大方子

转载 00截断原理分析

0x00，%00，/00之类的截断，都是一样的，只是不同的表现形式而已%00截断下面是用 URL 编码形式表示的 ASCII 字符在url中%00表示ascll码中的0 ，而ascii中0作为特殊字符保留，表示字符串结束，所以当url中出现%00时就会认为读取已结束比如https://mp.csdn.net/upfiles/?filename=test.txt...

转载 Docker版kali内安装metasploit

1.下载原版kali Docker镜像MacPC:~ liuxin$ docker pull kalilinux/kali-linux-docker2.进入docker kali 容器内MacPC:~ liuxin$ docker run -it --name=kali kalilinux/kali-linux-docker3.安装metasploitroo...

原创 win10下如何再鼠标右键上 新增文件类型中增加 (.py .php)文件

.py .php 文件我用的比较多，但是每次创建他们的时候都是先创建一个txt文档，然后再改他们的后缀，中间还有win跳出的提示，比较麻烦。这里我直接把他们添加到我的右键中去，方便直接创建效果图:方法一(php为例)：1.打开注册表 ：win+R –>regedit2.定位：计算机\HKEY_CLASSES_ROOT/.php3.新建项：名字为...

原创 CVE-2019-14287：sudo 权限绕过漏洞（复现过程）

实验环境：kali影响范围：sudo 1.8.28 之前的所有版本复现过程查询下sudo的版本sudo -V创建用户useradd test passwd test编辑下sudoers文件这里添加了test ALL=(ALL, !root) /usr/bin/vim这里表示 test 可以 任意主机上...

原创 【HTB系列】Swagshop

靶机介绍靶机IP：10.10.10.140kali：10.10.12.69先用nmap来对靶机进行探测nmap -sC -sV -T 5 -oA Swagshop.nmap 10.10.10.140扫描结果：# Nmap 7.80 scan initiated Fri Oct 4 13:24:03 2019 as: nmap -sC -sV -T 5 -oA Swagshop.nm...

原创 python 中 subprocess.check_output 跨目录进行ls cd 等命令时候出现[Errno 2] No such file or directory错误的解决

记录下python中通过subprocess命令执行模块，进行cd，ls等进行跨工作目录操作时候会出现[Errno 2] No such file or directory错误的解决方法ls命令python文件位置位于/root/PycharmProjects/untitled但是执行要ls / 遍历根目录下的内容，就会出现下面的错误如果直接执行ls命令时不会有问...

原创 Pyhon Sokcet通讯的 不同类型的简单DEMO

1、使用socket模块进行TCP 通讯服务端#!/usr/bin/python# -*- coding: utf-8 -*-import sockets = socket.socket()#绑定地址和端口s.bind(('127.0.0.1', 4455))#监听指定数量客户端s.listen(1)#等待连接#连接成功后，得到客户端的socket(conn)和地址...

原创 Redis未授权访问漏洞复现

文档：Redis未授权访问漏洞复现.note链接：http://note.youdao.com/noteshare?id=1c59340432257e5bba8d8cf356eda5e0&sub=154F9DDB08A145D8B579341DC8123C7C

原创 MyJSRat结合CHM来反弹shell

项目地址：https://github.com/Ridter/MyJSRatpython MyJSRat.py -i 192.168.61.130 -p 8080-i：为攻击机的IP地址-p：为监听的端口然后访问http://192.168.61.130:8080/wtf得到攻击载荷然后新建一个test.html把攻击载荷复制到里面...

原创 CVE-2016-5734远程代码执行模拟从外网进入内网

【自己直接从自己的笔记中复制来的，若出现排版问题请直接查看原笔记】文档：CVE-2016-5734远程代码执行模拟从外网?..链接：http://note.youdao.com/noteshare?id=fbf75e67cc1573d01982bd923ac6c179&sub=8FB1C4FA3A1A4A45BD694D18C59391B8前言最近学习各种漏洞，...

原创 phpStudy + PhpStorm + XDebug调试【绝对能用】

具体参照的是这篇文章：https://blog.csdn.net/weixin_40418199/article/details/79088365文章有些地方说的不是很详细想重写整理下。【PHPStudy演示的版本为：PHP5.4.45-Apache】1.PHPStudy配置PHPStudy自带了XDebug的扩展，不需要下载phpStudy ->其它...

原创 凡诺CMS 未授权访问+文件包含Getshell

文档：凡诺CMS的 未授权访问+文件包含Getshel...链接：http://note.youdao.com/noteshare?id=9b868e32f61ce8a3c5d78daa555c9600&sub=2A1E7A660C2743C9BB0A7A6F739C1E0C

原创 XXE漏洞【回显读取文件和无回显读取文件】

(若出现排版，乱码等问题请看有道文档)文档：XXE漏洞【回显读取文件和无回显读取文?..链接：http://note.youdao.com/noteshare?id=b41700dbd75216812521ad5179e7291b&sub=12F412E07EDC4BDA9C5ABEF0CAD48CB7靶场环境XXE靶场源码：https://github.co...

