- 博客(46)
- 收藏
- 关注
RSS订阅原创 第三次靶场渗透测试
打开网页发现是一个博客页面,使用 Wappalyzer 插件查看当前页面的信息使用了名为 Joomla 的CMS,后端语言为PHP,使用 ping 命令发现 TTL 为 64 判断为 linux 系统查看其端口:发现CMS版本号
2021-11-25 21:33:16
5483
6
原创 frp内网穿透实验
部署文件:客户端配置在本机虚拟机中配置 frps.inibind_port 为本机的监听端口,后期用于对数据的监听服务器端配置上传文件 frpc 与 frpc.ini 至服务器端,并修改两个文件的权限为0777文件权限777 代表该文件拥有者对该文件拥有读写操作的权限该文件拥有者所在组的其他成员对该文件拥有读写操作的权限其他用户组的成员对该文件也拥有读写操作权限666代表该文件拥有者对该文件拥有读写的权限但是没有操作的权限该文件拥有者所在组的其他成员对该文件拥有读写的权限但是没
2021-09-14 20:22:12
508
原创 BUUCTF-BuyFlag
启动靶场,发现提示,意为需要登录为其学生才能购买直接抓包,发现有一个名为 user 的 cookie既然0为未登录,改为1即可成为登录状态登陆成功,但是提示需要输入密码在源码中发现如下条件...
2021-09-13 19:41:39
625
原创 BUUCTF-PHP
启动靶机,打开网页发现有提示说存在备份文件直接使用 www.zip 下载备份源码在 index.php 中发现反序列化函数此文件包含了 class.php 所以继续前往该文件进行审查<?phpinclude 'flag.php';error_reporting(0);class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __con
2021-09-07 20:37:33
943
转载 BUUCTF-Easy Calc
1.知识点1.1PHP的字符串解析特性这是别人对PHP字符串解析漏洞的理解,我们知道PHP将查询字符串(在URL或正文中)转换为内部GET或的关联数组_GET或的关联数组GET或的关联数组_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news
2021-09-06 20:03:59
181
原创 BUUCTF-Secret File
Secret 意为秘密,可知我们需要在网页中寻找到隐藏的flag文件启动环境打开靶机直接查看源码,发现一个文件打开后点击 secret 但是会直接跳转到 end.php 并且提示查阅结束,说明页面跳转过快,需要手动抓放包来查看经过拦截显示出隐藏 php 文件,访问后出现源码<html> <title>secret</title> <meta charset="UTF-8"><?php highlight_file
2021-09-06 18:40:00
415
原创 BUUCTF-WarmUp 1
根据提示,本题主要是以php代码审计为主开启靶机后进入靶机发现什么都没有打开源码发现注释中有一个提示,打开提示所在页面<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.
