在securecrt下载文件到本地命令除了用wget下载还可以用什么下载？

来源：蜘蛛抓取(WebSpider) 时间：2022-12-08 11:57 标签： securecrt下载文件到本地命令

个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程，多款云服务器20元起。

您找到你想要的搜索结果了吗？

簡單說就是，可以很方便地用這兩個sz/rz工具，實現Linux下和Windows之間的文件傳輸(發送和接收)，速度大概為10KB/s，適合中小文件。rz/sz 通過Zmodem協議傳輸數據

與ssh有關的兩個命令可以提供很方便的操作：
sz：將選定的文件發送（send）到本地機器
rz：運行該命令會彈出一個文件選擇窗口，從本地選擇文件上傳到服務器(receive)

windows端需要支持ZModem的telnet/ssh客戶端（比如SecureCRT） 運行命令rz，即是接收文件，SecureCRT就會彈出文件選擇對話框，選好文件之后關閉對話框，文件就會上傳到當前目錄

運行命令sz file1 file2就是發文件到windows上（保存的目錄是可以配置）比ftp命令方便多了，而且服務器不用再開FTP服務了

方案例：某學生遇到rz,sz 上傳下載的問題

rz正常，sz無法下載文件到本地。可學生還一頭霧水，不知其所以然。

请注意：对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

我必须再重申一遍：务必不要做未授权测试！不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意，你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更好的继续学习发展，有很多漏洞奖励计划和靶场可以供你学习试验，但是请记住，即使是参加漏洞奖励计划，私自测试范围外的网站或对网站进行深入破坏也会让你有大麻烦。

4、开源情报信息搜集(OSINT)

扫描10000端口、操作系统、版本

随机选择100000台主机扫描是否运行Web服务器（80端口）。由起始阶段发送探测报文来确定主机是否工作非常浪费时间，而且只需探测主机的一个端口，因此使用-PO禁止对主机列表。

host -l 中的主机，然后将IP地址提供给Nmap。上述命令用于GNU/Linux —— 其它系统进行区域传输时有不同的命令。

SYN方式扫描主机端口

在渗透前期工作开展之前，需要对目标的各种信息进行分析、拆分、组合
根据地域习惯、宗教、互联网开放信息等信息进行简要拆分，假设获取的信息如下:

9、内网渗透之信息收集

检查当前shell权限

收集信息主机名->扮演角色

可以获取内网IP分布状态-服务（redis)

有 Primary Dns Suff就说明是域内空的则当前机器应该在工作组

有些进程可能是域用户启的->通过管理员权限凭证窃取->窃取域用户的凭证

可以把凭证取下来->本地密码

查看本机上的用户账户列表

查看本机用户xxx的信息

在本地计算机上获取进程

具体的参数以及命令在官方文档中进行查询：

用于LADP（轻量级目录访问协议），属于TCP/IP协议，在域过程中一般出现在域控上出现该端口，进行权限认证服务，如果拥有对该域的用户，且担心net或者其他爆破方法不可行的情况，可以尝试使用LADP端口进行爆破

工具可以使用类似于hydra等开源项目

该端口主要开启Kerberos服务，属于TCP/IP协议，主要任务是监听KDC的票据请求，该协议在渗透过程中可以进行黄金票据和白银票据的伪造，以横向扩展某些服务

服务在后台开启，但是端口还没有开启监听，所以需要开启端口

方法很多，我会写出来…后补！！！

只是盲区，需要脑补！！！！

学习查看知识点，广告可以忽视！！！

详细，真详细的文章！！

两篇文章内容一致！详细介绍了CVE-、CVE-

非常难，内容非常多！！！加油！！！这块比较难

文章内容复现类似，可分析查看…

或者使用站长工具查看IP是否唯一等

寻找DNS历史记录，找到后修改hos文件即可：

RSS邮箱订阅，查看邮件源码
一般也会得到真实的IP地址，通过rss订阅的方式，可以查找到订阅的消息中真实IP

系统特性：利用NTFS ADS特性

ADS是NTFS磁盘格式的一个特性，用于NTFS交换数据流。在上传文件时，如果waf对请求正文的filename匹配不当的话可能会导致绕过

协议解析不一致，绕过waf（注入跨站也可尝试）

因为这种不仅仅存在于上传之处，注入跨站也可尝试

换一种理解方式也就是将原本的post数据包的method改成GET,如果使用request(‘id’)方式获取数据，仍会获取到post的内容

php在解析multipart data的时候有自己的特性，对于boundary的识别，只取了逗号前面的内容，例如我们设置的boundary为—-aaaa,123456，php解析的时候只识别了—-aaaa,后面的内容均没有识别。然而其他的如WAF在做解析的时候，有可能获取的是整个字符串，此时可能就会出现BYPASS

