web安全学习笔记
文章平均质量分 87
笔记
上线之叁
内容都是笔记参考的地方很多,并非本人完全原创,文章只当做笔记用。
展开
-
66内网安全-域横向批量at&schtask&impacket
域环境下面的传递工具,分为两类。一个是传递一个是漏洞,传递的第一个协议at&schtask这里老师给了每一个靶机的账户以及密码,观察一下其规律性,原创 2023-12-27 20:35:26 · 1647 阅读 · 0 评论 -
70内网安全-域横向内网漫游Socks代理隧道技术(下)
这节课解决代理的问题,他是内网里面的穿透技术,隧道主要安全设备和流量监控的拦截问题,我们在做渗透的时候需要回显数据或者一些重要的信息,走的协议不一样,tcp/ip有七层,在不同层里面有不同的协议,有一些协议会受到防火墙,过滤设备和流量检测工具的干扰,在内网回显数据和拖数据的会出现一些拦截和告警,隧道技术主要就是解决这个事情;两个肉鸡都在内网,就必须借助代理才能实现,代理利用工具比较知名的比如,frp,ngrok,ew,不过ew已经停止更新了,以后就用不到了,原创 2023-12-31 20:28:46 · 1294 阅读 · 0 评论 -
69内网安全-域横向CobaltStrike&SPN&RDP
这节课主要讲spn和rdp协议,原创 2023-12-30 17:06:22 · 871 阅读 · 0 评论 -
71内网安全-域横向网络&传输&应用层隧道技术
代理和隧道技术的区别?代理主要解决的是网络访问问题,隧道是对过滤的绕过,隧道技术是为了解决什么解决被防火墙一些设备,ids(入侵检测系统)进行拦截的东西进行突破,举个栗子;在实战情况可能会cs和msf没有办法上线或者得到回显,出口数据被监控,在拖数据的时候会被拦截,网络通信存在问题等;隧道技术前期必备的条件?应用场景四已经获得了一些控制权,但是不能对肉鸡进行信息收集等一些执行功能;比如利用shior反序列化得到了一些权限,但是漏洞上有ids,把后门放到了对方服务器但是cs上不了线,原创 2024-01-01 19:23:41 · 1455 阅读 · 0 评论 -
62权限提升-烂土豆&dll劫持&引号路径&服务权限
提取环境分为web(web又分为asp,php之类,唯独jsp不需要提权)和本地权限划分:system > administer > users > webshell权限本地权限:一般在内网中才会介绍,内网渗透的时候有可能通过网站渗透,也可能是拿到一个用户权限,如果不是域管理权限,域上面单纯的一个操作ftp传输的用户,这种层面的提取称为本地提权,有些提权方法只针对部分操作系统,大部分都是win2018之前,相关文件及后门免杀问题等,避免上传上去就被杀软杀了facai。原创 2023-12-24 08:41:16 · 867 阅读 · 0 评论 -
73应急响应-Web分析php&javaWeb&自动化工具
我感觉学完渗透自然就会应急响应,之前又发过应急响应的文章应急响应笔记就开始比较潦草。原创 2024-01-08 17:12:12 · 595 阅读 · 0 评论 -
72内网安全-域横向CS&MSF联动及应急响应知识
拿到才行,拿不到就是多余的。原创 2024-01-01 20:55:05 · 531 阅读 · 0 评论 -
74应急响应-win&linux分析后门&勒索病毒&攻击
操作系统(windows,linux)应急响应:1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题常见日志类别及存储:日志文件默认存储路径补充资料:10款常见的Webshell检测工具:https://xz.aliyun.com/t/485。原创 2024-01-09 20:17:34 · 1117 阅读 · 0 评论 -
68内网安全-域横向PTH&PTK&PTT哈希票据传递
