- 博客(133)
- 收藏
- 关注
RSS订阅原创 一款全自动化子域名信息收集工具-Tailorfinder
一款方便懒人对cn企业资产自动化收集工具,避免重复造轮子,因为将现有的信息工具缝起来并将结果自动进行去重并对fofa,hunter收集到的ip的c段进行统计,所以取名裁缝-Tailorfinder。准备fofo,hunter,SecurityTrails, hunteremailkey,爱奇查,天眼查 的key或者cookie。收集的结果有子域名,c段,控股子公司,子公司及主公司主域名,邮箱,app资产。再利用以上信息工具进行收集子域名并输出为excel,总共有以下几个表格。先收集主域名和子公司主域名。
2023-04-01 16:18:33
549
1
原创 [羊城杯 2020]EasySer
这题出的挺离谱的,记一下进去是这个页面,扫一波目录,得到robots.txt,又得到/star1.php尝试ssrf访问 <?phperror_reporting(0);if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) { highlight_file(__FILE__);} $flag='{Trump_:"fake_news!"}';class GWHT{ public $hero; public functi
2021-05-22 22:13:01
3199
原创 [HFCTF 2021 Final]easyflask
最近看到buu上了几个新题拿一个做做按照提示得到源码有个SECRET_KEY还有个文件读取,这边禁用了黑名单,用绝对路径直接读/proc/self/environ试试找到秘钥glzjin22948575858jfjfjufirijidjitg3uiiuuh继续看源码下面有个反序列化的操作,思路不难了,pickle反序列化RCE最好全程都在liunx环境下进行import picklefrom base64 import b64encodeimport osUser = ty
2021-04-29 19:39:12
5168
4
原创 Tomcat7+ 弱口令 && 后台getshell漏洞
tomcat/tomcat默认密码登录manage正常安装的情况下,tomcat8中默认没有任何用户,需要爆破弱密码才可getshell点在war包这里将冰蝎马添加为zip,再改为war访问文件名目录
2021-03-26 20:24:35
728
原创 nepctf2021
weblittle_trick非常简单的命令执行绕过substr(0,-1)从最后开始过,echo`nl%20*`;梦里花开牡丹亭<?phphighlight_file(__FILE__);error_reporting(0);include('shell.php');class Game{ public $username; public $password; public $choice; public $register;
2021-03-25 16:20:00
826
1
原创 [VNCTF 2021]realezjvav 复现
发现是springboot框架写的测试sql注入发现注入点在password这里典型的盲注发现不能布尔盲注,试试时间盲注发现有过滤为1714的都是被过滤的盲注的两个sleep和benchmark都被过滤了搜一波绕过讲解发现能用那个笛卡尔积绕过payloadusername=1&password=-1' or if((ascii(substr((select database()),1,1))>200),1,(SELECT count(*) FROM infor.
