- 博客(40)
- 收藏
- 关注
原创 phpinfo+文件包含临时文件getshell
当我们发送POST数据包时,如果数据包里包含文件区块,无论访问的php文件中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件,如果这个临时文件还没有被移动或重命名,在请求结束后临时文件就会被删除。那么,当我们发送第一个数据包以后立刻发送后面的数据包,这时php还在向我们传输第一次的那4096个字节,也就是说第一次产生的临时文件还存在,我们就可以利用这个时间差来包含临时文件达到getshell的目的。用现成的工具(地址如下)利用一下,记得把里面的phpinfo和文件包含的地址换成对应的。
2024-02-16 18:07:57 1224
原创 从0到1理解文件包含 缓冲区溢出 原理与利用--打靶手记之hackmyvm Registry
虽然ASLR使得地址随机化,但由于地址空间有限,libc地址还是会重复(0xf7cfe000),这里循环查看new程序的动态库依赖,并用grep过滤出包含地址0xf7cfe000的行,这里看到该地址会重复出现,有了这个地址以后,我们可以多次尝试利用,直到libc加载到这个重复的地址时,就可以成功利用了。攻击者通过精心构造输入数据,可以改变程序的控制流程,执行恶意代码。:当程序将数据写入一个固定大小的缓冲区(如栈上的局部字符数组)时,如果写入的数据量超过了缓冲区的容量,多出的数据将溢出到相邻的内存区域。
2024-02-16 18:06:24 1007
原创 打靶手记之hackmyvm--Birthday
phpinfo();当前www用户可以不需要密码执行zadiac程序,zadiac需要的libzodiac.so对所有用户都有写权限,也就是说www用户可以修改这个so文件,那么我们提权的思路如下。对于ASP.NET/IIS,如果一个参数在请求中出现多次,它会考虑特定参数的所有出现,例如par1出现了两次,其值分别是val1和val2,解析结果将包含这两个值。编写一个提权的so文件替换掉libzodiac.so,然后用高权限用户chloe运行zadiac时,我们自定义的so文件就会被加载执行。
2024-02-16 17:58:26 1012
原创 打靶手记之hackmyvm--tiny
刚刚好,都满足,那就试一下如下命令,解释一下这条命令,sudo是以root权限运行(不用输入密码),第一个参数car是作为invoke的入口点,第二个参数是一个自定义的路径,意为去调用os.system方法去执行后面的命令(bash -p),bash -p是启动一个root权限的shell。看上图的url,意思是用户登录成功后将他们重定向到指定的http://192.168.56.104/wp-admin/,这个wp-admin应该是管理员后台,reauth=1意味着要求我们重新验证身份。
2024-02-06 02:59:11 977
原创 打靶手记之hackmyvm--UnbakedPie
关于反序列化,可能有小白还不理解,这里如果直接解释会有点过臃长了,简单来说序列化的目的是为了保存、传递和恢复对象,不同的语言有自己不同的序列化方式,这里建议小白从php的序列化开始学习,如果实在想不通,可以理解成,为了方便,把对象通过某种算法变成了一串编码,如果有师傅需要,麋鹿后期也可以针对序列化出系列专栏。相比于 PHP 反序列化必须要依赖于当前代码中类的存在以及方法的存在,python的序列化其实就是把它转换成相应的操作码,当我们进行反序列化的时候,是把那一串操作码变回来,
2024-02-06 02:56:35 858
原创 打靶手记之hackmyvm--connection
有读者想看打靶的文章,那就出个系列好啦先虚拟机配置,麋鹿运行靶场的环境为centos7,先在vmware设置里里启用虚拟化创建一个新的 repo 文件导入以下内容下载今日靶场导入VirtualBox并运行如下图,centos和kali选nat靶机选桥接,接口选以太网接口,也就是物理网络接口。桥接和nat的区别之前文章提到过,不懂的去看一下那张图先扫网段然后端口有ssh,http,smb先看一下web页面,默认页面扫目录没有东西,端口扫描发现445开放,那就去看看smb。
2024-02-06 02:53:29 1054 1
原创 试听课--水坑攻击之xss平台钓鱼上线以及后渗透流程
由于上节试听课经过二次压缩,有卡顿失真现象,观看体验有点不太好,而且对于零基础的小白,可能不太好理解上节课讲到的手法和原理,故麋鹿重新录了一个手法,本节课依然作为试听课。有基础想了解xss钓鱼手法和原理的请看上节课,凑合看,正式课程里不会有该情况。搭建beef平台和钓鱼页面,用msf生成exe木马,然后利用低版本的浏览器漏洞进行弹窗,诱导被钓者下载上线。beff平台的搭建在之前的文章中已有教程故不过多赘述,此处仅加一个在kali中安装docker的方法。搭建xss平台,制作钓鱼页面和木马。
2024-02-06 02:50:34 450
原创 上专科,干外包驻场,会有未来吗?这辈子就这样了?我的出路在哪?
