0X00 前言

看到一篇文章讲到这个内容，就打算自己也整理一下顺便梳理一下思路

0X01 信息收集

1.收集系统信息：

系统信息至关重要，关乎我们后面怎么提权

中文系统：systeminfo|findstr /B /C:"OS 名称" /C:"OS 版本"
英文系统: systeminfo|findstr /B /C:"OS Name" /C:"OS Version"

例如：

C:\Users\Administrator>systeminfo|findstr /B /C:"OS 名称" /C:"OS 版本"
OS 名称:          Microsoft Windows Server 2008 R2 Standard
OS 版本:          6.1.7600 暂缺 Build 7600

0X00 前言:

简单总结一下渗透过程中寻找 EXP 的一些方法，还顺便为 windows 下未打的漏洞补丁的寻找写了一个小工具，希望师傅们多多支持！

0X01 Windows 下寻找可用的 exp

1.简单的科普：

拿到一台 windows 主机，能执行命令了，那么如果想提权的话最好的方式就是利用现有的 exp 直接打，肯定是要使用 systeminfo 这个命令查看系统已打补丁,但是寻找可能存在的特权提升漏洞是一个比较麻烦的过程，我们首先需要知道当前的特权提升洞的 KB 列表，然后再与系统systeminfo 中的 KB 列表进行对比(KB是微软对补丁的命名方式，是Knowledge Base(知识库)的简称，其指的是某个补丁对应微软知识库中哪一篇文章。例如KB888111，就是对应知识库中888111号文章)。

0X00 前言

作为一个计算机专业的学生，出门必要带上电脑，到酒店干啥呢，肯定是一波扫描，这次就简单的记录一下。

0X01 主机发现

坐定，打开电脑，连上酒店 wifi ，先看一下自己的 IP

网关是 48 ，那么应该这个网段就是 192.168.48.0 了，因为0地址表示整个网络，我们一般不用作 IP 地址而用作网络地址，我们同样可以算一下

0X00 前言

事情的起因是这学期开始的时候 XDSEC 招新，本来是交给大一的学弟学妹们出题运维的，但是我还是突发奇想的出了一个比较有趣的脚本题，难度并不是很大，但是很多东西都考到了，感觉很锻炼能力，意图也是让新生们学习一下脚本语言。当时题目一出来解的方法也非常多有用 C++ 的，有用 python 的，还有一个外校来交流的师傅用的是 shell 脚本。。。当然我是最奇葩的，我用的是 bat 脚本，因为当时正巧在看一些关于 bat 的东西，还写了这篇文章，现在学期快结束了，我又想起来了这个东西，因为之前和那位外校师傅交流立了 flag 说要自己也写一个 shell 脚本的版本，于是现在来填坑啦!

0X01 题目介绍

题目名称：想去BAT?先过我这关！

本题你可以看到一共有50个文件夹，每个文件夹内有一个与文件夹同名的txt文档，每个文档里面有若干由随机数字和短横线组成的字符串。

如图所示：

0X00 前言

计算机网络及通信系统的核心技术是协议分析与设计。协议分析与设计是借助计算机，在相应软件平台上对以PROMELA语言为描述手段完成的设计规范，自动地完成相应协议仿真，模拟，验证测试，从而减少协议开发过程中存在的错误，提高协议开发的效率和质量。

对于给定的一个使用PROMELA描述的协议系统，SPIN可以对其执行任意的模拟，也可以生成一个C代码程序，然后对该系统的正确性进行有效检验，并报告系统中出现的死锁，无效的循环，未定义的接受和标记不完全等情况。

补充：

SPIN 是最强大的模型检测工具之一，也是迄今为止唯一获得 ACM 软件系统奖的模型 检测工具 ，本文实验所用为 SPIN 的（ GUI）界面化工具 iSPAN,Promela 是 SPIN 的一种建 模语言

0X01 Miracl 是什么

MIRACL(Multiprecision Integer and Rational Arithmetic C/c++ Library)是一套由Shamus Software Ltd.所开发的一套关于大数运算函数库，用来设计与大数运算相关的密码学之应用，包含了RSA 公开密码学、Diffie-Hellman密钥交换(Key Exchange)、AES、DSA数字签名，还包含较新的椭圆曲线密码学(Elliptic Curve Cryptography)等等。运算速度快，并提供源代码。国外著名密码学函数库还有：GMP、NTL、Crypto++、LibTomCrypt(LibTomMath)、OpenSSL等。

0X00 前言

LCTF 2018 还是一如既往的来了，虽然也是出题人，但是并不代表能做出来其他师傅的题，我也是一边运维一边做题，一边听师傅们的思路，简单的看了几道题，下面是简单的记录

0X01 Travel

0X00 前言

每年 HCTF 都收获颇丰，今年又在 L-team 队友们的帮助下学到了很多东西，记录一下，还是太菜了，要多学习才行，还有就是不要偷懒，多多尝试和研究，偷懒是一个人走向失败的开始。

0X01 warmup

热身题，hint 页面存在一个文件包含，还告诉了 flag 的文件名

如图所示：

扫了一下目录，发现了一个 source.php

0X01 前言

其实有想法写一个系列总结各种漏洞的，但是苦于没有充足的时间，只能先写一部分，后期再统一拿出来进行总结，这部分就是 PHP 文件包含的一些小总结。

0X00 两道题两个非预期

本来就出了这一道题，PHP 代码是用 orange 的改的，我本想设计一个不可上传，但是路径可知的目录，然后利用 java 的 xxe 实现文件上传，再利用 move 移动到那个已知的路径，通过反序列化临时文件来触发已知路径中的文件包含 getshell,但是由于我自己对orange 代码中沙盒的理解的不到位，导致了这道题彻底的非预期，后来我干脆删除了 java 的部分，因为师傅们发现 data 目录其实在 cookie 中能得到，而我在反序列化的时候也没有限制 data 目录的反序列化，并且上传的文件可控，那这样就直接能 getshell， 第二题虽然我限制了不能反序列化 data 目录下面的文件，但是由于我自己写 read_secret 时候的失误导致了另一个非预期，read_secret 本来应该是一个 shell 脚本，但我写成了一个字符串，返回值是 Null ,所以 cookie 中的 hmac 签名不攻自破，路径也就可以伪造，然后利用这种方法 getshell ,但是实际上这个两个题的代码就差了过滤 data 和 .. 的正则，还有一点像吐槽的就是我那个评论框真的是因为人性化做的不好，似乎人们都觉得那个是假的似的，那我下面的主要分析就按照我一开始的想法分析了。