qwsn

我认为：无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、MOONSEC-2020-信息收集篇二、MOONSEC-2020-穷举篇三、MOONSEC-2020-文件上传漏洞利用四、MOONSEC-2020-SQL注入漏洞利用五、XSS漏洞利用

文章目录1 Veil的使用2 生成有效载荷payload3 Veil免杀过程4 测试免杀

文章目录一、Cobalt Strike域内渗透1 实验环境1.1 实验拓扑1.2 环境搭建2 实验：搭建SSH隧道内网渗透2.1 SSH隧道简介2.2 SSH隧道实验背景2.2 实验过程2.2.1 通过钓鱼链接获取内网2-PC机的http beacon，派生到smb beacon2.2.2 在Team Server上搭建和双网卡web跳板机的ssh隧道：本地1080对DMZ跳板机222.2.3 在Team Server上开启445端口转发：本地445对本地1080，并且目的地为域控44

一、Cobalt Strike域内渗透1 实验环境1.1 实验拓扑1.2 环境搭建1.2.1 关闭各自域内防火墙1.2.2 配置DC组策略：自动化让域用户加入到各自客户端的本地管理员组1.2.3 DC组策略配置不当导致的权限问题：其他域用户获取本地管理员权限1.2.4 WinRM 服务的配置不当导致的问题：在权限允许下可远程执行脚本命令1.2.5 Win7虚拟机设置不休眠不关闭显示器：防止自动挂起导致的会话关闭2 实验1：获取webserver跳板机会话+通过webserver的smb会话

1、Active Directory 活动目录的概念2、Active Directory 活动目录的作用3、Active Directory 活动目录的优点4、Domain 域的概念5、Directory Controy 域控制器的概念6、活动目录的结构概念7、活动目录的结构分类8、活动目录的逻辑结构1.域2.组织单位（OU）3.域目录树4.域目录林9、活动目录的物理结构1.站点（略）2.域控制器3.全局编录服务器（一个域控充当目录）10、域环境搭建注意事项和部署需求11、

一、权限提升1、BypassUAC 提权2、CVE-2014-4113（MS14-058）提权3、powerup 提权：服务权限配置不当4、MSF 利用服务权限配置不当模块提权二、提权测试1、实验环境2、BypassUAC提权2、MS14-058提权3、powerup提权：服务配置不当

一、钓鱼攻击和鱼叉钓鱼简介1、钓鱼攻击简介2、钓鱼攻击模块：6个3、鱼叉钓鱼简介4、鱼叉钓鱼示例：邮件钓鱼二、钓鱼攻击测试1、测试环境2、System Profiler(信息搜集)3、Clone Site(克隆网站)：获取键盘记录4、生成hta后门文件+文件下载(cs上传hta)+Clone Site(克隆网站)：钓鱼攻击获取cs会话5、MSF溢出代码+CS克隆网站：钓鱼攻击获取MSF会话三、鱼叉钓鱼测试1、邮件钓鱼

一、后门简介1、hta后门2、exe后门3、宏病毒后门二、生成后门并测试1、生成HTA后门并测试2、生成exe后门并测试3、生成宏病毒后门并测试

一、会话管理1、实验环境2、会话派生（1）128的cs会话派生给128的cs本身（2）128的cs会话派生给129的cs会话（3）128的cs会话派生到129的msf会话（4）129的msf生成木马 + 128的cs获取新会话（5）129的msf溢出exp发到128的cs会话（6）129的msf会话派生给128的cs会话

一、用户驱动攻击简介1、用户驱动攻击概念2、用户驱动攻击模块二、用户驱动攻击测试1、上线主机回连2、浏览器代理（IE）3、远程VNC4、文件管理5、Net View查看网络邻居6、端口扫描7、进程列表8、屏幕截图

一、DNS Beacon原理1、DNS Beacon简介2、DSN Beacon工作原理二、DNS Beacon实战测试1、实战测试前提2、实战测试过程

一、Cobalt Strike 重定器1、Cobalt Strike 重定器简介2、重定器用到的端口转发工具二、cobalt strike重定器实验1、实验背景2、实验过程3、流量分析

一、Cobalt Strike基本使用1、Cobalt Strike简介2、Cobalt Strike（CS）整体框架图二、Cobalt Strike简单使用1、实验坏境2、实验过程

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！进入后台，访问该页面：抓包，送入repeater模块，改为post模式，把此时请求体的act=edit_templates，放到get处请求体写入以下内容：(写入test.php，密码为a)，然后点击订单列表—>点击查看—>点击，从而生成test.php蚁剑访问连接...

