摘要:
1.web108 strrev() 反转字符串 <?php echo strrev("Hello world!"); // 输出 "!dlrow olleH" ?> ereg 存在空字符截断(只会匹配%00前面的字符),这个函数匹配到为true,没有匹配到为false,877为0x36d的十进制数值 阅读全文
摘要:
一.Log4j反序列化命令执行漏洞(CVE-2017-5645) Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码 环境:vulhub 工具下载地址: ysoseria 阅读全文
摘要:
0x01权限维持-自启动 以下几种方法都需服务器重启 1、自启动路径加载 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 将木马放到此目录,等待服务器重启即可 2、自启动服务加载 阅读全文
摘要:
0x01横向移动Exchange 环境0day.org Exchange是一种windows邮件服务器 1.端口扫描 exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务 2.SPN扫描 可以不加powershell powershe 阅读全文
摘要:
1.web93 intval($num,0),0代表根据变量类型进行使用哪一种进制进行取整 可以使用8进制,正负数,小数点 payload: 010574 +4476.0 4476.0 2.web94 过滤了0,不能使用8进制了,还可以使用小数点,正负数等 payload: 4476.0 +4476 阅读全文
摘要:
tcp关键报文: 源端口号(sport) 是随机的,一般为40000-60000之间 目的端口号(dport) 是固定的 顺序号(seq) 确定号(ack) 保留位(reserverd) 控制位(flags) ACK 确定数据包 RST 强制断开连接 PSH 带push的数据,尽快交给应用层,不用等 阅读全文
摘要:
1.web98 get会被post方式覆盖,传入的参数需要等于flag,才能读取到flag值,如果直接传http_flag=flag,返回的结果会是一个空数组,因为get变量被覆盖了,而post没有传参 payload: get 1=1 post HTTP_FLAG=flag 2.web99 arr 阅读全文
摘要:
1.信息搜集 端口 80 20 filter 存活ip 172.16.1.65 2.访问网站进行信息搜集 cms staff 寻找漏洞 登录处尝试弱口令失败,尝试sql失败 search处sql注入 3.sqlmap跑用户名和密码 注意这题两个库的用户名和密码都需要 UserDetails,User 阅读全文
摘要:
1.信息搜集 端口 22,80,31337 存活ip 192.168.85.136 2.访问网站,进行信息搜集 在欢迎页面发现sql注入 sqlmap进行跑数据 python sqlmap.py -u "http://192.168.85.136/?nid=1" --batch -D d7db -T 阅读全文
摘要:
权限维持-基于验证DLL加载-SSP 方法一:但如果域控制器重启,被注入内存的伪造的SSP将会丢失。 mimikatz privilege::debug misc::memssp C:\Windows\System32\mimilsa.log 记录登录的账号密码 方法二:使用此方法即使系统重启,也不 阅读全文