2021-03-19 00:36:09
767
4
原创 [网鼎杯 2020 朱雀组]Think Java
源码中给了提示:Swagger UI:提供了一个可视化的UI页面展示描述文件。接口的调用方、测试、项目经理等都可以在该页面中对相关接口进行查阅和做一些简单的接口请求。该项目支持在线导入描述文件和本地部署UI项目。搜索一波默认目录发现存在/swagger-ui.html一共有这三个路由审计源码发现sqlDict类中有个sql注入这是一个JDBC sql注入payloadmyapp#' union select 1#为什么这样能,放上这位师傅的博客讲解把用户密码注出来a
2021-03-16 19:32:55
996
6
原创 [V&N2020 公开赛]EasySpringMVC
源码包下载,分析文件十六进制是PK头,改为zip解压,idea直接反编译目录结构如下进入网页发现上传文件这里必须是管理员才能上传由此猜测能不能伪造cookie审计源码发现只要刚开始访问网页就会经过ClentInfoFilter过滤器,看看这个过滤器干了什么发现会自动创建一个属于normal组Anonymous的用户,再将cookie进行base64传入由此尝试伪造cookie依葫芦画瓢这里注意,由于存在cookie的情况下,他会调用Tools里的parse方法,这个方法用到了r
2021-03-13 20:42:36
434
3
原创 CVE-2019-6339 复现
影响版本Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本
2021-03-13 11:08:49
277
原创 weblogic RCE(CVE-2020-14882 CVE-2020-14883) 复现
影响版本Weblogic : 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0vulhub 一键起即可CVE-2020-14882未授权访问http://10.219.64.141:7001/console/css/%252e%252e%252fconsole.portal这个payload其实是经过了2次url编码访问如下url即可越权访问后台CVE-2020-14883payload一:console/css/
2021-03-10 22:11:16
690
2
原创 Vulnhub DC-6
信息收集arp扫网段nmap -O -sV --open -A -T4 -v 192.168.1.144扫端口开放22 80端口漏洞利用kali 修改hosts即可和DC-2 一样DC-2访问后和DC-2一样是wordpresswpscan扫wpscan --url http://wordy -e uadmin jens graham mark sarahcewl 取密码wpscan爆破全部都不行原文中给的一个提示用kali自带的一个字典,kali yyds
2021-03-03 21:30:37
128
1
原创 Vulnhub DC-7
信息收集扫ip和端口nmap -A -sV -T4 -O -v 192.168.1.143开放80和22端口漏洞利用Drupal8框架,我们可以发现这是Drupal8,以往都是7,说明之前的漏洞已经修复了看到他的介绍要我们以靶机为思路搜下面的USER发现推特账号推特里有github查看config.phpdc7user/MdR3xOgB7#dW网页登录失败,ssh登录成功MySQL登录失败查看mbox文件,里面有一些操作记录发现有个备份的sh发现这里
2021-03-03 10:55:57
139
1
原创 Vlunhub DC-5
信息收集arp扫内网ip扫端口nmap -A -sV -O -p- -T4 192.168.1.141 -v开放80和111端口#漏洞利用发现Contact可以提交信息,没啥思路,扫目录扫到可知Copyright 年份每次刷新都会变而我们每次提交Contact.php 后下面也有个Copyright由此猜测有个文件包含,fuzz参数爆破出file参数当然有看到大佬用wfuzz爆破的,前提是你有个字典wfuzz另外发现中间件是nginx,包含日志文件试试?fil
2021-03-01 15:22:31
167
原创 Vulnhub DC-2
信息收集arp扫内网扫端口nmap -A -p- -T4 192.168.1.139 -v发现端口80和7744(ssh)直接访问80端口会跳转,导致无法访问kali修改hosts漏洞利用成功访问后到flag1给了提示要用到cewl,cewl kali自带,用于爬行网站生成弱密码cewl http://dc-2/ -w dc-2.txt但是不知道用户名,先留着,这里是wordpress框架,用wpscan(kali自带)爆出用户名wpscan --url dc-2 -e
2021-02-28 16:46:29
150
原创 postgresql 带外注入
最近某秋弄了个比赛,有个题是FBCTF的原题魔改的脑洞题记录下postgresql带外注入(FBCTF)FBCTF详解解题这题就是脑洞,flag名字在.htaccess文件里,提示也只说flag在web的某个目录下,真鸡巴离谱,这题的数据库用户权限很低,只有查询权限,RCE是很困难的我用的是外联数据库的方法vps环境:Ubuntu18.04apt install 安装即可百度有修改配置文件设置listen_addresses = ‘*’重启服务手机访问 f12体验苹果6用上
2021-01-31 23:10:15
639
原创 ctfshow java篇
web279这个编号有点奇怪,搜搜漏洞讲解里面有payload直接用,我不知道啥原因echo FLAG flag不出来因为这是动态靶机,直接看/proc/self/environ%{#a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/proc/self/environ"})).redirectErrorStream(true).start(),#b=#a.getInputStream(),#c=new java.
