提权教程:windows系统溢出提权 提权教程

提权教程:windows系统溢出提权

1、简介 window 服务器 常用的是win2003 win2008 win2012 在渗透测试中 ,我们获取的权限是iis_user用户组 ,要更高的权限就需要把当前的用 户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中,扩大 范围测试。   2、程序权限的对比   在iis里面 权限依次的大小对比 aspx->php=>asp aspx默认能执行终端命令 php和asp 如果不能执行命令,在组件没有删除的情况下,可以...
最新
阅读全文
提权教程:LINUX  CRON JOBS 提权 提权教程

提权教程:LINUX CRON JOBS 提权

Cron Jobs 计划任务通过 /etc/crontab 文件,可以设定系统定期执行的任务。 crontab 文件只能是root权限 进行编辑 我们得到一个非root权限的远程登录用户的时候 查看/etc/crontab 内容文件   发现存在 每两分钟执行一次文件 找到 /tmp/cleanup.py   cat /tmp/cleanup.py   #!/usr/bin/env python imp...
阅读全文
提权教程:LINUX SUID提权 提权教程

提权教程:LINUX SUID提权

1、简介 SUID是一种特殊的文件属性,它允许用户执行的文件以该文件的拥有者的身份运行。 SUID是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效)。例如,所有用户都可以执行passwd命令来修改自己的用户密码,而用户密码保存在/etc/shadow文件中。仔细查看这个文件就会发现它的默认权限是000,也就是说除了root管理员以外,所有用户都没有查看或编辑 该文件的权限。但是,在使用passwd命令时如果加上SUID特殊权限位,就可让普通用户临时获得程序所有者的身份,把变更的密码信息写入到shadow文件...
阅读全文
提权教程:LINUX 内核漏洞提权 提权教程

提权教程:LINUX 内核漏洞提权

1、简介 通常我们在拥有一个webshell的时候,一般权限都是WEB容器权限,如在iis就是iis用户组权限,在apache 就是apache权限,一般都是权限较低,均可执行一些普通命令,如查看当前用户,网络信息,ip信息等。如果我想进行内网渗透就必须将权限提权到最高,如系统权限 超级管理员权限。 2、创建交互shell linux 提权 需要交互shell  可以使用工具  perl-reverse-shell.pl建立 sockets 增加运行权限 chmod +x perl-reverse-shell.pl ...
阅读全文
WEB安全之SQL注入:注入的注入类型的区分详解 渗透测试

WEB安全之SQL注入:注入的注入类型的区分详解

WEB安全第四章SQL注入篇03 注入的注入类型的区分详解 1.首先按照常用接收方式的不同可以分为以下三种 GET GET请求的参数是放在URL里的,GET请求的URL传参有长度限制 中文需要URL编码 URL最长的长度 https://www.cnblogs.com/cuihongyu3503319/p/5892257.html POST POST请求参数是放在请求body里的,长度没有限制 COOKIE cookie参数放在请求头信息,提交的时候 服务器会从请求头获取取 ...
阅读全文
WEB安全之SQL注入:access+asp 逐字猜解法 渗透测试

WEB安全之SQL注入:access+asp 逐字猜解法

WEB安全第四章SQL注入篇02 access+asp 逐字猜解法 1、判断注入 and 1=1 and 1=2 2、猜表 页面返回正常 说明 表存在 http://127.0.0.1:99/shownews.asp?id=110 and exists (select * from admin) 3、猜列 http://127.0.0.1:99/shownews.asp?id=110 and exists (select username from admin) http://127.0.0.1...
阅读全文
WEB安全之SQL注入:access+asp 手工注入 渗透测试

WEB安全之SQL注入:access+asp 手工注入

1、access数据库 access数据库与其他数据库不一样 他没有存储表的库,所以只能猜表。 2、access数据库结构 表 字段 数据 3、判断是否存在注入 and 判断 http://127.0.0.1:99/ProductShow.asp?ID=104 and 1=1 正确页面 http://127.0.0.1:99/ProductShow.asp?ID=104 and 1=2 错误页面or 判断 or方法判断 h...
阅读全文
php弱类型总结 编程相关

php弱类型总结

x01:“==”和“===” PHP中有两种比较符号,“==”与“===”。“==”我们称之为等值符,当等号两边为相同类型时,直接比较值是否相等;当等号两边类型不同时,先转换为相同的类型,再对转换后的值进行比较,如果比较一个数字和字符串或者涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照常数值进行比较。 <?php var_dump("admin"==0); //true var_dump("1admin"==1); //true var_dump("admin1"==1) //false var_dump("admin1"==0) //true var_dum...
阅读全文
实战bc站 收割菠菜天恒盛达 渗透测试

