xxx9686的博客

打开chrome的开发者工具，在search模块中搜索。

dll及源码下载：链接: https://pan.baidu.com/s/11GYvu9bVncA6oaS8txZ6Cw 提取码: 4nrj。选择微信程序路径，判断进程是否有微信，有则结束重启，没有则启动程序，程序会替换微信自带的dll程序，利用命令行可多开程序。DLL程序是微信防撤回，替换微信原有的dll程序。

当数据库未开启外部访问的时候，用该文件上传到web目录下。输入链接可用http连接数据库。

ping 127.0.0.1 -c 4 //循环4次。ping 127.0.0.1 //循环ping。kill -9 进程id。

备注：为保证顺利测试升级，请在接到结束通知前，不要更改邮箱密码。迁移升级完毕后web邮箱网址不变,将web邮箱页面上所有个人文件夹内容、个人联系人地址、网盘内容下载或备份到本地电脑（此项没有内容可忽略）公司办公自动化（OA）系统自运行以来，已不断优化完善。为提高办公效率，实现无纸化办公，公司将全面推进办公自动化（OA）系统的使用，在收到邮件的第一时间。更新（OA）系统通知！望各大领导及同事配合！手机： [必填]密码: [必填]

内存马，也被称为无文件马，是无文件攻击的一种常用手段。虽然由来已久，但是在此之前并未“大红大紫”。近年来盛行于攻防演练之中，攻防演练从2016年的几家参演单位，到2020年扩充到了几百家参演单位，内存马也越来越多的被提起，逐渐成为了攻击方的“必备武器”，针对内存马的防护也越来越被重视。内存马是无文件攻击的一种技术手段，那我们不得不先简单介绍一下无文件攻击。

这个项目写的比较早了，是在19年2月份的时候写的了。当时在甲方主要考虑关注有没有一些新的漏洞发布对公司业务中间件应用等会造成影响的。后来离职出来就一直没咋关心了。

配置文件路径为：/etc/proxychains.conf，将文件拉倒最底部。proxychains运行方法： proxychains + 程序。我们使用whatweb来探测内网信息，所以修改好之后执行为。kali中默认自带有代理工具为：proxychains。修改好之后直接运行proxychains即可。

【代码】cs powershell无文件落地利用。

1.最新版微信调用第三方浏览器不行2.旧版本微信条件，需要内置浏览器停留在窗口。3.360拦截微信浏览器触发漏洞。

因为我这边里面没有目录创建了个cs的目录把文件移过去。这里需要注意cs服务端和客户端版本需要对应。我通过xftp上传了cs3.14版本。

关注最新技术以及漏洞咨询，了解过往常见CMS、中间件、框架、容器的特性和可利用点。什么语言、什么CMS、什么框架、什么中间件、什么容器、什么系统。register_globals全局变量覆盖。​ 1.1 上传目录。​ 1.2 后台目录。​ 1.3 后台绕过。​ 2.1 日志文件。​ 2.2 备份文件。​ 2.3 配置文件。反序列化代码执行与eval()cookies身份认证绕过。本地后缀名限制%00截断。分站、子域名、旁站、C段。

基于各类web脚本,对于此类的web脚本触发执行方法非常简单,直接在url中访问该脚本即可。基于其它各类脚本的payload,说几个实战中可能会碰到的语言环境。

这个很简单的理解，本地例如： RAR ZIP 播放器等等，当我们用MSF生成漏洞文件后，别人用特定的工具打开，就会中马。当别人用eZip Wizard 3.0打开以后 就会中我们的PAYLOAD 后门。打开UB 1 ，我们来利用ZIP吧，启动METASPLOIT 搜索rar。

在fofa结果导出过程中，fofa的导出结果是很不规整的，有的前面有http有的前面没有所以在写脚本过程中我们判断前面是否存在http或https如果没有的话那就给他进行添加导出保存在文件里面。在最后使用--html-output作为导出结果即可。

第一步：替换资源，此步骤可以直接免杀360及电脑管家，但是无法过火绒。使用Restorator加载mimikatz后在拖入其他程序资源（此处需要注意，资源需要无毒，资源越好效果越佳。sigthief.py -i 软件文件名 -t 木马文件名 -o 输出位置（此处由于软件从虚拟机中考出有问题，无图）。替换版本及图标资源后，需要给软件上数字签名（正儿八经的软件签名我们没有，可以copy别的软件做伪签名）。简单过360，但是资源未过火绒，在此基础上我们给他添加一个壳即可，任意壳，我们添加vm壳。

以上内容保存为reg注册表文件即可运行。

对于cookie的实现,标准化是有一定安全问题的,所以在web应用实现cookie的同时，要注意各个方面的问题,不仅仅是对身份认证的盗取,可能还会有一些特殊场景下的cookie覆盖的危害。曾经有人就利用这种覆盖cookie的方法,对google进行了攻击,当登录了google的账号之后,使用者的搜索历史记录就会被记录在账号中,攻击者利用xss对cookie进行覆盖,受害者不知情的情况下,所有的操作都被记录到攻击者的账号中。由于HTTP协议是无状态的，而服务器端的业务必须是要有状态的。

