- 博客(33)
- 收藏
- 关注
RSS订阅原创 黄金票据和白银票据
黄金票据就是伪造了Kerberos协议中的身份票据(TGT)黄金票据可以访问该用户身份的所有服务白银票据就是伪造了Kerberos协议通信流程中服务票据(SGT)白银票据只能访问某一个服务使用域管理员身份创建的票据就是黄金票据,可以访问域内的所有服务。
2024-04-28 22:04:09
826
原创 mssql数据库提权
获取数据库密码翻配置文件:conn.asp(asp站点) ,web.config(aspx站点) , db.inc暴力破解微软的SQL Server在提权过程中往往也会给我们很大帮助,尤其是当找到SA用户的密码时,系统权限就基本到手了前提是必须获取SA用户的密码(SA用户具有最高权限)在连接成功后在sql命令处执行:就能成功的创建一个账户aaa并且加到管理员组:如果执行sql语句不成功,首先检查判断xp_cmdshell是否存在:返回1是存在的。
2024-04-23 18:14:43
492
原创 mysql数据库提权
就是利用创建自定义函数(sys_eval,sys_exec,do_system等), 在mysql中调用这个自定义的函数来实现获取对方主机的system的shell权限,从而达到提权的目的。攻击者如果获取了mysql的root账号情况下,就可以尝试进行udf提权自定义函数sys_eval,执行任意命令,并将输出返回。sys_exec,执行任意命令,并将退出码返回。sys_get,获取一个环境变量。sys_set,创建或修改一个环境变量。
2024-04-23 18:10:48
897
原创 linux系统提权
uname -a 显示全部系统信息cat /etc/issue 内核信息。此命令也适用于所有的Linux发行版cat /etc/passwd 所有人都可看//aux都是参数a = show processes for all users 显示所有用户的进程u = display the process's user/owner 显示用户x = also show processes not attached to a terminal 显示无控制终端的进程。
2024-04-23 18:02:00
738
原创 隐藏通信隧道技术
一般的网络通信,先在两台机器之间建立TCP连接,然后进行正常的数据通信。在知道IP地址的情况下,可以直接发送报文;如果不知道IP地址,就需要将域名解析成IP地址。在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至人侵检测系统来检查对外连接的情况,如果发现异常,就会对通信进行阻断。这里的隧道,是一种绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或者端口进行封装,然后穿过防火墙,与对方进行通信。当被封装的数据包到达目的地时,将数据包还原,并将还原后的数据包发送到相应的服务器上。
2024-04-21 19:16:17
955
原创 内网信息收集
渗透测试进入内网阶段,面对一片 “黑暗森林”。所以首先对当前的网络环境进行判断。我是谁?—— 对当前机器角色进行判断。这在哪?—— 对当前机器所处的网络环境和拓扑结构进行分析和判断。我在哪?—— 对当前机器所处区域进行判断。对当前计算机角色判断,是指判断当前计算机是普通Web服务器、FTP服务器、代理服务器、DNS服务器等。对当前计算机所处网络环境的拓扑结构分析和判断,是指对所在的内网进行全面的数据收集和分析整理,绘制出大致的内网结构拓扑图。
2024-04-10 23:06:50
890
原创 Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)
Log4j 的 JNDI 支持并没有限制可以解析的名称。一些协议像rmi:和ldap:是不安全的或者可以允许远程代码执行。Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了显着改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。工具:https://pan.baidu.com/s/1ijXAfPCFCPbU7FveCpNnRQ?执行之后会看到熟悉的rmi和idap,利用工具生成了恶意的命令和url。
2024-02-29 17:33:07
267
原创 Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。我们使用ysoserial生成payload,然后直接发送给192.168.92.130。
2024-02-29 16:37:31
129
原创 Apache Kafka 客户端 JNDI 注入 RCE (CVE-2023-25194)
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。如果攻击者在连接的时候可以控制属性sasl.jaas.config的值为com.sun.security.auth.module.JndiLoginModule,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。pache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。
