mushangqiujin

摘要： 1.web108 strrev() 反转字符串 <?php echo strrev("Hello world!"); // 输出 "!dlrow olleH" ?> ereg 存在空字符截断(只会匹配%00前面的字符)，这个函数匹配到为true，没有匹配到为false,877为0x36d的十进制数值 阅读全文

摘要： 一.Log4j反序列化命令执行漏洞(CVE-2017-5645） Apache Log4j是一个用于Java的日志记录库，其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码 环境：vulhub 工具下载地址： ysoseria 阅读全文

摘要： 0x01权限维持-自启动 以下几种方法都需服务器重启 1、自启动路径加载 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 将木马放到此目录，等待服务器重启即可 2、自启动服务加载 阅读全文

摘要： 0x01横向移动Exchange 环境0day.org Exchange是一种windows邮件服务器 1.端口扫描 exchange会对外暴露接口如OWA,ECP等，会暴露在80端口，而且25/587/2525等端口上会有SMTP服务 2.SPN扫描 可以不加powershell powershe 阅读全文

摘要： 1.web93 intval($num,0),0代表根据变量类型进行使用哪一种进制进行取整 可以使用8进制，正负数，小数点 payload: 010574 +4476.0 4476.0 2.web94 过滤了0，不能使用8进制了，还可以使用小数点，正负数等 payload： 4476.0 +4476 阅读全文

摘要： tcp关键报文： 源端口号(sport) 是随机的，一般为40000-60000之间 目的端口号(dport) 是固定的 顺序号(seq) 确定号(ack) 保留位(reserverd) 控制位(flags) ACK 确定数据包 RST 强制断开连接 PSH 带push的数据，尽快交给应用层，不用等 阅读全文

摘要： 1.web98 get会被post方式覆盖，传入的参数需要等于flag，才能读取到flag值,如果直接传http_flag=flag,返回的结果会是一个空数组，因为get变量被覆盖了，而post没有传参 payload: get 1=1 post HTTP_FLAG=flag 2.web99 arr 阅读全文

摘要： 1.信息搜集 端口 80 20 filter 存活ip 172.16.1.65 2.访问网站进行信息搜集 cms staff 寻找漏洞 登录处尝试弱口令失败，尝试sql失败 search处sql注入 3.sqlmap跑用户名和密码 注意这题两个库的用户名和密码都需要 UserDetails，User 阅读全文

摘要： 1.信息搜集 端口 22,80,31337 存活ip 192.168.85.136 2.访问网站，进行信息搜集 在欢迎页面发现sql注入 sqlmap进行跑数据 python sqlmap.py -u "http://192.168.85.136/?nid=1" --batch -D d7db -T 阅读全文

摘要： 权限维持-基于验证DLL加载-SSP 方法一:但如果域控制器重启，被注入内存的伪造的SSP将会丢失。 mimikatz privilege::debug misc::memssp C:\Windows\System32\mimilsa.log 记录登录的账号密码 方法二:使用此方法即使系统重启，也不 阅读全文