今天讲PTH&PTK&PTT,PTH(pass the hash) #利用 lm 或 ntlm 的值进行的渗透测试PTT(pass the ticket) #利用的票据凭证 TGT 进行的渗透测试 用的Kerberos 协议PTK(pass the key) #利用的 ekeys aes256 进行的渗透测试lm加密算法是2003以前的老版,2003用户均为ntlm 算法的hash。原创 2023-12-29 10:52:12 · 1385 阅读 · 0 评论 -
61权限提升-Redis&Postgre&令牌窃取&进程注入
主要讲解redis数据库和postgresql数据库,然后还要两个windows的提权方式令牌窃取和进程注入。postgresql是基于两个cve的漏洞,redis的提权方式第一种是利用任务执行的反弹shell,第二个是写一个ssh-keygen的公钥使用私钥登录,这是因为redis默认搭建在redis上面,所以常用的就是写ssh;权限比较低的话还是可以进行webshell的写入。原创 2023-12-22 10:21:34 · 1126 阅读 · 0 评论 -
63权限提升-Linux脏牛内核漏洞&SUID&信息收集
今天讲到的方法是suid和内核漏洞。原创 2023-12-24 19:07:28 · 985 阅读 · 0 评论 -
64权限提升-Linux定时任务&环境变量&数据库
第一个问题,提权环境(webshel环境,或者普通本地权限),信息收集(用信息收集脚本之后首先看,suid,定时任务,可能漏洞*(脚本探针的cve编号漏洞),第三方服务应用(通过脚本手机,比如案例三的mysql数据库作为提权方式))第二个问题,最新相关漏洞要明确(比如及时更新相关脚本),二次开发展望(对脚本自己进行开发优化,现在是脚本小子的意淫时刻)第三个问题,原创 2023-12-26 14:40:46 · 887 阅读 · 0 评论 -
Day67内网安全-域横向smb&wmi明文|哈希
这节课围绕着这两个协议来讲在实战情况下就有可能获取不到明文密码(操作系统高关闭了wdigest,打上了补丁),针对这种方法,我们有四种方法解决这一类问题1,利用hash的传递攻击(pth,ptk等和利用)进行移动2,利用其他服务协议(SMB,WMI等)进行hash移动三四种方法是围绕怎么得到明文密码3,利⽤注册表操作开启Wdigest Auth值进⾏获取;前提条件:权限允许/t/d/f换成1就是开启4,利⽤⼯具或第三⽅平台(Hachcat)进⾏破解获取;缺点:容易被杀软杀掉知识点二。原创 2023-12-28 16:22:32 · 1313 阅读 · 0 评论 -
75应急响应-数据库&漏洞口令检索&应急取证箱
必要知识点第三方应用是选择性的安装的,比如mysql,如何做好信息收集,有没有爆过它的漏洞,和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本由于工具或脚本更新,分类复杂,打造自己工具箱也好分辨攻击者使用了什么工具。原创 2024-01-10 19:49:40 · 824 阅读 · 0 评论 -
65内网安全-域环境&工作组&局域网探针
这篇分为三个部分,基本认知,信息收集,后续探针,原创 2023-12-26 21:23:56 · 1478 阅读 · 0 评论 -
Day60权限提升-MY&MS&ORA等SQL数据库提权
在web环境和本地环境,都可以得到数据库的账户密码,都可以尝试借助数据库提权,再利用系统溢出漏洞无果的情况下,可以采用数据库进行提权,但需要知道数据库提权的前提条件:服务器开启数据库服务以及获取最高权限的密码。除了access数据库外,其他的数据库都存在提权的可能数据库提权第一步是探针,第二步是收集,第三步是分类,数据库在应用提权在权限提升的意义,他不是属于溢出漏洞的提权,他不是漏洞的提权方式,数据库在服务器的上的搭建是很常见的,web和本地都可以用数据库提权,满足条件就是只需要获取数据库账号密码。原创 2023-12-06 15:53:25 · 949 阅读 · 0 评论 -
