Windows提权总结
转载自 Norah C.IV转载自 ShAun 0x01 简介提权可分为纵向提权与横向提权:纵向提权:低权限角色获得高权限角色的权限;横向提权:获取同级别角色的权限。 Windows常用的提权方法有:系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、WEB中间件漏洞提权、DLL劫持提权、滥用高危权限令牌提权、第三方软件/服务提权等 0x02 按提权方法分类2.1 系统内核溢出漏洞提权此提权方法即是通过系统本身存在的一些漏洞,未曾打相应的补丁而暴露出来的提权方法,依托可以提升权限的EXP和它们的补丁编号,进行提升权限。 下面是几个方便查找相应补丁漏洞的辅助查询页面: 123456789101112Copyhttps://github.com/ianxtianxt/win-exp-https://github.com/SecWiki/windows-kernel-exploitsCopy#手工查找补丁情况systeminfoWmic qfe get Caption,Description,HotFixID,InstalledOn#MSF后渗透扫描pos...
常用端口信息
转载自 Norah C.IV 通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于渗透目标服务器。 所以在端口渗透信息的收集过程中,需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap,无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具。 常见的端口及其说明,以及攻击方向汇总如下: 文件共享服务端口: 端口号 端口说明 攻击方向 21/22/69 FTP/TFTP文件传输协议 允许匿名的上传、下载、爆破和嗅探操作 2049 Nfs服务 配置不当 139 Samba服务 爆破、未授权访问、远程代码执行 389 Ldap目录访问协议 注入、允许匿名访问、弱口令 远程连接服务端口: 端口号 端口说明 攻击方向 22 SSH远程连接 爆破、SSH隧道及内网代理转发、文件传输 23 Telnet远程连接 爆破、嗅探、弱口令 3389 Rdp远程桌面连接 Shift后门(需要Windows Server 2003以下的系统)、爆破 5900...
注入常用SQL语句整理
MSSQL很多情况下使用工具对mssql注入并不完善,所以我们就需要手工注入,一下是本人收集的一些mssql的sql语句. 手工MSSQL注入常用SQL语句 12345678910111213141516171819202122and exists (select * from sysobjects) //判断是否是MSSQLand exists(select * from tableName) //判断某表是否存在..tableName为表名and 1=(select @@VERSION) //MSSQL版本And 1=(select db_name()) //当前数据库名and 1=(select @@servername) //本地服务名and 1=(select IS_SRVROLEMEMBER('sysadmin')) //判断是否是系统管理员and 1=(Select IS_MEMBER('db_owner')) //判断是否是库权限and 1= (Select HAS_DBACCESS('master'))...
延时注学习
SQL盲注:基于时间延迟注入 靶场环境搭建 所需软件Phpstudy2016,sql注入靶场文件 Phpstduy 官网下载地址:https://www.xp.cn/sql注入靶场下载地址:https://github.com/Audi-1/sqli-labs 下载安装 phpstudy,下载sql注入靶场文件压缩包, 解压文件靶场环境文件,放到 phpstudy 文件目录下的 WWW 文件夹下, 然后运行 phpstudy然后访问,http://localhost/,或者 http://127.0.0.1点击 Setup/reset Database for labs 选项安装靶场数据库等文件出现这个就说明安装完成 返回访问 http://127.0.0.1 主页就行 对照 ascii 表 控制字符 ASCII 值 控制字符 ASCII 值 控制字符 ASCII 值 控制字符 NUT 32 (space) 64 @ 96 、 SOH 33 ! 65 A 97 a STX 34 “ 66 B 98 b ETX 35 # 67 C 99 c...
安全笔记
开始学习查库:1select schema_name from information_schema.schemata 查表:1select table_name from information_schema.tables where table_schema='security' 查列:1select column_name from information_schema.columns where table_name='users' 查字段:1select username,password from security.users sqli-lib实践1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991...
sqlmap的使用介绍
一、sqlmap获取目标推荐一篇文章:https://www.comparitech.com/net-admin/sqlmap-cheat-sheet/ 1.sql注入介绍所谓SQL注入,就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将SQL命令注入到后台数据库引擎执行的能力,它可以通过在web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。SQL注入可能发生在未知HTTP数据包中任意位置。创建本地服务后,访问子页面/sqli-labs,点击Less-1,加入参数**?id=2**,会返回登录名和密码到网页上,如图 2.SQL输出级别Sqlmap的输出信息按从简到繁共分为7个级别依次为0、1、2、3、4、5和6。使用参数-v来指定某个等级,如使用参数 -v 6来指定输出级别为6。 0:只显示Python的tracebacks信息、错误信息[ERROR]和关键信息[CRITICAL] 1:同时显示普通信息[INFO...
App exe 封装教程
jpackageBurp-Suite-Launch IdeaProjects/Burp-Suite-Launch/src/burpsuite/Main.java 1234567891011121314151617181920212223242526272829package burpsuite;public class Main { public static void main(String[] args) { new Main().shell(); } public String getPath() { String path = this.getClass().getProtectionDomain().getCodeSource().getLocation().getPath(); if (System.getProperty("os.name").contains("dos")) {...
Burp-Suite 集合打包
预览 下载地址 百度云盘:skmh有无后门,请君自测 –💖 Windows Old-Burp-Suite.vbs Burp-Suite-Win.vbs license.cmd Linux Burp-Suite-Linux.sh Burp-Suite-Linux-Arm.sh 1./jdk-linux11/bin/java -noverify -jar BurpSuiteLoader.jar 1./jdk-linux-arm11/bin/java -noverify -jar BurpSuiteLoader.jar 建议配合 screen 或者 & 效果更佳 Mac Burp-Suite-Mac.zip 1234567vi /etc/profileGexport burpsuite=/Users/xr/Documents/Burp-Suiteexport PATH=$PATH:$burpsuite/:wqecho -e '$burpsuite/jdk-mac11/Contents/Home/bin/java -noverify -javaagent...