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！（1）进入后台---->新闻管理---->添加新闻内容---->上传asp图片马---->点击源代码查看路径为：UploadFiles/201837182446512.jpg（2）系统管理---->数据库备份---->当前数据库路径填入：…/UploadFiles/201837182446512.jpg---->数据库备份名称改为1.asp---->点击确定---->访问连接admin/Databackup/1.asp【失败】（

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！进入后台---->系统管理---->网站信息设置---->上传网站log---->选择asp图片马(密码为123)使用Burp抓包---->送入Reapeater模块---->SaveToPath的值修改为： (截断记得url解码)---->发送该包并且放开拦截---->asp马位置：传送门......

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！登录后台---->系统设置---->网站名称后加上以下内容：蚁剑连接网站配置文件：http://www.xycms29.com:99/inc/config.asp（1）这种getwebshell的风险是很大的，插入出错会导致整个网站坏掉；（2）一般在asp里面，网站的配置文件就在/inc/config.asp里面；（3）配置内容不是插入数据库里面的，也不是从数据库里面读出来的，因此可以采用这种方法getwebshell：（

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！进入后台---->内容维护---->文章新闻管理---->第一条新闻---->标题中加入以下内容：utf7一句话(密码为a)扩展功能---->数据库备份恢复---->开始备份---->恢复此备份---->aspcms默认的数据库名为#5Dp8Gh.asp(但是在浏览器访问的时候要把#编码为%23，所以就是：)---->访问刚刚恢复的数据库：http://www.aspcms27.com/data/%235Dp8Gh.asp---

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！登录后台---->内容---->专题---->添加专题—>专题名称、横幅、缩略图、子分类、分类路径随便填写---->目录填写为wshell(功能是在默认目录下生成/html/special/wshell/index.php)---->导读内容填写以下内容：(其中base64解码为）再次添加spark专题---->内容随便填写---->BurpSuite拦截...

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！登录后台---->栏目---->自定义页面---->增加自定义页面---->填写页面名称为webshell.php(随便)---->文件名默认是…/…/page.html---->文件内容为以下内容：功能是创建shell.php文件并写入一句话到shell.php文件中栏目---->自定义页面---->管理自定义页面---->点击刚刚的page.html页面触发webshell（其实就是访问http://www.empirecm

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！（1）进入后台：模块–>文件管理器---->上传文件---->shell.php，内容为（2）访问：\shell.php（1）进入后台：模块–>文件管理器–>新建文件–>写入wshell.php，内容为（2）访问：\wshell.php（3）访问：\shell0.php（1）进入后台：系统–>系统基本参数–>核心配置–>专题最大的节点数或FTP端口写入（2）访问：data\config.cache.inc.php....

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ 利用tmp目录权限、suid 权限和C语言使普通帐号提权为ROOT权限[root@localhost ~]# [root@localhost ~]# [root@localhost ~]# [demo1@localhost tmp]$ #创建目录[demo1@localhost tmp]$ #创建target文件硬链接[demo1@localhost tmp]$ #把target文件加载到内存中[de

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！（1）生成攻击载核：（2）msf开启监听：（3）利用文件上传的MIME白名单类型突破，上传了up.aspx大马，然后上传64.exe并执行，后得到一个低权限的shell：（4）当前session下执行漏洞检测模块： #这里没有扫描到漏洞，可以换个方法扫描当然了也可以指定session进行漏洞检测：（5）挂起session，在Metasploit控制台下search搜索2008 #根据关键字搜索，晒选结果中loc

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ 是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。php马：elf马：#msfconsole，开启Metasploit控制台如下图所示，我们首先上传shellx.php攻击载荷到靶机：

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ 是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。【图略】#键入 启动 metasploit#进入监听模块 #查看系统信息 #查看进程 pid #迁移进程 #当前用户

FileZilla 是一款开源的FTP服务器和客户端的软件，其默认安装目录是C:\Program Files\FileZilla Server\，并且服务器端默认只侦听127.0.0.1的14147端口。需要特别注意的是，FileZilla默认安装目录下有两个敏感文件，分别是存储了ftp管理员密码的配置文件和存储了ftp用户账号密码的配置文件。 由于在2003系统，FileZilla FTP服务器是默认以系统权限启动的，所以FTP服务器的管理员账号可以给ftp普通用户分配任意家目录以及权限。

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ 在php里面有一个扩展是zend。 IIS6.0 在启动的时候或进程重启的时候，当有用户访问php网页，则会加载我们伪造的ZendExtensionManager.dll文件，该伪造的文件通过hack工具可以实现反弹Shell功能。 已经获得了靶机的一个webshell，且zend.dll是可读可写的。（2）靶机链接： URL：第一步：【获取webshell过程略】，以下是提权过程：第二步

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ mof是windows系统的一个文件，存储在，叫做"托管对象格式"，其作用是每隔五秒就会去监控进程创建和死亡。然而提权的原理就是在拥有了mysql的root权限以后(其实就是获得了MySQL的启动身份)，然后使用该权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs脚本段大多数写的是cmd的添加管理员用户的命令。（1）操作系统版本：Windows Server