Day59权限提升-win溢出漏洞AT&SC&ps提权
案列一,演示的是溢出漏洞提权,思路是先利用systeminfo进行信息收集,然后开始筛选漏洞出来,然后用特有工具或者exp,拿下西瓜。案例二,有一些提权是不适应webshell,这也是为什么本地提权比web提权大的原因,一些运行画家和数据的回显状态,成功几率就会低。有些漏洞就只适合在本地提权。案列三,有一些不是漏洞,但也能提权,有操作系统版本上的区别。是对面系统上的设计逻辑造成的问题。第三方提权。facai。原创 2023-12-02 19:30:46 · 998 阅读 · 0 评论 -
Day58权限提升-网站权限后台漏洞第三方获取
一般我们的渗透流程就是信息收集,发现漏洞,漏洞利用,一些漏洞成功之后获得一些相应的权限,还有一些是漏洞利用成功之后并没有取得的权限,而这个权限是要通过漏洞利用之后在利用其它地方取货的权限。权限的获取大多数体现在三个地方,分别是后台,漏洞,第三方,后台:登录了这个网站或者应用的后台,通过后台获取到网站权限,漏洞:有一些漏洞单点漏洞可以直接拿下webshell,比如文件上传,上传一个后门文件,有些漏洞就不行,比如跨站漏洞,不足以直接得到权限。原创 2023-11-27 14:55:44 · 424 阅读 · 0 评论 -
51代码审计-PHP框架MVC类上传断点调试
搜索关键字$_FILES。原创 2023-11-26 16:32:56 · 415 阅读 · 0 评论 -
50代码审计-PHP无框架项目SQL注入挖掘
代码设计分为有框架和无框架挖掘技巧:随机挖掘,定点挖掘,批量挖掘(用工具帮助扫描探针,推荐工具:fortify,seay系统)。1.教学计划:---审计项目漏洞 Demo->审计思路->完整源码框架->验证并利用漏洞2.教学内容:---PHP,JAVA 网站应用,引入框架类开发源码,相关审计工具及插件使用3.必备知识点:---环境安装搭建使用,相关工具插件安装使用,掌握前期各种漏洞原理及利用代码审计开始准备这个目标的程序和版本,当环境(系统,中间件,脚本语言)等信息。原创 2023-11-09 09:41:03 · 197 阅读 · 0 评论 -
WAF绕过-权限控制之代码混淆造轮子48
我们拿到权限要做,读文件,写文件,命令执行等等,这些功能如果部署于对方waf环境的话,也会被拦截。一个文件下载到本地之后,杀毒网站会对这个文件进行检测,有没有病毒或者木马,这个杀毒软件也会相应的警告,有一些waf已经可以监视到上传网站后门之后,检测你后续有没有敏感操作,有也会拦截。而这个绕过不仅是代码上的事情,还有代码要做的行为。绕过要从多方面考虑,这个称之为代码绕过和行为绕过,确保第一点;目前主流的三款工具,菜刀,蚁剑,冰蝎,原创 2023-10-29 17:21:37 · 86 阅读 · 0 评论 -
WAF绕过-漏洞发现之代理池指纹探针 47
第一个就是扫描速度,太快了,可以通过演示,开代理池,白名单绕过;第三点漏洞pyload,有关键字,也会触发waf,这个需要对漏洞pyload进行数据变异,或者用冷门的扫描工具。但是这种代理存活时间就是一道三分钟,比如最新提交的31分,可能34分就不能用了,因为是白嫖的,合情合理,基本上都不能用了。看一下waf的拦截,是因为恶意url地址,触发了pyload拦截导致的,这个就需要在pyload上面做文章。在开始扫描,就不会出现拦截的情况,就算拦截了,也只是拦截一两个ip,但每次访问都会还ip。原创 2023-10-15 19:32:31 · 138 阅读 · 0 评论 -
WAF绕过-信息收集之反爬虫延时代理池 46
老师用的阿里云的服务器,装了宝塔和安全狗,演示案例。原创 2023-10-13 18:21:31 · 529 阅读 · 0 评论 -
漏洞发现-API接口服务之漏洞探针类型利用修复(45)
