- 博客(156)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 挖SRC的一些收获
年终送的oppowatch和扫地机器人,爱了爱了❤️。第一家常驻src 零零碎碎挖了一年。除了赏金外,各种节日src均有礼品。欢迎各位师傅一起学习交流。
2023-02-26 15:46:23
594
原创 Wireshark分析sql布尔盲注流量包
目录0x001 题目0x002 查看注入语句0x003 观察响应包0x004 脚本编写0x001 题目0x002 查看注入语句将流量包导入Wireshark看着很乱,输入url通过浏览器请求使用的协议为http,所以我们直接过滤出http协议的数据包。过滤出http请求的数据包注入语句如下:http://localhost:81/?id=1' and ascii(substring((select keyid from flag limit 0,1),1,1))=32#由此可见攻
2021-03-03 00:54:04
7123
2
原创 【frida逆向开发】frida-rpc远程调用某安app方法获取token
目录一、使用fiddler对app进行抓包二、反编译app定位关键代码三、frida-rpc调用相关方法一、使用fiddler对app进行抓包通过抓包可以看到请求参数中X-App-Token: e8f1c71569a7166b6aa9723342923606edc38cb9-c72d-3bc4-8e82-6fd9212d77a00x5fdb0663每次请求都是变化的,这里需要反编译app进行进一步的分析。二、反编译app定位关键代码直接使用jadx反编译app并通过搜索相关参数定位相关代码
2020-12-17 17:29:30
7249
3
原创 【frida逆向开发】frida脱壳原理及脱壳工具使用
目录一、知识补充二、操作流程演示一、知识补充1、加固后的APP运行流程 1. -->APP启动 2. -->壳dex先加载起来 3. -->壳负责把源dex文件读出来 4. -->壳把源dex文件解密 5. -->把解密后的dex加载进内存 源dex运行起来 2、脱壳原理加固后的APP启动后最终源dex文件会被
2020-11-13 17:31:08
5108
2
原创 解决安卓7.0以后https抓不到包的问题
1、把代理证书放到系统证书根目录下安卓7.0以后,安卓不信任用户安装的证书,所以抓https时无法解码请求,对于第三方应用,需要将证书添加为系统证书,使用安卓手机添加证书。需如下:root手机安装openssl1、burp到导出证书2、计算导出证书的hash值openssl x509 -inform DER -subject_hash_old -in C:\Users\s\Desktop\burp.cer3、生成系统预设格式证书文件openssl x509 -inform D
2021-08-25 22:28:24
2270
1
原创 【端口转发】内网端口转发
0x001 lcx使用1. 肉鸡上执行:lcx.exe –slave 公网 ip + 端口 肉鸡 ip + 端口例如:lcx.exe -slave xxx.xxx.xxx.xxx 10000 127.0.0.1 3389意思是把肉鸡的 3389 端口转发到 xxx.xxx.xxx.xxx 公网的 10000 端口2. 公网 ip 机器上执行 Lcx.exe –listen 10000 10001例如:Lcx.exe –listen 10001 10000意思是监听公网 ip 机器上的
2021-06-10 16:27:32
525
原创 【文件上传绕过】二次渲染
目录0x001 什么是二次渲染0x002 绕过0x001 什么是二次渲染在我们上传文件后,网站会对图片进行二次处理(格式、尺寸要求等),处理后在放到网站对应的标签进行显示。如何判断图片是否进行了二次处理?对比要上传图片与上传后的图片大小0x002 绕过这里需要配合文件包含漏洞将一句话木马插入到网站二次处理后的图片中...