2021-09-06 11:07:42
369
原创 PHP伪协议与文件包含漏洞
文件包含漏洞为了更好的使用代码的复用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码。但这就产生了文件包含漏洞,产生原因实在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时如果用户对变量可控,二服务器端卫队变量进行合理的校验或者校验被绕过,就会导致文件包含漏洞文件包含所用的函数函数功能include()代码执行到 include() 函数时将执行文件中的 PHP代码include_once()当重
2021-08-26 20:33:09
265
1
原创 ping 的原理解析
一、ping概述ping 属于一个通讯协议,是 TCP/IP 协议的一部分。利用 ‘ping’ 命令可以检查网络是否通畅或者查看网络连接速度,便于分析和判定网络故障使用 ping 命令会发送一个 ICMP(Internet Control Messages Protocol【网络信报控制协议】),接收端在收到此 ICMP 后产生 ICMPecho (ICMP回声应答) ,通过此过程来确定两台网络机器是否连通,时延是多少。ping是端对端连通,通常用来作为连通可用性的检查,但是某些恶意程序会通过大量执行
2021-08-23 17:47:54
12030
2
转载 OSI网络协议学习(四)
OSI模型第三层网络层中的路由IP协议OSI第二层中用以太网协议定义了信息传输单元,简称为帧,它长这个样子。同样的在OSI第三层中,会用 IP 协议去定义信息传输单元,简称为数据包,它长这个样子。实际上,最终在网络上传输的是第二层的帧,因为发送消息是从上到下穿越,从OSI第七层穿越到第一层,再通过网络发送。每穿越一层,该层的头部就会被封装在单元中,所以第四层的单元包含第七层的头部,第三层的单元包含第四层的头部,第二层的单元包含第三层的头部,层层嵌套,所以实际的以太网帧长这个样子可以利用软件查
2021-08-15 22:46:21
111
转载 OSI网络协议学习(三)
OSI模型第三层网络层中的IP地址和子网掩码IP 地址OSI第三层是网络层,第二层的作用是让局域网中的机器能够通信,第三层则让网络之间的机器能够通信,使我们可以从一个网络向另一个网络发送信息。第二层中有 MAC 地址来标识不同的机器,那么第三层中就有 IP 地址来标识不同的网络,在 CMD 里面使用 tracert(windows环境)+ 主机名 可以查看本地主机连接到另一个网络的跟踪路径。比如我这里使用 tracert http://www.zhihu.com,显示从我电脑所在的网络到达知乎服务
2021-08-15 22:30:58
105
转载 OSI网络协议学习(二)
OSI模型第二层数据链路层MAC 地址OSI第二层的作用,使局域网中的机器能互相连接并建立通信,还能够侦测传输错误。要向局域网中的其他机器发送信息,就需要借助 MAC 地址,来指定发送信息的目的地。MAC 地址其实就是网卡的地址,一台电脑有一个或多个网卡,但是每个网卡都只一个独一无二的 MAC 地址。MAC地址用16进制表示,由6个字节编码组成,每个字节用冒号隔开,如 00:0c:29:10:5a:55一个字节(byte)是8个比特位(bit),一个比特位就是一个二进制的位,一个二进制的位只能取值
2021-08-15 22:17:12
199
转载 OSI网络协议学习(一)
OSI七层模型OSI 模型是一个理论模型,一共有七层,但是互联网实际使用的是 TCP/IP 模型,后者不使用前者中的第五层和第六层因此 TCP/IP 模型一共有五层,从上到下分别是:第七层:应用层(Application layer)第四层:传输层(Transport layer),管理应用程序的连接,保证连接的有效建立。第三层:网络层(Network layer),让各个网络间相互连接,同时能够分割传输的数据包,相关设备如路由器。第二层:数据链路层(Data Link layer),让局域网中的
2021-08-15 22:12:07
114
原创 phpinfo中常见的敏感信息
如果在渗透测试中搞出 phpinfo 的页面,那将会对渗透测试提供极大的帮助下面就来总结一下 phpinfo 中的敏感信息1.绝对路径(_SERVER[“SCRIPT_FILENAME”])2.支持的程序可以看看服务器是否加载了redis、memcache、mongodb、mysql、curl,如果加载了,那么就可以适当往这几个方面考虑,还可以看看是否支持gopher、是否启了fastcgi3.查看真实IP(_SERVER[“SERVER_ADDR”]或SERVER_ADDR)绕开 cdn 获
2021-08-09 14:45:28
1173
原创 SQL 注入总结
iwebsec靶场笔记SQL注入原理SQL注入漏洞是指攻击者通过浏览器或其他客户端将恶意SQL语句插入到网站参数中,而网站应用并未对其进行过滤,将恶意SQL语句带入数据库使恶意SQL语句得以执行,从而使攻击者通过数据库获取敏感信息或者执行其他恶意操作MySQL注入information_schema数据库结构#mermaid-svg-yrkFSceW0jwXAsNS .label{font-family:'trebuchet ms', verdana, arial;font-family:var(
