我们的注入点在那个上面呢,不急接着往下看。我们尝试构造一个原型对象原型对象有一个属性名为1的属性,然后temp[1]又是空,我们访问1的时候就可以取出1里面的内容。绕过的方法就看root了,root下面有很多方法,我们想办法找到decSetting.root上面的元素,如下面。在这里你输入什么接的就是什么,比如输入的是config然后接的就是qs.config,所以我们用户可控的点在这里。
2024-08-25 01:44:39
716
原创 JavaScript另外一道原型链污染例题
然后我们尝试传入一个数值(传入如下面代码),触发clone然后触发merge,尝试进行一个原型链污染,但是测试结果是无法进行污染,admin这个对象还是未定义,原因是在我们在创建字典的时候已经作为__proto__给test赋值了,所以test.__proto__中是有admin属性了。那么我们如何达到我们的目的,那就想办法让__proto__被认为是一个键名,我们可以使用下面代码,我们在下面子代码中使用JSON.parse解析代码,这样在下面代码中__proto__就会被认为是一个键名。
2024-08-23 23:46:19
515
原创 一道简单的JavaScript原型链污染例题:hackit 2018
任何对象都有prototype属性,这个属性就是实例对象的原型对象,然后原型对象上如果添加一个属性,所有实例都会共享这个属性。比如object的tostring方法。这个原型对象的属性绑定在构造函数上,且当实例对象有某个属性或方法就不会再去原型对象找这个方法或属性。然后__proto__可以指向当前对象的原型对象。我们对__proto__赋值就可以修改原型对象的值。
2024-08-20 21:14:58
917
原创 xss靶场 pwnfunction WW3
然后需要我们进入到刚刚分析的漏洞点,所以我们需要进入下图所示,但是只有当img图片加载成功才可以,所以我们需要再img传一个真值,且img标签中属性的执行是异步的所以在src加载的过程中,下面的text也会加载,然后才是onload加载,这样payload也加载到了memeGen里面。上面的例子就成了这样,其中script就逃逸出来了,然后中间的两个标签是替换后的标签,然后最上面的标签是innerHTML整出来的标签,然后第一个和第三个标签闭合了。过滤了以后再寻找新的注入点,看一下这里,漏洞点就在这里。
2024-08-18 23:58:24
317
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人