2021-06-05 21:57:38
1079
原创 【内网渗透】CobaltStrike 初识
目录0x001 安装0x002 主机上线0x001 安装目录结构服务器安装Java环境服务运行需要安装Java环境ubuntu安装方式如下:# 更新软件包列表:sudo apt-get update# 安装openjdk-8-jdk:sudo apt-get install openjdk-8-jdk# 查看java版本,看看是否安装成功:java -version更多安装方式:https://blog.csdn.net/zbj18314469395/article/deta
2021-06-05 21:52:19
624
2
原创 【Windows提权】win2012烂土豆配合令牌窃取提权-Web权限
过程:上传烂土豆-执行烂土豆-利用窃取模块-窃取SYSTEM-成功upload /root/potato.exe C:\Users\Publiccd C:\\Users\\Publicuse incognitolist_tokens -uexecute -cH -f ./potato.exelist_tokens -uimpersonate_token "NT AUTHORITY\\SYSTEM"EXP:https://github.com/SecWiki/windows-kernel-
2021-06-05 21:50:28
894
1
原创 【PHP代码审计】MVC开发框架类-审计文件上传
目录0x001 漏洞查找方式关键字搜索:(函数,键字,全局变量等)应用功能抓包:(任何可能存在上传的应用功能点)0x002 MVC开发特点0x001 漏洞查找方式关键字搜索:(函数,键字,全局变量等)文件上传,$_FILES,move_uploaded_file等应用功能抓包:(任何可能存在上传的应用功能点)前台会员中心,后台新闻添加等可能存在上传的地方更多关于文件上传查看:https://blog.csdn.net/weixin_44032232/article/details/113
2021-06-05 21:50:02
530
原创 【提权】Postgre&令牌窃取&进程注入
文章目录0x001 PostgreSQL数据库权限提升0x002 令牌窃取0x003 进程注入0x001 PostgreSQL数据库权限提升PostgreSQL是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。提权利用的是漏洞:CVE-2019-9193 CVE-2018-1058连接-利用漏洞-执行-提权参考:https://vulhub.org/#/environments/postg
2021-06-05 21:48:36
270
原创 【内网渗透】搭建隧道
目录0x001 隧道介绍0x002 网络传输应用层检测连通性0x003 网络层ICMP隧道ptunnel使用0x001 隧道介绍什么是隧道?在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢?这里的隧道,就是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或端口进行封装,然后穿过防火墙,与对方进行通信。当封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应服务器上。
2021-06-05 21:47:10
2761
1
原创 url重定向绕过方式
URL跳转绕过姿势# "@"http://www.target.com/redirecturl=http://whitelist.com@evil.com# "\"http://www.target.com/redirecturl=http://evil.com\a.whitelist.com# "\\"http://www.target.com/redirecturl=http://evil.com\\a.whitelist.com# "?"http://www.target.com
2021-04-25 19:13:42
550
原创 【PHP代码审计】代码审计中常见的函数
目录0x001 配置文件0x002 文件读取函数0x003 文件上传函数0x004 打印函数0x005 文件包含0x006 命令执行0x007 代码执行0x008 SQL注入0x009 变量覆盖0x010 逻辑漏洞0x011 特殊点0x001 配置文件config.php cache.config.php0x002 文件读取函数file_get_contents()、highlight_file()、fopen()、readfile()、fread()、fgetss()、fgets()、par
2021-03-23 13:08:36
790
1
原创 【渗透测试】常见的数据库漏洞
MySQL数据库默认端口:3306攻击方法: 爆破:弱口令 身份认证漏洞:CVE-2012-2122 拒绝服务攻击 Phpmyadmin万能密码绕过:用户名:‘localhost’@’@” 密码任意 提权参考: https://www.seebug.org/appdir/MySQL http://www.waitalone.cn/mysql-tiquan-summary.html?replytocom=390 https://xz.ali
2021-03-18 13:33:54
1108
原创 导出当前进程加载的dll
