- 博客(22)
- 收藏
- 关注
RSS订阅
原创 windows内网信息收集
引言:进入内网之后,是一种由点到线再到面的测试,先弄清楚当前机器的情况,如在域中角色,提供的服务等信息;再以此为跳板收集其它机器的信息,当收集的信息足够多,拿下域控的可能型也就越高。本机信息收集为了后续的提权等操作,首先要尽可能拿下当前机器的权限,所以对当前机器的信息收集也是必要的。查看系统配置信息systeminfo 查看系统信息,但是内容太多在某些时刻无法通过菜刀等工具看到返回的结果,可以将内容输出到某个文件,也可以结合findstr 查询指定内容,如查询操作系统即软件的信息 systemin
2021-07-19 15:37:15
507
2
原创 jdk11 配置 tomcat
一、下载tomcat + jdk11官网:https://tomcat.apache.org/download-80.cgijdk11:提取码:lzan二、配置环境变量创建CATALINA_BASE 和 CATALINA_HOME 里面填写tomcat安装路径创建CLASSPATH.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;%CATALINA_HOME%\lib\servlet-api.jar;创
2021-12-10 21:32:15
2302
转载 反射xss触发技巧之引号转义逃逸
不少xss防御机制较为成熟,但是引号转义却不转义转义符的情况,仍然可以进行逃逸并触发反射xss,以最近的搜狗反射xss为例来讲(已修复)https://xxx.xxx.com/hospital/ncp/guide.html?channel=hainan\%27;alert(1);//此处的单引号被转义,然而在单引号前加上转义符,可以导致单引号逃逸,成功闭合,触发反射xss...
2021-12-05 21:30:41
3634
转载 PhpStorm+Xdebug
配置phpStorm+xdebug添加php解释器,这里选择php5.6.27版本的添加php.exe可执行文件路径,添加xdebug方便后续调试程序。配置xdebug在php.ini中配置xdebug在文件尾部添加如下配置(部分路径需自己修改)[XDebug]xdebug.profiler_output_dir="D:\phpstudy\PHPTutorial\tmp\xdebug"xdebug.trace_output_dir="D:\phpstudy\PHPTutorial\tmp
2021-12-05 14:56:29
142
原创 PHP代码审计之危险函数
SQL注入:selectinsertupdatemysql_query 发送一条 MySQL 查询 mysqli MySQLi类xss跨站:print 输出字符串 print_r 打印关于变量的易于理解的信息echo 输出一个或多个字符串 sprintf 把格式化的字符串写入变量中dire 输出一个消息并且退出当前脚本,等同于 exit() var_dump 打印变量的相关信息 var_export 输出或返回一个变量的字符串表示文件上传:move_uplo
2021-11-30 09:09:37
344
转载 Js接口构造
案例一:发现了两处接口第一处构造访问:http://xx.xx.xx.xx /commonServletpost提交数据: fromflag=queryWorkUserBySectionId§allFlag=1第二处构造访问:http://xx.xx.xx.xx /commonServletpost提交数据: fromflag=queryWorkUserBySectionId§ionId_search=1案例二:一处上传接口新建个html测试上传文件
2021-11-23 10:15:39
163
原创 服务器端模板注入(SSTI)
判断模板:X-Powered-By:ThinkPHPPython 【Mako、Tornado】PHP 【Twig】127.0.0.1/ssti={{4*4}} #如果算出16,可以推断出使用Mako、Tornado、Twig模板PHP 【Smarty】Java 【Freemarker】127.0.0.1/ssti=${2*2} //如果算出4,可以推断出使用Smarty、Freemarker模板Python 【Jinja】127.0.0.1/ssti=${2*5} //如果算出55.
2021-11-21 15:04:49
503
转载 CrossC2安装上线Linux
下载CrossC2https://github.com/axax002/CrossC2将src目录复制到win10客户端cs目录下下载插件https://github.com/gloxec/CrossC2/releases/download/v2.2.4/genCrossC2.Linuxhttps://github.com/gloxec/CrossC2/releases/download/v2.2.4/genCrossC2.Win.zip将genCrossC2.Linux文件上传到Linux服务
2021-11-20 11:54:38
1299
转载 Apache Shiro权限绕过漏洞(CVE-2020-11989)
Apache Shiro 作为常用的 Java 安全框架,拥有执行身份验证、授权、密码和会话管理等功能,通常会和 Spring 等框架一起搭配使用来开发 Web 应用。影响范围Apache Shiro < 1.5.3Spring 框架中只使用 Shiro 鉴权漏洞复现测试 Demo :https://github.com/l3yx/springboot-shiro权限配置如下,其中 /admin 下的路由需要登录才能访问@BeanShiroFilterFactoryBean s
2021-11-19 10:38:26
397
转载 pipePotato提权
pipePotato:一种新型的通用提权漏洞影响:Windows 10 和 Server 2016/2019 (win8以上的某些windows版本也行)windows Server 2012,windows Server 2016,windows Server 2019利用条件:whoami /priv 存在 SeImpersonatePrivilege 身份验证后模拟客户端查阅微软官方给出的相关资料后发现,默认情况下,除普通用户外,基本上管理员,服务用户都有这个权限运行exp国外P
2021-11-15 23:23:46
304
转载 烂土豆Juicypotato【MS16-075】提权
原理:攻击者可以诱骗用户尝试使用NTLM对他的计算机进行身份验证,则他可以将该身份验证尝试中继到另一台计算机!Microsoft通过使用已经进行的质询来禁止同协议NTLM身份验证来对此进行修补。这意味着从一个主机回到自身的SMB-> SMB NTLM中继将不再起作用。但是,跨协议攻击(例如HTTP-> SMB)仍然可以正常使用!使用条件1、查看当前用户权限,是否符合要求whoami /all whoami /priv如果开启SeImpersonate权限,juicypotato的
2021-11-15 21:36:16
560
原创 什么是Webpack
Webpack 是一个前端资源加载/打包工具。它将根据模块的依赖关系进行静态分析,然后将这些模块按照指定的规则生成对应的静态资源。可以将多种静态资源 js、css、less 转换成一个静态文件,减少了页面的请求。它的存在依赖于node.js用大白话说,它包揽了其它静态文件的活,我们可以从中找一下敏感数据或是接口...
