- 博客(64)
- 收藏
- 关注
RSS订阅原创 LINUX权限维持
添加超级用户的方式有很多种,这里直接拿到root权限后创建一个用户,在/etc/passwd/中修改用户id值为0。Linux提权操作中有个suid提权。在对方主机中查看是否又以下文件·第一个星号是分钟,这里没有加就是过一会就执行。得到对方主机权限后,在目录中写入命令执行脚本。然后就可以利用suid提权来权限维持。拿到对方的root权限后,关闭防火墙。把这些文件加上SUID。然后攻击机开启nc监听。然后在计划任务中配置。
2023-06-24 11:21:06
722
原创 溯源与反制
这里要说一下,让我们做蜜罐时候,一定要做的像内网的真实主机,不能让对方一眼识别。比如说网卡啊,虚拟机可以用别人测试的游戏虚拟机,相关文件,敏感文件,各种服务。进行取证,取证的主要是对方的office文件,各种第三方社交软件,比如说微信有个缓存文件db后缀结尾的,里面有聊天记录,拿去破解一下。比如说我在日志里找到了对应的攻击者IP,那么我们就要对ip进行识别他的网络资产,比如站长之家识别一下,查看一下有无域名,对域名进行反查一下,看是否可以搜索到攻击者相关信息。溯源的关键在于取证,获取到攻击机的相关信息。
2023-06-19 15:29:20
1100
原创 shiro 550 反序列化rce
然后我们抓包进行测试,使用shiro框架的主要特征是在返回包中,登录失败或者登录成功没有勾选remeber 按钮,返回数据包有一个remeber delete 字段,如果正确密码登录且勾选了remember me 字段。那么返回数据包就会出现 remember的字段会出现一长串的值。(这是看大佬的文章总结的)加密的用户信息序列化后储存在名为remenber -me的cooike中。Apach shiro 是一款开源安全框架,提供身份验证,授权,会话管理等。这是密码正确勾选了 remember me。
2023-06-04 11:33:49
1047
原创 DC1通关
环境自己百度装好。我的一台kali,一台DC都是52网段1.nmap 扫一扫52网段确定是143,然后针对143进行扫描80开放,进去。老熟人了 Drupal,直接msf开打试了几个,use2直接getshell了看看权限尝试SUID提权进入shell看到find了吧直接提whoami 看看root了。。。。然后我看别人的文章,发现要找flag.......我是新手。。。然后找flag吧给他一个python的交互式找找flag,反正都是root了,flag不是乱翻。
2023-05-31 17:46:47
590
原创 应急响应-LINUX
入侵思路排查1.账号安全2.历史命令3.异常端口4.异常进程5.开机启动项6.检查定时任务7.检查服务8.检查异常文件9.检查日志。
2023-05-29 15:45:22
269
原创 应急响应-windows
win系统常见的安全事件1.病毒,木马,蠕虫事件2.web服务器入侵事件或第三方服务入侵事件3.系统入侵事件,用win漏洞入侵系统,利用弱口令等。4.网络攻击事件,如DDos,ARP欺骗等。win系统安全事件发现的来源1.服务器pc异常现象 cpu,内存飙升,蓝屏2.网络安全设备警告 天眼3.安全态势感知平台警告 EDR(终端安全)
2023-05-28 23:16:03
713
原创 横向移动-传递攻击WMI服务利用cscript&vmiexec&wmic
wim是通过135端口进行利用的,支持明文和hash的方式进行认证,并且不会在目标系统日志下留下痕迹。
2023-05-28 01:19:52
270
原创 横向移动-传递攻击SMB服务利用psexec&smbexec
win2012以上版本,关闭了wdigest 或者安装了 KB287199补丁。无法获取明文密码总的来说就是win2012后无法获取明文密码解决办法就是:1.可以利用哈希hash传递(pth,ptk等进行移动)2.利用其他服务协议(SMB,WMI)进行哈希hash移动3.注册表开启wdigest Auth 进行获取明文密码4.利用第三方工具(hashcat)进行破解获取。
2023-05-28 00:25:08
1260
原创 横向移动-传递攻击at&schtasks
横向移动就是拿下对方一台主机后,以拿下的那台主机作为跳板,对内网的其他主机再进行后渗透,拿到其他内网主机的权限的过程。叫做横向移动。横向移动的主要目的就是扩大战果。传递攻击主要建立在明文和hash值获取基础上进行攻击。at和schtasks主要作用就是在已知目标系统用户的明文密码基础上,直接可以在远程主机上执行命令。at 命令 < win2012 小于win2012才有at命令schtasks 命令>= win2012 大于或等于win2012 是 schtasks 命令。