运行程序输入进程pidimport winregimport psutil # pip install psutilimport logginglogging.basicConfig(format='%(asctime)s - %(pathname)s[line:%(lineno)d] - %(levelname)s: %(message)s', level=logging.DEBUG)"""要分析一个应用程序是否存在劫持系统DLL的漏洞,需要这么几
2021-03-18 13:19:45
300
3
原创 【渗透测试】服务端模板注入攻击 (SSTI)
目录一、模板注入与常见Web注入二、模板注入原理三、模板注入检测一、模板注入与常见Web注入就注入类型的漏洞来说,常见 Web 注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。注入漏洞的实质是服务端接受了用户的输入,未过滤或过滤不严谨执行了拼接了用户输入的代码,因此造成了各类注入。下面这段代码足以说明这一点:// SQL 注入$query = "select * from sometable where id=".$_GET['id'];mysql_
2021-03-17 22:41:00
1322
原创 【PHP代码审计】PHPstorm Xdebug配置
目录phpstudy配置phpstorm配置phpstudy配置php.ini配置[XDebug]xdebug.profiler_output_dir="E:\phpStudy\PHPTutorial\tmp\xdebug"xdebug.trace_output_dir="E:\phpStudy\PHPTutorial\tmp\xdebug"zend_extension="E:\phpStudy\PHPTutorial\php\php-5.6.27-nts\ext\php_xdebug.dl
2021-03-16 19:24:22
207
原创 【内网渗透】内网穿透Ngrok&Frp
目录0x001 代理转发介绍0x002 Ngrok使用0x001 代理转发介绍我们在内网渗透中常会遇到两个所属不同内网的主机要进行通信,如:我们本地内网的kali攻击机要控制另一个内网的服务器/客户机代理方式:正向代理 – > 攻击机连接肉鸡反向代理 – > 肉鸡主动连接攻击机上图所示无论是哪台机器通信都要经过外网的代理服务器0x002 Ngrok使用注册注册地址:https://www.ngrok.cc/开通隧道下载客户端https://ww
2021-03-15 22:10:11
1695
原创 Redis 4.x/5.x 未授权访问漏洞
漏洞介绍:Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。影响版本:影响版本Redis未授权访问在4.x/5.0.5版本以下攻击手段:利用现有exp执行系统命令利用计划任务执行命令反弹shell(需root权限)1)下载
2021-03-14 16:49:06
224
原创 Nginx 解析漏洞
适合版本:版本信息:Nginx 1.x 最新版PHP 7.x最新版该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。漏洞复现:在图片路径后增加/.php后缀,被解析成PHP文件:配合文件上传可getshell...
2021-03-14 15:56:27
327
原创 Tomcat7 +弱口令&&后端Getshell漏洞
Tomcat版本:8.0漏洞介绍:介绍Tomcat支持通过后端部署war文件,因此我们可以直接将webshell放置到web目录中。为了访问后端,需要权限。Tomcat7+权限分为:manager(后台管理)manager-gui 拥有html页面权限manager-status 拥有查看status的权限manager-script 拥有text接口的权限,和status权限manager-jmx 拥有jmx权限,和status权限host-manager(虚拟主机管理)a
2021-03-14 15:25:55
1175
原创 Tomcat PUT方法任意写文件漏洞
适用版本:Tomcat version: 8.5.19漏洞编号:CVE-2017-12615复现步骤:直接发送以下数据包,然后一句话将被写入Web根目录。PUT /1.jsp/ HTTP/1.1Host: 192.168.134.129:8080Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connect
2021-03-14 14:49:53
231
原创 【文件上传绕过】uploads17关-条件竞争
目录0x001 源码审计0x002 绕过0x001 源码审计$is_upload = false;$msg = null;if(isset($_POST['submit'])){ $ext_arr = array('jpg','png','gif'); $file_name = $_FILES['upload_file']['name']; $temp_file = $_FILES['upload_file']['tmp_name']; $file_ext =
2021-03-14 13:32:09
642
原创 【内网渗透】域横向RDP传递&Kerberoast攻击
