渗透测试
文章平均质量分 72
Xyntax
博客已搬家到www.cdxy.me
展开
-
python实现netcat(文件传输、反弹shell)
介绍在网络工具中有“瑞士军刀”美誉的NetCat和nc命令, 每个渗透人员的必修课,简单实用的功能用了N年仍爱不释手。在渗透测试中,往往聪明的系统管理员都会从系统中移除nc。在这种情况下需要创建一个简单的客户端和服务器用来传递文件,或者执行命令。功能同时具备服务端和客户端功能 命令执行 文件传输Xyntax Netcat Toolusage: Netcat.py [-h] [-l] [-原创 2015-10-17 16:02:39 · 7300 阅读 · 0 评论 -
zabbix弱口令批量检测
今天看到了乌云公开的漏洞 奇虎360某IP服务器zabbix弱口令 写了个模拟登录的批量验证脚本,整合到我的并发框架中做批量zabbix 默认口令检测支持两种zabbix版本Admin/zabbix代码链接: https://github.com/Xyntax/POC-T/blob/master/module/zabbix_wp.py其中使用shodan搜索出结果国内zabbix服务器46原创 2016-04-20 12:49:37 · 3586 阅读 · 0 评论 -
记一次曲折的渗透测试经历
昨天把jexboss脚本整合到我的多线程框架里,扫了一遍全国jboss,发现一千多个shell.工具地址在:https://github.com/Xyntax/POC-T随意拿了一个看似大厂商的,作本次入侵测试发现传送门通过jexboss拿到shell,看到是centos的机器(IP已打码).看起来是root,确认一下.不稳定的传送门shell的问题接下来执行命令的时候,发现这个jexboss自带的原创 2016-04-21 19:16:24 · 11956 阅读 · 3 评论 -
解决POC脚本对多种URL的自适应问题
在批量POC的过程中,我们采集到的URL状态往往是不同的. 因此我们需要对URL进行统一处理,从而确保POC脚本能够准确的验证每个URL我们以实际漏洞举例说明,并给出我的批量POC解决方案.漏洞示例 Atlassian Confluence 5.8.17 之前版本中存在漏洞,该漏洞源于spaces/viewdefaultdecorator.action和admin/viewdefaultdec原创 2016-05-08 14:44:33 · 974 阅读 · 0 评论 -
Python在线编码导致命令执行
看到某公众号提供"Python在线编写"功能,测试了几个函数. 以下常规的都被过滤了os.systemos.popensubprocesscommands然后试试os.popen2/3/4发现可以import,同时socket也可以使用这样就写了个反弹shell的脚本:import socketfrom os import popen3s = socket.socke原创 2016-06-26 22:24:49 · 705 阅读 · 0 评论 -
S2-033漏洞分析
概述 item detail Impact of vulnerability Possible Remote Code Execution Maximum security rating High Recommendation Disable Dynamic Method Invocation if possible. Alternatively upgrade to原创 2016-06-14 15:56:47 · 1273 阅读 · 0 评论 -
BurpSuite+sqlmap: SQLiPy扩展使用说明
插件说明该插件可以把burp抓到的请求直接扔给sqlmap扫描。安装配置通过顶栏的SQLiPy进入该扩展: 该扩展需要 sqlmapapi.py (sqlmap项目自带)开启服务可以有两种方法开启sqlmapapi,一种是自己在本机先运行 python sqlmapapi.py然后在burp的SQLiPy扩展里填写监听的端口方法二:直接指定python和sqlmapapi.py的位置,然后点击st原创 2016-06-16 16:31:26 · 7422 阅读 · 2 评论 -
Struts2-032/033/037/devMode漏洞演示环境搭建
环境搭建安装Java(ubuntu自带的openjdk就行)安装Tomcat apt-get install tomcat7下载这个含漏洞版本的struts2(已验证) https://pan.baidu.com/s/1nvpkq5z解压,将apps文件夹下的所有示例(.war)拷贝到Tomcat下(路径默认为/var/lib/tomcat7/webapps/)启动tomcat servi原创 2016-07-29 21:12:27 · 5112 阅读 · 2 评论 -
Redis Getshell自动化实践之SSH key
