记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

渗透技巧——如何逃逸Linux的受限制shell执行任意命令

0x01 前言今早在刷twitter的时候看到了一篇文章(https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf?rss),介绍了如何在受限制的shell中执行任意命令,实现交互。其相应的利用场景是说当我们通过一些手段拿到当前Linux机器的shell时,由于当前shell的限制,很多命令不能执行,导致后续的渗透无法进行,在这篇文章中,就介绍了一些常见的绕过方法,同时在文章末尾提供了一个线上的练习环境。我就该文章提到的相应技术细节进行复现,同时附带上一些自己的思考,于是便有了本文。如有谬误,还望各位师傅斧
发布时间:2018-05-15 12:20 | 阅读:14026 | 评论:0 | 标签:内网渗透 渗透技巧

渗透技巧——通过SAM数据库获得本地用户hash

0x00 前言在渗透测试中,获得了Windows系统的访问权限后,通常会使用mimikatz的sekurlsa::logonpasswords命令尝试读取进程lsass的信息来获取当前登录用户的密码信息,但想要全面获取系统中的密码信息,还要对SAM数据库中保存的信息进行提取,导出当前系统中所有本地用户的hash。0x01 简介本文将要介绍以下内容:·通过SAM数据库获得用户hash的多种方法·原理分析0x02 通过SAM数据库获得用户hash的方法1、在线读取SAM数据库读取当前系统的SAM数据库文件,获得系统所有本地用户的hash(1) mimikatzprivilege::debugtoken::elevatels
发布时间:2018-03-26 17:20 | 阅读:41390 | 评论:0 | 标签:内网渗透 技术 hash 渗透技巧

LNMP虚拟主机PHP沙盒逃逸

并不只是针对Lnmp的沙盒逃逸,而是.user.ini的设计缺陷达到绕过open_basedir限制,所以是通用的方法。首先来看看最新版LNMP是怎么配置open_basedir的: open_basedir=/home/wwwroot/default:/tmp/:/proc/ lsattr .user.ini ----i----------- .user.ini LNMP的open_basedir是通过.user.ini来配置的。再来看disable_functions都禁用了哪些函数: lnmp1.3/include/php.sh 注意到了stream_socket_server被禁用了。这个是用来建立Socket服务端的,完全可以使用其他可创建socket服务端的函数进行反弹个socke
发布时间:2017-02-16 19:40 | 阅读:77112 | 评论:0 | 标签:渗透技巧 web安全 渗透测试 网络安全

Use MSBuild To Do More(渗透中MSBuild的应用技巧)

最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展,对我有很大启发。 本文将基于他公开的POC,并结合我的研究心得,介绍以下MSBuild的应用技巧: Execute PowerShell Commands Execute PE file Execute Shellcode VisualStudio Persistence 0x01 简介 MSBuild是Microsoft Build Engine的缩写,代表Microsoft和Visual Studio的新的生成平台 MSBuild可在未安装Visual Studio的环境中编译.net的工程文件 MSBuild可编译特定格式的xml文件 更多基本知识可参照以下链接: https://msdn.microsoft.com/e
发布时间:2016-10-29 18:20 | 阅读:66378 | 评论:0 | 标签:渗透技巧 权限提升 渗透测试

实战:通过DNS协议绕过防火墙

测试环境ubuntu 14.04 root用户 windows7 x64 user用户**0x01环境准备**apt-get update apt-get -y install ruby-dev git make g++ gem install bundler git clone https://github.com/iagox86/dnscat2.git cd dnscat2/server #修改Gemfile source 'https://ruby.taobao.org/' bundle install或者通过docker安装apt-get install docker.io service docker status service docker start cd ~/dnscat2
发布时间:2016-09-01 12:40 | 阅读:71566 | 评论:0 | 标签:渗透技巧 内网渗透 网络安全 防火墙

WAF攻防研究之四个层次Bypass WAF

    从架构、资源、协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF防御能力。     绕过WAF的相关技术研究是WAF攻防研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻防时先写攻击部分。还是那句老话“不知攻焉知防”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全。在我看来,WAF的绕过技术的研究将不断驱动防御水平提高。 以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面。绕过WAF规则,更像是正面对抗,属于下策。一直关注规则层面的绕过,太局限视野,看不到WAF在其他方面问题。木桶原理,防御能力并不会有本质的提高。本文将从4个层次讲解bypass WAF的技术,全方位提升WAF的防御能力。 讲完相关攻击技术后,以后再探讨WAF的设计架构
发布时间:2016-08-17 07:00 | 阅读:61216 | 评论:0 | 标签:渗透技巧 web安全 注入 渗透测试 网络安全

