- 博客(314)
- 收藏
- 关注
RSS订阅原创 vulhub——Aria2、bash、catic
在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在有权限的情况下,我们可以使用RPC接口来操作aria2来下载文件,其中safe.cgi是最新版bash生成的页面,victim.cgi是bash4.3生成的页面。
2024-05-23 11:53:29
438
原创 Vulhub——CAS 4.1、AppWeb、apisix
他们没有经过droplet框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。他使用C/C++来编写,能够运行在几乎先进所有流行的操作系统上。Apache APISIX是一个动态、实时、高性能API网关,而Apache APISIX Dashboard是一个配套的前端面板。,对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),appweb将因为一个逻辑错误导致直接认证成功,并返回session。,可见需要用户名和密码。
2024-05-22 17:04:08
695
原创 Vulhub——Airflow
Apache Airflow是一款开源的,分布式任务调度框架。,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令。成功绕过登录检测,但是此时cookie值发生了改变,就是不是我们生成的那个cookie了。中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。来执行任意命令,参数为命令执行中所需要的数组。这个小脚本来执行命令。
2024-05-22 15:57:48
239
原创 Vulhub——adminer
Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。Adminer是一个PHP编写的开源数据库管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等数据库。在Adminer登录页面中填写恶意服务地址和用户名。,即可查看到Adminer的登录页面。
2024-05-22 14:33:16
261
原创 vulhub——ActiveMQ漏洞
所以,只需要写入一个文件,然后使用MOVE请求将其移动到任意位置,造成任意文件写入漏洞。允许具有代理网络访问权限的远程攻击者“通过操纵OpenWire协议中的序列化类类型来运行任意shell命令,从而使代理实例化类路径上的任何类”,问题的根本原因是不安全的反序列化。默认的ActiveMQ账号密码均为admin,首先访问。在没有密码的情况下,我们可以诱导管理员访问我们的链接以触发,或者伪装成其他合法服务需要的消息,等待客户端访问的时候触发。:程序没有限制可在代理中序列化的类,远程攻击者可借助特制的序列化的。
2024-05-22 11:10:41
744
原创 域渗透之PTT横向攻击
这个补丁,就可以用MS14-068进行横向移动。查看当前用户的SID,SID具有唯一性。直接不进入mimikatz运行。有票据后,就可以直接连服务端了。
2024-05-20 14:30:50
179
原创 域渗透之PTH横向攻击
命令行也可以连接RDP,上述指令可能连不成功。直接连接肯定不行,因为没有凭据。输入IP就行,不用输入密码。前提:RDP明文连接过。
2024-05-20 10:58:11
160
原创 域渗透之kerberos认证讲解
用微软账号登录计算机,微软账密码存在微软服务器上。本地账号则存在SAM数据库中。win 11后强制使用微软账户登录。windows 2003以后的系统加入域,默认使用kerberos协议进行认证。本地用户使用本地登录流程进行认证;域用户走网络登录流程进行认证。协议主要用于windows机器之间的文件共享、打印机共享。NTLM V1和NTLM V2最显著的区别就是。与加密算法不同,共同点就是加密的原料都是。FTP协议密码是明文传输。linux下文件共享。UNC用于共享文件。
2024-05-20 10:03:31
417
原创 域渗透之smb进行明文或hash传递
打了补丁,关了明文密码显示之后,更改当前cmd使用的编码格式。准报错,不支持hash。显示乱码的话,需要使用。就抓不到明文密码了。
2024-05-17 10:39:26
181
原创 域渗透之明文传递&hash传递
在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里提供一条思路:在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。mimikaze抓取windows用户名、密码。建立IPC常见的错误代码。
2024-05-16 16:36:26
360
原创 域信息收集
