- 博客(72)
- 收藏
- 关注
RSS订阅原创 app抓包
浏览器导入CA证书之后,会生成一个PortSwigger CA证书,不同的浏览器的存在的地方不一样,导入CA证书后,自己去找这个PortSwigger CA证书。burp配置完代理之后,模拟器配置代理,选择设置里面的WLAN,长按网络,选择手动代理,将其设置与burp一致,点击保存,这样所有的配置就完成了。之后它会给出几个安卓版本,自己去选择,我实验用的第一个,有的app会与安卓版本出现不兼容得到问题,所以要选择合适版本。然后第一次的IP是混乱的,保存之后,会提示要重启,重启之后的IP 就是正常的IP。
2023-03-14 18:14:06
413
3
原创 系统重装漏洞
这里简单的说一下,前面的系统重装漏洞没什么好说的,跟zzcms差不多,主要是后面如何获取webshell,fengcms的源代码中存在如下图的一个写入配置文件的代码,也就是fopen那里,字母w意思就是以写入的方式打开文件,然后这里没过滤写入的参数,就会产生任意代码写入配置文件的漏洞。这段代码的意思就是如果post参数中存在step,那么step变量的值就等于post参数中step的值,如果post参数中不存在step,那么step变量的值就等于1。其实就在index.php文件上方的代码中。
2023-03-09 17:50:43
4096
原创 50_蓝队反制工具(蜜罐、堡垒机等)
先下载service-demo.zipservice-demo.zip里面就是一个登录框我们来模拟一个网站的登录界面比如说bihuo.cngoto=/根据示例的service-demo.zip里面的index.html修改网页源代码这几处必须一模一样然后文件和目录不能有中文html文件必须为index.html然后打包包名service-xxx.zip。
2023-02-05 20:56:21
989
原创 40_未授权漏洞
真正执行代码的点就是第一条命令的最后,“id >/tmp/success”',将id命令的结果写入到/tmp目录下的success文件中。但是我这里失败了,理论上是没什么问题,不清楚这里什么情况,计划任务实验有好几次都没成功,这东西就有问题。我们可以改写crontab文件,然后上传到rsync靶场服务器上,覆盖原来的crontab文件。这是因为使用redis写入的时候,内容前后都会有其它的redis写的乱七八糟的东西。如果说rsync在未授权的情况下,理论上可以往其它主机的目录上写入你想要的东西。
2023-02-05 11:53:22
607
原创 32_behinder(冰蝎)
有时候这个jd-gui工具无法打开文件,我们可以放一些其它的文件,例如我随便找的一个ArcTest.class文件,只要打开这个,agent.class也可以查看。防检测功能未生效,这里可能是软件功能没制作好,或者可能是只能防止部分软件检测,而恰好findshell不能防。或者停止服务器,再使用jps命令,对比发现少了哪个PID,快速判断目标JVM的PID。点击注入内存马之后,注入类型选择agent,路径点击默认的,然后修改文件名。保存之后,点击上方的生成服务端,会自动弹出shell.jsp存放的文件夹。
2023-02-04 12:58:31
1532
原创 31_内存马
下面是一个完整的filter内存马,它不需要创建filter过滤器,也不需要修改web.xml,所有集成都在代码里面写着。那么我们只要将doFIlter方法中的代码替换成执行命令的代码,运行服务器后,就会执行我们想要执行的任何命令。其实就和上面的filter一样,先在本地实验了下,然后最后脱离本地,直接用内存马,注入内存中。然后再doFilter方法这里,随便抄点其他的代码,这里主要就是调试的时候,看是否执行代码。然后我们就可以访问任意的文件,根据上面的/*,我这里写的haha,参数是cmd。
2023-02-03 20:07:40
1166
原创 24_mimikatz
当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式抓取明文。重启或用户重新登录后可以成功抓取先修改注册表,让内存缓存中可以保存明文密码然后修改一下密码,win10虚拟机之前没有密码,新密码为123456紧接着需要重新启动然后使用mimikatz工具提升权限: privilege::debug抓取密码: sekurlsa::logonpasswords可以看到成功抓取到了用户的账户密码和主机名称。
2023-02-03 14:57:22
444
原创 47_API接口漏洞
