Unc1e
Unc1e
兵器谱

PHAR 反序列化利用条件:

① phar文件要能够上传到服务器端
② 要有可用的魔术方法作为“跳板”
③ 要有文件操作函数,如file_exists(),fopen(),file_get_contents(),file()
③ 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤受影响函数列表

受影响函数列表

5bdba3582ad3953af6a405b5f095533c.png

但实际上只要调用了php_stream_open_wrapper的函数,都存在这样的问题。具体可参考以下链接:
* https://blog.csdn.net/qq_42181428/article/details/100995404
* https://paper.seebug.org/680/
* https://blog.zsxsoft.com/post/38
* https://xz.aliyun.com/t/6057

windows渗透常用命令

用这一条命令实现CS立刻上线,并且 自动加服务保持维持:

下载文件到本地

参考地址: 渗透测试中弹shell的多种方式及bypass
抓密码.
当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。修改注册表命令为:

锁定屏幕, 等待输入命令后, 即可抓取明文密码!

压缩文件

有时候想在windwos机器上打包东西, 方便后续的下载, 可是它不像linux一样自带便捷的tar和7z命令, 那怎么办呢, 这时候就可以用到下面的命令.

makecab

7z

选用合适版本的7z.exe和7z.dll,

安装包地址:https://www.7-zip.org/download.html

建议将这2个文件复制到某个环境变量目录下(如C:\Windows\System32

常用信息搜集

渗透本质之信息搜集.md

域信息搜集

原则: 能在本地查就在本地查, 能不产生流量就尽量不产生流量.
因此:查看环境变量、hosts文件、arp缓存、找本地密码和浏览器历史记录,都是常规思路

环境信息搜集

密码搜集

用python提升完全交互的shell

ref:
• https://forum.hackthebox.eu/discussion/142/obtaining-a-fully-interactive-shell
• https://netsec.ws/?p=337

打开RDP

  1. meterpreter里开rdp远程桌面

MSF 常用命令

域传送漏洞验证

域传送漏洞
此处以HackTheBox:Cronos靶机为例,详细wp见HackTheBox:Cronos笔记

在windows下使用nslookup指令
在kali下使用dig指令
在kali或者是BT5下使用nmap,dnswalk,dnsenum这三种工具

dig

axfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录

nslookup

网上流传的nslookup加ls cronos.htb的操作方式,在kali上并不适用。改用以下方式复现

nmap

后面用Nmap的脚本扫这个漏洞,没扫出来,anyway,参数配置应当如下:
shell
nmap –script dns-zone-transfer –script-args dns-zone-transfer.domain=cronos.htb -p 53 -Pn 10.10.10.13

enum4linux -a [ip]
• -a – all enumeration

nmblookup -A [IP]

smbmap -H [ip/hostname]
If you get credentials, you can re-run to show new access:
smbmap -H [ip] -d [domain] -u [user] -p [password]

ref:
• https://0xdf.gitlab.io/2018/12/02/pwk-notes-smb-enumeration-checklist-update1.html#list-shares
• https://cloud.tencent.com/developer/article/1514901 中文版
• https://www.hackingarticles.in/smb-penetration-testing-port-445/ TODO
• https://www.hackingarticles.in/netbios-and-smb-penetration-testing-on-windows/ TODO

默认密码篇

分享几个默认密码在线查询网站
– cirtcirt-default-passwords.txt
网络安全设备默认密码

此文章主要用于安全运维人员自查相关设备资产是否存在弱口令,方便及时修改,提高系统整体安全性,因为触及敏感词v-p-n,需要将 ‘-’去掉。