实战bc站 收割菠菜天恒盛达

程序介绍 程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子,除了外包以外就是天恒、大发几套程序模改的。暂时,这边由于技术水平上面的问题,只能够发出天恒的。版本可能有点老。但是,一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测,大约70%的存在这些问题,而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。 漏洞详情 1、money – SQL注入 webwjactiondefaultPayOnlineBack.class.ph...
阅读全文
渗透某非法约xx软件 渗透测试

渗透某非法约xx软件

前言 无聊寂寞(这不是重点),去应用市场上下载了某个同城约x软件,点开软件,首先不需要登录/注册就可以进来。。就感觉发现有问题了。 主界面是长这样的,类似探探一样可以选择心动或者忽略,忽略之后就会蹦出下一个女生的照片: 瞎划几下,就有一堆女的找我聊天,直觉告诉我这肯定是机器人: 注入点 在设置中心 -> 反馈建议处插入 xss payload: 接收...
阅读全文
实战审计某BC站源码,并拿下权限 渗透测试

实战审计某BC站源码,并拿下权限

我们废话不多说,直接看过程吧! 源码的获取来源我就不透露了,找下载这种源码的站,想办法把卖源码的站撸了,然后免费下载就完事了 目标站点使用的源码就是下面这套,名字就不透露了,主要分享审计思路和渗透思路 先来看看目录结构 1 Web前台默认解析的是main目录Admin后台管理解析的是admin目录 ...
阅读全文
看我如何绕过Windows 10的用户组策略 渗透测试

看我如何绕过Windows 10的用户组策略

在这篇文章中,我们将教大家如何利用Windows系统中的一个功能来绕过Windows 10的用户组策略。虽然绕过用户组策略并不意味着就是“世界末日”了,但是这毕竟是一种违规的危险操作,而且根据不同的用户组策略配置,这种绕过行为也会产生不同的安全后果。目前,我们已在Windows 7和Windows 10 64位企业版(10.18363 1909)中进行了测试,而且利用过程不需要管理员权限。这种技术跟系统在用户登录时对用户账号注册表的加载过程有关,因此我们首先需要了解Windows账号的登录过程。 用户登录 当用户登录一个Windows账号时会发生很多事情,其中一个就是为该账号加载用户...
阅读全文
从防护角度看一句话木马的发展变形 渗透测试

从防护角度看一句话木马的发展变形

一、前言 一句话木马用到了一个比较有趣的命令下发思路,即不直接发送命令编码,而是将命令代码直接发送给木马端执行,这样木马端文件会特别小,而由于每条命令需要通过网络传输,数据包会比较大。这些工具的流量也是ips,waf等网络安全设备的检测重点。 一句话木马的发展主要有几个典型的代表:最开始是中国菜刀,接着是开源的Cknife和中国蚁剑,到近两年的冰蝎,攻击工具一直在进化。其实还有个神奇的二进制远控 Poison Ivy,说它神奇就在于它相当于一个二进制的一句话工具,直接传送shellcode到被控端执行,而且据说这个远控是比较早(零几年就出现了),有高手在github重写了一份代码...
阅读全文
用CVE-2019-19781漏洞黑掉一台Citrix设备 渗透测试

用CVE-2019-19781漏洞黑掉一台Citrix设备

去年底,Citrix高危漏洞CVE-2019-19781被披露,158多个国家的8万多家公司网络系统受其影响,面临严重安全风险,漏洞包含目录遍历和远程代码执行,攻击者若成功利用该漏洞,可在未授权情况下访问受害者公司内部网络,还可实现任意代码执行。而恰巧最近,我在一次安全评估中就遇到了该漏洞,分享于此,希望能对大家有用。 CVE-2019-19781也被称为“Shitrix”,概括来看,它的漏洞利用机制用到了Citrix网关应用的模板处理过程,由于在创建模板的过程中,会调用到/vpn/../vpns/portal/scripts/newbm.pl下的脚本服务,为此,我们可以构造一些Perl 语言的...
阅读全文
从防护角度看Weblogic反序列化历史漏洞 渗透测试

