鹤城杯杂项MISC部分WP
Preface昨天的比赛又一次见识到了大师傅们多么厉害,疯狂上分,可怜如我,只做出了四个杂项。趁着比赛刚过就写下我的做题思路,也会去看下其他师傅的WP学习下,文中有我理解错误的思路烦请师傅们多多指教
ProcessNEW_MISC下载附件以后就是一个PDF
最开始我还以为有隐藏文件啥的,分离了下啥也没有。然后又换思路,开始看下PDF内容,发现这个单词表以后还以为是文章对应单词转换字母得出flag(不知道有没有师傅们跟我一样),看了好久以后都没找到这个表里面的单词,甚至还用百度翻译看了部分内容哈哈哈哈哈。然后发现有一个提示信息,咱也不知道是不是出题人的意图
看到hiding这个单词就想着是不是线索,然后就打开网址看了下,是一篇介绍隐写术的文章,于是想到了隐写,但是之前没有接触到关于PDF隐写的知识(太菜了),然后就直接百度了下,竟然还找出来了,可以直接用wbstego4.3open查看PDF隐藏文件,下载以后直接导出一下PDF的隐藏信息就得到flag啦
流量分析这个下载附件以后直接就是一个流量包,Wireshark打开就看到了sql注入的数据,筛选出http数据仔细查看是布尔盲注, ...
渗透测试Vulnhub-DC3
Preface
光怪陆离都经历,山川湖海放心里
本篇为vulnhub系列DC3啦,距DC2这段时间发生了许许多多的事情,有好有坏,都过来了,哈哈哈……开始前说点废话,练习过程中也是参考了许多大师傅们写的文章才完成了,在此记录一下,也非常希望师傅们能指正错误。
Process信息收集老方法,先用nmap扫描一下,对师父们来说都是小意思,就不在挂图赘述啦,得到靶机IP以及只开放了80端口,那么直接访问web服务
可以看到直接就是登录页面,我是先用dirsearch扫描了一遍目录,扫描出来了后台登录页面以及其他目录,后面会用到,现在先不说,然后用cms指纹识别插件看一下网站信息
网站cms事Joomla,操作系统是Ubuntu,但是具体的版本号我们没有,这里有两个方法
在dirsearch扫描出来的目录中有README.txt文件,直接访问可以在里面查看到版本号
看其他师傅的文章的时候发现很多师傅用了joomscan这个工具,kali自带,直接扫描网站也可以得到版本以及其他目录信息,两个方法师傅们可以自己参考决定哈
漏洞利用查到版本号后我直接百度了对应的漏洞利用文章,找到了sql ...
SUCTF_2019-CheckIn
前言
问君能有几多愁?恰似一江春水向东流
先扯些题外话,这个题目是在BUUCTF刷到的,本来以为就是普通的文件上传,但是看了其他师傅的文章以后发现了新姿势,这次利用到的知识点也刷新了我对文件上传类题目的认知,所以特此记录一下。本文也参考了这位大师傅的文章,然后再结合我自己的理解记录下来,当然我的理解还不够透彻,所以还请各位师傅多多指教。
这几天又看到一个关于 .htaccess 文件利用的,也是在BUU刷到的,感觉没有必要再单独写一篇文章,所以就追加到这里,题目是 [MRCTF2020]你传你🐎呢1
正文[SUCTF 2019]CheckIn1先来看下题目页面
可以看到这就是普通的文件上传页面,开始呢我也是用的以前的常规方法去试的,什么修改MIME类型、图片合成马、00截断啊都试了,但是没有一个能用的。不过这里需要提一下的是,试00截断的时候用 (0x00) 有些作用,为什么说有些呢?emmmmm,比如teng.php(0x00).jpg,文件传上去以后是有截断效果了,但是截断后的文件是**teng.php(0x00).**,本以为会可以,但是用蚁剑连不上,后来看了师傅的文章才知 ...
Flask之session伪造
前言本文结合CTF中遇到的题目来说一下session伪造,虽然已经有很多师傅写了,而且写的都特别好,但是还是想自己记录一下,也方便以后复习。ciscn中就有一个session伪造的题,由于之前没有做过就没做出来,还是有点遗憾的。但比较戏剧性的是,上午比赛刚结束,下午刷BUU的时候就遇到了同样的题目。嗐,还是自己太菜,下面就结合BUUCTF中的[HCTF 2018]admin来说一下,文中比较拙劣的地方还请师傅们指正一下。参考文章
正文本来这个题是有三种解法的,分别是:flask session伪造、Unicode欺骗、条件竞争。但是由于本篇文章主要讲解flask session伪造,所以就不再讲另外两种方法啦。
因为已经遇到了相似的了,所以也知道是为了拿到admin账号,我就直接注册了,不过ciscn的那个题在注册那里多了一个md5截断爆破,既然这里没有就直接注册。
可以看到已经存在admin用户了,所以先随便注册一个普通用户,不过刚开始还以为是SQL注入,试过以后都不行,看了其他师傅的文章才知道是session伪造。
在将session伪造前需要提一下的是,session一般都是 ...