2021-07-29 22:25:49
515
原创 WAF的简介与识别
WAF简介WAF( Web Application Firewall ) Web应用防火墙,部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。通过检查HTTP流量,可以防止源自web应用程序的安全漏洞(如注入漏洞、XSS漏洞、命令执行漏洞、文件包含漏洞等)的攻击。检测大多数是基于“正则表达式”和“AI+规则”的方法,有一定的几率绕过常用的12种WAF绕过方法 1. 大小写
2021-07-27 00:17:31
1147
原创 PoC、Exp、Payload的简单概念
PoC:全称 ’ Proof of Concept ',中文 ’ 概念验证 ’ ,常指一段漏洞证明的代码。仅用于漏洞的验证,并无较强的攻击效果,并不容易给服务器造成损害与资产泄露Exp:全称 ’ Exploit ',中文 ’ 利用 ',指利用系统漏洞进行攻击的动作。具有较强的攻击性,可能会造成服务器端的信息泄露或恶意控制Payload:中文 ’ 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。Payload有很多种,它可以是Shellcode,也可以直接是一段系统命令。同一个Pa
2021-07-26 22:23:56
1992
原创 xss尖括号等被转义情况下的绕过测试
打开靶场目标网站存在反射型xss漏洞,我们使用常用的方法进行测试发现并无作用,打开网站源码查看问题情况确实后端会将用户输入的数据无过滤直接返回前端,但是存在个别符号被转义的问题,导致无法正常弹窗通过查找资料可知,可以通过使用三重url编码的方式绕过这一问题尝试使用此方法进行绕过emmmmmmm发现并不行尝试使用编码绕过发现也被转义了既然无法实现转义的绕过,就再次仔细观察前端页面代码发现在form表单中也会直接显示,并且发现 value 的值是由单引号闭合,且单引号在前几次测
2021-07-25 13:01:30
11766
原创 Tomcat靶场渗透测试
打开目标IP查看网页我们可以从中得到,此网站应用的是Apache Tomcat/8.0.43简单查询一下Tomcat的资料:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立
2021-07-21 20:00:48
1744
原创 CTFHub-SSRF_内网访问-wp
SSRF是什么?SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造,从而让服务端发起请求的一种安全漏洞,它将一个可以发起网络请求的服务当作跳板来攻击其他服务,SSRF的攻击目标一般是内网。通过扫描靶场的端口开放信息,发现了部署在8080端口上的 http-proxy 服务,说明我们将此url中的url参数作为内网转发的url,相当于控制某个主机后在其内网中横向移动查看题目中的提示可知,文件在 127.0.0.1/flag.php 中直接在url
2021-06-27 19:50:02
364
3
原创 CTFHub-RCE_eval执行-wp
首先看看RCE是什么RCE英文全称:remote command/code execute分为远程命令执行ping和远程代码执行evel。漏洞出现的原因:没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞———.
2021-06-21 20:12:58
377
原创 CTFHub-hg泄露-wp
Mercurial与前面做的SVN、Git属于一种类型Mercurial 是一种轻量级分布式版本控制系统,采用 Python 语言实现,易于学习和使用,扩展性强。其是基于 GNU General Public License (GPL) 授权的开源项目。直接进入正题,使用dirmap跑跑目录康康发现存在 .hg 目录,直接使用kali linux下的 dvcs-ripper 中的 rip-hg.pl 将其 .hg 文件拿下./rip-hg.pl -v -u http://challen.
2021-06-16 20:23:57
367
原创 CTFHub-SVN泄露-wp
SVN又是一个知识盲区,先百度看看1.SVN是subversion的缩写,是一个开放源代码的版本控制系统,通过采用分支管理系统的高效管理,简而言之就是用于多个人共同开发同一个项目,实现共享资源,实现最终集中式的管理。2.相较于git,svn通常需要一个集中的服务器来控制,而git为分布式控制系统,户端并不只提取最新版本的文件快照,而是把原始的代码仓库完整地镜像下来。这么一来,任何一处协同工作用的服务器发生故障,事后都可以用任何一个镜像出来的本地仓库恢复。这类系统都可以指定和若干不同的远端代码仓库进.