我不是否定学历的价值,我本身也读了快二十年的书,我知道高学历的好处--就算是只有高学历,依然可以找到一份稳定的工作,保持一个不错的生活水平,会读书能读下书本身就是一种很强的能力,但是只有这张好牌加上能力才是王炸,只有一张那很有可能就是平庸一辈子--在一个岗位一辈子碌碌无为一辈子。人生不是轨道,是旷野!最后,送各位一句话--不要对过去耿耿于怀,也不要满足于现状,多关注来处,保持初心,要相信日拱一卒,功不唐捐,要相信厚积薄发,如果现在的努力还没看到成果,那就坚持到量变到质变的时候,多去啃硬骨头!
2024-01-25 23:52:46 1179
原创 继续谈权限维持之监控获取ssh su sudo账号密码
是一款可跟踪系统调用和信号的工具可以用下面这行命令监控 进程解读一下吧,-f -F是跟踪子进程,-p是获取pid(里面的ps aux是列出所有进程,grep是找到ashd的进程和排除grep本身进程)。-e是跟踪读写相关调用,后面就是一些设置字符串最大长度和输出到指定文件,最后的&是后台运行(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /t
2024-01-18 23:20:33 1188
原创 你不知道的win应急思路!从维权到排查,面试必问!不来看看?
windows里常见维权手法都已经老生常谈了,如果要聊rootkit之流,那又涉及到虚拟化 内核这些晦涩难懂很吃耐心的东西,还有加上代码 PE这些一篇文章很容易就写的过于长篇大论了,那么阅读量就会像下面这篇一样扑街,区区几百阅读让人失望但是hw和安服面试经常问这些东西,而公众号有很大部分读者都是学生,会面临hw or 就业,而这个公众号的初心就是为了传播我们 所闻之道,所攻之术,既然读者有需求,那麋鹿就聊聊维权和排查吧,希望能帮读书的朋友们拿到一个不错的薪资。本文目录先聊本次实验环境为win10。
2024-01-16 18:37:22 884
原创 只会netstat?最全应急排查网络连接思路,不学一下吗?
本来麋鹿是打算把这一系列的排查手法做成一篇文章发,但是这几天麋鹿研究了一下公众号内容推荐机制,长文很难被推荐,阅读量就会很低,所以只能拆开,分三篇详细介绍windows和linux应急排查思路,这篇先讲。-a显示所有连接和侦听端口,包括本地和远程系统连接时使用的TCP端口或者UDP端口,在本地机器上的外部连接和我们远程所连接的系统以及本地和远程系统连接的状态,如图。上图一目了然,ESTABLISHED是第三步,也就是两台主机已经进入已连接状态,TCP连接成功创建了,可以传输数据了。
2024-01-16 18:33:38 836
原创 晚睡+过度劳累=双杀阳气!五年赛博保安养生法教你如何快速补救!(食补篇)
后面我开始看了看养生有关的书,了解了点食补的知识,我才知道如果肝不好就容易疲惫,所以变强第一步就是养精气神--那么今天。材料:田七苗150g、水发黑木耳50g、西红柿适量、姜适量、盐适量、生抽适量、胡椒粉适量。加起来就是清热解毒,养肝清脂,还活血化瘀,促进血液循环和新陈代谢,是不可多得的健康养生食材。1 田七苗清洗干净,黑木耳提前水发好,西红柿切片,姜切末,黑木耳撕成小片。如果喜欢酸汤的,可以点上一点醋。放少量的生抽提鲜,水开后煮1--2分钟。木耳含有丰富的植物胶原蛋白和铁质,有助于美容养颜、
2024-01-07 23:00:25 331
原创 windows获取hash常见手法
SAM 是其下的一个子分支,存储了与系统安全账户管理相关的信息,如用户账户和密码哈希。希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以私信加本人微信,与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。实战中,猕猴桃会被杀或者是不允许上传mimikatz,可以把这两个文件拖到自己的机器上读取,如下图我拖本机的密码到虚拟机里一样可以读取。有师傅反应之前的文章有点太长篇大论 太干,故今日麋鹿换一些风格的文章,写一些简单的,希望能帮到大家,尤其是刚入门的师傅们!
