- 博客(451)
- 收藏
- 关注
RSS订阅原创 【cyberstrikelab】Thunder
这里是看别人的才知道,靶机存在172.20.56.0/24这个网段。自己尝试用nmap全网段扫描(sudo nmap -sn -T4 172.0.0.0/8),但是太费时间了打开发现是thinkphp直接工具一把梭得到flag1上传webshell发现要使用rce_11才可以上传文件但是发现上传平常的php没问题上传webshell,则不行,有文件但是无法访问猜测可能存在安全软件换了另一个工具查看进程,发现存在360用弱鸡webshell生成免杀的webshell用工具上传webshell使用哥斯
2025-07-24 21:40:45
983
原创 【cyberstrikelab】lab7
这里我们拿到了192.168.20.40的域控,并且添加了账号那么,我们可以通过psexec横向到192.168.20.20。这里不知道为什么不能使用代理fscan进内网扫描,因此尝试打算直接开启目标主机的远程桌面,然后直接扫。先生成一个木马,上传到192.168.10.10运行,将192.168.10.10上线到msf。对192.168.10.10 单独再次扫描,发现了额外的端口。但是这里访问发现没有发现web服务,疑似端口没有扫描全。上传后尝试运行发现报错,发现DC.exe被杀了。
2025-07-15 01:41:25
864
原创 【PolarCTF】Easy_ShellCode
然后第二个read读取0x100个字节到buf中,那么我们可以通过溢出buf覆盖返回地址到bss中,实现ret2shellcode攻击。再通过gdb看下,可以看到bss段还是可执行的,那么更加确定就是ret2shellcode。点开main有2个函数,start()则是我们要分析的。没有看到可以利用的后门,以及相关/bin/sh字符。第一个read读取0x100个字节到str中。拖入发现是32位程序,同时有可执行的段。那么我们编写下payload。这里有2个read。
2025-07-02 01:12:27
225
原创 【Cyberstrikelab】lab3
可以看到果然主页上存在一句话(PS:这里必须要用蚁剑来连接,冰蝎和哥斯拉因为是有加密的无法连接这个普通webshll)刚开始扫描到192.168.20.20开放端口不多,这里使用fscan对192.168.20.20进行全端口扫描。根据提示说木马留在主页,打开文件管理系统,查看index.php文件的内容,发现木马。先用msf配置监听,注意这里要使用php的反弹shell payload。在冰蝎的解密填写好kali的主机IP和监听端口,点击连接。查看源代码,发现有出现默认的账号密码。
2025-07-01 22:24:49
1085
原创 【Cyberstrikelab】lab2
这样当我们访问这个日志文件的时候,我们之前的webshell代码就会执行,在目录下生成一个shell.php的一句话木马。使用TomcatScanPro对Tomcat进行扫描,发现存在CVE-2017-12615漏洞。查看下TomcatScanPro的配置文件,可知写入的webshell密码为pass。然后再包含下这个日志文件,这里注意你当时的时间,因为日志文件名称是以日期来命名的。发现只有一个网段,故这个主机渗透就到此为止。访问写入的webshell,发现是可以的。对应的目录就会生成当前时间的日志文件。
2025-06-30 20:06:33
695
原创 【PolarCTF】jwt
这里伤处了session的值没啥影响,说明主要是JWT的值。2、直接修改jwt内容,若服务器未验证可以直接通过。还看到一个提示,说是flag就是admin的密码。那么根据题意就是伪造jwt来获得admin权限。3、直接修改jwt的加密算法为none。将得到jwt替换发送过去,得到flag。尝试注册admin,说被注册了。返回包的时候可以看到返回JWT。4、查看有没有jwt密钥泄露。1、爆破jwt是否是弱密钥。那就注册一个admin1。那么我们就开着伪造JWT。爆破下,发现果然是弱密钥。
2025-06-30 00:30:55
349
原创 【PolarCTF】seek flag
根据提示访问robots.txt,得到flag3。这里我尝试性将id改为1,得到flag1。抓下burp请求包,发现flag2。
2025-06-30 00:30:02
168
原创 【PolarCTF】蜜雪冰城吉警店
根据提示说点第9个隐藏奶茶单子就有flag,尝试抓包发现没有拦截到请求包,那么说明就只是再前端进行交互。打开源代码可以看到,id。这里我将id=8改为id=9。然后点击得到flag。
