h0ld1rs的博客

原创 Go渗透测试笔记(二)---TCP，扫描器和代理

go语言学习第二天

原创 Go渗透测试笔记(一)

GO渗透测试笔记0X01 基本使用当在某些极端的情况可以使用go build -ldflags "-w -s"进行编译，从二进制文件中剥离调试信息和字符表，从而减少文件的大小，适合在某些极端的情况进行嵌入（大约可以减少 30%）创建使用不同架构上使用的二进制文件—交叉编译go doc 函数 -->可以查询有关的包，函数的使用方法文档go get ----> 很多情况下，go程序需要要引入第三方包，可以使用此命令进行导入即使你使用了 import 导入了相应的包，如

原创 ctf-hub 进阶

Bypass disable_functionLD_PRELOADLD_PRELOAD，是个环境变量，用于动态库的加载，动态库加载的优先级最高，一般情况下，其加载顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。应该比较接近windows下的DLL文件。好家伙，开局蚁剑直接连，然后进行如下操作，思路一如图，直接执行命令肯定是不可以的返回的127是什么？参考此文章，我们可以得到如下结果h

原创 简单讲解如何绕过PHP disable_function

前言在渗透测试中，有时遇到拿到webshell后无法执行命令的情况，为了成功提权，需要我们绕过disable_functiondisable_function简介disable_functions是php.ini中的一个设置选项，可以用来设置PHP环境禁止使用某些函数，通常是网站管理员为了安全起见，用来禁用某些危险的命令执行函数等。（eval并非PHP函数，放在disable_functions中是无法禁用的，若要禁用需要用到PHP的扩展Suhosin。）绕过方法1. 寻找未禁用的函数黑名单

原创 ctf-hub web进阶(JWT)

敏感信息泄露http://jwt.io使用这个网站，把token进行加载即可然后两部分拼接即可无签名none时侯，一些JWT库也支持none算法，即不使用签名算法。当alg字段为空时，后端将不执行签名验证import jwttoken = jwt.encode({ "username": "admin", "password": "admin", "role":"admin"},algorithm="none",key="")print(token)最后可以得到 e

原创 CTF-hub SSRF

CTF-hub SSRFPOST这里是对大二做题的时候，留下来的遗憾做一个弥补，学艺不精，，希望大家多学习，，进去，先找flag，url格式为http://challenge-2f0ab955ad1f379e.sandbox.ctfhub.com:10800/?url=http://127.0.0.1/flag.php这里查看页面源代码，就会发现有 debug:key点击以后发现，必须是来自127.0.0.1的才能访问题目是POST，然后做到现在给了提示key,但是尝试了一遍，发现

原创 CVE漏洞 phpmyadmin 4.81初识

文章目录CVE漏洞漏洞体现漏洞利用漏洞原理CVECVE 的英文全称是“Common Vulnerabilities &Exposures”通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的

原创 RCE漏洞之绕过

文章目录花括号斜杠空格过滤一些命令分隔符黑名单绕过拼接绕过编码绕过单引号和双引号绕过利用Shell 特殊变量绕过linux中直接查看文件内容的工具文件构造花括号{}在Linux bash中还可以使用{OS_COMMAND,ARGUMENT}来执行系统命令{cat,flag}斜杠路径 /\是在正则等语法里面，表示后面跟的字符是正常字符，不需要转义。也就意味着，我们可以在rce漏洞，过滤掉cat ls等命令时候，直接使用ca\t来实现绕过空格过滤< 、<>、%20(spac

原创 java中unexpected token

文章目录问题问题public class People { int m = 10,n; // 1 n = 200; // 2 void f(){ if(m == n) n += m; // 3 else n = n - m; // 4 }}这道题问的是，下列哪行代码有错误，一开始并没有发现问题的所在，放了编辑器里面，发现报错unexpected token，查阅资料后发现clas

原创 linux curl命令

文章目录curl介绍用法curl介绍curl 命令在 Linux 操作系统中经常来测试网络和 url 的联通性，模拟正常的网络访问。除此之外，curl 还支持包括 HTTP、HTTPS、ftp 等众多协议，还支持 POST、cookies、认证、从指定偏移处下载部分文件等功能。用法curl url(获取网址的文本信息)curl www.baidu.comcurl -i url(获取文本的头部及文本信息)curl -x proxy url(使用代理请求网页内容)curl -x 0.0.0.