这里能探针到开放的端口,可以判断出端口的所属类型,这里涉及到证明检测,然后是证明利用可以对端口进行攻击,端口服务开发这个端口,可以对这个端口进行攻击的。apl接口,主要针对应用上面的接口,有支付的,有订单的各种各样的端口,最后一个就是补充的知识点补充的知识点就是信息收集的最大化,#端口服务安全测试思路。原创 2023-09-10 21:26:21 · 526 阅读 · 0 评论 -
洞发现-APP应用之漏洞探针利用修复(44)
思路:我们会反编译提取url,介绍反编译提取安卓文件或者apk文件的,安装文件里面涉及到的url,apk里面又网站 ,或者涉及到http,https这种协议的网站域名。如果不存在url等信息,或者用的其他协议,这种情况下就要需采用网络接口抓包进行数据获取,因为大部分协议是抓取的http和https的协议,但是有部分app不用这个协议,这种情况下有些抓包工具就没有办法,这个时候我们就需要采用网络接口抓包工具来抓取,什么协议的数据都抓,思路就是转为其他协议。其他协议就采用,Wireshark,全都抓。原创 2023-09-03 19:13:52 · 191 阅读 · 0 评论 -
漏洞发现-web应用发现探针类型利用(43)
如常见的dedecms,discuz,wordpress等源码结构,这些都是网上比较知名的php源码的cms的名称,这是我们在国内常见的几个程序,论坛discuz,博客wordpress是很常见的;他们都有个特性,他们的源码是在网上可以下载到的,我们都可以去用他的源码去搭建网站,我称之为cms;开发框架是对面程序的整体或者核心是用这个框架支撑的,框架以及提前给写好了,框架就跟开发引用的模块一样,比如一个文件上传,不用框架就一个一个代码写,用框架就直接引用框架,框架就是封装好的功能代码,原创 2023-08-30 16:39:20 · 1064 阅读 · 0 评论 -
web漏洞-java安全(41)
这个有什么意义,我们还没有讲过目录权限解析这个东西,如果对方设置了目录解析权限,这个目录下面的文件的监听,比如一个图片的储存目录,他就可以设置不给予脚本执行权限,如果能操作储存到目录,就可以上传到别的目录,因为别的目录就可能没有设置权限。而我们发现fullname是test,上传后文件的命中也叫test,我们改一下fullname为xiaodi,上传文件的名字也变成小迪了。这时候我们试着把名字改成../xy,../是意思就是上一级,那我们这样子上传,会不会上传到他的上一级目录下面../就是箭头指向的对方。原创 2023-07-28 14:22:06 · 716 阅读 · 0 评论 -
JAVA 安全-JWT 安全及预编译 CASE 注入等(40)
在使用参数化查询时,数据库系统不会将参数作为sql语句去执行,他不会将你的参数值当作sql语句去执行,就等于个字符串,没有意义,在参数化查询中,sql语句格式是已经规定好的,要查的数据也固定好了,接受session:这个意思就是他取sql语句不是你发什么他就接受什么,取你s型里面的,类似于cookie的数据,这里的值,一般s型都存储在对方服务器里面,一般不去操作对方服务器,这个s型数据是不可伪造的。在各种语言脚本的环境下,也会产生一些新的漏洞,如果是java又能产生那些漏洞,思维导图里面常规漏洞之前都有;原创 2023-06-30 13:45:42 · 583 阅读 · 1 评论 -
web漏洞-反序列化之JAVA全解(38)
概念:我们有时候需要保存某一个对象的信息,会进行一些操作,类似于反序列化,序列化的过程中的对象,就是我们所说的class的状态以二进制储存到文件的系统中,然后另外一个系统对这个二进制进行读取,再来还原,如下图这样。首先第一个就是概念。第二个是他的利用,一个好用的工具ysoserial,主要用来生成工具的paload,修复大差不差。序列化:将对象的状态信息转换为可以储存或传输的形式的过程。反序列化:从储存区中读取该数据,并将其还原为对象的过程,称为反序列化。序列化那段英文字母的意思是,写入对象。原创 2023-06-27 21:02:13 · 252 阅读 · 0 评论 -
web漏洞-逻辑越权之水平垂直越权全解(33)
