仙心

Delivery 第1关请测试 Delivery 暴露在公网上的 Web 应用的安全性，并尝试获取在该服务器上执行任意命令的能力。 第2关为了实现跨机器和跨操作系统的文件共享，管理员在内网部署了 NFS，然而这个决策却使得该服务器陷入了潜在的安全风险。你的任务是尝试获取该服务器的控制权，以评估安全性。 第3关请尝试获取内网中运行 OA 系统的服务器权限，并获取该服务器上的机密文件。 第4关由于域管理员错误的配置，导致域内某个用户拥有危险的 DACL。你的任务是找到该用户，并评估这个配置错误所带来的潜在危害。 tagXStream内网渗透域渗透 信息搜集先用fscan扫一下机器./fscan.exe -h 39.99.232.178 123456789101112start infoscan39.99.232.178:80 open39.99.232.178:22 open39.99.232.178:21 open39.99.232.178:8080 open[*] alive ports len is: 4start vulscan[*] WebTitle ...

Privilege在这个靶场中，您将扮演一名资深黑客，被雇佣来评估虚构公司XRShop的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用，并通过后渗透技巧深入XRShop的内部网络，寻找潜在的弱点和漏洞，并通过滥用Windows特权获取管理员权限，最终并获取隐藏在其内部的核心机密。该靶场共有4个Flag，分布于不同的靶机。 剧情第1关请获取 XR Shop 官网源码的备份文件，并尝试获得系统上任意文件读取的能力。并且，管理员在配置 Jenkins 时，仍然选择了使用初始管理员密码，请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。第2关管理员为 Jenkins 配置了 Gitlab，请尝试获取 Gitlab API Token，并最终获取 Gitlab 中的敏感仓库。获取敏感信息后，尝试连接至 Oracle 数据库，并获取 ORACLE 服务器控制权限。第3关攻击办公区内网，获取办公 PC 控制权限，并通过特权滥用提升至 SYSTEM 权限。第4关尝试接管备份管理操作员帐户，并通过...

黄鹤杯webCode12345678910111213141516171819202122<?phphighlight_file(__FILE__);include("aid.php");if(!(isset($_GET["input1"]) && isset($_GET["input2"]) && isset($_GET["input3"]))){ die("Insufficient Inputs!");}$input1 = $_GET["input1"];$input2 = $_GET["input2"];$input3 = $_GET["input3"];if($input1==0&&file_get_contents($input2)=="Welcome!"&&$input2==0){ ...

SpoofingSpoofing是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机 tagTomcat、WebClient、Coerce Authentication、noPac、NTLM 信息搜集先用fscan扫一下机器./fscan.exe -h 39.99.132.128 123456789start infoscan39.99.132.128:8080 open39.99.132.128:8009 open39.99.132.128:22 open[*] alive ports len is: 3start vulscan[*] WebTitle http://39.99.132.128:8080 code:200 len:7091 title:后台管理已完成 3/3[*] 扫描结束,耗时: 27.1707897s 发现8009端口开放，搜索得知为Tomcat默认端口，搜索相关漏洞，发现Tomcat-Ajp协议文件读取漏洞git clone https://github....

n1ctfwebonline_unzipper先注册个账号登录上去看看，发现可以上传 ZIP 文件解压，可以上传zip文件还能解压的首先先尝试软连接读取文件 这里由于一开始网站问题没有附件所以当黑盒做的 尝试读取源文件ln -s /app/app.py testzip -y test.zip test成功读取源文件 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114import osimport uuidfrom flask import Flask, request, redirect, url_for,send_file,render_template, ses...

24 长城杯（GreatWall）在这个靶场中，您将扮演一名渗透测试工程师，接受雇佣任务来评估“SmartLink Technologies Ltd.”公司的网络安全状况。 您的任务是首先入侵该公司暴露在公网上的应用服务，然后运用后渗透技巧深入 SmartLink公司的内部网络。在这个过程中，您将寻找潜在的弱点和漏洞，并逐一接管所有服务，从而控制整个内部网络。靶场中共设置了6个Flag，它们分布在不同的靶机上，您需要找到并获取这些 Flag 作为您的成就目标。 信息收集./fscan.exe -h 39.101.67.119 -nobr 1234567891011start infoscan39.101.67.119:8080 open39.101.67.119:22 open39.101.67.119:80 open[*] alive ports len is: 3start vulscan[*] WebTitle http://39.101.67.119 code:200 len:10887 title:""[*] WebTitle http:...