2023-05-27 16:27:16
1145
原创 weblogic CVE-2023-21839 复现
1.使用工具JNDIExploit-1.2-SNAPSHOT.jar在kali上设置监听 (JNDIExploit-1.2-SNAPSHOT.jar自己下载移动到攻击机。这里是用的docker下载的vulhub的CVE-2023-21839。这里需要go语言进行编译 go版本大于1.19。靶机和攻击机都是192.168.85.131。让你访问ip:7001/console。2.nc开监听反弹shell。nc上反弹了一个shell。docker 启动环境。
2023-05-25 01:38:43
811
原创 LINUX 环境变量提权(失败)
效果是一样的,可以理解未win安装python时候需要添加环境变量,然后cmd可以直接运行python。环境变量提权就是linux在执行系统命令的时候,会调用一些环境变量的文件。这是c文件的内容,然后传到目标主机编译成第三方软件。写一个c文件放到对方服务器上去编译成第三方软件。比如说,执行id和执行/bin/id。然后我们对环境变量的文件进行替换。然后给yx文件SUID权限。
2023-05-24 22:28:19
230
2
原创 LINUX 提权 脏牛CVE-2016-5195
Linux内核 >= 2.6.22(2007年发行,到2016年10月18日才修复)这里要使用python开启一个交互式的伪终端,不然会提权失败。靶场环境是vluhub上的。upload 传 对方tmp目录下。msf上线找这个Drupal漏洞。不会传的看之前提权前信息搜集。下载后文件是一个.cpp文件。最后flag在root目录下。这里写复现过程,不写原理。传脚本上去检测内核漏洞。运行不了就给 +x权限。编译dcow.cpp。
2023-05-24 18:33:48
840
原创 Linux SUID提权&脏牛提权
设置了SUID后,文件启动的时候就会以root的权限去运行。就是一个普通用户运行的时候,因为有SUID,所以用root权限去运行它。SUID Files 还有一个 Possible interserting SUID files。全部的SUID文件和一个可能可以利用的SUID文件。连接上来后把漏洞检测的脚本上传至tmp目录运行。这是利用find手动查找有SUID文件的命令。这里不知道啥原因,反弹的shell还是yx。然后我们就要观察文件中是否存在以下文件。我们就利用find进行SUID提权。
2023-05-24 13:56:13
1054
原创 Linux 提权前信息搜集
linux前期提权也是要信息搜集linux信息搜集可以使用软件进行,这里写四个脚本(我们拿到webshell或者普通用户时,上传第三方软件的目录应该是Linux的tmp目录,tmp目录是临时目录,每次linux重启后该目录内容就会清除,而且tmp目录下的文件可读可执行)一般上传文件后,文件执行不了就给文件可以执行权限。
2023-05-24 10:57:23
646
原创 WIN提权 不带引号服务路径配合 MSF-Web
简单的来说,就是win在启动时候,需要加载一些服务。我们要使用命令去查找那些不带引号的服务路径。这种环境我搭建不出来。如果有,就可以进行利用。然后就msf监听上线。
2023-05-24 00:53:10
272
原创 WIN提权 烂土豆&dll劫持
2.进程调试,我们分析改软件运行时候调用了哪些dll。我们需要把第三方软件下载到本地进行找到他运行的dll文件(非系统文件)(火绒剑)4.然后把他的原本的dll文件删除,将我们的dll文件更改与他相同名的dll文件,使他启动时候调取的是我们的后门dll文件。dll 动态链接库。1.信息搜集,查看对方有哪些第三方软件(有webshell翻他目录找第三方软件 )但是win7的管理员账户直接可以msf的令牌窃取,还要烂土豆干毛,果然是烂土豆。需要特定条件,需要服务器上有特定软件,且管理员也在经常使用。
2023-05-23 23:59:03
902
原创 WIN提权 令牌窃取&进程注入
令牌,又叫token,是系统临时产生的秘钥,相当于账号密码,用来决定是否允许此次请求和判断此次请求是属于哪一个用户。进程注入就是利用其他应用进程需要使用的system权限来实现我们想要的操作。然后 -p pid cmd.exe 端口号。每个应用程序运行的时候会有进程详细信息。然后运行查看你system 的pid。这里使用msf上自带的令牌窃取模块。然后开个nc会反弹一个cmd窗口。下载pininject 软件。win7一下的版本可以尝试。msf反弹shell上线后。
2023-05-23 16:50:17
567
原创 redis 未授权访问配合计划任务反弹shell
