- 博客(35)
- 收藏
- 关注
RSS订阅原创 Linux-Rsync 未授权访问覆盖
在自己的主机上用rsync去连接远程服务器的873端口:rsync rsync://47.94.236.117:873,此命令的主要功能是连接到 IP 地址为。这里传输的格式发生变化,我们可以直接参考本机的crontab文件格式更直观,这四条命令是系统默认就有的。如果本地当前目录不存在与远程目录相同的文件或目录,会比较文件的内容和属性,只传输发生变化的部分。会对比文件内容和属性,仅更新有变化的部分。、端口为 873 的远程服务器上,同步。、端口为 873 的远程服务器,将其。:表示当前目录,即把远程的。
2025-05-02 19:07:40
314
原创 linux提权,环境变量文件配合 SUID,定时任务打包配合 SUID等
实际应用:先获取具有suid权限的所有程序,在查找哪些是管理员自己添加的程序,然后网上搜这个程序或者反编译,看下运行结果是干嘛的,再看这个程序里有没有一些环境变量命令(ps,ping等),通过复制suid提权的命令(find,bash),覆盖原有的命令。流程:执行/tmp/backup.sh这个定时任务, 会切换到tmp目录下,打包tmp目录下所有文件,包括--checkpoint=1文件和--checkpoint-action=exec=sh test.sh文件,关键点是,如果tar命令后有。
2025-05-02 19:07:06
540
原创 getsystem命令提权,BypassUAC 自动提权,DLL 劫持提权应用配合 MSF-FlashFXP,不带引号服务路径配合 MSF-MacroExpert,不安全的服务权限配合 MSF-New
当一条服务对应的路径没有引号又有空格时,系统会把空格前的当作exe程序,把后面的当作参数,可以生成一个和前面名字一样的后门exe,当服务启动时,会成功上线,如果是系统服务,那获得的就是system权限;在查看下已经被更改了,所以我们可以直接把1.exe更换为木马文件(msf.exe),并设置监听,靶机在启动test服务时就会重定向到1.exe,此时就可以提权了。此时此时在攻击机上启动监听,等待管理员运行这个程序,管理员一运行,就会触发dll文件,msf建立会话,这时候就可以用getsystem提权了。
2025-05-02 19:05:21
730
原创 AT&SC&PS 命令,进程迁移注入获取,令牌窃取&土豆溢出
令牌(Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个用户的 令牌(Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个用户的, 伪造令牌攻击的核心是。win上的进程可以简单划分为用户权限和系统权限,用户进程是继承用户权限的进程,可以由用户结束开启,而系统进程继承了system权限,用户不能自主结束开启,迁移注入就是把低权限进程迁移到高权限上去,以获取高权限。板中管理工具项中的服务。提供的功能类似于控制面。
2025-05-02 19:03:45
654
原创 CVE - 2018 - 1058,CVE - 2019 - 9193提权
其 9.3 到 11 版本中存在一处 “特性”,管理员或具有 “COPY TO/FROM PROGRAM” 权限的用户,可以使用这个特性执行任意命令。我们再模拟超级管理员用户操作这个数据库,执行命令:pg_dump,此命令将导出数据库的内容。首先启动漏洞环境,启动易受攻击的 PostgreSQL 服务器,服务器将启动并侦听默认的 PostgreSQL 端口 5432。id改为ls,就可以执行系统命令ls,数据库默认只能看数据,如果能实现执行系统命令,就实现了提权。执行以下 SQL 语句,然后退出。
2025-05-02 19:02:27
374
原创 利用数据库漏洞提权
我们再查看哥斯拉,这里host的值有localhost,127.0.0.1,::1均表示的从内部连接,webshell能连上的原因是它在网站服务器上面,由它发起的请求属于内部,而navicat的连接属于外部,同样,msf与数据库建立连接也属于外部。使用 MSF 中的 exploit/multi/mysql/mysql_udf_payload 模块可以进行mysql的UDF 提权,这个模块是专用于mysql的UDF 提权的,会根据mysql版本自动将创建的.dll文件导入对应文件目录下。
2025-05-02 19:00:47
585
原创 提权windwos(msf)
没关系,我们重新再xshell上开个会话,重新调用下exploit/multi/handler模块,各配置set下,再run,完成之后再getuid,发现用户权限已经变成system了。打开windowsVulnScan,先把KBCollect.ps1上传到目标服务器上(哥斯拉上有目录,直接拖到哥斯拉上就行),再调用powershell运行这个文件。1,信息收集:操作系统版本,漏洞补丁,系统位数,杀软防护,网络,当前权限等信息。
2025-05-02 18:59:42
