内网-单域搭建
单域搭建第一步:更改用户名关闭防火墙(方便实验)第二步:配置静态ip地址和DNS我用了三台虚拟机,分别设置 DC机 web机 pc机 第三步:DC安装域控 在这两个位置能够安装(按顺序来),因为我是安装过的,所以就不展示安装过程了 添加域名 第四步:域内添加用户 然后修改主机名称加入域 web机和pc机加入就行 然后我们尝试使用 CobaltStrike4.7生成木马来连接主机 连接后生成一个木马,让web机或者pc机运行木马即可 连接成功并执行命令
CVE-2022-0824
webmin远程代码执行webmin是功能最强大的基于web的unix系统管理工具 漏洞影响版本: <1.990 poc: https://github.com/faisalfs10x/Webmin-CVE-2022-0824-revshell 弹到shell 这里要用python开一个web协议
CVE-2019-16278
nostromo 远程命令执行 (CVE-2019-16278)nostromo一款开源的web服务器 做题方法nostromo1.9.6 存在目录穿越命令,攻击者指向/bin/sh这样的shell文件后,借此执行任意命令 路径遍历使用的是.%0d./.%0d./.%0d./.%0d./bin/sh ,后端会将换行删除最后呈现的是../../../../bin/sh 可以执行命令,然后我们就可以使用工具 如果你去执行命令的话,波煮试过了执行id命令,不会执行,会报错,具体原因,波煮看完别人的文章也复现不出来(波煮很菜)然后只能用工具得到进行命令执行了。 https://github.com/jas502n/CVE-2019-16278
xxe漏洞
XXE简介xxe漏洞原理未对外部实体进行限制,导致攻击者将代码插入到xml文件中,服务器读取xml恶意文件,形成外部实体注入,产生文件任意读取,命令执行,ssrf等漏洞。 xmlXML 指可扩展标记语言(eXtensible Markup Language)。 XML 被设计用来传输和存储数据,不用于表现和展示数据,HTML 则用来表现数据。 在xml中对实体的引入的方法是:&xxe; DTDDTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。payload存在的位置 DTD的格式: 12<!ENTITY entity-name "entity-value"> 内部实体的声明<!ENTITY entity-name SYSTEM "URI/URL"> 外部实体的声明 对于外部实体是可以使用php伪协议和file伪协议的,实现文件的任意读取等漏洞 xxe漏洞利用(有无回显)题目名称[NCTF 2019]Fake XML cookbook有回...
cmctfwp
web小猿口算签到重生版123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051(function autoSolve() { function getExpressionAndSolve() { $.ajax({ url: '/generate', method: 'GET', success: function (res) { let expr = res.expression; // 去除问号和等号,例如 "98+24+70+80=?" expr = expr.replace(/=*\?*$/, '').trim(); let answer; try { answer = eval(expr);...
HNCTFWP
WEBReally_Ez_Rce 第一步用数组就能直接绕过,第二步经过测试可以用$5进行隔断执行命令, 拿到flag ez_php1234567891011121314151617181920212223242526272829303132<?phperror_reporting(0);class GOGOGO{ public $dengchao; function __destruct(){ echo "Go Go Go~ 出发喽!" . $this->dengchao; }}class DouBao{ public $dao; public $Dagongren; public $Bagongren; function __toString(){ if( ($this->Dagongren != $this->Bagongren) && (md5($this->Dagongren)...
Litctf2025
webnest_js 弱密码,爆破得到用户名和密码为,admin,password 星愿信箱 1过滤了{{}}双写的大括号,利用{%%}绕过,cat /flag利用 nl /f* 进行绕过 ez_file 这边有一个重定向,可以进去看一下 这边又一个文件包含,可以上传jpg,进行文件包含。 传马 得到flag 多重宇宙日记知识点: 本题考的是原型链污染,在js语言中每个对象都有__proto__属性,指向了构造函数的原型对象,当我们可以对键名进行控制并且字符串可以被解析成对象或方法时就可以进行原型链污染(按我理解后端代码应该还得有递归)。我是这样理解的,_proto__属性通过递归修改掉object.prototype,从而将整个原型链进行污染 就这样 easy_signin 扫一下目录 这边有一个api.js 文件读取 然后你会发先flag不在根目录,而且有waf 最后读取/api/sys/urlcode.php,发现这个文件,访问 得到flag 君の名は12345...
第二届帕鲁杯复现wp
webCatBank创建两个账号,test1和test2,第一个想第二个转账1000000,然后第二个在转给M猫,得到flag 猫猫的秘密12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182<script> let token = ''; document.getElementById('loginBtn').addEventListener('click', async () => { const username = document.getElementById('username').value; const password = d...
轩辕杯复现wp
webezflask 焚经一把梭了,直接打开无回显,写进1.txt看的 ezjs 信息泄露 flag ezrce 文件读取flag ezssrf 访问flag ez_web1 文件读取源码 找key伪造cookie 密钥来自环境变量 看看 有个非预期 密钥在这th1s_1s_k3y 伪造成功 这样就可以上传文件了 上传文件我们需要利用reading.html,进行模板渲染,然后打ssti,但是文件会被删除,那么有文件删除,文件上传,文件读取,那我们就可以打条件竞争,多上传,让它在删除之前被我们读取到 得到flag 签到 用head方法提交,到这关很新颖,身份验证ua头 中间的过程就不展示了 ezsql1.0 ctf库下的flag表里的是假flag 只能在去找别的库 得到flag