2021-01-27 17:09:44
1033
1
原创 *CTF2021部分复现
weboh-my-note从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id看到 view路由可以发现我们可以通过这个公开页面获得note_id网页中恰好也给到了admin 的note_id而我们发现在my_notes 这个路由我们有两种方式看到提交的note一种session,另一种是GET请求发送user_id很明显,题目意思要求爆破user_id创建用户和提交时间可能存在几毫秒的偏差源码中采
2021-01-20 10:29:34
1396
原创 BUU----MIsc刷题记录
[GKCTF2020]Sail a boat down the river视频有个二维码直接扫,扫出一个链接后,用油猴直接破解密钥然后解数独…解数独网站根据提示是一行不是一列解出来52693795149137得到密钥后开始猜加密方式解密,得到GG0kc.tf然后压缩包里是一个乐谱文件用overtrue 5 打开...
2021-01-17 19:35:05
962
1
原创 [网鼎杯 2020 青龙组]filejava
可以发现他的form表单传入的路径是/UploadServlet 明显就是一个Java类经过测试尝试目录穿越报错500 回显了一段前端,我们用脚本处理下处理后爆出绝对路径只要稍微学过一点java web的人都知道web.xml是java的配置文件一般都在WEB-INF目录下../../../web.xml成功读取到配置文件。以及各个类的路径只要你搭过Tomcat服务器就知道这些类都在WEB-INF/classes目录下把这些类全部下下来../../../classes/cn/.
2021-01-15 20:20:35
647
原创 JAVA web 安全之反射详解
看了很多大佬们的博客,发现java的反序列化漏洞都绕不开反射,大多数payload也与反射机制密切相关java反射机制在此之前,我们先要了解Class类以及其方法Class类详细讲解这里列出相关重要的方法根据类名获取类 forname()获取类下的函数 get Method()执行类下的函数 invoke()这个方法位于getMethod()里面,传的参数需要传一个实例化的类实例化类的对象 newInstance()将类进行实例化,在forName获得类对象后,使用该方法将其实例化
2021-01-13 17:58:57
284
原创 记一次编写日志文件分析工具
因为发现老是有吊毛爆破我的博客,我博客又不是拿wordpress搭的,你爆你????呢???我就想着查这些人在干哈子以及ip地址,就编写了个日志文件分析工具,这个针对nginx的日志文件分析static-log目前已放到GitHub上这个工具不仅能够查询日志文件上的ip地址还能够统计他的访问次数,以及访问的请求是什么,都将以excel表格进行存储将日志文件从服务器搞过来ip地址查询接口我所用的是上面这个接口,这个接口做了请求速度访问限制,因此我做了延时,每查询到30个ip延迟1分钟py
2020-12-31 16:14:53
349
2
原创 N1BOOK XSS漏洞
level 1反射型XSS观察urlusername=<script>alert(1)</script>level 2查看源代码发现这里做了编码因为本身是放在script标签里,只需要闭合就可username=123';alert(1);//level 3无果换一个标签后发现可行username=<img src="javacript::alert(1)" onclick="alert(1);">level 4会进行重定向可
2020-12-27 11:39:41
610
原创 N1BOOK SSRF
可以用dict和file协议进行读取,但是读不到完整的flag,说明flag.php做了ip限制访问本地ip即可读取url=http://127.0.0.1/flag.php利用url解析绕过<?php highlight_file(__FILE__);function check_inner_ip($url) { $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); if (!$mat.
2020-12-26 19:34:54
379
原创 [网鼎杯 2020 白虎组]PicDown
抓包发现参数是url,猜测ssrf无回显,测试无果注意到后面的目录没有php字样,应该不是php写的,有可能是py或者node.js我试了试文件包含?????????我甚至都没用目录穿越这不傻逼么题目应该没那么简单,我去搜搜wp果然没那么简单先读去绝对路径/proc/self/cmdlinepython2 写的flask读源码,代码审计看到page这个路由这个东东冒得用,就禁了个file协议但是我输入file也没给弹hacker,这我就很疑惑直接看到最后一个路由.
