前言 本文为记录实战过程中遇到的问题及思考，旨在思路分享及自我总结。文中涉及目标站点为SRC授权站点，为防止漏打码已对实际链接进行了部分删减，如去除了链接目录名等。整个测试过程涉及未授权访问、暴力破解、存储型XSS、SQL注入，到最后拿shell，过程略微曲折。 信息收集 打开目标站点，为系统登录界面。安装VNC远程协助链接到内网地址，经测试登录无验证码及失败次数锁定，可尝试暴力破解，此处先做信息收集。 目标站点：http://1.2.3.4/login.aspx 脚本：aspx,通过登录页面...

0x01 存在注入 https://www.cnblogs.com/zpchcbd/p/12167244.html 通过堆查询延迟注入，判断是dbo的权限 ;if(selectIS_SRVROLEMEMBER('sysadmin'))=1WAITFOR DELAY'0:0:05'-- 那么直接通过sqlmap来进行执行命令 --os-shell，发现 [18:39:23] [INFO] checking if xp_cmdshell extended procedur...

0x01 废话 有时候mssql注入会碰到-os-shell执行不了命令的情况，有可能是因为权限不够不能开启xp_cmdshell，还有可能就是杀软拦截了 常见的只有360会拦截，如果被拦截了就是下面这样的 0x02 拦截原因 这里用上x64dbg在CreateProcessA和CreateProcessW打上断点，MSSQL调用的CreateProcessW 可以看到xp_cmdshell是直接使用cmd /c来执行命令的，这拦截的原因和之前的php很相似，不过这里没有php那么高的操作空间 ...

1.apache apache文件多后缀名解析漏洞 与其说这是一个漏洞，不如说这是一个特性，很多程序员不知道这种特性，所以会写出有问题的代码。 特性：多后缀名(全版本都有这个特性） apache在解析一个文件的后缀名时，是从右往左解析后缀名的，如果右边的后缀名不认识，就会继续向左识别，直到识别到一个认识的后缀名，但是万一都不认识呢?都不认识的话默认情况下是plain/text处理。那么apache是怎么知道哪个后缀名它是认识的呢?答案是认识的后缀名们都被记录到一个叫mime.types的文件中了。这个文件呢,Windows放在conf文件夹里，linux放在/etc/mime.t...

0x03:Linux下的权限划分 在Linux系统中，用户是分角色的，角色不同，对应权限不同。用户角色通过UID和GID识别。特别是UID，一个UID是唯一标识一个系统用户的账号。 超级用户（0）：默认是root用户，其UID和GID都是0。root用户在每台Unix和Linux系统中都是唯一且真是存在的，通过它可以登陆系统，操作系统中任何文件执行系统中任何命令，拥有最高管理权限。 普通用户（1~499）：系统中大多数用户都是普通用户，实际中也一般使用普通用户操作，需要权限是用sudo命令提升权限。 虚拟用户（500~65535）：与真实的...

本项目整理一些宝塔特性，可以在无漏洞的情况下利用这些特性来增加提权的机会。 项目地址:https://github.com/Hzllaga/BT_Panel_Privilege_Escalation 写数据库提权 宝塔面板在2008安装的时候默认www用户是可以对宝塔面板的数据库有完全控制权限的： powershell -Command "get-acl C:\BtSoft\panel\data\default.db | format-list" 对于这种情况可以直接往数据库写一个面板的账号直接获取到面板权限，而在2016安装默认是User权限...

近期在学习Linux提权，完成了vulnhub上的42challenge靶场。该靶场在web渗透阶段表现的中规中矩，但在获得shell后的提权过程中，表现很出色。提权题目设计的逻辑严谨（不会出现突然的脑洞让你卡住），注重基础知识的考察，要求的知识面也很广，涉及到密码破解、程序逆向分析、第三方应用提权、进程提权、ssh免密登录、Linux ACL访问控制权限等方面的知识，属于不可多得的精品之作，下面就开始这次靶场实战之旅。 一、主机端口探测 利用命令arp-scan -l来发现靶机，然后看看靶机开放了哪些端口； 在利用nmap的脚本探测下端口可能存在的漏洞； ...

近期在一次演练行动中，对某目标进行了一次渗透测试，期间用到了sqlmap的中转注入技术，还是很有收获的，记录下来和大家共同分享，由于是实战，免不了部分地方是要马赛克的，大家见谅。 免责声明：本文中提到的漏洞利用方法和脚本仅供研究学习使用，请遵守《网络安全法》等相关法律法规。 手工注入 打开网页，拉到最底看到是 感觉历史有点悠久了，应该是有现成的漏洞了。查阅了一波资料，大佬已经给出了SQL注入的地方，开心的手工注入一波； 先看看有多少字段； http://www.xxxxx.com/batch.common.php?action=modelquote&...