2024-01-04 22:21:47 519
原创 魔改蚁剑之零基础编写解码器
先来看一下自带编码器的流量编码器选default,执行命令whoami抓包看流量(下图为url解码后的结果)url解码一下可以清晰的看到whoami(base64编码后的结果为d2hvYW1p)出现在流量里,所以是百分百被waf拦的先来分析一下下面这个字符串首先cbe5f611c94175是随机生成的字符串,然后在下面这段代码里提到了对上述字符串的解码过程。
2023-12-31 21:38:21 1209
原创 网络安全真的要凉了吗?考研考公失败如何做到不焦虑?不妨换条赛道
你跑得快,22岁有个家,身边全是赞叹。你跑得慢,30岁还在路上追求梦想。有的人为了车房拼了一辈子,有的人买辆摩托车走遍大好河山。你想成为怎样的人,过怎样的生活,只要你不后悔就行。别人只关心你成不成功,而麋鹿只关心你快不快乐,麋鹿希望大家能大胆的去做你所有的选择,无论怎么样,只要你问心无愧,麋鹿都永远站你这一边,麋鹿永远相信与支持你的选择,麋鹿永远相信你能拨开迷雾,有一天能在自己擅长的领域大展拳脚!
2023-12-31 21:20:41 945
原创 浅谈jenkins后渗透
jenkins是一个自动化服务器,支持开发者在软件开发过程中自动化各种任务,如构建、测试和部署应用程序,里面会存放一些账号密码,例如1.登录到服务器、数据库(SQL Server、MySQL、PostgreSQL)、容器平台(Docker)或云服务(AWS、Azure)的账号和密码2.Git、Subversion 等版本控制系统的账号和密码或访问令牌3.邮件服务器、Slack、或其他通信平台的登录凭据访问8099端口把密钥粘贴进去安装以后创建账号,登录。
2023-12-31 21:18:42 1200
原创 再谈宝塔后门账号维权
上一篇文章提到一个宝塔账号维权的思路,本来这篇文章到此就结束了,但昨晚群里有师傅提到该思路只能用于旧版本,于是麋鹿就写了一篇续集,谈一下后续版本如何继续使用该思路。format的意思一目了然就是获取宝塔插件(英文为plugin)里users插件的地址,而宝塔插件的地址为/www/server/panel/plugin。在default.db里加一个后门,宝塔算法在上一篇文章里提到过,没看过或者还不到的读者可以回头看一下,文章链接如下。字段,然后加密,最后去循环检查users表里是否与提交的用户名相匹配。
2023-12-31 21:11:24 809
原创 浅谈宝塔渗透手法,从常见漏洞 聊到 宝塔维权 再到 bypass disable_functions原理
公网无需鉴权直接 root 权限进入 phpmyadmin,IP或域名地址:888/pma为什么要介绍这个洞呢,因为phpmyadmin这里好做文章,常见手法有into outfile写shell,日志get shell,UDF getshell,MOF提权,网上教程一大堆,这里麋鹿就不浪费大家时间了,不熟悉的读者可以百度一下。
2023-12-31 21:10:26 5467
原创 赛博保安hw讨薪总结(针对学生党)
最近麋鹿总是吃到一些瓜,经常看到一些师傅在群里骂黑中介,其中好多都是学生在苦哈哈的讨薪,有一种恍如隔世的感觉,因为我已经记不得今年hw过去多久了,好像三四个月了?况且我一个打工仔一向是给公司免费打hw所以吧这件事和我没关系,况且人类的悲欢并不相通,我没法和讨钱的师傅们感同身受,我也不能真正体会到学生 生活费见底可是hw钱一直要不回来的感觉,也不能感同身受离职的朋友年底的窘迫可是呢,鲁迅先生说"无穷的远方,无数的人们,都和我有关。
2023-12-31 21:03:16 514
原创 浅析 后渗透之提取微x 聊天记录原理and劫持t g 解密聊天记录原理
最近工作中遇到许多取证工作,有相关部门人员咨询相关技术问题,那么,借此机会,今天麋鹿带大家了解一下解密wx聊天记录,以及劫持tg账号,顺便浅析一下原理。
2023-12-31 21:01:35 5150
原创 浅析 Apache Confluence [CVE-2023-22515]
我们已经看到,此漏洞的根本原因是攻击者能够在未经身份验证的端点的 Action 对象上执行复杂的 getter/setter 方法,从而允许修改关键属性。同时欢迎各位同仁关注麋鹿安全,我们的文章会第一时间发布在公众号平台,如果不想错过我们新鲜出炉的好文,那就请扫码关注我们的公众号!希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。
