weixin_53639243的博客

黄金票据就是伪造了Kerberos协议中的身份票据（TGT）黄金票据可以访问该用户身份的所有服务白银票据就是伪造了Kerberos协议通信流程中服务票据（SGT）白银票据只能访问某一个服务使用域管理员身份创建的票据就是黄金票据，可以访问域内的所有服务。

获取数据库密码翻配置文件：conn.asp(asp站点) ,web.config(aspx站点) , db.inc暴力破解微软的SQL Server在提权过程中往往也会给我们很大帮助，尤其是当找到SA用户的密码时，系统权限就基本到手了前提是必须获取SA用户的密码（SA用户具有最高权限）在连接成功后在sql命令处执行：就能成功的创建一个账户aaa并且加到管理员组：如果执行sql语句不成功，首先检查判断xp_cmdshell是否存在：返回1是存在的。

就是利用创建自定义函数（sys_eval,sys_exec,do_system等）， 在mysql中调用这个自定义的函数来实现获取对方主机的system的shell权限，从而达到提权的目的。攻击者如果获取了mysql的root账号情况下，就可以尝试进行udf提权自定义函数sys_eval，执行任意命令，并将输出返回。sys_exec，执行任意命令，并将退出码返回。sys_get，获取一个环境变量。sys_set，创建或修改一个环境变量。

uname -a 显示全部系统信息cat /etc/issue 内核信息。此命令也适用于所有的Linux发行版cat /etc/passwd 所有人都可看//aux都是参数a = show processes for all users 显示所有用户的进程u = display the process's user/owner 显示用户x = also show processes not attached to a terminal 显示无控制终端的进程。

提权方法。

一般的网络通信，先在两台机器之间建立TCP连接，然后进行正常的数据通信。在知道IP地址的情况下，可以直接发送报文；如果不知道IP地址，就需要将域名解析成IP地址。在实际的网络中，通常会通过各种边界设备、软/硬件防火墙甚至人侵检测系统来检查对外连接的情况，如果发现异常，就会对通信进行阻断。这里的隧道，是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或者端口进行封装，然后穿过防火墙，与对方进行通信。当被封装的数据包到达目的地时，将数据包还原，并将还原后的数据包发送到相应的服务器上。

渗透测试进入内网阶段，面对一片 “黑暗森林”。所以首先对当前的网络环境进行判断。我是谁？—— 对当前机器角色进行判断。这在哪？—— 对当前机器所处的网络环境和拓扑结构进行分析和判断。我在哪？—— 对当前机器所处区域进行判断。对当前计算机角色判断，是指判断当前计算机是普通Web服务器、FTP服务器、代理服务器、DNS服务器等。对当前计算机所处网络环境的拓扑结构分析和判断,是指对所在的内网进行全面的数据收集和分析整理，绘制出大致的内网结构拓扑图。

111

Log4j 的 JNDI 支持并没有限制可以解析的名称。一些协议像rmi:和ldap:是不安全的或者可以允许远程代码执行。Apache Log4j 2 是对 Log4j 的升级，它比其前身 Log4j 1.x 提供了显着改进，并提供了 Logback 中可用的许多改进，同时修复了 Logback 架构中的一些固有问题。工具：https://pan.baidu.com/s/1ijXAfPCFCPbU7FveCpNnRQ?执行之后会看到熟悉的rmi和idap，利用工具生成了恶意的命令和url。

Apache Log4j是一个用于Java的日志记录库，其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。我们使用ysoserial生成payload，然后直接发送给192.168.92.130。

在版本3.3.2及以前，Apache Kafka clients中存在一处JNDI注入漏洞。如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule，则可以发起JNDI连接，进而导致JNDI注入漏洞，执行任意命令。pache Kafka是一个开源分布式消息队列，Kafka clients是相对应的Java客户端。

Apache JMeter是美国阿帕奇（Apache）软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞，攻击者可以利用该漏洞在目标服务器上执行任意命令。我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。我们使用的是BeanShell1这条利用链。反弹shell连接： 这里推荐两个shell生成网站。先攻击机开启监听，然后运行上面的代码。

在测试任意文件上传漏洞的时候，目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持，我们可以上传一个shtml文件，并利用语法执行任意命令。访问，即可看到一个上传表单。

给 .cn 后缀增加了语言，值为 zh-CN。此时，如果用户请求文件 index.cn.html，他将返回一个中文的html页面。中是一个白名单检查文件后缀的上传组件，上传完成后并未重命名。我们可以通过上传文件名为或的文件，利用Apache解析漏洞进行getshell。Apache HTTPD 支持一个文件拥有多个后缀，并为不同后缀执行不同的指令。环境运行后，访问即可发现，phpinfo被执行了，该文件被解析为php脚本。利用这个特性，将会造成一个可以绕过上传白名单的解析漏洞。

Apache HTTP 服务器项目旨在为现代操作系统（包括 UNIX 和 Windows）开发和维护开源 HTTP 服务器。Apache HTTP Server 2.4.50 修补了之前的 CVE-2021-41773 有效负载，但它不完整。修复不完整导致的漏洞，攻击者可以使用路径遍历攻击将 URL 映射到类别名指令配置的目录之外的文件。此漏洞影响 Apache HTTP Server 2.4.49 和 2.4.50 以及更早版本。默认页面：http://192.168.92.130:8080。

如果这些目录之外的文件不受通常的默认配置“require all denied”的保护，则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本，则可以允许远程执行代码。在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。Apache HTTP 服务器项目旨在为现代操作系统（包括 UNIX 和 Windows）开发和维护开源 HTTP 服务器。发送到重发器，进行改包操作。

此缺陷允许未经身份验证的远程攻击者使 httpd 服务器将请求转发到任意服务器。攻击者可以获取、修改或删除其他服务上的资源，这些资源可能位于防火墙后面，否则无法访问。此缺陷的影响因 httpd 网络上可用的服务和资源而异。服务器启动后，您可以看到后端 Apache Tomcat 服务器的示例站点。在这里，Apache HTTP Server 作为客户端和后端 Tomcat 服务器之间的中间反向代理运行，它们通过 AJP 协议进行通信。

Apache HTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞，在解析PHP时，将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。在文件名evil.php后面插入一个。

复现：访问首页exp利用。

Apache Flink 是一个开源的流处理框架，具有强大的流处理和批处理能力。Apache Flink 1.5.1 引入了一个 REST 处理程序，允许您通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。