Blue Star's Blog

端口扫描 12345678910111213┌──(root㉿kali)-[~/work/machines/ofus]└─# nmap $IP Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-07-27 00:51 HKTNmap scan report for lacasadeljamon.thl (192.168.0.9)Host is up (0.0036s latency).Not shown: 997 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http3000/tcp open pppMAC Address: 08:00:27:9B:21:90 (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 0.40 seconds 检查 3000...

nmap 端口扫描 228033069090 访问 web 80 页显示错误和可能的用户 ctf_user 目录扫描，发现 phpinfo 信息其他无信息 尝试用 ctf_user 远程连接数据库，无密码登陆成功 mysql -h $IP -u ctf_user --skip-ssl DBeaver 远程连接数据库 查到用户表，内有账号和md5密码值，不过这是网站的用户，没什么用 继续翻表，新闻表里有文字，提示“你已经走了很远了，但还有很远的路要走” 数据内容为 jpg 图片，导出为文件 拖入 010，可以看到内容分层，存在隐藏文件信息 stegseek imagen.jpg rockyou.txt 提取出隐藏文件，得到一个密码和提示 ![[Pasted image 20250726215513.png]] 根据提示，nc 打通 9090 端口 1echo -e "LOGIN whisper\nKEY whisper9090" | nc 10.0.2.16 9090 echo -e 将 \n 解释为换行符。 ssh 登录到 whisper...

初学者https://labs.thehackerslabs.com/machine/117 过程nmap 端口扫描，139,445 smb 服务匿名进入 smb 服务，下载 backup 内的 zip 文件 12345smbclient -L 192.168.0.10 -U anonymoussmbclient //192.168.0.10/backup -U anonymous lsget secretito.zipunzip secretito.zip 解压发现需要密码 12zip2john secretito.zip > hashjohn hash 得到密码（但是目前无账号名和 ssh 端口) elbunkermolagollon123 nmap -p- $IP 全端口扫描得到新端口，nc 检查后具有 ssh 服务 hydra -L /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt -p elbunkermolagollon123 ssh://192.168.0.10:65535...

地址： https://labs.thehackerslabs.com/machine/106 过程nmap 扫描，22,80访问 192.168.0.9 web，跳转 http://lacasadeljamon.thl/，修改 /ect/hosts 解析成功 目录扫描 login.php register.php db_config.php 比较敏感 先随便注册一个 admin 账户，密码 admin 进入后，有修改密码功能 修改密码，抓包 12345678910111213141516171819202122232425262728293031POST /settings.php?user_id=63 HTTP/1.1Host: lacasadeljamon.thlUser-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0Accept:...

首先代码审计，这是一个利用 Bottle 写的 Web 框架。 /download 支持下载文件，作了路径穿越过滤 /secret 进行了 guest 和 admin 的认证，用了 session = request.get_cookie("name", secret=secret) 而源码里告诉了路径 ../../secret.txt 也就是说可以用 secret.txt 对 cookie 进行伪造 根据提示，有反序列化的过程，session 认后也没有其他可用功能，于是去看 bottle 如何解析cookie 看到他的 get_cookie 123456789101112131415161718192021222324252627282930313233def get_cookie(self, key, default=None, secret=None, digestmod=hashlib.sha256): """ Return the content of a cookie. To read a...

外部打点arp-scan -l 12345678910111213┌──(root㉿kali)-[~]└─# arp-scan -lInterface: eth0, type: EN10MB, MAC: 00:0c:29:74:07:c6, IPv4: 192.168.0.9Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)192.168.0.1 30:3f:7b:d5:aa:de Shenzhen YOUHUA Technology Co., Ltd192.168.0.8 2c:9c:58:8e:96:a5 (Unknown)192.168.0.12 08:00:27:08:28:cf PCS Systemtechnik GmbH192.168.0.4 f2:13:09:db:48:25 (Unknown: locally administered)192.168.0.2 ...

常用操作 hexo new "标题" 新建文章 hexo server 本地预览 hexo generate (hexo g) 生成静态文件 hexo deploy (hexo d) 部署到远程 hexo clean 清除缓存

首先看 js 的 express 框架 12345678910111213app.get('/flag', (req, res) => { if(!req.query.admin.includes('false') && req.headers.admin.includes('true')){ res.send(flag); }else{ res.send('try hard'); }}); 必须满足查询参数中不包含 flase，请求头有 admin:true （这里的请求头是 post 中的请求头） 再看 web php 代码 $input = file_get_contents('php://input'); 这里是直接获取的 post 内容 $headers = (array)json_decode($input)->headers; 将一个...

点击猫猫信息看到文件读取功能 环境变量里没有 1http://61.147.171.103:60316/info?file=../../../../proc/self/environ /proc/self/cmdline，用于获取当前启动进程的完整命令 得到 b’python\x00app.py\x00’ 再次读取上级目录的 ../app.py app是个Flask对象，而secret...

mainarp-scan -l 123456Interface: eth0, type: EN10MB, MAC: 08:00:27:82:4b:5b, IPv4: 192.168.43.160Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)192.168.43.1 12:dd:b5:07:19:10 (Unknown: locally administered)192.168.43.73 2c:9c:58:8e:96:a5 (Unknown)192.168.43.74 08:00:27:cf:d8:16 PCS Systemtechnik GmbH192.168.43.135 08:00:27:dc:f8:76 PCS Systemtechnik GmbH nmap 12345678910PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u3 (protocol...