2021-06-16 19:25:59
580
原创 CTFHub-git泄露_stash-wp
有了上次 log 的经验,这次直接使用GitHacker下载源代码至文件夹中先来康康日志既然题目是stash,去查查git stash是干什么的git stash用于想要保存当前的修改,但是想回到之前最后一次提交的干净的工作仓库时进行的操作.git stash将本地的修改保存起来,并且将当前代码切换到HEAD提交上.通过git stash存储的修改列表,可以通过git stash list查看.git stash show用于校验,git stash apply用于重新存储...
2021-06-11 17:12:40
190
2
原创 GitHack & GitHacker
写这个的原因是在做CTFHub的Git泄露题目时发现GitHack并不能正常将服务器中的 .git 文件正常保存下来,问了问工作室的好哥哥,告诉我GitHack就是有这个问题,使用GitHacker即可,于是记录下此问题GitHack下载地址:https://github.com/lijiejie/GitHackGitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。G.
2021-06-11 16:29:01
4278
6
原创 CTFHub-git泄露_log-wp
首先康康git泄露是个啥玩意当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。通常情况下下载 .git 文件中会存在网页的快照【快照:关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品】Git有三种状态:已修改(modified)、已暂存(staged)、已提交(committed).git文件的结构:
2021-06-09 20:12:24
227
原创 CTFHub-.DS_Store-wp
又是一个不知道的名词,再次使用度娘 & CSDN.DS_Store使用于MacOS是用来存储这个文件夹的显示属性的:比如文件图标的摆放位置,通过.DS_Store可以知道这个目录里面所有文件的清单。大概知道要干嘛似乎就是拿到 .DS_Store 文件,查看目录并获取flag一遍成功下载该文件用文档打开,没有MacOS凑合看看勉强能看懂可知flag在文件名为a43b7c53ba9a7eca2759acaf7ac67c59.txt的文件中搞定...
2021-06-08 23:10:28
196
原创 CTFHub-vim缓存文件-wp
查看题目,vim缓存明显属于知识范围外的内容,先使用CSDN 和 度娘康康资料在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容以 index.php 为例:第一次产生的交换文件名为 .index.php.swp再次意外退出后,将会产生名为 .index.php.swo 的交换文件第三次产生的交换文件则为 .index.php.swn了解了vim缓存文件的简单原理后,查看题目可知v.
2021-06-08 21:32:11
557
原创 CTFHub-bak文件-wp
bak文件:.bak是备份文件,为文件格式扩展名,这类文件一般在.bak前面加上应该有原来的扩展名比如windows.dll.bak,或是windows_dll.bak,有的则是由原文件的后缀名和bak混合而成,如proteus的备份文件为.DBK。很多软件,如editplus,在生成了某种类型的文件后,就会自动生成它的备份文件,如果不想要备份文件的话,可以通过打开菜单栏上的工具->参数选择->文件,把“保存时自动创建备份文件”前的勾取消就行了,其他软件如CAD、KEIL等软件也可以通过相关的设
2021-06-07 22:07:42
442
原创 CTFHub-网站源码-wp
根据网站提示,可知只要测试出网站源码备份的文件名称即可通过备份内容得出flag,故自制测试脚本import requestsurl=(input("URL:"))list1=['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']list2=['tar', 'tar.gz', 'zip', 'rar']for i in list1: for j in list2: url_f=url+'/'+i+'..
