Van's Blog

基础元素 变量(Variables) 类(Class) 表达式(Expressions) 查询(Queries) 公式(Formulas) 别名(Alias) 模块(Modules) 谓词(Predicates) 类(Class) 123456789101112class Clazz extends int { Clazz(){ this=1 or this =2 } string getString(){ result = "One, two" + this.toString() }}from Clazz cselect c,c.getString() codeql中的类在被调用时，其所有的子类都会被调用。 类中可以包含的元素 特征谓词声明 任意数量的成员谓词声明 任何数量的字段声明 特征谓词 它们是在类的主体中定义的谓词。它们是使用变量 this 限制类中可能的值的逻辑属性。 成员谓词 这些谓词只适用于特定类的成员。可以对值调用成员谓 ...

首先端口扫描 nmap -sT 192.168.152.89 -p- -Pn --min-rate=10000 -vv 得到结果 访问web服务 看到WordPress，直接wpscan开扫。这里能得到用户名admin。 利用CVE-2017-5487也能得到。 路径扫描发现存在robots.txt 访问secret.txt。 base64解码下 openssh private key。 复制下来保存到~/.ssh/id_rsa中。 然后直接用ssh连接，用户名不是admin。 回去找了找，在主页发现用户名oscp。 重新登陆成功。 得到user flag。

首先进行端口扫描 路径扫描 feroxbuster -u http://192.168.181.87/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 没扫到东西。然后试试用nuclei扫描。 扫到一个EXP： https://github.com/opsxcq/exploit-CVE-2014-6271，试了一下发现可以直接利用 尝试反弹shell，反弹成功。 直接拿到用户flag 提权 SUID、定时任务，sudo都没有找到利用方法。看内核时Linux3.2.0，搜索是否存在内核提权。 ![image-20230723203927961](…/images/offsec-Lab-Sumo/image-20230723203927961.png

简介 WebGoat是一个java-based的靶场。 通过该靶场可以学习相关漏洞原理，测试相关扫描器。 安装 方便分析源码所以直接下载源码，git clone https://github.com/WebGoat/WebGoat.git 在启动项目之前修改服务的地址，因为原来设置的是127.0.0.1，导致启动后只能用127.0.0.1访问，本地地址无法访问，这样用bp抓包时比较麻烦。因此这里修改成0.0.0.0。路径为： WebGoat/webgoat-container/src/main/resources/application.properties 12server.address=${webgoat.host}webgoat.host=${WEBGOAT_HOST:0.0.0.0} 启动webgoat。 1java -jar target/webgoat-2023.3-SNAPSHOT.jar Hijack a session 这个练习是让我们通过session登录到其他用户的登录态。首先在Account Access处尝试登录，利 ...

先扫描一下 访问55555端口，这里显示服务为request-baskets，版本为Version: 1.2.1 。 地址：https://github.com/darklynx/request-baskets 查看git地址，看介绍Request Baskets 是一个 Web 服务，用于收集任意 HTTP 请求并通过 RESTful API 或简单的 Web UI 检查它们。 可以通过建立Basket，然后访问给出的url，后台会显示出请求的详情。 搜一下有无可利用的漏洞，存在一个SSRF CVE-2023-27163。利用方式如下，post中的forward_url即可以触发SSRF。 1curl -X POST -d '{"forward_url": "http://10.10.16.10:2333","proxy_response": false,"insecure_tls": false,"expand_path": true,"capac ...

启动机器，给的IP和端口为143.110.169.131:32543 直接浏览器打开。 这个机器给了源码，下载下来看看 源码的结构为 12345678910111213141516171819.├── assets│   ├── cyberpunk.gif│   └── favicon.png├── controllers│   └── TimeController.php├── index.php├── models│   └── TimeModel.php├── Router.php├── static│   ├── css│   │   └── main.css│   ├── js│   │   ├── koulis.js│   │   └── main.js│   └── koulis.gif└── views └── index.php index.php中调用了Router，通过Router中的new函数构造TimeController中的index函数。 12$router = new Router();$router->new('GET' ...

这个靶机直接给出了ip和端口。先扫一下 nmap -sCT 178.62.23.66 -vv -Pn -p 32065 无事发生。 直接网页打开看看 子目录扫描一下 那么重点就在login页面。下面有个Reese用户名，直接爆破，无果。 尝试sql注入，也没有结果。但是发现用户名和密码为*和*时可以登录。进一步尝试用户名和密码为\R*和*时，也可以登录。那么猜测在匹配用户名和密码时*通配符能够生效，这样就可以遍历用户名和密码了。 先把密码设置为*，用户名从第一个字符开始匹配。匹配的字符范围为"QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm!@#$%^&()[]{}1234567890_"，用下面的py代码进行匹配。 12345678910111213141516171819202122232425262728import requestsburp0_url = "http://178.62.23.66:32056/login"burp0_cookies ...

首先扫描端口 nmap -sT 10.10.11.218 -vv -Pn nmap -sCV 10.10.11.218 -vv -p22,80 -Pn 打开80页面，发现页面是由flask构建的，因此考虑SSTI。 路径扫描结果如下 在https://ssa.htb/guide下找到输入框。 查看PGP内容和用法 解释一下pgp PGP是"Pretty Good Privacy"（相当好的隐私）的缩写，它是一种用于加密和解密电子通信的加密协议和软件工具集。 PGP的目标是提供一种安全的方式来保护电子通信的机密性和完整性。它使用一种称为"公钥加密"的加密技术，其中每个用户都拥有一对密钥：公钥和私钥。 公钥可以公开共享给其他人，而私钥则是保密的。当某人想要向您发送加密消息时，他们可以使用您的公钥加密该消息。只有您持有与该公钥对应的私钥，才能解密和阅读消息。 PGP还提供了数字签名的功能，用于验证消息的真实性和完整性。通过使用私钥对消息进行数字签名，您可以证明该消息确实是由您发送的，并且在传递过程中没有被篡改。 PGP的应用 ...

前置知识 详细了解xss的原理和流程需要首先了解浏览器的编码和解码过程。 主要为url编码、html编码和js编码。 浏览器的编码和解码 url编码 标准的url结构是:scheme://login:password@address:port/path?quesry_string#fragment 当用户的输入作为url的一部分(如get请求)时，为了使用户输入不破坏语法，部分字符需要进行url编码。这部分url保留字符为 :/?#[]@=+$,;"%{} 上述保留字符所有的浏览器都遵守 但在测试时发现不同浏览器的url保留字符存在细微差别，例如版本号为108.0.5359.124的chrome对url中的圆括号()编码为%28%29。版本号为114.0.5735.199的chrome则不进行编码。 html编码 我们拿常见的标签举例。 1<p>Hello World</p> 跟url的问题类似，如果用户输入将被嵌入到 HTML 页面中，例如在表单字段、文本区域或注释中，浏览器会对其进行 HTML 编码。HTML 编码将特殊字符转换 ...

首先扫一下top1000 nmap -Pn 10.10.11.219 -vv (本来一般是扫全量的)但是htb网络环境太慢，所以先扫top1000。 nmap -Pn -p- --min-rate=10000 10.10.11.219 -vv 1234567891011121314151617Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-29 16:08 CSTInitiating Connect Scan at 16:08Scanning pilgrimage.htb (10.10.11.219) [1000 ports]Discovered open port 80/tcp on 10.10.11.219Discovered open port 22/tcp on 10.10.11.219Increasing send delay for 10.10.11.219 from 0 to 5 due to max_successful_tryno increase to 4Completed Connect Scan at 16 ...