(1)redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网;(2)没有设置密码认证(一般为空),可以免密码远程登录redis服务。然后直接本地开个nc。
2023-05-23 15:56:54
1594
原创 mysql mof提权
mof 提权的原理就是利用mof目录下的mof文件会一段时间后自动执行,且权限为system,我们就利用此处的。让他执行一些我们想要的命令。2、数据库为 mysql
2023-05-23 15:34:43
319
原创 数据库提权
数据库提权的前提就是得到数据库的账号密码。在webshell或本地进行提权。数据库提权分为四步:1.服务探针,探测出数据库的类型(端口扫描等)2.信息搜集,就是获取到数据库的账号密码。权限要高。读取数据库密码的方法a.读取网站数据库配置文件 翻一些网站源码文件,一般是sql,data,ini ,config,database 等等(但是在实战中,翻出来的用户名和密码不是root。b.读取数据库储存或备份文件。
2023-05-23 12:22:41
737
原创 WIN提权补丁提权,at,sc,psexes提权
win提权分为web和本地提权web提权就是getshell后,权限是网站权限,要进行提权本地提权是本地用户进行提权本地用户的权限大于网站权限,所以本地提权成功概率比web提权概率大因为我们做渗透测试,一般都是从网站入侵。所以大部分都是web提权。而本地提权一般运用在内网中。
2023-05-23 11:33:52
1196
原创 webshell提权
首先我们要清楚为什么要提权相关操作被拒绝。无法继续进行渗透。就需要提权我们通过各种web漏洞,中间件漏洞,或者cms等漏洞拿到权限后。得到的权限一般是后台权限,有些是webshell权限。如果是后台权限,我们就要通过后台上传后门得到webshell。然后反弹到我们的渗透工具中进行使用。我们所使用的蚁剑,哥斯拉,冰蝎,原理都是一种webshell管理工具。但我们的最终目的是为了得到服务器的权限,而且是服务器的最高权限。我们才能更好的利用工具进行后渗透,也就是内网渗透。渗透的权限从低到高大概分为。
2023-05-23 01:31:14
1380
原创 PHP反序列化
首先要搞清楚php序列化和反序列化的作用序列化:将对象转化为可以存储或者传输的一种过程反序列化:将存储或者传输重新转换为对象的一种过程。
2023-05-22 00:37:35
45
原创 JAVA反序列化漏洞
一般JAVA进行序列化传输的过程中会使用base64编码或者16进制。java反序列化利用时候可以使用工具 ysoserial。序列化就是将对象的信息状态转为可以存储或传输形式的过程。反序列化就是从存储的数据重新转化为对象的过程。如何判断是否存在JAVA的反序列化漏洞。如果发现以下特征的数据传输格式。就可以去尝试反序列化漏洞利用。JAVA中的序列化函数为。JAVA中反序列化的函数为。可以生成payload。
2023-05-22 00:20:37
178
原创 linux 提权SUID
SUID的原理就是将某个命令提升权限,当普通用户去执行时候,可以达到root命令执行的权限。LinEnum 查看suid 的文件(Linenum使用记得chomd 777)1.拿到webshell后上传脚本linEnum 探针是否有SUID。查看到可以使用suid漏洞的命令 find。以下是一些可用于产生shell的程序。2.使用find命令进行提权。如果直接whoami。
2023-05-14 23:30:09
85
原创 烂土豆配合令牌窃取提权复现
烂土豆配合令牌窃取提权是用来解决普通令牌窃取提权因为webshell权限太低无法提权成功。1.先用msf生成一个windows的后门监听上线。4.使用msf自带的令牌窃取功能。环境:内网kali和win10。3.利用msf上传烂土豆。先查看一下未提权的权限。2.在网上下载烂土豆。
2023-05-13 12:08:17
224
原创 mysql UDF 提权复现
去查看它的设置,发现设置为NULL,secure_file_priv为NULL是禁止导出文件的意思。我们得到数据库账号密码的方式有很多种,这里我们利用mysql数据库的特性,蚁剑连接后,我们进入C:\phpStudy\MySQL\data\mysql\db.MYD。mysqlUDF提权的原理就是创建一个函数来调用系统命令,这里的复现是从已经得到了webshell开始的。udf提权就是将dll文件导入目录,然后执行sql语句创建一个可以执行系统命令的函数。因为这边我使用的是蚁剑,所以直接上传文件。
2023-05-12 12:51:27
689
原创 web渗透(个人笔记)
