- 博客(68)
- 收藏
- 关注
RSS订阅原创 VulnHub靶机 DC-9 靶机 详细渗透过程
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
2024-04-27 21:56:30
574
原创 VulnHub靶机 DC-8 打靶实战 详细渗透过程
主机发现—端口扫描—服务探针—指纹识别—发现注入点—web渗透SQL注入—获取用户名密码—登入后台—发现可加载PHP代码输入PHP代码—反弹shell—提权—exim4漏洞利用。将其拷贝到本地,发现靶机有wget命令,那么可以通过wget进行下载,本地通过python开启一个http服务。访问web界面,通过上述信息收集加插件,得到以下信息,采用Drupal CMS,版本为Drupal 7。找到可代码执行的地方,或者可以输入代码的地方,尝试输入,保存即可。查看数据库当中的表信息,还有表中的内容。
2024-04-24 00:19:12
997
原创 VulnHub靶机 DC-7 打靶 渗透详细流程
主机发现—端口扫描—目录爆破发现后台—服务探测—白盒测试(源码当中找配置文件)—ssh远程登录—邮件信息—找到备份文件脚本—发现脚本当中的drush命令—修改后台密码—进入后台—寻找可代码执行或getshell地方—drupal8不允许执行命令(模块)—下载新的插件—getshell—反弹shell—追加反弹命令—提权即可。由于我们上一步骤已经得到了backups.sh脚本属主为root,属组为www-data,所以我们将反弹shell命令添加到脚本当中,等待执行脚本反弹shell即可得到root权限。
2024-04-22 01:25:32
724
2
原创 Vulnhub靶机 DC-6 打靶实战 详细渗透测试过程
查看sudo -l 下的内容,发现有jens用户权限执行的脚本,正是刚才我们刚才看见的shell脚本,接下来可以利用此,来反弹jens用户权限的shell。当前目录下无可利用的文件信息,查看家目录,发现有四个用户信息,逐一查看,发现在jens家目录和mark家目录下有文件信息,逐一查看。mark家目录下有一个文件夹,文件夹当中为一个txt文本文件,查看后发现graham用户的信息,尝试ssh远程登录到graham。发现可以正常的命令回显,那么接下来直接进行反弹shell,kali端开启监听。
2024-04-20 17:38:48
557
1
原创 VulnHub靶机 DC-5 打靶 渗透测试详细过程
在访问/footer.php,/thankyou.php时发现跳转界面和原始界面的年份不一样,总是来回变动,刷新也会变动。目录爆破发现,存在file参数,尝试读取一下/etc/passwd文件,成功读取/etc/passwd文件并回显成功。当然既然知道了包含/footer.php文件,那么我们也可以去猜解参数,常用的如file,尝试一下即可,或者爆破。暴露出如下几个目录,去访问发现其中的目录,爆出的目录其中有一些界面为默认界面当中点击跳转的目录。给予sh文件执行权限,直接执行一下试试,成功提权。
2024-04-18 21:18:52
785
1
原创 VulnHub系列 DC-4靶机 渗透详细过程 | 红队打靶
通过test.sh脚本的提示信息,再加上查看发现的backups目录当中有密码信息,通过我们得到的三个用户名信息,再加上这个密码信息,可以尝试ssh爆破登录,观察是否可成功爆破出ssh用户的登录密码。回到后台,等登录即可,进入后台,发现有命令工具,进入查看,点击run,发现执行了ls -l命令得回显内容,抓包看一下。然后我们再次通过charles用户进行远程登录,成功登录,发现也有邮件,查看一下,并无有用的信息。去往此目录,查看jim文件得内容信息,发现charles发来的邮件,并有连接密码。
2024-04-17 22:47:22
778
原创 Vulnhub 靶机实战系列 DC-3靶机
发现网站管理后台等信息,结合浏览器插件发现使用joomla CMS,使用kali当中jooscn工具进行扫描,如果没有安装即可。点击新建文件即可,在html/处新建php文件,也可上传,但是不一定成功,可以创建文件后将代码复制进去。根据前面信息收集到的内容,采用得CMS和版本信息,进行漏洞搜索,是否有可利用的漏洞。根据漏洞信息,进行漏洞利用,查看一下文件内容,尝试利用,sqlmap爆数据库。找上传点,或者可以查看代码或可执行代码的地方,找到扩展处功能处,尝试。发现有at,可以尝试提权,但是未果。
2024-04-15 00:13:28
607
1
原创 Vulnhub靶机 DC-2渗透详细过程
得到三个登录用户,将其保存到记事本当中,跟前前面的flag提示,使用cewl命令针对网站来生成密码,并保存到记事本当中,后面进行爆破。这里没有什么利用点。开始的端口扫描,发现此将ssh端口改为7744,那么我们尝试将上面得到的用户名和密码再次进行SSH远程登录尝试。可看到出现su命令提示,我们尝试切换到Jerry用户,发现没有su ,我们需要rbash逃逸。成功切换到jerry用户处,回到jerry的家目录,找到flag4.txt查看即可。开始爆破,成功爆破出Jerry和tom的密码,等了web后台。
2024-04-14 21:17:35
287
原创 Vulnhub靶机 DC-1渗透详细过程
