c30%00-CSDN博客

原创内网渗透——红日靶场七

碰了很多回壁总算将这个靶场打完了，回顾一下上面所学的知识点：（1） Laravel v8.29.0 版本漏洞 -> Laravel-CVE-2021-3129-EXP.py 写入shell（2）docker 提权：伪造环境变量ps -> /bin/bash（3）docker 逃逸：privileged特权模式逃逸（4）redis 写入公钥（5）SSH隧道代理（6）通达OA 任意文件上传（7）端口转发，代理链的建立，持久化。

2025-08-02 16:22:35 976

原创免杀学习篇（1）—— 工具使用

第一部分内容主要是先熟悉一下一个大概的免杀流程以及webshell可能会被监测到的三个层面：表面代码层（混淆）、操作行为层（魔改）、工具指纹层（魔改），之后会跟着小迪安全学习后续内容。

2025-07-15 23:35:51 863

原创攻防世界——Web题 very_easy_sql

看到了题目是sql就猜测是sql注入和万能密码了，但怎么试貌似都没有反应，看源代码发现了use.php访问use.php页面可以猜测这里是SSRF，可以访问到我们本不能访问的界面，比如：服务器本地的127.0.0.1:3306先尝试127.0.0.1发现成功包含了index.php页面，此页面端口号为80端口，而我们要用到的就是这个端口，还记得一开始的页面：应该是借助这里的SSRF，才有正常的身份验证权，现在就是想如何借助SSRF向服务器构造请求，让服务器正常执行我们的身份验证权。

2025-07-13 23:47:10 904

原创攻防世界——web题 upload

首先看首页登录框就猜测是功能型的漏洞，先注册一个账号进去看看发现可以进行文件上传，jpg类的可以被上传，上传后的文件名会显示在页面内，这个地方应该和数据库进行连接了，在数据库中搜索得到了我上传的两个文件名，然后回显到该页面上，也许这个地方可以尝试sql注入？

2025-07-11 20:55:52 306

原创攻防世界——web题catcat-new session值伪造

（1）为防止session值被篡改，框架会使用secret_key对session数据进行签名或加密，若想要伪造有效的session，就得先获得服务器的secret_key。（2）但若直接读取该文件（/proc/self/mem）会返回整个进程的内存数据，其中大部分是无效或不可访问的内容，而我们要找的是可读写的内存区域，这个时候就得先读取/proc/self/maps了。（3）/proc/self/maps 用于记录当前进程的内存映射信息，包括：内存区域的起始和结束地址、可读写的区域、映射的文件。

2025-07-10 21:41:29 599

原创内网渗透——红日靶场五

上面建立的域管理员用户以及植入的文件隐蔽性还是不够，后面会对其进行专项学习。学习使用.NET 安全矩阵的工具，再学习一下免杀。

2025-07-07 21:58:26 386

原创第二届Parloo杯——应急响应主线学习

接下来再看redis，查看redis的日志记录：/var/log/redis/redis-server.log 发现redis版本为5.0.7，是存在未授权访问的。攻击者可能从这四个服务来展开攻击，以前学习过有关redis的未授权访问，其中有一种方法就是通过写入ssh公钥的方式植入恶意用户，所以我先不排查ssh，先看看sql服务，查看/var/log/mysql/error.log日志记录。，只要还有进程打开这个文件（即使文件名已被删除），文件内容仍然存在于磁盘上，直到所有打开它的进程关闭文件描述符。

2025-07-05 00:27:54 619

原创第二届 Parloo杯应急响应学习——畸形的爱

准备好题目环境，解压密码为：Parloo&zgsfsys&onefox&solar**juyt登录密码为：WebServer。

2025-06-29 20:50:53 713

原创攻防世界——Web题 unseping 反序列化&绕过

代码执行顺序：当我创建对象时执行__construct，此时的method 和 args 被设置好了；之后发生反序列化，调用__wakeup，对传入的参数进行waf检查，确保没有特殊的字符和字符名；最后反序列化结束后，调用__destruct，实现命令执行。最关键的是绕过waf。