渗透测试Vulnhub-DC2
Preface本篇文章记录为vulnhub系列DC2,练习过程中也参考了其他大师傅的文章,加上个人的一些思路见解就有了此文,个人拙见定会有出错,还请各位师傅们指正。参考文章
Process信息搜集靶机搭建完成以后发现无法访问正常页面,根据提示应该是无法将地址解析到域名,我们需要在本地hosts文件末尾添加一条解析记录
靶机IP dc-2
hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将网址域名与其对应的IP地址建立一个关联,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到,则系统会再将网址提交DNS域名解析服务器进行IP地址的解析。hosts文件的优先级是高于DNS解析的
使用插件可以看到所使用的框架为wordpress4.7.10,首页可以看到flag1,翻译以后就是需要登录,我是直接用dirsearch扫的目录,如下:
试过其他页面以后也都没有什么结果,那么就从登录页面下手。最开始我是测试了一下是否在sql注入,之后我又百度找了wordpress4.7.1的漏 ...
渗透测试Vulnhub-DC1
前言各位师傅们好,在正式写文章前啰嗦几句,很早以前就想搭一个内网渗透的靶场来练习了,不过因为一些原因一直在往后推迟(主要是因为太懒)。这段时间发生了一些事情让我坚定了搞搞内网渗透的信念,目前来说事请还是挺不好的,跟一位最近朋友说过以后他跟我讲以后更大的坎还多着呢,他也跟我说了下自己的心酸往事,听过以后自己也有了些许感触,而这件事请对于我来说到底是好是坏待以后时间证明(至少目前是感觉挺失落的)。还有就是有一个姐姐真好,也正是她一直以来的安慰才能让我调整这么快,不管是这次还是从前或以后兜希望老姐一直能陪着我。靶场呢是一个朋友之前推荐的,然后就来练习了,这次是最简单的,当然后面也会陆续练习。由于没有内网渗透的经验,练习过程中也时常碰壁,过程中我也参考了一些其他师傅的文章,结合了一下还是想自己写一篇文章记录一下。文中也有个人的一些疑惑,还请各位师傅们能够答疑,感激不尽。
正文信息收集&漏洞利用靶机下载之后虚拟机设置为NAT模式,由于没有账号密码无法进入系统,其他什么信息都不知道,那么就先用nmap扫一下靶机IP。
图中可以看到,第一个靶机是物理机IP,还有一些IP都是其他虚拟机的这里 ...
hexo博客设置安全域名
前言本文是我在hexo搭建博客中遇到的评论功能不能用的解决方法,报错如下: **Code 403: 访问被API域名白名单拒绝,请检查你的安全域名设置. **,我用的是butterfly主题,不过主题没有什么影响,我的博客是托管在gitee上面的,下面就说解决办法。
正文报错提示是设置一个安全域名,设置安全域名需要用到LeanCloud,没有账号的话直接注册一个就好了,注册好以后会需要实名认证,然后创建一个应用,在应用里面进入设置->应用keys在里面可以看到AppID和AppKey,然后我们复制AppID和AppKey到我们的主题配置文件中的valine里面就可以了,我的是这样:
复制进去重新在gitee部署一下就好啦!
PHP序列化及__wakeup()函数漏洞利用
前言本篇文章讲述php序列化和反序列化的知识,写的内容也是参考了一些大佬的文章再加上自己的理解,同时结合我在做题中遇到的题目来叙述,如有错误的地方欢迎大佬们指正。
正文
序列化:将对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。反序列化:就是在适当的时候把这个字符串再转化成原来的对象。
序列化中常见的魔法函数:
12345__construct()创建对象时调用__destruct()销毁对象时调用__toString()把对象转换为字符串,打印一个对象时被调用__sleep()在序列化前被调用,此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组__wakeup()将在序列化之后立即被调用
先看一下序列化的例子:
12345678910111213141516171819202122232425262728293031class Test{ public $data; private $any; public function __construct($data,$any){ $th ...
SSRF-目录穿越
前言本文介绍一下ssrf的一个特性,是前端时间作UNCTF的赛题get到的新知识,以此来记录一下,不正确的地方还请各位师傅多多指正。
正文先看一下题目:
12345678910111213141516<?phpecho'<center><strong>welc0me to 2020UNCTF!!</strong></center>';highlight_file(__FILE__);$url = $_GET['url'];if(preg_match('/unctf\.com/',$url)){ if(!preg_match('/php|file|zip|bzip|zlib|base|data/i',$url)){ $url=file_get_contents($url); echo($url); }else{ echo('error!!'); ...
DVWA-XSS(跨站脚本漏洞)
前言本篇文章为DVWA平台XSS(跨站脚本漏洞)类型题目,本篇文章目的为记录自己的作题过程并且希望能够帮到大家,如有错误还请各位师傅指正!
环境&工具Windows10、phpstudy
正文
反射型XSS:反射型XSS又叫持久型XSS攻击,是攻击者发送一个带有恶意脚本的URL诱导他人点击,进一步触发脚本在浏览器上面运行。因为需要他人点击,所以链接都会具有诱惑性的名称。存储型XSS:攻击者通过各种方式把恶意脚本代码写进被攻击的服务器数据库,当用户打开浏览页面时,浏览器会从数据库读取到被存入的恶意脚本,进而触发脚本受到攻击。需要说明的一点是XSS和CSRF的区别在于XSS是攻击者利用用户对服务器的信任,而CSRF是利用服务器对客户端的信任。
level:low反射型:XSS(Reflected)因为步骤繁琐所以就不再一步一步的挨着说明,这里只进行关键步骤的说明:
TenG<script>alert(“XSS”)</script>
直接在文本框里面输入的名字后面加上JavaScript脚本(Java脚本这里不再讲解),由于浏览器没有进行任何过滤(查看 ...