查看当前的数据库和users数据表,查看users表当中的数据信息,得到管理员用户名和密码,但是密码被加密,此加密是自带的加密方式,需要找到加密脚本,搜索一下。发现此脚本为php脚本,由此用php来执行,我们来获取一下自定义新密码,从而更新数据库,修改admin管理员的密码。发现为root权限,那么利用find提权即可,当然提示当中也有说明,使用-exec参数。进入到shell当中,当前所在路径为/var/www,直接进入到配置文件当中即可。直接发现了find命令,可直接利用,直接提权,命令同方法一。
2024-04-13 21:06:30
677
原创 VulnHub靶机-easy_cloudantivirus 打靶
加上以上四个密码,尝试进行爆破,创建user.txt和passwd.txt,将以上的用户信息和密码填入,进行爆破,使用hydra爆破,但是未果。此数据库文件为sqlite3,使用命令sqlite3查看一下,发现无此命令,那只能将其下载到本地,进行查看利用。执行过后,发现无反应,没有反弹,可能此linux当中的nc不支持-e参数,采用nc串联的方式。抓包,发现password参数,可进行注入,导入fuzzer字典,进行模糊测试。发现.c文件,并且已经编译好,恰好属主为root,那么利用一下,直接运行。
2024-04-12 22:08:20
723
原创 Windows提权—数据库提权-mysql提权&mssql提权&Oracle数据库提权
Windows提权-数据库提权-MySQL提权-MSSQL提权-Oracle提权MySQL UDF提权、反弹shell、启动项、mof提权MSSQL系统函数-使用系统函数提权Oracle 数据库提权 可使用Oracle shell工具进行操作
2024-04-01 00:17:56
933
原创 Windows权限提升-WIN全平台
windows默认情况下,系统为用户分了7个组,并给每个组赋予不同的操作权限,管理员组(Administrators)、高权限用户组(PowerUsers)、普通用户组(Users)、备份操作组(Backup Operators)、文件复制(Replicator)、来宾用户组(Guests),身份验证用户组(Ahthenticated users)其中备份操作组和文件复制组为维护系统而设置,平时不会被使用。这个成员是系统产生的,真正拥有整台计算机管理权限的账户,一般的操作是无法获取与它等价的权限的。权限提升
2024-03-31 15:54:41
641
原创 框架安全-CVE 复现&Apache Shiro&Apache Solr漏洞复现
Solr 是一个高性能,采用 Java5 开发。Solr 任意文件读取该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。中间件:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。
2023-11-02 09:47:52
1533
原创 框架安全-CVE 漏洞复现&Django&Flask&Node.js&JQuery框架漏洞复现
中间件及框架列表:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask。
2023-10-29 23:16:57
2079
3
原创 框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
中间件及框架列表:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask。
2023-10-27 17:55:00
1150
原创 中间件安全-CVE 复现&K8s&Docker&Jetty&Websphere漏洞复现
IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,Jenkins ,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery 等。Docker 容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行 POC 或 EXP,就可以返回一个宿主机的高权限 Shell,并拿到宿主机的。root 权限,可以直接操作宿主机文件。
2023-10-25 15:46:35
4717
原创 中间件安全-CVE复现&Weblogic&Jenkins&GlassFish漏洞复现
中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转,达到目录穿越、任意文件读取的效果。,达到产品级质量,可免费用于开发、部署和重新分发。JBoss是一个管理。
2023-10-22 23:16:35
1185
2
原创 中间件安全-CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现
服务攻防-中间件安全&CVE复现&IIS&Apache&Tomcat&Nginx漏洞复现1、中间件-IIS-短文件&解析&蓝屏等 2、中间件-Nginx-文件解析&命令执行等 3、中间件-Apache-RCE&目录遍历&文件解析等 4、中间件-Tomcat-弱口令&文件上传&文件包含等 漏洞复现
