- 博客(90)
- 收藏
- 关注
RSS订阅原创 内网隧道技术学习
在进行渗透测试以及攻防演练的时候,通常会存在各种边界设备、软硬件防火墙、IPS等设备来检测外部连接情况,这些设备如果发现异常,就会对通信进行阻断。那么隧道技术就是一种绕过端口屏蔽的通信方式,在实际情况中防火墙上会设定各种安全策略,比如允许某种类型的端口通过,阻断某种端口通过等情况。那么隧道技术就是将数据包封装成功防火墙允许通过的数据包类型及端口,然后穿越防火墙,与对方进行通信,当被封装的数据包到达后,再将数据包还原。
2023-08-30 16:35:42
437
原创 内网实战1
对内网主机进行扫描探测,对c段进行扫描,主要扫描139,445,135,3389,3306,6379端口。全局日志功能关闭,不过可以通过命令开启,并修改日志保存的绝对路径,这里的路径可以在探针页面获得。可以百度搜搜phpmyadmin的利用方式,我想了下,一种是利用nday去打,一种是写马子;结果没有搜到可利用的方式,直接去尝试写木马把,写木马也有好几种思路;,这是一个数据库管理工具,拿着数据库的帐号密码直接去登录!没有导入权限, 无法写木马,查看是否有开启全局日志。接下来访问我们扫描出来的目录,
2023-08-28 21:54:18
552
原创 WPS-RCE
Office 中的 WebExtension(通常称为 Office 插件或 Office 应用程序)是一种用于扩展 Microsoft Office 功能的技术。Office 插件使第三方开发者能够在 Office 应用程序中集成自己的服务和功能。这些插件采用跨平台的 Web 技术(如 HTML, CSS 和 JavaScript)开发,可以在不同的平台和设备上运行。代码,造成了溢出RCE。修改hosts文件为:攻击IP clientweb.docer.wps.cn.cloudwps.cn。
2023-08-20 21:26:05
409
原创 ssh软连接后门
软连接后门的原理是利用了PAM配置文件的作用,将sshd文件软连接名称设置为su,这样应用在启动过程中会去PAM配置文件中寻找是否存在对应名称的配置信息(su),su在pam_rootok只检测uid 0 即认证成功,导致可以使用任意密码去登录。
2023-05-23 15:07:41
539
1
原创 Windows提权姿势
目录为什么提权Windows提权的常见方法提权的常用命令内核漏洞Vulmap【windows?查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。简单来说就是,我们通过web渗透方式将我们的payload传入到了目标机里,但是拿到webshell的权限很低,有些事情是不能做的,所以我们需要进行提权,权限越大,我们做的事情也就越多了;要运行的二进制文件的位置在。
2023-03-19 23:34:21
923
原创 mysql udf提权
udf提权只要是因为udf.dll文件,攻击者通过编写调用cmd或者shell的udf.dkk文件,并且导入到一个指定的文件夹目录下,创建一个指向udf.dll的自定义函数,从而在数据库中的查询就等价于在cmd或者shell中执行命令。查询下的MySQL版本,这里我的是5.7.26,是大于5.1版本的,也就是说,我们需要找到lib\plugin这个目录,然后将我们的udf.dll文件写进去,其实这里的目录需要我们自己创建。前面做的是为了做铺垫,后面我们提权需要使用这个16进制的udf.dll文件;
2023-03-16 23:53:28
1064
1
原创 RCE命令执行/代码执行总结
exec执行command命令,但是不会输出全部结果,而是返回结果的最后一行,如果你想得到全部的结果,可以使用第二个参数,让其输出到一个数组,数组的每一个记录代表了输出的每一行,如果输出结果有10行,则数组就有10条记录。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。eval():函数把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码,且必须以分号结尾。
2023-03-12 21:54:41
473
1
原创 JWT利用在ctfhub-easy_login拿到flag
JWT的全称是Json Web Token。将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token;服务器通过密钥验证token的正确性,判断是否通过验证。jwt 之前,使用 session 来做用户认证,session需要服务器执行查询操作。
2023-03-05 12:30:27
553
1
原创 redis 未授权访问漏洞
Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在这个模式下,非绑定IP或者没有配置密码访问时都会报错),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等等,这样将会将Redis服务暴露在公网上,如果在没有设置密码认证(默认为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。(2) 没有设置密码认证(默认为空)或者弱密码,可以免密码登录redis服务。
2023-03-02 22:26:21
2108
原创 PHP session反序列化漏洞
