最近的GPT-5.5加了一个cyber审查,目的是防止拿GPT做实网渗透.如果要打CTF之类的话就很难绷.所以说这里提供了一个绕过思路. Task-matrix 后端api设计 原理就是搭一个中转平台,让codex通过后端api跟实网进行交互,然后api会返回脱敏后的内容. 在脚本调试界面可以设置模拟目标和真实目标,并设置允许的命令 当然为了更全面的操作,这里还给了允许python脚本上传执行的功能 任务编排功能 这个就是额外的功能,运行新建一个项目,然后按照指定顺序的编排对一个目标执行一组命令 这里可以新建模版,可以新建自己常用的渗透命令 在新建项目-新建阶段后,就可以将创建好的任务模版拖入阶段中,还可以设置顺序,可以直接把整个阶段都执行,也可以单个执行 操作步骤 访问https://github.com/Tike00/Task-matrix/ 下载release 按照要求启动前后端服务 默认是监听0.0.0.0的,所以说在kali启动后可以直接在Windows主机访问kaliIP:5173,admin admin 弱口令登录即可. 然后在脚本调试
Linux机器 依旧 80 22端口 80端口是没东西的 就一个html网页,然后上面有几个人物介绍 子域名 直接子域名扫一下 ffuf -w SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt -u http://10.129.20.31 -H "Host: FUZZ.silentium.htb" -fc 301 有一个staging,加一下host看看 Flowise-AI 资产是Flowise 不是很熟悉,直接问AI ,有一个接口可以查看版本号 http://staging.silentium.htb/api/v1/version 找一下是否有rce漏洞,还有好几个 搜一下poc什么的,发现就这个CVE-2025-59528可能性最大,是一个组合链,
最新版xhs_9_20_0 libxyass_1libxyass_1.so583 KBdownload-circle 补环境 网上教程挺多,我直接丢个成品 package com.ruhua.study.xhs; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unidbg.arm.backend.Backend; import com.github.unidbg.arm.backend.Unicorn2Factory; import com.github.unidbg.
在咸鱼上搞一个GPT的business,给了些codex的额度,于是打算玩一玩.刚好想做一个知识展示的东西,之前找笔记的时候发现要来回穿插typora有点麻烦,想着能不能搞一个统一的还要美观简洁的页面能够方便我查询我的所有md笔记. 于是我把我的想法先给GPT,让它帮我生成一个提示词,然后自己再修改一下,其实是试错了一次,发现直接用给的提示词生成的效果不是很好.后面自己又改了一版,当中也是修了很多的bug,然后一些样式什么的.不过最后的效果还行.基本实现了要求 https://github.com/Tike00/EnvStar 使用 初始页面 内置了一个rce.md,是我用来做测试的,右边可以直接叉掉然后导入自己的笔记,导入方式有两种,一种是一个一个的导入,另一种是直接一次性导入某个文件夹里面的所有md文件,因为可能有很多的笔记是分开的放在一个文件夹里面,一个一个导入很麻烦. 搜索 点击左边的搜索按钮会出现一个全屏的搜索框出来,支持搜索当前页面加载的所有md关键字 显示全部节点按钮 默认的话不会显示星团的全部节点,不过有一个专门的按钮可以实现 小地图 这
Linux机器有这些端口 80端口无资产信息 3552端口,Arcane 有CVE-2026-23944 不过打不了,尝试弱口令也不行,只能先搁置一下 没思路再看看子域名,有两个 ffuf -w SecLists-master/Discovery/DNS/subdomains-top1million-20000.txt -u https://kobold.htb -H "Host: FUZZ.kobold.htb" -fc 302 有ssl的话记得加https,不然都是301 加上host后能发现mcp这个是一个mcpjam 有且只有一个漏洞 在setting里面能看到版本号也是满足的 CVE-2026-23744 在github上能找打poc,不过找到的现成的脚本不太适合这个,漏洞实现也能简单直接curl就是 curl -k -X POST https://mcp.kobold.htb/api/mcp/connect
前几天参加一个面试,准备了几天的js逆向,二面坠机了😶🌫️ (我是fw) 把最近速成的js逆向总结一下然后继续玩渗透了 短期速成,质量不齐,仅供参考 现状 国内 对于前端加密通常会用到一些专门的反爬框架例如瑞数,在很多政企网站里面能够看到,然后一些大厂什么的会用到自研的一些vmp来做前端加密.vmp还有其他例如webpack打包的手段实现了对js代码的强混淆,让传统的手撕逆向难度飙升,此外还有常见例如滑块啊什么的操作.当前了解到的比较前沿的手法是补环境或者通过rpc,有一些验证码挑战的话可能还需要模拟浏览器操作. 国外 大部分都是用的反爬产品例如cloudflare、akamai等,跟瑞数差不多吧 🤨常见的比如说cloudflare的5秒盾,然后还有一些指纹检测,行为风控什么的,会用到一些开源项目梭哈,后面会讲. VMP(Virtual Machine Protection)是一种代码保护技术,它把原本的逻辑编译成一套自定义“虚拟指令”,再由一个内置解释器去执行。也就是说代码不再按正常 JS 运行,而是在一个“虚拟机”里跑,从而隐藏真实逻辑,让人难以看懂、分