718
原创 提权之web权限归类
在Windows系统中,组和用户的关系是权限管理和用户组织的核心概念,组是一组用户的集合,这些用户具有相同的权限和属性。通过将用户添加到组中,可以统一管理这些用户的权限,而无需逐个设置每个用户的权限,同时,一个用户也可以隶属多个组,这为给用户分配权限提供了便利。操作数据库的权限,数据库的增删改等,原码或配置文件泄漏,也可能是网站权限webshel进行的数据库配置文件读取获得,也可以作为提升系统权限手段。Web 应用服务器的核心组件,负责管理 Web 应用的生命周期,包括加载、初始化、运行和销毁。
2025-05-02 18:57:46
625
原创 WAF 绕过信息收集
WAF 绕过主要集中在信息收集,漏洞发现,漏洞利用,权限控制四个阶段信息收集分为主动扫描和被动扫描,主动扫描指直接用本机探测网站,比如直接扫描网站,被动扫描不直接接触网站,如利用黑暗引擎,第三方接口,主动扫描有大概率被waf所探测到,而被动扫描则不会。
2025-05-01 12:28:30
515
原创 dll劫持免杀
DLL劫持的原理:在一个DLL文件中写入木马(DLL文件的免杀效果较好),将其模拟成一个被别的应用程序(最好是有数字签名的)调用的函数名(通过逆向、文档等获取到原始DLL的函数名和参数)。应用程序运行时就会调用木马,利用 Python开发一个RedisExp.exe,使用该应用程序去调用DLL中的函数,进而实现木马免杀和上线的效果。在dllmain.c文件中定义一个csstart函数,把经过异或的shellcode,解密代码,加载器代码写入。再编译这个文件,就多了一个dll文件。
2025-05-01 12:27:19
137
原创 网络分离免杀
原理:将木马的主体,加载器部分放到一台公网服务器上,木马文件通过request.get请求到木马的主体,这样就绕过了免杀。运行下 codeseperate.py ,输出了二进制数据,只不过是文本形式。这里当然报错了,因为code是字符串型的, 我们要把这个弄成二进制的。把sheelcode中的二进制部分和加载器部分分别传到公网服务器上。然后再在下面加上这个代码,用二进制的方式往文件file里写入buf。把二进制部分粘贴进去,只粘贴二进制数据,注意不粘贴buf和引号。浏览器上查看下,发现粘贴成功了。
2025-05-01 12:25:52
287
原创 CS免杀与应用挂载
cs纯粹就是后渗透,就是从msf的源码开发出来的,且主要针对windwos系统,对于木马上线以后,交给cs是最好的,cs可以设有多个客户端,大家连接到同一个服务端,这样就可以协同工作,形成了一个红队,并且Cobalt Strik是cs架构的,所以只要服务器端设在公网上,其他客户端在内网还是公网都不影响。msf可以有信息采集,漏洞利用,木马上线,后渗透等功能,而且涉及各个操作系统,内置了很多漏洞的利用模块。改为3s,要不然操作等的太慢了,真实情况设成一个小时,一个小时连一次,这样就很难被发现。
2025-05-01 12:23:57
643
原创 dns隧道
DNS隧道,是隧道技术中的一种。当我们的HTTP、HTTPS这样的上层协议、正反向端口转发都失败的时候,可以尝试使用DNS隧道。DNS隧道很难防范,因为平时的业务也好,使用也罢,难免会用到DNS协议进行解析,所以防火墙大多对DNS的流量是放行状态。这时候,如果我们在不出网机器构造一个恶意的域名(xxx.yyyy.zz),本地的DNS服务器无法给出回答时,就会以迭代查询的方式通过互联网定位到所查询域的权威DNS服务器。
2025-05-01 11:44:26
772
原创 icmp隧道
在一些网络环境中,如果攻击者使用各类上层隧道(例如:HTTP隧道、DNS隧道、常规正/反向端口转发等)进行的操作都失败了,常常会通过ping命令访问远程计算机,尝试建立ICMP隧道,将TCP/UDP数据封装到ICMP的ping数据包中,从而穿过防火墙(防火墙一般不会屏蔽ping的数据包),实现不受限制的访问访问。每ping下就会有两个数据包,先是request再是repley,所以ping完后多了总计八个数据包,大小为74字节,黑色的是连接超时的,用linux ping则是98字节,有点小差异。
2025-05-01 11:43:53
582
原创 内网隧道,端口代理
分析下,这里把正向连接中win2016的功能分为了两部分,win2016保留了其作为内网代理的作用,但是失去了公网可供连接的功能,所以我们准备了一台公网服务器作为替代,再命令win2016连接到这个公网服务器,也就是说win2016现在和公网服务器可以正常互发消息了,可以理解成它们两个自成了一个小内网,我们再为kali配置代理,流量转发到公网服务器,就可以访问到win2016了,win2016又把我们的请求发送给内网其他服务器,最后数据在原路返回给kali,这就穿透了内网。
2025-05-01 11:43:17
683
原创 内网渗透-隧道代理
在网络安全中,是一种数据封装技术,用于将一种协议的数据封装在另一种协议中,以绕过网络限制或防火墙不用msf,也可以使用其他专门的工具,通过建立隧道,来实现代理通信攻击载荷带斜线属于stager不带斜线属于single结束代理断开会话。
