最近的GPT-5.5加了一个cyber审查,目的是防止拿GPT做实网渗透.如果要打CTF之类的话就很难绷.所以说这里提供了一个绕过思路. Task-matrix 后端api设计 原理就是搭一个中转平台,让codex通过后端api跟实网进行交互,然后api会返回脱敏后的内容. 在脚本调试界面可以设置模拟目标和真实目标,并设置允许的命令 当然为了更全面的操作,这里还给了允许python脚本上传执行的功能 任务编排功能 这个就是额外的功能,运行新建一个项目,然后按照指定顺序的编排对一个目标执行一组命令 这里可以新建模版,可以新建自己常用的渗透命令 在新建项目-新建阶段后,就可以将创建好的任务模版拖入阶段中,还可以设置顺序,可以直接把整个阶段都执行,也可以单个执行 操作步骤 访问https://github.com/Tike00/Task-matrix/ 下载release 按照要求启动前后端服务 默认是监听0.0.0.0的,所以说在kali启动后可以直接在Windows主机访问kaliIP:5173,admin admin 弱口令登录即可. 然后在脚本调试
HTB
Linux机器 依旧 80 22端口 80端口是没东西的 就一个html网页,然后上面有几个人物介绍 子域名 直接子域名扫一下 ffuf -w SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt -u http://10.129.20.31 -H "Host: FUZZ.silentium.htb" -fc 301 有一个staging,加一下host看看 Flowise-AI 资产是Flowise 不是很熟悉,直接问AI ,有一个接口可以查看版本号 http://staging.silentium.htb/api/v1/version 找一下是否有rce漏洞,还有好几个 搜一下poc什么的,发现就这个CVE-2025-59528可能性最大,是一个组合链,
工具
在咸鱼上搞一个GPT的business,给了些codex的额度,于是打算玩一玩.刚好想做一个知识展示的东西,之前找笔记的时候发现要来回穿插typora有点麻烦,想着能不能搞一个统一的还要美观简洁的页面能够方便我查询我的所有md笔记. 于是我把我的想法先给GPT,让它帮我生成一个提示词,然后自己再修改一下,其实是试错了一次,发现直接用给的提示词生成的效果不是很好.后面自己又改了一版,当中也是修了很多的bug,然后一些样式什么的.不过最后的效果还行.基本实现了要求 https://github.com/Tike00/EnvStar 使用 初始页面 内置了一个rce.md,是我用来做测试的,右边可以直接叉掉然后导入自己的笔记,导入方式有两种,一种是一个一个的导入,另一种是直接一次性导入某个文件夹里面的所有md文件,因为可能有很多的笔记是分开的放在一个文件夹里面,一个一个导入很麻烦. 搜索 点击左边的搜索按钮会出现一个全屏的搜索框出来,支持搜索当前页面加载的所有md关键字 显示全部节点按钮 默认的话不会显示星团的全部节点,不过有一个专门的按钮可以实现 小地图 这
HTB
Linux机器有这些端口 80端口无资产信息 3552端口,Arcane 有CVE-2026-23944 不过打不了,尝试弱口令也不行,只能先搁置一下 没思路再看看子域名,有两个 ffuf -w SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt -u https://kobold.htb -H "Host: FUZZ.kobold.htb" -fc 302 有ssl的话记得加https,不然都是301 加上host后能发现mcp这个是一个mcpjam 有且只有一个漏洞 在setting里面能看到版本号也是满足的 CVE-2026-23744 在github上能找打poc,不过找到的现成的脚本不太适合这个,漏洞实现也能简单直接curl就是 curl -k -X POST https://mcp.kobold.htb/api/mcp/connect
前几天参加一个面试,准备了几天的js逆向,二面坠机了😶🌫️ (我是fw) 把最近速成的js逆向总结一下然后继续玩渗透了 短期速成,质量不齐,仅供参考 现状 国内 对于前端加密通常会用到一些专门的反爬框架例如瑞数,在很多政企网站里面能够看到,然后一些大厂什么的会用到自研的一些vmp来做前端加密.vmp还有其他例如webpack打包的手段实现了对js代码的强混淆,让传统的手撕逆向难度飙升,此外还有常见例如滑块啊什么的操作.当前了解到的比较前沿的手法是补环境或者通过rpc,有一些验证码挑战的话可能还需要模拟浏览器操作. 国外 大部分都是用的反爬产品例如cloudflare、akamai等,跟瑞数差不多吧 🤨常见的比如说cloudflare的5秒盾,然后还有一些指纹检测,行为风控什么的,会用到一些开源项目梭哈,后面会讲. VMP(Virtual Machine Protection)是一种代码保护技术,它把原本的逻辑编译成一套自定义“虚拟指令”,再由一个内置解释器去执行。也就是说代码不再按正常 JS 运行,而是在一个“虚拟机”里跑,从而隐藏真实逻辑,让人难以看懂、分
HTB
Linux机器,80 22端口 初始页面是没什么资产信息的,点这个登录会跳到ZoneMinder 弱口令手测一下发现是admin admin,登录后有版本信息 第一个试了不行,打的第二个CVE CVE-2024-51482 https://github.com/plur1bu5/CVE-2024-51482-PoC python zm.py -t cctv.htb -u admin -p admin -D zm -T Users --dump --threads 20 前面还需要测数据库名然后表,这里都是默认的,直接dump,盲注很man~ 三个,通常来说都是爆第二个mark为普通用户.这里都爆了一下,第一个admin没有,第三个就是admin密码,第二个 hashcat -m 3200 '$2y$10$prZGnazejKcuTv5bKNexXOgLyQaok0hq07LW7AJ/