本次渗透总流程： 1.从一个web页面发现SQL注入并可以通过注入getshell 2.通过对webshell的提权成功拿下服务器管理员权限 3.通过内网穿透成功连接目标服务器的3389远程桌面服务 4.通过在目标服务器上安装并使用nmap完成信息收集，为接下来横向移动以及拿下域控提供基础 5.通过mimikatz抓取本机管理员明文密码，为下一步域渗透提供条件 本次渗透靶场网络拓扑图： 工具： 蚁剑，烂土豆提权补丁，reGeorge,nmap,mimikatz,Proxifier汉化版 ...

一、排查思路 在攻防演练保障期间，一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内，可以高效且保证质量的前提下完成主机入侵痕迹排查工作，本人总结了自己的一些经验，下面的内容特此分享主机入侵痕迹排查服务中重点、关键的排查项，仅作为参考使用。 1.1初步筛选排查资产 一般情况下，客户资产都比较多，想要对所有的资产主机进行入侵痕迹排查基本不太现实，等你全部都排查完了，攻击者该做的事早就做完了，想要的目的也早就达到了。那么针对客户资产量大的情况，我们应该怎么处理？ 首先，在排查前，作为项目经理...

提权背景 权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户，通过“手段”让自己变为管理员用户，也可以理解为利用操作系统或软件应用程序中的错误，设计缺陷或配置错误来获得对更高访问权限的行为。 为什么需要提权 权限的提升可以让人“知道”更多的事情，特别是攻击者，一旦提权成功后果不堪设想。攻击者在提权主要有以下几点的考虑，分别是： 读取/写入敏感文件 “隧道”权限维持 插入恶意BackDoor …. 基于...

1、 windows 补丁审计工具使用 在终端下可以使用命令systeminfo 来查看系统的一些补丁信息   http://www.demo1.com/asp.aspx 补丁检测Windows-Exploit-Suggester https://github.com/GDSSecurity/Windows-Exploit-Suggester 下载工具 git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git 用法 ...

1、简介   服务器 （vps）上安装了iis安全狗 服务器安全狗通常这种服务器都是比较难提权 不仅是漏洞补丁修复得差不多，waf 对于常规的提权方法也是拦截得较多。 aspx大马 被查杀 拦截 不能访问所以要用内部过waf的 暗月过狗刀 基本过一切waf 中国菜刀 一句话 客户端 菜刀发送的包里面包含eval特征会被waf拦截，服务端一句话一般都会拦截。除了做了一些变异。 现在的测试环境 环境是 Microsoft Windows Web Server 2008 R2 WEB环境 php asp aspx ...

一、导出函数写shell 利用Mysql的导出函数直接写一个可访问的webshell 1.1 条件 1.网站可访问路径的绝对路径 报错 输入异常值让脚本主动报错，或googlehacking目标的脚本报错信息 phpinfo 扫目录找phpinfo 推测 目标可能使用集成安装包，如phpstudy C:\phpStudy\WWW\C:\phpStudy\WWW\域名\ 枚举 高频绝对路径 读配置文件 中间件，web的配置文件 2.secure_file_priv 的值非NULL或包...

Impost3r是一款针对Linux平台的密码管理工具，该工具采用C语言开发，可以帮助广大研究人员在渗透测试的过程中，从目标Linux主机中获取各类密码（ssh、su、sudo）。 此工具仅限于安全研究和教学，请不要将其用于恶意目的。 功能特性 1、 自动擦除密码窃取行为痕迹； 2、 通过DNS协议传输结果； 3、 无需用户交互，用户无法察觉； 依赖组件 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地： git clone ...

一、CVE-2020-0796简介 0x01 漏洞简介 CVE-2020-0796是由于SMBv3协议在处理恶意的压缩数据包时出错所造成的；在解压数据包的时候使用客户端传过来的长度进行解压时，并没有检查长度是否合法，最终导致整数溢出。它可让远程且未经身份验证的攻击者在目标系统上执行任意代码，该漏洞类似于永恒之蓝。 0x02 影响版本 Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Ver...

Enumy Enumy是一款功能强大的Linux后渗透提权枚举工具，该工具是一个速度非常快的可移植可执行文件，广大研究人员可以在针对Linux设备的渗透测试以及CTF的后渗透阶段利用该工具实现权限提升，而Enumy运行之后将能够帮助研究人员枚举出目标设备中常见的安全漏洞。 哪些人应该使用Enumy 1、渗透测试人员，可以在目标设备上运行Enumy，并报告发现的安全问题； 2、CTF玩家可以利用Enumy来识别他们原本可能会错过或忽略的东西； 3、想识别本地设备中安全漏洞的话，同样可以使用Enumy； 工具安装 ...