2021-06-07 21:50:52
975
原创 CTFHub-.htaccess验证-wp
.htaccess正常上传测试,发现可以上传图片类文件以及.txt文件,但不能上传 .php文件查询资料可知, .htaccess文件为"分布式配置文件",属于后端中间件的验证但存在子目录中的指令会覆盖更高级目录或者主服务器配置文件中的指令这种操作,于是可以考虑自行上传配置文件思路:构造 .htaccess文件,使txt文件能在服务器端以php文件运行<!--FileMatch 参数为文件名的正则匹配--><FilesMatch "txt"> SetHa
2021-05-30 18:41:05
162
1
原创 CTFHub-文件头检查-wp
文件头检查上传包含一句话木马的php文件,发现不能正常上传,只能上传图片类文件使用画图自制简单的PNG图像,上传发现可以上传成功使用BurpSuite截取请求 将filename="666.png"改为filename="666.php"但不对文件的编码进行修改,发现可以上传成功删除原PNG文件编码内容,只留下验证格式部分,并插入一句话木马Forward放包,上传成功,回显路径访问路径,并使用HackBar验证访问路径,并使用HackBar验证成功后使用蚁剑连接
2021-05-18 23:05:15
277
原创 CTFHub-前端验证上传-wp
JS前端验证文件上传使用一句话木马<?php @eval($_POST['a']); ?>并保存为.php文件尝试上传 发现 .txt .php 文件都无法正常上传,只能上传 “.jpg" ".jpeg” “*.png” 文件。于是将 123.php 改为 123.jpg ,正常上传由于JS验证属于前端验证,我们可以通过BurpSuite拦截请求并修改文件后缀 forward放包上传成功并回显相对路径复制路径并访问,使用Hack
2021-05-18 23:04:11
126
原创 CTFHub-无验证上传-wp
无验证文件上传使用一句话木马<?php @eval($_POST['a']); ?>并保存为.php文件上传成功并回显相对路径复制路径并访问,使用HackBar进行POST传参验证木马可行性执行成功使用蚁剑工具对木马进行连接连接成功拿下flag...
2021-05-18 23:02:10
158
原创 CTFHub-空格过滤-wp
空格过滤**原理:**在php中提前写好当输入字符中有空格时返回 “Hacker!!!” 来防止sql注入空格为空字符,可用php中的多行注释/**/来代替空格,以正常执行sql语句剩余做法与整数型注入相同
2021-05-18 23:00:00
233
原创 CTFHub-referer注入-wp
referer注入注入点如图测试出能够注入后使用字符型注入语法即可sqlmap做法同UA注入HTTP_REFERER简介HTTP_REFERER简介HTTP Referer是header的一部分,当浏览器向 web 服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。...
2021-05-18 22:59:17
270
原创 CTFHub-UA注入-wp
UA注入方法一:手注使用BurpSuite进行截断,并使用Repeater改包 如图所示,对User-Agent处进行修改,点击Go之后页面出现变化输入1+1 ,页面返回 id=2 说明存在字符型注入漏洞使用 1 order by … 测试得字段数为2如图,开始注入,爆出库名爆出表名爆出列名爆出数据,拿到flagctfhub{5ba8fd44460a9858b2ba1510}方法二:sqlmap使用指令python sqlmap.py -
2021-05-18 22:58:21
254
原创 CTFHub-Cookie注入-wp
Cookie注入sqlmap设置代理,使用BurpSuite进行截断,并复制出Request信息,放置于txt文件中使用python sqlmap.py -r 123.txt --level=2进行扫描 发现存在Cookie中id参数的注入漏洞使用python sqlmap.py -u "..." --dbs爆出数据库名python sqlmap.py -u "..." -D sqli -tables爆出表名python sqlmap.py -u "
2021-05-18 22:56:29
156
原创 CTFHub-时间盲注-wp #(自制脚本做法)
时间盲注脚本# -*- coding: utf-8 -*-# @Time : 2021/5/16 19:29# @Author : z1moq# @File : ctfhub时间盲注.py# @Software: PyCharmimport requestsimport stringimport timedef get_database(url): database = '' for i in range(1, 9): for j in string.as
2021-05-16 20:04:09
5026
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人