PHP在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取 $_SESSION 数据,都会对数据进行序列化和反序列化,PHP中的Session的实现是没有的问题的,漏洞主要是由于使用不同的引擎来处理session文件造成的。在session.php中存储,这里要注意,因为session.php存储器使用了php.serialize,而session.php使用的是php,因此漏洞的主要原因在于不同的引擎对于竖杠' | '的解析产生歧义。session反序列化漏洞。
2023-02-12 07:17:10
569
原创 Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)
Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理。
2023-02-11 00:30:03
1168
2
原创 PHP反序列化漏洞之pop链2
但是如果想注入恶意payload,还需要对$test的值进行覆盖,题目中已经给出了序列化链,很明显是对类A的$test变量进行覆盖,将POST接收的phpin佛()值覆盖所定义的值,这里也可以传入一句话木马等,利用我们的eval危险函数(任意命令执行)进行执行。在执行unserialize()方法时会触发__wakeup()方法执行,将传入的字符串反序列化后,会替换掉test类里面$test变量的值,将php探针写入flag.php文件中,并通过下面的require引用,导致命令执行。
2023-02-09 13:51:21
411
原创 php反序列化漏洞之pop链
常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
2023-02-08 22:59:20
1848
原创 初识PHP反序列化
但是如果想注入恶意payload,还需要对$test的值进行覆盖,题目中已经给出了序列化链,很明显是对类A的$test变量进行覆盖,将POST接收的phpin佛()值覆盖所定义的值,这里也可以传入一句话木马等,利用我们的eval危险函数(任意命令执行)进行执行。在执行unserialize()方法时会触发__wakeup()方法执行,将传入的字符串反序列化后,会替换掉test类里面$test变量的值,将php探针写入flag.php文件中,并通过下面的require引用,导致命令执行。
2023-02-05 13:12:57
624
原创 php伪协议
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
2023-01-27 23:46:46
4499
原创 Linux三剑客之Sed
(patternspace ),接着用sed 命令处理缓冲区中的内容,处理完成后,把缓冲区的内容送往屏幕。然后读入下行,执行下一个循环。D:删除 当前模式空间开端至\n 的内容(不再传 至标准输出),放弃之后的命令,但是对剩余模式空间重新执行sed。:把Script写到文件当中,在执行sed时-f 指定文件路径,如果是多个Script,换行写。:不输出模式空间内容到屏幕,即不自动打印,只打印匹配到的行。处理时,把当前处理的行存储在临时缓冲区中,称为“x:把模式空间中的内容与保持空间中的内容进行互换。
2023-01-17 18:42:22
678
原创 Linux-Find命令
命令格式:find 查找路径 查找条件1 查找条件2 .. [-exec 处理命令 {} \;-mtime 匹配修改内容的时间(+ 代表多少天之前 - 代表多少天之内,0代表24小时之内)如果要在整个系统中搜索权限中包括SUID权限的所有文件,只需使用-4000。-perm 匹配权限(mode为完全匹配 -mode 包含即可)空文件可以是没有任何内容的普通文件,也可以是没有任何内容的目录。-type 类型(f文件 d目录 l链接文件)-ctime 匹配修改文件权限的时间。
2023-01-17 18:04:23
1176
原创 web服务器的相关配置
什么是wwwwww是world wide web的缩写,也就是全球信息广播的意思。通常说的上网就是使用www来查询用户所需要的信息。www可以结合文字、图形、影像以及声音等多媒体,并通过可以让鼠标单击超链接的方式将信息以Internet传递到世界各处去。与其他服务器类似,当你连接上www网站,该网站肯定会提供一些数据,而你的客户端则必须要使用可以解析这些数据的软件来处理,那就是浏览器。www服务器与客户端浏览器之间的连接图。
2023-01-08 19:35:37
4056
原创 xss.haozi靶场通关
做完xss-labs靶场后,再继续做这个靶场,感觉这个不是很难,毕竟在第一个靶场也获取了一些经验,但是这个靶场偏向技巧,所以还是以了解为主。
2023-01-06 00:13:17
386
原创 带你了解ssh服务过程
远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样。
2023-01-05 22:27:48
3112
原创 chrony服务器
Chrony是一个开源自由的网络时间协议 NTP 的客户端和服务器软软件。它能让计算机保持系统时钟与时钟服务器(NTP)同步,因此让你的计算机保持精确的时间,Chrony也可以作为服务端软件为其他计算机提供时间同步服务。chronyd是一个后台运行的守护进程,用于调整内核中运行的系统时钟和时钟服务器同步。# 根据实际时间计算出服务器增减时间的比率,然后记录到一个文件中,在系统重启后为系统做出最佳时间补偿调整。b: 第一台服务器使用系统时间作为第二台服务器的时钟源, 第一台服务器层级设置为6,