2023-12-31 20:56:27 1077
原创 2023秋招如此惨淡,还有必要继续学安全吗?教你如何破局0offer
等等原因,导致很多实力不强的毕业生涌入人才资源中,质量参差不齐,大厂在招人的时候不免有顾虑,最直观的体现就是卡学历,当然一手过硬的技术可以很大一部分弥补最开始入职时候的缺陷,几个相当不错的实习经历,参与网络维护等等的技术沉淀,比之从硕士研究生的三年生涯结束后来的更快而直接.三年之后的互联网就业情况如何,笔者不敢妄下定论,但是观望的三年却是实实在在的失去了..几个月的时间,从渗透原理到红队基础,包括c,python等编程语言的学习,可以很全面的打好技术栈的基础,从而进行下一步的发展.。
2023-12-31 20:07:07 1016
原创 浅析HackBrowserData原理以及免杀思路(红队工具之获取目标机器浏览器记录 密码 cookie)
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者和本公众号无关。书接上回:上文讲到如何钓鱼并提到一个工具--HackBrowserData,限于上文篇幅,结尾留白并未介绍工具使用和原理,若只讲如何钓鱼使得目标机器上线,这个主题便可惜了。于是今日本篇浅浅分析一下HackBrowserData的代码和实现原理.
2023-12-30 18:10:33 2006
原创 如何快速提升渗透能力?带你打靶场逐个击破hackmyvm之001gift
麋鹿认为安全很注重实践,如果能多做项目绝对可以快速成长,但是鉴于刚入行的小白来说,很少有机会去接触实战,秉着纸上得来终觉浅,绝知此事要躬行的思想,故今天我开了一个新的主题--打靶场。同时欢迎各位同仁关注麋鹿安全,我们的文章会第一时间发布在公众号平台,如果不想错过我们新鲜出炉的好文,那就请扫码关注我们的公众号!希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。
2023-12-30 17:55:40 478
原创 浅谈水坑攻击之结合xss平台钓鱼获取浏览器记录和微信数据
希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。再生成一个新的马子(这里本来是想生成flash_install.exe的,结果手打快了,少了个a,后面都是用的少a版本,读者别被这个误导了)ok,下面你就可以畅游受害者电脑了,比如把wx裤子脱了看看他每天和谁聊天聊什么,亦或者看看浏览器的记录,这里放一张本人的浏览器数据。使用exploit模块并设置攻击载荷。
2023-12-30 17:53:25 596
原创 从绕过disable_functions到关于so的一些想法
简单来说disable_funcitons就和他的直译一样,是对一些函数的禁用我们可以在phpinfo()中查看在实际学习中,我们可以先利用phpinfo()进行信息收集,比如disable_funtions可以告诉我们哪些PHP函数被禁用说白了,这里是禁用函数的地方,一个黑名单,如果拿到shell却执行不了命令,多半就是这里出了问题。绕过这里的方法有很多,今天不是绕过总结,主要说其中的LD_PRELOAD & putenv() bypass disable_functions。
2023-12-30 17:50:57 959
原创 从0认识+识别+掌握thinkphp全漏洞(超详细看完拿捏tp)文末带工具
国人开发的框架,上手简单,开发成本低,搭建容易所以,tp框架常见于一些违法网站上面tp版本信息文档中心 · ThinkPHP 这是tp的官方文档,包含了框架一些基本知识,一些必要的知识我会在复现过程中一一讲解,不过还是建议自己去看一下文档。
2023-12-30 17:45:50 4719
原创 java内存马分析-[Godzilla-FilterShell]