原创 【HTB系列】靶机LaCasaDePapel的渗透测试

（因为是转发来的，若出现排版，乱码等问题就直接看有道的文档）有道分享链接地址：文档：【HTB系列】靶机LaCasaDePapel的渗透测...链接：http://note.youdao.com/noteshare?id=a475032917f4ec0bb32ce727d27509fd&sub=9534965F4D854085A4051A9957ADA6AD知识点：1. ...

原创 PHP imap 远程命令执行漏洞（CVE-2018-19518）

受影响版本Ubuntuhttps://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-19518.htmlDebianhttps://security-tracker.debian.org/tracker/CVE-2018-19518Red Hathttps://access.redhat.com/security/...

原创 Weblogic SSRF漏洞

Weblogic SSRF漏洞复现环境kali(192.168.61.130)centos（192.168.61.143）dockerdocker-composevulhub（git）【Docker环境】weblogic IP：172.18.0.3redis IP：172.18.0.2复现过程进入实验文件夹/root/vulhub...

原创 JBoss-反序列化命令执行漏洞(CVE-2017-12149)

复现环境win10kaliJavaDeserH2HCjboss-6.0.0影响范围JBoss 5.0.0~5.2.2复现过程进入JBoss的bin目录run.bat -b 0.0.0.0访问下http://192.168.61.1:8080/访问下http://192.168.61.1:8080/invoker/re...

原创 Tomcat（CVE-2017-12616）源码泄露

复现环境win2003Tomcat/7.0.75复现过程对Tomcat的server.xml文件增加如下代码 <Context path="/test" docBase="C:\test\examples" debug="1" reloadable="true"> <Resources className="org....

原创 TOMCAT（CVE-2017-12615）远程代码执行

复现环境win2003tomcat/7.0.75复现过程安装jdk和tomcat然后在tomcat的配置文件web.xml中添加下面这段代码，并重启<init-param> <param-name>readonly</param-name> ...

原创 NGINX-目录穿越漏洞

复现环境centos7dockervulhub（git）复现过程进入/root/vulhub/nginx/insecure-configuration目录输入docker compose up -d 开启容器访问下files在files后面加上..可穿越到上级目录导致漏洞的原因，url上/files没有加后缀/，而ali...

原创 NGINX-CRLF注入漏洞

复现环境centos7dockernginx复现过程现在纯净的CentOS7上安装Dockercurl -sSL https://get.daocloud.io/docker | sh等Docker安装完毕后，在启动docker服务service docker start然后接下来要安装docker-compose先安装python-pipy...

原创 nginx文件解析漏洞

文件解析漏洞目标环境win2003(x64)PHPstudy2016nginx复现过程先写一个上传的网页upload.html<!DOCTYPE html> <html> <head> <title>File Upload</title> </head&g...

原创 CVE-2017-15715漏洞复现

复现环境dockeapache 2.4.0到2.4.29即可php5.5复现过程先在物理机上创建目录mkdir -p /var/www/html然后创建个容器，并关联物理机的/var/www/html目录docker run -d -v /var/www/html:/var/www/html -p 8080:80 --name apache php...

原创 apache解析漏洞

复现环境win2003(x64)phpstudy2016Apache/2.4.23PHP/5.4.45复现过程①.先在文件根目录，建立123.php内容为123PHP解析正常②.再创建一个456无后缀的文件，内容为456无后缀，但是apache还是解析为PHP③.创建一个789.php.3...

原创 【HTB系列】靶机FriendZone的渗透测试

不知道为什么，CSDN文字和图片批量黏贴时，老是出现转存失败。直接分享有道的文档，在弄一遍太累了文档：【HTB系列】靶机FriendZone的渗透测试....链接：http://note.youdao.com/noteshare?id=6799653dc6fce316111bc0f2ea1c0b79&sub=594B0497FF3249C6ACF9D29AEB62D9...

原创 IIS7.0解析漏洞

实验环境windows server 2008（x64）IIS7phpStudyIIS 2016版本漏洞条件1. php.ini里的cgi.cgi_pathinfo=12. IIS7在Fast-CGI运行模式下漏洞复现先搭建IIS7这里记得勾选CGI然后我们在PHPStudy安装好并切...

原创 IIS-文件解析漏洞

IIS6.0有2种解析漏洞1. 目录解析以*.asp命名的文件夹里的文件都将会被当成ASP文件执行。2. 文件解析*.asp;.jpg 像这种畸形文件名在“；”后面的直接被忽略，也就是说当成 *.asp文件执行。目录解析复现ii6.0的服务器开启Active Server Pages服务拓展新建一个text.jpg的文件...

原创 使用MS09-020漏洞提权拿服务器

原创 MSF无法加载额外模块问题的解决

想做iis6.0的远程代码执行，漏洞编号为cve-2017-7269下载exp:https://github.com/zcgonvh/cve-2017-7269但是发现不管是增加权限，还是使用reload_all命令。msf就是无法识别使用这个模块后来发现msf的报错信息cat了下内容发现是命名的问题，然后我把cve-2017-7269.rb改为cve_2017_7269.rb...