不同,但是有IP地址,说明机器存活,但是可能有防火墙,防火墙反正ping。加入域后,域内机器可以通过域名(短域名可以,完整域名也可以)进行通信。是基于powershell的,win7以后才能用。一定要以管理员身份运行。显示出来的域名,就是域控的域名,可以直接。收集版本、补丁、服务、任务、防护等。,创建的文件中都会有相应的属性。一般DNS服务是安装在域控上的。每个用户登录成功,都会有一个。,需要root权限。,可以收集Xshell凭据。是用来获取系统密码的,CS插件:Fscan。
2024-05-16 11:31:44
409
原创 搭建域环境
windows server 2008是基于windows vista开发的,windows server 2008 r2是基于Win 7开发的。首先用本地账号登录新的机器,然后更改其DNS服务器地址为域控IP。这里设置的是域管理员的密码,和本机管理员密码不一样。(如果当前域控不是静态IP,安装过程将会报错)(域环境下,DNS服务是安装在域控上的。查看当前域环境中的用户,域用户都会存放在。或者在命令行中安装域服务,命令。,再输入域管理员用户名和密码。关于局域网下的网关IP,就是创建一个域环境。
2024-05-15 11:54:29
307
原创 Grafana(CVE-2021-43798)、Apache Druid 代码执行漏洞
Apache Druid是一个开源的分布式数据存储,它包括执行嵌入在各种类型请求中的用户提供的JavaScript代码的能力。Grafana是一个系统监测工具。
2024-05-14 16:26:00
168
原创 Gitlab、Redis、Nacos、Apache Shiro、Gitlab、weblogic相关漏洞
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为。Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的。点击我们刚刚部署的war包,然后启动即可获取反弹shell。,用户名为weblogic,密码为Oracle@123。,用户名为root,密码为vulhub123456。,实现任意文件下载。
2024-05-14 15:56:42
795
原创 geoserver SQL注入、Think PHP5 SQL注入、spring命令注入
介绍:是一个开源的地理信息系统(GIS)服务器,用于发布、共享和管理地理空间数据和地图服务。它是一个基于Java的应用程序。访问payload:是php开发框架。payload1:thinkphp_gui_tools也是可以检测出该SQL注入漏洞的。spring是一个java框架~直接访问是一个错误页面。直接发送下面的数据包:
2024-05-11 17:26:00
318
原创 weblogic(CVE-2017-10271、CVE-2020-14882)、Jenkins(CVE-2018-1000861)、JBoss 5.x/6.x 反序列化漏洞
简介:的组件对外提供服务,其中使用了来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。kali开启4444端口:docker部署好环境后,直接访问,会出现404界面,表示weblogic已成功部署。直接发送下面的数据包:jboss是一款java中间件,docker部署成功后,访问编写反弹shell编码网址:runtime-exec序列化数据生成简要介绍:Jenkins可以被认为是一个Java中间件,它是用Java编写的开源软件,使用Java Servlet容
2024-05-11 14:33:52
314
2
原创 fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
2024-05-11 10:32:05
733
1
原创 Vulstack红队评估(一)
NTLM Hash是微软为了提高安全性的同时保证兼容性而设计的散列加密算法,NTLM Hash是基于MD4加密算法进行加密的。个人版从以后,服务器版从以后,windows操作系统的认证方式均为NTLM Hash。windows操作系统通常使用两种方法对用户的明文密码进行加密处理,一部分为LM-Hash,另一部分为NTLM-Hash。为了解决LM加密和身份验证方案中固有的安全弱点,微软于1993年在Windows NT 3.1中引入NTLM协议。
2024-05-09 17:25:33
941
原创 ctfshow——SSRF
(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
2024-05-02 17:16:24
912
1
原创 ctfshow——JWT
