- 博客(52)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 日行一PWN jarvisoj_level2 学会查找字符串了
之前一直不懂怎么用IDA查找字符,今天简单研究了一下,明白了一点。就是用f12加shift(研究了半天68键的键盘怎么打出f12.。。原来是fn加等号)今天的题也很简单,利用过程只需要明白32位程序的参数构成,和返回地址位置就可以了,这个我往期的文章有提到。没随机编址,只有禁止数据段执行,32位程序看一下静态有一个system函数,还有一个名字非常直白的函数,打开看看提前下班了,属于是。简单的read栈溢出,加上一个88h的buf参数,使用了system函数,代表我们也可以调用。最后查一下字符串出现/bin
2022-06-02 17:08:29
355
1
原创 日行一PWN bjdctf_2020_babystack 尝试动态调试?
BUUCTF在线评测 (buuoj.cn)还是buu的题,这次没什么好讲的,一道送分题,但是明白了一个道理,不要太相信ida 的伪代码,那玩意的作用是帮你快速看明白题是在干什么,而不是帮你弄清楚做出这道题的细节。尤其是数据长度部分那么直接来分析首先可以看到,只有NX,和部分RELRO保护ida静态分析也是非常干脆的给出了后门程序主函数更是简单,用scanf来输入一个数字,把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小(看伪代码此处说只有十二个,其实有16个,非常折磨
2022-06-02 17:07:00
425
原创 日行一PWN之ciscn_2019_c_1不给出libc题型
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
2022-06-02 17:04:45
762
原创 日行一PWN babyrop 动态链接库的使用
我们在之前的机器中,通常就是利用一段程序中代码段下已有的指令来实现我们得到flag或者拿下shell的目的。但是抛出了一个问题,如果程序中没有危险语句,就无从下手。 所以,此次我们引出了一个概念,动态链接库libc。这也解决了我一直以来的问题,为什么call的函数点进去只能看到return,因为声明的函数并不在代码的cs段内,而是应用了随机化存储,存在内存的其他地方了。 之后通过某些方法调用,这个某些方法这事以后的事情了。闲话少叙,我们开始今天的日行一pwn。开始例行检查,开启了
2022-05-17 11:05:06
402
原创 PGP: Born2Root
Generally , This target seems really easy . It is like a personal PC pentest but unfortunately I had never to think about how to attack a personal PC . And the author likes set rabbit hole very much .ScanIt opened three ports 22,80,111Without 111 ,
2022-05-16 10:19:49
293
原创 PGP:SunsetMidnight
Scannmapnmap 192.168.61.88 -p 22,80,3306 -sCVStarting Nmap 7.92 ( https://nmap.org ) at 2022-05-13 09:26 CSTNmap scan report for 192.168.61.88Host is up (0.23s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.9p1 Debian...
