梦~醒🍇

发表于 2025-08-10 | 更新于 2025-09-16 | web渗透 | 靶机渗透

攻击机: win10 192.168.192.129 靶机：MyExpense（我要报销）靶机场景描述：您是“塞缪尔·拉莫特”，刚刚被您的公司“Furtura Business Informatique”解雇。不幸的是，由于您匆忙离开，您没有时间验证您上次商务旅行的费用报告，该报告仍相当于 750 欧元，相当于您最后一位客户的回程航班。由于担心您的前雇主可能不想报销您的此费用报告，您决定侵入名为 “MyExpense” 的内部应用程序来管理员工费用报告。所以你在车里，在公司停车场，并连接到内部 Wi-Fi（钥匙在你离开后仍未更换）。该应用程序受用户名/密码身份验证保护，您希望管理员尚未修改或删除您的访问权限。您的凭据是：samuel/fzghn4lw 挑战完成后，该标志将在与您的（samuel）帐户连接时显示在应用程序上。先扫描一下 ip 存活 1nmap -sP 192.168.192.0/24 靶机 ip：192.168.192.146 然后探测靶机开放的端口和服务开放了一个 80 端口，开启 apache 服务访问该 ...

DC-4靶机渗透

发表于 2025-08-08 | 更新于 2025-09-16 | web渗透 | 靶机渗透

攻击机: win10 192.168.192.129 靶机：DC-4 先扫描网段存活，找到靶机ip 1nmap -sP 192.168.192.0/24 进行全面扫描，查看开放端口和系统型号等主机详细信息 1nmap -A 192.168.192.142 开放了22和80端口，大概率是个服务器。系统是linux系统 22端口是ssh连接，我们不知道账号密码，先从80端口入手打开web服务页面猜测账户名为admin，抓包进行暴力破解，得到密码为happy 账号：admin 密码：happy 登陆进去后有个System Tools，进入command 就能看到三个命令，并且可以执行。现在知道它能执行命令了，我们可以找找能不能执行其他命令。抓包看一下可以看到它是通过radio参数进行post传参的命令，我们修改这个命令看看能不能执行发现它执行了，那么我们就可以执行我们想要的命令了。接下来我们想要找到靶机的登录账户和密码，查看/etc/passwd和/etc/shadow shadow文件看不了，不过现 ...

ISCC2025决赛WEB+MISC部分wp

发表于 2025-05-18 | 更新于 2025-07-01 | CTF | 比赛wp

[TOC] WEB谁动了我的奶酪首先打开网址，发现输入框，提示是谁偷了jerry的奶酪，想到它的老朋友tom，于是输入tom得到源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081<?phpecho "<h2>据目击鼠鼠称，那Tom坏猫确实拿了一块儿奶酪，快去找找吧！</h2>";class Tom{ public $stolenCheese; public $trap; public function __construct($file='cheesemap.php'){ $this->stolenCheese = $file; echo "Tom盯着你，想要守住他抢走的奶酪！ ...

ISCC2025区域赛WEB+MISC部分wp

发表于 2025-05-18 | 更新于 2025-05-18 | CTF | 比赛wp

[TOC] web回归基本功打开网站，根据提示，“用户代理”，想到UA伪造于是根据图片提取内容，写成字典，如何一个一个尝试，最后发现是GaoJiGongChengShiFoYeGe 访问/Q2rN6h3YkZB9fL5j2WmX.php 得到源码： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647 <?phpshow_source(__FILE__);include('E8sP4g7UvT.php');$a=$_GET['huigui_jibengong.1'];$b=$_GET['huigui_jibengong.2'];$c=$_GET['huigui_jibengong.3'];$jiben = is_numeric($a) and preg_match('/^[a-z0-9]+$/',$b);if($jiben==1){ ...

ciphey安装及使用方法

发表于 2025-04-25 | 更新于 2025-04-25 | CTF | misc姿势

[TOC] 下载方法：要求python3+，但是最好使用python3.8，不要使用python3.10以上的，不然会报错（要是报错就换个python版本试试）直接pip下载 1pip3 install ciphey 使用方法：参数列表：12345678910111213141516171819202122232425262728293031323334353637383940ciphey --help用法: ciphey [选项] [TEXT_STDIN] Ciphey - 自动解密工具文档地址: https://github.com/Ciphey/Ciphey/wiki Discord (这里支持，我们大部分时间都在线): https://discord.ciphey.online/ GitHub: https://github.com/ciphey/ciphey cipher是一种使用智能人工智能的自动解密工具和自然语言处理。输入加密文本，获取解密文本例如: 基本用法: ciphey -t "aGVsbG8gbXkgbmFtZSBpcyBiZWU=& ...

TGCTF2025wp

发表于 2025-04-25 | 更新于 2025-10-29 | CTF | 比赛wp

[TOC] misc签到 TGCTF{Efforts_to_create_the_strength, attitude_determines_altitude.} next is the end下载附件，压缩包里面是一个文件夹，里面就是很长的目录，可以手动打开到目录最后一级，得到flag。 where it is 图寻题百度识图学校门口那部分，找到如下相似图片定位地点：内湖高工 TGCTF{港墘站} 这是啥？解压文件，通过文件头发现是一张gif图片。对gif图片进行帧分离，得到一堆图片。发现后面9张图片的左上角都有一部分二维码的图片将他们提取拼好后，扫描得到根据提示提到了time（时间），可能跟gif图片帧间隔有关。于是提取帧间隔 [‘840’, ‘710’, ‘670’, ‘840’, ‘700’, ‘1230’, ‘890’, ‘1110’, ‘1170’, ‘950’, ‘990’, ‘970’, ‘1170’, ‘1030’, ‘1040’, ‘1160’, ‘950’, ‘1170’, ‘1120’, ‘950’, ‘1190’, ‘ ...

