Title
摘要: 1、打开之后首先尝试万能密码登录和部分关键词(or、select、=、or、table、#、-等等)登录,显示被检测到了攻击行为并进行了拦截,结果如下: 2、使用dirmap进行目录扫描,发现robots.txt文件,结果如下: 3、访问robots.txt文件,发现hint.txt文件并进行访问, 阅读全文
posted @ 2022-08-02 23:39 upfine 阅读(1447) 评论(2) 推荐(2) 编辑
摘要: 1、首先打开题目如下: 2、观察访问的地址信息,发现img信息应该是加密字符串,进行尝试解密,最终得到img名称:555.png,如下: 3、获得文件名称之后,应该想到此处会存在文件包含漏洞,因为传输的参数可控,尝试将img的参数值修改为:index.php,加密后为:TmprMlpUWTBOalU 阅读全文
posted @ 2022-06-21 11:16 upfine 阅读(583) 评论(0) 推荐(1) 编辑
摘要: 分享下自己在完成[WUSTCTF2020]颜值成绩查询-1关卡的手工过程和自动化脚本。 1、通过payload:1,payload:1 ,payload:1 or 1=1--+,进行判断是否存在注入,显示不存在该学生,通过两个分析,可以确认服务端对空格进行了过滤,(注意两个payload后面,其中一 阅读全文
posted @ 2022-06-12 13:01 upfine 阅读(1204) 评论(0) 推荐(0) 编辑
摘要: 1、安装docker环境 a、使用的是ubuntu系统,通过sudo apt install docker.io进行docker得安装,此方式会自动启动docker服务。 b、通过curl -s https://get.docker.com/ | sh进行安装,此方式可能需要手动启动docker服务 阅读全文
posted @ 2022-05-28 21:19 upfine 阅读(951) 评论(0) 推荐(1) 编辑
摘要: 准备: 攻击机:win10。 靶机:春秋云镜像-CVE-2022-0788。 写这个的时候在网上想查找下该漏洞的利用方式,没有找到相关的资料,因此记录下自己通过这个靶场的poc与exp。 curl 'http://eci-2ze4uhij7kcjyftbwltx.cloudeci1.ichunqiu 阅读全文
posted @ 2023-08-17 15:49 upfine 阅读(218) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali。 靶机:OnlyForYou,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/OnlyForYou。 知识点:DNS解析、代码审计、文件包含、shell反弹、frp端 阅读全文
posted @ 2023-07-20 11:17 upfine 阅读(452) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali。 靶机:Sandworm,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Sandworm。 知识点:SSTI注入、firejail提权、DNS解析、PGP解密、敏感 阅读全文
posted @ 2023-07-17 17:43 upfine 阅读(1691) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali和win10(常规操作就直接用本机win10来操作了)。 靶机:Inject,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Busqueda。 知识点:命令执行、敏感 阅读全文
posted @ 2023-05-18 09:03 upfine 阅读(521) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali。 靶机:Inject,htb网站:https://www.hackthebox.com/,靶机地址:https://app.hackthebox.com/machines/Inject。 知识点:ansible提权(非漏洞提权)、本地文件包含漏洞、CVE-2022-2 阅读全文
posted @ 2023-05-12 08:54 upfine 阅读(390) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali、本机win10。 靶机:Adroit: 1.0.1,下载地址:https://download.vulnhub.com/adroit/Adroit-v1.0.1.ova,下载后直接vbox打开即可。 知识点:shell反弹(jar)、sql注入、简单的代码编写、逆向、 阅读全文
posted @ 2023-04-23 09:48 upfine 阅读(314) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali、本机win10。 靶机:Crossroads: 1,下载地址:https://download.vulnhub.com/crossroads/crossroads_vh.ova,下载后直接vbox打开即可。 知识点:stegoveritas工具使用、smb服务扫描、s 阅读全文
posted @ 2023-04-14 17:17 upfine 阅读(295) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali、本机win10。 靶机:Orasi: 1,下载地址:https://download.vulnhub.com/orasi/Orasi.ova,下载后直接vbox打开即可。 知识点:hex编码、ida逆向、AndroidKiller逆向、ffuf爆破、ssti漏洞、sh 阅读全文
posted @ 2023-04-11 17:13 upfine 阅读(421) 评论(0) 推荐(0) 编辑
摘要: 准备: 攻击机:虚拟机kali、本机win10。 靶机:DriftingBlues: 5,下载地址:https://download.vulnhub.com/driftingblues/driftingblues5_vh.ova,下载后直接vbox打开即可。 知识点:wpscan扫描、敏感信息发现、 阅读全文
posted @ 2023-04-10 12:43 upfine 阅读(305) 评论(0) 推荐(1) 编辑
摘要: 准备: 攻击机:虚拟机kali、本机win10。 靶机:CODE: 1,下载地址:https://download.vulnhub.com/code/Code.rar,下载后直接vbox打开即可。 知识点:CVE-2019-18634漏洞、命令执行漏洞、sql注入。 信息收集: 1.nmap扫描 使 阅读全文
posted @ 2023-04-05 21:38 upfine 阅读(164) 评论(0) 推荐(0) 编辑