2025-06-30 00:29:28
233
原创 【PolarCTF】召唤神龙
这种情况下很可能就是前端里面会藏着什么东西。在查看js源代码的时候看到jsfuck编码。burp抓包也并没有抓到什么实质性东西。有扫描到2个目录,但是没啥重要的东西。复制到随波逐流发现flag。
2025-06-30 00:28:52
213
原创 【BugkuCTF】overflow
但是read却读取了0x100(256)字节,明显的栈溢出。用IDA分析,可以看到read()函数就是问题点。从IDA分析可以看到距离rbp长度是30。可以看到申请了一个48字节长度的遍历s。用file分析是64位的程序。那么打靶场的地址获取flag。检查保护发现都是关闭的。
2025-06-27 22:12:34
248
原创 【PolarCTF】小狗汪汪汪
那么我们就需要先填充9个字节的内容把s的内容填占满,然后再额外填充4个字节的内容把ebp占满,然后再将getshell的地址填充到返回地址即可0x804859B。这里我们直接看IDA分析看到是需要9个字节可以填充到ebp,但是有时候IDA里面是分析错误的,所以最好我们手动进行分析。注意这里eax-3,所以要额外多减去3,可以看到算出的也是9,就说明要填充9个字节内容来占满。我们输入的内容是存放到eax中的,这里我们要计算下ebp到eax的。进入到函数之后,也是一直输入n步过,执行到gets()函数位置。
2025-06-27 19:17:28
856
原创 【PolarCTF】01
hint.txt的内容如下,bugku有个类似的题就是01转换为二维码,这题很类似。这里我用工具解密,没有这个工具的可以用在线网站。先通过替换功能,将0和1后面都增加一个空格。然后利用替换的功能将1的背景色填为黑色。解压后的的flag.txt内容为兽音。然后导入到excel中,步骤如下。也可以直接使用下面的脚本直接转换。截图扫描得到压缩包密码。可以看到是一个二维码。
2025-06-25 22:37:05
336
原创 【PolarCTF】100RGB
重写解码得到flag内容,最后的答案要去除RGG字符。得到如下的内容,但是其中有一些不是标准ascii码。但是通过解前几个可以看出就是ascii码。或者直接使用随波逐流。
2025-06-25 22:34:51
222
原创 【Cyberstrikelab】lab1
因为openvpn配置只允许一台电脑进行连接,因此这里我把openvpn放到kali上,然后将kali作为代理服务器让windows进行连接,这样windows也可以使用openvpn。通过proxychains4来使用msf的socks5代理,使用psexec.py(Kali自带)使用域管理员的hash来获得192.168.20.20的会话。刚开始我是手动点击运行的,显示的是dfz用户,读取内存凭证hash权限是不够的。尝试使用msf来开启,虽然提示错误,但是其实是成功的。
2025-06-24 14:32:43
703
1
原创 【Bugku】简单取证1
使用管理员权限打开mimikatz并且切换到config目录下。而且里面还有SAM文件,也可以知道与账号密码破解有关。然后运行下面的命令获取用户名和对应密码的hash。得知是要提取账号和密码。
2025-06-24 14:22:26
224
原创 【PolarCTF】非常好绕的命令执行
这里我们需要构造一个输出,所以使用echo仅输出了evil的内容,没有输出1,说明代码没有被执行,应该是后面括号的内容导致的加下;来进行隔断,就可以正常显示这里尝试使用passthru函数来执行命令,发现不行。
2025-06-24 13:15:56
329
原创 【VulnHub系列】West-Wlid1.1
通过arp-scan查找目标主机,确定目标主机IP192.168.10.104。网页源码什么都没什么有用信息,网页上有一张图片下载来看有没有隐写一些信息。端口没有什么可用信息,只能转头试试看smb服务。的内容像是Base64编码后的内容,尝试解码。账号发现其sudo拥有全部权限,可以直接拿下。对刚刚扫出来的端口进行详细的扫描+脚本扫描。目录是可读的,看看有没有可用的信息。端口没有进展可以尝试UDP端口。尝试下常见的文件,并没有存在。同时也进行UDP扫描,万一。得到凭据,SSH连接上靶机。
2023-07-02 08:27:24
515
原创 【VulnHub系列】BrokenGallery
