白鲨6-CSDN博客

原创关于joomla的一次靶场

哥斯拉里面也有相关的插件，标红位置，看一下机器的IP，发现与网站IP并不相同，应该是两台机器，这个IP反弹shell是弹不过来的。蚁剑里有相关的插件，注意我试了半天都报错，查了一下该插件在Linux下才可以使用。远程连接数据库，找到用户表（注意这里有俩个_user表，用下面这个才能登录）在/tmp/mysql/test.txt的文件里有一个用户名密码。蚁剑连接，注意路劲取决于你写到哪个文件里。运行编译后的dirty文件，后边跟上密码。可以解密他的密码，也能自己添加一个用户。ssh连接成功，查一下内核。

2023-11-08 15:31:41 122

原创 Aragog-1.0.2

cat查看文件发现它是将上传目录里的东西拷贝到另一个目录里去，推测是定时任务执行。找到kali中就有这个wordpress的扫描工具，说明这个漏洞还是挺多的。利用该模块，进入模块后 show options 查一下需要设置什么参数。尝试提权，发现没有历史命令，没有sudo，没有找到有用的suid文件。下一步找到wordpress的配置文件，里面有数据库里的用户名密码。发现有个网站，有明显的cms特征，直接百度。再/opt文件下找到一个隐藏的sh文件。经过多次实验，下图这个是可以用的。成功反弹root权限。

2023-11-07 23:17:35 90

原创 pyexpvm

nmap扫一下，发现俩个端口，一个1337是ssh服务、另一个3306是MySQL服务，居然没有web服务。选定爆破密码的字典：set user_file /home/sunle/桌面/password.txt。成功得到加密内容，这个应该是用户和密码，连接一下ssh试试，注意这里ssh端口是1337。搜了一下，加密使用的是表名fernet这个用来加密的python库，编写一个解密代码。暴力破解这个东西看运气，跑了一小时，最后去找正确答案粘了进去。好，mysql用户名密码到手，用我们的机器登进去。

2023-11-03 21:14:59 80

原创 02 - Breakout

最后感觉有些不对，我tar没用上呢怎么，上网上搜了一下前辈吗的wp，发现应该是我靶场的问题，人家的old_pass文件不能直接读取，需要用tar压缩出来，再读。访问一下，发现10000、20000端口分别是web管理登录口和用户管理登录口，先不急着爆破。进来又找了半天，正常后台的利用点一个没找到，搜了一下，好家伙，直接可以执行命令。进去看一下有一个old_pass的隐藏文件，就是他了，读取到密码。老样子，nmap扫描一下端口，这端口还挺多的。结果找了半天，百度，都找不到利用的姿势。

2023-11-02 22:35:26 63

原创 EvilBox---One

参考<https://blog.csdn.net/m0_47356348/article/details/125314963>拷贝密码字典rockyou.txt: cp /usr/share/wordlists/rockyou.txt.gz .遇到空白页面不要丢，掏出我们的burp suite，大火fuzz，隔壁小孩都馋哭了。开启靶机，真心建议每个靶机都有这个看IP的功能，每次都找半天IP。我勒个豆，这也太为难我的字典了吧。发现passwd可写入，提权。得，还是一个空白页面。成功包含到用户的密钥。

2023-11-01 23:24:22 25

原创 DarkHole_1

发现了敏感的url，尝试越权漏洞，sqlmap跑一下sql注入，失败。切换到/home/john 文件夹，执行./toto，就会启动一个 bash，这个 bash 应该就会切换 shell。使用 sudo 运行文件：sudo /usr/bin/python3 /home/john/file.py。使用命令find / -perm -u=s -type f 2>/dev/null找有suid权限的命令。尝试上传木马，发现有白名单校验，想办法绕过，想到之前的apache版本，应该有换行解析漏洞。

