Article

问题： 题目已经告诉了是模板注入 访问网站 点击转换 google上搜索了下pug的SSTI 找到了一个脚本 h1= title …

问题： 老样子，首先使用nmap扫描，发现开了两个端口 22端口我们目前用户名密码什么都不知道，暂时先不看，先看80端口 可以发现 …

题目很明确，告诉了是个命令注入 直接开环境访问 网站是个转换工具 抓包来测试是否存在命令注入 首先得使用tcpdump来监听网卡 …

开启机器 part 1 需要回答的问题如下： 所以我们先对目标IP进行扫描 nmap -p 1-1000 -sV 10.10.11 …

开启机器 还是先用nmap扫一下端口 目前可以发现存在一个目录遍历漏洞 尝试访问 先百度一下这个是什么系统 发现他在2.3.4版本 …

开启机器 首先对IP进行端口扫描 nmap -sC -sV 10.10.0.199 扫描四个端口开放 首先看看80端口 发现是个I …

简介 exiftool是一个可以跨平台查看、编辑文件的应用程序。ExifTool最新版目前支持十多种数据格式。ExifTool最新 …

简介 pdfinfo是一款信息获取工具，用来显示与 PDF 文件相关的各种元数据，例如标题、主题、作者、创建者和创建日期。 安装 …

启动实例 访问ip，可以发现网站正在建设中 页面中提示了网站由Flask/Jinja2搭建 这时候联想到模板注入 尝试POC，发现 …

开启机器 访问IP，成功访问网页。 简单看了下文章 上面写了使用developer用户访问SSH 所以这里先尝试是否存在SSH弱口 …