HTB
Linux机器,22 80 443 端口,其实还有一个神秘的6661端口,测半天不知道干嘛的 资产是Mirth Connect,下面这个什么2021 的就感觉应该是有现成的CVE ,找了一下就俩CVE-2023-43208 和 CVE-2023-37679 CVE-2023-43208 找到exp https://github.com/jakabakos/CVE-2023-43208-mirth-connect-rce-poc/tree/master 我用这里面的探测脚本发现版本是4.4.0 有CVE-2023-43208 ,不过用这个exp的时候发现死活不行,看了下poc发现可能是上线命令复杂的原因?后面懒得折腾就试了试MSF msfconsole use exploit/multi/http/mirth_connect_cve_2023_43208 set RHOSTS 10.129.x.x set RPORT 443 set
HTB
Linux机器,只开放了80和22端口. 点右上角那个会到一个子域,写一下host即可 nuclei一扫就出了CVE 直接看后一个严重等级的能rce CVE-2025-47812 CVE-2025-47812/exploit.py at main · blindma1den/CVE-2025-47812Contribute to blindma1den/CVE-2025-47812 development by creating an account on GitHub.GitHubblindma1den 进去之后发现是类似www-data这种权限,然后user.txt根本拿不到,说明不是提权,还需要找一个正常用户的凭证,先看看/etc/passwd 并且home目录有这个wacky,应该就是这个用户了 凭证搜集-wacky 找到wing FTP的安装路径,在里面各种找凭证,反正一通找,在/opt/wftpserver/Data/1/users 下面找到wacky.xml,当时用hashcat爆破这个sha256的哈希爆破不出来 后面找到上一级目录的settin
HTB
情人节一个人听点欢快的 MOTTAI0:00/160.5202951× config.background_music.name = "MOTTAI" config.background_music.vocal_type = "High-Pitched / Tsundere" config.background_music.lyrics.core_concept = "Wasteful if not loved" 分很低,赤赤看 Linux机器,就只有80端口和22端口,加一个host echo '10.129.2.190 pterodactyl.htb' >> /etc/
HTB
Airwaves0:00/1921× config.background_music.name = "Airwaves" config.background_music.style = "soothing" 依旧设置host解析 echo '10.129.10.4 facts.htb' >> /etc/hosts 信息搜集 Liunx机器,前面nmap扫只有22和80端口,80端口资产不明,扫目录扫出了admin路由. ffuf -w common.txt -u http://facts.htb/FUZZ -ignore-body -fc 404 这里用的是https://github.
NSS
wordpress CVE 拿到admin哈希 靶机是一个经典的wordpress,这里可以考虑直接用nuclei或者wpscan扫一下看看有没有现成的CVE. nuclei --target http://node2.anna.nssctf.cn:29462/ -tags wordpress 有一个SQL注入漏洞CVE-2022-45808,直接上github上找一下pochttps://github.com/RandomRobbieBF/CVE-2022-45808 这个直接给了sqlmap的注入方式. 不过可能是远程靶机延迟的原因,毕竟这个是盲注,上面给的poc 有时候sqlmap跑不出来,我们可以看一下nuclei的poc模版,然后让sqlmap指定参数去跑就行 sqlmap -u 'http://node2.anna.nssctf.cn:29462/wp-json/lp/v1/courses/archive-course' --data='c_search=X&order_
一个前端js加密逆向的题目,CTF很少见这种题,不过实战中肯定会有,无论是SRC还是说......等等 前端js加密主要还是为了隐藏接口,避免被拿去做一些自动化测试或者脚本,一般来说像这个题的登录接口爆破,还有一些比如说购物网站抢单抢票之类的,比较常见还有数据爬虫,一些公司都会因为各种目的专门去搞这种甚至专门的部门来爬取各种数据,无论是做分析还是干些其他什么的. 这个题出的挺好的,很符合现在大部分网站的那种各种shit套娃加密,就是故意恶心人,看来出题人也是很有实战经验的,没少赤,不然也出不了这个题. 解题步骤 绕过无限debugger 一进去就是无限debugger,网上有很多绕过的文章,这里推荐一个插件 GitHub - 0xsdeo/AntiDebug_Breaker: JavaScript Reverse Tools -- JS逆向工具JavaScript Reverse Tools -- JS逆向工具. Contribute to 0xsdeo/AntiDebug_Breaker development by creating an account on Git