这里重点介绍第四种方法

该文章全面的介绍了XMLDecoder遇到的基础知识…了解后我们开始看下面的CVE解析文章

该文章中REF有详细链接，以及针对JWT的爆破密匙工具c-jwt-cracker也有详细链接介绍等

1）白名单验证定义允许上传的后缀类型,除此所有后缓都不允许

定义不允许上传的后缀类型，除此之类其他后缀都可以上传

定义不允许上传的后缀：

未重命名可以配合解析漏洞(很少)

可以用cer达到绕过效果

如果未用转换函数强制转换后缀为小写(ASP)

特殊后缀达到效果可利用ashx来生成一句话

.htaccess来实现后缀引导。上传jpg可以解析成脚本，具体在内容定义

例如可以把php的文件类型改成正常的图片类型

典型的白名单验证，指定上传后缀必须为jpg、JPG、jpeg、JPEG

Js在前端定义了允许上传的后缀类型

【突破方法】直接在前端修改或添加后缀，找不到就搜索图片后缀如jpg

这类检测，通常是在上传页面里含有专门检测文件上传的JavaScript代码，最常见的就是检测扩展名是否合法，示例代码如下：

百度云绕过就简单的很多很多，在对文件名大小写上面没有检测php是过了的，Php就能过，或者PHP，一句话自己合成图片马用Xise连接即可

或者利用…/跳到上层目录，shell传到上层，执行即可…

这台靶机很舒服，文件上传的各种骚操作基本都能实现

5、黑名单：大小写phP

输入1’，对语法错误进行判断，注入即可

何为盲注？盲注就是在sql注入过程中，sql语句执行的选择后，选择的数据不能回显到前端页面。此时，我们需要利用一些方法进行判断或者尝试，这个过程称之为盲注

延时注入是主要针对页面无变化、无法用布尔真假判断、无法报错的情况下的注入技术

报错注入构造payload让信息通过错误提示回显出来

遇到这种去情况时，如果上传不成功，有三种原因：

2）secure_file_priv指定了某个目录才可以上传，根目录不允许上传，那么可以尝试往upload目录

往upload等其他目录上传，不要往根目录上传即可

3）secure_file_priv的值为空或者指定了某个目录，但是上传后的文件为空，没有内容写进去

如果读取不出来，则将读取的内容写入到当前web目录里，后缀为txt，然后访问

%5c，%bf'，单引号，双引号，反斜杠，负数，特殊字符，and，or，xor探测是否存在注入!!!

注意：（-- ）一定要在注释符号后加空格，或者URL编码后的空格（%20），否则注释符号不会产生作用

1）先判断是数字型还是字符型，如果判断不出来跳到9

2）接着判断有没有括号

3）最后面跟上--+注释符

5）如果返回的页面发生变化，则联合查询

6）如果union select 1,version(),3返回的页面没有发生变化，即联合查询失败，则尝试报错注入

7）如果报错注入页面也没有把信息显示出来，则进行延时注入

8）如果延时注入也不行，则导入导出

9）尝试延时注入，如果从1过来的，则三种情况，直接跟payload，参数后面加单引号或者双引号

伪静态：使用%5c，%5c是\的url编码

http://url/Home/Orders/index/currency/% DLL（或DLL组）。导入后，DLL方法可以链接到存储过程并通过TSQL执行。创建和导入自定义CLR程序集的能力是开发人员扩展SQL Server本机功能的好方法，但自然也为攻击者创造了机会。以C#代码为例，将下面代码用CSC编译为dll

得到的DLL上传到目标，设置dll文件权限，否则mssql可能因为文件权限问题导致读取dll失败

遇到权限问题，需要设置数据库拥有者为sa，这个方法不能使用master数据库来执行查询语句

仅能使用navicat连接数据库（非root权限用户）：

使用locd_file读取服务器文件、读取站点配置文件、站点源码，进一步getshell

secure_file_priv指定文件夹时表示mysql的导入导出只能发生在指定的文件夹

想要成功利用load_file函数，必须设置secure_file_priv变量为空，这样读取文件也就没有限制

这里对于Hibernate注入提几个思路点：

使用save，不太可能会出现拼接漏洞

因此在添加、创建操作下，Hibernate大概率不会出现注入漏洞

这里还有更好的文章，没找到！！！！需要回看！！！

任意代码执行，但有以下两个前提：

攻击者可以上传自己构造的语言文件，或者含有该语言文件的主题、插件等文件夹

网站使用攻击者构造好的语言文件来对网站、主题、插件等进行翻译

这里举一个真实场景中的例子：攻击者更改了某个插件中的语言文件，并更改了插件代码使插件初始化时使用恶意语言文件对插件进行翻译，然后攻击者通过诱导管理员安装此插件来触发漏洞

