Van's Blog

首先进行端口扫描 路径扫描 feroxbuster -u http://192.168.181.87/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 没扫到东西。然后试试用nuclei扫描。 扫到一个EXP： https://github.com/opsxcq/exploit-CVE-2014-6271，试了一下发现可以直接利用 尝试反弹shell，反弹成功。 直接拿到用户flag 提权 SUID、定时任务，sudo都没有找到利用方法。看内核时Linux3.2.0，搜索是否存在内核提权。 ![image-20230723203927961](…/images/offsec-Lab-Sumo/image-20230723203927961.png

简介 WebGoat是一个java-based的靶场。 通过该靶场可以学习相关漏洞原理，测试相关扫描器。 安装 方便分析源码所以直接下载源码，git clone https://github.com/WebGoat/WebGoat.git 在启动项目之前修改服务的地址，因为原来设置的是127.0.0.1，导致启动后只能用127.0.0.1访问，本地地址无法访问，这样用bp抓包时比较麻烦。因此这里修改成0.0.0.0。路径为： WebGoat/webgoat-container/src/main/resources/application.properties 12server.address=${webgoat.host}webgoat.host=${WEBGOAT_HOST:0.0.0.0} 启动webgoat。 1java -jar target/webgoat-2023.3-SNAPSHOT.jar Hijack a session 这个练习是让我们通过session登录到其他用户的登录态。首先在Account Access处尝试登录，利 ...

先扫描一下 访问55555端口，这里显示服务为request-baskets，版本为Version: 1.2.1 。 地址：https://github.com/darklynx/request-baskets 查看git地址，看介绍Request Baskets 是一个 Web 服务，用于收集任意 HTTP 请求并通过 RESTful API 或简单的 Web UI 检查它们。 可以通过建立Basket，然后访问给出的url，后台会显示出请求的详情。 搜一下有无可利用的漏洞，存在一个SSRF CVE-2023-27163。利用方式如下，post中的forward_url即可以触发SSRF。 1curl -X POST -d '{"forward_url": "http://10.10.16.10:2333","proxy_response": false,"insecure_tls": false,"expand_path": true,"capac ...

启动机器，给的IP和端口为143.110.169.131:32543 直接浏览器打开。 这个机器给了源码，下载下来看看 源码的结构为 12345678910111213141516171819.├── assets│   ├── cyberpunk.gif│   └── favicon.png├── controllers│   └── TimeController.php├── index.php├── models│   └── TimeModel.php├── Router.php├── static│   ├── css│   │   └── main.css│   ├── js│   │   ├── koulis.js│   │   └── main.js│   └── koulis.gif└── views └── index.php index.php中调用了Router，通过Router中的new函数构造TimeController中的index函数。 12$router = new Router();$router->new('GET' ...

这个靶机直接给出了ip和端口。先扫一下 nmap -sCT 178.62.23.66 -vv -Pn -p 32065 无事发生。 直接网页打开看看 子目录扫描一下 那么重点就在login页面。下面有个Reese用户名，直接爆破，无果。 尝试sql注入，也没有结果。但是发现用户名和密码为*和*时可以登录。进一步尝试用户名和密码为\R*和*时，也可以登录。那么猜测在匹配用户名和密码时*通配符能够生效，这样就可以遍历用户名和密码了。 先把密码设置为*，用户名从第一个字符开始匹配。匹配的字符范围为"QWERTYUIOPASDFGHJKLZXCVBNMqwertyuiopasdfghjklzxcvbnm!@#$%^&()[]{}1234567890_"，用下面的py代码进行匹配。 12345678910111213141516171819202122232425262728import requestsburp0_url = "http://178.62.23.66:32056/login"burp0_cookies ...

首先扫描端口 nmap -sT 10.10.11.218 -vv -Pn nmap -sCV 10.10.11.218 -vv -p22,80 -Pn 打开80页面，发现页面是由flask构建的，因此考虑SSTI。 路径扫描结果如下 在https://ssa.htb/guide下找到输入框。 查看PGP内容和用法 解释一下pgp PGP是"Pretty Good Privacy"（相当好的隐私）的缩写，它是一种用于加密和解密电子通信的加密协议和软件工具集。 PGP的目标是提供一种安全的方式来保护电子通信的机密性和完整性。它使用一种称为"公钥加密"的加密技术，其中每个用户都拥有一对密钥：公钥和私钥。 公钥可以公开共享给其他人，而私钥则是保密的。当某人想要向您发送加密消息时，他们可以使用您的公钥加密该消息。只有您持有与该公钥对应的私钥，才能解密和阅读消息。 PGP还提供了数字签名的功能，用于验证消息的真实性和完整性。通过使用私钥对消息进行数字签名，您可以证明该消息确实是由您发送的，并且在传递过程中没有被篡改。 PGP的应用 ...

前置知识 详细了解xss的原理和流程需要首先了解浏览器的编码和解码过程。 主要为url编码、html编码和js编码。 浏览器的编码和解码 url编码 标准的url结构是:scheme://login:password@address:port/path?quesry_string#fragment 当用户的输入作为url的一部分(如get请求)时，为了使用户输入不破坏语法，部分字符需要进行url编码。这部分url保留字符为 :/?#[]@=+$,;"%{} 上述保留字符所有的浏览器都遵守 但在测试时发现不同浏览器的url保留字符存在细微差别，例如版本号为108.0.5359.124的chrome对url中的圆括号()编码为%28%29。版本号为114.0.5735.199的chrome则不进行编码。 html编码 我们拿常见的标签举例。 1<p>Hello World</p> 跟url的问题类似，如果用户输入将被嵌入到 HTML 页面中，例如在表单字段、文本区域或注释中，浏览器会对其进行 HTML 编码。HTML 编码将特殊字符转换 ...

首先扫一下top1000 nmap -Pn 10.10.11.219 -vv (本来一般是扫全量的)但是htb网络环境太慢，所以先扫top1000。 nmap -Pn -p- --min-rate=10000 10.10.11.219 -vv 1234567891011121314151617Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-29 16:08 CSTInitiating Connect Scan at 16:08Scanning pilgrimage.htb (10.10.11.219) [1000 ports]Discovered open port 80/tcp on 10.10.11.219Discovered open port 22/tcp on 10.10.11.219Increasing send delay for 10.10.11.219 from 0 to 5 due to max_successful_tryno increase to 4Completed Connect Scan at 16 ...

使用Flowdroid生成Android程序API调用序列 Flowdroid是一个开源项目，可以对Apk进行静态分析，提取API调用序列。源码地址为Flowdroid项目 安装过程按照这篇文章 Flowdroid安装进行就可以了。 下面的代码实现了对APK的批量提取。 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989910010110210310410510610710810911011111211311411511611711811912012112212312412512612712812913013113213313413513613713813914014114214314414514614714814915015115215315415515615 ...

Agent ​ 入口是com.baidu.openrasp 123public static void premain(String agentArg, Instrumentation inst) { init(START_MODE_NORMAL, START_ACTION_INSTALL, inst); } 123public static void premain(String agentArg, Instrumentation inst) { init(START_MODE_NORMAL, START_ACTION_INSTALL, inst); } ​ 在JarFileHelper.addJarToBootstrap(inst); 中使用inst.appendToBootstrapClassLoaderSearch(new JarFile(localJarPath));将本Jar文件加入jdk的根路径下。使用appendToBootstrapClassLoaderSearch参数后，JVM将会在 ...