qq_45301512的博客

先下载service-demo.zipservice-demo.zip里面就是一个登录框我们来模拟一个网站的登录界面比如说bihuo.cngoto=/根据示例的service-demo.zip里面的index.html修改网页源代码这几处必须一模一样然后文件和目录不能有中文html文件必须为index.html然后打包包名service-xxx.zip。

逻辑漏洞相关

使用的话,就是先把二进制文件拿过来,我这里的code.c就是上面生成的2023_1_10.c文件,会生成一个code20.exe文件。在kali这么开启msf监听,原理上就是运行code20.exe的时候,这边产生会话回连,但是这里这个工具没那么好用,并没有回连。然后点击生成,这里本来应该会生成一个exe文件,但是这个工具有bug,所以不太好用。这里不懂二进制,所以只介绍几个工具使用,会使用工具就行,原理有兴趣可以自己去了解。这个工具的介绍文档不太详细,这里没有实验成功,感兴趣的可以自己去百度使用方法。

我觉得这里可以写个python脚本,与burp联用,在调用密码字典文件,给密码字典文件里面的每一个值都进行base64编码,然后获取第二个请求包,当第二个请求包里面的值与其它测试的值不一致的时候,就是破解出的账户密码,然后打印出账号密码。有的会遇到那种ip被ban的情况,可以考虑在打开网页的时候抓个包,然后修改client-ip或者X-Forwarded-For,将ip修改为其它的任意ip,就可以绕过ip被封禁的限制了。可以从网上去搜索下api接口去理解,下面有个我找到的网址,给出api接口的分类。

大马后门分析

webshell绕waf的一些方式

文件上传绕过安全狗waf的限制

sql注入绕waf的一些方法

linux的一些常见命令的总结

大致上分析是lang这个传的参数,如果不等于默认的参数 zh-cn ,就会调用某个方法,然后不断跟进方法,就可以看到最后会有个include 文件名,这里的文件名就是我们传的参数,因此会造成文件包含。如果说这是文件包含无回显利用的话,那么我传了个php反弹shell文件上传到了/var/www/html/目录下。但是这个文件既然被文件包含了,而且被运行了,那么为什么我上面试验的反弹shell没有被文件包含,并且执行,很奇怪。这个方法就是实现创建文件的主要的方法,这也是为什么poc后面的格式是那样写的原因。

真正执行代码的点就是第一条命令的最后,“id >/tmp/success”',将id命令的结果写入到/tmp目录下的success文件中。但是我这里失败了,理论上是没什么问题,不清楚这里什么情况,计划任务实验有好几次都没成功,这东西就有问题。我们可以改写crontab文件,然后上传到rsync靶场服务器上,覆盖原来的crontab文件。这是因为使用redis写入的时候,内容前后都会有其它的redis写的乱七八糟的东西。如果说rsync在未授权的情况下,理论上可以往其它主机的目录上写入你想要的东西。

下面可以看到,我先使用last命令,发现kali这个用户是192.168.11.142主机登录者,并且显示仍在在线,pts代表的是远程登录的用户,这是因为之前,我在windows主机使用ssh远程登录了kali。这里如果发现可疑的用户,直接删除用户的话,用户的文件都会丢失,后面如果发现该用户不是攻击者,会造成很大麻烦,因此,当发现可疑用户的话,可疑先进行锁定,使之无法登录,然后去查询是否是授权的用户,是的话再解锁。

可以看到,完整的调试非常的麻烦,但是log4j最低层利用的还是lookup方法所以说log4j方法与fastjson方法相似都是利用jndi的ldap或者rmi协议,然后调用lookup方法,同样在fastjson的时候,这个getURLOrDefaultInitCtx方法也使用了.

Struts2-Scan-master所带的Struts2Scan.py脚本可以扫描漏洞类型。这里有很多其它的主要的类在这三个jar包里面,需要如下操作去打开,才可以查看。s2-001 利用ongl 递归式的去除%{} 并最终解析java表达式。Struts2-Scan-master扫描工具,自带struts2环境。由于windows的搭建有问题,所以用kali的docker搭建。struts2 往往都会以.action作为结尾。使用ognl类下的findvalue方法。

weblogic漏洞复现

通过本地的8888端口开启的ldap服务器,来间接访问kali上8789端口存放的class文件,class文件内容是我们写的弹出计算器,通过写好的java文件编译成class文件,最后在idea反序列化运行代码的时候触发。windows通过访问本地的8888端口,可以访问到kali的8789端口下的class文件。fastjson 相关漏洞 基本都是利用反序列化会自动触发特定类下的成员属性的set方法。setname方法这里存放我们的java命令执行的代码,弹出计算器。alibaba 旗下的开源库。