不了解该漏洞建议先看这个文章 Redis 未授权访问配合 SSH key 文件利用分析漏洞利用流程1 生成一对用于ssh验证的密钥对 2 通过redis未授权访问漏洞,向redis插入一条记录,内容为已生成的公钥 3 通过redis数据导出功能,将含有公钥的数据导出到/root/.ssh/authorized_keys 4 使用自己的主机,通过ssh私钥与受害机进行匹配并登入自动化的限制用e原创 2016-07-20 17:46:23 · 2527 阅读 · 0 评论 -
Redis Getshell自动化实践之cron
利用流程1 通过redis未授权访问漏洞,向redis插入一条记录,内容是反弹shell的定时任务 2 通过redis数据导出功能,将含有定时任务代码的数据导出到/var/spool/cron/root 3 监听端口,获取shell编写exp完整代码: https://github.com/Xyntax/POC-T/blob/master/script/redis-cron-getshell.原创 2016-07-21 13:36:19 · 4167 阅读 · 0 评论 -
OAuth 2.0攻击方法及案例总结
本文整理了OAuth 2.0的攻击面+实际案例+辅助测试代码OAuth流程本文以两种广泛使用的方案为标准展开. 如对流程不了解,请先移步学习: 理解OAuth 2.0Authorization Coderesponse_type = coderedirect_uriscopeclient_idstateImplicitresponse_type = tokenredirect_u原创 2016-08-01 14:19:28 · 9195 阅读 · 0 评论 -
Redis Getshell自动化实践之webshell
前两篇文章介绍了两种直接root权限getshell的方式,这里介绍通过写入webpage来得到shell的半自动化脚本. 脚本的意义是将误报的可能性降到最低,发现目标并简化手工操作.利用流程1 通过redis未授权访问漏洞,向redis插入一条记录,内容是一句话木马或其他webshell 2 找到web绝对路径,写入webshell 3 菜刀或其它半自动化exp逻辑半自动的原因是最后写入的w原创 2016-07-21 18:33:49 · 4628 阅读 · 0 评论 -
无回显命令执行PoC编写指南(Apache Shiro Java反序列化)
无回显命令成功执行与否,无法从web获取到标志性的信息,Java反序列化漏洞及属于该类型。验证方法针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。该方法可行,不过缺陷有以下几点:修改了目标机的文件系统不具有通用性,如windows没有nc、linux没有wget的情况。涉及到TCP数据传输,执行速度慢一种更好原创 2016-08-04 17:38:28 · 10864 阅读 · 0 评论 -
Zabbix latest.php Insert注入分析与实践
概要因为未能过滤掉latest.php页面中toggle_ids数组的输入,导致Zabbix 2.2.x,3.0.x 远程SQL注入源码分析下载了两份官方代码对比,左为3.0.4(已修复的版本),右为3.0.3\zabbix-3.0.3rc1\frontends\php\jsrpc.php可见新版本中删除的代码即为漏洞触发部分。/* * Ajax */if (hasRequest('favo原创 2016-08-22 11:37:00 · 2717 阅读 · 1 评论 -
WordPress 4.4 SSRF
通过这个漏洞熟悉一下WP的代码。数据跟踪[xmlrpc.php] 获取POST的数据$HTTP_RAW_POST_DATA = file_get_contents( 'php://input' );创建xmlrpc_server,使用serve_request()方法处理输入。$wp_xmlrpc_server_class = apply_filters( 'wp_xmlrpc_server_cl原创 2016-08-22 14:42:54 · 2829 阅读 · 1 评论 -
Coremail手机版页面持久型XSS实践
0x00 前言学校的邮箱是号称7亿用户都在用的Coremail邮箱系统. 利用这个漏洞,我们可以在一些条件下直接进入邮箱.这个持久型XSS是王欢学长在上个暑假发现的,欢哥喜欢从小鸭子们身上收获编程的灵感,偷偷的告诉大家他的微信号:qqwanghuan0x01 描述当我们使用手机访问mail.bjtu.edu.cn登录时,会跳转到手机版的登录界面.0x02 详情这个XSS发生的位置就是"发件人"的位原创 2016-05-01 22:45:58 · 2816 阅读 · 0 评论 -
DNS zone transfer vulnerability(域传送漏洞)批量扫描
