WHOAMI's Blog

[toc] MySQL 是世界上最流行的关系型数据库管理系统，在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System：关系数据库管理系统)应用软件之一。全球很多著名公司和站点都使用Mysql作为其数据库支撑，并且很多架构都以Mysql作为数据库管理系统，例如LAMP、和WAMP等，在针对网站渗透中，很多都是跟Mysql数据库有关，各种Mysql注入，利用Mysql来getshell、Mysql提权，等等。本文，笔者我对Mysql在渗透测试中的常见的基础利用进行了详细的总结，包括利用MySQL获取webshell、MySQL提权以及几个MySQL的0day漏洞等。 MySQL相关信息收集不管是你渗透什么玩意儿，信息收集都是首要的一步。在行动之前，我们需要搞清楚，目标主机上是否存在MySQL、MySQL运行在默认的端口还是指定的端口、MySQL的版本信息、MySQL用户信息等等。 Mysql默认端口是3306端口，但也有自定义端口，针对默认端口扫描主要利用扫描软件进行探测。我们可以用nmap等端口扫描工具对MyS ...

[toc] 前言在红队进行渗透测试的后续渗透阶段为了扩大战果，往往需要进行横行渗透，反弹shell是再常见不过的事情了，在 《反弹Shell，看这一篇就够了》 这篇文章里，我总结了很多常见的反弹shell的方法。除了这些之外，我们还可以使用Metasploit或Cobalt Strike等工具获得目标的shell。但是这些反弹 shell 方式都有一个缺点，那就是 所有的流量都是明文传输的。 如果反弹 shell 都是明文传输，当目标主机网络环境存在网络防御检测系统时（IDS、IPS等），网络防御检测系统会检测出通信内容中带有的攻击特征，并对当前通信进行告警和阻止。此时，如果蓝队对攻击流量回溯分析，就可以复现攻击的过程，阻断红队行为，红队就无法进行渗透行为了。所以，我们需要对 shell 中通信的内容进行混淆或加密，实现动态免杀。 在本节中，我们将介绍如何使用 OpenSSL 对 nc、Metasploit、Cobalt Strike 三种远控工具的 shell 通信进行流量加密，从而绕过IDS或者防护软件分析设备和工具，实现动态免杀。 OpenSSL在计算机网络上，OpenSSL ...

[toc] 前言在上一节《记一次Vulnstack靶场内网渗透（二）》中，我们简单的对vulnstack 4的靶场环境做了一次测试，通过外网初探、信息收集、攻入内网最终拿下域控。在本节中，我们将对vulnstack 2这个靶场进行渗透测试。靶场地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 本次靶场环境主要包括Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。 Bypass UAC Windows系统NTLM获取 Access Token利用（MSSQL利用） WMI利用 网页代理，二层代理，特殊协议代理 域内信息收集 域漏洞利用：SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用 域凭证收集 后门技术（黄金票据、白银票据、Sid History、MOF） 环境准备 域控服务器： 内网IP：10.10.10.10 系 ...

[toc] COMCOM即组件对象模型(Component Object Model，COM) ，是基于 Windows 平台的一套组件对象接口标准，由一组构造规范和组件对象库组成。COM是许多微软产品和技术，如Windows媒体播放器和Windows Server的基础。 一般的对象是由数据成员和作用在其上的方法组成，而组件对象和一般对象虽有相似性，但又有较大不同。组件对象不使用方法而用接口来描述自身。接口被定义为“在对象上实现的一组语义上相关的功能”，其实质是一组函数指针表，每个指针必须初始化指向某个具体的函数体，一个组件对象实现的接口数量没有限制。 DCOMDCOM（分布式组件对象模型）是微软基于组件对象模型（COM）的一系列概念和程序接口，它支持不同的两台机器上的组件间的通信，不论它们是运行在局域网、广域网、还是Internet上。利用这个接口，客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求。 DCOM是COM（组件对象模型）的扩展，它允许应用程序实例化和访问远程计算机上COM对象的属性和方法。DCOM 使用远程过程调用（RPC）技术将组件对象模型（COM ...

[toc] Flask Jinja2 SSTIPython 反序列化漏洞Python中有个库可以实现序列化和反序列化操作，名为pickle或cPickle（二者操作是一样的，只是cPickle提供了一个更快速简单的接口，这里以pickle为例），作用和PHP的serialize与unserialize一样，两者只是实现的语言不同，一个是纯Python实现、另一个是C实现，函数调用基本相同，但cPickle库的性能更好，因此这里选用cPickle库作为示例。 cPickle可以对任意一种类型的Python对象进行序列化操作。下面是主要的四个方法函数，我们按照他们实现的功能进行讲解。 序列化 dumps() 函数 1dumps(obj, protocol=None, *, fix_imports=True) 将指定的Python对象(比如列表、字典、元组、字符串、布尔值，甚至是一个类的对象等)通过pickle序列化作为bytes对象返回，而不是将其写入文件。如下实例。 Python 2.x环境下 123456789101112131415161718192021222324252627 ...

