vulhub_cve2024s

紧急备考 PHP利用GNU C Iconv将文件读取变成RCE（CVE-2024-2961）GNU C 是一个标准的ISO C依赖库。在GNU C中，iconv()函数2.39及以前存在一处缓冲区溢出漏洞，这可能会导致应用程序崩溃或覆盖相邻变量。 如果一个PHP应用中存在任意文件读取漏洞，攻击者可以利用iconv()的这个CVE-2024-2961漏洞，将其提升为代码执行漏洞。 按照要求配置好环境，下载exp： #!/usr/bin/env python3 # # CNEXT: PHP file-read to RCE (CVE-2024-2961) # Date: 2024-05-27 # Author: Charles FOL @cfreal_ (LEXFO/AMBIONICS) # # TO..

自增RCE

[从CTFShowRCE挑战]中学习自增构造webshell-腾讯云开发者社区-腾讯云 直接从博主搬一点过来作备用 异或将字符A和?进行异或操作 首先将A和?分别转换为对应的ASCII码，A变为65，?变为63 然后将其转换为对应的二进制数，A变为1000001，1变为111111 接下来就进行运算，异或的运算规则是相同为0，不同为1 A: 1000001 1: 0111111(少一位，前面补0即可) 结果： 1111110 接下来将其二进制转换为对应十进制数，1111110对应的十进制数为126，根据ASCII码表可知126对应的是~，所以这个时候得到的字符就是~。 因此，我们利用这种思路，可以借助异或构造payload如下 $__=("#"^"|"); /..

Vulhub_Others

AdminerCVE-2021-21311Adminer是一个PHP编写的开源数据库管理工具，支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。 在其4.0.0到4.7.9版本之间，连接 ElasticSearch 和 ClickHouse 数据库时存在一处服务端请求伪造漏洞（SSRF）。 在Adminer登录页面，选择ElasticSearch作为系统目标，并在server字段填写example.com，点击登录即可看到example.com返回的400错误页面展示在页面中 SSRF漏洞（原理、挖掘点、漏洞利用、修复建议） - Saint_Michael - 博客园 7.1.常用绕过方法　　1.@　　　..

Vulhub_CMS

Vulhub_Frame

ThinkphpThinkPHP 多语言本地文件包含漏洞 ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前，存在一处本地文件包含漏洞。当多语言特性被开启时，攻击者可以使用lang参数来包含任意PHP文件。 虽然只能包含本地PHP文件，但在开启了register_argc_argv且安装了pcel/pear的环境下，可以包含/usr/local/lib/php/pearcmd.php并写入任意文件 安装了pear（这样才能有pearcmd.php） 开启了register_argc_argv 存在文件包含且可以包含后缀为php的文件且没有open_basedir的限制。 原理pearcmd.php的妙用_register argc argv-CSDN博客 根据博客，..

Vulhub_Middleware

楔子由于最近也不知道该学什么，怎么学，最关键是要不要学，很迷茫。 之前培训以及前两天跟同事交流都提到了vulhub这个玩意儿，以前看过这东西但是看了两眼觉得只是一些比较老的cve和一个比较方便的普通web靶场，没有想到还可以当知识库使用，这两天仔细看了发现还是有一些比较新的cve，看起来也是持续更新的，于是稍微琢磨了一下，打算先走一下常见中间件的cve，光有个数据库恐怕是不行的，就怕看见了但是认不出来hhh。反正没什么事儿，每天有空了花几分钟搞一个先弄着走吧。。。 我的环境问题─# docker-compose up -d Traceback (most recent call last): File "/usr/lib/python3/dist-packages/docker/api/cli..

HTB_CICADA

nmap└─# nmap 10.10.11.35 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-28 08:07 EDT Nmap scan report for 10.10.11.35 Host is up (0.43s latency). Not shown: 991 filtered tcp ports (no-response) PORT STATE SERVICE 53/tcp open domain 135/tcp open msrpc 139/tcp open netbios-ssn 389/tcp open ldap 445/tcp open microsoft-ds..

HTB_Sightless

nmapnmap 10.10.11.32 -sCV -p 21,22,80 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-28 02:10 EDT Stats: 0:00:26 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan Service scan Timing: About 66.67% done; ETC: 02:11 (0:00:13 remaining) Nmap scan report for sightless.htb (10.10.11.32) Host is up (0.30s latency). PORT STATE SERVICE VERSION..

HTB_EvilCUPS

参照：HTB: EvilCUPS | 0xdf hacks stuff 端口扫描└─# nmap 10.10.11.40 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-26 02:27 EDT Nmap scan report for 10.10.11.40 Host is up (0.14s latency). Not shown: 998 closed tcp ports (reset) PORT STATE SERVICE 22/tcp open ssh 631/tcp open ipp Nmap done: 1 IP address (1 host up) scanned in 2.20 seconds ..

XCTF_email

打开页面，还是登录注册，随便注册一个账号，并扫描一下路径。登录之后发现所有信息都放在这里： 考虑一下有没有注入，发现username和mail都没有，抓包cookie里发现jwt： ==》 在 jwt.io 中生成的 JWT 使用的是特定的算法（如 HMAC SHA256），并且可以设置特定的密钥和有效载荷。Flask 的 session 默认使用 Flask 内部的签名机制，可能不会以 JWT 格式生成，具体实现可能与 JWT 的结构和内容不同。因此直接使用 jwt.io一般无法直接生成session 源码也没有发现东西，路径扫描得到/flag路径，访问： if session[‘isadmin’]: return flag 需要session设置isadmin，那现在需要找..