2025-05-24 17:36:15 567

原创内网渗透——红日靶场四

该靶场还是学了很多知识，对于内网也更加得心应手了些，回忆一下整篇打靶的路径：首先是通过Tomcat文件上传，成功获得了docker的shell然后利用docker的权限配置问题，进行了docker逃逸进行了ssh爆破，获得了更加稳定的shell使用frp搭建了代理隧道，期间也解决了一些问题，成功用永恒之蓝打下WIN7加载mimikatz抓取win7账号密码，sid。发现是system权限直接修改本机管理员的密码，打开3389端口登录本机管理员。

2025-05-23 19:59:23 1396

原创攻防世界——Web题 fakebook

如果直接使用data传入序列化字符串，是不是就能经反序列化函数解析为UserInfo对象，从而读取该对象的blog值，执行请求并返回响应内容呢！在绕过的同时，我开始扫目录。发现这里有 curl ，可执行请求并返回响应内容，这里我想到的就是搭配file://进行读取了，还有一个原因是：当我访问flag.php、db.php等等，发现返回的内容都为空，但这里应该就是flag.php!于是猜测这里应该是对 union select 整体的一个绕过，如果使用 union/**/select ，发现可以绕过。

2025-05-21 21:39:56 1145

原创攻防世界——Web题 shrine SSTI模板注入

看样子是将config给禁用了，但是这里禁用的应该只是Jinjia2模板中对Flask应用配置对象的“引用”，全局配置对象app.config始终存在于应用的后端，没办法直接从模板层彻底移除，所以我们可以尝试引用全局的config。可以看到有两个路由，一个是 '/' 一个是 '/shrine/' ，看代码也知道基本要进行SSTI模板注入了，有一些过滤在里面，直接访问路由/shrine，并在后面加入{{2+3}}通过这个current_app 可以访问app.config。再访问此时的config。

2025-05-20 20:11:44 371

原创攻防世界 Web题--easytornado

已经可以看出一些端倪了，flag在 /fllllllllllllag 下，但后面需要跟上一个filehash参数，这个参数根据每个文件的名字不同而不同，具体的运算内容是/hints.txt中显示的算式。而handler.settings 包含了 Tornado 应用启动时的所有配置项，这些配置在创建 Application。这里应该就是利用模板注入了，通过注入特殊的参数来获得值cookie_secret。上网搜索了下什么可以访问到tornado里的cookie_secret，给的解释有。

2025-05-20 16:29:45 785

原创 vulfocus漏洞学习——redis 未授权访问（CNVD-2015-07557）

Redis 是一个免费开源的键值存储数据库，数据默认存到内存中，用简单的 C 语言编写，能通过网络访问。该漏洞的成因是：在默认情况下，Redis会绑定到 0.0.0.0:6379，这意味着Redis会直接暴露到公网上，而此时如果又没有设置密码认证，会导致任意用户在可以访问到目标服务器的情况下未授权访问Redis并读取Redis的数据，还可以利用Redis提供的命令将自己的ssh公钥写入目标服务器，从而导致可以直接进行ssh登录目标服务器。

2025-05-19 20:58:13 472

原创攻防世界——web题Web_python_template_injection

以前对于python的模板注入了解得并不很细致，基本就是用别人的payload，希望借此一篇来丰富一下。

2025-05-13 15:54:56 697

原创内网渗透——红日靶场三

前段时间备考计组计网导致很久没有学习了，要开始狠狠补救一下了。到前面的外网渗透都还挺顺的，一进入内网，特别是使用msf时，就有些懵了。今天学习到的msf知识还是很多的，总体来说遇到的问题有，但换个法子也能解决。比如最后面的用msf来管理win2012，我一开始是学习其他师傅使用IPC来共享win2008中的木马，从而让win2012上线，但是一直显示出错，后来就又想到直接横向了。如果有问题的地方，还请提出（抱拳）

2025-05-09 22:05:15 998

原创攻防世界——Web题ez_curl

这道题最终得不到flag，用了很多师傅的代码也不成功。但还是需要学习重点在中间那部分：（1）!req.query.admin.includes('false') 检查URL查询参数admin的值是否包含 false 如果不包含则条件成立（2）req.headers.admin.includes('true') 检查headers头admin的值是否包含 true要让这两个条件都成立再看一下源代码上面的代码主要是两点：（1）for语句逐段检查Headers中是否包含：admin:true。

