ZmRzのblog

从红日靶场开始的内网渗透测试使用lingjing开启红日1靶场，灵境十分便利强烈推荐👍 信息收集 启动后直接显示ip地址，第一步使用nmap进行扫描 开的服务挺多的 先查看80端口访问ip 出现的是一个phpstudy探针，可知该服务实在windows下使用小皮进行搭建的，扫描目录 扫描目录可以看到其有phpmyadmin的后台访问看看 web漏洞利用 进入管理登录界面 弱密码尝试，root,root更改登入phpmyadmin得管理界面 SHOW GLOBAL VARIABLES LIKE ‘%secure%’ 查询系统变量 发现字段为null，不可写，如果为空表示可写任意目录，如果是一个路径则指定了只能写入该路径 新知识点: 当secure_file_priv为NULL时，表示限制Mysql不允许导入导出，这里为NULL。所以into outfile写入木马出错。要想使得该语句导出成功，则需要在Mysql文件夹下修改my.ini 文件，在[mysqld]内加入secure_file_priv =””。 直接写入木马不行，那我们就换另一种方法—Mysql日志...

Yuan群友靶机（元旦限定靶机） 2026年第一个靶机从31号打到1号陪我跨年的一个靶机。针对web漏洞利用方面并不难提权也很简单，但是还是对渗透提权不够熟悉还需要多练，希望新的一年在渗透测试方面学习的更深。 信息收集信息收集先使用fscan扫描发现有两个端口 查看80端口内容 来自元旦的庆祝 接下来扫一下目录 没有扫出来什么东西 换个工具去扫 1gobuster dir -u http://192.168.56.112 \ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,htm,txt,js,css,xml,json,md,bak,backup,old,sql,log,zip,tar,gz -t 50 --timeout 20s -o full_scan.txt --no-error 成功获取一个页面访问 点击admin发现是一个登录界面 弱口令登录pluck 漏洞利用 进入到管理员界面，利用nday去获取webshell http://192.168.56.1...

tryharder靶机靶机来源hackmyvm ip地址192.168.56.105 信息收集./fscan -h 192.168.56.105 只开启了两个端口22和80 访问80服务，静态界面没什么东西 查看源码发现api路径base64解码74221 访问是一个登录界面 漏洞利用爆破账户密码得到test 123456 提示无上传文件的管理员权限 使用jwtool爆破jwt密钥即可 python3 jwt_tool.py -C -d scraped-JWT-secrets.txt ‘eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjMiLCJyb2xlIjoidXNlciIsImV4cCI6MTc2NTg4MzAwMn0.wYMdEr-JCb30tg7VD4Qo18Wz9woHnv6ql5dovAgDyKk’ 获得密钥jwtsecret123 jwt在线解密/加密 - JSON中文网使用在线网站解析编辑jwt 更改jwt后出现文件上传功能的路由 上传文件进行测试发现...

渗透学习之Linux提权(一) SUID提权SUID 全称是 Set owner User ID up on execution。这是 Linux 给可执行文件的一个属性。通俗的理解为其他用户执行这个程序的时候可以用该程序所有者/组的权限。需要注意的是，只有程序的所有者是 0 号或其他 super user，同时拥有 SUID 权限，才可以提权。 SUID是一种特殊权限，可以让调用者在执行过程中暂时获得该文件拥有者的权限。如果可以找到并运行root用户所拥有的SUID的文件，那么就可以在运行该文件的时候获得root用户权限。 常见的可用来提权的Linux 可执行文件有： nmap, vim, find, bash, more, less, nano, cp 寻找具有suid权限的文件： 123find / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -print 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {...

前置准备1、所有机器关闭防火墙 bash 123systemctl stop firewalld #关闭systemctl disable firewalld #开机不自启systemctl status firewalld #查看状态 2、所有机器关闭selinux bash 12sed -i 's/enforcing/disabled/' /etc/selinux/config setenforce 0 3、所有机器关闭swap bash 12swapoff -a # 临时关闭sed -ri 's/.*swap.*/#&/' /etc/fstab #永久关闭 4、所有机器上添加主机名与ip的对应关系 bash 12345678vim /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 l...