2025-05-01 11:27:48
958
原创 内网渗透-代理服务器
总结下,先与2006建立会话,再用use auxiliary/server/socks_proxy建立代理,它可以帮助访问目标网络中的其他机器,。run autoroute -s ,添加路由,指导流量的走向,之后想在浏览器上访问web服务,就要在浏览器上也加上代理,让浏览器的请求发往代理(1080),想在命令行上执行对靶机的访问,也要设置代理,把命令发往代理(1080)run,这将启动一个 SOCKS 代理服务器,监听本地 IP 的 1080 端口,这个模块默认是直接进入后台的,使用。
2025-05-01 11:27:00
380
原创 msf内网渗透应用
msf中输入shell进入win2016的命令行,运行arp -a命令,显示win2016中的 ARP缓存表。ARP 缓存表 存储了本地网络中 IP 地址与对应的 MAC 地址之间的映射关系。打开靶机win2003,这台机器跟win2016是没连接过的,所以2016的arp表是时没有它的ip地址的,且被藏到了内网后面(10.10.10.136)
2025-05-01 11:25:50
839
原创 内网端口转发
Kali(桥接网络)192.168.112.148Windows 2016(桥接+Host -Only) 192.168.112.160 10.10.10.128。
2025-05-01 11:25:09
662
原创 cobalt strike功能介绍
第一个按钮添加一个新的客户端第二个按钮删除当前客户端第三个按钮表示创建一个新的监听器点击添加即可创建一个新的监听第四个按钮以图形方式显示当前所有会话第五个按钮以列表方式显示当前所有会话第六个按钮,以列表方式显示目标第七个按钮用于查看已经查找到的密码或密码哈希值第八个按钮,显示文件的下载状态第九个按钮用于显示对靶机的键盘监控记录第十个按钮显示对靶机的屏幕截图第十一个按钮帮助我们生成一个exe格式的后门第十二个按钮。
2025-05-01 11:23:59
998
原创 木马免杀操作
并且同时遵守以下规则:如果a ^ b = c,则可以将b视为秘钥,c视为加密字符串,则b ^ c = a,可根据秘钥b和密文c,解密出a的值。由于Python的ShellCode为字节类型(即b'',也可以视为二进制类型),而要进行加密或反转处理,只能针对字符串进行处理,所以还需要对字节类型数据转换为字符串。运行结果b'u\xb4A\xff\xe7Xj\x00YI\xc7\xc2'和原始buf=b"\x75\xb4\x41\xff\xe7\x58\x6a\x00\x59\x49\xc7\xc2"是相同的,
2025-05-01 11:21:05
856
原创 环境变量path
(1.bat里写的calc),这就告诉我们,不管啥命令,在他所在的目录下进入cmd,输入它都是直接可以执行的。由于System32文件夹是系统默认的可执行文件存储位置,系统会自动在该目录中查找可执行文件,因此无需在。whereis命令可以找一个文件的位置,用'文件:位置'这个格式也可以执行这个文件。变量用于指定系统查找可执行文件的路径。如果命令不在当前文件夹中,系统则会在。以下两种用于直接从crtl+c处运行的cmd。3,System32文件夹。
2025-05-01 11:19:23
149
原创 反弹shell基础
假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标IP:目标机器端口),这是比较常规的形式,我们叫做正向连接。(3)对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知,所以建立一个服务端,让恶意程序主动连接,才是上策。上面的常规方法有个问题,如果在webshell里执行如上代码的话,会把系统的标准输入输出重定向到/bin/sh里,导致php - fpm直接502,然后弹的shell也会瞬间掉了,这个方式比较粗鲁。
2025-04-30 12:31:55
817
原创 msf基础使用方法
msfvenom的功能:常用于生成木马,在目标机器上执行,在本地机器kali中上线,与反弹Shell类似。MSFV enom可以生成两种类型的攻击载荷:(1)Payload:Payload中包含攻击进入目标主机后需要在远程系统中运行的恶意程序,而在Metasploit中Payload是一种特殊模块,它们能够以漏洞利用模块运行,并能够利用目标系统中的安全漏洞实施攻击。简而言之,这种漏洞利用模块可以访问目标系统,而其中的代码定义了Payload在目标系统中的行为。
2025-04-30 12:30:39
599
原创 coolkie,session,token