Linux机器,80 22端口 初始页面是没什么资产信息的,点这个登录会跳到ZoneMinder 弱口令手测一下发现是admin admin,登录后有版本信息 第一个试了不行,打的第二个CVE CVE-2024-51482 https://github.com/plur1bu5/CVE-2024-51482-PoC python zm.py -t cctv.htb -u admin -p admin -D zm -T Users --dump --threads 20 前面还需要测数据库名然后表,这里都是默认的,直接dump,盲注很man~ 三个,通常来说都是爆第二个mark为普通用户.这里都爆了一下,第一个admin没有,第三个就是admin密码,第二个 hashcat -m 3200 '$2y$10$prZGnazejKcuTv5bKNexXOgLyQaok0hq07LW7AJ/
Linux机器,22 80 443 端口,其实还有一个神秘的6661端口,测半天不知道干嘛的 资产是Mirth Connect,下面这个什么2021 的就感觉应该是有现成的CVE ,找了一下就俩CVE-2023-43208 和 CVE-2023-37679 CVE-2023-43208 找到exp https://github.com/jakabakos/CVE-2023-43208-mirth-connect-rce-poc/tree/master 我用这里面的探测脚本发现版本是4.4.0 有CVE-2023-43208 ,不过用这个exp的时候发现死活不行,看了下poc发现可能是上线命令复杂的原因?后面懒得折腾就试了试MSF msfconsole use exploit/multi/http/mirth_connect_cve_2023_43208 set RHOSTS 10.129.x.x set RPORT 443 set
Java反射 在代码已经运行后,将需要动态加载的类,直接传给java封装实现的反射类,从而获取其属性甚至是直接调用 但是反射会大幅度降低性能 Java的ClassLoader 双亲委派机制 就是找类的时候先由父加载器直到Bootstrap ClassLoader寻找并更新,如果找不到,再由自己更新 Java的ClassLoader分为两种: * 系统类加载器 BootstrapClassLoader, ExtensionsClassLoader, ApplicationClassLoader * 自定义类加载器 Custom ClassLoader, 通过继承java.lang.ClassLoader实现 ClassLoader的继承关系如图所示: 1. ClassLoader 是一个抽象类,定义了ClassLoader的主要功能 2. SecureClassLoader 继承自ClassLoader,但并不是ClassLoader的实现类,而是拓展并加入了权限管理方面的功能,增强了安全性 3. URLClassLoader 继承自SecureCla
过抓包 万事开始先说抓包,说起抓包根据前辈们的信息能找到很多,我这里总结一手 tiktok加密参数分析_tiktik iid-CSDN博客 先说boringssl,这个东西就是是 Google 为 Android 等项目定制的轻量级、精简版的 OpenSSL,用于实现加密通信和安全协议。SSL_CTX_set_custom_verify 是 BoringSSL 中用于设置自定义证书验证逻辑的函数。它的函数原型大致如下:void SSL_CTX_set_custom_verify(SSL_CTX *ctx, int mode, ssl_custom_verify_callback callback);参数解释: * ctx:要设置的 SSL 上下文(SSL_CTX)。 * mode:验证模式(
2025.1.24 首先契机是最近libmsaoaidsec这个so文件的反调试被大佬们打烂了 我从中学习了一下,也快速总结了一些思路 首先如果有frida检测的话,可以先去hook一下dlopen dlopen 这个函数是liunx环境下一个运行时动态加载链接库(也就是so)的一个函数,通过直接hook这个函数我们可以知道在frida hook时加载到那个函数就会死掉 function hook_dlopen1() {//查看so的加载流程 Interceptor.attach(Module.findExportByName(null, "android_dlopen_ext"),//这个是64位后的名字,如果是32位的就直接hook dlopen { onEnter: function (args) { this.fileName = args[0].readCString() console.log(`dlopen onEnter: ${this.fil