2022-05-14 15:24:40
291
原创 日行一PWN jarvisoj_level0
还是来自于BUUCTF的机器,今天的很简单,就是单纯的考察了read函数的漏洞,以及对64位寄存器的理解开始首先还是经典查壳和内存保护,发现啥也没有,是很简单的机器。然后IDA反编译一下,由于是64位的软件所以需要IDA64main函数首先可以看到主函数中知识调用了write函数,并输出了Hello, Worldn这么几个字到终端。之后调用了vulnerable_function函数因为反汇编并不会给出类似于write这种函数的定义,所以需要熟悉汇编的同学自行根据效果来
2022-05-14 15:14:41
186
原创 日行一pwn:pwn1_sctf_2016
用俩图床,有的有水印,有的没水印,折磨距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。正片BUUCTF在线评测使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编发现只有一个NX保护NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
2022-05-13 16:15:33
566
6
原创 AD域渗透 | MS14068漏洞原理及复现
漏洞编号MS14-068的漏洞,将允许任意用户提升到域管理员的权限,补丁编号则是KB3011780原理分析 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章 在这里PAC权限验证机制产生漏洞的原因是
2022-04-18 16:56:55
2565
原创 Meterpreter后渗透模块命令字典
一.系统命令1.快捷操作此板块用于记录用于操作meterpreter的指令sessions #查看全部会话 –h 查看帮助sessions -i <shell ID> #进入会话 -k 杀死会话background #将当前会话放置后台run #执行已有的模块,输入run后按两下tab,列出已有的脚本info #查看已有模块信息2.基础系统命令getuid # 查看权限 getpid # 获取当前进程的pidsysinfo # 查看目标机系
2022-04-14 22:59:43
728
原创 域渗透 | 用户枚举与密码喷洒
必看!工具缺陷berbrute工具当使用密码喷洒功能的时候会导致一个问题,密码参数作为独立一个参数会被密码本身存在的特殊字符中断,比如#,$,@一类的东西。解决方案是先用用户枚举看到用户都有什么之后,用密码爆破把想要喷洒的密码放在文本文件中,就可以实现用户枚举(UserEnum)原理在AS_REQ过程中传递的用户信息在AD中存在与否,AS给返回的状态信息不一致,存在的用户还会额外返回e-data数据 三种状态码 KRB5DC_ERR_PREAUTH_REQUIRED需要额外的预
2022-04-14 15:08:49
1161
原创 AD域渗透 | PTH&PTK哈希传递攻击手法
AD域渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。发生情况在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录原理由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
2022-04-13 17:21:25
1137
原创 PGP workthrought Seppuku
好久以前做的机器最近一直在研究AD域忘记发了,依旧是在PGP上练习写英文的版本,词汇量很小,感兴趣的朋友可以看看,顺便帮我挑挑语法错误(bushi)Port Scan21 vsftpd 3.0.3 22 OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) 80 nginx 1.14.2 139 445 netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGRO
2022-04-12 14:11:15
855
原创 SSH疑难解答
在这里记录自己做渗透测试的时候遇到的杂七杂八的SSH问题,慢慢更新,遇到新的问题会往上放SSH密码爆破hydra -l seppuku -P password.lst 192.168.87.90 ssh建议在知道用户名的情况下使用密码爆破,ssh不同于http,线程只能开到4SSH指纹验证首次连接到Linux系统时,SSH会提示您接受计算机的指纹以成功建立连接,因为“known_hosts”文件中没有指纹。指纹是系统公钥的简化版本。# 初次连接验证指纹The authentic
2022-04-12 13:43:02
767
原创 AD域渗透 黄金与白银票据攻击
过两天研究明白kerberos协议里每次发包中各个参数的含义之后,会发一个协议的详细解析,也许能帮助大家比较详细的理解这套协议。敬请期待以下演示环境借用红日团队vulnstack2域环境,感谢工具gentilkiwi/mimikatz: A little tool to play with Windows security (github.com)也可以使用kali中帮你预编译好的,直接输入mimikatz就会告诉你在哪黄金票据原理黄金票据攻击发生在我们知道域中的tgt验证用户k
2022-04-12 13:29:53
761
原创 Windows与Linux的MYSQL UDF提权分析
原理分析什么是UDF所谓UDF 就是user define function的简称,就是用户自定义函数,用户可以添加函数到mysql中实现功能的扩充,调用方法和一般函数一样类似于database(),但这一功能也导致了自定义函数中可能包含了恶意函数(系统命令),然后恶意的指令被以更高的权限执行后,实现提权的手段。一般无论是库站分离的服务器,还是库站在一台服务器的情况,我们都是先拿下www的权限之后才有机会接触到数据库连接,毕竟没有多少人会真的打开3306端口把数据库对公,因此我们获得一个数据库的
2022-04-03 14:14:27
797
2
原创 Katana:1 PGP Workthrought
考虑了很久,还是决定把英文的报告放上来供大家加参考,毕竟参加OSCP证明是需要英文报告的,不练习英文确实过不了,以后大部份报告会以英文报告形式发出,不会有难词,都是简单词,有小学水平就能看懂 ,如果有懂英文的码友,非常欢迎指出我的语法错误ScanningUsingnmapto begin with basic port scanning on the target machine .port server 21 vsftpd 3.0.3 22 OpenSSH 7.9..
