- 博客(70)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 Kerberos协议分析
Kerberos需要三方的共同参与才能完成一次认证流程。目前主流使用的Kerberos版本为2005年RFC4120(https://www.rfc-editor.org/rfc/rfc4120.html)标准定义的KerberosV5版本,Windows、Linux和Mac OS均支持Kerberos协议。
2023-10-19 12:20:38
1034
原创 NTLM协议分析
LM(LAN Manager)身份认证是微软推出的一个身份认证协议,其使用的加密算法是LM Hash加密算法。LM Hash本质是DES加密,尽管LM Hash较容易被破解,但为了保证系统的兼容性,Windows只是将LM Hash禁用了(从Windwos Vista和Windows Server 2008开始,Windows默认禁用了LM Hash)。LM Hash明文密码被限定在14位以内,也就是说,如果要停止使用LM Hash,将用户的密码设置为14位以上即可。如果LM Hash。
2023-10-18 23:45:55
539
原创 流量加密小结
在红队进行渗透测试的后续渗透阶段为了扩大战果,往往需要进行横行渗透,所以需要拿到shell建立与目标之间的通信,当目标主机网络环境存在网络防御检测系统时(IDS、IPS等),如果攻击机与目标间通信的流量是明文传输,那么网络防御检测系统会检测出通信内容中带有的攻击特征,并对当前通信进行告警和阻止
2023-09-17 13:52:41
335
原创 cobaltstrike流量特征
cobaltstrike是红队攻防中常用的工具,用以连接目标和cobaltstrike服务器,方便红队进一步对目标渗透,在双方通信过程中cobaltstrike流量具有很明显的特征
2023-09-17 13:33:48
661
原创 代理转发与隧道应用
frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。
2023-05-07 16:50:25
3050
原创 docker集成lamp—tp5反序列化漏洞
在本地将thinkphp5.0.24文件放到对应目录即可,本地访问:http://127.0.0.1:8080/Thinkphpv5.0.24/public/?为了方便测试,我将poc也放上去:http://127.0.0.1:8080/Thinkphpv5.0.24/public/poc.php。注册一个docker账号可以使用其维护的官方仓库:https://hub.docker.com/打开:/etc/php/7.4/fpm/pool.d/www.conf。
2023-04-23 23:51:00
328
原创 docker基本使用
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。DockerClient客户端Docker Daemon守护进程Docker Image镜像DockerContainer容器 [2]
2023-04-23 23:42:03
290
原创 redis攻防总结
Redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。在此基础上,redis支持各种不同方式的排序。与memcached一样,为了保证效率,数据都是缓存在内存中(基于内存存储)。
2023-04-21 10:00:29
281
原创 ThinkPHP 5.0.24反序列化分析
调试环境:phpstudy+phpstorm+xdebugphp版本:php7.3.4nts源码:Thinkphp5.0.24注意:源码下载地址:https://www.thinkphp.cn/donate/download/id/1279.html三、构建利用点控制器文件(Controller)ThinkPHP的控制器是一个类,接收用户的输入并调用模型和视图去完成用户的需求,控制器层由核心控制器和业务控制器组成,核心控制器由系统内部的App类完成,负责应用(包括模块、控制器和操作)的调度控制,包
2023-04-12 23:58:48
1221
原创 php调试环境搭建 phpstudy + phpstorm +xdebug
2、在PhpStorm里,开启debug监听(start listpning for PHP debug,像电话一样的按钮)。点击电话按钮,开启debug端口监听。如果原来已开启,点击两下,关闭再重新开启,使新的端口配置生效。分别下载并安装phpstoorm、phpstudy两个软件,浏览器安装xdebug插件。在phpstorm(记得配好解释器,使用phpstudy中的)中运行下面代码直接打印出phpinfo信息。开启xdebug拓展后,则需要配置phpstorm和xdebug浏览器插件。
2023-04-03 12:39:13
1847
1
原创 FOFA数据采集工具
这个工具基于python实现,使用爬虫获取数据,有爬虫模式和api模式两种模式,对于有api使用权限的用户可以使用api模式这会更加高效,对于没有FOFA API使用权限的用户可以使用爬虫模式,使用爬虫模式需要提供用户自己的cookie。还可以对FOFA收集的url进行POC验证,并将采集的数据保存为文件。使用爬虫模式和多线程验证POC的时候由于程序请求频繁消耗较大UI会有轻微卡顿的情况,不会影响实际采集、验证速度。