2020-12-17 21:49:48
737
原创 ctfshow文件包含篇
web80-81web80过滤了data协议,php这题新思路,伪造UA写入php代码,然后包含日志文件来进行getshell,当然这题还可以用大小写绕,因为str_replace区分大小写?file=/var/log/nginx/access.log查flag即可web81web82-86过滤了.不能通过文件包含来进行绕过利用session.upload_progress进行文件包含不多说了,WMCTF也做过import ioimport sysimport req
2020-12-17 21:43:47
1100
1
原创 N1BOOK 入门session伪造
爆出网站目录,flag没权限可以读试下读/procpython 的任意文件读取由于不知道server.py的路径可以用/proc/self/cwd来代表路径跳转到当前目录读到源码做一下处理import htmlpython='''import osfrom flask import ( Flask, render_template, request, url_for, redirect, session, render_template_string )from flask_s.
2020-12-14 23:04:01
476
原创 ctfshow命令执行篇
web41取反和异或,$被过滤也不能通过位运算但是 | 运算符没有被过滤参考文献def action(arg): s1="" s2="" for i in arg: f=open("异或.txt","r") while True: t=f.readline() if t=="": break if t[0]==i: print
2020-12-14 19:41:49
887
原创 渗透测试学习(一)
vulnhub-CD1这是初级,非常适合菜鸡下载后虚拟机打开,选择桥接模式要登录信息收集,因为处于同一网段arp-scan,扫内网网段的神器首先查看自己windows的ip扫到一个ipnmap 扫端口nmap -sS T4 -A -p- -v 192.168.10.14级速度扫描端口,做一次全面扫描开放四个端口 22,111,80,34374访问网站Drupal 框架写的站点看到大多数提权都是用MSF进行攻击的kali启动用2018年的漏洞进行攻击...
2020-12-08 13:08:21
436
原创 weblogic ssrf-redis 复现
复现环境vulhub感谢vulhub开源,非常方便复现漏洞漏洞存在点http://127.0.0.1:7001/uddiexplorer/burpsuit抓包发现url请求分别发送原来的包以及baidu.com的包发现报错信息返回不同不能连接80端口,这说明我们是可以访问的而weblogic是开放7001端口的,访问下7001端口试试发现回显了404no found,说明可以探测内网端口是否开放探测内网ip地址docker环境的网段一般是172.*根据回显不同,搜内网
2020-12-07 21:49:50
500
1
原创 [SWPUCTF 2018]SimplePHP
文件上传测试,发现对文件后缀有着严格的过滤上传无果他这里有个查看文件点进去看看注意url,猜测文件包含他源代码里有个flag.php,读取失败,但是读取upload_file.php却可以读取funciton.php白名单过滤,那我试一试上传图片????⑧彳亍,他上传完后会更改文件名,那俺把他源码全搞下来有这么些代码重要的是class.php看到这里就不难想到是phar反序列化了看到show类的_show方法,有个高危函数而Test类也有个高危函数接着寻找POP链
2020-10-29 00:01:53
627
原创 [NPUCTF2020]web狗
新东西审计源码发现采用AES加密这是拿php写的AES加密页面,emmm,这个是密码学的东西不愧是web????由源码可知AES密钥长度为128位,加密$iv和明问$data可控。AES CBC的两种攻击手法:Padding Oracle和字节反转这道题刚好考到这两点Padding Oracle适合在我们可以知道iv,不清楚加密Key,能够区分解密成功与否的情况下,直接获得明文而这题刚好可以判断解密是否成功Padding Oracle根据上述文章在Padding Oracle At
2020-10-27 23:42:21
1199
1
原创 记一次我ddos我自己
今天????拿awvs扫俺的博客发现我博客有个缓慢式http请求拒绝验证,俺就研究了哈子这个属于DDOS的一种主要有三种攻击类型slow headersslow bodyslow read原理:以极低的速度 持续向web服务端发送一个请求包,由于服务端对于并发的所有连接数有一定上限,如果攻击者持续的建立这样连接,那么服务器就会被一点点占满,然后网站就崩了。慢速攻击利用的工具Slowhttptestkali下安装方法 git clone https://github.com/shek