漏洞原理：JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。影响范围：JBoss AS 4.x及之前版本。工具利用 jexboss。

所以只需要找到ascii码值为83的字符,就可以知道用户名的第一个字母是什么了,以此类推,判断出整个用户名。oracle数据库中,用户和表空间绑定在一起了,当新建一个用户的时候,会自动创建一个同名的表空间。下面创建用户的时候只需要填用户名和密码,点保存的时候会自动填写其他空白项,都是默认的。时间上数字是几,查询时间几乎是它的2倍,现在是3,所以查询时间大概6s多。如果用户名的第一个字符不是A,则选择0,时间差不多0s多,证明不是A。如果用户名的第一个字符是S,选择2,时间差不多4s多,证明是S。

有时候这个jd-gui工具无法打开文件,我们可以放一些其它的文件,例如我随便找的一个ArcTest.class文件,只要打开这个,agent.class也可以查看。防检测功能未生效,这里可能是软件功能没制作好,或者可能是只能防止部分软件检测,而恰好findshell不能防。或者停止服务器,再使用jps命令,对比发现少了哪个PID,快速判断目标JVM的PID。点击注入内存马之后,注入类型选择agent,路径点击默认的,然后修改文件名。保存之后,点击上方的生成服务端,会自动弹出shell.jsp存放的文件夹。

下面是一个完整的filter内存马,它不需要创建filter过滤器,也不需要修改web.xml,所有集成都在代码里面写着。那么我们只要将doFIlter方法中的代码替换成执行命令的代码,运行服务器后,就会执行我们想要执行的任何命令。其实就和上面的filter一样,先在本地实验了下,然后最后脱离本地,直接用内存马,注入内存中。然后再doFilter方法这里,随便抄点其他的代码,这里主要就是调试的时候,看是否执行代码。然后我们就可以访问任意的文件,根据上面的/*,我这里写的haha,参数是cmd。

原本是在登录界面,当输入完用户名和密码,勾选上remember之后,点击登录,然后开始调试,进入这一步,但是那个操作有bug,base64没获取到值,所以利用ShiroExploit工具的命令执行来调试。获取cookie中rememberme的值 ===> base64解码 ===> AES解密 ===> 对象反序列化。对象序列化 ===> AES加密 ===> base64编码 ===> set-cookie的操作。打上断点,开启debug,可以看到确实是默认网页,停留在断点那里。AES解密和反序列化。

在众多的详情中发现这处,注册表中open项存在,显示SUCCESS,但是command项显示NAME NOT FOUND,说明不存在,那么我们只需要创造一个command项,并且值给我们想要运行的程序,那么command项最后交给shell去运行,就会执行我们的程序。我这里第一次本来成功了,没有截图,第二次修改注册表之后,点击fodhelper.exe程序,打开还是原本的程序,看来这东西有点bug,或者我虚拟机卡bug了。当低权限用户想要执行某些高权限才能执行的操作时 此时需要校验高权限的身份。

所以当我们成功对目标的靶机植入后门程序,比如shell.exe,在第一次使用cobalt strike产生回连的情况下,利用梼杌组件的权限维持的遥测计划任务,让目标靶机定时去运行我们的shell.exe,那么不管靶机是否关机或者其它情况,让我们连接断开,我们都可以等到目标靶机开机,并且在定时的那个时间点,等待程序被运行,等待回连即可。在新增的sethc.exe里面,新增一个Debugger字符串,设置的值为calc.exe的启动路径,意味着当我们运行sethc.exe的同时也运行了calc.exe。

修改完之后,延迟基本保持在1s之内,基本上算是实时交互,改为这个之后,下面有些操作才会迅速的展示出来效果,不然得等待60s。cs ===> 心跳包 默认每60秒回连一次teamserver。cobalt strike工具类似于MSF,分为服务端和客户端。下面演示在windows里面开启客户端并加入kali的服务端。但是偷取权限高的,大部分情况下会失败,如果偷取成功,就能提权。进程下面的屏幕截图不太好使,右键选择目标里面的屏幕截图。等待延迟达到60s的时候,修改sleep为0。自动偷取权限,并使用。

