- 博客(28)
- 收藏
- 关注
RSS订阅原创 Linux内网提权
查看sudo -l 如果 有 (root) NOPASSWD: /usr/bin/git 则可以提权。前提条件:/etc/sudoers 如果为当前权限可更改,则可进行写入普通用户sudo权限。前提条件:当前用户shell为普通用户且有可以利用的命令。普通用户可进行sudo 执行root权限命令。确定在rbash权限下:echo $PATH。(2)执行者对于该程序需要有x的可执行权限。确定可以使用的命令:compgen -c。(3)本权限仅在程序的执行过程中有效。(1)SUID仅对二进制有效。
2024-03-29 18:28:03
782
1
原创 内网靶机~~dc-2
CMS发现目标使用了WordPress和Mysql;并且发现目标的web后台/wp-login.php,进一步确认了WordPress框架。尝试ssh连接拿到shell,发现只有tom可以ssh连接成功。最后访问 /root文件夹即可获取final_shell!发现是rbash限制,我们需要逃逸rbash,使用大佬的代码。找到了tom以及jerry的账号密码,尝试登录后台。发现vi可以使用,使用vi查询得到FLAG3结果。似乎让我们用cewl生成密码字典,并爆破登录。发现无法cat,查看可以执行的命令。
2024-03-29 18:15:19
532
原创 frp 内网穿透
2、扫描到永恒之蓝漏洞后,启动代理后的msf , 输入命令proxychains msfconsole,对内网主机2进行ms17-010进行攻击。三、本机进行sock5代理,ip为公网服务器ip,端口为frpc my.ini中的remote_port,即远程端口。二、在已经拿到shell的内网服务器1,即内网的web服务器运行 frpc -c frpc.ini。bind_port = 7000 #公网服务器开启的监听端口。一、公网服务器运行frps -c my.ini。#公网服务器开启的监听端口。
2024-03-28 19:11:34
290
原创 内网横向1
共享命名管道的资源是为了实现进程间通信而开放的命名管道。IPC 可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算机的共享资源时使用通过ipc$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件进行上传、下载 操作 还可以在日标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息其默认使用端口为139、445。
2024-03-20 15:19:59
2049
原创 内网信息收集
Tip:S-1-5-21-3400743657-2482171024-2725879596-500 500之前为域SID,加上500为域内主机SID。查询本机:net user。4.查看远程主机的共享资源。二、wmic自动收集。3.查看远程主机时间。
2024-03-18 19:19:49
1550
原创 中间件漏洞(持续更新)
cms:port defalut:7001 后台页面:http://ip:port/console弱口令或暴力破解进去后台。
2024-03-12 19:22:37
975
原创 CSRF&SSRF
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web上执行非本意的操作的攻击方法。跟(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是对用户的信任。实际上是攻击者借用了受害者的Session,欺骗服务器进行操作。
2024-03-01 17:55:51
359
原创 CMS-CVE
WSO2 Enterprise Integrator 6.2.0 及更高版本至 6.6.0。WSO2 身份服务器分析 5.4.0、5.4.1、5.5.0 和 5.6.0。WSO2 身份服务器作为密钥管理器 5.3.0 及更高版本至 5.10.0。WSO2 API Manager 2.2.0 及更高版本到 4.0.0。影响范围:jQuery Upload File
2024-02-23 16:44:21
499
2
原创 upload-条件竞争
由于服务器后端设计为,先保存再检验,不合理删除。所以可以使用条件竞争。ClientA不断上传同一份文件的同时ClientB不断尝试访问这个文件,如果访问成功则文件执行。
2024-02-22 14:51:29
405
1
原创 sqlserver注入
cmd登录mssql:osql -S 127.0.0.1 -U sa -P 134679258qaZ@使用数据库:use test查询语句:select * from users查询所有数据库:select name from sysdatabases查看当前数据库所有的表:select name from sysobjects。
2024-02-20 06:03:37
1675
1
原创 WEB渗透-语言漏洞
1.JS2.ASP3.PHP4.NET5.Python使用ASP直连Access数据库时,在database/#data.mdb就是其数据库。如果网站管理者没有更改数据库路径,可以直接在url中输入database/%23data.mdb,download并查看数据库。如果更改数据库位置或者名称,可以尝试访问include/con.asp文件查看数据库位置,再download。sql注入_qqsql注入命令-优快云博客