2023-11-01 17:00:26 18

原创 Hackademic.RTB2

当然，对于这个端口的访问，你可以给定一个IP地址范围的限制，但是这样一来，还是带来了安全问题和访问挑战方面的问题。端口碰撞技术让你在这两个方面都会处理的很好：在大多数时间里，这个端口都是关闭的，但是知道这种方法的可以在任何时候任何地方打开这个端口。这些尝试要么记录在一个日志中，要么保存在一个后台进程中，通过预先配置这个日志或者进程来监视打开相应端口的序列，如果尝试序列与预先设置的序列相符合，就可以打开某个端口。这里不清楚利用方式，百度了一下，发现是一个叫端口碰撞的技术。

2023-11-01 11:17:14 72

原创 DVWA靶场SQL注入POC

学习编写poc，先从最简单的DVWA靶场的sql注入练习。

2023-10-31 20:16:40 91

原创 Hackademic.RTB1（靶场）

一顿瞎找，发现在option中的miseellaneous中可以开启文件上传功能。成功登录，但是没什么发现，这个用户密码虽然是admin，但是权限不高。在网站里游荡，发现cat=1的参数，测一下，发现有原始报错信息。还有保存路径和允许上传形式，记好保存路径，在允许上传php脚本。试了好多个都不太行，最后上百度查了一下，发现15285可以。gcc编译：gcc 15285.c -o exp。对靶机进行端口扫描，发现开放22，80端口。浏览器访问上传的木马，msf就会上线。搞下来，然后用哥斯拉上传，

2023-10-30 01:11:26 57

原创 moneybox靶场记录

发现ftp服务开启，尝试连接，发现一个网页，查看源码和f12都没有发现什么东西。暴力破解ssh，用户名用renu，破解出来的密码是987654321。查看一下，发现lily用户有perl命令的sudo执行权限。查看历史命令，发现还有一个用户，可以使用密钥对登录。在ssh服务的配置文件里找到使用的密钥，下载下来。查看分离出来的文件，得到一个可能是用户名的东西。试了好多，想到前面没有获取什么信息的网页。使用kali，查看隐写内容发现需要密码。文件管理访问ftp，得到里面的图片。找到一个提示，不明所以，下一步。

2023-10-28 08:50:29 21

原创 Jboss弱口令与远程部署漏洞(CVE-2017-12149)

Jboss 5.x/6.x admin-console和web-console的账号密码是一样的。因此当web-console无法部署war包时，可以使用admin-console来部署。前提是先得到账号密码，密码保存在jboss/server/default/conf/props/jmx-console-users.properties。弱口令登录，vulhub靶场里的用户名密码是admin--vulhub。点击Web Application (WAR)s部署war包。部署刚生成的sl.war。

2023-10-13 20:40:28 115

原创 Thinkphp5-5.0.22/5.1.29远程执行代码漏洞

ThinkPHP版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。升级方法请参考：https://blog.thinkphp.cn/869075。vulhub拉取靶场。写入webshell。

2023-10-13 19:29:11 268

原创 Thinkphp 2.x 任意代码执行漏洞

漏洞简介ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞ThinkPHP 3.0版本因为Lite模式下没有修复该漏洞，也存在这个漏洞。preg_replace这个函数使用方法如下：preg_replace('正则规则','替换字符','目标字符')这个函数的3个参数，结合起来的意思是：如果目标字符存在符合正则规则的字符，那么就替换为替换字符，如果此时正则规则中使用了/e这个修饰符，则存在代码执行漏洞。

2023-10-13 19:08:02 185

原创 Thinkphp5.0.23远程代码执行漏洞

漏洞简介Thinkphp5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。影响版本漏洞复现在vulhub里面拉取靶场访问可以使用burp suite抓包，也可以使用hackbar浏览器插件，总之可以发post请求包就好请求文件：/index.php?

