Johan的秘密小窝

安装 dhcp 服务并创建 leases 文件 123apt update && apt install -y isc-dhcp-servertouch /var/lib/dhcp/dhcpd.leaseschmod 777 /var/lib/dhcp/dhcpd.leases 修改 dhcpd.conf 配置文件 连接无线网卡 关闭网卡 1ifoncif wlan0 down 设置监听模式后开启网卡 123iwconfig wlan0 mode monitorifconfig wlan0 upairmon-ng start wlan0 通过 airbase-ng 建立无线热点 1airbase-ng -e WIFI名称 -c 信道 wlan0 设置 at0 地址和网关，添加路由，并将虚拟机作为转发机器 1234ifconfig at0 10.0.0.1 net netmask 255.255.255.0route add -net 10.0.0.0 mask 255.255.255.0 gw 10.0.0.1route add -net 10...

未连接网卡时候 接入 USB 无线网卡设备后，虚拟机设置选中连接虚拟机 可选网络出现当前局域网信息，表明网卡接入成功 查看新加入的网络名称为 wlan0 1ifconfig 关闭该网卡后查看网卡状态 1234#关闭指定网卡ifconfig wlan0 down#查看全部网卡状态ip address 给无线网卡设置虚假 mac 地址，并开启无线网卡监听模式 12macchanger --mac 伪造mac地址 wlan0airmon-ng start wlan0 查看当前无线设备，并通过该无线网卡搜索周围无线信号 12rfkill listairodump-ng wlan0 搜集不到信号，重启虚拟机，断开网卡后重新连接 查看进程并杀掉进程 12airmon-ng checkairmon-ng check kill 重新监听附近 wifi 1airodump-ng wlan0 监听被破解的 Wifi 1airodump-ng -c 目标的CH值 -w WPA2-Crack --bssid 目标的mac地址 wlan0 后续有设备连接该 wifi 后，...

影响范围： Apache Tomcat 7.0.0 - 7.0.79 漏洞类型：任意文件写入漏洞 操作系统限制：Windows 配置要求： 需开启 readonly = false 漏洞利用：写入敏感文件，例如用木马 getshell 利用原理：Windows 特性，在文件名后面加空格、/、::$DATA，系统会自动忽略后缀 绕过手段：斜杠绕过：PUT /文件名.jsp/ 空字符绕过：PUT /文件名.jsp%20（空格） NTFS 流绕过：PUT /文件名.jsp::$DATA 漏洞复现：12345678# 拉取dockers镜像，将端口映射到8081，访问公网地址:8081docker run -d -p 8081:8080 --name tomcat-7070 tomcat:7.0.70# 镜像默认没开readonly=false，用sed强行改写docker exec -it tomcat-7070 sed -i '/<servlet-class>org.apache.catalina.servlets.DefaultServlet<\/ser...

影响范围 JBoss AS 5.x - JBoss AS 6.1.0.Final 漏洞类型Java 反序列化 操作系统限制无 配置要求 http-invoker.sar 必须处于部署状态 ReadOnlyAccessFilter 过滤器映射 漏洞利用命令执行，反弹 shell 利用原理在 JBoss AS 5.x 或 6.x 中，引入名为 ReadOnlyAccessFilter 过滤器，其默认映射路径为/invoker/readonly，该路径在默认配置下无需身份验证就可访问，该过滤器处理客户端发送的 POST 请求数据时，直接获取请求体的输入流调用 readObject () 方法进行反序列化操作。在还原对象过程中，系统未对传入二进制流进行安全过滤、字节码校验或白名单限制，攻击者可以构造恶意序列化对象，恶意二进制数据通过 HTTP 请求发送到靶机，JBoss 在解析对象时，自动触发对象内部嵌套的恶意代码，执行恶意命令 漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vul...

影响范围： Nginx 0.8.41 - 1.4.3 Nginx 1.5.0 - 1.5.7 漏洞类型：任意文件解析 操作系统限制：无 配置要求：默认配置 漏洞利用：远程命令执行 利用原理：在受影响的版本中，Nginx 读取路径中的字符时候，遇到空格会认为路径部分结束，接下来是 HTTP 协议版本，如果在空格后面接着一个空字节（0x00），Nginx 错误地跳过正常终止逻辑，允许非法字符序列进入后续路径处理。攻击者修改文件后缀，末尾有一个空格，Nginx 接收到请求后在磁盘找到相应文件后认为请求合法，但完整路径是/uploadfiles/文件名.gif[0x20] [0x00].php，配置文件 conf 正则匹配到.php，就会交给后端 FastCGI 处理，由于 FastCGI 协议和 PHP 解析器是基于 C 语言字符串处理，C 语言中的 0x00 代表字符串结束，PHP 实际处理的文件则是/uploadfiles/文件名.gif，因为该文件已经被 Nginx 指定文件后缀，PHP 会忽略其 gif 后缀，直接解析其中的 PHP 代码，导致远程代码执行 漏洞复现：现成的 ...