原创 多次 - BugKuCTF

文章目录第一关异或注入第二关报错注入这道题有两个sql注入第一关很明显的SQL注入，加入单引号报错添加注释符--+，正常回显，注意#无正常回显，应该是被过滤了添加or 1 = 1,发现报错异或注入重点来了，异或注入，可以判断一些是否过滤掉的字符用法：：两个条件相同（同真或同假）即为假?id=1'^(length('union')!=0)--+我们已经知道id=1必然为真，那么后面为真的时候，回显将会有错误，如果后面是假，则会回显正常。当!=0回显为真，说明不等于0为假，说明

原创 web知识点记录

文章目录php之$GLOBALS本地包含通过post参数 利用php伪协议 和 类似sql注入的闭合构造eval的命令执行漏洞直接将flag.php文件读入变量hello中备份文件php之$GLOBALSGLOBALS一个包含了全部变量的全局组合数组。变量的名字就是数组的键。（即所有出现过的全局变量，都可通过GLOBALS一个包含了全部变量的全局组合数组。变量的名字就是数组的键。（即所有出现过的全局变量，都可通过GLOBALS一个包含了全部变量的全局组合数组。变量的名字就是数组的键。（即所有出现过的全局

原创 linux工具 grep和aircrack crunch的使用

文章目录grep工具密码爆破grep工具grep是一个很不错的过滤工具，在ctf中常用来从二进制文件中提取有效信息在bugctf中 **做个游戏(08067CTF)**这个题目给定了jar包用binwalk分解后得到这些东西由于名字是叫做飞机大战，所以选择打开文件夹后，对PlaneGameFrame进行一波搜索使用命令grep "flag" -r -a * 文件名-a 或 --text : 不要忽略二进制的数据-r 或 --recursive : 此参数的效果和指定"-d recurse"

原创 shell命令之 IFS(内部分隔符的用法)

文章目录介绍使用IFS的简单实例题目应用介绍Shell 脚本中有个变量叫IFS(Internal Field Seprator) ，内部域分隔符。完整定义是The shell uses the value stored in IFS, which is the space, tab, and newline characters by default, to delimit words for the read and set commands, when parsing output from com

原创 MYSQL小白速懂

文章目录mysql的下载1.正规官网途径下载2.懒人版搭建方法mysql的使用sql如何被利用mysql的下载1.正规官网途径下载从官网找到安装包，进行下载这个的好处是，自动给你安排环境变量，直接就能用，无需设置。一直点下一步即可。需要补充的东西有，他会开放端口:3306,mysql是一项服务，是计算机之间的通信交互，一项服务需要开放一个端口才能进行，一般下载会自动开放3306。所开放服务可在cmd中使用net start查看已经开放的服务在下载的时候，会有·C:\Program Files

原创 正则表达式中的特别字符

原创 XXE的搭建和通关

文章目录搭建通关 php_xxeXML声明XML DTD防御办法搭建经过半天的搜寻后，发现，使用docker搭建的情况不是很如愿，于是找到了xxe-labs的包，再本地使用phpstudy进行搭建通关 php_xxe题目的样子是这样的，这是我们抓包后的结果通过审计可以知道是post传入，根据xml的性质，我们直接构造XML声明和DTD部分，引用外部实体去尝试读取c:/windows/win.ini文件再post参数中修改username，使他指向外部实体，从而利用该漏洞以下为一些xml的固

原创 后缀名为.phps的文件

文章目录前言一、phps是什么？二、使用情场景三、其他使用场景前言遇到名为index.phps的文件，不明白 .phps代表什么意思。这里记录一下一、phps是什么？phps即为 PHP Source。PHP Source 由 The PHP Group 发布，是最通用的关联应用程序。phps文件就是php的源代码文件，通常用于提供给用户（访问者）查看php代码，因为用户无法直接通过Web浏览器看到php文件的内容，所以需要用phps文件代替。其实，只要不用php等已经在服务器中注册过的M

原创 sql注入，强网杯题目2019

文章目录题目步骤1. 先确认存在注入2.show tables3. show columns4. 更改表的字段题目步骤1. 先确认存在注入使用 1‘ 发现报错使用1'# 发现正常回显2.show tables构造payload1';show tables;#3. show columns1';show columns from words;#根据两个表的查询可以知道，查询出的结果是一个数字加一个字符串，words表结构是id和data，传入的inject参数也就是赋值给了id，