希望各位读者看完我们的文章以后自己去实践一下,只有学到脑子里的东西才是自己的,如果遇到困难,可以加本人微信(i_still_be_milu)与麋鹿师傅一起探讨,炼心之路,就在脚下,我们一起成长。这个特征是一个特别可疑的点了。当然了,有的内存马还是比较狡猾的,它会注入class到当前线程中,然后实例化注入内存马。内存马的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。内存马的Filter是动态注册的,所以在web.xml中肯定没有配置,这也是个可以的特征。
2023-12-30 17:36:01 1798
原创 从linux内核初窥LKM(抛砖引玉之rootkit隐藏进程 or tcp连接原理)
在前面的文章中我们介绍了如何使用rootkit(那篇文章标题打错了,少了个t)以及简单介绍了什么是rootkit,为了让读者更深入的了解,于是我们开了本专题,来一起探索学习rootkit的原理以及如何手搓一个rootkit,之后会出一系列的文章围绕rootkit原理来写。今天先介绍如何拦截系统调用,修改命令返回结果。上一篇可能对于什么是rootkit解释的不够清楚,这里重新解释一下,不过还是建议读者配合上一篇一起食用参考。
2023-12-30 17:30:47 1407
原创 从0认识+识别+掌握spring全漏洞(1.8w字超详细看完拿捏spring)文末带工具
SpEL是基于Spring的一个表达式语言,类似于Struts2的 OGNL,能够在运行时动态执行一些运算或指令,类似于Java的反射功能。共分为三类:一. 直接在注解中使用二. 在XML文件中使用三. 在代码块中使用Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。
2023-12-30 16:18:07 2412
原创 CDN+Nginx反向代理来隐藏c2地址
思路:CDN:通过借助CDN和Nginx反向代理和HTTPS来隐藏真实c2服务器 Nginx反向代理:通过Nginx对外部流量转发到本地,再设置防火墙只允许localhost访问cs端口达到IP白名单的效果前几步和上篇文章一样1.更改cloudflare配置SSL/TLS加密模式为完全2.在SSL/TLS——源服务器选项中生成一个新的证书,配置默认即可。
2023-12-30 15:38:47 1205
原创 Godzilla-流量特征
之后程序⽤处理过后的 base64GlobalCode.bin内容以及读取到的base64Code.bin 内容来分别替换shell.jsp⽂件中的{globalCode} 以 及 {code}字符, 替换成功后就会在⽤户指定的⽬录下⽣成真正的哥斯拉jsp版本的webshell⽂件。接着代码会调⽤ cryptionModel.init() 和 cryptionModel.check()先来到 init() ⽅法,这个⽅法会将属性state设置为true,以此通过 check() ⽅法的逻辑判断。
2023-12-30 15:33:18 895
原创 初探rootkit(另一种角度看维权)
rootkit是用于后渗透过程中维持住现有权限的工具,比如现在常用的 linux 维持权限的方法大多用 crontab 和开机自启动,同时使用的大多是msf 或者其它的 tcp 连接来反弹 shell ,这些随便应急排查一下自启动项和网络连接就被发现了,那如果我们在内核层面把进程和tcp隐藏岂不是就不是那么显眼了.于是rootkit成了很好的选择。install.exe是把r77注入到所有能注入的进程和启动系统rootkit的,所以安装完可以把程序删了,实现无文件启动。
2023-12-30 15:27:20 1261
原创 云函数实现隐藏c2地址
说明:云函数是一个可以为开发者提供的无服务器执行代码的环境,相当于我们可以提前部署一个云函数,当我们需要运行这段代码的时候只需要通过去请求某一个特定的地址(即云函数地址)就可以运行了。最后,该函数将响应的状态码、标头和正文转换为一个 JSON 对象,并将其返回给调用方。配置代码写如下代码,c2地址填写 协议+ip+port,如http://127.0.0.1:80,本文使用80端口,所以后续使用http beacon。该函数的目的是将传入的 HTTP 请求转发到指定的 URL,并将响应返回给调用方。
2023-12-30 15:10:34 688
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人