原理自行百度,我们直接动手工具DNS域传送漏洞的验证方式简单粗暴,我简单修改了lijiejie大牛的脚本,做批量:https://github.com/Xyntax/zZone-Transfer采集采集自http://www.qkankan.com 输入为qkankan.com的某栏目url 如下例:国内网站列表 http://www.qkankan.com/guonei/all/impor原创 2016-03-11 08:43:33 · 3403 阅读 · 0 评论 -
python实现键盘记录木马
pyHook第三方库,用于捕捉特定的Windows事件,封装了所有底层调用,我们 只需要关注程序逻辑。更多内容及使用方法请自行查找 下载链接:http://sourceforge.net/projects/pyhook/主干逻辑图当程序运行后,每当用户在键盘按下一个键,就会触发钩子函数,调用 键盘记录函数 记录按键内容,该函数又会调用 进程切换函数 来应对焦点窗口切换的情况并打印出相应的进程名称原创 2016-02-18 21:53:12 · 9294 阅读 · 6 评论 -
Python实现TCP代理
渗透测试中,经常遇到无法使用wireshark、无法嗅探和分析流量的情况,可以通过部署简单的TCP代理脚本来了解未知的协议,修改数据包,或者为模糊测试创建环境。介绍原理代理工作原理大致如下:[需要代理方]向服务器发出请求信息。[代理方]应答。[需要代理方]接到应答后发送向[代理方]发送目的ip和端口。[代理方]与目的连接。[代理方]将[需要代理方]发出的信息传到目的方,将目的方发出的信息原创 2015-10-20 11:24:04 · 4077 阅读 · 2 评论 -
被动信息收集2——使用Dig命令进行DNS信息收集
dig基本功能 dig sina.com any @8.8.8.8 | 域 |类型|指定DNS|xy@localhost:~$ dig sina.com ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> sina.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode:原创 2015-08-29 10:06:18 · 2417 阅读 · 0 评论 -
被动信息收集1——DNS基础 + DNS解析工具 NSLOOKUP使用
被动信息收集特点:基于公开渠道与目标不直接接触避免留下一切痕迹标准参考——OSINT:美国军方北大西洋公约组织名词解释DNS——Domain Name System 域名系统因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应原创 2015-08-13 21:48:05 · 2406 阅读 · 0 评论 -
Linux环境使用xampp搭建DVWA渗透测试平台
信息 DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建 XAMPP 软件站集成软件包。这个软件包原来的名字是 LAMPP,但是为了避免误解,最原创 2015-09-21 20:33:56 · 6061 阅读 · 1 评论 -
自动化WiFI钓鱼工具——WiFiPhisher源码解读
自动化WiFI钓鱼工具——WiFiPhisher源码解读目录自动化WiFI钓鱼工具WiFiPhisher源码解读目录工具介绍攻击原理准备工作源码解读工具介绍开源无线安全工具Wifiphisher是基于MIT许可模式的开源软件,运行于Kali Linux之上。 github.com/sophron/wifiphisher 它能够对WPA加密的AP无线热点实施自动化钓鱼攻击,获取密码账户。原创 2015-08-28 16:48:36 · 14232 阅读 · 0 评论 -
SQLi-Labs Lesson 1-8 notes
SQLI-LABS 是一个专业的SQL注入练习平台,用于学习SQL注入的各种姿势及原理。info下面的测试场景都支持GET和POST两种注入方式报错注入(联合查询) 1)字符型 2)数字型报错注入(基于二次注入)盲注 1)基于布尔值 2)基于时间UPDATE型注入练习INSERT型注入练HTTP头部注入 1)基于Referer 2)基于UserAgent 3)基于Cook原创 2015-11-21 22:04:31 · 851 阅读 · 0 评论 -
JAVA反序列化exp及使用方法
这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波exp来源ysoserialhttps://github.com/frohoff/ysoserial这个项目针对不同的java产品给出了简单的漏洞利用脚本. 其中weblogic和jenkins提供python脚本,但需自己加载payload. 而对于jboss和websphere则提供了poc的数据包. 更多信息在原创 2015-12-09 23:20:51 · 12619 阅读 · 0 评论 -