hubu群星杯2025wp-看看flag队

发表于 2025-04-21 | 更新于 2025-04-21 | CTF | 比赛wp

[TOC] websignphp-ucsc签到题，直接开启环境，然后直接找到flag文件，拿到flag ezLaravel-ucsc开启环境，然后直接目录扫描，看到flag.php 访问该文件，拿到flag （这道题是出题人权限访问没控制好，导致直接扫描目录就能访问/flag.php文件。由于赛后环境无法开启，所以无法再复现了） upload2打开网站，看到是文件上传页面，先查看源码，发现是白名单过滤，只允许上传图片文件。先将一句话木马改成.jpg，上传抓包修改后缀，发现响应包提示图片格式错误。然后修改一句话木马文件，加上图片前缀（GIF89a），再次上传，显示上传give_me_flag.php。根据提示，猜测是后端匹配了文件名，需要修改上传文件的文件名。修改后再次上传，返回提示：文件里面需要givemeflag的内容。于是使用记事本编辑，加上该内容，然后继续上传得到flag flag{789d153e-189b-408f-93e4-a1ae286bef3c} 文件内容： easyphp打开界面，直接f12查看网络包，找到一个flag的头部，是个base ...

phar反序列化解析及phar文件生成

发表于 2025-04-19 | 更新于 2025-04-19 | CTF | web姿势

文件上传中的.user.ini文件

发表于 2025-04-19 | 更新于 2025-04-19 | CTF | web姿势

.user.iniphp.ini是php的一个全局配置文件，对整个web服务起作用；而.user.ini和.htaccess一样是目录的配置文件，.user.ini就是用户自定义的一个php.ini，我们可以利用这个文件来构造后门和隐藏后门。实例php 配置项中有两个配置可以起到一些作用 12auto_prepend_file = <filename> //包含在文件头auto_append_file = <filename> //包含在文件尾这两个配置项的作用相当于一个文件包含，比如 12345// .user.iniauto_prepend_file = 1.jpg// 1.jpg<?php phpinfo();?>// 1.php(任意php文件) 满足这三个文件在同一目录下，则相当于在1.php文件里插入了包含语句require(‘1.png’)，进行了文件包含。另一条配置包含在文件尾，如果遇到了 exit 语句的话就会失效。 .user.ini使用范围很广，不仅限于 Apache 服务器，同样 ...

无参数rce详解

发表于 2025-04-16 | 更新于 2025-04-16 | CTF | web姿势

[TOC] 无参数RCE题目特征123if(';' === preg_replace('/[^\W]+$(?R)?$/', '', $_GET['star'])) { eval($_GET['star']);} 正则表达式 1[^\W]+$(?R)?$ 匹配了一个或多个非标点符号字符（表示函数名），后跟一个括号（表示函数调用）。其中 (?R) 是递归引用，它只能匹配和替换嵌套的函数调用，而不能处理函数参数。使用该正则表达式进行替换后，每个函数调用都会被删除，只剩下一个分号 ;，而最终结果强等于；时，payload才能进行下一步。简而言之，无参数rce就是不使用参数，而只使用一个个函数最终达到目的。 12scandir()可以使用里面不含参数scandir('1')不可以使用，里面含有参数1，无法被替换删除相关函数简要介绍1234567891011121314scandir() :将返回当前目录中的所有文件和目录的 ...

XYCTF2025wp

发表于 2025-04-14 | 更新于 2025-04-14 | CTF | 比赛wp

[TOC] miscXGCTF根据题目描述可以知道，需要找到XGCTF中LamentXU师傅出的题这道题是原型链污染的题目然后使用浏览器搜索引擎找到dragonkeep的博客（结合提示推断，会多一个字母）然后进去找到有关原型链污染的题目，进入页面，查看源码，在源码处找到flag的base64编码，然后解码就得到flag flag{1t_I3_t3E_s@Me_ChAl1eNge_aT_a1L_P1e@se_fOrg1ve_Me} 签个到吧根据题目提示：最小的，具有图灵完备性的语言是？和上网查询，发现是Brainfuck代码查询其知识点可以知道，其计算方法大概就是前面的+数量和[<>]里的+数量相乘，得到一个数，就是一个ascll码，这段代码无法直接运行，所以将其进行修改，去掉”-+-+-+-”和”<[-]>”，然后就是这个样子： 1+++++++++++++++++[<++++++>]++++++++++++[<+++++++++>]+++++++++++++++++++++++++++++++++++ ...

【vulhub漏洞靶场】fastjson反序列化漏洞及fastjson反序列化漏洞复现

发表于 2025-04-01 | 更新于 2025-09-16 | web渗透 | 漏洞复现

[TOC] 漏洞原理啥是json?json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。举个简单的例子如下： { "name":"BossFrank", "age":23, "media":["CSDN","bilibili","Github"] } json本质就是一种字符串，用于信息的存储和交换。啥是fastjson?fastjson 是一个有阿里开发的一个开源Java 类库，可以将 Java 对象转换为 JSON 格式(序列化)，当然它也可以将 JSON 字符串转换为 Java 对象（反序列化）。Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象（这就是漏洞来源，下文会解释）。使用比较广泛。 fastjson序列化/反序列化原理fastjson的漏洞本质还是一个java的反序列化漏洞，由于引进了 ...