目录0x001 RDP协议传递0x002 Kerberoast攻击1)探针服务2)请求获取票据3)导出票据4)破解票据5)重写票据6)利用0x001 RDP协议传递除了之前的IPC,WMI,SMB等协议的链接外,获取到的明文密码或HASH密文也可以通过RDP协议进行链接操作。RDP协议连接:判断对方远程桌面服务是否开启(默认:3389),端口扫描判断RDP明文密码链接windows: mstsc mstsc.exe /console /v:192.168.3.21 /adminlinux:
2021-03-09 15:52:47
594
原创 【内网渗透】域横向PTH&PTK&PTT哈希票据传递
目录0x001 相关知识0x002 域横向移动PTH NTML传递0x003 域横向移动PTK aes256传递0x004 域横向移动PTT哈希票据传递-ms14068&kekeo&本地0x005 开源内网神器Ladon0x001 相关知识1)PTH(pass the hash) 利用LM或NTLM的值进行的渗透测试PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不用提供明文密码。如果禁用了NTLM认证,
2021-03-07 19:07:31
1296
1
原创 【内网渗透】域横向smb&wmi明文或hash传递
目录0x001 Procdump+Mimikatz配合获取用户信息0x002 无法获取明文密码解决方案1)hashcat暴力破解2)注册表操作开启Wdigest Auth值3)SMB服务协议进行哈希移动4)WMI服务利用-cscript,wmiexec,wmic0x001 Procdump+Mimikatz配合获取用户信息Mimikatz属于第三方软件,直接上传到目标主机可能被杀毒软件查杀,这时我们可以配合官方软件Procdump,将Procdump上传目标主机获取用户信息(该文件不可读),使用本地
2021-03-07 12:13:23
1484
原创 【内网渗透】域横向批量验证at&schtasks&atexec
文章目录0x001 域环境组成0x002 自带命令at&schtasks0x003 第三方工具atexec0x004 批量建立IPC连接0x001 域环境组成DC:win2008 【username:tencent\administrator,password:123@.com】webserver:win2003 【username:tencent\win2003,password:2003!@#.com】客户机:win7 【username:tence
2021-03-06 15:45:16
2256
1
原创 【内网渗透】信息收集
目录0x001 域相关介绍0x002 基本信息收集0x003 网络信息收集0x004 用户信息收集0x005 凭据信息收集0x006 探针主机域控架构服务0x007 关注核心资产0x001 域相关介绍详细介绍:https://blog.csdn.net/weixin_44032232/article/details/1058244630x002 基本信息收集旨在了解当前服务器的计算机基本信息,为后续判断服务器角色,网络环境等做准备systeminfo 详细信息net start 启动服务
2021-03-05 23:00:25
328
原创 【Windows提权】本地提权之dll劫持
目录0x001 原理0x002 演示1、收集进程加载的dll2、msf制作dll木马3、替换dll4、启动软件0x001 原理Windows程序启动的时候需要DLL。如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。通常,Windows应用程序有其预定义好的搜索DLL的路径,它会根据下面的顺序进行搜索:Windows查找DLL目录及其顺序如下:1、应用程序加载的目录2、C:\Windows\System323、C:\Windows\System4、C:\Wind
2021-03-04 14:09:45
2385
2
原创 【Windows提权】进程注入提权
介绍获取当前操作系统进程中所拥有的权限注入进程提权【相当于开了一个后门,隐蔽性极高,不会创建新的进程,很难发现】注入到system用户的进程,当管理员账户或其他账户注销后,后门仍然存在。可以理解为将pinjector注入到其他用户的进程里一起运行,进而同时拥有了对应的权限。攻击过程使用工具列出当前操作系统的所有进程pinjector.exe -l可以看到不同的进程对应不同PID和用户。执行pinjector.exe -p 600 cmd 2345注入进程pid为600的进程,使用端口23
2021-03-04 11:50:48
1486
1
原创 【Windows提权】令牌窃取
令牌(Token)令牌(token)是系统的临时秘钥,相当于账号和密码,用来决定是否允许这次请求和判断这次请求是属于哪一个用户的。它允许你在不提供密码或其他凭证的前提下,访问网络和系统资源,这些令牌将持续存在于系统中,除非系统重新启动。令牌最大的特点就是随机性,不可预测,黑客或软件无法猜测出令牌。假冒令牌可以假冒一个网络中的另一个用户进行各类操作。所以当一个攻击者需要域管理员的操作权限时候,需要通过假冒域管理员的令牌进行攻击。令牌有很多种:访问令牌(Access Token):表示访问控制操作主体的
2021-03-04 11:18:06
675
1
原创 【数据库提权】Redis未授权访问常见提权方式