抓个包,可以看到cookie部分使用JWT(Json Web Token)。先用base64将JWT进行解密,修改为admin,再用base64进行加密。再访问这里使用了HS256加密方式,方法:alg字段改为,sub改为,对每一段分别用base64进行加密,然后用拼接起来,注意最后一个点不能少。都可以用jwt-cracker进行爆破,获取密匙。或者用脚本跑。web 349——非对称加密算法RS256私钥泄漏根据提示,大致意思就是访问,服务器会使用RS256算法私钥加密一段字符串作为cookie
2024-05-01 18:19:08
793
原创 ctfshow——SQL注入
前者恒为真,如果and前面的语句有内容,则正常输出;后者恒为假,如果and前面的语句有内容,也不会输出。故,可以通过他们俩来判断SQL注入类型。查看页面源代码,发现一个js文件。访问该文件,会发现一个查询接口。一种方法是抓取数据包,让sqlmap跑数据包;不知道为啥这里%0c没有被过滤。的时候,需要使前面一条语句错误。伪造referer。这一关开始使用sqlmap。进行报错注入的时候,需要对。(+的url编码)替换。指定 sqlmap 以。参数指定要测试的网址,
2024-04-30 22:41:15
1190
2
原创 ctfshow——XSS
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
2024-04-24 10:36:07
1123
原创 linux提权——提权大赏
我的理解是:靶机的shell标准输入、输出、错误输出都与127.0.0.1:4444的输出建立了TCP连接,也就是说靶机shell所有的输出信息都会显示到监听127.0.0.1:4444的shell中,唯独没有解决从127.0.0.1:4444向靶机发送命令。文件中,每个用户的密码都是用一个特定的哈希函数加密的。查看当前系统的自动任务后,一方面可以定位定时脚本的位置,然后将shell写到定时脚本中,实现提权;时本来就是root权限,预先加载共享库shell.so时,也是以root用户的权限去加载的。
2024-04-20 18:59:48
753
原创 linux提权——Mysql UDF提权
UDF:user define fucntion,在mysql中,允许用户创建自定义函数,这些函数可以在SQL查询语句中使用,通过使用UDF,用户可以对数据库执行自定义操作。:生成位置无关代码,PIC(Position independent code),这种代码可以在内存中的任何位置执行,简单查看该EXP,在利用过程中,需要登陆到mysql数据库,新建表,在表中插入编译好的共享库,gcc编译的时候,不指定相关参数,直接接源文件,可能会有各种各样的报错。:仅仅编译源代码,不进行链接,通常生成.o文件。
2024-04-12 22:58:35
373
原创 渗透知识贴
Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数时攻击者可控的,并且参数带入数据库查询,攻击者可以通关构造不同的SQL语句来实现对数据库的任意操作。说明php开启魔术引号,如果输入的数据有单引号(’)、双引号(”)、反斜线(\)与 NULL(NULL 字符)等字符都会被加上反斜线。A网页设置的 Cookie,B网页不能打开,除非这两个网页同源。特点:时间型盲注页面没有明显的回显,只能根据页面刷新时间的长短来去判断构造语句是否正确。场景:应用于无数据回显,无报错,布尔型盲注失效后。
2024-04-08 19:28:47
635
原创 vulhub打靶记录——Corrosion2
nmap端口扫描。发现靶机开放的服务;对web服务进行目录扫描,发现8080端口的web服务存在备份文件backup.zip;使用john对zip文件进行密码破解,查看tomcat-users.xml文件,获得密码,再登录tomcat后台;msfvenom生成war包的后门文件,通过tomcat上传WAR;监听端口,访问后门,获取webshell;由之前获取的密码登录靶机,成功登录jaye用户;寻找SUID程序,由look程序,查看/etc/shadow,破解randy用户密码。
2024-04-07 22:20:09
933
原创 78、WAF攻防——菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
菜刀——profier——burp:实现将菜刀的流量转发到burp上。:大致加密密文跟base64差不多,只是base64会出现。
2024-04-07 14:41:28
303
原创 76、WAF攻防——信息收集&识别&被动探针&代理池&伪指纹&白名单
payload指纹,以SQL注入,就是检测url中有没有sleep函数这种特征。WAF(Web Application Firewall)web应用防火墙。:可以用搜索引擎的UA头,如360爬虫UA头。信息搜集,WAF拦截主要基于。
2024-04-07 10:45:06
333
原创 77、WAF攻防——权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