2023-04-01 20:05:56
1875
2
原创 phpstudy_小皮面板XSS到RCE
phpStudy小皮面板用户登录日志存在存储型XSS漏洞,利用存储型XSS攻击者可以通过JS调用面板中的计划任务执行系统命令。
2023-03-23 17:28:51
660
原创 禅道V16.5SQL注入漏洞(CNVD-2022-42853)
禅道项目管理软件是一款国产的、基于LGPL协议、开源免费的项目管理软件,它集产品管理、项目管理、测试管理于一体,同时还包含了事务管理、组织管理等诸多功能,是中小型企业项目管理的首选,基于自主的PHP开发框架──ZenTaoPHP而成,第三方开发者或企业可非常方便的开发插件或者进行定制。在登录处未对用户输入的account参数内容作过滤校验,导致攻击者拼接恶意SQL语句执行,攻击者可利用漏洞获取数据库敏感信息。
2023-03-23 17:25:50
795
原创 DuomiCms x3.0前台duomiphpajax.php SQL注入漏洞审计复现
语句使用了拼接,而拼接用的变量又多数是全局变量,我们在前面的代码执行漏洞中,提到程序有注册变量的行为,这样容易造成变量覆盖。拼接在SQL语句的末尾,且没有被引号包裹。非常好利用,但是对id变量进行了类型判断,必须是数字,所以没办法直接利用。变量,该变量为全局变量,可以由用户控制,而且其位置在SQL语句最后,两边也没有引号包裹,很好利用。语句,会先经过下面的正则,这里过滤了一些特殊语法,不允许我们使用联合查询。变量在SQL语句中被引号包裹了,如果引入注释符号话,会触发。来代替,最后取第二个引号之后的内容给。
2023-03-23 17:20:35
327
原创 wuzhicms代码审计
整个cms的路由从www目录下index.php开始,首先包含/configs/web_config.php加载网站的一些基础配置,主要功能是通过包含核心框架文件coreframe下core.php实现。在coreframe/app/attachment/admin/index.php中对定义了一个my_unlink函数。这里对使用上面提到的array2sql函数对参数值进行过滤。/coreframe/app/template/admin/index.php这个文件中还有一个函数也有同样的问题。
2023-03-23 17:13:49
355
原创 seacms v9.92变量覆盖导致越权
这里参考:https://xz.aliyun.com/t/6192和https://www.freebuf.com/articles/web/210902.html 对变量覆盖实现越权操作,来学习代码审计,文章使用的是v9.92版本。,需要在请求中同时添加对应的其他三个参数,如下图所示,请求中提交如下五个参数可以覆盖session中的seaadminid、seagroupid、以及sea_ckstr(登陆需要使用到的验证码)在披露这处变量覆盖导致越权的漏洞之前,其实官方就对这里注册变量加强了安全检查。
2023-03-23 17:01:53
349
原创 bluecms_v_1.6sp1代码审计
这是一个比较古老的cms,可以说是满目疮痍,更靶场一样。上述漏洞主要是前台的。后台同样存在类似或者没有写到的漏洞。由于自己技术有限,就到这。
2023-03-23 16:51:40
908
原创 熊海cms_v1.0代码审计
取出密码与POST提交的密码进行比较验证),且将admin123用户的md5值(这里是1的md5)带进去给password参数进行验证,即可绕过控制台登录界面。将cid参数值写成XSS语句,SQL语句执行错误,将xss语句一并输出显示在页面,造成反射型XSS。使用phpstudy环境搭建,php版本要小于7(我这里使用php5.4),之后要自己新建一个数据库用于安转cms(cms不能自动新建数据库)号来表示不同的留言,对那条留言编辑要提交对应的id。后台注入挺多的,大多是未过滤造成的,这里不一一列举了。
2023-03-23 16:36:07
797
原创 【笔记】数通基础
路由:跨越从源主机到目标主机的一个互联网络来转发数据包的过程(选者路径的过程) Address Resolution Protocol ,地址解析协议。将已知的IP地址解析成MAC地址。 VTP(VLAN Trunking Protocol),是VLAN中继协议,也称为虚拟局域网干道协议。它是思科私有协议。VLAN控制广播域,不同VLAN间不能通信ICMP没有端口号,没有协议号作用:网络探测与回馈机制网络嗅探路由跟踪错误反馈(适用任何协议)
2023-03-23 15:10:40
3869
原创 seacms v10.1后台多处RCE 分析
因为插入代码要注释掉后面的语句并且闭合前面的(不会影响页面正常,隐蔽性好。seacms多处存在RCE,原因都是对传入的参数未经过滤直接写入文件中执行造成的。这是是将设置参数值写入data/admin/ip.php文件,完成设置。这里构造耀执行的代码时,需要注意闭合前面的语句和注释后面的引号。这里参数很多,有的为了避免XSS,还是有做html实体编码的。这里可以开启或关闭IP安全设置并可以指定ip,通过。并且直接传入的参数拼接写入文件,没有任何过滤。这里也是同样的原因,没有过滤就直接写入文件。
2023-03-19 14:08:10
440
原创 seacms_v6.4(海洋cms)前台RCE 分析
