mushangqiujin

摘要： 1.web74 还是先扫目录 payload: c=$a=new DirectoryIterator('glob:///*');foreach($a as $f){echo($f->__toString()." ");}exit(0); #扫描根目录有什么文件 c=$a=new DirectoryI 阅读全文

摘要： 1.信息搜集，扫描存活主机，扫描端口，服务,发现开放80，22端口，cms没有看到 nmap 192.168.85.0/24 nmap -p1-66535 192.168.85.175 nmap -sv 192.168.85.175 2.访问网站，发现登录框，根据提示，用户名可能是admin，随便找 阅读全文

摘要： 1.pass11 白名单 get%00绕过 可以看出上传路径可控，截断有两个前提条件，php版本小于5.3.4，php.ini的配置中magic_quotes_gpc 为off 上传的文件后缀为jpg，而img_path,文件保存的路径是…/upload/1.php%00/15555.jpg，因为使 阅读全文

摘要： 1.web64 payload： c=show_source('flag.php'); c=highlight_file('flag.php'); c=print_r(scandir(dirname(__FILE__)));#扫描当前目录有什么文件 c=$a=opendir('./');while( 阅读全文

摘要： 1.目录遍历 点击找flag，进入后发现是目录遍历 flag 2.phpinfo 点击查看，搜索ctfhub{ 3.备份下载 -1 网站源码 一个一个试，最后试出试www.zip，解压出三个文件，发现关键文件flag_197692240.txt 访问这个文件，得到flag -2 bak文件 下载in 阅读全文

摘要： nmap进行主机扫描，发现存活主机192.168.85.169 nmap 192.168.85.0/24 2.nmap对主机192.168.85.169进行端口扫描和服务扫描,发现还开放了7744是ssh服务，这题估计会用到ssh nmap 192.168.85.169 -p1-65335 nmap 阅读全文

摘要： 1.pass-1 前端js检查，修改js或修改后缀绕过 查看源代码，可以发现是客户端的进行检查: 两种方法： (1).禁用js或修改js代码 (2).抓包修改后缀 这里采用抓包修改后缀 先改成可以上传的后缀名，在抓包修改后缀名为php 1.php代码 <?php phpinfo();?> 把包发送， 阅读全文

摘要： windows web到system提权： windows 本地到system提权： 阅读全文

摘要： 1.web29 eval()函数是把所有字符串当作php代码去执行，这题过滤了flag,使用通配符绕过过滤应该要注意文件中没有重名的文件，或一部分是一样的文件 payload: c=echo%20`nl f''lag.php`; #官方解法，``反引号表示执行系统命令，nl为linux系统命令，是查 阅读全文

摘要： 0x01 AT&SC&PS命令提权 1.at命令提权 at是一个计划任务的命令，当调用计划任务是以system权限运行的，就实现提权 当取得普通用户可以登录时可以使用此方法提权，本地用户提权 win2003及以下版本试用 环境：win2003 at 16:40 /interactive cmd #在 阅读全文