2023-10-13 18:39:05 242

原创 Weblogic弱口令getshell

在weblogic搭建好之后没有修改进入后台的密码导致弱口令登录获得webshell。然后默认配置一直下一步，完成就行。使用默认密码登录，或者暴力破解。回到部署界面，发现已经部署成功。使用vulhub拉取靶场。左侧部署→安装→上载文件。上传处理后的war包。

2023-10-13 14:55:42 44

原创 Weblogic 任意文件上传漏洞(CVE-2018-2894)

CNCERT发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞，随后Oracle官方发布了关键补丁更新CPU（Critical Patch Update），其中针对可造成远程文件上传的高危漏洞 CVE-2018-2894 进行修复：http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html。将获取到的id拼接到如下命令中，访问我们的木马。3、升级到官方的最新版本；

2023-10-13 12:04:06 30

原创 jboss--JMX Console未授权访问

然后找到jboss.deployment（jboss 自带的部署功能）中的flavor=URL,type=DeploymentScanner点进去（通过 url 的方式远程部署）此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放，并且没有任何身份验证机制，导致攻击者可以进⼊到jmx控制台，并在其中执⾏任何功能。若需登录，可以尝试爆破弱口令登录。返回JMX Console里面，刷新找到jboss.web.deployment，如果出现上传的war，则部署成功。

2023-10-13 00:56:33 432

原创 Apache SSRF漏洞

利用apache函数缺陷，构造可控的反向代理：Apache在正常情况下，因为识别到了unix套接字，所以会把用户请求发送给这个本地文件套接字，而不是后端URL。使unix套接字过长，就会返回空，请求就会发送给后端的url。"，此时通过请求http://target/?发送请求（这个请求就是从服务端发起的向自己的请求），造成一个SSRF攻击。将get请求内容改为下面这样，然后访问一个我们本地网站根目录下的一个文件。发包后我们可以看到成功访问到了我们自己输入的url，存在SSRF漏洞。vulhub搭建靶场。

2023-10-12 23:53:59 57

原创 Tomcat任意写入文件漏洞（CVE-2017-12615）

当 Tomcat运行在Windows操作系统时，且启用了HTTP PUT请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。当在Tomcat的conf（配置目录下）/web.xml配置文件中添加readonly设置为false时，将导致该漏洞产生，（需要允许put请求）发送到repeater，修改请求方式为put，将写好的jsp木马放到请求体中。

2023-10-12 12:01:38 55

原创 Tomcat远程部署漏洞

Meta-inf:META-INF 相当于一个信息包，目录中的文件和目录获得 Java 2 平台的认可与解释，用来配置应用程序、扩展程序、类加载器和服务manifest.mf文件，在打包时自动生成。简单的说法：就是存储了项目的元信息，其中文件manifest.mf仅此一份，描述了程序的基本信息、Main-Class的入口、jar依赖路径Class-Path。War包上传后，tomcat会自动解压，会将war包中的内容放在一个文件夹中，文件夹的名就是war包的名字。jar命令出现问题可能是环境变量的问题。

2023-10-12 10:51:45 82

原创 Apache多后缀解析漏洞

在apache解析文件是会允许多后缀文件，并且解析时会从最后一个开始解析，遇到无法解析的后缀名时再往前一个继续解析，那我们就可以构造文件如：1.php.xxx.yyy形式，绕过上传点的黑名单验证。如果在配置文件中有php文件的解析方式，如。此漏洞只允许上传gif、png、jpg、jpeg后缀的文件，所以当上传php文件时会报错。那即使我们上传的多后缀它可以解析，但是只要有.php就会被解析为php文件。注意：该漏洞属于人为的配置不当，与apache和php的版本没有关系。按照路径查看我们上传的文件。

2023-10-12 00:06:13 37

原创 Apache换行解析漏洞

如果设置了 RegExp 对象的 Multiline 属性，则 $ 也匹配 '\n' 或 '\r'。如果设置了 RegExp 对象的 Multiline 属性，则 $ 也匹配 '\n' 或 '\r'。$符匹配‘/n’或者是‘/r’，所以在我们上传文件后缀名为.php/n时，apache将自动将该文件解析为php文件。对数据包就行修改，在1.php后面添加换行，因为提交方式是POST方式，所以要对换行符进行两次url编码。在靶场环境中访问我们的上传文件，注意访问的文件名为1.php%0A。