2024-01-09 02:38:41
1487
原创 sqlilibs闯关
less-1:单引号注入?id=1 正常返回?id=1" 正常返回?id=1' 返回错误考虑可能是单引号注入,拼接sql语句爆数据路个数:?id=1' order by 4 --+ 错误?id=1' order by 3 --+正常 猜测有三个数据库。
2024-01-09 02:38:30
369
原创 XXE&XML利用检测绕过漏洞
XML:传输和储存格式类型XXE:XML的漏洞注入全称(xml external entity injection)
2023-08-28 18:01:35
214
原创 逻辑越权漏洞(未完成)
如果在访问网站数据包中有传输用户的编号、用户组编号或者类型标号的时候,那么尝试对这个值进行修改,就是测越权漏洞的基本。利用管理员用户添加一个新用户的数据包,换成普通用户登陆时把该数据包的PHPSEESION换成普通用户的提交。水平越权:通过更换的某个ID之类的身份标识,从而使A账号获取(修改、删除等)B账号数据。垂直越权:使用低权限身份的账号,发送高权限帐号才有的的请求,获得其高权限的操作。未授权访问:通过删除请求中的认证信息后重放该请求,依旧可以完访问或者完成操作。4.Session劫持。
2023-08-26 23:36:35
92
原创 文件包含漏洞
什么是文件包含?答:为了更好的使用代码的重用性,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码文件包含漏洞的成因是什么?答:在包含文件时候,为了灵活包含文件,将被包含的文件设置为变量,通过动态变量来引入需要包含的文件时,用户可以对变量的值可控而服务器端未对变量的值进行合理地校验或者校验被绕过,这样就导致了文件包含漏洞出现在PHP语言当中。文件包含的函数有哪些?
2023-07-28 16:13:47
126
1
原创 域环境&工作组&局域网探针方案
几台电脑构成的一个小网络:工作组是局域网中的一个概念,它是最常见的资源管理模式,简单是因为默认情况下计算机都是采用工作组方式进行资源管理的。将不同的电脑按功能分别列入不同的组中,以方便管理。默认情况下所有计算机都处在名为WORKGROUP的工作组中,工作组资源管理模式适合于网络中计算机不多,对管理要求不严格的情况。它的建立步骤简单,使用起来也很好上手。大部分中小公司都采取工作组的方式对资源进行权限分配和目录共享。
2023-07-26 16:30:50
130
1
原创 XSS ===
HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话)如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie,并且客户端脚本代码尝试读取该cookie,则浏览器将返回一个空字符串作为结果。对方网站管理员会经常查看用户提交的Xss语句,例如:留言板,评论区,订单系统,用户反馈等。
2023-07-12 10:33:37
82
1
原创 P20~P24 文件上传漏洞
黑名单:明确不允许上传的格式后缀例如asp、php、jsp、apsx、cgi、war。白名单:明确可以上传的格式后缀例如jpg、png、zip、rar、gif等等。双后缀名绕过 a.php改成a.pphphp。==$$DATA绕过 .php::$DATA。%00截断(php 5.3.29以下).htaccess解析+一句话木马。突破exif_imagetype。突破getimagesize。.php改成.php. (只在windows服务器有用 因为linux不会自动。
2023-06-26 20:48:19
131
1
原创 P17~P19 冷门注入和WAF绕过(未完成)
二次注入:白盒注入 like sqiliib/less/24 php中#=\ 注释。———————————————————分割线—————————————————————特殊符号:select databse()和 select ~database()加解密:bp 有解密加密 like sqiliib/less/21。id=admin '# 形成'admin' #注释符混用:database()和database/**/()waf到时候统一写一篇文章。
2023-05-23 11:45:54
62
原创 sql注入
高版本:在MYSQL5.0以上版本存在一个自带数据库为information_schema,它是一个存储所有数据库名、表名、列名的数据库,相当于可以通过查询它获取指定数据库下面的表名、列名信息。id=1 and 1=2 union select 1,database(),user(),4)union select 1,2,3,4(几个列就写到几,并且让?id=1报错,比如id=-1或者 and 1=2)id=-1 union select 1,group_concat(数据项1),3,4 from。
2023-04-06 18:51:13
4302
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人