1、寄存器 常见寄存器 寄存器 别名 特殊用途 X0 - 函数返回值(整数/指针),也用于传递第一个参数。 X1-X7 - 函数参数传递(第 2 到第 8 个参数),多余的参数通过栈传递。 X8 - 间接返回值地址(如返回结构体时存放指针),或系统调用编号(svc 指令)。 X9-X15 - 临时寄存器,调用者保存(Caller-saved),函数内可随意使用。 X16-X17 IP0 /IP1 内部过程调用临时寄存器(Intra-Procedure Call),可能被链接器使用。 X18 - 平台保留寄存器(如 macOS/iOS 用于 TLS 线程局部存储)
HTB
Linux机器,只开放了80和22端口. 点右上角那个会到一个子域,写一下host即可 nuclei一扫就出了CVE 直接看后一个严重等级的能rce CVE-2025-47812 CVE-2025-47812/exploit.py at main · blindma1den/CVE-2025-47812Contribute to blindma1den/CVE-2025-47812 development by creating an account on GitHub.GitHubblindma1den 进去之后发现是类似www-data这种权限,然后user.txt根本拿不到,说明不是提权,还需要找一个正常用户的凭证,先看看/etc/passwd 并且home目录有这个wacky,应该就是这个用户了 凭证搜集-wacky 找到wing FTP的安装路径,在里面各种找凭证,反正一通找,在/opt/wftpserver/Data/1/users 下面找到wacky.xml,当时用hashcat爆破这个sha256的哈希爆破不出来 后面找到上一级目录的settin
HTB
情人节一个人听点欢快的 MOTTAI0:00/160.5202951× config.background_music.name = "MOTTAI" config.background_music.vocal_type = "High-Pitched / Tsundere" config.background_music.lyrics.core_concept = "Wasteful if not loved" 分很低,赤赤看 Linux机器,就只有80端口和22端口,加一个host echo '10.129.2.190 pterodactyl.htb' >> /etc/
HTB
Airwaves0:00/1921× config.background_music.name = "Airwaves" config.background_music.style = "soothing" 依旧设置host解析 echo '10.129.10.4 facts.htb' >> /etc/hosts 信息搜集 Liunx机器,前面nmap扫只有22和80端口,80端口资产不明,扫目录扫出了admin路由. ffuf -w common.txt -u http://facts.htb/FUZZ -ignore-body -fc 404 这里用的是https://github.
NSS
wordpress CVE 拿到admin哈希 靶机是一个经典的wordpress,这里可以考虑直接用nuclei或者wpscan扫一下看看有没有现成的CVE. nuclei --target http://node2.anna.nssctf.cn:29462/ -tags wordpress 有一个SQL注入漏洞CVE-2022-45808,直接上github上找一下pochttps://github.com/RandomRobbieBF/CVE-2022-45808 这个直接给了sqlmap的注入方式. 不过可能是远程靶机延迟的原因,毕竟这个是盲注,上面给的poc 有时候sqlmap跑不出来,我们可以看一下nuclei的poc模版,然后让sqlmap指定参数去跑就行 sqlmap -u 'http://node2.anna.nssctf.cn:29462/wp-json/lp/v1/courses/archive-course' --data='c_search=X&order_
一个前端js加密逆向的题目,CTF很少见这种题,不过实战中肯定会有,无论是SRC还是说......等等 前端js加密主要还是为了隐藏接口,避免被拿去做一些自动化测试或者脚本,一般来说像这个题的登录接口爆破,还有一些比如说购物网站抢单抢票之类的,比较常见还有数据爬虫,一些公司都会因为各种目的专门去搞这种甚至专门的部门来爬取各种数据,无论是做分析还是干些其他什么的. 这个题出的挺好的,很符合现在大部分网站的那种各种shit套娃加密,就是故意恶心人,看来出题人也是很有实战经验的,没少赤,不然也出不了这个题. 解题步骤 绕过无限debugger 一进去就是无限debugger,网上有很多绕过的文章,这里推荐一个插件 GitHub - 0xsdeo/AntiDebug_Breaker: JavaScript Reverse Tools -- JS逆向工具JavaScript Reverse Tools -- JS逆向工具. Contribute to 0xsdeo/AntiDebug_Breaker development by creating an account on Git