湾区杯webssti访问直接能ssti，但是尝试常规的49等回显依然还是49，判断不为常规语言的ssti，尝试go语言的sstipayload{{ . }}回显两个函数base64decode和exec直接调用exec进行cat /flag{{ exec ("cat /flag") }}发现存在过滤，利用base64decode绕过{{exec (B64Decode"Y2FOIC9mbGFn")}}flag{pqRpoqrMq9Tqyhs91afm3rc6HXEDZH1t} ez-python访问后可以上传文件并执行，但是需要admin权限抓包发现会向/auth路由发包获取token，jwt解码发现是user权限，需要jwt伪造，这里先随便用一个秘钥生成一个admin权限的token访问，发现回显hint{"error":"JWT Decode Failed. Key Hint",&...

imaginaryctfwebimaginary-notes题目给出flag在admin的密码中，显而易见需要进行注入 123456789101112131415161718GET /rest/v1/users?select=*&username=eq.admin&password=eq.11 HTTP/2Host: dpyxnwiuwzahkxuxrojp.supabase.coX-Client-Info: supabase-js-web/2.50.3Sec-Ch-Ua: "Chromium";v="117", "Not;A=Brand";v="8"Sec-Ch-Ua-Mobile: ?0Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJzdXBhYmFzZSIsInJlZiI6ImRweXhud2l1d3phaGt4dXhyb2pwIiwicm9sZSI6ImFub24iLCJpYXQiOjE...

闽盾杯webheiupload一个文件上传题，有关键词检测和ai检测（检测危险后缀名进行删除）尝试上传后发现除了图片后缀名之外大部分都会被ai删除，不过在网络抓包注意到ai检测大概有2秒左右的延时，判断可能需要利用条件竞争但是上传成功的文件会被更改为md5+后缀名，所以想条件竞争必须获取md5的参数或者能够进行目录穿越这里注意到返回值中有时间参数，尝试对时间进行md5加密，发现刚好就是文件名而这个时间是渐渐增加的，所以可以利用返回值中的时间参数往后推一点点值，利用这个时间提前计算md5值进行条件竞争这里用bp并行爆破，一个上传不包含会被检测为危险代码的.php文件，另一个利用提前计算好的md5值进行读取文件（当然写个脚本更好）然后就是然后上传什么代码了，这里常见的eval,php等危险关键词都被直接过滤，利用短标签绕过php，然后利用file_get_contents读取flag 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455...

陇剑杯webforge首先要登录，注册一个admin发现已经注册了，注册其他的又显示只能admin登录，这里利用全角字符绕过进行注册修改admin密码ａｄｍｉｎ成功登录，发现可以上传.pkl文件并运行，有一个example文件作为例子，下载下来看看 1234import pickleimport pickletoolswith open("example.pkl", "rb") as f: pickletools.dis(f) 123456789101112131415161718192021222324252627282930 0: \x80 PROTO 4 2: \x95 FRAME 112 11: \x8c SHORT_BINUNICODE '__main__' 21: \x94 MEMOIZE (as 0) 22: \x8c SHORT_BINUNICODE 'CHIKAWA' 31: \x94 MEMOIZE (as 1) ...

NSS_4thwebez_signin123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475from flask import Flask, request, render_template, jsonifyfrom pymongo import MongoClientimport reapp = Flask(__name__)client = MongoClient("mongodb://localhost:27017/")db = client['aggie_bookstore']books_collection = db['books']def sanitize(input_str: str) -> str: return re.sub(r'[^a-zA-Z0-9\s]...

SekaiCTFwebMy Flask App给了源码 123456789101112131415161718192021222324from flask import Flask, request, render_templateapp = Flask(__name__)@app.route('/')def hello_world(): return render_template('index.html')@app.route('/view')def view(): filename = request.args.get('filename') if not filename: return "Filename is required", 400 try: with open(filename, 'r') as file: content = file.read() re...