[toc] XSS 简介XSS，全称Cross Site Scripting，即跨站脚本攻击，是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其它脚本语言。根据攻击代码的工作方式，XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS。 反射型反射型的XSS是非持久化的，攻击者事先制作好攻击链接，需要欺骗用户自己去点击链接才能触发XSS代码，但是服务器中没有这样的页面和内容，一般容易出现在搜索页面。 存储型存储型的XSS是持久化的，代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，每当有用户访问该页面的时候都会触发代码执行。这种XSS非常危险，容易造成蠕虫，大量盗窃cookie。 DOM型DOM型的XSS是基于文档对象模型Document Objeet Model，DOM)的一种漏洞。DOM是一个与平台、编 ...

漏洞详情1月26日，Sudo发布安全通告，修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时，它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时，实际上并未进行转义，从而可能导致缓冲区溢出。只要存在sudoers文件（通常是 /etc/sudoers），攻击者就可以使用本地普通用户利用sudo获得系统root权限。 受影响版本： Sudo 1.8.2 – 1.8.31p2 Sudo 1.9.0 – 1.9.5p1 不受影响版本： sudo =>1.9.5p2 漏洞检测用户可以使用非root的账户登录系统，运行 sudoedit -s / 命令来检测自己的机器上是否存在该漏洞： 若返回如图以“ sudoedit：”开头的错误，则当前系统可能存在安全风险。 不受影响的系统将显示以“ usage：”开头的错误响应。 漏洞复现实验环境： Ubuntu 18.04.5 Sudo 1.8.21p2 首先，下载并编译Exploit：https://git ...

[toc] 前言目前越来越多的红蓝对抗中，钓鱼邮件攻击使用的越来越频繁，也是比较高效打点的一种方式，常见的钓鱼邮件攻击一种是直接通过二维码，内嵌链接、直接索要敏感信息等方式钓运维人员、内部人员相关的管理账号密码，另一种通过携带exe、execl、word等附件（附件中要么包含恶意代码、宏代码、要么是远控exe）的方式，诱导运维人员、内部员工点击相关的附件，以达到控制运维人员或者内部员工电脑的权限。但是一般项目中实施周期较短，并且需要进行数据统计等，因此本次主要介绍如何通过Gophish快速搭建邮件钓鱼平台。 Gophish 平台搭建Gophish官网地址：https://getgophish.com/ Gophish项目地址： https://github.com/gophish/gophish https://github.com/gophish/gophish/releases/ （1）首先，我们将适合自己系统的Gophish包下载到我们的vps上： 1234mkdir gophishcd gophishwget https://github.com/gophish/goph ...

[toc] 前言在渗透测试实战中，我们经常会遇到Linux系统环境，而让Linux主机反弹个shell是再常见不过的事情了。 反弹shell，就是攻击机监听在某个TCP/UDP端口为服务端，目标机主动发起请求到攻击机监听的端口，并将其命令行的输入输出转到攻击机。 正向连接假设我们攻击了一台机器，打开了该机器的一个端口，攻击者在自己的机器去连接目标机器（目标ip：目标机器端口），这是比较常规的形式，我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接那么为什么要用反弹shell呢？ 反弹shell通常适用于如下几种情况： 目标机因防火墙受限，目标机器只能发送请求，不能接收请求。 目标机端口被占用。 目标机位于局域网，或IP会动态变化，攻击机无法直接连接。 对于病毒，木马，受害者什么时候能中招，对方的网络环境是什么样的，什么时候开关机，都是未知的。 …… 对于以上几种情况，我们是无法利用正向连接的，要用反向连接。 那么反向连接就很好理解了，就是攻击者指定服务端，受害者主机主动连接攻击者的服务端程序，即为反向连接。 反弹shell的方式有很多，那具体 ...

前言大家在制作捆版木马时碰到一个问题大多捆绑软件本身就会被杀软查杀，即便捆绑两个正常软件也会被查杀。今天给大家分享一个利用WinRAR实现的自解压捆绑技术，没什么技术含量，看别人文章学会的。 什么是自解压功能呢？ WinRAR的自解压功能可以帮我们将多个文件打包成.exe文件，使我们的压缩包也能像 Setup 程序那样，双击后显示一个软件许可，然后自动将所有文件解压到指定目录，并且在解压前和解压后执行特定的程序。 如果我们将一个木马程序和一个正常的 Setup 安装程序压缩在一起，并设置成自解压格式，那么当用户运行时，我们的木马程序便会运行，并且正常的Setup程序会照样正常执行。依据这个思路，我们便可以制作成一个自解压捆绑木马。但为了将木马制作的逼真一些，我们还需要为自解压捆绑木马设置好 Setup 安装程序的名字与图标。 制作WinRAR自解压捆绑木马首先，我们用metasploit生成一个木马： 但此时的木马程序shell.exe太丑了，一看就是个木马程序，所以我们还要对其做进一步的处理。 这里，我们准备一个flash的安装程序： 下载地址：https://www.flas ...