也可以将字符串当作php代码执行漏洞。使用加密算法对php后门进行加密。
2024-04-06 15:55:19
619
1
原创 62、服务攻防——框架安全&CVE复现&Spring&Struts&Laravel&Thinkphp
【代码】62、服务攻防——框架安全&CVE复现&Spring&Struts&Laravel&Thinkphp。
2024-04-04 11:06:13
379
1
原创 vulhub打靶记录——healthcare
端口扫描发现开放的端口;目录扫描发现web网站的上下文,但是需要合适的字典;发现openemr有漏洞,找到exp直接获取数据库密码;寻找SUID程序strings打印可打印字符,发现执行ifconfig,更改系统环境变量,执行ifconfig时优先执行伪造的ifconfig。
2024-04-02 17:26:59
1136
2
原创 基础知识系列
只允许root用户可读可写,root组的用户可读,其他用户不可读不可写不可执行。只允许root用户可读可写,shadow用户组的用户可读。允许其他用户读写,可直接该root用户的密码。中也是可以存放密码的,而且系统默认先读取。linux中,用户名存放在。就是这个用户对应的密码位。
2024-04-01 20:30:53
288
原创 122、内网安全——域信息收集&应用网络凭据&CS插件&Adfind&BloodHound
假设有1000台计算机,运维人员需要为每一台计算机进行软件的安装、环境部署,实际上运维人员不可能亲自对每一台计算机进行软件的安装和环境部署。实际,将所有1000台计算机放入一个域中,域内有一个域控,域控负责下发任务,统一管理。:通过域成员主机,定位出域控制器IP及管理员账号,利用域成员主机作为跳板,扩大渗透范围,利用域管理员可以登录域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从域成员主机中dump出域管理员密码,进而拿下域控制器、渗透整个内网。域控不想让你随便解析IP,统一IP解析。
2024-03-31 11:15:45
937
原创 vulhub打靶记录——driftingbox
端口扫描,获取主机开放22、80端口;对80端口,目录扫描;查看网站源代码,发现base64编码的字符串,解码得到一个路径;访问解码得到的路径,获得经过0ok编码的字符串,解码得到:主机ssh部分登录密码;hydra爆破ssh服务,成功登录;pspy64脚本实时监控系统进程,发现按规律执行;emergency中写入反弹shell,系统自动执行,获取root shell。
2024-03-30 18:28:08
978
原创 61、服务攻防——中间件安全&CVE复现&K8s&Docker&Jetty&Websphere
docker逃逸:1、由内核漏洞引起;2、由Docker软件设计引起;3、由配置不当引起。k8s:简单来说,跟docker一样,是个容器系统。常见漏洞:未授权访问、提权漏洞。
2024-03-29 11:11:01
415
原创 164、应急响应——挖矿脚本检测指南&样本定性&文件清楚&入口修复
这台服务器开放了web服务,直接用河马扫描是否存在后门,对比挖矿脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。被植入挖矿脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。删除进行,下面这个图就是竞争型挖矿脚本,它会杀死其他挖矿病毒的进程。挖矿脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。挖矿的前提是,黑客已经取得了你电脑的权限,如何取得是重点。判断被植入挖矿脚本,最重要的是看CPU和GPU占用情况。记录挖矿脚本存在的时间。
2024-03-27 19:22:28
598
原创 vulhub打靶记录——cybox
的话,是解析不到IP的,我们在host文件中绑定域名和IP,再访问该域名就可以找到这个IP,因为本机host文件是先于DNS服务器的。来读取css文件,加上这里可以传参,可以试试有没有文件包含漏洞~ 但是,需要注意的是,访问该页面需要admin用户的cookie。根据之前的信息,1.4.22版本的邮件服务器有远程代码执行漏洞,现在我们有可以登录的用户名和密码了,去试试~,搜索了一下,只发现一个远程代码执行的漏洞,但是前提是有一个可登录的用户名和密码,所以也没啥用。,可以注册一个用户,然后也可以注册成功。
2024-03-26 15:28:46
786
原创 163、应急响应——后门攻击检测指南&Rootkit&内存马&权限维持
后门查杀主要查杀:web后门ServletFilterListenerphp内存马,先杀进程,再删后门就行了。主机后门权限维持后门。
2024-03-25 14:35:41
882
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人