在common.php中对GET,POST,COOKIE等请求传入的全局变量中的键值对转换成变量,并对其中的值使用addslashes()转义预定义的特殊符号。在eval()函数中,首先要闭合前面的if语句,可以构造1)phpinfo();首先search.php入手,这个文件包含了common.php和main.class.php。参数没做严格的限制,就将其传入了模板文件中,然后使用eval()执行模板中包含。的代码,通过闭合拼接语句的方式,插入恶意代码,实现远程命令执行。在eval()函数中,
2023-03-19 14:00:59
1234
原创 【笔记】web安全基础
web安全基础前言: 自己总结的web安全基础知识,部分未写完,以后有时间会完善,希望能帮到需要的人。渗透测试一、概念 渗透测试(penetration testing|pentest)是实施安全评估(即审计)的具体手段。方法论是在制定、实施信息安全审计方案时,需要遵守的规则、惯例和过程。人们在评估网络、应用、系统或三者组合的安全状况时,不断摸索各种务实理念和成熟的做法,并总结了一套理论——渗透测试方法论。二、渗透测试类型1、黑盒测试 在进行黑盒测试时,安全审计员是在并不清楚被测单位的
2023-03-19 12:15:36
2576
原创 vulnhub靶机渗透 Tomato
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.137。需要url编码后才能执行,且蚁剑上不能执行,以前类似的环境试过,就python可以。靶机开启了21端口FTP服务、80端口Apache服务、2211端口ssh服务和8888端口nginx服务。尝试登录,被记入日志。使用了第一个,失败了。
2023-03-19 11:32:03
455
原创 vulnhub靶机渗透 theEther
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。192.168.110.131,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24。官方提供了一个提示:靶机中有一个相关的文件,在渗透过程中发挥重要作用,但是不要浪费时间试图去解密这个混淆后的文件。获取webshell。之后利用前面获得的一句话,执行命令,下载生成的木马,并且运行。
2023-03-19 11:25:16
253
原创 vulnhub靶机渗透 sick0s1.1
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。木马所在的public录入前面扫描时已经扫到,所以木马位置为http://192.168.110.132/wolfcms/试着访问http://192.168.110.132/,发现无法访问。查看开放的端口,发现3306开启,但是发现mysql版本大于5.1,无法udf提权。/test.php,使用蚁剑连接,记得挂上靶机的3128代理。
2023-03-19 11:19:20
240
原创 vulnhub靶机渗透 matrix-breakout-2-morpheus
写webshell那一段,一开始以为是扫目录把靶机扫崩溃了,后来发现靶机有防火墙。之前一直写不了,可能是这个原因。
2023-03-19 10:54:16
526
原创 vulnhub靶机渗透 Lupin-One
下载地址:https://www.vulnhub.com/entry/empire-lupinone,750/ 下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2023-03-19 10:34:47
189
原创 vulnhub靶机渗透 LazysysAdmin
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。根据内核信息,用CVE-2017-1000112提权即可,但是目标机上没有gcc,这种情况,可以本地搭建和目标机一样的环境,在本地编译好提权exp后,在目标机器上运行即可。根据内核信息,用CVE-2017-1000112提权即可,但是目标机上没有gcc,这种情况,可以本地搭建和目标机一样的环境,在本地编译好提权exp后,在目标机器上运行即可。
2023-03-19 10:07:20
197
原创 vulnhub靶机渗透 KioptrixVM3
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。192.168.110.133,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24。发现phpadmin页面,尝试admin空口令登录成功,但只能看information_schema 数据库,没什么发现。两个账户名和前面读取/etc/passwd下的ssh用户一致,可以尝试解密后登录ssh。
2023-03-18 18:14:21
714
原创 vulnhub靶机渗透 Kioptrix1.3
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。192.168.110.135,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24。使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.135。经测试登录处password参数存在SQL注入,并且爆出网站绝对路径:/var/www/