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ sethc.exe（sethc）是一个进程文件，按5下shift后，windows就执行system32下的sethc.exe，用来开启粘滞键。粘滞键指的是电脑使用中的一种快捷键，专为同时按下两个或多个键有困难的人而设计的。粘滞键的主要作用是方便Shift与其他键的组合使用。 粘滞键可以先按一个键位，再按另一键位，而不是同时按下两个键位，方便某些因身体原因而无法同时按下多键的人。一般电脑连按五次shift会出现粘滞

在winserver2008 R2中，服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具,进行提权。 这个版本的提权工具，可以对winserver2008 的系统进行溢出提权（2）靶机链接：URL：第一步：【以上过程略】以下进行提权过程：第二步：在winserver2008 R2中，服务器默认是支持aspx的。所以默认都是可以执行一些命令：第三步：扫描结果：扫描失败第四步： 把systeminfo的信息放入该网址中，检索相

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ 如果网站里面使用的数据库是sqlserver 那么如果找到sa的密码，可以开启xp_cmdshell存储过程，以sqlserver的身份执行系统命令。但是不一定是系统权限，还要看管理员在一开始安装sqlserver的权限设置。（1）xp_cmdshell存储过程【存储过程是:已预编译为一个可执行过程的一个或多个SQL语句的集合】，它是用来执行本机的cmd命令的，要求系统登陆有sa权限。默认情况下，sql serve

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！（1）在mysql可以使用udf自定义函数进行提权，udf = user defined function 用户自定义函数。（2）对于自定义的函数，在mysql5.1版本以后就需要放在插件插件目录 /lib/plugin ,文件后缀微dll，c语言编写。（3）udf提权的位数，取决于操作系统位数，与mysql位数无关。​ 我们通过文件上传+文件包含获得了一个webshell，但是此时的权限很低，与此同时还获得了靶机MySQL的连接

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！ window 服务器常用的是win2003、win2008和win2012。在渗透测试中 ，我们获取的权限是iis_user用户组 ，要更高的权限就需要把当前的用户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中，扩大范围测试。 在iis里面，权限依次的大小对比：，aspx默认能执行终端命令、php和asp如果不能执行命令，在wscript.shell组件没有删除的情况下，可以上传c

Cron Jobs，顾名思义，是定时/计划任务的意思。root用户通过文件，可以设定系统定期执行一些预设的任务。特别需要注意的是：crontab 文件只能是在root权限下进行编辑。 当我们得到一个权限的远程登录用户的时候，并且可以查看文件的内容，与此同时文件中的某个定时任务，存在短期内执行的且是当前用户可编辑执行的脚本。假设，我们此时在该脚本文件中给某个shell命令(使用命令cat /etc/shells可以查看当前系统的可用shell命令)赋予suid权限，由于这些shell命令的所有者

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！​ UDF是mysql的一个拓展接口，UDF（Userdefined function），可翻译为用户自定义函数，这个是用来拓展Mysql的技术手段。在mysql中函数是什么，比如mysql中常见的sleep(),sum(),ascii()等都是函数，udf就是为了让我们开发者能够自己写方便自己函数（其中包括了执行系统命令的函数，要想利用udf，必须上传udf.so或udf.dll作为udf的执行库），并且它有3种返回值，这三种分

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、劫持环境变量提权1、提权背景2、提权原理3、提权限制3、提权测试在tmp目录下建立一个文件cat，然后开启一个shell

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、LINUX SUID提权1、SUID简介2、SUID测试（1）实验环境（2）靶机suid提权环境测试（3）总结3、SUID提权（1）提权原理（2）可用于suid提权的命令（3）查找具有root权限的SUID的二进制可执行命令文件（4）nmap命令提权姿势（5）find命令提权姿势（6）vim命令提权姿势（7）bash命令提权姿势（8）less/more命令提权姿势（9）cp命令提权姿势

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、LINUX 内核漏洞提权1、漏洞背景：2、漏洞利用：（1）实验环境（2）靶机链接（3）突破MIME类型限制文件上传获取webshell（4）创建交互式shell（5）查看linux发行版（6）查找可用的提权exp（7）进行提权（8）切换shell

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、xpath注入与盲注入1、什么是xpath注入2、什么是xpath盲注入3、xpath查询基本语句二、xpath注入示例1、注入漏洞页面源码：xpath.php2、注入漏洞页面关键源码分析3、账户信息存储文件：`xpath_user.xml`4、注入方法（1）万能密码登录：（2）payload分析：5、盲注入（1）获取字符长度函数：`string-length()`（2）截取字符函数：`su

我认为，无论是学习安全还是从事安全的人，多多少少都有些许的情怀和使命感！！！文章目录一、json劫持漏洞概念（1）json劫持概念（2）json劫持攻击二、json劫持漏洞测试（1）json劫持漏洞测试流程与方法（2）json漏洞页面源码：`json.php`（3）测试json.php是否存在漏洞：`json-poc.html`（4）劫持json数据，发送给远程服务器