- 博客(68)
- 收藏
- 关注
RSS订阅原创 windows权限维持
windows权限维持一、添加影子账户二.nc自启动(需要一个nc程序)三、msf权限维持四、powshell权限维持一、添加影子账户1.首先常见一个影子账户(隐蔽的)net user chao1$ passwd /add 加入用户管理员组net localgroup administrators chao1$ /add 2.打开注册表编辑器regedt32打开HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users键值,然后找到admin对应的类型
2021-02-25 16:25:40
1162
原创 Linux提权
Linux提权1.脏牛漏洞提权2.sudo提权-- CVE-2019-142873.Linux配置错误提权4.内核2.6本地提权5.suid提权1.脏牛漏洞提权漏洞范围:Linux内核 >= 2.6.22(2007年发行,到2016年10月18日才修复)exp:https://github.com/gbonacini/CVE-2016-5195https://github.com/FireFart/dirtycow实验环境是在bee-bug靶场中进行首先我们进入这个bee-bug靶场然
2021-02-25 15:41:16
720
1
原创 Linux权限维持
Linux权限维持一.一句话添加用户和密码(第一种最基础,也最可能被利用)创建一个用户名chaosec,密码为123456的普通用户useradd -p `openssl passwd -1 -salt 'salt' 123456` chao1useradd -p方法 `` 是用来存放可执行的系统命令,“$()”也可以存放命令执行语句useradd -p "$(openssl passwd -1 123456)" chao2chpasswd方法useradd chao4;echo 'cha
2021-01-31 17:33:04
1362
原创 前渗透总结---信息收集
信息收集总结信息收集信息收集总结工具:线下工具:线上工具:服务器内容:1.真实ip:2.开放端口:3.对应的应用程序4.版本信息5.防火墙(软/硬)waf类型6.操作系统-->版本信息:网站内容:中间件:常见数据库:常见cms资产收集目标资产工具:线下工具:大型:Nmap/Appscan/AWVS/Nessus/Openvas/BP/Xray/Goby/小型:whois/御剑(怀念初恋)/北极熊/layer/工具详解,我们后面整理线上工具:1.站长之家:https://tool.chi
2021-01-31 15:21:59
756
原创 dc2靶机--暴力破解篇
要准备一台kali一台dc2的靶机 靶机下载地址:https目录一、信息收集1.主机发现2.端口扫描3.访问ip地址二、密码爆破暴力破解1.wpscan2.hydra3.brup三、目录爆破四、提权切换用户提权一、信息收集1.主机发现nmap -sn 192.168.77.0/242.端口扫描 nmap -A -p- 192.168.77.133 (扫描全部端口)发现开放了80(apache)端口和7744(ssh)端口3.访问ip地址发现访问失败我在网上看到的教程需要把h
2021-01-16 17:50:48
607
原创 vulnstack1--红队靶机
文章目录一、环境搭建一、前渗透的阶段首先信息收集getshell尝试内网信息收集二、后渗透阶段(一)msf和cs联动内网信息收集三、攻击域(内网渗透)(一)提权(二)横向移动攻击域控一、环境搭建搭建靶机环境是(要求这几个内网互ping要通)一台链接外网的域成员网站机 win 7+phpstudy一台域控主服务器 win server 08一台域控成员 server 03win 7 有两个网卡(win7中的phpstudy也得开启)一个仅主机(必须和其他两个域控都选择第一个网卡为仅主.