Windows 内核漏洞提权 参考： windows-kernel-exploits 微软安全公告 渗透测试小技巧一：寻找EXP Windows 内核漏洞的关键是目标系统没有安装补丁，如何查询目标系统是否安装补丁？ 1 2 3 4 5 #查看本地系统补丁 systeminfo |findstr "KB" wmic qfe get Caption,Description,HotFixID,InstalledOn #另外两种远程查询的方式需要结合其他远程执行方式，例如 wmi...

提权技巧 1.cmd拒绝访问就自己上传一个cmd.exe，自己上传的cmd是不限制后缀的，还可以是cmd.com cmd.txt cmd.rar等 2.net user不能执行有时候是net.exe被删除了，可以先试试net1，不行就自己上传一个net.exe 3.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:\RECYCLER\pr.exe，命令那里清空(包括/c )输入net user jianmei daxia /add 4.有时候因为监控而添加用户失败，试试上传抓取hash的工具，如PwDump7.exe，得到hash之后可以进...

利用模拟器安装好APP,然后进行BURP抓包分析 通过各种手工分析,找到某处SQL注入漏洞. 之前信息收集的时候已经知道目标开放1433端口(爆破失败) 因此注入的时候,直接 --dbms=mssql  加快速度. 注入点类型: SA权限的注入点,原谅我菜,目前还没找到后台地址,数据库实在太特么乱了,虽然只有几个数据表,但是我不想一个一个的去翻,直接读sa密码解密失败,行吧,尝试下--os-shell 结果如上图,告诉我不支持,那我们改下类型,指定跑 stack queries&...

PrivescCheck PrivescCheck是一款针对Windows系统的提权枚举脚本，该脚本能够枚举出目标Windows系统中常见的Windows错误安全配置，而这些错误的安全配置将允许攻击者在目标系统中实现信息收集以及权限提升，这些对于攻击者的漏洞利用以及后渗透攻击来说将非常有用。 该工具基于PowerUp这款工具实现，并且添加了更多的检测机制，以降低工具的误报率。 目前，该项目仍处于开发阶段，因为我们还打算向其中添加更多的检测机制，不过该项目现已接近完工。 其实我本人非常喜欢PowerUp，因为它可以快速枚举出目标设备中的常见漏洞，而且无需借助第三...

在过去的几十年中，视频游戏领域发生了翻天覆地的变化。这些变化也导致网络威胁领域的巨变，而游戏公司、游戏本身以及玩家们都开始直面这些威胁了。 云、移动应用程序和社交网络的集成、游戏和平台的多样性、流媒体的普及以及以资源整合为目的的盈利模式的变化，这些因素意味着游戏行业的攻击面比以往任何时候都要大。因此，重要的是，游戏公司必须为玩家做好防范威胁的准备，并让他们了解可能面临的威胁的类型。 无论是利用游戏平台中的漏洞，还是将恶意软件与游戏捆绑在一起，进行广告欺诈，利用游戏玩家的凭据进行网络钓鱼或开展欺诈活动，总而言之，在游戏行业的各个方面，攻击者都可以利用多种潜在威胁进行网络犯...

【全球动态】 1.Matlab 修复了 AMD CPU 代码路径 包括 Matlab 在内的许多应用程序使用了 Intel Math Kernel Library (MKL)，但MKL 对竞争对手不友好，即使 AMD CPU 支持 AVX2 或 SSE3-SSE4，MKL 也只运行在 SSE1 上，性能因而大打折扣。现在，Matlab 的开发商 MathWorks 在最新版本 2020a 整合了补丁，修复了代码路径，允许在 AMD CPU 上运行 AVX2 代码。[阅读原文] 2.伊朗非官方版本Telegram应用用户的4200万记录在线泄漏 由于伊朗禁了Te...

前言 这周授权测试了某系统，凭借着一个任意文件读取的漏洞，不断深挖，一波三折，历时将近24小时，也和Tide安全的小伙伴不断讨论，最终拿下目标的webshell。过程简直不要太美、太狗血，在此做个整理。 基本信息 目标：wy.xxx.com.cn（子域名） IP：114.xxx.xxx.xxx（阿里云） web 四大件： java、Apache Tomcat 7.0.61、mysql、linux 端口开放了太多，确定的是30126端口为ssh 子域名更多了，大多数均反查为该阿...

前言 这周授权测试了某系统，凭借着一个任意文件读取的漏洞，不断深挖，一波三折，历时将近24小时，也和Tide安全的小伙伴不断讨论，最终拿下目标的webshell。过程简直不要太美、太狗血，在此做个整理。 基本信息 目标：wy.xxx.com.cn（子域名） IP：114.xxx.xxx.xxx（阿里云） web 四大件： java、Apache Tomcat 7.0.61、mysql、linux 端口开放了太多，确定的是30126端口为ssh 子域名更多了，大多数均反查为该阿...