2023-01-03 21:34:17
458
原创 xss漏洞原理
在搜索框中,提交PoC[scriptalert(/xss/)/script],点击搜索,即可触发反射型XSS。owasp 关于DOM 型号XSS 的定义是基于DOM 的XSS 是一种XSS 攻击,其中攻击的payload由于修改受害者浏览器页面的DOM 树而执行的。因为XSS 使用的JS 代码,JS 代码的运行环境是浏览器,所以需要浏览器从服务器载入恶意的XSS 代码,才能真正触发XSS。反射型XSS 的JS 代码在Web 应用的参数(变量)中,如。反射型xss、存储型xss、dom型xss。
2022-12-28 22:55:53
194
原创 Apache HTTPD 多后缀解析漏洞
Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。其给.html后缀增加了media-type,值为text/html;给.cn后缀增加了语言,值为zh-CN。此时,如果用户请求文件,他将返回一个中文的html页面。以上就是Apache多后缀的特性。如果运维人员给.php那么,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
2022-12-09 18:09:43
647
原创 负载均衡反向代理下的webshell
负载均衡(Load Balance) 是一种廉价的扩容的方案,它的概念不是本文的重点,不知道的可以去查资料学习。实现负载均衡的方式有很多种,比如 DNS 方式、HTTP 重定向方式、IP 负载均衡方式、反向代理方式等等。其中像 HTTP 重定向方式、DNS方式等能够直接访问到单一机器的情况,不在我们本文讨论范围内。连接的时候,URL处按 IP 格式来填,然后把域名加在 Host 头处,就完事了。反向代理方式其中比较流行的方式是用 nginx 来做负载均衡。
2022-12-08 22:26:23
1073
2
原创 Apache HTTP 两个路径穿越漏洞复现
Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响:攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。漏洞环境:执行如下命令编译及运行一个存在漏洞的Apache HTTPd 2.4.49版本服务器:环境启动后,访问即可看到Apache默认的页面。打开网页:
2022-12-07 21:16:04
564
1
原创 Apache HTTPD 换行解析漏洞
Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。影响版本:Apache 2.4.0~2.4.29 存在一个解析漏洞;在解析PHP时,将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。我们查看一下配置:读取配置文件,前三行的意思是把以 结尾的文件当成 文件执行。问题就在它使用的是 符号匹配的,我们都知道这个符号在正则表达式中的意思是匹配字符串的末尾,是会匹配换行符的,那么漏洞就这样产生了。 进入容器里,打开index.php,发现如果文件后缀名为 php、
2022-12-07 12:36:24
1322
原创 nginx目录穿越漏洞(insecure-configuration)
该漏洞是由于配置错误导致的漏洞原理:传送门这个常见于Nginx做反向代理的情况,动态的部分被proxy_pass传递给后端端口,而静态文件需要Nginx来处理。环境:vulhub靶场 进入nginx/insecure-configuration运行docker-compose up -d8081端口为目录穿越漏洞 我们打开docker-compose.yml文件,看看里面的关系 我们发现./files/:/home/ 将/files/影射到了home目录下, 进入镜像去看看,查看/home目录下的
2022-12-05 15:37:41
1158
原创 nginx $uri导致的CRLF注入漏洞
路径:nginx/insecure-configuration运行成功后,Nginx将会监听8080/8081/8082三个端口,分别对应三种漏洞。Nginx会将进行解码,导致传入%0d%0a即可引入换行符,造成CRLF注入漏洞。错误的配置文件示例(原本的目的是为了让http的请求跳转到https上):下面两种情景十分常见:1.用户访问,自动跳转到将会301跳转到随着现在https的普及,很多站点都强制使用https访问,这样的跳转非常常见。2.用户访问,自动跳转到该场景主要是为了统一用户访问的域名,更加有
2022-12-05 15:03:30
1204
原创 nginx解析漏洞复现
这里我是部署了vulhub靶场直接执行启动容器,无需编译。(不受php、nginx的版本限制)(1)php解析配置文件php.ini中参数cgi.fix_pathinfo设置为1(2)php-fpmConf中security.limit_extension参数为空或为错误的解析后缀(3)nginx网页具有文件上传点Cgi.fix_pathinfo为php-fpm对错误路径进行修复Security.limit_extension为php-fpm支持的后缀代码解析例如:“1.jpg/a.php“,a.php为不