原创 一次对学校AVCON系统的渗透

起初就是想扫下，内网的IIS服务器，看看内网是否存在put漏洞的IIS服务器。出来一堆的结果就顺手点了下。发现目标存在任意文件下载，就把系统的shadow文件给下载了回来http://xxxxxxx/download.action?filename=../../../../../../etc/shadow想着直接解密登录，但是后来发现root的密码解不开...

原创 IIS-短文件猜解漏洞

IIS-短文件泄露漏洞漏洞成因：为了兼容16位MS-DOS程序，Windows为文件名较长的文件（和文件夹）生成了对应的windows 8.3 短文件名。在Windows下查看对应的短文件名，可以使用命令 dir /x短文件名特征只显示前6位的字符，后续字符用~1代替。其中数字1是可以递增。如果存在文件名类似的文件，则前面的6个字符是相同的，后面的数字进行递增。后缀名最长只有3位...

原创 IIS-PUT漏洞

漏洞成因：IIS server在WEB服务拓展中开启了WebDAV，配置了写入权限，脚本资源访问权限。导致任意文件上传因为开启了WebDev和写入权限，我们可以直接通过PUT的方式写入webshell.txt这个时候可以看到服务器上有了我们刚刚PUT上去的文件然后我们需要把这个webshell.txt变成webshell.asp才能运行如果服务...

原创 Linux系统rz和sz的使用（很方便）

对于linux系统的文件的上传下载，我们会经常用到。个人比较喜欢用xshell，上传文件的话也都直接使用xftp。今天无意中看到两个个很不错的命令，直接可以命令行中使用ZModem协议进行数据的传输。sz：将选定的文件发送（send）到本地机器 -a 以文本方式传输（ascii）。 -b 以二进制方式传输（binary）。 -e 对控制字符转义（escape）...

原创 【HTB系列】靶机Netmon的渗透测试

总结和反思：1. win中执行powershell的远程代码下载执行注意双引号转义2. 对powershell代码先转为windows上默认的Unicode编码方式(UTF-16LE)再转为base64执行，防止代码内容被破坏3. 学会查CVE漏洞4. 通过命令行把终端内容保存到剪切板中5. 运维人员密码修改的规律，仅仅修改了密码中的年份，这是设置新密码常用的思路K...

原创 【HTB系列】靶机Querier的渗透测试

总结与反思：1. 收集信息要全面2. 用snmp-check检查snmp目标是否开启这个服务3. smbmap尝试用匿名用户anonymous来枚举目标的共享资源，可能会枚举成功4. 使用smbclient连接到smb进行命令操作5. 使用ole来分析宏6. 使用mssqlclient.py来连接MSSQL7. mssqlclient.py开启Windows Aut...

转载 GPP漏洞利用

总结与反思：1. GPP中管理员给域成员添加的账号信息存在xml，可以直接破解拿到账号密码。Windows Sever 2008 的组策略选项（GPP）是一个新引入的插件，方便管理员管理的同时也引入了安全问题测试环境windows7 普通域成员windows2008 域控首先部署GPP，这里我部署的策略是给域成员都添加一个test用户，密码为test12...

转载 渗透师指南之Responder

总结与思考：1. 利用Responder进行NTLMV2哈希的窃取2. 使用Responder进行中继，攻击成功后进行代码执行3. 使用Responder进行凭证/哈希破解4. 使用Responder进行快速SMB扫描5. 使用Responder配合MSF反弹shell6. LLMNR/NBT-NS攻击的防御概述：Responder是对渗透测试工作者来说一个很棒的工...

转载 渗透测试中的LLMNR/NBT-NS欺骗攻击

简介LLMNR＆NBT-NS欺骗攻击是一种经典的内部网络攻击，然而由于一方面了解它的人很少，另一方面在Windows中它们是默认启用的，所以该攻击到现在仍然是有效的。在本文中，我们首先为读者解释什么是LLMNR＆NBT-NS攻击，然后介绍如何通过该攻击进行渗透测试，最后，给出针对该漏洞的防御措施。什么是LLMNR和NetBIOS名称服务器广播？当DNS名称服务器请求失败时，Micr...

转载 Wireshark-BPF过滤规则【方便自己日后查询用】

设置过滤规则就是让网络设备只是捕获我们感兴趣的网络数据包,如果没有设置过滤规则,即上面的 filter_app 是空字符串,那么网络设备就捕获所有类型的数据包,否则只是捕获过滤规则设置的数据包,此时过滤规则的逻辑值为真。此过滤规则是通用的,由著名的网络程序 tcpdump 推出,其他很多的网络程序都是基于此规则进行设计的。此过滤规则的内部解析机制上面介绍过,下面我们参考 tcpdump 的过滤规则...

原创 【VulnHub】Raven: 2靶机的渗透测试

总结和思考：使用netdiscover探测内网存活主机 PHPMailer的漏洞反弹得到shell Python版的EXP修改 查看wordpress的wp-config.php配置文件得到数据库账号密码 MySQL版本 <= 7.14 5.6.32 5.5.51 可以利用UDF提权 KALI对EXP的编译 给程序chmod u+s 增加suid权限，可以以root权限运...