我觉得这里可以写个python脚本,与burp联用,在调用密码字典文件,给密码字典文件里面的每一个值都进行base64编码,然后获取第二个请求包,当第二个请求包里面的值与其它测试的值不一致的时候,就是破解出的账户密码,然后打印出账号密码。有的会遇到那种ip被ban的情况,可以考虑在打开网页的时候抓个包,然后修改client-ip或者X-Forwarded-For,将ip修改为其它的任意ip,就可以绕过ip被封禁的限制了。可以从网上去搜索下api接口去理解,下面有个我找到的网址,给出api接口的分类。
2023-02-02 15:22:42
827
原创 16_tomcat
根据学习过的文件上传的绕过方法,windows的文件上传绕过,常用的是点空格点绕过,这里我测试了不行。并且查看下cmd.war里面的内容,很像webapps目录,并且存在cmd.jsp文件。既然上传txt文件成功了,我们想要获取webshell,当然要上传jsp一句话。我们想一下,能上传txt文件,但是上传jsp文件就上传限制,可能是做了后缀限制。linux的一般绕过,是在文件后面加个/,上传后,linux会自动吃掉/点开之后,是如下的404界面,是因为我们没有加jsp文件。
2023-02-02 11:52:34
338
原创 15_open_basedir绕过
将两次结果对比,可以理解open_basedir的作用就是限制访问如果设立在test目录下,那么就只能访问test目录下面的目录或者文件,其它目录下面的内容都无法访问如果不设立open_basedir,任何目录下的内容都可以访问。
2023-02-01 17:19:01
758
原创 41_tp6的rce漏洞
大致上分析是lang这个传的参数,如果不等于默认的参数 zh-cn ,就会调用某个方法,然后不断跟进方法,就可以看到最后会有个include 文件名,这里的文件名就是我们传的参数,因此会造成文件包含。如果说这是文件包含无回显利用的话,那么我传了个php反弹shell文件上传到了/var/www/html/目录下。但是这个文件既然被文件包含了,而且被运行了,那么为什么我上面试验的反弹shell没有被文件包含,并且执行,很奇怪。这个方法就是实现创建文件的主要的方法,这也是为什么poc后面的格式是那样写的原因。
2023-01-29 13:47:05
745
原创 Presidential靶机总结
靶机下载地址:打开靶机,使用nmap扫描出靶机的ip和所有开放的端口可以看到靶机开放了80端口和2082端口使用-sV参数查看详细服务80端口是http服务2082端口是ssh服务那么我们先根据80端口打开网站网站上没有发现可以利用的漏洞点,源代码也没有提示的信息那么我们进行信息收集,目录爆破一波并没有发现有用的信息我看网上目录爆破出一个config.php.bak文件,我这里可能是字典不行这是一个数据库的配置的备份文件。
2023-01-29 10:07:01
858
原创 Ragnar-lothbrok靶机总结
靶机下载地址:打开靶机,使用nmap扫描出靶机的ip和所有开放的端口可以看到靶机开放了21端口,80端口,443端口,3306端口一般开放21端口,我们可以先尝试ftp的匿名登录可以看到并不能使用ftp的匿名登录紧接着从网站入手,根据80端口打开网站网站上并不能发现漏洞利用点信息收集,目录爆破一波发现了一个secret文件,里面存放密码字典并且还有个wordpress目录,打开了新网站,发现了一个用户名。
2023-01-29 09:49:13
613
原创 Dr4g0n-b4ll靶机总结
靶机下载地址:打开靶机,使用nmap扫描靶机的ip和所有开放的端口可以看到靶机开放了80端口和22端口根据80端口打开网站信息收集,目录爆破在robots.txt下发现一串base64编码解码之后,显示你发现了隐藏的目录,但是这个隐藏的目录还不知道在哪这里要么得需要字典好,能够跑出来要么就可能作者给出提示然后通过查看源代码,发现在源代码的最下面,有一行base64编码经过三次解码之后获得了DRAGON BALL这个东西很有可能就是隐藏目录。
2023-01-29 09:38:34
501
原创 VulnHub2018_DeRPnStiNK靶机总结
靶机下载地址:dl=0打开靶机,使用nmap扫描出靶机的ip和开放的所有端口可以看到,靶机开放了21端口,22端口和80端口遇到ftp的21端,我们先尝试ftp匿名登录,用户名anonymous,密码为空,发现无法ftp匿名登录那么我们然后先根据80端口打开网站,从网站入手,不行的话,在考虑ssh的爆破打开网站,并没有发现什么功能点,可以进行漏洞利用,那么开始信息收集,目录爆破一下使用dirb扫描出来,经过查看,发现一个新的网页。
2023-01-16 13:23:21
883
原创 Healthcare靶机总结
靶机下载地址:打开靶机,使用nmap扫描出靶机的ip和所有开放的端口可以看到,靶机开放了21端口和80端口21端口为ftp的端口,一般遇到这种,就可以考虑ftp的匿名登录,我们可以试一下用户名anonymous,没有密码,这里登录失败那么只能根据80端口,打开网站,然后去网站入手打开网站先试试功能点,看能否找到可利用的漏洞,这里没发现漏洞点然后可以在源代码里面找找看有没有提示,这里也没有。