记一次MySQL手工注入案例
记录一次手动注入学校某站MySQL的过程信息收集发现方式子域名扫描 -> 导入awvs -> 批量扫blind-injectionurlhttp://home.bjtu.edu.cn/info(whatweb)202.112.147.124(学校内网)Apache/2.4.9 Win64 PHP/5.5.12parameterhttp://home.bjtu.edu.cn/ctrl/vo原创 2015-11-29 22:00:19 · 840 阅读 · 0 评论 -
joomla 1.5-3.4 Remote Code Execution (exp)
poc#!/usr/bin/python# coding=utf-8import urllib2import cookielibimport sys"""python joomla.py http://example.com/"""cj = cookielib.CookieJar()opener = urllib2.build_opener(urllib2.HTTPCookiePro原创 2015-12-17 09:16:29 · 1569 阅读 · 0 评论 -
乌云漏洞笔记1-任意文件读取
阅读时间16.01.18 page1-3敏感字段&RealPath=&FilePath=&filepath=&Path=&path=&inputFile=&url=&urls=&Lang=&dis=&data=&readfile=&filep=&src=&menu=META-INFWEB-INF可利用路径/etc/shadow /etc/passwd /原创 2016-01-22 10:34:52 · 5768 阅读 · 1 评论 -
一个刷乌云rank的思路
发现wooyun的高rank大牛们,除了非常6连续提交高质量漏洞的,大部分都是批量发现.若要快速提升wooyun rank的话,找一些poc简单明确且危害高的老洞,为它们做批量是一种不错的选择.以下为新手刚入乌云的一点愚见,还望大牛指点.漏洞选择刷rank的思路不是"发掘漏洞",而是"利用漏洞"在漏洞的选择上,我们注意以下几点:自己能驾驭(能手动验证)POC原创 2015-12-02 22:45:43 · 2240 阅读 · 0 评论 -
Juniper NetScreenOS 后门简易批量扫描
事件介绍http://bobao.360.cn/news/detail/2514.html受影响版本6.2.0r15 到6.2.0r186.3.0r12 到 6.3.0r20分析https://community.rapid7.com /community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-原创 2015-12-22 12:21:54 · 1810 阅读 · 0 评论 -
BadUSB原理浅析及制作指南
何为BadUsb简介通过硬件直接插入对方电脑,让对方电脑执行代码,达到干扰、控制主机或者窃取信息等目的。威胁BadUSB的威胁在于:恶意代码存在于U盘的固件中,PC上的杀毒软件无法访问到U盘存放固件的区域,因此也就意味着杀毒软件和U盘格式化都无法应对BadUSB的攻击。原理硬件知识基础HID攻击HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备原创 2016-01-12 00:03:16 · 41224 阅读 · 11 评论 -
CSRF常见攻防姿势总结
攻击点referrer绕过无验证http: //xxx.weibo.com(.cdxy.me)(http: //cdxy.me?)http: //xxx.weibo.com 新浪微博CSRF之点我链接发微博(可蠕虫) 捕捉token如token通过get方法在url中显示时,常见方法是通过referrer偷token利用本身来说CSRF漏洞是广泛存在的,一般将其归类为“低危”,但只要利用的原创 2016-03-01 17:20:13 · 3091 阅读 · 0 评论 -
WordPress 3.6-4.5.2 Authenticated Revision History Information Disclosure
漏洞危害WP允许作者发布一种带密码验证的文章,该漏洞可绕过密码保护查看内容。代码分析官方修复方案,仅修改了检查的权限,将读权限改为写权限。 https://github.com/WordPress/WordPress/commit/a2904cc3092c391ac7027bc87f7806953d1a25a1检查权限失败会break,此时 $redirect="edit.php",会跳到编辑文章原创 2016-08-23 23:49:34 · 1278 阅读 · 0 评论