GUEST ===> normal user ===> administrator ===> system ===> 域管账户。TGT(Ticket-Granting Ticket) ===> 票据授予票据 认证票据。找漏洞 ===> webshell ===> 提权管理员 ===> 域管。这台主机上存在域管账户 该账户用户权限访问域中的任意一台主机。域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。ST ===> 白银票据。我用游乐园来理解上面那张图。TGT===> 黄金票据。

将靶机-2k3_SP2的3389通过kali的22 ssh 转发给 java审计环境的3388 端口。将java审计环境的80 端口通过kali 的 22 ssh转发给 kali上的8887端口。靶机-2k3_SP2(192.168.11.118:11111)java审计环境(192.168.11.138)远程转发(反向代理)(在内网机器上执行)靶机: 靶机-2k3_SP2。在攻击主机上执行代码(本地转发)攻击主机: java审计环境。

当目标为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，但可以通过修改注册表的方式抓取明文。重启或用户重新登录后可以成功抓取先修改注册表，让内存缓存中可以保存明文密码然后修改一下密码，win10虚拟机之前没有密码，新密码为123456紧接着需要重新启动然后使用mimikatz工具提升权限: privilege::debug抓取密码: sekurlsa::logonpasswords可以看到成功抓取到了用户的账户密码和主机名称。

powershell。

metasploit综合性渗透测试工具msf是由ruby语言写的exploits攻击性的payloadauxiliary 辅助性的 往往不具有攻击性 只是验证漏洞是否存在poc exppost 后渗透 权限维持 提权payloadsshellcodeshellcode ===> 核心的一小段代码 该代码可以实现想要实现的功能payload = shellcode加载器+shellcode。

网上百度就有一堆介绍,平常主要用于监听和连接。

如果/etc/passwd可写，我们就可以把root的密码字段(x)替换成一个已知密码的hash（比如本机shadow里面的root密码hash），这样系统在验证密码时以passwd的为准，密码就已知了。非root权限的用户是不可以列出root用户的计划任务的。sudo 是用来提权的命令,当执行权限不够时,可以使用sudo命令来提升权限.其配置文件是/etc/sudoers。Sudo –l这个命令可以查看有当前用户有哪些命令可以以特定的权限(root)执行,只需要验证自身权限的密码即可。

上面演示了怎样利用这个mof文件,但是现实中,我们只获得目标网站的数据库的情况下,需要自己利用mysql写入一个mof文件,不能像上面那样自己将mof文件复制粘贴到C:\WINDOWS\system32\wbem\mof目录下。操作和上面的general_log是一样的,我这里就演示以下日志内容,为了防止我之前做过实验造成的结果混淆,我将日志文件都清空了,上面的general_log所对应的log.php也是一样先清空,后实验,提高准确性。

【代码】17_mssql提权。

2、rdp 协议3、windows-exploit-suggester提权4、在线提权辅助网站5、如何开启3389端口6、at提权7、通过sc创建服务 并提权8、Psexec工具提权9、processinjector_encrypt工具提权10、粘滞键劫持(sethc.exe)g-LOzSb4fI-1670744561164)][外链图片转存中…(img-rFZtDqCe-1670744561165)]

根据学习过的文件上传的绕过方法,windows的文件上传绕过,常用的是点空格点绕过,这里我测试了不行。并且查看下cmd.war里面的内容,很像webapps目录,并且存在cmd.jsp文件。既然上传txt文件成功了,我们想要获取webshell,当然要上传jsp一句话。我们想一下,能上传txt文件,但是上传jsp文件就上传限制,可能是做了后缀限制。linux的一般绕过,是在文件后面加个/,上传后,linux会自动吃掉/点开之后,是如下的404界面,是因为我们没有加jsp文件。

将两次结果对比,可以理解open_basedir的作用就是限制访问如果设立在test目录下,那么就只能访问test目录下面的目录或者文件,其它目录下面的内容都无法访问如果不设立open_basedir,任何目录下的内容都可以访问。

cdn ===> content distribution network 内容分发网络CDN就是内容分发网络，是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

因为要调试每一个漏洞需要花费大量的步骤,所以我这里只列出了触发点和触发语句,某些漏洞给出了poc链。

​ 反序列化本质上是控制成员属性的值。

​ extract 将数组中的键值对导入到全局符号表 (全局变量)