n0ne

vulntarget-a靶场拓扑结构 中间出现了问题对win7靶机ip进行了调整，调整win7ip：192.168.113.150 域成员-2016 修改网络，加入域就行了。登录的时候记得以域用户的身份登录 账号信息 账号：Administrator 密码：Admin@123 账号：balsec.com\win2016 密码：Admin#123 外围打点win7设备渗透 首先确认ip地址之后探寻开设的端口 能看到win7开启了4个端口 从445端口渗透可以发现使用fscan扫描出来了ms17-010漏洞也就是经典的永恒之蓝 那么接下来使用msf进行利用即可 msfconsole —–启动msf 使用use exploit/windows/smb/ms17_010_eternalblue进行漏洞利用 1234567891011121314151617181920212223sf > use exploit/windows/smb/ms17_010_eternalblue[*] No payload configured, defaulting to window...

LINK 靶机 WP最终拿到的 flag： user: flag{user-05851bbc17a30c08cebd70bb537a3115} root: flag{root-7ad90e080cbf6381a0930940d0879535} 信息收集 发现开启了三个端口先访问下80 访问首页： http://192.168.56.141/ 页面只有一个标题： 12138 以及一张图片： 12138.jpg 发现图片上有12138的提示，那么重点应该是在该端口了 分析 12138 端口服务直接连接 12138 端口后，服务返回： 1Please enter a path 这说明它像是一个“输入路径然后读取文件”的自定义服务。 经过测试其必须在/home/user12138目录下那么在该目录下进行信息收集 可以在该目录发现flag 1flag{user-05851bbc17a30c08cebd70bb537a3115} 同时还可以读到一些高价值文件：.bash_hi...

从红日靶场开始的内网渗透测试使用lingjing开启红日1靶场，灵境十分便利强烈推荐👍 信息收集 启动后直接显示ip地址，第一步使用nmap进行扫描 开的服务挺多的 先查看80端口访问ip 出现的是一个phpstudy探针，可知该服务实在windows下使用小皮进行搭建的，扫描目录 扫描目录可以看到其有phpmyadmin的后台访问看看 web漏洞利用 进入管理登录界面 弱密码尝试，root,root更改登入phpmyadmin得管理界面 SHOW GLOBAL VARIABLES LIKE ‘%secure%’ 查询系统变量 发现字段为null，不可写，如果为空表示可写任意目录，如果是一个路径则指定了只能写入该路径 新知识点: 当secure_file_priv为NULL时，表示限制Mysql不允许导入导出，这里为NULL。所以into outfile写入木马出错。要想使得该语句导出成功，则需要在Mysql文件夹下修改my.ini 文件，在[mysqld]内加入secure_file_priv =””。 直接写入木马不行，那我们就换另一种方法—Mysql日志...

Yuan群友靶机（元旦限定靶机） 2026年第一个靶机从31号打到1号陪我跨年的一个靶机。针对web漏洞利用方面并不难提权也很简单，但是还是对渗透提权不够熟悉还需要多练，希望新的一年在渗透测试方面学习的更深。 信息收集信息收集先使用fscan扫描发现有两个端口 查看80端口内容 来自元旦的庆祝 接下来扫一下目录 没有扫出来什么东西 换个工具去扫 1gobuster dir -u http://192.168.56.112 \ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,htm,txt,js,css,xml,json,md,bak,backup,old,sql,log,zip,tar,gz -t 50 --timeout 20s -o full_scan.txt --no-error 成功获取一个页面访问 点击admin发现是一个登录界面 弱口令登录pluck 漏洞利用 进入到管理员界面，利用nday去获取webshell http://192.168.56.1...

tryharder靶机靶机来源hackmyvm ip地址192.168.56.105 信息收集./fscan -h 192.168.56.105 只开启了两个端口22和80 访问80服务，静态界面没什么东西 查看源码发现api路径base64解码74221 访问是一个登录界面 漏洞利用爆破账户密码得到test 123456 提示无上传文件的管理员权限 使用jwtool爆破jwt密钥即可 python3 jwt_tool.py -C -d scraped-JWT-secrets.txt ‘eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjMiLCJyb2xlIjoidXNlciIsImV4cCI6MTc2NTg4MzAwMn0.wYMdEr-JCb30tg7VD4Qo18Wz9woHnv6ql5dovAgDyKk’ 获得密钥jwtsecret123 jwt在线解密/加密 - JSON中文网使用在线网站解析编辑jwt 更改jwt后出现文件上传功能的路由 上传文件进行测试发现...

