梦~醒🍇

发表于 2025-08-08 | 更新于 2025-08-08 | web渗透 | 笔记

攻击机: win10 192.168.192.129 靶机：DC-4 先扫描网段存活，找到靶机ip 1nmap -sP 192.168.192.0/24 进行全面扫描，查看开放端口和系统型号等主机详细信息 1nmap -A 192.168.192.142 开放了22和80端口，大概率是个服务器。系统是linux系统 22端口是ssh连接，我们不知道账号密码，先从80端口入手打开web服务页面猜测账户名为admin，抓包进行暴力破解，得到密码为happy 账号：admin 密码：happy 登陆进去后有个System Tools，进入command 就能看到三个命令，并且可以执行。现在知道它能执行命令了，我们可以找找能不能执行其他命令。抓包看一下可以看到它是通过radio参数进行post传参的命令，我们修改这个命令看看能不能执行发现它执行了，那么我们就可以执行我们想要的命令了。接下来我们想要找到靶机的登录账户和密码，查看/etc/passwd和/etc/shadow shadow文件看不了，不过现在知道有三个普通账户：charles，jim ...

ISCC2025决赛WEB+MISC部分wp

发表于 2025-05-18 | 更新于 2025-07-01 | CTF | 比赛wp

[TOC] WEB 谁动了我的奶酪首先打开网址，发现输入框，提示是谁偷了jerry的奶酪，想到它的老朋友tom，于是输入tom得到源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081<?phpecho "<h2>据目击鼠鼠称，那Tom坏猫确实拿了一块儿奶酪，快去找找吧！</h2>";class Tom{ public $stolenCheese; public $trap; public function __construct($file='cheesemap.php'){ $this->stolenCheese = $file; echo "Tom盯着你，想要守住他抢走的奶 ...

ISCC2025区域赛WEB+MISC部分wp

发表于 2025-05-18 | 更新于 2025-05-18 | CTF | 比赛wp

[TOC] web 回归基本功打开网站，根据提示，“用户代理”，想到UA伪造于是根据图片提取内容，写成字典，如何一个一个尝试，最后发现是GaoJiGongChengShiFoYeGe 访问/Q2rN6h3YkZB9fL5j2WmX.php 得到源码： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647 <?phpshow_source(__FILE__);include('E8sP4g7UvT.php');$a=$_GET['huigui_jibengong.1'];$b=$_GET['huigui_jibengong.2'];$c=$_GET['huigui_jibengong.3'];$jiben = is_numeric($a) and preg_match('/^[a-z0-9]+$/',$b);if($jiben==1){ if( ...

ciphey安装及使用方法

发表于 2025-04-25 | 更新于 2025-04-25 | CTF | misc姿势

[TOC] 下载方法：要求python3+，但是最好使用python3.8，不要使用python3.10以上的，不然会报错（要是报错就换个python版本试试）直接pip下载 1pip3 install ciphey 使用方法：参数列表： 12345678910111213141516171819202122232425262728293031323334353637383940ciphey --help用法: ciphey [选项] [TEXT_STDIN] Ciphey - 自动解密工具文档地址: https://github.com/Ciphey/Ciphey/wiki Discord (这里支持，我们大部分时间都在线): https://discord.ciphey.online/ GitHub: https://github.com/ciphey/ciphey cipher是一种使用智能人工智能的自动解密工具和自然语言处理。输入加密文本，获取解密文本例如: 基本用法: ciphey -t "aGVsbG8gbXkgbmFtZSBpcyBiZWU=& ...

hubu群星杯2025wp-看看flag队

发表于 2025-04-21 | 更新于 2025-04-21 | CTF | 比赛wp

[TOC] web signphp-ucsc 签到题，直接开启环境，然后直接找到flag文件，拿到flag ezLaravel-ucsc 开启环境，然后直接目录扫描，看到flag.php 访问该文件，拿到flag （这道题是出题人权限访问没控制好，导致直接扫描目录就能访问/flag.php文件。由于赛后环境无法开启，所以无法再复现了） upload2 打开网站，看到是文件上传页面，先查看源码，发现是白名单过滤，只允许上传图片文件。先将一句话木马改成.jpg，上传抓包修改后缀，发现响应包提示图片格式错误。然后修改一句话木马文件，加上图片前缀（GIF89a），再次上传，显示上传give_me_flag.php。根据提示，猜测是后端匹配了文件名，需要修改上传文件的文件名。修改后再次上传，返回提示：文件里面需要givemeflag的内容。于是使用记事本编辑，加上该内容，然后继续上传得到flag flag{789d153e-189b-408f-93e4-a1ae286bef3c} 文件内容： easyphp 打开界面，直接f12查看网络包，找到一个flag的头部，是个base ...

phar反序列化解析及phar文件生成

发表于 2025-04-19 | 更新于 2025-04-19 | CTF | web姿势

文件上传中的.user.ini文件

发表于 2025-04-19 | 更新于 2025-04-19 | CTF | web姿势

.user.ini php.ini是php的一个全局配置文件，对整个web服务起作用；而.user.ini和.htaccess一样是目录的配置文件，.user.ini就是用户自定义的一个php.ini，我们可以利用这个文件来构造后门和隐藏后门。实例 php 配置项中有两个配置可以起到一些作用 12auto_prepend_file = <filename> //包含在文件头auto_append_file = <filename> //包含在文件尾这两个配置项的作用相当于一个文件包含，比如 12345// .user.iniauto_prepend_file = 1.jpg// 1.jpg<?php phpinfo();?>// 1.php(任意php文件) 满足这三个文件在同一目录下，则相当于在1.php文件里插入了包含语句require(‘1.png’)，进行了文件包含。另一条配置包含在文件尾，如果遇到了 exit 语句的话就会失效。 .user.ini使用范围很广，不仅限于 Apache 服务器，同样适用 ...

