0x24bin's Blog

SQL INJECTION SQL Injection is one of the many web attack types, an attacker can send request with malicious SQL statements then executed by database server. A successful SQL injection exploit Attacker can read sensitive data from the database, modify database data (Insert/Update/Delete), execute administration operations on the database (such as shutdown the DBMS), read/wri...

如上图，目标就一个登陆框，最近 Thinkphp 程序很多，根据后台地址结构，猜测可能是 ThinkPHP ，随手输入 xxx 得到 thinkPHP 报错页面，确定目标程序和版本。 然后上 5.X EXP 测试： 命令执行漏洞已经被修复了。。。 爆破？这验证码我没辙。。。 尝试读取日志瞅瞅，结果遇到防火墙 然后查了下 IP ，没有CDN，果断查下旁站，有那么几个站，目测都是 thinkPHP 爱站旁站查询其实并不准确，有的查不到，所以...

Author: [email protected]猎户攻防实验室 行文仓促，不足之处，还望大牛指正。 1 事件分类 常见的安全事件： Web入侵：挂马、篡改、Webshell 系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马：远控、后门、勒索软件 信息泄漏：脱裤、数据库登录（弱口令） 网络流量：频繁发包、批量请求、DDOS攻击 2 排查思路 一个常规的入侵事件后的系统排查思路： 文件分析 ​a) 文件日期、新增文件、可疑/异常文件、...

一、远程执行命令方式及对应端口:  IPC$+AT 445  PSEXEC 445  WMI 135  Winrm 5985(HTTP)&5986(HTTPS) 二、9种远程执行cmd命令的方法： 1.WMI执行命令方式,无回显： wmic /node:192.168.1.158 /user:pt007 /password:admin123 process call create "cmd.exe /c ipconfig>d:\result.txt" 2.使用Hash直接登录Windows（HASH传递） 抓取windows hash值,得到administrator的hash： 598DDCE2660D...