ke1nys`Blog

总结 1爆破，teehee提权 还是先扫一下端口 发现两个端口 一个ssh端口 一个80端口 发现就是个简单的登录，没有框架的 密码爆破这里发现有一个登录的网页，这里首先我们尝试尝试一些普通的弱口令，这里没有成功，我们这里使用burp来爆破admin密码。 爆破出这个弱密码 happy 于是就尝试进行登录 成功登录后 发现可以进行任意命令的执行 于是就想的是进行反弹shell 反弹shell成功后 这里的界面太难看，进行python交互shell 1python3 -c "import pty;pty.spawn('/bin/bash')" 进行home目录，发现有三个用户 进入jim目录，发现有密码备份，于是猜测可以利用这个密码备份来进行爆破jim的ssh密码 只有短短的一些密码 存到kali上，等会进行爆破 于是使用ssh爆破工具开始进行爆破 【Kali】中密码暴力破解工具 hydra 的使用 ftp ssh teamspeak pop3 都可以进行爆破 上面的文章里还搭配着一个字典生成工具 crunch ...

CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总

[GYCTF2020]FlaskApp题目 提示了，flask算pin 利用解密的时候报错，得出一些信息 12345678910@app.route('/decode',methods=['POST','GET'])def decode(): if request.values.get('text') : text = request.values.get("text") text_decode = base64.b64decode(text.encode()) tmp = "结果 ： {0}".format(text_decode.decode()) if waf(tmp) : flash("no no no !!") return redirect(url_for('decode')) ...

考点 1总结：joomscan工具的使用，cve-2016-4557内核提权或者cve-2021-4034内核提权 现扫一下看开放了哪些端口 只开放了一个80端口 看起来像是个网页，然后进行访问 发现这是一个cms框架 于是就用到了这个工具来查看这个网站是否存在漏洞 Joomla!是一套全球知名的内容管理系统，Joomla!是使用PHP语言加上MySQL数据库所开发的软件系统。 这里需要使用一个工具joomscan 因为最新kali没有 又去装了一下又学习了一下。 （JoomScan）：是一个开源项目，旨在自动执行Joomla CMS部署中的漏洞检测和可靠性保证任务。该工具在Perl中实现，可以无缝轻松地扫描Joomla安装，同时通过其轻量级和模块化架构留下最小的占地面积。它不仅可以检测已知的攻击性漏洞，还能够检测到许多错误配置和管理员级别的缺陷，这些缺陷可被攻击者利用来破坏系统。 1git clone https://github.com/rezasp/joomscan.git 1cd joomscan 1perl joomscan.pl 一些最基本的参数 使用命令：perl ...

总结:cewl和wpscan的使用，rbash逃逸，suid提权 cewl ——> 密码生成工具 wpscan —-> 爆破用户名 WPScan使用完整攻略：如何对Wordpress站点进行安全测试 还是现扫下c段看下靶机ip 猜一下是131，或者用和DC1说的那种关靶机的方法也行 靶机开了两个端口 发现重定向到一个域名，这里和htb里的一道题一样，得修改hosts 就是dns域名解析有关 修改好后再次进行访问 成功进行访问 这次是使用了wordpress框架 找到了flag1 并且给了提示 1234567您通常的单词列表可能不起作用，所以相反，也许您只需要 cewl。更多密码总是更好，但有时您无法赢得所有密码。以一个人身份登录以查看下一个标志。如果找不到，请以另一个身份登录。 这里就提示了使用cewl(一个字典生成工具) cewl的详细使用教学 通过他的提示，也该不止有一个用户 所以我们就得使用工具爆破出这个网站的所有用户 那么既然我们有了密码 我们还需要知道用户名使用wpscan 这个工具 针对wordpress框架使用的 使用命令：wpsc ...

先扫一下c段，看一下哪个才是靶机 然后就随便猜一个，（或者关掉靶机，在重新扫一遍看哪个没了哪个就是靶机） 这里的话128是靶机 接下来就是扫端口了 扫到了三个端口 80端口一看就是个网站，那么我们尝试一下看能不能直接无密码(或者弱密码)登录ssh 尝试失败，那么我们就尝试一下去查看一下80端口 发现是一个cms框架，版本是7.x，那么我们就可以去查看一下有没有这个框架的exp能直接来打 在msf中搜索一下 发现有这个框架的exp 和aux(这个是判断是否存在漏洞) 那我们就直接使用直接使用这个exp来打这个网站了，用的是第二个 设置靶机地址 set rhosts xxxxxxxxxx 设置成功 (后面是yes的，前面的内容必须得写上) 反弹shell成功 拿到了meterpreter 读取flag1的时候给了一段话 就是config配置文件 访问配置文件拿到关键数据 这里数据库登录报错，就不登陆了，直接进行提权拿最终的flag就行 这里的话先尝试一下suid 这里话在htb里面做过，这里就不多说了 这里如果按顺序拿flag的话会提示用sui ...

[网鼎杯 2018]Fakebook题目 访问robots.txt得到下面内容 访问下载下来得到一段代码 1234567891011121314151617181920212223242526272829303132333435363738394041424344<?phpclass UserInfo{ public $name = ""; public $age = 0; public $blog = ""; public function __construct($name, $age, $blog) { $this->name = $name; $this->age = (int)$age; $this->blog = $blog; } function get($url) { $ch = curl_init(); curl_setopt($ch, CURL ...

easy_signin题目 一个表情包，然后url后面还跟着一段base64编码的内容，解码后查看时face.png，所以感觉这里存在文件包含或者文件查询 然后就去查询index.php,然后就查看源码发现了一段base64编码的内容，然后拿去解码 解码后的代码 1234567891011121314151617181920212223242526<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2023-03-27 10:30:30# @Last Modified by: h1xa# @Last Modified time: 2023-03-28 12:15:33# @email: h1xa@ctfer.com# @link: https://ctfer.com*/$image=$_GET['img'];$flag = "ctfshow{3ae89687-0319-4fdd-8d58-4910ede71b51}";if(isset($image))&# ...

决赛wp ————> wp findme这题坑了我好久……….. 题目 随便传了个值，发现是 报错 ——> 在 $PATH 中找不到可执行文件 然后就猜测是不是得用/bin/xxx这种类型的格式来写 然后当时开心坏了，但是这个直接读不了，得需要提权，当时用了好多办法，都不行，因为很难，知道看到了wp才发现自己漏了关键一步……. 得这样写才行 …. /usr/bin/xxxxx 哎 把/usr给漏了 sudo提权 先查看一下权限 提示了root权限的没有密码的/usr/bin/find能用 payload 1/usr/bin/sudo find /flag -exec cat /flag \; 不过学到了个提权方法 之前的是用date报错来提权拿到flag的 ezjava题目(hint —- > Try to fxxk it ( Log4j ) 考点 log4j+fastjson 远程开启LDAP服务 eznode题目 就是去找一下源码 找到了源码，然后对源码进行分析 源码 1234567891011121 ...

web396题目 12345678910111213141516171819202122<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2021-01-15 16:38:07# @Last Modified by: h1xa# @Last Modified time: 2021-01-15 17:20:22# @email: h1xa@ctfer.com# @link: https://ctfer.com*/error_reporting(0);if(isset($_GET['url'])){ $url = parse_url($_GET['url']); shell_exec('echo '.$url['host'].'> '.$url['path']);}else{ highlight_file(__FILE__);} pars ...