WHOAMI's Blog

杰克与肉丝开题即给源码： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051<?phphighlight_file(__file__);class Jack{ private $action; function __set($a, $b) { $b->$a(); }}class Love { public $var; function __call($a,$b) { $rose = $this->var; call_user_func($rose); } private function action(){ echo "jack love rose"; }}class Titanic{ ...

[toc] 前言本次渗透皆为靶机环境，实则为上一篇靶机 Prime level 1 的后续。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！ 靶场地址：http://www.vulnhub.com/entry/hacksudo-aliens,676/ 发布日期：2021.04.04 DescriptionBack to the Top This box should be easy . This machine was created for the InfoSec Prep Discord Server (https://discord.gg/tsEQqDJh) The box was created with Virtualbox ,but it should work with VMWare Player and VMWare workstation Upon booting up use netdiscover tool to find IP address. This is the target ...

[toc] 前言感觉一晚上考完了高考，刚经历完一模二模三模的你还肝得动吗？ easy_sql经测试登录密码出存在 sql 注入： 1passwd=0')||extractvalue(1,concat(0x7c,(database()),0x7c))#&uname=123 之后用 sqlmap 跑出两个数据表 users、flag，并且过滤了 information，所以用为无列名注入，用 join…using 爆出字段名： 12345passwd=0')||extractvalue(1,concat(0x7c,(select * from (select * from flag join flag as a)b),0x7c))#&uname=123 // idpasswd=0')||extractvalue(1,concat(0x7c,(select * from (select * from flag join flag as a using(id))b),0x7c))#&uname=123 // nopasswd ...

[toc] 前言本次渗透皆为靶机环境，实则为上一篇靶机 Prime level 1 的后续。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！ 靶机地址：http://www.vulnhub.com/entry/admx-101,694/ DescriptionBack to the Top AdmX is an easy/medium machine built for OSCP aspirants. For any queries please contact me on twitter: @deathflash1411 Changelog 2021-05-11 - v1.0.1 2021-05-06 - v1.0.0 本次渗透涉及到的关键知识点： Web 信息收集 Wordpress 管理员权限上传 Payload（wp_admin_shell_upload） SUDO 配合 MySQL 提权 …… 信息收集首先使用 Kali 中的 arp-scan 工具扫描内网资产： 1arp-scan --i ...

[toc] 文章首发于先知社区：https://xz.aliyun.com/t/9544 前言脚本小子一个，从文章中你也应该能看出来。。。没办法，谁叫我菜呢！ 本文总结了一下 Fastcgi 原理以及攻击方法，若有不当之处还望各位大佬多多指教。 CGI早期的Web服务器，只能响应浏览器发来的HTTP静态资源的请求，并将存储在服务器中的静态资源返回给浏览器。随着Web技术的发展，逐渐出现了动态技术，但是Web服务器并不能够直接运行动态脚本，为了解决Web服务器与外部应用程序（CGI程序）之间数据互通，于是出现了CGI（Common Gateway Interface）通用网关接口。简单理解，可以认为CGI是Web服务器和运行在其上的应用程序进行“交流”的一种约定。 当遇到动态脚本请求时，Web服务器主进程就会Fork创建出一个新的进程来启动CGI程序，运行外部C程序或Perl、PHP脚本等，也就是将动态脚本交给CGI程序来处理。启动CGI程序需要一个过程，如读取配置文件、加载扩展等。当CGI程序启动后会去解析动态脚本，然后将结果返回给Web服务器，最后由Web服务器将结果返回给客户 ...

[toc] 前言 靶机地址：https://www.vulnhub.com/entry/prime-1,358/ This machine is designed for those one who is trying to prepare for OSCP or OSCP-Exam. This is first level of prime series. Some help at every stage is given. Machine is lengthy as OSCP and Hackthebox’s machines are designed. So you have a target to get root flag as well as user flag. If stuck on a point some help are given at a level of enumeration. If any extra help needed Visit our website http://hacknpentest.com and http://hnpsecuri ...

[toc] 文章首发于先知社区：https://xz.aliyun.com/t/9545 基础知识PHP SESSION 的存储Session会话储存方式 PHP将session以文件的形式存储在服务器某个文件中，可以在php.ini里面设置session的存储位置session.save_path。 总结常见的php-session默认存放位置是很有必要的，因为在很多时候服务器都是按照默认设置来运行的， 默认路径 1234/var/lib/php/sess_PHPSESSID/var/lib/php/sessions/sess_PHPSESSID/tmp/sess_PHPSESSID/tmp/sessions/sess_PHPSESSID 如果没做过设置，session文件默认是在/var/lib/php/sessions/目录下，文件名是sess_加上你的sessionID字段。（没有权限）而一般情况下，phpmyadmin的session文件会设置在/tmp目录下，需要在php.ini里把session.auto_start置为1，把session.save_path目 ...

[toc] 前言很好的一个题，偏向于真实的实战环境，但是当时没有做出来真的很可惜，幸好赵总在buuctf上复现了这道题，可以让我这个菜鸡得以复现。 解题进入题目，冬奥会火炬？？？： 题目给了源码，源码就两个，都非常简单： user.php 12345<?phpclass User{ public $count;}?> 就定义了一个简单User类。 add_api.php 12345678910111213141516<?phpinclude "user.php";if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $user->count+=1; setcookie("data",serialize($user)); }else{ eval($_GET[&qu ...

前言前段时间做 2021 虎符杯 CTF Finalweb Hatenum 这道题时学到了使用 MySQL exp() 函数进行注入的新姿势，这里系统的总结一下。话不多少，开搞！ MySQL exp() 函数MySQL中的EXP()函数用于将E提升为指定数字X的幂，这里E(2.718281 …)是自然对数的底数。 1EXP(X) 该函数返回E的X次方后的值，如下所示： 123456789mysql> select exp(3);+--------------------+| exp(3) |+--------------------+| 20.085536923187668 |+--------------------+1 row in set (0.00 sec)mysql> 该函数可以用来进行 MySQL 报错注入。但是为什么会报错呢？我们知道，次方到后边每增加 1，其结果都将跨度极大，而 MySQL 能记录的 Double 数值范围有限，一旦结果超过范围，则该函数报错。这个范围的极限是 709，当传递一个大于 709 的值时，函数 exp() ...

[toc] .htaccess基本概念.htaccess 文件是Apache中有一种特殊的文件，其提供了针对目录改变配置的方法，即在一个特定的文档目录中放置一个包含一条或多条指令的文件，以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。管理员可以通过 Apache 的 AllowOverride 指令来设置。 .htaccess 中有 # 单行注释符，且支持 \ 拼接上下两行。 作用范围.htaccess 文件中的配置指令作用于 .htaccess 文件所在的目录及其所有子目录，但是很重要的、需要注意的是，其上级目录也可能会有 .htaccess 文件，而指令是按查找顺序依次生效的，所以一个特定目录下的 .htaccess 文件中的指令可能会覆盖其上级目录中的 .htaccess 文件中的指令，即子目录中的指令会覆盖父目录或者主配置文件中的指令。 配置文件启动 .htaccess，需要在服务器的主配置文件中将 AllowOverride 设置为 All，例如在 apache2.conf 中： 1AllowOverride All # 启动.htaccess文件的 ...