概述 距离tp5 rce漏洞公开已经过去两年多，但是在实战中仍然可以遇到很多thinkphp的框架，关于thinkphp的白盒分析文章和rce payload网上已经一抓一大把，所以本文主要以黑白盒结合的形式谈谈如何在黑盒下对tp网站进行测试。 tp5的渗透要点 （最最常规payload一把梭.哈的情况就不讨论了） 以下渗透思路以5.0.*列举 开启debug下的数据库连接 tp5.0.*在debug模式下如果在数据交互点构造如sql注入、空参数等方式使数据库查询等出错，在一定情况下可能导致数据库账号密码直接显示出来。（报错信息太细了不...

记录一下tp5.0.24,感觉此站应该是阉割版，按理来说tp5.0.24应该没有rce的。 网站是非法站点，不用担心未授权。 还是先报错一手，发现是5.0.24的，当时想应该没有希望了，但是还是抱着试一试的心态，用exp打一打 _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 然后发现打动了，哈哈哈哈。disable_function倒是挺多的 心里有一些小激动，然后想的是直接用exp拿下 s=file_put_contents('axgg.php','<...

一、漏洞简介 二、漏洞影响 三、复现过程 漏洞分析 首先安装Emlog的相册的插件 安装之后可以在目录：emlog\src\content\plugins\kl_album下找到所有的安装文件： 之后我们分析Kl-album_ajax_do.php文件 <?php /** * kl_album_ajax_do.php * design by KLLER */ require_once('../../../init.php'); $DB = MySql::getInstance(); $...

一、漏洞简介 二、漏洞影响 三、复现过程 代码分析 安装漏洞 其实一般代码审计都是从安装文件开始审计，一般安装脚本主要存在如下漏洞： 无验证功能，任意重装覆盖 表单不做过滤写入config.php导致getshell $_GET['step']跳过限制步骤 漏洞文件：install.php 首先我们直奔第一个点能否任意重装，我们可以看到必须常量DEL_INSTALLER为1的时候才会触发删除install.php,那么我们追踪DEL_INSTALLER看看 这里可以看到DEL_INSTALLER默认值就是...

提权基础 权限划分 Administrators：管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。 Power Users：高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。 Users：普通用户组,这个组的用户无法进行有意或无意的改动。 Guests：来宾组,来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多 Everyone：所有的用户，这个计算机上的所有用户都属于这个组。 ...

0x03:Linux下的权限划分 在Linux系统中，用户是分角色的，角色不同，对应权限不同。用户角色通过UID和GID识别。特别是UID，一个UID是唯一标识一个系统用户的账号。 超级用户（0）：默认是root用户，其UID和GID都是0。root用户在每台Unix和Linux系统中都是唯一且真是存在的，通过它可以登陆系统，操作系统中任何文件执行系统中任何命令，拥有最高管理权限。 普通用户（1~499）：系统中大多数用户都是普通用户，实际中也一般使用普通用户操作，需要权限是用sudo命令提升权限。 虚拟用户（500~65535）：与真实的...

近期在学习Linux提权，完成了vulnhub上的42challenge靶场。该靶场在web渗透阶段表现的中规中矩，但在获得shell后的提权过程中，表现很出色。提权题目设计的逻辑严谨（不会出现突然的脑洞让你卡住），注重基础知识的考察，要求的知识面也很广，涉及到密码破解、程序逆向分析、第三方应用提权、进程提权、ssh免密登录、Linux ACL访问控制权限等方面的知识，属于不可多得的精品之作，下面就开始这次靶场实战之旅。 一、主机端口探测 利用命令arp-scan -l来发现靶机，然后看看靶机开放了哪些端口； 在利用nmap的脚本探测下端口可能存在的漏洞； ...

拿下一个站后总希望自己的后门能够很隐蔽！不让网站管理员或者其他的Hacker发现，网上关于隐藏后门的方法也很多，如加密、包含，解析漏洞、加隐藏系统属性等等，但大部分已经都不实用了，随便找一个查马的程序就能很快的查出来，下面分享我总结的一些经验： 制作免杀webshell 隐藏webshell最主要的就是做免杀，免杀做好了，你可以把webshell放在函数库文件中或者在图片马中，太多地方可以放了，只要查杀工具查不到，你的这个webshell就能存活很长时间，毕竟管理员也没有那么多精力挨个代码去查看。 命令执行的方法 这里使用我们最常用的php的一句话马来给大家做...