2023-10-20 16:35:06
1809
原创 服务安全-应用协议rsync未授权&ssh漏洞复现
libssh是一个在客户端和服务器端实现SSHv2协议的多平台C库。其中rsync协议默认监听873端口,如果目标开启了rsync服务,并且没有配 置ACL或访问密码,我们将可以读写目标服务器文件。OpenSSH 7.7前存在一个用户名枚举漏洞,通过该漏洞,攻击者可以判断某个用户名是否存在于目标主机中。表示在每小时的第17分钟执行run-parts --report /etc/cron.hourly命令。rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。
2023-10-16 18:15:37
1302
原创 数据库安全-H2 database&Elasticsearch&CouchDB&Influxdb漏洞复现
Apache CouchDB是一个开源的面向文档的NoSQL数据库,用Erlang实现。它使用JSON来存储数据,使用MapReduce使用JavaScript作为查询语言,使用HTTP作为API。在用户开启了认证, 但未设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可 以伪造任意用户身份在 influxdb 中执行 SQL 语句。利用这个管理页面,我们可以进行 JNDI 注入攻击,进而在目标环境下执行任意命令。将生成出来的所提供的服务,输入到界面当中,进行连接。
2023-10-14 21:37:41
901
原创 数据库安全-Redis未授权&Hadoop&Mysql&未授权访问&RCE 漏洞复现
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露,包括端口的未授权常见页面的未授权 /admin.php /menu.php常见的未授权访问漏洞及默认端口:默认端口统计:8095, 8161, 9100, 9200, 9300, 11211, 15672, 15692, 20048, 25672, 27017]等待。
2023-10-13 17:36:13
1301
原创 web漏洞-xml外部实体注入(XXE)
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
2023-10-09 21:47:24
1783
原创 web漏洞-SSRF服务端请求伪造
SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。如果一个web应用会将外部输入的参数作为URL,然后访问这个URL,那么攻击者就可以构造特定的参数值让服务端访问制定的URL,该访问行为是服务器程序预期之外的,这种攻击叫做SSRF攻击,web应用中的这种漏洞叫做SSRF漏洞。这里输入的参数不一定是完整的URL,也可以是域名、IP地址、端口号等,攻击者能伪造这些值,从而使服务端访问预期外的内容。
2023-10-06 17:38:08
1026
原创 web漏洞-PHP反序列化
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。在比较前会先判断两种字符串类型是否相同再进行比较,如果类型不同直接返回不相等。__destruct函数对$this->op进行了===判断并内容在2字符串时会赋值为1,process函数中使用==对$this->op进行判断(为2的情况下才能读取内容),数据格式的转换对象的序列化有利于对象的保存和传输,也可以让多个文件共享对象。
2023-10-03 20:48:31
368
原创 XSS-labs1-20关通过手册
ng-include指令一般用于包含外部HTML文件,ng-include属性的值可以是一个表达式,返回一个文件名,但是默认情况下,包含的文件需要包含在同一域名下,也就是要调用同一域名下的其他网页。通过代码发现,本关卡有两个参数:arg01、arg02,当我们发送的时候,发现他们是会互相拼接起来的,那么我们就容易想到这里会不会就是突破口,发现这两个参数是在embed上,embed标签定义嵌入的内容,并且做了尖括号过滤,那么我们可以加入一个属性进去,生成恶意代码。被HTML实体编码了,成了实体字符。
2023-09-21 21:07:37
853
原创 Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
2023-09-19 17:29:58
3456
2
原创 fastjson反序列化漏洞(CVE-2017-18349)
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。
2023-09-19 11:10:31
434
原创 shiro反序列化漏洞原理分析及漏洞复现(Shiro-550/Shiro-721反序列化)
shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞,造成的原因是默认加密密钥是硬编码在shiro源码中,任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象,对其进行序列化、编码,然后将其作为cookie的rememberMe字段内容发送,Shiro 将对其解码和反序列化,导致服务器运行一些恶意代码。特征:cookie中含有rememberMe字段修复建议:更新shiro到1.2.4以上的版本。不使用默认的加密密钥,改为随机生成密钥。