2021-01-15 10:40:08
3618
3
原创 php反序列化漏洞复现
主干函数serialize() //序列化函数unserialize() //反序列化函数1.定义:将对象的状态信息转换为可以存储或传输形式的过程(字符串)。将字符传拆分成字符进行传输序列化的目的是方便数据的传输和存储2.将拆开的字符拼装成一个完整的序列化一些字符的含义a – array 数组b – boolean 布尔型 d – double 双精度型 i – integer 整型o – common object 一般对象 r – reference s – str
2021-01-06 17:12:01
577
1
原创 iis-put漏洞复现
首先准备window server 2003r2 +iis6.0然后搭建一个网站(需要启用webDAR)一、搭建网站初始页面选择存放路径权限给的大一点添加一个可以解析的asp文档网站添加一个erverone权限二、漏洞扫描()http://192.168.0.178:80|Microsoft-IIS/6.0|http://192.168.0.178/20213705113750.txt|webdva漏洞 来源模式一咱们到靶机中查看发现网站根目录下一个文件然后结合另一个工具进行配合攻击
2021-01-05 17:53:04
1461
4
原创 openssl 1.0.1a---心脏滴血漏洞复现
心脏滴血漏洞复现首先用shadan进行搜索主机搜索格式为openssl 1.0.1a然后随便找一个请求为200的主机进行漏扫一、使用专门的工具进行扫描219.117.252.132发现这个主机没有可以利用的我们需要再换一个149.202.69.214发现可以有一个可以利用的二、使用nmap工具进行扫描nmap -sV -p 443 149.202.69.214 --script=ssl-heartbleed.nse 发现下面给爆出了漏洞编号漏洞发现完成之后,我们就该利用了打开
2021-01-05 17:49:00
1505
原创 csrf漏洞(pikachu靶场)
1.基于get型修改信息,抓个包,然后进行构造url链接payload咱们将地址改成eee在浏览器中验证然后必须是用户登录状态,才能进行http://127.0.0.1:8086/pikachu/vul/csrf/csrfget/csrf_get_edit.php?sex=girl&phonenum=18656565545&add=eee&email=lili%40pikachu.com&submit=submit 发现修改成功我们也可以将这个链接生成一个短
2020-12-26 12:00:12
940
1
原创 xss-labs11-20关
第十一关(referer注入)源码分析第一行的php的函数,服务器和执行环境信息,他里面给清楚了,就是接受referer信息第二行替换掉了<>标签,我们就应该清楚要进行时间创造,不能进行标签注入了第三行是将接受的第一个参数进行了html实体转换第四行就是接受referer信息信息我们结合第十关的思想进行注入验证那结合第10关的思想还真过去了payload为"test" onclick="alert(1)"第二种方法在bp中抓包构造referer的payload进行转发 (
2020-12-25 20:32:12
492
原创 xss-labs1-10关
第一关第一关超级简单直接插入常规表单http://127.0.0.1:8086/xss/level1.php?name=<script>alert("xss")</script>第二关(html实体转换过滤)源码分析运用了htmlspecialchars函数,htmlspecialchars — 将特殊字符转换为 HTML 实体,本函数会返回字符转义后的表示。运用此函数的意思就是将http://127.0.0.1:8086/xss/level2.php?keyword
2020-12-25 20:24:28
243
原创 upload-labs18关
漏洞介绍条件竞争漏洞是一种服务器端的漏洞,是由于开发者设计应用程序并发处理时操作逻辑不合理而造成。当应用面临高并发的请求时未能同步好所有请求,导致请求与请求之间产生等待时出现逻辑缺陷。该漏洞一般出现在与数据库系统频繁交互的位置,例如金额同步、支付等较敏感操作处。另外条件竞争漏洞也会出现在其他位置,例如文件的操作处理等。首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件,就删掉,典型的“引狼入室”。第十八关(条件竞争)源码分析首先准备一个创建shell的php<?phpfputs
2020-12-25 19:46:30
2343
原创 upload-labs17关
第十七关(二次渲染)源码分析imagecreatefromjpeg — 由文件或 URL 创建一个新图象。然后将第一个我们写入的一句话木马给转码掉了,我们找到渲染的分割线,在分割线之前来进行写入一句话木马首先制造图片码,gif的后缀制作完成之后在上传上传成功之后,再下载下来查看发现咱们的码没有了要找渲染的分隔点从这里可以看出,这里开始有变化,咱们看看然后上传之后在下载然后下载,发现一句话木马可以了如果复制不可以的话,我们可以手敲一句话木马然后我们再利用文件包含漏洞进行解析http
2020-12-25 19:42:46
1282
原创 upload-labs11-16关