很老的一个漏洞了…学习下思路~~

还有很多方法，这里书籍上的方法未找到，可看书！！

书里也有另外的思路，大部分都是各种倒腾方法测试，前面也列举了很多，未授权的别乱搞！！

听老的漏洞了，可以玩玩

书籍上还有不同的思路…

DKIM是一种防范电子邮件欺诈的验证技术，通过消息加密认证的方式对邮件发送域名进行验证。

邮件发送方发送邮件时，利用本域私钥加密邮件生成DKIM签名，将DKIM签名及其相关信息插入邮件头。邮件接收方接收邮件时，通过DNS查询获得公钥，验证邮件DKIM签名的有效性。从而确认在邮件发送的过程中，防止邮件被恶意篡改，保证邮件内容的完整性

与中的com与corn非常相似，有个别字体影响的话，还是很难分辨的，更别说歪果仁了…

这个链接是第三方登录口：

redirect_uri参数：是要跳转到这个参数值网址。

注：带有外部链接的网址是一级域名的信任域！

再访问成功登录目标账户

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统

漏洞点： -> 当A用户登录了后，访问无需账号密码，sso会发送凭证给。

劫持：抓取sso发送给凭证的数据包，将跳转到这个值改为我们的dnslog地址。然后将这个链接发送给已经登录的A用户，那么A用户会往发送凭证，这时候就被我们的dnslog劫持了

新用户注册或者用户登录的时候，网站会传递凭证给用户。这时候通过修改redirect_url为自己的dnslog，去劫持凭证

先准备一台VPS与域名。

因某种情况会更换VPS地址，为了减少更改frp配置文件的次数，所以做域名泛解析。若更换VPS，直接编辑域名解析地址即可。

Frp下载地址 [跨平台，实战中根据目标机版本选择下载]

书上介绍了MSF配合dnscat2使用方法…

这几种方法，结合下思想
然后书中的两个续集思路…

使用klist查看票据申请是否成功。接着可使用mimikatz导出票据，再通过hashcat爆破即可。或者使用。

简介（摘自官方原文）：

‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

0x01 域用户的登录过程

3、Net logon 会根据IP地址找到相应的DNS服务器，并发送一个 DNS Query的数据包，查询site内所有DC的SRV记录和A记录。

4、DNS 服务器会返回一个 response数据包，里面包含site内所有DC的一张表格。如果DNS服务器不返回这个数据包，那么locate DC就失败了。

5、然后客户端的netlogon就根据这张表格给每台DC都发送一个 Query 数据包。如果有多台DC都给客户端返回response的数据包，那么客户端以最先返回 response 为准，即客户端成功locate 到这台DC。但是如果没有DC返回响应数据包，那么locate DC也会失败。

关于参数的介绍都在文档中。

0x03 获取域控信息

我写了一个例子，获取域控的地址、GUID等信息，都保存在DomainControllerInfo：

由于作者的脚本有一个小瑕疵，故此我改了一下，避免抛出了一些错误。

在代码的开头就已经有介绍了，我简单汉化一下。

描述：该模块主要用于从域中收集用户列表。

参数： Domain 指定要测试的域名
参数： RemoveDisabled 尝试从用户列表删除禁用的账户
参数： UserList 自定义用户列表(字典)。如果未指定，这将自动从域中获取
参数： Password 指定单个密码进行口令测试
参数： OutFile 将结果保存到某个文件
参数： Force 当枚举出第一个后继续枚举，不询问

该命令将从域中收集用户列表。

该命令将收集域“域名”中的用户列表，包括任何未被禁用且未接近锁定状态的帐户。它会将结果写入“userlist.txt”文件中

该命令将会从域环境中获取用户名，然后逐个以密码Winter2016进行认证枚举

该命令将会从users.txt中提取用户名，与passlist.txt中的密码对照成一对口令，进行域认证枚举，登录成功的结果将会输出到sprayed-creds.txt