2022-04-02 20:48:34
3909
原创 Capabilities位提权
linux2.2之后,产生了Capabilities用于分隔root权限,以便于用户更好,更安全,更精细的管理机器的功能和权限。具体的相关与capabilities的使用方面知识可以去参考这篇文章Linux Capabilities 简介 - sparkdev - 博客园 (cnblogs.com)这里仅讨论对提权有帮助的CAP_SETUID标志操作首先需要探查有CAP_SETUID标志的进程/usr/sbin/getcap -r / 2>/dev/null这样来找到进程
2022-04-02 20:40:57
1562
原创 PGP Target Photographer
考虑了很久,还是决定把英文的报告放上来供大家加参考,毕竟参加OSCP证明是需要英文报告的,不联系英文确实过不了,以后大部份报告会以英文报告形式发出,不会有难词,都是简单词,有小学水平就能看懂 ,如果有懂英文的 码友 ,非常欢迎指出我的语法错误A few days long , I don't write something about OSCP test . So I decide to write two passage today about these days I do .EnumN
2022-03-27 10:59:42
4124
原创 还是决定把英文的报告放上来,供大家参考
考虑了很久,还是决定把英文的报告放上来供大家加参考,毕竟参加OSCP证明是需要英文报告的,不联系英文确实过不了,以后大部份报告会以英文报告形式发出,不会有难词,都是简单词,有小学水平就能看懂 ,如果有懂英文的码友,非常欢迎指出我的语法错误...
2022-03-27 10:55:39
107
原创 日志提权 /var/log/auth.log
首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 .## 利用方法之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执
2022-03-27 09:23:19
3362
2
原创 SMB服务445端口利用汇总
一直以来在渗透的时候一旦遇到SMB就会开始手忙脚乱到处找利用方法,今天总算醒悟,写一篇自己的总结,慢慢更新,遇到了什么新鲜的思路都会往里面添加。特征使用nmap勘探会发现开放SMB的机器,会开放两个端口通常为139+445的组合在不使用-sCV探测时这两个端口运行的服务一般会显示为139 445 当具体探测之后两个端口则都会显示出一样的信息,有关具体的SMB版本利用壹最简单的方法当然是利用已有漏洞,当然这种情况也是比较少遇到当然我这种方法是
2022-03-26 10:44:55
7898
原创 关于vulnhub的高版本Ubantu靶机连不上内网的问题
这个问题想解决很久了,经常会出现在vulnhub上下载的ova靶机装载在vmware上然后nmap/netdiscover找不到他的情况,而这种情况往往发生在ubantu机器上,今天就来好好查一查资料解决这个问题提要ubantu在17.04后就放弃了interfacer编辑网卡信息,但是不知道为什么,某些机器19+的版本依旧使用interfacer,因此我在这里贴两种方法原因可能的原因有两个一个是机器的作者用的虚拟机版本和你安装靶机使用的虚拟机版本不一样,导致网卡配置文件损坏再一个是
2022-03-20 17:27:50
986
原创 python字符编码转换
近期学习内存方面的知识遇到x和0x非常懵逼,索性上网搜了一下,然后写了一篇小解惑,供自己以后查阅。ASCII码的表示方法十六进制的ASCII码比较方便可以直接用字符型表示a = "\x53" \x53是S十进制的ASCII码则需要函数转换a = char(53) 53是ASCII中的数字5python中各进制数字的表示方法以0b开头的为二进制a=0b1001001以0o为开头的为八进制b=0o01234567以0x开头的为十六进制c=0x11123a
2022-03-18 10:26:45
362
原创 史上最详细的Buffer Overflow学习笔记