2024-02-29 16:12:37
133
原创 Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件。其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令。我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。我们使用的是BeanShell1这条利用链。反弹shell连接: 这里推荐两个shell生成网站。先攻击机开启监听,然后运行上面的代码。
2024-02-29 15:34:17
155
原创 Apache SSI 远程命令执行漏洞
在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用语法执行任意命令。访问,即可看到一个上传表单。
2024-02-29 14:31:24
386
原创 Apache HTTPD 多后缀解析漏洞
给 .cn 后缀增加了语言,值为 zh-CN。此时,如果用户请求文件 index.cn.html,他将返回一个中文的html页面。中是一个白名单检查文件后缀的上传组件,上传完成后并未重命名。我们可以通过上传文件名为或的文件,利用Apache解析漏洞进行getshell。Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。环境运行后,访问即可发现,phpinfo被执行了,该文件被解析为php脚本。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
2024-02-29 11:50:28
332
原创 Apache HTTP Server 2.4.50 中的路径遍历和文件泄露漏洞 (CVE-2021-42013)
Apache HTTP 服务器项目旨在为现代操作系统(包括 UNIX 和 Windows)开发和维护开源 HTTP 服务器。Apache HTTP Server 2.4.50 修补了之前的 CVE-2021-41773 有效负载,但它不完整。修复不完整导致的漏洞,攻击者可以使用路径遍历攻击将 URL 映射到类别名指令配置的目录之外的文件。此漏洞影响 Apache HTTP Server 2.4.49 和 2.4.50 以及更早版本。默认页面:http://192.168.92.130:8080。
2024-02-29 11:23:54
178
原创 Apache HTTP Server 2.4.49 中的路径遍历和文件泄露漏洞 (CVE-2021-41773)
如果这些目录之外的文件不受通常的默认配置“require all denied”的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程执行代码。在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现一个缺陷。攻击者可以使用路径遍历攻击将 URL 映射到预期文档根目录之外的文件。Apache HTTP 服务器项目旨在为现代操作系统(包括 UNIX 和 Windows)开发和维护开源 HTTP 服务器。发送到重发器,进行改包操作。
2024-02-27 10:42:16
237
原创 Apache HTTP Server 2.4.48 mod_proxy SSRF (CVE-2021-40438)
此缺陷允许未经身份验证的远程攻击者使 httpd 服务器将请求转发到任意服务器。攻击者可以获取、修改或删除其他服务上的资源,这些资源可能位于防火墙后面,否则无法访问。此缺陷的影响因 httpd 网络上可用的服务和资源而异。服务器启动后,您可以看到后端 Apache Tomcat 服务器的示例站点。在这里,Apache HTTP Server 作为客户端和后端 Tomcat 服务器之间的中间反向代理运行,它们通过 AJP 协议进行通信。
2024-02-27 10:29:25
187
原创 Apache HTTPD 换行解析漏洞(CVE-2017-15715)
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。在文件名evil.php后面插入一个。
2024-02-27 09:54:25
124
原创 Apache Flink 文件上传漏洞(CVE-2020-17518)
Apache Flink 是一个开源的流处理框架,具有强大的流处理和批处理能力。Apache Flink 1.5.1 引入了一个 REST 处理程序,允许您通过恶意修改的 HTTP HEADER 将上传的文件写入本地文件系统上的任意位置。
2024-02-23 14:54:58
234
原创 Apache APISIX Dashboard API 权限绕过导致rce(CVE-2021-45232)
Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 是一个简单易用的前端界面,用于管理 Apache APISIX。在 Apache APISIX Dashboard 2.10.1 之前版本中,Manager API 使用两个框架并在框架的基础上引入框架 droplet gin ,所有 API 和认证中间件都是基于框架 droplet 开发的。docker 启动环境。
2024-02-23 10:37:25
178
原创 Apache APISIX默认密钥漏洞(CVE-2020-13945)
Apache APISIX 是一个动态、实时、高性能的 API 网关。Apache APISIX 默认内置 API Token,可用于访问所有 admin API edd1c9f034335f136f87ad84b625c8f1 ,通过 2.x 版本中添加的 script 参数导致远程 LUA 代码执行。服务器启动后,您可以在 中看到默认的 404 页面。docker 启动环境。
2024-02-21 18:24:24
244
原创 Apache Druid 代码执行漏洞
Apache Druid 能够执行嵌入在各种类型请求中的用户提供的 JavaScript 代码。但是,在 Druid 0.20.0 及更早版本中,经过身份验证的用户可以发送特制的请求,强制 Druid 为该请求运行用户提供的 JavaScript 代码,而不管服务器配置如何。这可以用来以 Druid 服务器进程的权限在目标计算机上执行代码。Apache Druid 是一种开源的分布式数据存储,旨在摄取大量数据,以提供低延迟和高并发的即时数据可见性、临时分析和查询。使用docker 搭建环境。
2024-02-21 18:11:17
298
原创 Apache Airflow 身份验证绕过 (CVE-2020-17526)
首先,浏览登录页面并从 Cookie 获取会话字符串:eyJfZnJlc2giOmZhbHNlLCJjc3JmX3Rva2VuIjoiMDZmODZhY2QzY2JhNGQwZDI0ZGM0ODA5MTAzNWY2YzgyMTQ3YmM5YiJ9.ZdW-Kg.TcsL80HkILvoOEgJz9z9xu_44js。在 1.10.13 之前的版本中,Apache Airflow 使用默认会话 secert 密钥,这会导致在启用身份验证时模拟任意用户。然后,使用此键生成一个新会话,其。
2024-02-21 17:39:29
297
原创 Apache Airflow Celery Broker 远程命令执行
要利用此漏洞,您必须获得 Celery 代理 Redis 的写入权限。在Vulhub环境中,Redis端口6379暴露在Internet上。通过 Redis,您可以将邪恶任务。添加到队列中以执行任意命令。docker 启动环境。
2024-02-21 17:00:11
106
原创 Apache Airflow 示例 dag 中的 Apache Airflow 命令注入 (CVE-2020-11978)
Apache Airflow 是一个开源的分布式任务调度框架--1.10.10 之前的版本中,示例 DAG。单击右侧的“triger”按钮。然后输入带有构建的有效负载。复现:docker启动环境。
2024-02-21 15:59:08
106
原创 Linux日志分析
日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf比较重要的几个日志:登录失败记录:/var/log/btmp //lastb最后一次登录:/var/log/lastlog //lastlog登录成功记录: /var/log/wtmp //last登录日志记录:/var/log/secure目前登录用户信息:/var/run/utmp //w、who、users历史命令记录:history 。
2024-02-19 10:28:43
500
1
原创 渗透测试常用专业术语
想象自己是一个特工,你的目标是监控一个重要的人,有一天你怀疑目标家里的窗子可能没有关,于是你上前推了推,结果推开了,这是一个POC。之后你回去了,开始准备第二天的渗透计划,第二天你通过同样的漏洞渗透进了它家,仔细查看了所有的重要文件,离开时还安装了一个隐蔽的录音笔,这一天你所做的就是一个EXP,你在他家所做的就是不同的Payload,就把录音笔当作Shellcode吧!
2024-01-29 16:28:42
1003
原创 phpmyadmin——提权
general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。比如 如果是 phpstudy启动的 根据 mysql 安装路径 就可以猜出网站的位置。用于 secur_file_priv 为null 或限定值 不在网页目录时。执行下面的sql语句,创建表并在表中写入一句话木马,在导出到网站的根路径。2.secure_file_priv 不为null 具体描述在下边。general_log_file:日志保存路径。3.要知道网站的绝对路径,写入马才能连接。
2024-01-29 16:26:44
458
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人