Burpsuite之Burp Collaborator模块介绍

Burp Collaborator.是从Burp suite v1.6.15版本添加的新功能,它几乎是一种全新的渗透测试方法。Burp Collaborator.会渐渐支持blind XSS,SSRF, asynchronous code injection等其他还未分类的漏洞类型。 本文主要介绍使用Burp Collaborator.对这几种类型漏洞进行探测。 概念:In-band attack与 out-band attack(带内与带外攻击) 首先介绍两个概念,带内与带外的区别核心在于是否使用不同的通信通道。 在一次攻击当中,只有一条通道,属于in-band(带内)攻击: 现在同一次攻击下,不止一条信道,则属于out-band(带外)攻击: 常规web测试模型 简单的讲,常规的web测试模型就是我们向
发布时间:2016-07-18 01:50 | 阅读:50889 | 评论:0 | 标签:渗透技巧 web安全 渗透测试 网络安全

BadTunnel:跨网段劫持广播协议

简介 本文提出了一种新的攻击模型,可以跨网段劫持TCP/IP广播协议,我们把它命名为“BadTunnel”。 利用这种方法,可以实现跨网段的NetBIOS Name Service Spoofing攻击。无论攻击者和用户是否在同一网段,甚至中间存在防火墙或NAT,只要用户打开IE或Edge浏览器访问一个恶意页面,或打开一个特殊构造的Office文档,攻击者就可以劫持用户系统对任意NetBIOS名称的解析,从而实现仿冒本地网络的打印服务器、文件服务器等。 通过劫持“WPAD”名称,还可以进一步实现劫持用户的所有网络通信,包括一般网络访问,和Windows Update service以及Microsoft Crypto API更新Certificate revocation list的通信等。而一旦能劫持网络通信
发布时间:2016-06-19 07:00 | 阅读:58765 | 评论:0 | 标签:渗透技巧 内网渗透 网络安全

CSV Injection Vulnerability

0x01 概述 现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。 0x02 公式注入 & DDE 我们知道在 Excel 中是可以运行计算公式的: =1 5 ,它会将以 = 开头的单元格内容解释成公式并运行,单纯的运行计算公式可能没什么用,但这里可以用到 DDE 。[Dynamic Data Exchange](https://msdn.microsoft.com/en-us/libr
发布时间:2016-05-18 06:55 | 阅读:43426 | 评论:0 | 标签:渗透技巧 web安全 渗透测试

攻击大数据应用(一)

0x01前言 随着大数据时代的到来,越来越多的大数据技术已逐渐被应用于实际生产,但作为一个安全人员,我们关注点必然和安全相关,那大数据环境中面临的安全问题又有 哪些呢?翻了翻这方面的案例,乌云上已有不少同学发了些这相关的问题,但我发现却没有比较系统的一个整理,这里我做一个paper,整理下这方面的漏洞类 型和笔者自己所见到过的一些问题,做一个探索性的总结,希望能与各位相互交流以开阔更多思路。 0x02大数据技术介绍 这里先对大数据的一些技术做一个简单的概念介绍,来帮助一些不太了解这方面的朋友,能有个大致的概念。 Hadoop:分布式系统基础架构,主要由HDFS和MapReduce两部分组成。HDFS(分布式文件存储系统)用于将一个量级巨大的数据存储在多台 设备上,并有一定的机制保证其完整和容灾,MapRe
发布时间:2016-03-30 21:45 | 阅读:62356 | 评论:0 | 标签:渗透技巧 渗透测试 网络安全

Xsocks 反弹代理s5

About XSOCKS is a reliable socks5 proxy server for windows and linux. It has support forward and reverse mode. More information about socks5 : RFC1928 Complier Windows devenv.exe build.sln /rebuild RELEASE Linux make Usage xsocks [-l port] [-t] [-p1 port] [-p2 port] [-s ip:port] [-r ip:port] [-u username] [-p password] Options -l Set forward mode
发布时间:2015-05-26 22:20 | 阅读:63849 | 评论:0 | 标签:渗透技巧 内网渗透 权限提升 渗透测试 网络安全

Windows server 2012 用户hash抓取方法研究(本地+域)

