Vulnhub-DC-3
信息搜集首先信息搜集,扫描网段发现靶机ip192.168.100.136 1arp-scan -l nmap扫一下端口 1nmap -sV 192.168.100.136 开放了80端口,web指纹信息 1whatweb -v 192.168.100.136 Web 服务:Apache/2.4.18 (Ubuntu) CMS:Joomla 全站程序(MetaGenerator 标识) 前端组件:Bootstrap、jQuery、HTML5 页面存在密码输入框PasswordField[password] → /administrator后台登录页存在 存在 Joomla 会话 Cookie,确认站点正常运行 访问一下网站 这次只有一个 flag,一个入口点,没有任何线索。 要拿到 flag,你显然需要获得 root 权限。 如何获得 root 权限取决于你——当然,也取决于系统。 祝你好运——希望你能享受这个小挑战。:-) 漏洞利用分析知道cms是Joomla,使用joomscan分析下版本 1joomscan -url 192.168.100.136 ...
Vulnhub-DC:2
环境配置修改模式改为NAT模式 当前网段为192.168.100.0/24 信息搜集首先扫描网段 1arp-scan -l 192.168.100.135就是目标靶机。nmap扫描一下 1nmap -A 192.168.100.135 扫描结果有80端口, Apache httpd 2.4.10 ((Debian)), 1Did not follow redirect to http://dc-2/ 访问ip被重定向到http://dc-2 首先配置host文件,在C:\Windows\System32\drivers\etc\host在文件末尾中添加 1192.168.100.135 DC-2 再执行 1ipconfig /flushdns 就可以访问网站。 web指纹信息 1whatweb -v 192.168.100.135 WordPress 4.7.10 + Apache2.4.10 Debian 漏洞利用首先访问网站就可以得到flag1 你常用的单词列表可能不管用,所以,或许你需要发挥一下自己的特长...
Vulnhub-DC:1
环境配置首先环境配置,需要将靶机和kali设置为NAT模式 当前网段是192.168.100.0/24 信息搜集nmap扫一下网段,主机探测 1nmap -sn 192.168.100.0/24 192.168.100.134就是我们要打的靶机。全量扫描一下 1nmap -T4 -A 192.168.100.134 web指纹识别 1whatweb -v 192.168.100。134 信息搜集如下: 端口服务信息: 1234522/tcp:ssh服务开启,版本:OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)80/tcp:HTTP服务开启,版本:Apache httpd 2.2.22 ((Debian))111/tcp: rpcbind服务开启,版本:2-4 (RPC #100000) web指纹信息: 1234567Apache/2.2.22 (Debian)PHP 5.4.45CMS Drupal 7JQuery 漏洞利用漏洞利用关键在CMS Drupal 7,使用metasploit查找一下相关漏洞 12us...
Fastjson反序列化漏洞
Fastjson概述fastjson是一个阿里巴巴开源得Java库,用于将对象转化为JSON的表达形式,也可以将JSON字符串转换为等价得java对象,Fastjson反序列化用于将json字符串住转换为Java对象的过程。转换常用的方法主要有3种 123parseObject(String text,Class<T> class) //将json转换为对象parseArray(String text,Class<T> class) //将json转换为java集合toJSONString(Object object) //将json转换为对象 示例: pom.xml导入fastjson 12345678<dependencies> <!-- FastJSON 依赖 --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</ar...
java反序列化-cc1链
前言Apache Commons Collections是java官方集合工具的加强补丁包,专门补原生java集合不好用,功能缺失的问题,cc链就是在Commons Collections包中的反序列化利用链,本文分析的cc1链依赖环境:JDK版本:1.8.0_8u65,Commons Collections 3.2.1及以下版本 漏洞原理分析cc1链路流程如下 1AnnotationInvocationHandler.readObject()----AbstractMapEntryDecorator.setValue()---TransformedMap.checkSetValue()---ChainedTransformer.transform()--InvokerTransformer. transform()---Runtime.getruntime().exec() java原生的反序列化要满足两个条件,入口类实现序列化接口并且重写了readObject函数,重写之后才有可能执行危险的方法。 Transformer接口 这里一个函数调用接口,输入任意object对象,...