2023-10-11 22:54:56 76 1

原创 Apache Shiro权限绕过漏洞

Apache Shiro 1.5.2之前的版本，由于Shiro拦截器和requestURI的匹配流程与Web框架的拦截器的匹配流程有差异，攻击者构造一个特殊的http请求，可以绕过Shiro的认证，未授权访问敏感路径。此漏洞有两种攻击方式，第一种攻击方式适用于Shiro < 1.5.0版本，由于Shiro 1.5.0版本修复补丁考虑不全面，导致补丁绕过，出现了第二种攻击方式，适用于Shiro < 1.5.2版本。/admin/ 构造恶意请求。使用BurpSuite抓取数据包，访问。

2023-10-11 20:26:23 220 1

原创 Fastjson反序列化漏洞（靶场搭建复现）

首先，Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，其次，Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法，那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可以构造数据，使目标应用的代码执行流程进入特定类的特定setter或者getter方法中，若指定类的指定方法中有可被恶意利用的逻辑（也就是通常所指的“Gadget”），则会造成一些严重的安全问题。

2023-10-10 18:35:12 527 1

原创一次应急响应

扫描后，发现还有一个文件映像劫持，打开提示的注册表路径，发现是shift粘连键的注册表项，尝试连续按shift,打开了cmd命令提示符，攻击者把粘连键改为了弹出cmd,留下了后门，这个方法在未登录界面也可以唤出cmd界面，危害性极大。查找4625登陆失败，发现在2022/3/21号出现了大量的登陆失败，而且时间与文件修改时间相差不大，查看2022/3/21日的日志，发现有登陆成功，确认攻击者是通过3389成功进行暴力破解，并且找到了疑似攻击者的IP地址。

2023-08-28 18:54:38 67 1

原创一次简单的入侵排查

这次是在靶场中完成一次入侵排查，靶机是centos 7 系统

2023-08-14 19:29:01 271

原创一次局域网内拿下同学电脑

因为有些同学将靶场搭建到自己本机上，相当于自己给自己电脑开了一个大洞，在此条件下，getshell异常简单。使用cs 生成一个后门木马，然后做免杀，但是我这边知根知底，知道他有白名单，就不麻烦了。开启服务器，这里的IP就是攻击机的IP，9999是一会客户端连接的密码。这次利用文件上传，先使用哥斯拉生成一个一句话木马。上传成功，将路径复制下来使用哥斯拉进行连接。开启cobaltstrike，先转到目录下。连接的时候把这些参数保持与生成时一致就行。翻翻文件，找一找他白名单在哪，成功上传。成功getshell。

2023-08-11 18:48:22 49 1

原创 ARP欺骗攻击

然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。在ARP回复时，发送请求包的主机A并不会验证ARP回复包的真实性，也就是不能判断回复主机A的是不是主机B。第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。2.这时主机B在疯狂的向主机A回复，我是192.168.1.3，我的地址是0A-11-22-33-44-02。第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。

2023-07-28 18:51:45 48 1

原创使用kali实现DNS欺骗

192.168.42.2是我们的网关，192.168.42.145是我们的靶机，将网关放到目标1，靶机放到目标2，先实现ARP欺骗。在后面把想要实现的欺骗写好，中间加一个A，这里我们把百度的域名欺骗为我们刚搭建的网站，这样在访问百度的时候，会访问到我们的网站。操作完成后返回我们的靶机，ping一下百度，发现是我们的靶机给我们的回复，证明欺骗成功。打开浏览器访问一下百度发现访问到的是我们刚刚搭建的简陋的网站，DNS欺骗成功。返回我们的靶机查看ARP表，发现已经欺骗成功。shift+：→wq 保存退出。

2023-07-28 18:41:48 215 1

hovcfuti的博客