从防护角度看Weblogic反序列化历史漏洞

一、前言 Weblogic反序列化漏洞是一个经典的漏洞系列,根源在于Weblogic(及其他很多java服务器应用)在通信过程中传输数据对象,涉及到序列化和反序列化操作,如果能找到某个类在反序列化过程中能执行某些奇怪的代码,就有可能通过控制这些代码达到RCE的效果。随着每次补丁的修复,很多Weblogic反序列化的思路都被封禁了,但是跟Struts2系列漏洞不同的是,Weblogic漏洞由于涉及的面比较广,所以近几年还是持续有新出漏洞的,这也体现了挖掘出新漏洞的高手们对java语言理解之深。目前在做渗透测试时,Weblogic漏洞主要也是碰碰运气,用来攻击没打补丁的系统会比较有效。 ...
阅读全文
如何使用Frida绕过Android网络安全配置 渗透测试

如何使用Frida绕过Android网络安全配置

写在前面的话 在这篇文章中,我们将演示如何利用Frida脚本来绕过Android的网络安全配置,这是一种绕过网络安全配置的新技术。除此之外,我们还将演示如何在其他场景来测试该脚本,并分析脚本的运行机制。 在之前的一次Android应用程序安全审计过程中,首先我们要做的就是准备渗透测试的环境,并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida,因此它也就成为了我的首选工具。 当时我下载了两到三个脚本,但是当我在Android 7.1.0中运行脚本时,没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制,并且如何用Frida绕过它们。 我所...
阅读全文
从防护角度看Thinkphp历史漏洞 渗透测试

从防护角度看Thinkphp历史漏洞

一、前言 19年初,网上公开了2个Thinkphp5的RCE漏洞,漏洞非常好用,导致有很多攻击者用扫描器进行全网扫描。我们通过ips设备持续观察到大量利用这几个漏洞进行批量getshell的攻击流量,本文主要从流量角度简要分析和利用thinkphp进行攻击的全网扫描和getshell流量痕迹。 二、Thinkphp RCE漏洞和扫描流量 2.1漏洞原理回顾 2.1.15.0.x版本漏洞 原理在于Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php),该类可以实现对HTTP请求的一...
阅读全文
Tomcat-Ajp漏洞:我是如何一步步写出POC的? 渗透测试

Tomcat-Ajp漏洞:我是如何一步步写出POC的?

前言 晚上,朋友圈有人发了篇tomcat-ajp漏洞的通告和一个简要分析的文章,也是当时唯一的参考文章,本着“好好学习、天天向上”的态度,作为小白,就想试着分析下,看看能不能写出poc。所以本文主要讲述一个小白(当然也不能太白,java至少要会吧,网站要知道是啥吧)如何一步步调试分析,编写poc的过程。 一、漏洞介绍 简单来说就是apache tomcat服务器的8009端口上的ajp协议存在漏洞,导致未授权用户可以读网站目录下的任意文件。 漏洞编号: CNVD-2020-10487/CVE-2020-1938 受影响版本...
阅读全文
挖洞经验 | 登录注册表单渗透 渗透测试

挖洞经验 | 登录注册表单渗透

大家在甲方授权的渗透测试中,经常会遇到各种表单:登录、注册、密码修改、密码找回等表单,本技术稿着重介绍关于各种表单的渗透经验,抛砖引玉,欢迎大家交流互动。 方便大家查看,制作如下思维导图,以下只详细介绍其中一些重要常用的漏洞。 一、登录处是否可绕过—>(抓包decode+爆破)【高危】                      &n...
阅读全文
突破PHP函数禁用执行Shell代码分析 渗透测试

突破PHP函数禁用执行Shell代码分析

一、问题描述 Getshell时无法执行系统命令 二、直接利用过程 将bypass_disablefunc.php 和 bypass_disablefunc_x64.so共享文件传到目标服务器上,指定三个参数构造URL。 http://site.com/bypass_disablefunc.php?cmd=命令执行输入&outpath=outpath&sopath=sopath  一是 cmd 参数,待执行的系统命令; 二是 outpath 参数,保存命令执行输出结果的文件路径(如 ...
阅读全文
远控免杀从入门到实践(5)-代码篇-Python 编程相关