信息搜集就是对我们要进行渗透测试的目标主机进行一些信息搜集,以此来找到漏洞。信息搜集贯穿于我们整个渗透过程,无论是web的渗透,还是后面的内网渗透。因为在实战中,我们碰到的网站架构或者是内网topo结构都千奇百怪。所以信息搜集很重要,只有搜集到更多的信息,我们才能更有几率的找到漏洞。信息搜集分为主动信息搜集和被动信息搜集主动信息搜集就是我们主动的对网站进行端口扫描,目录爆破等。被动信息搜集就是利资产测绘进行搜集,从边缘的地方进行搜集。
2023-05-10 16:55:25
634
原创 sqlmap的简单使用
- level 1-5 等级越高测试的约完整,方向越多。--random-agent 请求头随机,默认是sqlmap。--flush-session 忽略缓存继续跑注入。-- is -dba 查看当前注入点的数据库权限。用--r 指定数据包,数据包会有cookie。--os-shell 直接获取目标系统权限。--columns 跑字段名 -C 字段。--tables 跑表名 -T 表名。然后启动sqlmap --r 文件名。--dbs 跑库名 -D 指定库名。-- count 查看数据。
2023-04-09 23:32:38
248
原创 正则表达式的理解
正则表达式,又称规则表达式,[Regular Expression],是一种计算机概念,通常用来被检索,替换那些符合某些规则的文本。sql注入出现的原因主要就是开发者未对用户输入的内容进行过滤,从而被当成sql语句进行执行。preg_replace(正则表达式,替换的内容,要操作的对象) 返回替换后匹配的次数。preg_match_all(正则表达式,要操作的对象) 返回匹配的次数。php中使用正则规则一定要加代表正则的标识/ /php还有其他许多的正则表达式内容。输出的是搜索到4的次数。
2023-04-09 23:31:14
65
原创 mysql盲注
盲注仍然要判断字符类型注入,可以根据页面的反应。1 and 1=2 如果页面显示正常,那么就是字符型注入,因为如果是数字,不成立,会有异常。所以第一步仍是判断注入类型盲注就是存在注入但是页面上没有任何回显。盲注分为布尔盲注和时间盲注。
2023-04-09 23:25:02
155
原创 mysql宽字节注入
宽字节注入的核心就是传一个字符是反斜杠成为有个汉字。在查表名的时候,会出现databse='表名'两个编码可能是两个字节,也有可能是有个字节。数据库使用GBK编码可能存在宽字节注入。因为魔术引号,遇到单引号就会加反斜杠转义。如果注入方式使post,就无法修改了。%df和\可以组成一个汉字,运。告诉系统这是16进制,而不是数字。,就会变成一个这样的字符串。直接把表名编译为16进制。需要让别人知道这是16进制。因为有了魔术引号的防御。MySQL支持16进制。但是16进制是一窜数字。汉字变成ascii数字。
2023-04-09 23:23:22
195
原创 mysql报错注入
updatexml(目标xml内容,xml文档路径,更新的内容)报错的结果是字符串,所有需要使用limit 0,1来限定。Limit 0,1 0表示的是位数,1表示的是个数。把你的想得到的数据放在报错中显示给你看。这个函数的使用使将查询结果全部拼接输出。然后报错注入使用的时候会有一个问题。首先,要搞清楚一个函数的使用方法。这个是对子查询的数量进行限制。所以用法是对查询的表进行使用。concat()拼接字符串。子查询返回的结果多于一行。路径报错使很严重的报错。因为有url编码的转换。所以,我们有两种方法。
2023-04-09 23:22:23
150
原创 sql注入原理
将用户的输入拼接到sql语句中,并被当作代码执行sql语句可简单的进行加减法mysql 5.0以上的版本自带数据库,记录了数据库中所有的表名,列名和字段名information_schema.tables 记录所有表名信息的表information_schema.column 记录列名信息的表。
2023-04-09 23:20:17
60
原创 CFS三层宝塔内网渗透
1.靶场搭建自行百度一共有三个目标targetkali攻击机与targe1网段是一致。因为是内网渗透。进入正题直接访问目标主机,发现是thinkphp5。直接百度thinkphp5的exp发现利用漏洞上传一句话木马 上传后使用蚁剑进行连接拿到权限后输入 uname-a 来查看当前主机的操作系统然后在kali中msf线上找马生成一个linux x64 的木马然后使用蚁剑传入target1中获取shell(我是一个初学者,我我的理解是使用普通的蚁剑获取shell后再使用隧道代理会有些麻烦,我也不会。所以
2023-04-09 23:03:38
841
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人