如果您被标题吸引进来了,却发现我写的很烂,请不要生气;如果您发现我写的有误,欢迎您于评论区中指教文章中出现的对于BOF来说相关的专业名词,都可以在最后找到解释如果这篇文章能在您学习的路上帮助到您,我感到非常荣幸照片问题因为csdn不接受外链,照片不能直接传上来,所以这里采用截图的方式,但由于图中没什么重要信息,大家就当看个乐呵,如果真想看清楚的图,看文章末尾环境配置此处演示使用环境来自于TryHackMe | Buffer Overflow Prep使用方法参考页面内教程或者
2022-03-17 18:20:29
1604
原创 掉坑指南 由于bash逃逸导致的命令无法执行解决方案
当存在目标靶机有rbash限制的时候可以选择noprofile方式进行登录ssh username@IP -t "bash -noprofile"可是这样登陆后会存在一种情况,就是由于没有载入profile,导致系统变量没有被加载,所以命令就全部不可以被执行,此时需要配置环境变量export PATH=/usr/bin:/usr/sbin:/bin:/sbin:/usr/X11R6/bin只需要在ssh登录之后,在目标机的shell界面增加上述的系统路径即可...
2022-02-28 16:45:21
715
原创 Vunlhub靶场 Kioptrix 4
勘探nmap探查PORT 备注 22/tcp openssh 4.7 80/tcp apache 2.2.8 php5.2.4 139/tcp smb 445/tcp smb 445smbsmbclient -L 192.168.1.108/IPC Enter WORKGROUP\root's password: Anonymous login successful Sharename Type C
2022-02-18 21:40:56
3792
原创 Vunlhub靶场 Kioptrix 3
勘探nmap探查port 备注 22/tcp openssh 4.7p1 80/tcp apache 2.2.8 80web主页是这样的有一个登录界面发现这个cms有一个rce漏洞然后目录扫描出很多东西python3.9 dirsearch.py -u 192.168.1.104[20:51:48] 200 - 2KB - /cache/ [
2022-02-18 19:37:35
354
原创 Vunlhub靶场 Kioptrix 1
勘探nmap探查port 备注 22 openSSH2.9 80 apache 1.3.20 111 rpcbind 139 smb 443 1024 80web443同80dirsearch进行一下目录爆破python3.9 dirsearch.py -u 192.168.1.103[20:16:17] 200 - 3KB - /index.html
2022-02-18 16:20:24
226
原创 Vunlhub靶场 Kioptrix 2
这台靶机的搭建很简单,直接用vmware打开vmx文件就可以了勘探nmap探查port 备注 22 openssh 3.9p1 80 apache 2.052 111 rcp 443 631 ipp 3306 sql 80web443同80进入发现是一个登陆界面dirsearch发现了几个目录python3.9 dirsearch.py -u 192.168.1.105[20:34:57] 200
2022-02-18 15:54:12
445
原创 openssl开发库安装时的踩坑指南
序前几天用linux编译一个提权脚本的时候报错openssl/opensslv.h: 没有那个文件或目录 的问题无论如何也解决不了,这下我记录一个踩坑指南防止下一个人掉进坑里操作总体介绍首先介绍一下,这个报错问题和安装openssl一点边都沾不上,openssl的开发库和应用库根本就是两个东西这玩意有三个版本opensslopenssl-devlibssl-dev其中openssl是应用 可以用apt或者yum下载然后openssl-dev和libssl-
2022-02-18 15:38:36
1496
原创 靶场提权小全
说是linux提权但在整理的时候不自主的把windows的内容也写了进去,结果变成了大杂烩,也不知道是好还是不好你https://github.com/sagishahar/lpeworkshopWindows提权:FuzzySecurity | Windows Privilege Escalation Fundamentalshttps://github.com/netbiosX/Checklists/blob/master/Windows-Privilege-Escalatio..