内容来源:某不愿透露姓名学弟 前提 php<= 7.4.21 web服务器是 php -S 起的内置 php web 服务 题目--XCTF分站赛 LilacCTF 2026 Keep 前期信息收集没招了,扫不到目录,我的想法就只有去看响应包,没有看到中间件,只有php版本,那就循着版本号去找洞,找到这个,去试了下报错界面一股子php味,唉,艰难 先贴poc,记得关burp的自动更新content-length GET /phpinfo.php HTTP/1.1 Host: pd.research \r\n \r\n GET /xyz.xyz HTTP/1.1
极客大挑战2025(主要是week1 2的题目 有些3 4的题目过于复杂还没弄清楚) Vibe SEO 此题若是知道站点地图 可以直接尝试输入/sitemap.xml 但是若不知道也可以进行目录扫描 扫描之后访问/sitemap.xml 发现了c 访问/aa__^^.php 发现一堆报错 我们可以依次往下看 主要是看到有两个方面 第一是undefined 第二是readfile这个函数 说明我们需要给filename传递参数 且可以读取它的文件 于是我们想去读/aa__^^.php到底源码是什么 可以传入其本身 filename=/aa__^^.php 源码如下: <?php $flag = fopen('/my_secret.txt', 'r'); if (strlen($_GET['
好吧,此时此刻我已经忘了老版本的Bloodhound是怎么搞的了.不过现在我们来学新的.我记得新的支持的东西多一点,之前打HTB有个域关系找不到气死了(其实是没有给我一把梭出来😼). 主要是参考https://bloodhound.specterops.io/get-started/quickstart/community-edition-quickstart (其实几乎是一模一样的)😅 搭建步骤 首先你得有一个docker,然后你还得有docker-compose或者docker compose命令,没有的自己问AI. 这个你至少得给你的kali配置4G的内存然后搭建的时候还不能有其他容器占用,否则会炸,性能还是需要的. 1. 下载BloodHound CLI wget https://github.com/SpecterOps/bloodhound-cli/releases/latest/download/bloodhound-cli-linux-amd64.tar.gz 2. 解压 里面有一个可执行文件bloodhound-cli tar -xvzf
HTB
之前打了没写,今天重新打一遍 有初始凭据 As is common in real life Windows penetration tests, you will start the Signed box with credentials for the following account which can be used to access the MSSQL service: scott / Sm230#C5NatH 域名解析 echo "10.10.11.90 signed.htb DC01.signed.htb" >
工具
Nuclei 介绍 在https://github.com/projectdiscovery/nuclei 本质上是一个poc机,也就是根据yaml格式的模版配置,进行特定的自动化测试并检测回显等来判断是否存在漏洞 其本身自带的模版库就很优秀了https://github.com/projectdiscovery/nuclei-templates 无需自己准备 操作 参数介绍 nuclei -update //更新工具 nuclei -ut //更新模版 nuclei -target 指定目标(url/域名/ip段) nuclei -l 指定目标文件,url或者域名 实用参数 -t 运行指定的模版或模版目录(可以跟多个-t参数) -stats 实时统计 -s 根据严重程度选择模版(info,low,medium,high,critical) -debug 显示所有请求和响应(适合调试测试自定义模版的时候,
HTB
写host echo "10.10.11.98 monitorsfour.htb DC01.monitorsfour.htb" >> /etc/hosts; Nmap 80端口一个网站,不是什么主流框架 Dirsearch 有一个.env泄露 DB_HOST=mariadb DB_PORT=3306 DB_NAME=monitorsfour_db DB_USER=monitorsdbuser DB_PASS=f37p2j8f4t0r 不过3306端口没有开在外网 里面的contact有一个报错 user有信息 这里尝试一下传一下token参数,GET传参时发现字母或者除0以外的数字都没反应 传0的时候回显出了信息 [{"id":2,"
HTB
原始凭据 As is common in real life Windows penetration tests, you will start the Eighteen box with credentials for the following account: kevin / iNa2we6haRj2gaw! 设置域名解析 echo "10.10.11.95 eighteen.htb DC01.eighteen.htb" >> /etc/hosts Nmap 扫描发现有80端口和1443端口(Mssql) Mssql 给的凭据是Mssql的,80 web端测试后发现没东西呀,后台也登不上。先看看mssql,