gjl_-CSDN博客

使用蚁剑打开命令终端运行该程序， DMZ 主机上线。网卡2（仅主机）172.16.1.128。网卡1（桥接）10.9.47.110。域控（win 2008）（仅主机）此时 DMZ 主机还是普通用户权限。使用 dvwa 文件上传模拟漏洞。调到 low 模式上传一句话木马。使用蚁剑将木马上传到 DMZ 上。指定成功传递后与哪个主机做连接。抓取本地 ntlm hash。选择刚刚创建的 smb 监听。win11（nat 模式）访问 DMZ（win7）提权到 system。查看扫描出的内网主机。

2023-12-15 18:17:45 775

原创 Redis 未授权利用

redis 和 ssrf 经常绑定redis 端口 6379redis 在内网常见由于服务安装启动的时候默认不需要账户名密码认证，并且默认可以直接向服务器写入文件，也不需要进行额外的配置，这种情况下会造成任意文件的写入，此时攻击者可以向 web 目录下写一句话木马，也可以写入 ssh 公钥windows 下载 git 终端，生成公钥和私钥。

2023-12-14 18:50:04 979

原创正向代理、反向代理实战演示

代理服务：socks5 应用层协议。

2023-12-13 19:42:54 1794

原创 CobaltStrike 三种上线方式（exe、宏病毒、PowerShell）

上一篇文章。

2023-12-12 20:21:25 760

原创制作 PDF 钓鱼文件

接。

2023-12-12 17:35:32 1508

原创 CobaltStrike 内网渗透--权限移交--多人上线

打下了一个点。

2023-12-12 11:50:19 590

原创 Wireshark 分析常见 Web 攻击的流量特征

攻击者在输入字段中插入恶意的 SQL 语句，实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。

2023-12-08 18:18:56 8489

原创 Shiro 反序列化漏洞复现

在 Apache shiro 的框架中，执行身份验证时提供了一个记住密码的功能（RememberMe），如果用户登录时勾选了这个选项。用户的请求数据包中将会在 cookie 字段多出一段数据，这一段数据包含了用户的身份信息，且是经过加密的。加密的过程是：用户信息=>序列化=>AES加密（这一步需要用密钥key）=>base64编码=>添加到 RememberMe Cookie 字段。勾选记住密码之后，下次登录时，服务端会根据客户端请求包中的 cookie 值进行身份验证，无需登录即可访问。

2023-12-08 13:59:51 1240

原创 Token 绕过 / JWT漏洞 / 垂直越权 / WebGoat–JWT靶场 tokens–4、5、7 关

json 是一种数据格式，为了处理不同数据间的转换JWT 是 Token 的一种实现方式存放位置不一定，可能是 Cookie、url、Authorization 等。

2023-12-07 17:15:47 4492

原创扫描器使用

扫描器给客户的业务造成影响，比如存在 sql 注入漏洞的话，会给客户的数据（存在重大漏洞），后果非常严重。

2023-12-06 16:33:31 512

原创电脑浏览器抓取 https 数据包和手机抓取 https 数据包

打开 BurpSuite打开浏览器浏览器挂 BurpSuite 代理访问点击 CA Certificate 下载证书在浏览器设置中搜索证书导入证书成功导入，此时可以抓取全部 https 报文。

2023-12-01 19:09:47 1071

原创 DVWA SQL Injection (Blind) SQL 盲注 low 级别

当 and 后接的语句为 True（1=1）时，返回 exists当 and 后接的语句为 False（1=2）时，返回 MISSING。

2023-11-30 20:24:12 1158

原创非对称加密、数据加密、数据完整性、数字签名、证书

只有用 B 的私钥才可以解密 data1，获取原数据 data，并且 B 的私钥只有 B 拥有，因此可以完成加密传输功能，且不会像对称加密那样再协商密钥期间会泄露密钥。使用自己的私钥对数据进行加密，其他人只能用相对应的公钥进行解密。而此私钥只有自己拥有，其他人无法伪造，当别人可以成功用你的公钥对密文进行解密时，说明数据就是你加密的，从而实现了数字签名（身份认证）的效果。若存在中间人截获 data1，将伪造的信息使用 B 的公钥加密成伪造的 data1，发送给 B，B 无法区分此消息是否真正来源于 A。