通过strings来读二进制文件,通过head来读取前几行内容来确定文件类型。端口,发现文件都wget保存到本地,查看网页源码以及文件来收集信息。可以看到JFIF头,说明这个文件是图片文件,更改为Jpg后缀并打开。我们根据从图片获取的信息制作一个简易的字典文件尝试爆破SSH。再用exiftool来看看其他图片,没有发现有隐藏的信息。查看REAMD.md的文件类型,是。用cat发现都是十六进制的字节码。登陆broken,发现其可以通过。再对端口进行详细扫描和漏洞扫描。详细扫描发现80端口有几个文件。
2023-06-25 10:55:21
740
2
原创 【VulnHub系列】MyFileServer
找下拥有SUID的文件(PS:SUID文件是当文件运行时,会以文件拥有者的权限运行而不是当前用户的权限, 要给一个文件设置SUID可以通过 chmod u+s filename设置)通过上面的信息发现并没有什么可用的信息,但是系统的内核版本比较低可以尝试使用脏牛进行提权尝试用systemd-run打开一个shell,发现失败。结合之前ssh_config的配置信息,我们可以上传自己的一个证书来达到通过smbuser来登陆ssh。对扫出来的TCP端口进行做详细的扫描,对刚刚的扫描报告内容进行提取。
2023-06-21 21:30:47
827
原创 【VulnHub系列】DC4
https://note.youdao.com/s/FdSgf6NE
2022-04-09 13:53:48
757
原创 【Vulnhub系列】Breach1.0
https://note.youdao.com/s/4hswPJul
2022-04-04 11:39:12
676
原创 【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP
https://note.youdao.com/s/FViFcKpS
2021-07-31 00:47:40
5915
5
原创 【强烈推荐】ProxyPool-快速构建免费代理池
项目地址:https://github.com/Python3WebSpider/ProxyPool使用ProxyPool-master建立代理IP池(见自己的U盘)电脑提前安装好docker和docker-compose(若未安装可以参考https://www.cnblogs.com/morang/p/9501223.html)解压文件并执行以下命令[root@localhost ~]# cd ProxyPool[root@localhost ProxyPool]# docker-compose
2021-07-23 17:04:40
7324
原创 Kibana本地文件包含漏洞(CVE-2018-17246)
影响版本ElasticSearch Kibana < 6.4.3ElasticSearch Kibana < 5.6.13搭建过程cd vulhub-master/kibana/CVE-2018-17246 docker-compose up -d验证POChttp://your-ip:5601/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../
2021-07-23 16:59:00
5440
1
原创 【红队技术】第二节:信息收集
https://note.youdao.com/yws/res/88397/85F7B5DA551640E48A7BB98C7E241395
2021-06-13 11:28:24
5295
3
原创 Python3 webdriver 对于只有鼠标悬停才会显示的元素如何定位点击
最近在写自动封禁的脚本,遇到一个元素只有悬停才能显示功能菜单的问题我需要鼠标悬停到【响应处置】等待元素出现后再选择【一键响应】功能下面是解决该问题的代码段from selenium.webdriver.common.action_chains import ActionChainsresponse = driver.find_element_by_xpath("//*[@id='wrap']/nz-spin/div/div/div[1]/div/app-dispose-opt/nz-butto
2021-05-09 23:27:01
5111
1
原创 【红队技术】第一节:认识红队及安全法规(简记)
原版笔记地址:http://note.youdao.com/noteshare?id=316bde2a8fa68191d2c2ae30099d9f7d&sub=BB7B82FD573643DABF0DEE0E2807B34C什么是红蓝对抗?类似于军事领域的红蓝军对抗,企业可以通过红蓝对抗来检验企业安全状况,同时也可以通过红蓝对抗演练来寻找自身所存在的防御薄弱点。在网络安全中,红蓝对抗中蓝军扮演黑客、红军扮演防御者。在国外的话,扮演黑客的团队经常称作红队,但是在国内称为蓝...