第十一关(双写)源码分析他这个是直接将上边数组存在的后缀名替换为空了,所以我们可以双写上传抓包防包发现上传成功了第十二关(get型%00截断)源码分析白名单机制,但是$img_path直接拼接,因此可以利用%00截断绕过。可以使用00截断,php后空格十六进制的20改为00条件:php版本小于5.3.4 2、php.ini的magic_quotes_gpc为OFF状态知识点:这里利用的是00截断。move_uploaded_file函数的底层实现类似于C语言,遇到0x00会截断。抓包分
2020-12-25 19:39:50
412
原创 upload-labs1-10关
源码分析函数总结trim — 去除字符串首尾处的空白字符(或者其他字符)deldot — 删除变量末尾的点strrchr — 查找指定字符在字符串中的最后一次出现strtolower— 小写转换str_ireplace — str_replace() 的忽略大小写版本 ,将某个字符串替换move_uploaded_file — 将上传的文件移动到新位置第一关(修改后缀名)源码分析发现这一关设置了白名单我们可以修改类型,也可以利用解析漏洞然后 点击转发发现可以上传成功第二关(修改类
2020-12-25 19:18:32
393
原创 sqli-labs 第25关(过滤or和AND )
25关源码分析发现闭合点是的单引号将or和AND替换成了空格然后我们就来思路了,我们可以使用联合查询还有报错查询一、判断注入点二、判断列数发现很直观的把我们的or给过滤掉了我们试试双写三、构造payload?id=-1' union select 1,2,3--+1.爆库、?id=-1' union select 1,group_concat(schema_name),3 from infoorrmation_schema.schemata --+ 由于information
2020-12-25 17:50:05
1628
2
原创 sqli-labs第23关注入字符做了正则表达式的过滤(二次注入)
第二十三关sqlmap方法python sqlmap.py -u "http://127.0.0.1:8086/sqli/Less-23/?id=1" --prefix "'" --suffix ";%00" --technique U --dbs //就是简单加了个闭合和注释一、源码分析发现将#和–都进行了过滤替换,替换成了空格咱们再来看看闭合点闭合点是一个简单的单引号这样就很简单了然后我们可以将注释换成单引号来进行注释二、判断注入点我用一个特殊的字符进行替换成注释符 ;%00==#和–
2020-12-25 17:37:52
270
原创 sqli-labs第22关基于cookie报错注入(base64转码)
第22关基于cookie报错注入sqlmap 方法python2 sqlmap.py -r 1.txt --cookie uname=YWRtaW4= --tech E --dbms mysql --tamper base64encode.py --batch -v 0手注一、判断注入点通过源码我们可以发现,闭合点是双引号然后我们基于21关进行构造语句一、猜注入点:admin " and extractvalue(1,concat(0x7e,( 1),0x7e))# YWRtaW4gI
2020-12-25 17:31:11
470
原创 sqli-labs21关基于cookie报错注入(base64转码)
第21关基于cookie报错注入其实测试语句和20关差不多,但是需要转码,转成base64再带入到cookie中,然后(base64在bp中有模块)一、判断注入点没转码之前' )and extractvalue(1,concat(0x7e,( 1),0x7e))#JyApYW5kIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLCggMSksMHg3ZSkpIyA=(这里的思想是先不用闭合点,进行转码,一点一点试出来,然后报错出1的话,就是闭合点)二、爆库' )a
2020-12-25 17:27:37
539
1
原创 sqli-labs20关基于post的cookie报错注入
知识点CookieCookie指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据Cookie,有时候也用复数形式Cookies,这种是指某些网站为了辨别用户身份,简单来说就是当您输入一次网站的用户名和密码之后,下一次就可以不需要输入。服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知网站服务器两个请求是否来自同一浏览器,如保持用户的登录状态。$_COOKIE函数 作用:读取cookie信息
2020-12-18 21:05:04
316
1
原创 sqli-lab19关基于post的referer报错注入
知识点referer:http请求头里,有一个referer首部,这个首部可以告知服务端,当前的请求的来源。就是很直观的说,访问了一个页面,你来自哪里extractvalue()函数extractvalue() 函数是对XML文档进行查询的函数其实就是相当于HTML文件中用 标签查找元素一样语法:extractvalue(目标xml文档,xml路径)update是更新extractvalue是查询第十九关sqlmap方法:这里我们还是使用SQLMAP进行注入,将登录请求信息保存到1.