2025-04-13 22:23:23 814 1

原创 vulfocus漏洞学习——joomla 远程代码执行（CVE-2021-23132）

Joomla是一套用PHP和MYSQL开发的内容管理系统。由于Joomla com_media模块对上传文件校验不严格，攻击者可以通过上传恶意文件，从而实现远程代码执行。

2025-04-10 21:20:54 573

原创 vulfocus漏洞学习——Webmin 远程代码执行（CVE-2022-0824）

Webmin是一套基于Web的用于类Unix操作系统的系统管理工具，提供图形化界面管理工具。漏洞源于Webmin的某些功能模块未能正确验证和过滤用户输入，导致攻击者可通过参数注入恶意命令。

2025-04-09 19:21:27 1019 2

原创内网渗透——红日靶场二

相较于第一次打红日靶场来说，感觉已经熟练了不少，之前的知识补充还是很有用的，虽然也许还存在一些问题，但慢慢来会让自己好受不少。写的部分还是有一些欠佳，而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了，真真是对不起给予我帮助的师傅们。有问题的地方，还请各位斧正，希望能给我一些宝贵的意见！

2025-04-01 21:34:23 1302

原创 vulfocus漏洞学习——nostromo 远程命令执行（CVE-2019-16278）

也是成功把vulfocus镜像给整好了，而且竟然能成功拉取镜像！（我用的服务机是centos 7，以前都是kali 或 Ubuntu>-<）启动靶场环境，在此之前，先了解一些基础的东西（1）Nostromo 是一款开源的Web服务器，专为Unix/Linux系统设计，常用于嵌入式设备等（2）此漏洞的根源是：Nostromo由于在验证URL安全性方面存在缺陷，导致目录穿越，任何人都可以遍历系统中任何文件。

2025-03-25 10:54:25 518

原创域渗透学习——伪造黄金、白银票据攻击

之前在学习kerberos协议的时候，初步了解了什么是黄金票据，什么是白银票据。当Client想要访问Server上某个服务时（1）需要向AS证明自己的身份，通过验证后AS会发放一个TGT（票据授予票据）（2）随后Client会像TGS证明自己的身份，通过验证后TGS会发放一个ST（服务授予票据）（3）最后Client向Server发起认证请求。而其中，黄金票据就是，白银票据就是在学习红日靶场（一）的过程中，我初步接触到了伪造黄金票据攻击，实现的结果为：对全域的控制。

2025-03-24 20:10:01 1449

原创域渗透学习——用户枚举和密码喷洒

在域渗透过程中，我们会尝试一系列的信息收集手段，其中用户枚举可以帮助我们识别有效用户账户，为后续攻击提供关键信息。比如，收集用户名后，可尝试利用弱密码，默认密码或已泄露的凭证进行。再比如，获取真实用户名后，可伪造内部邮件或登录页面，诱骗用户提交凭证或敏感信息。那么用户枚举的原理是什么呢？

2025-03-23 14:00:43 613

原创 BUUCTF-pwn学习 ciscn_2019_c_1/ libc泄露

回顾一下我们学到的知识1.libc的泄露原理，libc的保护机制2.GOT表和PLT表之间的关系3.64位和32位在传参方面的区别4.gadget是什么。

2025-03-20 18:09:16 1268

原创域渗透—哈希传递攻击（PTH）学习

（1）Pass-The-Hash 是一种针对身份认证机制的横向移动技术。（2）横向移动：在入侵多个系统后，通过内部网络或协议漏洞，在多台主机之间跳跃以扩大攻击范围。（3）攻击者无需破解用户密码的明文，只需获取密码的哈希值，就可以利用该哈希值模拟用户身份，访问网络中的其他系统或服务。到这里，横向移动技术了解了，首先我就有下面几点疑问：1.密码的哈希值如何窃取？2.为什么只需要哈希值就可以模拟用户的身份？后面关键就围绕这些来展开，现在再来了解一下攻击原理（注，是攻击原理，而非窃取哈希）