远控免杀从入门到实践(5)-代码篇-Python

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell ...
阅读全文
kali下安装 w13scan 被动扫描器和使用 神兵利器

kali下安装 w13scan 被动扫描器和使用

kali下安装 w13scan 被动扫描器和使用 w13scan是一款插件化基于流量分析的扫描器,通过编写插件它会从访问流量中自动扫描,基于Python3。 详细说明参考git主页说明 https://github.com/w-digital-scanner/w13scan/blob/master/README_CN.md 我来重点说一下安装。在mac 如果有安装python3 直接php install w13scan  就可以了。 在kali2020.1版本中 pip 或者pip3...
阅读全文
从防护角度看Struts2历史漏洞 渗透测试

从防护角度看Struts2历史漏洞

一、前言 Struts2漏洞是一个经典的漏洞系列,根源在于Struts2引入了OGNL表达式使得框架具有灵活的动态性。随着整体框架的补丁完善,现在想挖掘新的Struts2漏洞会比以前困难很多,从实际了解的情况来看,大部分用户早就修复了历史的高危漏洞。目前在做渗透测试时,Struts2漏洞主要也是碰碰运气,或者是打到内网之后用来攻击没打补丁的系统会比较有效。 网上的分析文章主要从攻击利用的角度来分析这些Struts2漏洞。作为新华三攻防团队,我们的一部分工作是维护ips产品的规则库,今天回顾一下这个系列的漏洞,给大家分享一些防护者的思路,如果有遗漏或者错误,欢迎各位大佬指正。 ...
阅读全文
提取Chrome中Cookie工具分享 神兵利器

提取Chrome中Cookie工具分享

这个工具将从Google Chrome浏览器中提取Cookie,是一个.NET程序集,可以在C2中通过工具如PoshC2使用或CobaltStrike的命令。 项目地址是SharpCookieMonster。 用法 只需将站点输入即可。 SharpCookieMonster.exe [https://sitename.com] [chrome-debugging-port] [user data dir] 可选的第一个参数分隔chrome启动时最初连接的网站(默认为https://www.google.com)。 第二个可选参数指定...
阅读全文
远控免杀从入门到实践(3)-代码篇-C/C++ 渗透测试

远控免杀从入门到实践(3)-代码篇-C/C++

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell ...
阅读全文
记一次某OA的渗透测试(前台注入) 渗透测试

记一次某OA的渗透测试(前台注入)

0x01 初始化 目标是这个样子的: 开发商已知,搜索引擎没找到洞。。。 0x02 加载中 登陆口可以爆破,但是: 用户名也遍历不了,简单爆破了一下,无果。 前台JS的文件命名很有意思: 满屏SB: 开发当时的怨气挺重的。 每个JS都仔细分析了一遍,无果。 扫了一下目录,无果。 扫了一下端口,无果。 关注到UI有这个: 群文件里面下载到APP: ...
阅读全文
渗透技巧——从远程桌面客户端提取明文凭据 渗透测试

渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言 在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。 在实际的渗透过程中,如果发现了远程桌面连接的历史记录,那么下一步就需要想办法获取远程桌面连接使用的口令。 本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法,分享需要注意的细节。 RdpThief地址: https://github.com/0x09AL/RdpThief 0x01 简介 本文将要介绍以下内容: 获取远程桌面连接口令的思路 ...
阅读全文
Web漏洞扫描碎碎念 渗透测试

Web漏洞扫描碎碎念

前言 这段时间一直在搞漏洞扫描方面相关的东西,之前也写过一些小的扫描器demo,接触到挺多开源和商业版漏扫。简单念叨一些web扫描器相关的思路吧,也算做个记录。 注:本文只提供一些思路 其实web扫描器形式分很多种 主动扫描例如 AWVS、APPScan 被动扫描例如 Xray 还有一些一把梭的插件类型扫描器,包括资产域名自动收集,指纹识别,POC扫描等 IAST插桩也是挺好的一种方式 当然可能按照不同角度有不同的区分类型吧,这几种类型的基本也都写过一些。其实无论哪种方式,最核心的还是要拿到...
阅读全文