一、环境准备 用网线连接交换机 配置Winodwss攻击机IP为172.16.6.203 攻击机Kali IP为172.16.6.202 主机IP为172.16.6.201 网关为172.16.6.1 子网掩码255.255.255.0 目标IP 172.16.6.10 二、渗透具体流程 总览拓扑图 一开始以为192.168.6.200，一台普通的双网卡主机，没有发现是防火墙，所以10.1.1.0网段的主机拓扑不够清晰，后来老...

提权背景 权限提升意味着用户获得不允许他使用的权限。比如从一个普通用户，通过“手段”让自己变为管理员用户，也可以理解为利用操作系统或软件应用程序中的错误，设计缺陷或配置错误来获得对更高访问权限的行为。 为什么需要提权 权限的提升可以让人“知道”更多的事情，特别是攻击者，一旦提权成功后果不堪设想。攻击者在提权主要有以下几点的考虑，分别是： 读取/写入敏感文件 “隧道”权限维持 插入恶意BackDoor …. 基于...

1、 windows 补丁审计工具使用 在终端下可以使用命令systeminfo 来查看系统的一些补丁信息   http://www.demo1.com/asp.aspx 补丁检测Windows-Exploit-Suggester https://github.com/GDSSecurity/Windows-Exploit-Suggester 下载工具 git clone https://github.com/GDSSecurity/Windows-Exploit-Suggester.git 用法 ...

1、简介   服务器 （vps）上安装了iis安全狗 服务器安全狗通常这种服务器都是比较难提权 不仅是漏洞补丁修复得差不多，waf 对于常规的提权方法也是拦截得较多。 aspx大马 被查杀 拦截 不能访问所以要用内部过waf的 暗月过狗刀 基本过一切waf 中国菜刀 一句话 客户端 菜刀发送的包里面包含eval特征会被waf拦截，服务端一句话一般都会拦截。除了做了一些变异。 现在的测试环境 环境是 Microsoft Windows Web Server 2008 R2 WEB环境 php asp aspx ...

本文我们将演示如何获取域控制器上的Ntds.dit文件并提取其中的域账户和密码哈希。 Ntds.dit 在域环境中，活动目录是域中提供目录服务的组件，其可以帮助用户快速准确地从目录中找到其所需要的信息。在规模较大的网络中，要把网络中的众多对象，例如计算机、用户、用户组、打印机、共享文件等分门别类、井然有序的存放在一个大仓库中，并做好信息索引，一遍查找、管理和使用这些资源对象。拥有这个层次结构的数据库就是活动目录数据库。 Ntds.dit文件是域环境中域控上会有的一个二进制文件，是主要的活动目录数据库，其文件路径为域控的 %SystemRoot%\ntds\ntds.dit...

网络配置 临时IP地址 自动获取IP地址 dhclient eth0 1 手动配置IP地址 ifconfig eth0 192.168.1.11/24 1 指定默认网关 route add default gw 192.168.1.1 netstat -na  # 查看配置是否生效，Destination和Genmask都为0.0.0.0的一行是默认网关 1 2 添加静态路由 route add  -net 172.16....

常用BASH命令 ls、cd、pwd、cat、more、tail、cp、rm、top、ps、grep、ifconfig、netstat、awk、sort、route、mount、amesg、find、whereis、echo、vi ls # 显示当前目录下的目录及文件 ls -a # 显示包括隐藏文件 ls -lh # 显示文件目录详细信息（加上h是将文件大小换算为K或者M，否则为字节大小） cd # 进入某一个目录 cd .. # 返回上一级目录 cd ~ # 进入用户主目录 cat 1.txt # 查看文件（适...

在本文中，我们将介绍市场上可用的十大最佳漏洞扫描工具。 OpenVAS Tripwire IP360 Nessus Comodo HackerProof Nexpose community Vulnerability Manager Plus Nikto Wireshark Aircrack-ng Retina 1.OpenVAS OpenVAS漏洞扫描器是一种漏洞分析工具，由于其全面...

0x01 序章 上次讲解过手动利用fastjson，但讲的过于太简单了。根据大家的反应，收集如下几个问题。 1、如何盲打fastjson 2、判断fastjson的指纹 3、各版本payload以及使用ldap模式监听。 下面我就一一解答，我只是把我在网上查到的资料消化 后分享给大家，如果有大佬觉得哪里不对，还望不吝赐教。这次还带来了一键利用及检测工具，链接在文末。 注：本文仅用于技术讨论与研究，严禁用于任何违法用途，违者后果自负 0x02 环境搭建 这个不用多说了吧，使用vulhub搭建。 启动fa...