2025-03-17 19:26:29 1266

原创 BUUCTF--pwn—bjdctf_2020_babystack1

总结一下思路：首先buf的起始地址距离rbp距离为 0x10 ,我们需要再将 rbp 覆盖掉才能到“返回函数”，然后再将返回函数覆盖成我们的“后门函数”。这里的0x10 其实包含两部分,12是buf本身输入，4是对齐填充(学了计组也懂一点点了嘿)得到一些最基本的信息，比如64位，小端序，只开了NX保护。发现buf的读入可以被nbytes影响，可以进行栈溢出。首先将下载的文件拖入Ubuntu中，check一下。再进入ida64中查看。同时还找到了后门函数。

2025-03-16 16:38:53 257

原创内网攻防——红日靶场（一）

学校的课程也刚开始学习计网，本人对于以下几点还是需要学习：（1）进程注入的原理（2）如何实现横向（3）路由与代理由于这篇拖太久了，中途遇到了很多问题，导致整篇下来思路有些乱糟糟的，相信之后熟悉了内网渗透了之后会好很多。对于cs和msf工具的使用还得继续学习，多发现一些自己不懂的问题。

2025-03-15 16:23:43 2265

原创 BUUCTF pwn基础学习——ciscn_2019_n_81

（3）(_QWORD *)&var[13] 使用了强制类型转换，将var[13]得到的地址强制转换为 _QWORD 类型的指针。构造输入时需要覆盖 var[13]为17 var[14]为0（但var[14]一开始就已经是0了）所以只需要覆盖var[13]为17就可以了。但var数组的一个元素占 4个字节，所以从 var[13] 开始，var[13]和var[14] 需要组合为 17LL。（2）&var[13] 表示获取var数组中第13个元素的内存地址，这个地址指向了该元素在内存中的起始位置。

2025-03-08 12:14:53 384

原创 BUUCTF——[GYCTF2020]FlaskApp1 SSTI模板注入/PIN学习

尝试读取这个文件，但这里因为有flag黑名单，需要进行一些绕过，尝试用python列表的特性，使字符串倒过来（this_is_the_flag）（或者直接构造'this_is_the_fl'+'ag.txt'应该也行）linux的id一般存放在/etc/machine-id 或 /proc/sys/kernel/random/boot_i 中。得到：/usr/local/lib/python3.7/site-packages/flask/app.py。获取基类，tuple类的基类是object类。

2025-03-07 16:38:08 1481

原创 BUUCTF [BJDCTF2020]EasySearch1

写一篇文章来学习一下 ssi 注入以及 dirmap 工具的使用看到这两个框框没什么想法，边探索边扫下目录吧。显示前端报错，先禁用了js，然后又尝试抓了下包，没有发现什么，只好看看扫出来的目录了，最终扫出来了的:index.php.swp （用dirmap扫出来的）虽然两个都显示username,但只有第一个才是真正的$_POST[username]看一下代码逻辑：1.首先判断输入的password 的前6位是否为6d0bc12.如果满足的话就执行打开文件、写入文件、关闭文件的功能。

2025-03-03 22:53:10 722 1

原创 BUUCTF-[De1CTF 2019]SSRF Me1——python代码审计

原本还打算用从别的师傅那学来的方法——哈希拓展攻击的，但无奈在kali上下不下来，先放着。前面代码部分写得有些乱，还请见谅。

2025-02-28 21:24:03 664

原创 vulfocus靶场漏洞学习——wordpress 垂直越权（CVE=2021-21389）

（1）首先是BuddyPress的REST API端点（/wp-json/buddypress/v1/signup）未严格校验用户权限，导致攻击者可以发送精心构造的http请求，绕过权限检查（下面是我在kali的docker中弄的一个镜像，并非vulfocus靶场中的，靶场有些不太稳定）此时需要请求包中的两个参数，一个是X-WP-Nonce 一个是Cookie，将这两个值记下来，然后构造，下面的请求包，再将X-WP-Nonce 和 Cookie的值替换成自己的就行了。cmd=id 就成功执行命令了。

2025-02-28 18:19:41 1863

空空如也

空空如也