Fstraw Blog

转载自：https://mp.weixin.qq.com/s/ZwM2h3OHhnH9WYZWO6GFdw 0x00 前言 在攻击者利用漏洞获取到某台机器的控制权限之后，会考虑将该机器作为一个持久化的据点，种植一个具备持久化的后门，从而随时可以连接该被控机器进行深入渗透。当我们在渗透过程中通过漏洞获取到目标主机权限后，往往会因为服务器管理员发现和修补漏洞而导致对服务器权限的丢失，所以权限维持就显得很重要了。 0x01 windows权限维持1. Windows系统隐藏账户该方法是通过建立隐藏账户，制作系统用户远程控制后门，维持目标Windows系统权限。 制作方法跟步骤如下： 在目标主机cmd中输入以下命令，创建一个名为whoami$的隐藏账户，并把该隐藏账户设置为管理员权限。 如上图，我们已经创建成功，执行net user命令，发现是看不到whoami$用户的： 12net user whoami$ Liu78963 /addnet localgroup administrators whoami$ /add 但是这就结束了吗，没有！虽然上面net user看不见该隐藏用户 ...

编者荐语：推荐使用 Earthworm代理 内网流量 转载自：https://mp.weixin.qq.com/s/gZ0FviyWiqqh7l3ZiDTrSw 01 概述 在渗透测试中，当我们拿下web主机的shell权限后，通常无法直接访问到内网主机的端口，这个时候我们就需要用到代理与转发。端口转发（Port forwarding），有时候被叫做隧道，是安全壳（SSH）为网络安全通信使用的一种方法。端口转发是转发一个网络端口从一个网络节点到另一个网络节点的一个行为，使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址（局域网内部）上的一个端口。 02 转发、映射详细解释端口映射：端口映射是NAT的一种，功能是把在公网的地址转翻译成私有地址， 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。通俗来讲，映射端口，就是将一个内网端口映射到公网上的某个端口，假设我自己的电脑是在内网中，没有公网IP，但是我想提供一个端口供其他人使用，这就是端口映射。 端口映射与转发的区别： 概念不同：内网代理， ...

端口渗透总结0x00 背景在前段时间的渗透中，我发现通过端口来进行渗透有时会提升我们的效率，所以才有了这篇文章的诞生； 端口渗透过程中我们需要关注几个问题： 1、 端口的banner信息 2、 端口上运行的服务 3、 常见应用的默认端口 当然对于上面这些信息的获取，我们有各式各样的方法，最为常见的应该就是nmap了吧！我们也可以结合其他的端口扫描工具，比如专门的3389、1433等等的端口扫描工具； 服务默认端口公认端口(Well Known Ports)：0-1023，他们紧密绑定了一些服务； 注册端口(Registered Ports)：1024-49151，他们松散的绑定了一些服务； 动态/私有：49152-65535，不为服务分配这些端口； 当然这些端口都可以通过修改来达到欺骗攻击者的目的，但是这就安全了吗？攻击者又可以使用什么攻击方式来攻击这些端口呢？ 还需要注明的一点是：很多木马工具也有特定的端口，本文并没有涉及到这块的内容，大家可以自己去收集收集！ 爆破在对这些端口进行实战讲解时，我需要先阐述一下我对爆破这个方式的一些看法；爆破：技术最简单，需要的技术能力基本为 ...

nessus Docker项目地址：https://github.com/elliot-bia/nessus 密码是AES加密，密钥 github/elliot-bia ，为什么公开？因为术业有专攻。 12345678910# 拉取镜像docker pull ramisec/nessus# 启动docker run -itd --name=ramisec_nessus -p 8834:8834 ramisec/nessus# 更新Nessus插件docker exec -it ramisec_nessus /bin/bash /nessus/update.sh# 访问扫描器地址和账号密码https://127.0.0.1:8834/#/account: admin/twitter@Elliot58616851 awvs Docker直接用一条命令下载运行 123456bash <(curl -skm 10 https://www.fahai.org/aDisk/Awvs/check.sh) xrsec/awvs地址：https://127.0.0.1:3443/# ...