2023-09-18 10:42:40
1047
原创 log4j2原理分析及漏洞复现CVE-2021-44228
Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本,相比于 Log4j,Log4j2 在性能、可靠性和灵活性方面都有显著的改进。Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。
2023-09-17 11:38:47
541
原创 SQL Server 2012下载和安装配置详细教程手册
如果服务器名称为空,查找windows设置中关于找到设备名称名称复制填入即可。功能选择,建议全选:由于SQL占用空间较大,本机修改了功能目录存储位置;2)设置密码,可以自定义,当然越简单越好,我这里设置root123。点击下一步,Reporting Services配置,默认不用改。点击下一步,分布式重播控制器,点击“添加当前用户”点击下一步(出错也点击),然后安装程序支持规则。下一步,控制器名称,自定义填写,然后下一步。下一步过后,服务器设置,直接下一步。下一步过后,准备开始安装:点击安装。
2023-09-07 10:35:47
8938
2
原创 upload-labs1-21关文件上传通关手册
方法三:相同的位置,在POST请求体当中,上传的文件,在重命名的文件处修改后缀名,php+空格也可以进行绕过(和上述操作一致,区别就是后缀后+空格)同理+.也可以。状态码为200,说明抢占shell.php成功,木马中的php代码成功执行,接下来停止攻击,访问木马当中生成的cmd.php木马文件即可。上传时,POST请求体当中的,构造的save_name数组当中的上传文件名的信息后缀不用加/.,加/即可,否则上传失败。注意:访问时,将%00后面的内容进行删除,只留下php后缀的木马即可,成功解析文件。
2023-09-06 22:10:19
825
原创 永恒之黑_CVE-2020-0796漏洞复现
本漏洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。利用该漏洞,攻击方可直接远程攻击SMB服务端远程执行任意恶意代码,亦可通过构建恶意SMB服务端诱导客户端连接从而大规模攻击客户端。
2023-08-31 00:04:12
206
原创 SQL注入-Pikachu靶场通关
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
2023-08-21 15:09:03
1642
原创 SQL手工注入漏洞测试-MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入
SQL注入手工测试:MongoDB数据库注入-Access数据库注入-PostgreSQL数据库注入-Sql Server数据库注入-Oracle数据库注入
2023-08-15 15:05:06
221
原创 SQL注入漏洞测试(参数加密)
先将此字符串进行base64解密,然后再进行AES解密,将base64解密后的结果放到AES界面工具的密文当中,结合秘钥和偏移量以及填充,可得原值。同理,将构造的sql语句还是先AES加密,再base64加密,将最后的加密结果放到url当中去访问即可!都是同样的道理,先AES加密,再base64加密,将最后的加密结果放到url当中去访问执行即可。首先将sql语句写好然后进行AES加密,再进行base64加密,然后在放入到url当中即可。得到该AES加密的偏移量和秘钥后,可进行解密。
2023-07-30 18:05:37
151
原创 DNS劫持
DNS劫持(Domain Name System hijacking)是黑客经常使用的一种攻击方式,其原理是通过篡改DNS系统的域名解析结果,将某个域名解析到指定的IP地址,从而使得用户访问该域名所对应的网站时,被重定向到攻击者控制的虚假网站,进而实现种种欺骗行为,如钓鱼、木马下载、恶意软件等。DNS劫持的核心原理就在于篡改域名解析结果,攻击者通过某种手段获取到通信链路上的DNS信息,然后将目标域名解析到他所想要的IP地址上,从而将用户引导到自己的虚假网站。
2023-07-25 00:15:12
1155
原创 Apache HTTPD 换行解析漏洞(CVE-2017-15715)
分析代码文件名$name是接受POST请求中的数据,因为POST接收不会去掉我们添加的\n,如果使用 $_FILES[‘file’][‘name’]去接收文件名,则会吧\n去掉,所以要满足此漏洞 的条件之一就是使用POST接收文件名。$ext等于POST中的文件名后缀,所以文件名不能是[‘php’, ‘php3’, ‘php4’, ‘php5’, ‘phtml’, ‘pht’],但是 可以是php\n的这种方式,就绕过了if判断,同时这样的文件还以被解析成PHP。这个表达符,在正则表达式中,我们都知道。
2023-07-23 12:24:56
224
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人