2020-12-18 19:47:42
424
1
原创 sqli-lab靶场18关基于post的头部信息报错注入
知识点$_SERVER['HTTP_USER_AGENT']。这是用来检查浏览页面的访问者在用什么浏览器. 其中需要检查用户的 agent 字符串,它是浏览器发送的 HTTP 请求的一部分。 如:var_dump($_SERVER['HTTP_USER_AGENT']); 输出:string(65) "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20100101 Fire通过查看源码看到,是一个insert的语句,我们通过构造updatexml
2020-12-18 19:43:42
610
1
原创 sqli-labs靶场17关(基于post的更新查询报错注入)
知识点updatexml()函数updatexml()函数与extractvalue()类似,是更新xml文档的函数。语法updatexml(目标xml文档,xml路径,更新的内容)updatexml(XML_document,XPath_string,new_value);第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc第二个参数:Xpath_String(Xpath格式的字符串)第三个参数:new_value,String格式,替换查找到的符合条
2020-12-18 19:38:14
715
1
原创 sqli-labs靶场15-16关(基于POST时间盲注)
第十五关sqlmap方法python2 sqlmap.py -u "http://127.0.0.1/sqlilabs/Less-15/?id=1" --data "uname=admin&passwd=1&submit=Submit" --current-db --threads 8 --technique T基于时间的盲注源码分析闭合字符是单引号一、判断注入点uname=admin' and sleep(4) #&passwd=&submit=Submit
2020-12-12 23:57:49
848
4
原创 sqli-labs靶场13-14关(基于POST双查询)
sqlmap方法python2 sqlmap.py -u http://127.0.0.1/sqlilabs/Less-13/index.php?id=1 --data "uname=')or('1')=('1 &passwd=')or('1')=('1&submit=Submit" --dbs --threads 10 --batch --technique EBS第十三关源码分析可以看到闭合字符为(‘’)再查看输出的语句,可以判断出如果语句报错会输出一些东西,所以这一关是基于
2020-12-12 23:52:35
617
原创 sqli-labs靶场11-12关(基于POST联合查询)
1:GET2:POST3:Head4:Put5:Delete6:Connect7:Options8:Trace那么这里是典型的POST注入,那么注入点就是在POST数据中,而POST请求往往代表着用户向服务器提交了大量的数据请求,行为有包括文件上传,表单提交,按钮时间,这里分析是用户的登陆动作,那么肯定要对输入的用户名和密码带入数据库进行查询,接下来我们就把提交的用户名和密码直接替换成我们的测试语句;1:这里我们可以使用burpsuite和hackbar都可以完成测试,这里我们选择使用Bu
2020-12-12 23:46:48
589
原创 sqli-labs靶场9-10关(时间盲注)
知识点函数if()函数 条件判断函数if(a,b,c) if判断句,a为条件,b、c为执行语句;如果a为真就执行b,a为假就执行c;sleep()函数 网页延迟n秒后,输出结果left()函数 从左边数,取几个数例如:left(abcdef,3) 取3位左边的数,就是abc第九关源码分析:开搞一、判断注入点(需要用到sleep函数)?id=1')and (sleep(4)) --+ (耗时2s,这是正常的页面,没有闭合的页面)?id=1'an
2020-12-12 23:34:50
1128
原创 sqli-labs靶场8关(布尔盲注)