渗透学习之Linux提权(一)SUID提权SUID 全称是 Set owner User ID up on execution。这是 Linux 给可执行文件的一个属性。通俗的理解为其他用户执行这个程序的时候可以用该程序所有者/组的权限。需要注意的是，只有程序的所有者是 0 号或其他 super user，同时拥有 SUID 权限，才可以提权。 SUID是一种特殊权限，可以让调用者在执行过程中暂时获得该文件拥有者的权限。如果可以找到并运行root用户所拥有的SUID的文件，那么就可以在运行该文件的时候获得root用户权限。 常见的可用来提权的Linux 可执行文件有： nmap, vim, find, bash, more, less, nano, cp 寻找具有suid权限的文件： 123find / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -print 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {&...

前置准备1、所有机器关闭防火墙 bash 123systemctl stop firewalld #关闭systemctl disable firewalld #开机不自启systemctl status firewalld #查看状态 2、所有机器关闭selinux bash 12sed -i 's/enforcing/disabled/' /etc/selinux/config setenforce 0 3、所有机器关闭swap bash 12swapoff -a # 临时关闭sed -ri 's/.*swap.*/#&/' /etc/fstab #永久关闭 4、所有机器上添加主机名与ip的对应关系 bash 12345678vim /etc/hosts127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 l...

关于python内存马在羊城杯碰到的一道python题目中有一道涉及到无回显的反序列化，当时是用数据外带的方法做的题目，但是赛后查看wp发现了python内存马这一写法。 老版flask内存马注入如果想要在python中实现内存马 必须想是否能动态注册新路由 主要做法是通过add_url_rule方法添加一个新的后门路由 add_url_ruel介绍1app.add_url_rule('/index/',endpoint='index',view_func=index) 三个参数： url:必须以/开头 endpoint：(站点) view_func：方法 只需要写方法名也可以为匿名参数），如果使用方法名不要加括号，加括号表示将函数的返回值传给了view_func参数了，程序就会直接报错。 Flask上下文管理机制在使用 Flask 框架实现功能接口的时候，前端点击按钮发送请求的请求方式和 form 表单提交给后端的数据，后端都是通过 Flask 中的 request 对象来获取的。在 Flask 框架中，这种传递数据的方式被称...

LazySysAdmin: 1靶场下载地址：http://www.vulnhub.com/entry/lazysysadmin-1,205/ 一、信息收集使用nmap 192.168.103.0/24寻找靶机地址和相关信息 发现有以上端口打开，先查看80端口启动的http服务 使用dirsearch进行目录扫描寻找漏洞 发现部分可访问路径逐一访问 其中重点观察wordpress和phpmyadmin这俩个服务 由于曾经使用的wordpress搭建的博客经常收到一些人的攻击，了解过一点知识先从woredpress下手 二、进行测试 在wordpress页面提示name为togie猜测可能是用户名，经过爆破后未成功，再测试phpmyadmin也未成功 使用ai进行测试，使用的是kali_mcp生成了下方的评估报告 还有开启了samba服务进行测试 使用smbclient //192.168.103.14/share$连接到服务 再使用get下载下来数据库配置的文件 发现数据库账号和密码 Admin/Togie...

浅谈python反序列化pickle反序列化pickle讲解与PHP类似，python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。 pickle实际上可以看作一种独立的语言，通过对opcode的更改编写可以执行python代码、覆盖变量等操作。直接编写的opcode灵活性比使用pickle序列化生成的代码更高，有的代码不能通过pickle序列化得到（pickle解析能力大于pickle生成能力）。 指令处理器 从流中读取 opcode 和参数，并对其进行解释处理。重复这个动作，直到遇到 . 这个结束符后停止。最终留在栈顶的值将被作为反序列化对象返回。 stack 由 Python 的 list 实现，被用来临时存储数据、参数以及对象。 memo 由 Python 的 dict 实现，为 PVM 的整个生命周期提供存储。 类似于我们在 PHP 中的 serialize 和 unserialize，如果 unserialize 的输入可控我们就可能可以进行恶意的攻击 pickletools使用pickletools可以方便的将...