2023-03-18 17:51:34
261
原创 vulnhub靶机渗透 FRISTILEAKS: 1.3
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。冷静(fristi),这张图片就是首页的我们第二次看到再结合到上一张图片的提示,这张很有可能有提示。根据官网提供的说明,首先要将要求设置VMware虚拟机的MAC地址 08:00:27:A5:A6:76,然后开启VM。在图片中插入phpinfo和一句话木马,成功上传到 /uploads目录,根据前面的目录爆破可知上传路径。
2023-03-18 17:04:01
290
原创 vulnhub靶机渗透 DeRPnStiNK_1
发现weblog目录,进而找到网站后台,网站使用的cms是WordPress。访问该目录会自动跳转到http://derpnstink.local/weblog/ 我这里可以直接访问,如果有需要的话的绑定host。 下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。先在当前用户文件下找。在/Documents找到,derpissues.pcap,拷贝到前面连接一句话木马的蚁剑可访问的目录,用蚁剑下载下来。
2023-03-18 16:42:36
342
原创 vulnhub靶机渗透 Empire Breakout
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。 192.168.80.139 为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.80.1/24。10000和20000均是webmin系统的登录界面,口令爆破、目录探测无果。使用nmap扫描主机服务、端口情况(-p-等价于-p 1-65535):nmap -p- -A 192.168.80.139。
2023-03-18 16:16:00
185
原创 vulnhub靶机渗透 Breach 1
Tomcat后台get shell是有标准姿势的,使用哥斯拉生成jsp马,将其打成shell.zip压缩包,再将zip压缩包将扩展名改为shell.war,将war包上传部署即可.发现的问题:上传的webshell,一会儿就会消失,文件被删除,需要重新上传war包才能够继续使用,主机可能有杀软或者杀web shell工具。将图片复制到kali linux,使用strings打印各图片其中的可打印字符,追加输出到images.txt,在vim下查看,密码在bill.png图片中。这里连接到虚拟网卡1。
2023-03-18 15:50:44
195
原创 vulnhub靶机渗透 Billu_b0x
尝试包含/etc/passwd文件,GET方法无法访问,使用POST成功下载passwd文件。 下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。访问发现add.php是一个文件上传页面,无论上传什么文件都提示选择图片上传,哪怕是上传的图片,推测应该是后端没做相应处理,用来干扰的空壳文件。网页登录,进入主页发现有显示用户和添加用户,且添加用户可上传头像,头像图片保存在/uploaded_images/目录。
2023-03-18 15:40:18
412
原创 xss-labs靶场分析笔记
可交换图像文件格式,是专门为数码相机的照片设定的,可记录数码照片的属性信息和拍摄数据。比如我们这里随便拿一张照片右键,点击属性,点详细信息,这里有很多可修改的内容,比如我们修改标题为。
2023-03-18 14:27:43
216
原创 upload-labs靶场分析
他的作用例如你上传一个11.php的文件,但是服务器解析成11.php12345677.php,而加上11.php%00后,会自动截断后面的文件名。,因为apache的多后缀解析漏洞的要点是要挑选一个apache不认识的后缀在最后,图片的后缀apache都是认识并能正确解析的,所以我们这里用了7z后缀,这也是这关作者提供这么多白名单后缀的原因。该函数有一个返回值,如果该函数执行成功,则返回图片的资源标识符,如果该函数执行失败(比如打开的图片不存在,文件格式错误等等),则反馈false。
2023-03-18 12:04:54
201
原创 sqli-labs靶场分析
这里是 基于WAF的一个错误引起的SQL注入,源代码level 29文件夹里有三个php文件,默认访问这个文件夹的index.php但这个文件是没有接入“WAF”的。在测试符号后面添加and sleep(5) --+,如果成功闭合前面的语句,则会执行sleep(5),利用延时注入的原理判断闭合方式。来看看第二种格式,第二种格式除了能像第一种格式一样得到数组内元素的值外,还能得到元素的索引值,并保存到$key变量中,如果数组的索引值未经过人工设定,则返回系统默认的设定值。第一个id的值符合规则,WAF放行。
2023-03-18 11:31:57
2627
DVWA-master.zip
2021-03-21
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人