2020-10-27 15:27:13
274
原创 [PwnThyBytes 2019]Baby_SQL
根据题目名字,测试sql注入抓包看到源代码,猜测文件包含,测试无果登录和注册都没有注入点题目提示也有既然没思路,就扫目录buu有请求次数限制,自己写个目录扫描发现是source.zip泄露代码审计index页面有个函数会进行转义他这里转义了所有传过去的参数看到register和login都没有啥过滤,register必须要为admin注册可以发现登录是存在注入点的而index那个绕过是需要GBK编码才能绕的,之前还想着看看能不能二次注入,也不行回过头来看到这段代码re
2020-10-16 19:46:40
1866
原创 [HITCON 2016]Leaking 记录
node.js 代码审计⑧太懂node.js他是用VM2来执行的可知bufferemmm,搜着搜着wp搜出来了相关wp低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么我们可以构造paylaod读取内存相关资料这我也看不懂。。。。。emmmm记得用数组来绕这个长度限制payload(这个payload在buu无效)?data[]=for (var step = 0; step < 100000; step++) {var buf =.
2020-10-16 19:46:06
782
原创 [HarekazeCTF2019]Sqlite Voting 记录
分析源代码,这边过滤了很多sql关键字这是sqllite 的数据库,mysql的绕过也不可知,由于他过滤了" '所以无法判断是字符型还是整形,题目前面还给了一段sql语句可知flag在flag表里看到这里很明显就要根据这个update来进行盲注这边我的思路是用mid来代替substr(),我尝试采用异或,括号代替空格无果,查了查了sqllite,好像没有^这个逻辑运算符,看wp了,对sqllite不熟wp参考发现sqllite abs可以弄个整数溢出如果 abs 的参数是 -9223
2020-10-16 19:45:55
695
原创 [watevrCTF-2019]Supercalc
看到这种题很容易想到是模板注入直接测试有过滤,之前刷过flasksession伪造的题目抓包查看cookie可能是JWT伪造先去github找个脚本解一下cookie脚本可以发现这里面的cookie刚好就是我们刚刚提交的东西题目意思够清楚了,接着就是如何伪造session了而想要伪造必须要拿到secrect_key,而由于直接输入{{}}不可行。那就看他有没有地方可以报错可以发现1/0报错了可是由于输入{{}}不可以,学到个新思路,用注释来绕过可以发现通过注释我们可以直接.
2020-10-16 19:45:44
720
原创 [SWPU2019]Web3
上传有个权限,拿admin去登无果,猜测cookie伪造看到cookie 可以发现是jwt加密的,放到jwt官网解密无果,在网上看到p神的脚本import sysimport zlibfrom base64 import b64decodefrom flask.sessions import session_json_serializerfrom itsdangerous import base64_decodedef decryption(payload): payload, s
2020-10-16 19:45:18
538
原创 [XDCTF 2015]filemanager
刚开始测试文件上传结果测试无果抓个包也看不出啥,扫下目录/www.tar.gz主要说下几个代码upload.php<?php/** * Created by PhpStorm. * User: phithon * Date: 15/10/14 * Time: 下午8:45 */require_once "common.inc.php";if ($_FILES) { $file = $_FILES["upfile"]; if ($file["error"] == UP
2020-10-16 19:44:50
415
原创 [watevrCTF-2019]Pickle Store
买腌黄瓜抓包看下,发现cookie的加密方式有点熟悉base64解密应该是basse64加某种特殊的加密看到了题目名字Python 有个pickle库那应该是个反序列化漏洞了这个序列化漏洞,详解之前国赛的题目发过一个链接,就不发了这个序列化看好多脚本都是python2 做的,可以去kali下用脚本将cookie loads一下但是这题并不是要我们买那个1000出flag而是需要弹shell由此构造exp,注意在linux环境下运行import base64import p.
2020-10-16 19:44:31
460
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人