影响范围 JBoss AS 3.2.0 - 4.2.3.GA 漏洞类型Java 反序列化 操作系统限制无 配置要求默认配置 漏洞利用命令执行，反弹 shell 利用原理JBoss AS 默认集成了一个用于 HTTP 协议传输信息的组件 JBossMQ，其组件含有一个名为 HTTPServerILServlet 的接口，该接口访问路径/jbossmq-httpil/HTTPServerILServlet 无需校验即可访问，Servlet 处理 POST 请求数据时，直接调用 readObject () 方法来反序列化数据流，且未对传入对象进行安全过滤或白名单限制，攻击者利用 yoserial 工具生成恶意系列化二进制数据，通过 HTTP 请求发送到靶机，JBoss 解析对象时自动触发对象内部嵌套的恶意代码 漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/jboss/CVE-2017-7504#拉取镜像docker-compos...

影响范围 Apache Tomcat 6.x (全版本受影响) Apache Tomcat 7.0.0 - 7.0.99 Apache Tomcat 8.5.0 - 8.5.50 Apache Tomcat 9.0.0.M1 - 9.0.30 漏洞类型二进制解析漏洞 操作系统限制无 配置要求8009 端口打开 漏洞利用 任意文件读取，例如读取 WEB - INF / web.xml 文件，只能读取使用 AJP 目录下的文件 文件包含，RCE 远程代码执行，可以是反弹 shell 利用原理 AJP 协议默认监听端口通常缺乏认证，利用协议缺陷，伪造 javax.servlet.include 属性 漏洞复现12#拉取镜像docker run -d -p 8082:8080 -p 8009:8009 --name ghostcat-vulhub vulhub/tomcat:9.0.30 使用云服务器： 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495...

影响范围 Nginx 0.5.6 - 1.13.2 漏洞类型整数溢出 操作系统限制无 配置要求Nginx 开启了缓存功能 漏洞利用信息泄露 利用原理Nginx 处理 Range 请求的模块计算请求范围时候使用了 64 位有符号整数，在计算多段请求时候，Nginx 会计算总的返回长度，攻击者通过给出接近 64 位整数机选大数字，两个负数相减或正数相加，结果超过 64 位整数能表示的最大范围，这个数值在计算机内部发生了溢出。当 Nginx 开启了缓存，存文件的格式不是纯文本，而是包含 KEY、过期时间、后端服务器信息，后端返回的原始头信息，以及真正的网页内容，由于漏洞导致的整数溢出（没做边界检验），攻击者构造负数起始位置，在通过整数溢出使得请求变得合理（大整数与负数相加后整数溢出变成极小的数，极小的数小于实际文件总长，使服务器认为请求合理），Nginx 内部计算的原始读取位置发生了偏移，可以让出错的指针刚好落到缓存头区域，进而读到缓存的内容 漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vu...

影响范围 Apache Shiro 1.0.0-incubating 漏洞类型权限绕过 操作系统限制无 配置要求 在 Shiro 配置文件中设置了基于路径的访问控制规则 漏洞利用登录管理后台，信息泄露 利用原理Shiro1.1.0 版本之前进行安全校验前缺少对 URL 标准化处理，Shiro 拦截器执行的是严格的字符串匹配或者正则匹配，就会认为/./admin 与/admin/不同（./当前目录，../上一级目录）；后端 Web 容器为了兼容性，会自动解析 URL 中的相对路径符号 漏洞复现现成的 vulhub 来拉取镜像 123456#下载vulhub源代码git clone https://github.com/vulhub/vulhub.git#进入漏洞目录cd vulhub/shiro/CVE-2010-3863#拉取镜像docker-compose up -d 用 burpsuite 抓取 http://靶机 ip:8080/admin/ 发送到 Repeater 模块 直接发送会返回 302，重定向到登录页面 修改路径/./admin/ 发送后返回 ...

影响范围 Apache Shiro 1.0.0 - 1.2.4 部分集成过时 Shiro 组件的第三方框架 / 脚手架 漏洞类型Java 反序列化 操作系统限制无 配置要求默认配置 漏洞利用反弹 shell 利用原理在 Shiro1.2.4 及以前的版本中，AbstractRememberMeManager 类在代码中硬编码了 AES-128-CBC 加密的密钥 kPH + bIxk5D2deZiIxcaaaA==，意味着所以使用默认配置的 Shiro 系统用同一个密钥进行加解密 Cookie。Shiro 方便用户在关闭浏览器保持登录状态（RememberMe 逻辑），将用户身份序列化后存入 Cookie，当用户再次访问，服务器回自动读取并反序列化还原对象。解密 Cookie 后，Shiro 直接调用 Java 的 ObjectInputStream.readObject() 来还原对象，密钥对还原对象类型进行安全防护。攻击者在 Cookie 中注入精心构造的恶意代码，Shiro 拦截含 rememberMe 字段的 HTTP 请求，恶意代码经过 base64 解码再用 AES...