目录0x001 验证是否存在未授权访问0x002 利用计划任务执行命令反弹shell0x003 通过向Web目录中写webshell的方式进行getshell0x004 通过写SSH key的方式进行getshell0x005 修复方案0x001 验证是否存在未授权访问Redis在默认情况会将服务绑定在6379端口上,从而将服务暴露在公网环境下,如果在没有开启安全认证的情况下,可以导致任意用户未授权访问Redis服务器并Redis进行读写等操作。使用redis客户端redis-cli.exe连接,
2021-03-02 15:46:16
917
原创 【PHP代码审计】如何搜索伪静态页面对应执行的php文件
目录0x001 查看重写路由规则的配置文件0x002 根据访问的url判断使用了哪条路由规则0x003 断点调试确认执行文件是否正确0x001 查看重写路由规则的配置文件我本地使用的apache0x002 根据访问的url判断使用了哪条路由规则url:http://127.0.0.1/dmjz/detail-9.html触发规则:RewriteRule ^/detail-([0-9]+)\.html /index\.php\?detailid=$1&ifalias=n&
2021-02-28 16:06:25
247
原创 【Windows提权】本地提权AT&SC&PS
目录0x001 at命令提权0x002 sc命令提权0x003 ps命令提权0x001 at命令提权at 命令提权的原理:at命令是一个计划命令,可以在规定时间完成一些操作,这个命令调用的是system权限。适用版本:Win2000 & Win2003 & XP中还是存在的,在Win7以后被剔除当我们拿到一个低权限的用户,通过3389端口远程连接上后,可以通过at命令来进行本地提权。at 12:31 /interactive cmd (在19:39分生成一个交互式的System
2021-02-27 13:01:19
1339
1
原创 【PHP代码审计】变量覆盖结合文件包含组合拳
目录变量漏洞覆盖介绍由$$变量赋值引发的覆盖结合文件包含变量漏洞覆盖介绍变量覆盖漏洞是指攻击者使用自定义的变量去覆盖源代码中的变量,从而改变代码逻辑,实现攻击目的的一种漏洞。通常来说,单独的变量覆盖漏洞很难有利用价值,但是在与其他应用代码或漏洞结合后,其造成的危害可能是无法估量的。例如购买商品的支付系统若存在变量覆盖漏洞,就可能存在0元支付下单的情况。漏洞产生的原因: extract() parse_str() import_request_variables() $$(可变变量)reg
2021-02-25 14:26:59
264
原创 【PHP代码审计】审计SQL注入
目录0x001 相关知识0x002 审计流程0x001 相关知识查询语句selectinsertupdatedeleteorder by内置函数:代码中使用相关过滤函数mysql_real_escape_string()addslashes()stripslashes()htmlentities()strip_tags()htmlspecialchars()is_int() 类型判断更多注入方式查看:https://blog.csdn.net/weixin_440
2021-02-24 18:07:02
194
原创 【PHP代码审计】ThinkPHP代码审计
目录0x001 开发方式0x002 审计流程1)启用调试开关2)版本查看3)定位函数4)测试是否存在漏洞5)版本自身漏洞0x001 开发方式在审计源码时根据不同的开发方式对应不同的审计方法。自写:有的站点虽然使用了thinkphp但并没有按照官方给的开发文档进行开发,没有引入内置的过滤机制导致出现安全问题。 (正常审计流程。)不安全写法:未全部引用内置过滤。(寻找没有引用内置过滤的地方。)规则写法:这种开发方式是相对安全的,因为框架的过滤机制比较完善。审计方式一般分为两种,寻找对应的版本漏
2021-02-24 18:04:50
1033
2
原创 【PHP代码审计】跨站及文件包含
目录0x001 跨站相关知识搜索关键字查看功能点0x002 跨站审计0x003 文件包含相关知识搜索关键字0x004 文件包含审计0x001 跨站相关知识如何审计相关漏洞???搜索关键字print print_r echo sprintf die var_dump var_export等查看功能点类似留言板,这种有输入输出的地方xss跨站:https://blog.csdn.net/weixin_44032232/article/details/1135505510x002 跨站审计
2021-02-23 16:00:43
129
原创 【渗透测试】常见数据库注入语句
目录0x001 SQLite注入0x002 DB2联合注入0x003 Oracle联合注入0x004 Mongodb闭合注入0x005 Sybase手工联合注入0x001 SQLite注入参考:https://www.cnblogs.com/xiaozi/p/5760321.html通常sqlite文件中会包含一个sqlite_master隐藏表。这里记录着你建表留下的记录,我们可以查看这个表名来看这些数据order by 4union select 1,2,3,4union select
2021-02-22 20:23:29
427
2
ASP超强提权免杀珍藏版.asp
2020-10-10
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人