无参数rce详解

发表于 2025-04-16 | 更新于 2025-04-16 | CTF | web姿势

[TOC] 无参数RCE题目特征 123if(';' === preg_replace('/[^\W]+$(?R)?$/', '', $_GET['star'])) { eval($_GET['star']);} 正则表达式 1[^\W]+$(?R)?$ 匹配了一个或多个非标点符号字符（表示函数名），后跟一个括号（表示函数调用）。其中 (?R) 是递归引用，它只能匹配和替换嵌套的函数调用，而不能处理函数参数。使用该正则表达式进行替换后，每个函数调用都会被删除，只剩下一个分号 ;，而最终结果强等于；时，payload才能进行下一步。简而言之，无参数rce就是不使用参数，而只使用一个个函数最终达到目的。 12scandir()可以使用里面不含参数scandir('1')不可以使用，里面含有参数1，无法被替换删除相关函数简要介绍 1234567891011121314scandir() :将返回当前目录中的所有文件和目录的列表。 ...

XYCTF2025wp

发表于 2025-04-14 | 更新于 2025-04-14 | CTF | 比赛wp

[TOC] misc XGCTF 根据题目描述可以知道，需要找到XGCTF中LamentXU师傅出的题这道题是原型链污染的题目然后使用浏览器搜索引擎找到dragonkeep的博客（结合提示推断，会多一个字母）然后进去找到有关原型链污染的题目，进入页面，查看源码，在源码处找到flag的base64编码，然后解码就得到flag flag{1t_I3_t3E_s@Me_ChAl1eNge_aT_a1L_P1e@se_fOrg1ve_Me} 签个到吧根据题目提示：最小的，具有图灵完备性的语言是？和上网查询，发现是Brainfuck代码查询其知识点可以知道，其计算方法大概就是前面的+数量和[<>]里的+数量相乘，得到一个数，就是一个ascll码，这段代码无法直接运行，所以将其进行修改，去掉”-±±±”和"<[-]>"，然后就是这个样子： 1+++++++++++++++++[<++++++>]++++++++++++[<+++++++++>]++++++++++++++++++++++++++ ...

【vulhub漏洞靶场】fastjson反序列化漏洞及fastjson反序列化漏洞复现

发表于 2025-04-01 | 更新于 2025-04-01 | web渗透 | 笔记

[TOC] 漏洞原理啥是json? json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下： { "name":"BossFrank", "age":23, "media":["CSDN","bilibili","Github"] } json本质就是一种字符串，用于信息的存储和交换。啥是fastjson? fastjson 是一个有阿里开发的一个开源Java 类库，可以将 Java 对象转换为 JSON 格式(序列化)，当然它也可以将 JSON 字符串转换为 Java 对象（反序列化）。Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象（这就是漏洞来源，下文会解释）。使用比较广泛。 fastjson序列化/反序列化原理 fastjson的漏洞本质还是一个java的反序列化漏洞，由于引进了A ...

kali系统java版本下载配置及不同版本切换

发表于 2025-03-31 | 更新于 2025-04-01 | 其他学习笔记 | 其他学习笔记

[TOC] 查看当前 JDK 版本信息 1update-alternatives --config java 当前只有一个17版本安装 JDK版本（以JDK8为例）官网下载jdk8版本的Java： https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html 将jdk文件移动到/usr/local/ 12tar -zxf jdk-8u212-linux-x64.tar.gz #解压jdk文件, 这里注意修改你自己的文件名称mv jdk1.8.0_212 /usr/local/ #将解压好的文件移动到local目录配置环境变量 1vim /etc/profile 在文件末尾加上以下信息 1234JAVA_HOME=/usr/local/jdk1.8.0_212PATH=$PATH:$HOME/bin:$JAVA_HOME/binexport JAVA_HOMEexport PATH 注册安装jdk8 123 ...

win10系统配置python2和python3共存以及配置pip

发表于 2025-03-30 | 更新于 2025-03-30 | 其他学习笔记 | 其他学习笔记

[TOC] 配置python2和python3 首先，去Python官网找到Python2和3版本对应的安装包下载下面是python2和3的下载地址：https://www.python.org/downloads/windows/ 在E盘下建立两个文件夹，分别为python2和python3，根据自己的情况可以改动，两者在一块并列更方便以后安装和调整环境变量。接下来，就是分别对Python2和3的安装包进行安装安装Python3 在选择路径安装时，记得把下方的“Add Python 3.6 toPATH”勾选上，这样就不用手动配置环境变量了，后续不用再添加环境变量。自定义尽量不装c盘完事下一步，到如下图位置，全部默认选择即可，安装在上面建立的python3文件夹下。安装成功后，cmd控制台输入python，查看是否成功。出现下面证明安装成功。安装Python2 all user 是供使用这台电脑的所有用户使用，是权限问题。just for me是说只供当前用户使用。如果你的电脑上只有建了一个用户，all users和just me 的作用是一样的。所 ...