2021-11-15 12:07:00
374
转载 文件上传及绕waf扩展思路
1、换行2、多个等于号3、单双引号替换4、去掉引号5、溢出Content-Disposition字段6、多个Content-Disposition字段7、畸形协议8、boundary前加减空格9、删除Content-Type: image/jpeg10、溢出文件名11、Accept-Encoding:Accept-Encoding设置在请求头当中,会告诉服务器,我可以接受哪种编码压缩。Content-Encoding设置在响应头中,会告诉客户端,我用的是哪种编码压
2021-11-09 10:01:27
564
1
原创 绕过disable_function
1、常规绕过:exec,shell_exec,system,passthru,popen,proc_open查看 PHPinfo 看看哪些没有被写进ini配置文件,绕过限制。2. 利用系统组件绕过利用条件windows环境com组件(PHP5.4自带)(高版本扩展要自己添加)3. 利用环境变量 LD_PRELOAD 来绕过使用条件Linux 操作系统putenv()mail or error_log存在可写的目录, 需要上传 .so 文件4. 攻击 php-fpm/FastCGI 绕
2021-11-07 12:57:56
174
转载 数据库提权与写马
一、权限获取数据库操作权限提权之前得先拿到高权限的 MySQL 用户才可以,拿到 MySQL 的用户名和密码的方式多种多样,但是不外乎就下面几种方法:1、MySQL 3306 端口弱口令爆破2、sqlmap 注入的 --sql-shell 模式3、网站的数据库配置文件中拿到明文密码信息4、CVE-2012-2122 等这类漏洞直接拿下 MySQL 权限二、获取webshell权限1、into oufile 写 shell条件:1、知道网站物理路径2、高权限数据库用户3、load_f
2021-11-05 20:58:14
905
原创 反弹shell
反弹shell1、use exploit/multi/handler2、set payload php/meterpreter/reverse_tcp3、 set lhost 127.0.0.14、show options5、exploit / run
2021-09-20 20:45:59
182
转载 PHP中$_SERVER的详细用法
$_SERVER['PHP_SELF'] #当前正在执行脚本的文件名,与 document root相关。$_SERVER['argv'] #传递给该脚本的参数。$_SERVER['argc'] #包含传递给程序的命令行参数的个数(如果运行在命令行模式)。$_SERVER['GATEWAY_INTERFACE'] #服务器使用的 CGI 规范的版本。例如,“CGI/1.1”。$_SERVER['SERVER_NAME'] #当前运行脚本所在服务器主机的名称。$_SERVER['SERVER_SOF
2021-09-19 20:21:51
567
原创 win11将任何类型文件或软件固定在开始屏幕
1、打开:C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs2、软件放进入去3、在开始-所有应用中找到你的软件-右键选择固定在开始屏幕
2021-08-08 15:10:59
4275
4
转载 PHP伪协议总结
PHP伪协议总结file:// 协议条件:allow_url_fopen:off/onallow_url_include :off/on作用:用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。include()/require()/include_once()/require_once()参数可控的情况下,如导入为非.php文件,则仍按照php语法进行解析,这是include()函数所决定的。说明:fi
2021-07-27 19:37:47
221
原创 XSSlabs过关详细教程
xsslabs下载:点击这里,提取码:lzan安装方法:放在phpstudy的www目录下即可level1URL的test,与图片的test相对应,当改为1时,图片也会相应更改,可以通过这个地方形成跨站xss写入xss语句<script>alert(1)</script>level2这里test与第一关一样更图片相对应,但插入xss没有弹窗查看元素右键编辑发现插入的xss被转义了!查看源代码造成转义的原因,发现这里用到了一个htmlspecialchars函数
2021-07-23 00:45:52
1439
原创 SQL注入常见命令
group_concat(str) 将获取到的内容合并成一行输出concat_ws(str1,str2…) 合并输出查询的字段table_name 具体的数据表column_name 字段名information_schema 自5.7及后的MySQL版本,都有了这个库,所有的表都会记录在这个数据库下information_schema.tables 所有的数据表information_schema.columns
2021-05-08 23:29:39
1120
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人