关于python内存马在羊城杯碰到的一道python题目中有一道涉及到无回显的反序列化，当时是用数据外带的方法做的题目，但是赛后查看wp发现了python内存马这一写法。 老版flask内存马注入如果想要在python中实现内存马 必须想是否能动态注册新路由 主要做法是通过add_url_rule方法添加一个新的后门路由 add_url_ruel介绍1app.add_url_rule('/index/',endpoint='index',view_func=index) 三个参数： url:必须以/开头 endpoint：(站点) view_func：方法 只需要写方法名也可以为匿名参数），如果使用方法名不要加括号，加括号表示将函数的返回值传给了view_func参数了，程序就会直接报错。 Flask上下文管理机制在使用 Flask 框架实现功能接口的时候，前端点击按钮发送请求的请求方式和 form 表单提交给后端的数据，后端都是通过 Flask 中的 request 对象来获取的。在 Flask 框架中，这种传递数据的方式被称...

LazySysAdmin: 1靶场下载地址：http://www.vulnhub.com/entry/lazysysadmin-1,205/ 一、信息收集使用nmap 192.168.103.0/24寻找靶机地址和相关信息 发现有以上端口打开，先查看80端口启动的http服务 使用dirsearch进行目录扫描寻找漏洞 发现部分可访问路径逐一访问 其中重点观察wordpress和phpmyadmin这俩个服务 由于曾经使用的wordpress搭建的博客经常收到一些人的攻击，了解过一点知识先从woredpress下手 二、进行测试 在wordpress页面提示name为togie猜测可能是用户名，经过爆破后未成功，再测试phpmyadmin也未成功 使用ai进行测试，使用的是kali_mcp生成了下方的评估报告 还有开启了samba服务进行测试 使用smbclient //192.168.103.14/share$连接到服务 再使用get下载下来数据库配置的文件 发现数据库账号和密码 Admin/Togie...

浅谈python反序列化pickle反序列化pickle讲解与PHP类似，python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。 pickle实际上可以看作一种独立的语言，通过对opcode的更改编写可以执行python代码、覆盖变量等操作。直接编写的opcode灵活性比使用pickle序列化生成的代码更高，有的代码不能通过pickle序列化得到（pickle解析能力大于pickle生成能力）。 指令处理器 从流中读取 opcode 和参数，并对其进行解释处理。重复这个动作，直到遇到 . 这个结束符后停止。最终留在栈顶的值将被作为反序列化对象返回。 stack 由 Python 的 list 实现，被用来临时存储数据、参数以及对象。 memo 由 Python 的 dict 实现，为 PVM 的整个生命周期提供存储。 类似于我们在 PHP 中的 serialize 和 unserialize，如果 unserialize 的输入可控我们就可能可以进行恶意的攻击 pickletools使用pickletools可以方便的将...

[NewStarCTF 公开赛赛道]UnserializeOne123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990<?php error_reporting(0); highlight_file(__FILE__); \#Something useful for you : https://zhuanlan.zhihu.com/p/377676274 class Start{ public $name; protected $func; public function __destruct() { echo "Welcome to NewStarCTF, ".$this->name;
...

SSTI（模板注入）漏洞前置知识模板引擎模板引擎是在 Web 开发中，为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，模板引擎会将模板文件和数据通过引擎整合生成最终的HTML代码并用于展示。模板引擎的底层逻辑就是进行字符串拼接。模板引擎利用正则表达式识别模板占位符，并用数据替换其中的占位符。 SSTISSTI（Server-Side Template Injection）服务端模板注入主要是 Python 的一些框架，如 jinja2、mako、tornado、django，PHP 框架 smarty、twig，Java 框架 jade、velocity，rust 等框架使用渲染函数时，由于代码不规范或信任了用户输入而导致了服务端模板注入，模板渲染其实并没有漏洞，主要是程序员对代码不规范不严谨造成了模板注入漏洞，造成模板可控。具体模板如下 python前置知识python模板的ssti需要的部分知识点： __class__：查看对象所属的类 __mro__：查看继承关系和调用顺序，返回一个元组 __base__：返回单一基类 __bases__...