未授权访问,:比如我们访问网站的后台,网站的后台有一些操作需要管理员才能操作的,其他的用户是操作不了的,如果有未授权访问就相当于任何人都可以去操作他,比如是后台地址,操作的应用,不需要的登陆直接操纵,这就是未授权访问,没用进行权限验证导致的安全问题,第二个数据,在数据头里面有一个叫card_id的,后面跟着一堆数字这就是给编号,后面编号不同,所对应的用户也不同,就好比一些网站id=1就是admin用户,id=22的时候就别人注册的用户,是一个道理,这里也是一个可以操作的地方。原创 2023-06-11 18:41:55 · 2255 阅读 · 0 评论 -
CSRF及SSRF漏洞案例讲解(29)
这就是一个典型的csrf攻击,那么同样的道理,如果是添加管理员的呢,假如你知道网站后台的一些情况,有他的cms或者源码,你在本地搭建之后,测试出在后台添加管理员账户密码的数据包,把它构造出来之后,这时候就可以放到自己的网址上去,然后引诱对面管理员去访问网址,出发数据包,如果刚好对面已经登陆了,就会自动添加一个管理员,就可以去登陆。这时候随便一个,比如我自己的网站,或者服务器,打开他的源码,写上一串script代码,这时候访问这个地址,访问这个数据包的时候就会修改这个信息。打开pikachu靶场。原创 2023-05-28 21:14:29 · 731 阅读 · 0 评论 -
WEB漏洞-XXE&XML之利用检测绕过全解(39)
除了这个形式,还有一个过滤,我们绕过思路就是采用协议玩法,换一种协议去执行想要的结果,或者采用外部引用,把核心代码写到外部东西上面去,DTD上面去实现绕过,还有一种编码把一些关键词进行编码,达到关键字的绕过,根据具体情况选出不同的方案。判定这个漏洞存在之后,我们该如何去利用,分为两种,第一种是输出形式,利用的结果显示,分为两种情况,一种情况是有回显,一种是回显;xml:xml被设计成传输和储存数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容。原创 2023-06-29 13:55:51 · 1417 阅读 · 0 评论 -
web漏洞-反序列化之PHP&JAVA全解(上)(37)
在这给过程中,会涉及到一种叫做有类和无类的情况,开发里面经常看到的一个东西,我们称之为类,类对象,存在类的话,在类里面有一些内置的魔术方法,如果有类用到反序列化这个操作,就会触发到里面的魔术方法,有时候在不经意之间就会和其他漏洞相互组合。原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,sql注入,目录遍历等不可控的后果。相关的开发语言进行序列化就会转换成二进制,xml,json数据,这种数据反序列就会转换成开发语言,代码形式。数据格式类型的相互转换。原创 2023-06-18 21:20:44 · 1562 阅读 · 0 评论 -
逻辑越权之验证码|token|接口(36)
token是类似于会话一串数字代表数据包的唯一性,数据包的编号,防止一些csrf,或者一些存放数据包的攻击;验证码,很多事情都需要验证码,如果可以绕过的话,就可以实现一些功能,比如密码修改绕过,后台登陆爆破账户密吗,经常次数过多会出现验证码。2.回显,类似于讲过的本地回显,token值会在前端进行显示,我们只需要让token值和前端显示的一样,实现绕过数据包唯一性检测。3.固定,虽然有这个token,但可以通过上一次的token操作下一次的数据包,没有检测唯一性,表面上看着有,实际上没有,原创 2023-06-17 20:27:48 · 1331 阅读 · 0 评论 -
web漏洞-逻辑越权之登录脆弱支付篡改(34)