为避免文章过长,这里就不贴出详细测试过程了。经过我的测试,发现本地用户hash抓取的方法中,以下几种方式是可行的: 注册表导出+cain Pwdump7.exe QuarksPwDump.exe mimikatz.exe 这几种方式都可以抓到本地用户hash,其中mimikatz.exe只能抓到登陆过的账户的hash值, 已经抓取不到明文的密码了,但是,有一些有意思的东西,直接上图: 仔细看图,可以发现,wdigest的内容为n.a. ,也就是没有抓取到明文密码。看来微软还是有一点改进的,注入lsass.exe进程已经抓不到明文了。 但是,重点是!!!LM hash被抓出来了,而且完全是正确的!!! 当密码长度小于等于14位,只要有lm hash基本上都是秒破,我见过很多管理员的密码根本没有14位长。从vis
发布时间:2015-05-20 10:30 | 阅读:69897 | 评论:0 | 标签:渗透技巧 内网渗透 权限提升 渗透测试

内网渗透:利用WMI代替psexec(WMIEXEC.vbs)

0x01 背景 内网渗透中经常用到psexec这个工具,可以很方便的得到一个半交互式的cmd shell。 但是psexec也有一些问题:psexec需要对方开启ADMIN$共享,而且需要安装服务;另外,psexec退出时有可能服务删除失败,这个情况只是偶尔,但是我碰到过。 安装服务会留下明显的日志,而且服务没有删除的风险更大,管理员很容易就会发现。 WMI可以远程执行命令,所以我就想用VBS脚本调用WMI来模拟psexec的功能,于是乎WMIEXEC就诞生了。基本上psexec能用的地方,这个脚本也能够使用。 0x02 WMIEXEC功能 WMIEXEC支持两种模式,一种是半交互式shell模式,另一种是执行单条命令模式。 WMIEXEC需要提供账号密码进行远程连接,但是如果没有破解出账号密码,也可以配合W
发布时间:2015-05-20 10:30 | 阅读:61257 | 评论:0 | 标签:渗透技巧 内网渗透 权限提升 渗透测试

Xinetd 端口转发

在某些网络环境中,其中,例如给管理LAN或某些专用LAN部署,它仍可能有必要从外部访问内网机器的某些特定端口。通常情况下,你必须访问跳板机,你才能访问相应的机器。 在我们的例子中,我们必须达到交换机的管理端口的专用LAN。例如: 私人拥有的IP地址范围192.168.10.0/24 该交换机配置了192.168.10.254和它的管理端口是80 跳板机同时访问这两个网络,具有外部地址为10.10.10.1 直接访问交换机的地址为10.10.10.1用端口81,你可以跳板机具有以下配置上配置xinetd的: # cat /etc/xinetd.d/http-switch service http-switch { disable = no type = UNLISTED socket_
发布时间:2015-05-12 18:20 | 阅读:57442 | 评论:0 | 标签:渗透技巧 内网渗透 渗透测试

SQL Server Management Studio密码导出工具

在windows下保存密码无非就是两个位置:注册表和文件。于是用windbg打开查询分析器(版本为SQL Server Management Studio 2005 Express),下几个条件断点:bp kernel32!CreateFileW ".printf "file:%mu\n",poi(@esp+4);g;" bp advapi32!RegCreateKeyExW ".printf "reg key:%mu\n",poi(@esp+8);g;" bp advapi32!RegSetValueExW ".printf "reg value:%mu\n",poi(@esp+8);g;" 执行查询分析器,登录一个服务器,勾选记住密码,然后退出。可以看到windbg输出了很多信息: 依次查看这些文件和
发布时间:2015-04-28 04:15 | 阅读:54717 | 评论:0 | 标签:渗透技巧 权限提升 渗透测试

全网漏洞批量扫描框架的搭建

0x00  前言 每次漏洞爆发之后,很多人都在急着找批量,想着能多刷几个洞提交乌云上。其实有些漏洞的探测步骤很多时间是可以统一抽取做成框架的。今天我就分享一下自己写的一个漏洞批量利用的框架,运用这个框架,可以方便的进行一些漏洞的批量扫描。 0x01  框架的原理 漏洞的扫描一般都是URL链接挂载一个POC或者有人更狠直接上exp来尝试访问,如果服务器返回的页面中存在一些特征的字符串,那么就判定该网站存在漏洞。举个栗子,比如ecshop的某个注入漏洞,提交payload之后,网站返回下面的页面: 我们在自动化扫描的时候,就会根据这个页面中出现的比如”Duplicate entry”字样来判定,这个字符串是由于提交的payload中的MYSQL报错注入引起的。这时就需要一个判定扫描结果的正则scan_rule。
发布时间:2015-04-14 03:30 | 阅读:70960 | 评论:0 | 标签:渗透技巧 渗透测试 网络安全 扫描 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词