一、web 蜜罐技术原理利用 jsonp 捕获黑客社交网络信息 同源策略以及绕过： https://blog.csdn.net/duzm200542901104/article/details/85870019

如何武装你的BurpSuite（一）一、FastjsonScan —— FastjsonRCE检测工具github地址：https://github.com/Maskhe/FastjsonScan一个简单的Fastjson反序列化检测burp插件,能够在渗透测试时快速提高效率。该工具实战可以看我之前的一篇文章，记一次fastjsonRCE实战。 二、Struts2-RCE —— Struts2RCE检测工具用于检查struts2 RCE漏洞的Burp扩展插件github地址：https://github.com/prakharathreya/Struts2-RCE 目前支持漏洞（S2-001、S2-007、S2-008、S2-012、S2-013、S2-014、S2-015、S2-016、S2-019、S2-029、S2-032、S2-033、S2-037、S2-045、S2-048、S2-053、S2-057、S2-DevMode） 三、ShiroPoc —— Shiro回显利用工具并不是很推荐这个工具，对于Shiro反序列化的利用，目前个人认为Xray高级版中未开源的独家反序列化利 ...

搭建域环境0. 环境准备msdn下载靶机： 1https://msdn.itellyou.cn/ 1. 环境拓扑图 2. 域信息 操作系统 角色 连接模式 ip vm1 win7 边界服务器 nat、host-only nat:192.168.10.130/24 host-only:192.168.52.143 网关：192.168.52.2 dns:192.168.52.138 vm1 win server 2003 R2 域成员 host-only 192.168.52.141 vm3 win server 2008 R2 域控 host-only 192.168.52.138 3. win server 2008 R2（1）设置服务器打开安装好的 win2K8 ，配置 IP 地址、子网掩码和 dns 服务器（dns 指向本机 IP），如下图： （2）更改计算机名例如将计算机命名为 owa ，在将本机升级为域控制器后，计算机全名会自动变成 “owa.god.org” ，god.org 是该域的名称。 （3）安装域控制器和 D ...

前言本文是针对某人的某次攻防考核的复盘进行复盘，然后从中找到自己不足的地方，试想一下如果考核对象是你自己，你会如何做？你怎么才能做的更好、更高效。因为知识面有限，所以肯定会有很多不足之处，恳请指正。 考核复盘文章： https://forum.butian.net/share/1494 信息收集原作者的选择：他是使用了 fscan 和 nmap 结合来扫，虽然说 fscan 的效果也算是可以的，但是 fscan 的 poc 数量远远比不过 GobyPoc，比如 phpmyadmin、泛微OA之类的漏洞，这些都是可以通过平时自己积累的Goby的poc库快速检测出来的。 所以也就导致了他不能快速定位到关键系统。 我的选择：根据给出的目标网段，可以使用 Goby 快速扫描，而如果靶机是在虚拟机里的话，在 Goby 里面选择正确的网卡，再进行扫描即可，找到网卡对应的序列号也很简单： （1）运行regedit（2）浏览到： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces（3）Inte ...

文件上传绕过1. 修改文件名后缀 %00截断 post提交的话，需要将%00进行url编码 大小写、双写绕过文件上传 点、空格绕过文件上传 在文件后缀上添加空格重新命名，会自动删除所谓的空格，点同理会自动删除的，因为可能尝试欺骗服务器验证。系统默认是不支持加空格、加点的，比如“.php空格”会自动解析为“.php”，“.php.”会自动解析为“.php”。比如使用BurpSuite抓包进行操作，如下图所示，将上传的“.php”文件后增加一个空格，再点击Forward进行上传。 PHP345文件绕过上传 PHP3代表PHP版本3，这里用于文件绕过检测。一般的软件都是向下兼容，PHP3代码，PHP5同样兼容能够执行。如下图所示，fox.php5文件同样能够正常上传。 Windows ::$DATA绕过 Windows ::$DATA绕过只能用于Windows，Windows下NTFS文件系统有一个特性，即NTFS文件系统在存储数据流的一个属性DATA时，是请求a.php本身的数据。如果a.php还包含了其他的数据流，比如a.php:lake2.php，请求a.php:lake ...

编者注：新姿势。 转载于：https://forum.butian.net/share/1497 本文讲述一下ssrf加metadata的利用方式，其他常规利用方式，好多师傅已经写过了这里就不再赘述。 0x00 前言文章开始前我们先讲述一下metadata service，也就是云服务器的元数据，每个云服务器厂商都有元数据，只是获取的接口地址不同，获取到的内容也不一样，有些元数据中是可以获取到登录凭证，可以直接接管服务器。由于元数据只能在云服务器上请求特定地址才能获取到，所以也常常用来作为ssrf利用方式的一种。 0x01 metadata service阿里云URL：http://100.100.100.200 基本实例元数据项，就不做展示了，感兴趣的可以查看下官方文档https://help.aliyun.com/document\_detail/214777.htm?spm=a2c4g.11186623.0.0.777a4a07R5OHxw#concept-2078137 动态实例元数据项 数据项 说明 示例 /dynamic/ins ...