知识点函数ascii()函数 将某个字符串转化为ascii值(webRobot转换工具)ord()函数 将某个字符串转化为ascii值length()函数 返回字段/结果/函数的长度,length(column_name)length(database()) 即返回当前数据库名长度substr()函数 截取字符段长度例如:substr(abcd,1,1) 从第一位开始(也就是从a开始)截取一个字符,就是a substr(abcd,2
2020-12-12 23:29:41
2229
1
原创 sqli-labs靶场7关(知道根目录的注入)
知识点首先要掌握一下相关的函数和知识点函数:load_file()函数 是MySQL读取本地文件的函数(读取)into outfile()函数 是用来导出文件的(写入)@@basedir函数 查询当前路径@@datadir函数 查询数据库安装路径1.load_file()函数用法2.into outfile()函数用法查看一下3.查询当前路径:select @@basedir;4.查询当前MySQL路径:select @@datadir;5.解决写入权限问题在
2020-12-12 23:20:48
805
3
原创 sqli-labs靶场5-6关(双查询注入)
知识点双查询注入的知识点原理:双注入查询需要联合着MYSQL的BUG报错来进行报错注入BUG:当在一个聚合函数,比如count函数后面如果使用分组语句就会把查询的一部分一错误形式显示出来;双查询在命令行中直观显示出来select count(*),concat((select user()),(floor(rand() * 2))) as a from information_schema.tables group by a;rand()函数 //随机函数floor(a)
2020-12-12 23:14:25
366
2
原创 sqli-labs靶场1-4关
第一关判断注入点:?id=1 回显正常?id=1’ 回显错误可以判断出是基于单引号注入然后and判断一下?id=1’ and 1=1 回显正常?id=1’ and 1=2 回显错误证明存在注入漏洞则or 相反?id=1’ or 1=2 --+ (回显正常)?id=1’ or 1=1 --+ (回显错误,证明存在注入漏洞)//(暂时没验证)然后我们判断一下列数?id=1’ order by 3 --+(没报错)?id=1’ order by 4 --+ (报错)证明列数
2020-12-12 23:01:32
252
原创 通过phpMyadmin后台获取shell(getshell)
通过phpMyadmin后台获取shell前提:1.要知道靶机的mysql用户名和密码2.能成功登录到靶机phpmyadmin中先登入对方phpmyadmin然后找到执行sql语句的框架1.开启日志set global general_log='on'2.指定日志写入的文件,就是一句话木马写入的路径set global general_log_file ="C:/php/PHPTutorial/WWW/she.php"注意:一定注意路径的斜杠一定是/不是复制的路径查看靶机根目录,发
2020-12-07 19:08:00
2329
原创 解决MySQL远程连接问题
解决mysql远程连接问题首先打开MySQL数据库登录mysql -uroot -ptoor 先进入mysql数据库use mysql;select host,user,password from user;然后查看当前数据库用户的所有信息了解Host字段含义查出的用户信息列表中,第一列host表示用户登录的范围:localhost表示本地登录;如果是某个IP,则表示只能在该IP电脑上登录;如果“%”,表示可在任意电脑上登录。update user set host = '%' wh
2020-12-06 17:34:37
136
原创 centos7一键搭建LNMP
首先准备一台centos7桥接模式ip地址为192.168.1.166wget http://soft.vpser.net/lnmp/lnmp1.6.tar.gz -cO lnmp1.6.tar.gz && tar zxf lnmp1.6.tar.gz && cd lnmp1.6 && ./install.sh lnmp1.选择序号代表mysql版本2.选择序号,配置php版本3.这个是选择储存地址直接就可以回车,选择默认就好
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人