博文

目前显示的是 2017的博文

linux 提权时无gcc的一个小技巧

    在进行linux提权时,通常都建议在对方机器上进行编译,但是也可能遇到对方机器没有装gcc编译器的情况。如果不嫌麻烦的话,可以选择给对方装个gcc,或者在本地进行静态编译,只是编译出来的可执行程序比较大,比如我试过在ubuntu(x64)上用gcc -static 静态编译 dirtycow  ,然后在centos(x64)上成功提权,当然不保证在其他系统上或用其他提权脚本这样编译也能成功。

记一个 xss payload

图片
    看到一个很特别的xss payload,ie8打开包含下面代码的页面, 会发现弹框:   <a onmouseover="8+{toString:alert(1)}">here</a>         那么为什么会触发呢?  https://groups.google.com/forum/#!topic/null-co-  in/5G2gRcJYHew    中有人解释道:toString函数被alert覆盖,而 8+{toString:alert(1)} 会调用toString,但是toString已经被alert覆盖了,所以alert会调用从而弹框,且只有ie8及以下和老版本的opera会触发。。朋友测试了下发现ie11不会触发。搜了下,发现原来国内早有人(@长短短 大神)发现了,用的是  "  toString:()=>alert()   ",用的是ES6的箭头函数表达式“=>”来覆盖,试了下chrome和firefox均触发,ie8报错,估计是不支持的原因。

vultr安装kali linux 折腾手记

图片
    打算在vultr上安装kali linux 2017.1 64位,可是安装完重启后kali又进入了安装界面,后来查到网上说系统安装到“finish the installation”这步时,移除ISO文件,避免再次从光盘启动,可是移除ISO重启后一直卡在启动界面,黑屏并提示“booting from disk”,重新安装多少次都无效。     一度怀疑kali 没有成功安装grub。搜索发现 How to set NOMODESET and other kernel boot options in grub2  提到最新的linux把视频模式集成到了内核中,但是一些视频卡有问题会导致黑屏,解决方式就是添加nomodeset参数让内核不去加载视频驱动而是使用bios模式直到X驱动加载完,也提到可以启动时按“e”来编辑grub配置。  The newest kernels have moved the video mode setting into the kernel. So all the programming of the hardware specific clock rates and registers on the video card happen in the kernel rather than in the X driver when the X server starts.. This makes it possible to have high resolution nice looking splash (boot) screens and flicker free transitions from boot splash to login screen. Unfortunately, on some cards this doesnt work properly and you end up with a black screen. Adding the nomodeset parameter instructs the kernel to not load video drivers and use BIOS modes instead until X is loaded.      可是不知道是不是我的姿势不对,我按“

SQL注入+XXE+文件遍历漏洞组合拳渗透Deutsche Telekom—信息收集工作永远不会结束

图片
之前投稿到 http://paper.seebug.org/256/ 的一篇译文,现转到自己的博客 原文链接: https://www.ibrahim-elsayed.com/?p=150 原作者:Ibrahim M. El-Sayed 译者注 :作者分享了他是如何通过文件遍历+SQL注入+XXE漏洞的组合拳一步步渗透Deutsche Telekom网站,并且不厌其烦地告诉我们信息收集在渗透测试中的重要性。初次翻译,如有不足之处忘各位看官轻喷。 我一直认为在漏洞赏金项目中找到漏洞是件容易的事,其中主要的技巧在于信息收集阶段。这篇文章的目的不只是演示这些漏洞以及如何找到他们,也是为了演示在渗透测试(寻找漏洞)的过程中如何进行出色的信息收集。许多人都不分享他们是如何找到漏洞的,对此我深表理解,我也不打算分享我所有的技术但是我会在这篇文章中分享一些重要的技巧。 在我们开始这篇文章前,让我简要的介绍下Deutsche Telekom。 Deutsche Telekom AG(德国电信)是一个总部位于波恩的德国通信公司。Deutsche Telekom成立于1996年。2012年Deutsche Telekom建立了他们的漏洞赏金项目。他们有个非常有趣的漏洞赏金项目,从它开始之初(大概三年前)我就一直参与其中。我最喜欢他们赏金项目的地方在于他们只接受远程代码执行(RCE),SQL注入(SQLi)和其他高危漏洞(不同人的评判不同)。他们不接受xss,csrf和其它客户端的攻击。对我来说这非常具有挑战性。 一切都从下面这个子域名说起: https://raz.telekom.de/  。我用了各种搜索引擎来搜索这个子域名(感谢sublist3r),但是我没有找到任何与它相关的信息。我也用了subbrute去尝试所有的3位字母组合,但是暴力枚举后没有什么发现。 当我访问“  https://raz.telekom.de/  ”时,页面返回403。 我用dirbuster的自定义字典找到了一些页面。下面是main.php页面的截图: 从这个页面中你可以看到,也许是因为混乱的session管理,我以一个guest用户的身份成功登录并且可以进行一些操作。在开始寻找漏洞前,我总是努力去理解应用程序的目的以及它是如何工作的

胖(厚)客户端渗透的经验分享

图片
      如今web渗透已成主流,胖客户端渗透比较少见。根据个人在几次胖客户端渗透的经历,分享两则经验。 一、信息泄露       胖客户端通常为两层架构,即客户端和服务器端(c/s),客户端直接和数据库进行交互,并负责逻辑和事务处理,数据库服务器只进行增删查改操作,因此会导致一些信息泄露的问题,比如密码。       以我对某胖客户端进行测试为例:       在登录界面选择管理员账号,密码随意输入,然后抓包服务器返回的数据,发现服务器返回了管理员密码,利用该密码即可成功登录管理员账号。 二、sql注入       由于客户端提交的数据,数据库服务器通常不会进行校验,因此可以通过篡改客户端提交的数据进行sql注入、提权等。       以某胖客户端测试为例:       在登录界面输入用户名和密码后,胖客户端会发送sql查询语句,通过动态调试将sql查询语句改为创建管理员账号,由于数据库服务器没有对客户端发来的数据进行校验,从而成功添加管理员账号。接着将数据库管理员添加到计算机管理员组即可成功提权。