出题——静态网站怎么打
2026-04-11 526 字 3 分钟

出题——静态网站怎么打

出题——静态网站怎么打前言第一次出题,按照平台要求存放 flag 位置的话发现是有三个非预期解的 一个是直接任意文件读取到了固定的 flag 位置,另一个则是传 phpinfo() 读取环境变量,另一个则是执行读取文件内容函数 主要是平台把 flag 位置直接给出来了,让大家没想到其实这关没这么简单 任意文件读取page(双写绕过 + %00 截断)提示是静态网站,看了一圈确实没有给任何交互点,但是发现 ?page 一直在变化 推测使用的文件包含函数,且没有后缀 .php,所以应该是后端会自动拼接后缀 .php 先尝试读取 /etc/passwd 文件,使用 %00 截断无果 再加上双写
实战——攻陷海外某政府官员家庭监控
2026-04-09 108 字 1 分钟

实战——攻陷海外某政府官员家庭监控

实战——攻陷海外某政府官员家庭监控信息收集对这名官员手下的一台服务器做信息收集,发现开放了 443 端口 访问却需要密码 使用测绘引擎去指纹识别发现是部署了一个嵌入式 Web 服务器 任意文件读取找到一个 NDay 直接打,成功拿到账号密码 成功黑入监控系统
VulnHub Vulnerable Docker:1
2026-04-07 443 字 2 分钟

VulnHub Vulnerable Docker:1

Vulnerable Docker: 1项目地址:https://download.vulnhub.com/vulnerabledocker/vulnerable_docker_containement.ova 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 弱口令WordPress访问 8000 端口发现是使用 WordPress 搭建的博客 使用 WPScan 扫描发现 bob 用户 1wpscan --url http://192.168.110.143:8000/ --enumerate u 爆破出密码
实战——攻陷海外某单位监控及 WIFI 设备后台
2026-04-06 149 字 1 分钟

实战——攻陷海外某单位监控及 WIFI 设备后台

实战——攻陷海外某单位监控及 WIFI 设备后台信息收集信息收集找到目标站点的一个监控后台 网上找弱口令无果,于是搜索 NDay 成功找到一个任意文件读取漏洞 任意文件读取尝试读取 /etc/shadow 文件,没想到成功了,可以看出这个监控系统身份是 root 级别的 弱口令后续爆破 admin 的哈希登录进监控系统,同时意外发现该站点还有一个 WIFI 后台 登录进去可以修改 WIFI 密码等等
VulnHub C0m80:1
2026-04-04 2.2k 字 11 分钟

VulnHub C0m80:1

C0m80: 1项目地址:https://download.vulnhub.com/c0m80/C0m80_3mrgnc3_v1.0.ova 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 扫描目录发现有使用 MantisBT 这个系统 任意密码重置MantisBT(CVE-2017-7615)搜索 NDay 发现存在一个任意密码重置漏洞 1http://192.168.110.142/bugs/verify.php?confirm_hash=&id=1 重置了 bob 的密码后发现登录不成功 换一下
VulnHub BTRSys:v2.1
2026-04-03 615 字 4 分钟

VulnHub BTRSys:v2.1

BTRSys: v2.1项目地址:https://download.vulnhub.com/btrsys/BTRSys1.rar 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 发现 /wordpress 目录,确认存在 WordPress 站点 弱口令WordPress使用 wpscan 检测 WordPress 版本和账号 1wpscan --url http://192.168.110.134/wordpress -U users.txt -P /usr/share/wordlists/rockyou.txt
VulnHub zico2:1
2026-04-01 510 字 3 分钟

VulnHub zico2:1

zico2: 1项目地址:https://download.vulnhub.com/btrsys/BTRSys1.rar 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 本地文件包含page查看 80 端口发现有使用文件包含函数 尝试读取 /etc/passwd 文件成功 弱口令phpLiteAdmin扫描目录发现另一个后台 /dbadmin/ 弱口令 admin 登录成功 RCEphpLiteAdmin在 PhpLiteAdmin 主界面找到“Create new database”输入框,输入数据库名 ha
VulnHub hackfest2016:Orcus
2026-04-01 373 字 2 分钟

VulnHub hackfest2016:Orcus

hackfest2016: Orcus项目地址:https://download.vulnhub.com/hackfest2016/Orcus.ova 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 弱口令phpMyAdmin扫描目录 访问 /backups 目录拿到源码 翻到了数据库账号密码 成功登录到了前面扫出来的 phpMyAdmin 后台 在数据库中找到一个和之前扫出的目录同名的 文件上传Zenphpoto(CVE-2020-36079)访问 Web 页面发现需要数据库的配置信息 使用上面的账号密码
VulnHub hackfest2016:Sedna
2026-04-01 470 字 3 分钟

VulnHub hackfest2016:Sedna

hackfest2016: Sedna项目地址:https://download.vulnhub.com/hackfest2016/Sedna.ova 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 文件上传BuilderEngine 3.5.0扫描后台发现有个这个目录可以访问 访问过去是空白,查看页面源代码推测使用的框架 去 Exploit-DB 中找到历史 NDay 按照官网给出的路径访问过去 创建一个简单的 HTML 文件 upload.html,内容如下 1234<form method=&quo
VulnHub DC416:2016-Fortress
2026-04-01 469 字 2 分钟

VulnHub DC416:2016-Fortress

DC416: 2016-Fortress项目地址:https://download.vulnhub.com/dc416-2016/dc416-fortress.ova 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 RCESCANN3R(换行符绕过)访问 80 端口发现执行的是 NMap BP 抓包使用换行符绕过 查看文件发现有两个目录 访问其中一个目录的文件拿到用户 craven 的哈希 查看家目录发现两个用户都可以访问 翻到了提示文件 在别的文件中发现密码的组合方式 成功爆破出密码 1931qwert