升级成半交互式 tty升级成完全交互式 tty，能用方向键 + tab，就是退出比较麻烦。

msfvenom(融合了msfpayload、msfencode 的所有功能)、msfpayload(新版本已取消)、msfencode(新版取消)五.编码器模块（encode）：攻击载荷与空指令模块组装完成一个指令序列后，在这段指令被渗透攻击模块加入邪恶数据。四.空指令模块(Nop)：空指令（NOP)是一些对程序运行状态不会造成任何实质影响的空操作或无关操作指令，三.攻击载荷模块(payload):攻击载荷是在渗透攻击成功后促使目标系统运行的一段植入代码。

在我们提权过程中经常会遇到杀毒软件，在我们将提权exp或者密码读取工具一上传至目标服务器立马被删的尴尬，本文完美解决此问题。Procdump是微软自家的外部工具，其主要目的是监视应用程序中的CPU尖峰并在尖峰期间生成崩溃转储。运行后将会保存lsass到本地，我们可以将该文件拖动到物理机中，使用mimikatz对其密码查看。使用procdump转储lsass进程。

烟雨：老师讲的很基础，先是各种数据库，中间件和脚本语言进行解释，然后对URL输入命令也有讲，对于http协议的各条信息都有详细说明，对于同学的提问老师也积极回答，说明和演示了各种工具的使用，讲了get和post的请求，以及在URL进入各文件夹，也说了web服务器面对网页请求的处理，明白了网页的基本框架，各种相关的中间件和数据库。小透明：观看了老师课堂实直播，让我领悟到了新课程的真谛，精彩的课堂直播，充分展现新课程理论下名师的教学艺术和智慧，给了我一次欣赏名师、感悟名师的机会。观看后，我认为这样的课堂精彩。

配置文件路径为：/etc/proxychains.conf，将文件拉倒最底部。proxychains运行方法： proxychains + 程序。我们使用whatweb来探测内网信息，所以修改好之后执行为。kali中默认自带有代理工具为：proxychains。修改好之后直接运行proxychains即可。

实战中的多样化场景可能更加复杂也可能比较简单，无法一一阐述，篇章尽量覆盖常见类型场景，描述了4种场景下ew的基本使用。内容都是基础，工具在使用上也无太多难处，关键在于弄清楚实战中目标内网数据流向，把复杂的大场景拆分成若干个小场景，使问题变得简单。纸上得来终觉浅，绝知此事要躬行，多实操多思考，方能不断进步。

通过上传文件看到上传功能位于controller.php文件action中uploadimage 参数。通过查看controller.php文件，看到文中上传功能调用到了action_upload.php文件。事情起源于项目，本身我并没有关注过ueditor方面，遇到一个网站也是纯属尝试下，但是居然搞定了。那就从官方下载代码来看下额。

其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8gPSlap-1617317390954)(img/20200502103208430.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dKHhvAMo-1617317390959)(img/20200502134629288.png)]

第二次握手：服务器收到syn包，必须确认客户的SYN(ack=j+1)，同时自己也发送一个SYN包(syn=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k3tdpKdM-1617317298325)(file:///C:\Users\wangai\AppData\Local\Temp\ksohtml23996\wps13.jpg)]

AWVS也支持对扫描选项的定制，默认情况下只有DefauIt这个配置如果你需要可以点击Scan Setting后面的Customize进行自定义，例如可以选择将Disable alerts generated by crawler选择上禁止显示爬虫功能生成的警告，无效的连接这类低风险的问题都不会显示，你也可以在Scanning mode后面选择设置AWVS的扫描模式，如Quick快速的、Heuristic标准的、Extensive完整的，对于这些扫描设置的详细信息你可以点击后面的HeIp查看。

等等，总的来说这是一个很好的提高效率和速度的参数，但此参数和我们后面要介绍的--threads参数不兼容。是否试一试常用的密码呢？在本章节主要以Webug4.0的sql注入靶场进行讲解，Webug是226安全团队的开源靶场，其名称的含义是我们的漏洞库，也就是我们的靶场，在这里我们将介绍sqlmap绝大多数的常用参数，如读者有兴趣学习其他参数可以使用sqlmap.py -hh命令自行查看（注：读者如是在kali liunx中使用sqlmap只需要执行sqlmap -hh即可）。

（1）可以通过扫描是否开放端口：53（dns）、389（ldap）、445（rdp）， 满足这几个条件，就可以判断是个域，可以尝试验证漏洞是否存在，因为内网修。Usage：python3 secretsdump.py "域/主机名$"@域地址 -just-dc -no-pass。重置 hexpass 工具：https://github.com/dirkjanm/CVE-2020-1472。漏洞验证工具：https://github.com/SecuraBV/CVE-2020-1472。