天目MVC审计二
本文章由二农戏猪编辑 审计控制器从上一篇审计完了入口文件和搞清楚路由规则之后,我们开始正式审计控制器。 Home目录从app/home/index.php开始审计,前面没什么可说的,但是注意这里,虽然它是判断不是PC登陆时候执行,但是我们可以看到它调用的查询方法,感觉很熟悉,比较像think里面定义的查询方法,我们回想起上一篇审计的时候,审计到的过滤机制,我们全局搜索一下where(,一个一个去查看,看看是否有where条件为两个参数,或者int类型。 后台SQL注入功夫不负有心人,我们在此处,发现$sid未被单引号包裹,并且未被强制转换未int类型。目录为admin\controller\special.php,我们尝试复现。好的一处SQL注入漏洞。 前台SQL注入正当我以为没有前台SQL注入的时候,突然间,有发现了一个位置。突然间想起一句话:缘,妙不可言。 找一下。看看$sid怎么传进来的,是否可控 全局搜一下这个get_category_list(),发现在home/controller/special.php中,category()这个方法中,通过GET传入...
天目MVC审计一
前言 我们今天来从零开始审计一款CMS:天目CMS本文章由二农戏猪编辑 天目CMS 官网 MVC架构的了解 MVC架构一般包括三个部分:M是指业务模型,V是指用户界面,C则是控制器。具体情况大家可以百度查看。 根据我们对于MVC的了解。我一般有两种审计模式: 直接审计控制器也就C的内容,再追踪一些函数。全局搜索一下filt__,因为 filt 的英文意思为过滤,可以通过全局搜索这样式的函数来查看一下过滤规则。这种一般是比较快速审计。 但是这种情况一般建立在你可以清晰明白该款CMS的路由规则,适合老鸟,方便根据审计出来的漏洞的点去回溯验证 从index页面通读审计这种审计方式是我认为像我这样的菜鸡比较合适的。也不容易忽略一些漏洞。该篇文章就是以这种方式审计的! 开始审计准备在审计开始时,我一般习惯于观察一下目录列表,从而可以对整个CMS有一个大概的了解: 1234567app ----------------------------------- 主程序目录attachment ---------------------------- 附加目录public ------...
code-server code-server arm
请访问 最新版 已兼容 Mac M1 Run1234567891011121314151617docker run -it -d \--name vs-db \-p 31005:3306 \--hostname vs-db \-e "MYSQL_ROOT_PASSWORD=123456" \mariadb:latestdocker run -it -d \--name code-server \-v /yourpath/www/html:/www/wwwroot/html \-p 31001:8080 \-p 31002:22 \-p 31003:80 \-p 31004:5050 \--hostname code-server \--link vs-db \xrsec/code-server:arm 其他的配置参考 另外一篇文章Refer to another article for other configurations Thanks View initializationMake code-server12345678910docker run ...
Phpstorm docker php74-56 nginx mariadb
Phpstorm 折磨的我头很大,难受 Docker 配置 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465version: "3"services: db: hostname: db image: mariadb:latest container_name: db restart: on-failure:3 volumes: - ./server/db:/var/lib/mysql ports: - 31004:3306 command: --transaction-isolation=READ-COMMITTED --binlog-format=ROW environment: - MYSQL_ROOT_PASSWORD=123456 - MYSQL_PASS...
Docker命令
Docker 基本命令 1234docker imagesdocker login --username=user@qq.com registry.cn-hangzhou.aliyuncs.comdocker tag 23d07257d553 registry.cn-hangzhou.aliyuncs.com/user/awvs-nessus:latestdocker push registry.cn-hangzhou.aliyuncs.com/user/awvs-nessus:latest Docker 命令 1/usr/syno/sbin/synoservice --restart pkgctl-Docker 1docker commit [OPTIONS] CONTAINER [REPOSITORY[:TAG]] 1docker commit id name 1docker-compose up -d 1docker exec -it 容器:/bin/bash 1docker logs 容器 1docker image puxxx -af # 你tab一下 ...
Docker搭建awvs和nessus
仓库来自雷石安全,联系侵删 同样推荐 国光blog 关于启动命令: 原版:需手动打开 nessusd 12345docker run -it -d \ -p 3443:3443 \ -p 8834:8834 \ --name=leishi \ leishianquan/awvs-nessus:v4 我使用的版本:同时打开 awvs 和 nessus 将下面代码保存为 awvs.sh 最后一行删除留空 12345678910#!/bin/bashsource /etc/profileecho "source file success"/bin/su acunetix /home/acunetix/.acunetix/start.sh & \echo "start acunetix success"/etc/init.d/nessusd start &echo "start nessusd success"echo "正在保持会话"/bin/bash这是一行空格...
Ubuntu 报错
E: Sub-process /usr/bin/dpkg returned an error code (1)12345678cd /var/lib/dpkg/sudo mv info/ info_baksudo mkdir infosudo apt-get updatesudo apt-get -f installsudo mv info/* info_bak/sudo rm -rf infosudo mv info_bak info 内核12345linux-headers-5.9.0-050900-generic_5.9.0-050900.202010112230_amd64.deblinux-headers-5.9.0-050900-lowlatency_5.9.0-050900.202010112230_amd64.deblinux-headers-5.9.0-050900_5.9.0-050900.202010112230_all.deblinux-image-unsigned-5.9.0-050900-generic_5.9.0-05...