2023-11-29 22:10:21 1577

原创 Kerberos 认证、黄金票据、白银票据

在实际环境中，有各种各样的服务都需要进行认证，需要频繁输入密码进行认证，不仅繁琐，而且频繁传输密码加大了出现中间人劫持等安全风险。服务器持有 TGS 颁发的票据后，携带票据访问相应的服务可获取响应的服务权限。AS（Authentication Service）所在的服务器存储了用户凭证，用户输入账户密码进行认证成功后，AS 向用户颁发。（身份票据），用户获取 TGT 后，凭借 TGT 即可向 TGS 申请各种服务票据（ST），用来获取各种服务的权限。白银票据就是伪造了 Kerberos 中的服务票据。

2023-11-29 19:34:53 862

原创内网渗透 / 哈希传递

实际情况下拿到的用户一般为程序用户大部分提权是基于溢出漏洞的提权（

2023-11-28 21:03:52 478

原创业务逻辑漏洞

由于开发者的逻辑不严谨造成的程序功能异常扫描器出业务逻辑漏洞。

2023-11-27 17:18:11 1145

原创对 pikachu SSRF 靶场进行黑白名单加固

原本网站只允许使用 http 协议访问 /pikachu/vul/ssrf/ssrf_info/info1.php而此页面存在 SSRF 漏洞，未进行验证过滤，从而导致攻击者伪造正常的请求，以达到攻击的目的。如使用 file 协议查看 hosts 文件使用 http 协议访问其他 url使用 dict 探测端口等操作。

2023-11-25 18:09:02 702

原创 PHP 简单的黑白名单编写（以文件后缀为例）

只进行简单的黑白名单过滤演示，不考虑任意文件读取等其他漏洞，也不考虑绕过黑白名单过滤等问题。

2023-11-25 13:45:13 553

原创渗透测试 / 信息搜集

尝试寻找网站的 web 漏洞，如 XSS、SQL 注入、CSRF 等。三次握手建立完整的 TCP 连接，判断目标主机端口是否开放。进行操作系统探测，使用不同特征扫描目标主机，判断其操作系统。设置扫描速度，0-5，级别越高扫描越快，越容易被防火墙拦截。进行服务版本探测，扫描出目标主机运行的具体服务及其版本号。完整的 TCP 三次握手后连接完成才会记录到日志中，全面扫描，包括指纹识别、版本探测、脚本扫描等。只完成了三次握手的两次，不会记录到日志中。限定搜索范围为某一网站，搜索其。Wappalyzer 插件。

2023-11-24 19:57:06 595

原创 CDN / CDN 绕过

访问请求会先经过CDN节点的过滤，该过滤可对SQL注入、XSS、Webshell上传、命令注入、恶意扫描等攻击行为进行有效检测和拦截。CDN节点将认为无害的数据提交给真实的主机服务器。客户端访问 CDN 服务器，CDN 服务器预先与客户端要访问的服务器通信，缓存静态资源，缩短客户端的访问延迟。客户端想要通过 DNS 获取服务器域名对应的 ip，DNS 返回离客户端最近的 CDN 服务器的 ip。很多公司无国外 CDN 节点，无法访问 CDN 节点，只能直接访问服务器。前提：没换服务器 ip。

2023-11-24 19:30:23 497

原创如何对网页进行渗透测试

或使用漏洞扫描工具扫描目标网站，寻找可能存在的漏洞。读取敏感文件、配合一句话图片马等操作。Burpsuite 工具。上传一句话木马，蚁剑连接。Beef-XSS 工具。XSS 跨站脚本攻击。