2022-12-05 12:37:56
1402
原创 nginx的安装与nginx降权+匹配php
1.gcc 可以编译 C,C++,Ada,Object C和Java等语言(安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境)2.pcre pcre-devel pcre是一个perl库,包括perl兼容的正则表达式库,nginx的http模块使用pcre来解析正则表达式,所以需要安装pcre库3.zlib zlib-devel zlib库提供了很多种压缩和解压缩方式nginx使用zlib对http包的内容进行gzip,所以需要安装。
2022-11-27 21:39:00
832
原创 this 关键字
this关键字是一个非常重要的语法点。毫不夸张地说,不理解它的含义,大部分开发任务都无法完成。前一章已经提到,this可以用在构造函数之中,表示实例对象。除此之外,this还可以用在别的场合。但不管是什么场合,this都有一个共同点:它总是返回一个对象。简单说,this就是属性或方法“当前”所在的对象。上面代码中,this就代表property属性当前所在的对象。下面是一个实际的例子。name: '张三',return '姓名:'+ this.name;}};// "姓名:张三"
2022-11-20 09:11:25
272
原创 使用xss来打cookie
在我们的xss平台上,我们就可以收到一条信息,这也就说明了我们成功拿到cookie值,里面包含了cookie值;下来我们就可以使用cookie值进行登录,无需密码验证,到这里是不是感觉很爽。这里我们使用安全等级低的来做,使用xss存储型,只要大家能够绕过安全的等级(后面我会将存储型的三个等级绕过方式整理出来)下来我们重新使用一个浏览器打开我们的dvwa靶机,找到检查,找到cookie,进行修改。2、这里面有许多模块,自己选择所需要的就行,这里我使用的是默认模块。成功用cookie登录。
2022-11-11 18:58:28
1081
原创 了解xss漏洞的简单案例
特点:仅执行一次,非持久性;参数型跨站脚本主要存在于攻击者将恶意脚本附加到url的参数中,发送给受害者,服务端未经严格过滤处理而输出在用户浏览器,导致浏览器执行代码的数据。攻击过程: U经常浏览某个网站A。U使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)在网站A中。H发现A站点包含反射性的XSS漏洞,编写一利用漏洞的URL,并将其冒充为来自A的邮件给U。U在登录到A的站点后,浏览H供的URL。
2022-11-08 12:55:21
1083
原创 kali部署dvwa靶场
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。1、首先我们需要dvwa的包,我们可以在GitHub上进行下载,在windows上下载后,上传到kali上,通过unzip命令(unzip DVWA-master.zip)进行解压;使用该命令,修改数据库配置文件中的用户与密码。以上都做好后,我们就可以进入了。
2022-11-06 23:40:51
3879
原创 SSL协议工作过程
1、客户端首先发送client hello消息到服务端,服务端收到客户端的消息后,再发送sever hello消息到客户端(用来协商),其中所发的hello包中包含所支持的版本号,加密套件列表,压缩算法列表,客户端、服务端随机数还有会话id。通过该过程产生的客户端随机数与服务器端随机数以及预主密钥,他们组合计算得出主密钥,然后会通过主密钥分别生成共享密钥(对称加密的密钥)、Hmac认证密钥(认证)以及初始化向量。终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。
2022-10-29 09:42:14
4425
原创 MySQL-视图与索引简单练习
1.用SQL语句创建学生表student,定义主键,姓名不能重名,性别只能输入男或女,所在系的默认值是 “计算机”。1.用SQL语句创建学生表student,定义主键,姓名不能重名,性别只能输入男或女,所在系的默认值是 “计算机”。#4.创建一视图 stu_info,查询全体学生的姓名,性别,课程名,成绩。4.创建一视图 stu_info,查询全体学生的姓名,性别,课程名,成绩。学号,姓名,性别,年龄,所在系 Sno为主键。学号,课程号,成绩 Sno,Cno为主键。课程号,课程名 Cno为主键。
2022-10-23 20:50:02
202
原创 数据库 查询
INSERT INTO `worker` (`部门号`, `职工号`, `工作时间`, `工资`, `政治面貌`, `姓名`, `出生日期`) VALUES (102, 1003, '2011-1-4', 8500.00, '党员', '王亮', '1983-6-8');SELECT `职工号`,`姓名`,(LOCATE('党员',政治面貌)) AS ` 是(1)否(0)党员` FROM worker WHERE `部门号`=102 OR `部门号`=103;-- 使用起来比datediff函数更加灵活。
2022-10-22 22:29:12
515
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人