弥补cookie的一些缺点,前端发起登录请求,把用户名密码传到后端,后端认证成功后,往session中存入当前用户信息,然后进行响应,会在响应头的set-cookie里存入当前session的唯一ID,这个id可以唯一标识当前用户信息,前端会自动在cookie中存入当前session ID,并在下一次请求的cookie中附带session ID,服务端再匹配对应用户信息,session其实就相当于把cookie的一些内容存在了后端,再给予其唯一标识session ID,这避免了前端泄露。
2025-04-30 12:28:34
613
原创 web服务的php基础
vscode:php开发phpstudy:php搭建环境在phpstudy上搭建环境,还有可视化的数据库,当然也可以在数据库bin目录cmd后,写mysql –uroot –p申请登录数据库,在输入密码就进入了mysqlhtml,css,js都是一类东西,即负责编写静态网页,也就是他们编写出来的东西是不能变化的,既定的,他们无法从数据库中调取数据,那么如何满足用户的即时需求呢,就需要用到,从数据库中调取数据返回给客户,所以他们四个是互相配合的,html里可以写php,php里也可以写html。
2025-04-30 12:24:10
963
原创 CORS(跨域资源共享),jsonp跨域回调,子域名接管
前置知识点:同源策略(SOP),是浏览器为保护用户数据和隐私而实施的核心安全机制,“同源”包括三个条件:同协议,同域名,同端口,规定了不同源的网站之间,不能直接互相访问,操作数据,他的核心是防止恶意网站窃取用户数据或发起攻击,如ssrf,xxe等虽然同源策略在安全方面起到了很好的防护作用,但也在一定程度上限制了一些前端功能的实现,所以就有了许多跨域的手段。
2025-04-30 12:21:15
453
原创 crlf注入,url重定向,Web 拒绝服务
正常网站A,钓鱼网站B,攻击者利用A的URL重定向漏洞,把A重定向到B,再发送链接给受害者,受害者一看url看起来像是网站A,点击进去实际上跳转到了网站B,再把网站B界面做的跟网站A一模一样,就可以盗取受害者的信息。现在有许多资源是由服务器生成然后返回给客户端的,而此类“资源生成”接口如若有参数可以被客户端控制(可控),并没有做任何资源生成大小限制,这样就会导致服务器处理不过来或占用资源去处理。钓鱼网站制作,网站url上如果有跳转远程地址的参数,就可以修改来使网站重新加载到新的地址。
2025-04-30 12:20:00
311
原创 php反序列化,ctf254~256
序列化是对象转换为数组或字符串等格式,反序列化是将数组或字符串等格式转换成对象// 属性// 构造函数// 方法return "用户名:" . $this->username;
2025-04-30 12:17:20
690
原创 xml与xxe漏洞
xml version="版本号" encoding="编码类型"?DOCTYPE 根元素名 [ENTITY 实体名 SYSTEM "外部资源路径"> //外部实体]>①<?xml version="版本号" encoding="编码类型"?XML 声明是 XML 文档的第一行,用来告诉计算机这个文档的基本信息②<!DOCTYPE 根元素名 [...]>定义 XML 的文档类型(DTD),其中根元素名必须与 XML 文档的根元素一致。
2025-04-30 12:07:01
836
原创 ssrf,csrf
(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。通过 网络地址转换(NAT) 技术间接访问,它们的主要作用是解决IPv4地址不足的问题,并提高内部网络的安全性,不像公网地址,需向ISP购买。这是一个远程图片文件加载应用,输入一个图片的url,服务器访问这个url,再将图片返回给你,这里就产生了ssrf漏洞,我们可以直接让他访问内网某个地址,返回我们无法直接访问的内容。
2025-04-30 12:04:56
892
原创 xss跨站,ctfshow316~331
xss(cross site script)跨站脚本攻击攻击者利用网站程序对用户的输入过滤不足,输入了可以显示在页面上对其他用户造成影响js代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本,若服务器对用户的输入不进行处理或处理不严,则浏览器就会直接执行用户注入的脚本。
2025-04-30 12:02:48
740
原创 文件上传,ctfshow 151~169
文件上传漏洞是指用户通过网站的文件上传功能,上传了一个可以执行的脚本文件,并且可以通过该文件获得服务器的权限的一种漏洞。仅依赖 JavaScript 进行文件类型验证,可通过禁用 JS 或拦截修改请求绕过。使用 Burp Suite 等工具修改上传请求的文件名或类型绕过前端限制。服务器未严格检查上传文件的后缀(如允许 .php、.jsp 等执行脚本的文件)。仅通过 MIME 类型或后缀名来验证,攻击者可通过修改扩展名或伪造 MIME 类型绕过。仅检查文件扩展名,而未检查文件内容。
2025-04-30 11:57:20
519
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人