楚慧杯线下
前言这周运动会还有楚慧杯线下撞到一块了,这次只能说一路坎坷,跌跌撞撞,囧事不断,还有借此机会面基了战队的一位师傅,人帅技术吊还是大一的,羡慕死了,忆往昔我大一还在陪跑。就在这篇文章记录这次武汉之旅。 赛前我们是周四出发,正好这天学校运动会开幕式,队友是学生会主席,要负责开幕式的一些工作,买的下午的票,正好上午去看看开幕式,看看各个学院的才艺,下午我们就出发了。学长临走前的嘱咐(后面要考的) 一路翻山越岭,5个小时真煎熬。到地方就去吃饭了必须推荐一波汉江路的小民大排档 超级无敌好吃。吃完饭后在等车队里的re手我土哥买了一根路边摊的淀粉肠。 比赛比赛当天早上主席说充电器没带,,,无伤大雅我们的充电器也可以用,四台电脑三个充电器也能用,到地方签完到知道就线下面基了战队的一位师傅,依旧人帅技术吊,大眼一扫怎么都是中登和老登啊吓哭了。 上午打的还可以,流量分析我直接用netA分析拿了不少分。正打类土哥就去窜,去了三四次,然后另一位师傅卷师傅打不动了,准备玩植物大战僵尸,之前做题的附件名就是植物大战僵尸杂交版.exe这个附件一运行就关机。他也没看直接运行了,然后电脑直接关机了。笑死我...
UNICTF2025
前言题目来源https://www.ctfplus.cn/,可以直接搜索标签`UNICTF2025`就可以找到题目了。这个当时参加之后没有系统复现学习,学习一下 webGlyphWeaver首先看源码 这里注释写到了使用的jinja2模板,还有两个路由POST /api/preview → 实时预览POST /api/export → 创建导出任务(异步)可以考虑ssti了。 还有就是这个CJK-friendly,这个就是中日韩统一表意文字。题目经过测试存在waf,过滤了{{}},但是题目提示了这个,在处理中日韩文字,最常见的清理手段就是Unicode Normalization,把全角字符转换为半角字符。可以提在预览界面尝试一下啊 这里输入的全角字符{{7*7}},经过处理转换为半角字符,这里知识处理过了,便没有渲染执行,而在/api/export 的二次 Jinja 渲染 最后的payload 1{{lipsum.__globals__.os.popen("cat /flag").read()...
java反序列化-URLDNS
前言最近在学习java反序列化的知识,先从入门链开始分析,就是这个urldns链,简单来说就是反序列时发送一次dns请求,特点是只用到了jdk自带的类,并不受版本限制,主要用在漏洞检测,查看是否存在反序列化漏洞点。接下来开始分析 原理分析具体链路就是 1HashMap.readObject()→HashMap.hash()→URL.hashCode()→URLStreamHandler.getHostAddress()→InetAddress.getByName() 接下来结合代码具体分析 12345678private int hashCode = -1; public synchronized int hashCode() { if (hashCode != -1) return hashCode; hashCode = handler.hashCode(this); return hashCode; } 这里定义的hashCode为-1,就是如果hashCode如果不等于-1就返回,如果等于-1就会执...
NCTF
前言“古法CTF已死,拥抱新时代ai”,在如今agent横行的时代,手搓的ctfer已经站不住脚了,学习ctf已经没有正反馈了,榜单上全是agent,慢慢的没有学习动力。也不知道还能坚持多久走一步看一步吧。 webN-Horse进去就是一个登入界面,经过测试可以分析存在ssti 这里还有一个点就是存在xss,常见的考法就是通过xss窃取cookie。经过测试这个题的cookie为空,还是尝试ssti,关键这里无论输入什么都只显示原样,通过sleep函数判断是否会执行ssti 1{{lipsum.__globals__['os']['popen']('sleep 5').read()}} 看时间可以看到sleep函数执行了,然后接下来其实就是无回显rce了,经过测试应该是不出网的,这里看到前端有一个图片,路径是 static/images/horse.jpg,接下来可以把命令执行的结果写入静态文件然后读取文件即可 1{{lipsum.__globals__[...
polarisctf复现
前言复现一下polarisctf的题目,依旧被按在地上摩擦,好好学习一下 web这web都被打烂了,agent还是太超模了 ez_python一道简单的原型链污染 1234567891011121314151617181920212223242526272829303132333435363738394041424344from flask import Flask, requestimport jsonapp = Flask(__name__)def merge(src, dst): for k, v in src.items(): if hasattr(dst, '__getitem__'): if dst.get(k) and type(v) == dict: merge(v, dst.get(k)) else: dst[k] = v elif hasattr(dst, k) and type(v) == dict: ...