2021-04-29 15:15:36
5747
1
原创 【Web安全】第二节:认识数据库
建议直接查看原版笔记:http://note.youdao.com/noteshare?id=7bfcee1c5dd9b1f5d14d1d6812a92dba&sub=C05F3698370545B4A3B5EAFFBE573919本节目标:学会数据库的基本使用1、什么是关系型和非关系型数据库,两者都包含哪些种类的数据库?关系型数据库:关系型数据库最经典的数据结构就是表,数据存储再数据表的行和列中,并且数据表之间可以相互协作存储,也容易提取数据。关系型数据库...
2021-04-29 15:07:24
6149
8
原创 python3 Requests模板没有MOVE请求方法问题的解决
使用Python编写IIS-PUT漏洞时,发现Requests没有MOVE请求方法后来发现Requests模块的request方法是可以自定义请求方法的下面就是利用request方法自定义MOVE请求方法r = requests.request('MOVE', url=link + "/test.txt", headers={'Destination':link + "/shell.{0}".format(ext)})...
2021-04-24 19:54:26
4906
原创 【Web安全】第一节:Web运行环境的搭建
第一节用MD的格式写的,写的比较多转发到CSDN有点麻烦。这次就直接放上笔记的连接文档:【Web安全】第一节:Web运行环境的搭建...链接:http://note.youdao.com/noteshare?id=1657ef6c5bfcaed4084e3ad826fbd7ff&sub=0DAA3F129DEC4EBDAC47C64499BDC995http://note.you... (undefined→中文)(0.349 秒) http://note.youdao..
2021-04-24 15:33:30
4769
1
原创 Python3 docxtpl 创建docx并在指定位置插入图片
前段时间在写自动化工作脚本,需要把图片插入到docx的指定位置。网上的资料比较杂,所以写一下进行整理1.jpg:2.jpg:test.docx:然后把这3个文件放在同个目录下完整代码如下:#!/usr/bin/env python3# -*-coding:utf-8-*-import docxtplfrom docx.shared import Mmimport sys# 要编辑的docx文档模板路径docx_path = sys.path[0] + r"\test.do
2021-04-18 12:03:39
12205
2
原创 【Vulnhub系列】DC3
文章目录基本信息实验过程额外补充利用php反弹shell使用Linux-Exploit-suggestion来辅助提权靶机下载地址:https://download.vulnhub.com/dc/DC-3-2.zip基本信息Kali:192.168.61.145DC3:192.168.61.163实验过程同样先通过arpscan扫描找出DC3的IP地址sudo arp-scan --interface eth0 192.168.61.1/24这里可以直接看出DC3的IP地址为192.1
2021-04-08 14:29:05
5174
原创 【Vulnhub系列】DC2
文章目录基本信息实验过程额外内容rbash另一种绕过方式另一种查看当前用户可用命令方式靶机下载地址:https://www.five86.com/downloads/DC-2.zip基本信息Kali:192.168.61.145DC2:192.168.61.162实验过程在Kali中先进行内网探活sudo arp-scan --interface eth0 192.168.61.1/24排查筛选得知,192.168.61.162为DC2的IP地址接下来用Nmap对DC2进行端口扫描n
2021-04-08 14:13:11
5263
1
原创 Kali源 + 2020Kali没有arpspoof
用2020Kali的时候发现没有ARPspoof然后老是要百度Kali的源,而且网上的也是各种混杂。就顺便2个问题一起记录下。Kali源(官方 + 网易)#kali 官方源deb http://http.kali.org/kali kali-rolling main non-free contribdeb-src http://http.kali.org/kali kali-rolling main non-free contrib# 网易源deb http://mirrors.163.c
2021-03-30 22:09:13
7070
原创 【Vulnhub系列】DC1
文章目录基本信息实验过程额外内容使用CVE2014-3704添加管理账号另一种查询具有root权限命令的find语句下载地址:https://www.vulnhub.com/entry/dc-1-1,292/基本信息Kali:192.168.56.116DC1:192.168.56.115实验过程现在Kali中使用arp-scan进行主机探活sudo arp-scan --interface=eth1 192.168.56.0/24逐个排查发现DC1的IP地址为192.168.56.11
2021-03-07 14:53:46
6332
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人