原创 java多态性，父类引用指向子类对象

要理解多态性，首先要知道什么是“向上转型”。转型是在继承的基础上而言的，继承是面向对象语言中，代码复用的一种机制，通过继承，子类可以复用父类的功能，如果父类不能满足当前子类的需求，则子类可以重写父类中的方法来加以扩展。向上转型：子类引用的对象转换为父类类型称为向上转型。通俗地说就是是将子类对象转为父类对象。此处父类对象可以是接口。我定义了一个子类Cat，它继承了Animal类，那么后者就是前者是父类。我可以通过Cat c = new Cat(); 实例化一个Cat的对象，这个不难理解。但当我这样定

原创 bwapp 其他注入篇

文章目录ClickJacking (Movie Tickets)Client-Side Validation (Password)HTTP Parameter PollutionHTTP Response SplittingHTTP Verb TamperingInformation Disclosure - Faviconinformation Disclosure - HeadersInformation Disclosure - Robots FileInsecure iFrame (Login Fo

原创 bwapp 07 08 09 10

文章目录Directory Traversal - DirectoriesDirectory Traversal - FilesHost Header Attack (Cache Poisoning)SQLiteManager Local File InclusionRemote & Local File Inclusion (RFI/LFI)Restrict Device AccessServer Side Request Forgery (SSRF)CSRF (Change Password)B

原创 bwapp 06

文章目录Base64 Encoding (Secret)Clear Text HTTP (Credentials)Host Header Attack (Reset Poisoning)HTML5 Web Storage (Secret)SSL 2.0 Deprecated ProtocolText Files (Accounts)Base64 Encoding (Secret)抓包，找到sercret,进行base64编码以上级别，40位16进制数，推测使用了sha1编码注意先解码，再base

原创 Bwapp 04 05

文章目录Insecure DOR (Change Secret)Insecure DOR (Reset Secret)Insecure DOR (Order Tickets)安全配置Insecure DOR (Change Secret)抓包的话，就可以实行篡位修改Insecure DOR (Reset Secret)同上，换成了xml的形式Insecure DOR (Order Tickets)通过抓包修改，可以使得数量或者价格进行变化电商平台早期经常出现类似漏洞“一分钱支付”、“零元

原创 bwapp XSS

文章目录XSS - Reflected (GET)XSS - Reflected (POST)XSS - Reflected (JSON)XSS - Reflected (AJAX/JSON)XSS - Reflected (Back Button)XSS - Reflected (Custom Header)XSS - Reflected (Eval)XSS - Reflected (HREF)XSS - Reflected (Login Form)XSS - Reflected (PHP_SELF)XS

原创 bwapp 失效的身份认证和会话管理&XSS&不安全对象直接引用

文章目录Broken Auth. CAPTCHA BypassingBroken Auth. Forgotten FunctionBroken Auth. Insecure Login FormsBroken Auth. - Logout ManagementBroken Auth. - Password AttacksBroken Auth. - Weak PasswordsSession Mgmt. - Administrative PortalsSession Mgmt. - Cookies (HT

原创 bwapp sql部分

文章目录SQL Injection (GET/Search)SQL Injection (GET/Select)SQL Injection (POST/Search)SQL Injection (POST/Select)SQL Injection (AJAX/JSON/jQuery)SQL Injection (CAPTCHA)SQL Injection (Login Form/Hero)SQL Injection (Login Form/User)SQL Injection (SQLite)SQL Inj

原创 bwapp通关html之后sql注入之前

文章目录iFrame InjectionlowmediumLDAPMail Header InjectionlowmediumhighOS Command Injection - BlindPHP Code Injectionlowmedium highiFrame Injectioniframe是可用于在HTML页面中嵌入一些文件(如文档，视频等)的一项技术。对iframe最简单的解释就是“iframe是一个可以在当前页面中显示其它页面内容的技术”。通过利用iframe标签对网站页面进行注入，是利

原创 BWAPP搭建和通关（html部分）

docker搭建遇到的问题数据库未建立Connection failed: Unknown database 'bWAPP'搭建完毕打开的时候，会提示这么个东西，我们只需要打开install.php就能成功建立登录默认用户名bee、密码bugHTML Injection - Reflected (GET)low先说下htmli和xss的区别，xss插入的是js代码，htmli插入的则是html标签，我觉得原理是一样的，无非是细分了一下实现插入的代码之间的差别，htmli可以用于误导用户