本文介绍了如何滥用Windows上特权进程执行文件操作来实现本地特权升级（用户到管理员/系统），同时介绍了利用这些类型的错误的现有技术以及漏洞利用工具。 特权文件操作错误 高权限运行的进程会和所有进程一样对操作系统中的文件进行操作。但是当一个高权限的进程在没有足够的安全措施的情况下访问用户控制的文件或目录时，就有可能成为一个安全漏洞，因为恶意程序有可能滥用该特权进程执行的操作，做一些不该做的事情。对用户控制的资源进行特权访问很多时候都可能造成安全问题，文件只是其中一个部分。 人们熟知的例子包括修改用户可写服务可执行文件和DLL种植。如果你对特权服务将执行的文件有写权限，或...

前言 上一篇《信息收集篇》中我们讲了如何使用ISF框架发现工控设备，那么有些小伙伴就会问了，发现工控设备之后能做些什么呢？答案是很多，比如：查看设备有没有密码保护？有密码保护能不能破解？破解后都能做些什么等等问题。为了让大家循序渐进地学会工控相关的安全攻防，我们需要先学习一些工控的相关知识。本篇我们就来讲讲与暴力破解相关的基础知识，为后续暴力破解做好准备。 首先，为了能让工业机器相对“智能”，就需要一个可以控制这些机器的设备来控制它，而这个设备应该具备通用性和可复用性，这就是PLC类设备。一个通用的，可重复改写的逻辑控制设备。人们可以通过编写一些程序下载到PLC中，然后PLC通过读取...

框架介绍 声明：ISF该框架是北京安帝科技基于开源框架自研的一套工控渗透框架，仅用于工控安全教学，公司实验箱产品的安全研究，使用该框架进行非法操作产生的一切后果公司一概不负责。 框架主要使用Python语言开发，通过集成ShadowBroker释放的NSA工具Fuzzbunch攻击框架，开发一款适合工控漏洞利用的框架。由于Fuzzbunch攻击框架仅适用于Python2.6，很多核心的功能都封装成了DLL，通过函数进行调用，不便于后期的移植和使用。但是，Fuzzbunch的命令行使用的确很方便，所以就有了现如今这款适合工控漏洞利用的框架，取名isf。 环境准备 ...

前言     前不久传的沸沸扬扬的FastJson反序列化漏洞，相信有不少企业都中招了，当然我司也未能幸免，基于次漏洞更具官方给的补漏措施，已完全可以避免在这不再阐述。本文就拿它从一个简单的FastJson 漏洞开始，搭建漏洞环境，分析漏洞成因，使用条件等。从入门者的角度看懂并复现漏洞触发，拥有属于自己的一套漏洞调试环境。 以下便是部分官方公告： 0x01 Fastjson简介     “Fastjson” 是Alibaba的开源JSON解析库，它可以解析 JSON...

一个经典的过人WebShell 大概是在去年，闲着无聊的时候翻阅知乎，看到了这么一个回答：https://www.zhihu.com/question/68591788/answer/269545371 其中最后那个过人的 webshell 引起了我的注意： dataProcessor($f[$i]); } else { $c .= $this->dataProcessor($f[$i]); } } $t = $r('',"$c");...

前言 seacms是一个代码审计入门级的cms，比较适合我这种小白玩家来学习，如果有什么错误欢迎指出。 环境 phpstudy pro php5.4.45nts seay代码审计工具 phpstrom sqlmap seacms v10.1 因为这个cms的官网已经打不开了，所以发一下自己保存的代码 链接https://pan.baidu.com/s/1f9mXyOX6sgsersyNz-kDQg提取码j3k0 安装c...

前言 yxtcmf6.1是一个基于thinkphp3.2.3的cms，19年3月份发布，用来练习代码审计是个不错的选择。 审计思路 由于这个cms采用MVC架构并且是基于thinkphp3.2.3的，所以先了解文件结构，知道不同的页面对应的文件位置在哪。然后搭建一个tp3.2.3了解一下这个框架，百度找找这个框架的漏洞，再通过Seay全局搜索可能因为这个框架存在漏洞的关键词。接下来上自动审计（自动审计的规则并不是很完全，所以可以通过自己审计的经验添加规则或者上百度找一些规则），对自动审计的结果进行验证，结果可能会有几百上千条，虽然不用每一条都去看，但是也是比较需要耐心的。...

java编译篇 java编译过程： Java源代码 ——（编译）——> Java字节码 ——（解释器）——> 机器码 Java源代码 ——（编译器 ）——> jvm可执行的Java字节码 ——（jvm解释器） ——> 机器可执行的二进制机器码 ——>程序运行 采用字节码的好处：高效、可移植性高 以下示例为.java文件： 以下是.class文件： 反编译工具篇 ...