2023-01-12 09:23:36
509
原创 BuffEMR-v1.0.1靶机总结
靶机下载地址:打开靶机,使用namp扫描网段,扫描出靶机的ip和开放的端口可以看到靶机开放了21端口,22端口和80端口根据80端口,打开网站尝试进行信息收据,目录爆破,并没有发现有用的地方而且源代码也没有什么有用的地方既然网站无法getshell,按照之前的渗透经验,一般就是通过其它开放的端口它这里开放了ftp的21端口,ssh的22端口ssh只能考虑爆破,只能先尝试对root用户的爆破,这里没有出来那么22端口暂时无法走通,只能考虑ftp的21端口。
2023-01-11 17:39:53
516
2
原创 48_二进制免杀
使用的话,就是先把二进制文件拿过来,我这里的code.c就是上面生成的2023_1_10.c文件,会生成一个code20.exe文件。在kali这么开启msf监听,原理上就是运行code20.exe的时候,这边产生会话回连,但是这里这个工具没那么好用,并没有回连。然后点击生成,这里本来应该会生成一个exe文件,但是这个工具有bug,所以不太好用。这里不懂二进制,所以只介绍几个工具使用,会使用工具就行,原理有兴趣可以自己去了解。这个工具的介绍文档不太详细,这里没有实验成功,感兴趣的可以自己去百度使用方法。
2023-01-11 00:24:05
244
原创 KB-VULN3靶机总结
靶机下载地址:打开靶机,将网络连接模式改成NAT,然后使用namp扫描端口,发现没有ip,利用网上搜索出来的方法,修改了靶机再次使用namp扫描了网段之后,发现了ip和打开的端口可以看到,开放了22端口,80端口,139端口和445端口先根据80端口打开网站,就是这样一个页面,什么功能也没有在目录扫描一波,看看目录下有没有可以利用的网站结果是除了首页,没有其它网页了一般我们的渗透测试都是利用网站的漏洞,但是这里似乎网站没有可以利用的地方。
2023-01-08 21:07:22
233
原创 hacksudo1靶机总结
靶机下载地址:打开hacksudo1靶机,使用nmap扫描网段ip,发现没找到靶机ip,使用网上的办法修改靶机再次使用nmap扫描网段ip,成功找到靶机ip,并且开放了,80,2222,8080端口80 端口 是http的2222端口 经过网上查看 属于ssh端口8080 是tomcat的先根据80端口打开网站我在kali里面打开是这样而在windows里面打开却显示源码,可能是浏览器问题进行信息收集,目录爆破。
2023-01-08 20:51:18
231
原创 pyexp靶机总结
靶机下载地址:打开靶机.使用nmap扫描出靶机的ip和开放的端口可以看到,靶机开放了1337端口和3306端口1337端口是ssh的端口,3306是mysql数据库的端口根据之前做靶机的经验来看,一般是开放80端口,然后根据网站去找到合适的方法getshell,但是这里没有开放80端口,因此只能考虑1337端口和3306端口那么先对这两个端口进行爆破一波,看是否能爆破出登录的密码由于不知道存在什么用户,因此只能先尝试root用户的爆破。
2023-01-08 20:36:57
631
原创 Bellatrix靶机总结
靶机下载地址:打开靶机,使用nmap扫描网段,获得主机ip和端口可以看到扫描到了靶机的ip,并且开放了80端口和22端口根据开放的80端口,打开网站信息收集,先进行目录爆破试试并没有发现什么有用的信息右键查看源代码看看发现一个提示,他说已经给出了一个php文件或许是上面的那一大串猜测ikilledsiriusblack.php,因为他在重复写ikilledsiriusblack这个文件还真的存在文件包含漏洞。
2023-01-08 20:26:55
140
原创 39_应急响应
下面可以看到,我先使用last命令,发现kali这个用户是192.168.11.142主机登录者,并且显示仍在在线,pts代表的是远程登录的用户,这是因为之前,我在windows主机使用ssh远程登录了kali。这里如果发现可疑的用户,直接删除用户的话,用户的文件都会丢失,后面如果发现该用户不是攻击者,会造成很大麻烦,因此,当发现可疑用户的话,可疑先进行锁定,使之无法登录,然后去查询是否是授权的用户,是的话再解锁。
2022-12-28 21:07:27
912
2
原创 38_log4j
可以看到,完整的调试非常的麻烦,但是log4j最低层利用的还是lookup方法所以说log4j方法与fastjson方法相似都是利用jndi的ldap或者rmi协议,然后调用lookup方法,同样在fastjson的时候,这个getURLOrDefaultInitCtx方法也使用了.