原创 php伪协议总结

文章目录file:// 协议条件：作用：说明用法php:// 协议条件作用：例子zip:// & bzip2:// & zlib:// 协议条件作用用法data:// 协议条件作用用法示例phar:// 协议用法file:// 协议条件：allow_url_fopen:off/onallow_url_include :off/on作用：用于访问本地文件系统，在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。inclu

原创 攻防世界-web-高手进阶区003-php_rce

文章目录题目漏洞5.0版本POC（不唯一）5.1版本POC（不唯一）题目解法题目上来之后就是这个网页，没有别的提示，于是搜索ThinkPHP v5,发现了可以利用的漏洞漏洞5.0版本POC（不唯一）命令执行：?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=[系统命令]文件写入：?s=index/\think\app/invokefuncti

原创 初遇php反序列化

文章目录题目思路解法php反序列的知识点php魔术方法攻防世界刷题时候，第一次刷到，所以记录一下题目<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; //构造函数，对类的变量进行初始化 } function __destruct() { echo @highl

原创 MSF初学

文章目录技术功能模块exploits（布局）payload（正面战场）auxiliary（侦察兵）encoders（伪装）nops（buff）使用msfconsoleconnectsearchuseshoweditcheck今天开始学习MSF，查阅了一些资料可以知道，这是一个很强大的渗透工具大家可以打开kali’，直接在命令行窗口输入msfconsole，然后回车。这样就打开了msfconsole。Msfconsole的系统文件和用户文件位于/usr/share/metasploit-framewor

原创 攻防世界web基础题知识点

文章目录robots协议知识点解法个人理解ping命令查找robots协议知识点robots协议robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。解法直接打开是空白的，根据robots可知我们访问 http://220.249.52.133:56928/r

原创 攻防世界，十六进制转ASCII

文章目录题目思路脚本（python）题目菜狗截获了一份报文如下c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2，生气地掀翻了桌子(╯°□°）╯︵ ┻━┻思路这段报文符合16进制的做法，flag应该是字母，即ASCII码，所以尝试转换。脚本（python）a='c8e9aca0c6f2e5f3e8c4efe7a1

原创 Dvwa 高等难度

文章目录Brute ForceCommand InjectioncsrfFile InclusionFile UploadSQL InjectionXSS (Reflected)XSS (Stored)Brute Force这次多了个user_token使用上两种方法已经行不通了做法的话，就参考这位博主的文章high的burteCommand Injection但是，仔细看，发现|后面竟然有空白，说明我们直接|也可以csrf又多了token值可以看到，High级别的代码加入了

原创 DVWA 中等难度

文章目录Brute ForceCommand InjectionCSRFFile InclusionFile UploadSQL InjectionSQL Injection (Blind)XSS (Reflected)XSS (Stored)Brute Force相比较，多了这几行代码然而多出来的这个函数mysql_real_escape_string( $user )就是对一些特殊字符进行了转义,在low难度下可以利用注释#，将sql语句改写。这里就不能了。这里还是可以利用burp进行强爆破。

原创 Dvwa的低难度通关

目录搭建低难度通关brute forceCommand InjectionCSRFFile InclusionFile Upload搭建使用docker搭建docker search dvwadocker pull xxxdocker run xxx详细说一下搭建后的情况低难度通关搭建好后想先看一下源代码的，然后发现有这么多种php文件，应该是说的表示难度。难度的选择在这里更改brute force查看low.php的源代码发现没有任何的防御手段，我们直接用burp抓包，进

原创 爆破crc校验所需要的png头文件知识

crc 是循环冗余检验(固定)八个字节89 50 4E 47 0D 0A 1A 0A为png的文件头*(固定)四个字节00 00 00 0D (即为十进制的13)代表数据块的长度为13(固定)四个字节49 48 44 52 (即为ASCII码的IHDR)是文件头数据块的标示(IDCH)(可变) 13位数据块(IHDR)前四个字节代表该图片的宽 后四个字节代表该图片的高后五个字节依次为:Bit depth、ColorType、 Compression method、 Filter meth

原创 kali利用zip2john爆破压缩包密码

目录问题来源处理方式问题来源在刷BUU题的时候，给了一个二维码在初步使用stegsolve处理后，没有任何线索转到kali使用binwalk -e 发现可以分解，分解之后得到两个文件处理方式但是给的压缩包需要密码我们使用zip2john +文件名 >>password.txt把他的密码信息提取出来然后再使用john + password --show查看到密码提示的压缩包密码信息是4 number，说明我们的可能正确带入后发现，密码破解正确成功获得flag...