2023-11-22 18:27:22 361

原创 Java 反序列化漏洞基础 / 原理 / 模拟实现

java.class.java.jar.class.jsp编译可以使用命令将.java文件编译为.class文件运行。

2023-11-22 17:39:44 854

原创 pikachu 反序列化靶场

核心代码$unser->test接收上传的参数判断是否能够被反序列化，即上传的参数是否经过序列化如果上传的序列化后的参数，将上传的数据反序列化后，自动执行魔术方法用来输出反序列化后对象的test属性的值到页面上。

2023-11-21 22:19:53 272

原创 PHP 反序列化漏洞

将对象转化为便于传输的格式，常见序列化格式有二进制、字节数组、json 字符串、xml 字符串，php 中使用。

2023-11-21 18:57:20 513

原创无回显判断是否存在命令执行漏洞

刷新 DNSlog，成功收到解析，说明命令执行成功。在 DVWA 上 ping 此域名。DNSlog 获取一个域名。

2023-11-21 17:47:45 367

原创 DVWA——Command Injection 命令注入

打开/DVWA/dvwa/includes/dvwaPage.inc.php文件，277 行修改，将 UTF-8 改为GBK或者 GB2312。

2023-11-21 17:26:32 447

原创常见安全项目

渗透测试只可以渗透以下其中的 oa.www.1000phone.com，而红蓝对抗不限。服务器实现，信息查看.bash_history…、log，处理病毒，阻断传播。如 www.1000phone.com 中。尝试会的所有漏洞对网页进行攻击。制定网络安全应急响应计划。

2023-11-20 21:47:03 419

原创远程文件包含漏洞

攻击者机器 1 开启 phpstudy，www 目录下放 1.php 文件，保证与受害者的网络连接，受害者可以访问 1.php。kali 访问以下 url，成功访问到文件。提供被远程包含的文件（1.php）开启 http 服务供受害者访问。Server2016（受害者）配置 php.ini。

2023-11-20 21:28:12 448

原创抓包判断sql注入的流量特征

DVWA 为例10.9.47.90 开放 DVWA 靶场，并开启 wireshark使用 kali 的sqlmap 扫描 sql 注入漏洞。

2023-11-20 21:02:34 601

原创隐蔽挖掘 xss 漏洞

XSS 通过构造的代码（JavaScript）注入到网页中，并由浏览器解释运行这段JS 代码，以达到恶意攻击的效果。当用户访问被 XSS 脚本注入过的网页，XSS 脚本就会被提取出来，用户浏览器就会解析执行这段代码：输入的内容服务器是否原样返回（

2023-11-20 20:18:06 519

原创 fuzz测试文件上传靶场的黑名单

查看爆破记录，数据包长度相同的返回结果相同，如长度为 3809 的数据包能够成功上传。可以选择返回值长度为 3812 的数据包来查看文件上传靶场的黑名单。以 upload-labs 第三关为例。选择文件，开启 bp 拦截，点击上传。长度为 3812 的数据包上传失败。发送到 Intruder 模块。为文件名添加有效负载标记。

2023-11-20 19:49:49 536

原创 Pikachu 靶场搭建 / 密码爆破

输入用户名 admin，随便输入密码，提交，BurpSuite 拦截，发送到 Intruder 模块。服务端收到请求，然后去验证客户端请求里面带着token，如果验证成功，就向客户端返回请求的数据。而当再次输入刚刚正确的验证码时，显示用户名或密码不存在，说明一次抓包，验证码可重复利用。直接在浏览器中禁用 JS，随便输入用户名密码，不弹出验证码错误，说明成功绕过。验证成功后，服务端会生成一个token，然后把这个token发送给客户端。提交请求，BurpSuite 抓包拦截，发送到 Repeater 模块。

2023-11-20 18:27:38 1242

原创 WebLogic SSRF 漏洞复现（Radies 反弹）

查看 Radies ip，Radies 数据库默认端口为 6379。如果访问的非http协议，则会返回。访问该端口，报错信息表示端口开启。更改请求的 url，查看回显。编写反弹 shell 脚本。点击 serach，抓包。

2023-11-18 18:14:17 123

原创 CTFHub SSRF

直接请求服务器本地 flag.php 文件。

2023-11-18 16:28:18 92

空空如也

Python input后接着一个input第二个不起作用