打靶手记
文章平均质量分 94
麋鹿安全
"鹿得美草,口甘其味,则求其友而号其侣也"群居的麋鹿互不猜疑,正如我们的初心--同甘共苦,共同进步。我们想通过此公众号去传播我们所闻之道,所攻之业,希望能帮助更多的人了解网络安全以及提升自己的技术。我们的追求:低调谦虚 互帮互助 一直进步!
展开
-
从0到1理解文件包含 缓冲区溢出 原理与利用--打靶手记之hackmyvm Registry
虽然ASLR使得地址随机化,但由于地址空间有限,libc地址还是会重复(0xf7cfe000),这里循环查看new程序的动态库依赖,并用grep过滤出包含地址0xf7cfe000的行,这里看到该地址会重复出现,有了这个地址以后,我们可以多次尝试利用,直到libc加载到这个重复的地址时,就可以成功利用了。攻击者通过精心构造输入数据,可以改变程序的控制流程,执行恶意代码。:当程序将数据写入一个固定大小的缓冲区(如栈上的局部字符数组)时,如果写入的数据量超过了缓冲区的容量,多出的数据将溢出到相邻的内存区域。原创 2024-02-16 18:06:24 · 927 阅读 · 0 评论 -
phpinfo+文件包含临时文件getshell
当我们发送POST数据包时,如果数据包里包含文件区块,无论访问的php文件中有没有处理文件上传的逻辑,PHP都会将这个文件保存成一个临时文件,如果这个临时文件还没有被移动或重命名,在请求结束后临时文件就会被删除。那么,当我们发送第一个数据包以后立刻发送后面的数据包,这时php还在向我们传输第一次的那4096个字节,也就是说第一次产生的临时文件还存在,我们就可以利用这个时间差来包含临时文件达到getshell的目的。用现成的工具(地址如下)利用一下,记得把里面的phpinfo和文件包含的地址换成对应的。原创 2024-02-16 18:07:57 · 1037 阅读 · 0 评论 -
打靶手记之hackmyvm--Birthday
phpinfo();当前www用户可以不需要密码执行zadiac程序,zadiac需要的libzodiac.so对所有用户都有写权限,也就是说www用户可以修改这个so文件,那么我们提权的思路如下。对于ASP.NET/IIS,如果一个参数在请求中出现多次,它会考虑特定参数的所有出现,例如par1出现了两次,其值分别是val1和val2,解析结果将包含这两个值。编写一个提权的so文件替换掉libzodiac.so,然后用高权限用户chloe运行zadiac时,我们自定义的so文件就会被加载执行。原创 2024-02-16 17:58:26 · 952 阅读 · 0 评论 -
打靶手记之hackmyvm--tiny
刚刚好,都满足,那就试一下如下命令,解释一下这条命令,sudo是以root权限运行(不用输入密码),第一个参数car是作为invoke的入口点,第二个参数是一个自定义的路径,意为去调用os.system方法去执行后面的命令(bash -p),bash -p是启动一个root权限的shell。看上图的url,意思是用户登录成功后将他们重定向到指定的http://192.168.56.104/wp-admin/,这个wp-admin应该是管理员后台,reauth=1意味着要求我们重新验证身份。原创 2024-02-06 02:59:11 · 923 阅读 · 0 评论 -
打靶手记之hackmyvm--UnbakedPie
关于反序列化,可能有小白还不理解,这里如果直接解释会有点过臃长了,简单来说序列化的目的是为了保存、传递和恢复对象,不同的语言有自己不同的序列化方式,这里建议小白从php的序列化开始学习,如果实在想不通,可以理解成,为了方便,把对象通过某种算法变成了一串编码,如果有师傅需要,麋鹿后期也可以针对序列化出系列专栏。相比于 PHP 反序列化必须要依赖于当前代码中类的存在以及方法的存在,python的序列化其实就是把它转换成相应的操作码,当我们进行反序列化的时候,是把那一串操作码变回来,原创 2024-02-06 02:56:35 · 777 阅读 · 0 评论 -
打靶手记之hackmyvm--connection
有读者想看打靶的文章,那就出个系列好啦先虚拟机配置,麋鹿运行靶场的环境为centos7,先在vmware设置里里启用虚拟化创建一个新的 repo 文件导入以下内容下载今日靶场导入VirtualBox并运行如下图,centos和kali选nat靶机选桥接,接口选以太网接口,也就是物理网络接口。桥接和nat的区别之前文章提到过,不懂的去看一下那张图先扫网段然后端口有ssh,http,smb先看一下web页面,默认页面扫目录没有东西,端口扫描发现445开放,那就去看看smb。原创 2024-02-06 02:53:29 · 932 阅读 · 1 评论