2022-02-08 23:17:41
3809
原创 Shell脚本语法小全
非常感谢csdn其木王王子提供的特殊变量的讲解,和下面我实在找不到最先出处的提供大量例子的师傅,非常感谢参数输入语句对谈式脚本readshell变量除了可以直接赋值或脚本传参外,还可以使用read命令从标准输入中获得,read是bash内置命令,可以使用help read查看帮助。read的读入功能就相当于交互式接受用户输入,然后给变量赋值。常用参数如下:-p: 设置提示信息。-t:设置输入等待的时间,单位默认是秒。使用举例基本使用:[root@localh
2022-02-08 15:50:33
206
原创 Msfvenom使用指南
参数总结1. –p (- -payload-options)添加载荷payload。载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后门,所以只有选对payload,再填写正确自己的IP,PORT就可以生成对应语言,对应平台的后门了!!!(- -payload-options 列出payload选项)2. –l查看所有payload encoder nops。3. –f (- -help-formats)输出文件格式。(- -help-form
2022-02-08 15:36:21
6043
原创 HTB靶场系列 Windows靶机 Arctic靶机
这台靶机设定的30秒响应速度真的让人绝望。正儿八经的每做一个动作就可以玩半天手机勘探nmapnmap -sS -p 1-65535 10.10.10.11 Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-03 15:31 CSTNmap scan report for 10.10.10.11Host is up (0.28s latency).Not shown: 65532 filtered portsPORT
2022-01-30 10:34:34
2609
原创 HTB靶场系列 Windows靶机 Granny靶机
勘探还是使用nmap进行侦擦先大致扫描 nmap 10.10.10.15Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-01 10:29 CSTNmap scan report for 10.10.10.15Host is up (0.38s latency).Not shown: 999 filtered portsPORT STATE SERVICE80/tcp open httpNmap done: 1 IP a
2022-01-29 11:31:29
1503
原创 HTB靶场系列 Windows靶机 Optimum靶机
勘探依然是nmap扫描nmap 10.10.10.8Starting Nmap 7.91 ( https://nmap.org ) at 2021-03-13 21:58 ESTNmap scan report for 10.10.10.8Host is up (0.031s latency).Not shown: 65534 filtered portsPORT STATE SERVICE80/tcp open httpNmap done: 1 IP address (1
2022-01-28 14:18:06
2439
4
原创 HTB靶场系列 Windows靶机 Slio靶机
这台机器涉及到了oracle数据库,之前完全没有涉猎过,借此机会也是熟悉了一下这个数据库的操作方法;以及涉及到了关于内存取证方面的知识,正好上一次在美亚杯只是粗浅的学习了一下取证大师,则此也是借此机会好好的学习了一下取证相关知识勘探nmap -sC -sV 10.10.10.82Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-09 13:15 CSTNmap scan report for 10.10.10.82Host is up (0
2022-01-27 18:52:13
3289
5
原创 HTB靶场系列 Windows靶机 Legacy靶机
勘探常规nmap扫描root@kali# nmap 10.10.10.4Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-18 20:30 EST Nmap scan report for 10.10.10.4 Host is up (0.018s latency).Not shown: 65532 filtered ports
2022-01-27 10:42:41
1939
原创 HTB靶场系列 Windows靶机 Blue靶机
ms17-010漏洞,也就是广为人知的永恒之蓝,非常简单的一个靶机,因为几乎不用提权,ms17-010漏洞使用成功获取的就是system级别的权限勘探常规操作先用nmap扫nmap -p- --min-rate 10000 -oA scans/nmap-alltcp 10.10.10.40Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-03 21:00 EDTWarning: 10.10.10.40 giving up on por
2022-01-26 11:25:58
1422
空空如也
java使用js engine报错空指针
2021-07-01
TA创建的收藏夹 TA关注的收藏夹
TA关注的人