Unc1e
Unc1e
兵器谱

兵器谱

PHAR 反序列化

利用条件:
① phar文件要能够上传到服务器端
② 要有可用的魔术方法作为“跳板”
③ 要有文件操作函数,如file_exists(),fopen(),file_get_contents(),file()
③ 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤

受影响函数列表

https://zuoxueba.org/wp-content/uploads/2020/06/PHAR-AFFECT-RANGE.png

但实际上只要调用了php_stream_open_wrapper的函数,都存在这样的问题。因此还有如下函数:

exif

gd

hash

file / url

standard

finfo

zip

Postgres

MySQL

LOAD DATA LOCAL INFILE也会触发这个php_stream_open_wrapper

再配置一下mysqld(非默认配置)

构造代码

ref:
https://blog.csdn.net/qq_42181428/article/details/100995404
https://paper.seebug.org/680/
https://blog.zsxsoft.com/post/38
https://xz.aliyun.com/t/6057

内网信息搜集-windows篇.md

渗透本质之信息搜集.md

常用信息搜集

域信息搜集

环境信息搜集

密码搜集

用python提升完全交互的shell

ref:
• https://forum.hackthebox.eu/discussion/142/obtaining-a-fully-interactive-shell
• https://netsec.ws/?p=337


爆破泄露的SSH私钥(用JohnTheRipper)

首先,用kali自带脚本ssh2john.py将id_isa密钥信息转换为john可以识别的信息; 其次,用john爆破,指定字典


打开RDP

meterpreter里开rdp远程桌面
run getgui -h可以看添加用户的格式,注意密码的强度要到位


域传送漏洞验证

域传送漏洞
此处以HackTheBox:Cronos靶机为例,详细wp见HackTheBox:Cronos笔记

在windows下使用nslookup指令
在kali下使用dig指令
在kali或者是BT5下使用nmap,dnswalk,dnsenum这三种工具

dig

axfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录

nslookup

网上流传的nslookup加ls cronos.htb的操作方式,在kali上并不适用。改用以下方式复现

nmap

后面用Nmap的脚本扫这个漏洞,没扫出来,anyway,参数配置应当如下:


SMB CheckList

445端口基本上都是smb服务,下面是kali上常用于渗透445端口的工具命令

ref:
• https://0xdf.gitlab.io/2018/12/02/pwk-notes-smb-enumeration-checklist-update1.html#list-shares
• https://cloud.tencent.com/developer/article/1514901 中文版
• https://www.hackingarticles.in/smb-penetration-testing-port-445/ TODO
• https://www.hackingarticles.in/netbios-and-smb-penetration-testing-on-windows/ TODO


安卓远控备忘录-meterpreter

监听

功能列表