2022-12-26 17:28:01
68
原创 30_shiro漏洞
原本是在登录界面,当输入完用户名和密码,勾选上remember之后,点击登录,然后开始调试,进入这一步,但是那个操作有bug,base64没获取到值,所以利用ShiroExploit工具的命令执行来调试。获取cookie中rememberme的值 ===> base64解码 ===> AES解密 ===> 对象反序列化。对象序列化 ===> AES加密 ===> base64编码 ===> set-cookie的操作。打上断点,开启debug,可以看到确实是默认网页,停留在断点那里。AES解密和反序列化。
2022-12-25 22:13:26
148
原创 19_mysql提权
上面演示了怎样利用这个mof文件,但是现实中,我们只获得目标网站的数据库的情况下,需要自己利用mysql写入一个mof文件,不能像上面那样自己将mof文件复制粘贴到C:\WINDOWS\system32\wbem\mof目录下。操作和上面的general_log是一样的,我这里就演示以下日志内容,为了防止我之前做过实验造成的结果混淆,我将日志文件都清空了,上面的general_log所对应的log.php也是一样先清空,后实验,提高准确性。
2022-12-25 18:06:36
590
原创 Presidential靶机总结
按照网上的很详细的做了出来,除了最后的提权主要几个难点:原文:https://blog.csdn.net/weixin_44288604/article/details/126749119
2022-12-24 23:23:28
120
原创 Vegeta靶机总结
修改vegeta靶机的网络连接模式为NAT,然后发现使用nmap扫描,没有发现ip,然后百度修改了vegeta虚拟机,获得了ip百度的帖子: https://www.cnblogs.com/asstart/p/12626494.html再次使用nmap扫描网段,获得了ip,并且根据80端口打开了网站继续目录扫描根据获得的信息,依次去打开网站查看http://192.168.11.135/admin 下面只有个admin.php,并且打开什么也没有。
2022-12-24 22:46:38
509
2
原创 Dr4g0n-b4ll靶机总结
自己做了一遍做出来了,参考的是网上的文章这个题将隐藏的信息藏在了图片里面因此需要用到stegseek工具还考察了ssh利用密钥的登录后面的提权跟着做也做出来了虽然说是考虑suid提权,但是环境变量那里还是没理解但是完全按照做也是做出来了原文:https://blog.csdn.net/m0_64122957/article/details/124234706
2022-12-24 22:38:24
135
原创 Ragnar-lothbrok靶机总结
我自己做了一遍,但是依靠网上的比较多这个算是比较简单的但是依赖一些工具dirb目录扫描wppscan的密码的暴力破解hydra 对ftp的密码的暴力破解join工具对root密码的破解原文:https://blog.csdn.net/weixin_39368364/article/details/121128402
2022-12-24 22:32:23
186
原创 37_struts2
Struts2-Scan-master所带的Struts2Scan.py脚本可以扫描漏洞类型。这里有很多其它的主要的类在这三个jar包里面,需要如下操作去打开,才可以查看。s2-001 利用ongl 递归式的去除%{} 并最终解析java表达式。Struts2-Scan-master扫描工具,自带struts2环境。由于windows的搭建有问题,所以用kali的docker搭建。struts2 往往都会以.action作为结尾。使用ognl类下的findvalue方法。
2022-12-23 23:37:12
518
原创 35_fastjson
通过本地的8888端口开启的ldap服务器,来间接访问kali上8789端口存放的class文件,class文件内容是我们写的弹出计算器,通过写好的java文件编译成class文件,最后在idea反序列化运行代码的时候触发。windows通过访问本地的8888端口,可以访问到kali的8789端口下的class文件。fastjson 相关漏洞 基本都是利用反序列化会自动触发特定类下的成员属性的set方法。setname方法这里存放我们的java命令执行的代码,弹出计算器。alibaba 旗下的开源库。
2022-12-23 22:34:00
127
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人