这里在网上随便打开一个http的登陆网站,随便输入个账户密码看一下它发出的数据包。3.cookie脆弱点验证,如果是cookie验证,在验证方面有些问题就可以尝试。一般的话,http的网页明文传输,https会用密文,但是这不是绝对的,2.http/https传输,这个两个网站协议,对于登录点有不一样的地方。这节课是这两个内容,登录的内容会讲不完,会有一小点部分,在别的课将,再找一个https的网站,抓一下数据包看看是什么样子的,这个网站使用http搭建的,可以看一下网站的前缀。5.验证密文比对安全测试,原创 2023-06-12 21:29:58 · 503 阅读 · 0 评论 -
xss跨站,订单,shell箱子反杀记
弹窗1,这是刚刚写的跨站代码语句执行成功了,如果我们写一些可以盗取对方cookie的代码,获取到cookie之后再利用这个cookie去尝试登陆这个后台,可以得到后台的信息,同样后台里面如果说能够进行这个权限提升,我们说的文件上传,尝试文件上传操作拿到网站的webshell,这都是可以进行的后缀操作。这个是可以进行xss漏洞的测试,凡是有这种数据交互的地方,前端有一个数据的接受,后端是数据的显示,这个过程就符合漏洞产生的前提条件,将输入的数据进行个显示,不太推荐那个语句的原因,太明显了,重新访问一下。原创 2023-05-24 14:36:34 · 875 阅读 · 0 评论 -
xxs跨站之原理分类及攻击手法(25)
造成持续的原因,因为他那个是留言板这个东西,我们在之后去访问可以看到之前的留言,我们把跨站语句写成留言,下一个访问的也会看到留言,也会执行,这种情况就称之为储存性,因为这个留言相当于写到了数据库里,攻击就一直持续到数据被删除结束。出现一个弹窗,弹窗的内容是1,而上传那一串是代码,浏览器会把那个代码执行,执行结果alert就是弹窗,1是控制弹窗的值,所以这里看到的就是弹窗一个效果,这就是一个简易的跨站漏洞。两个的区别就是一个一直在攻击,一个没有,储存性我们为什么叫储存或者就是持续,就是这个攻击会一直下去,原创 2023-05-21 21:46:06 · 1031 阅读 · 0 评论 -
xss跨站之代码及http only绕过
如何绕过http only,他只是防止cookie被读取,并不防止跨站漏洞,我想要获取后台的权限,有两种方法可以获取后台权限,一种是cookie,另一种是直接的账户密码登陆,因为http only限制了cookie的获取只能用账户密码去登陆,账户密码有些个人习惯,会把账户密码进行个保存,避免下次忘了密码,有一些浏览器会自动保存,如果对方设置了保存或者浏览器自动保存账户密码,我们是可以利用xss去读取账户免密的。有两种情况,一种是保存读取,就是输入账号浏览器会自动补齐免密就是保存读取,比如qq的保存密码。原创 2023-05-26 20:04:22 · 1714 阅读 · 0 评论 -
xss跨站之waf绕过及安全修复(28)
然后访问还是正常的,这个就是特殊符号干扰方法,常见的就是#,因为#在web里面是注释的,他是通用的,特符都可以用来干扰,有一些符号就是截断或者注释的做用,代码去匹配一些关键字的时候,防止他匹配的后面或者前面的关键字,来绕过。因为xss,他的执行效果可以由多个代码实现,就是用到其他的函数,功能来替换,在跨站中想实现那种功能,也是可以应用到不同的操作语句去实现同一个目的,比如下面这串代码,取得的功能是一样的,去掉最后字符串,访问还是拦截,再去掉alert(1),访问还是拦截,再去掉尖括号里面一个字符。原创 2023-05-28 14:02:16 · 1750 阅读 · 0 评论 -
文件上传之,waf绕过(24)
前期upload第二关的时候,判断的方式就是mime的类型的绕过,绕过miem是图片类型就可以上传,没有验证后缀,这是代码的判断,我们在来探针一下防护软件是怎么判断的,现在第二关上传一个图片上去,抓住数据包,mime满足就可以上传,所以把上传的文件名字改成php格式,本来这是可以正常上传成功的。mime可以作为一个验证条件,验证mime来判断你个文件一个合法性的时候,可以通过更改mime来达到一个伪造,比如上传一个php文件,这时候可以更改为图片类来尝试绕过mime验证。原创 2023-05-20 17:01:06 · 1391 阅读 · 0 评论