TeamsSix-CSDN博客

原创 CF 云环境利用框架，一键化利用云上内网

当我们平时拿到云服务的访问凭证即 Access Key 时，通常的做法可能是看下对方的 OSS 对象存储、或者在实例上执行个命令，但 AK 的利用远不止这些，通过 AK 我们可以做太多太多的事情，为了方便 AK 的利用，于是有了这个工具。...

2022-07-11 11:57:24 1388 1

前言T Wiki 在 4 月 16 日上线，5 月份以来依然收到不少师傅的支持与反馈，此时正好到月末，特此整理下这段时间来 T Wiki 上所更新的内容，如果你还不知道 T Wiki 是什么，可以查看这篇文章T Wiki 云安全知识文库上线，或者访问 T Wiki 地址： wiki.teamssix.com感谢你们自 5 月 1 日至 5 月 31 日，T Wiki 总共收到了 4 位师傅的补充，分别为 m4d3bug、Idle Life、da Vinci【达文西】、tanger云安全资源板块补充

2022-05-31 12:43:15 643

原创 T Wiki 云安全知识文库上线

前言T Wiki 是一个面向云安全方向的知识库，这一点是和其他文库最大的不同，也许这是国内第一个云安全知识文库？搭建这个文库的起因是笔者发现在云安全方向的中文资料属实不多，少有的这些资料也很散乱，于是搭建了这个文库。文库的地址为：wiki.teamssix.com文库介绍首先来看文库首页，文库主要分成了三个板块，分别为云服务、云原生、云安全资源首先来看云安全资源板块，这个板块是我个人觉着整个知识库较为与众不同的地方，在这里可以看到汇总的云安全资源，比如云安全相关的文章、公众号、工具、靶场等等。

2022-04-15 22:06:35 685

原创代码审计 | 跨站脚本 XSS

0x01 反射型 XSS以下代码展示了反射型 XSS 漏洞产生的大概形式<% String name = request.getParameter("name"); String studentId = request.getParameter("sid"); out.println("name = "+name); out.println("studentId = "+studentId);%>当访问 http://localhost:8080/xss

2021-12-25 11:13:06 2117 2

原创【代码审计】Tomcat 任意文件写入 CVE-2017-12615

0x00 环境搭建直接 Docker 搭建即可git clone https://github.com/vulhub/vulhub.gitcd /vulhub/tomcat/CVE-2017-12615sudo docker-compose buildsudo docker-compose up -d0x01 漏洞复现直接使用 PUT 发起请求就可以上传任意文件，比如向 /teamssix.jsp/ 发起请求PUT /teamssix.jsp/ HTTP/1.1Host: 172.16.

2021-12-16 17:41:27 523

原创【代码审计】敏感信息泄露

这里以 TurboMail 5.2.0 里的敏感信息泄露漏洞作为学习。已知 TurboMail 5.2.0 的敏感信息泄露路径为 /mailmain?type=pm打开 TurboMail 的安装目录，在 turbomail\web\webapps\ROOT\WEB-INF 下找到 web.xml 文件，发现以下配置信息<servlet-mapping> <servlet-name>mailmaini</servlet-name> <url-patte

2021-12-15 13:53:13 2915

原创【代码审计】JWT Token

0x00 介绍JSON Web Token 缩写成 JWT，被用于和服务器的认证场景中，这一点有点类似于 Cookie 里的 Session id，关于这两者的区别可以看本文尾部的参考链接。JWT 由三部分构成，分别为 Header（头部）、Payload（负载）、Signature（签名），三者以小数点分割，格式类似于这样：Header.Payload.Signature实际遇到的 JWT 一般是这种样子eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIi

2021-12-14 19:14:02 673

原创【代码审计】模板注入

0x00 介绍这里主要学习下 FreeMarker 模板注入，FreeMarker 是一款模板引擎，FreeMarker 模板文件与 HTML 一样都是静态页面，当用户访问页面时，FreeMarker 引擎会进行解析并动态替换模板中的内容进行渲染，然后将渲染后的结果返回到浏览器中。0x01 FreeMarker 模板FreeMarker 模板语言（FreeMarker Template Language，FTL）由 4 个部分组成，分别如下：文本：包括 HTML 标签与静态文本等静态内容，该部分

2021-12-03 20:19:45 899

原创【代码审计】表达式注入

1、介绍表达式语言（Expression Language）简称 EL 表达式，是一种 JSP 内置的语言。在 JSP 中，使用 ${} 来表示 EL 表达式，例如 ${name} 表示获取 name 变量。在 EL 表达式中有两种获取对象属性的方法，第一种为 ${param.name}，第二种为 ${param[name]}2、实例使用实例使用 param 对象获取用户传入的参数值，这里的 ${param.name} 相当于 request.getParameter(“name”)<%

2021-11-29 18:25:50 1022

原创【代码审计】命令注入和代码注入

0x01 命令注入在开发过程中，开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令，这时如果执行的命令用户可控，就会导致命令执行漏洞。1、示例当命令可控时，就可能会导致命令注入，例如以下代码：String cmd = request.getParameter("cmd");Runtime.getRuntime().exec(cmd);这种漏洞原理很简单，主要就是找到执行系统命令的函数，看命令是否可控。java 程序中执行系统命令的函数如下：Runtime.execProcess

2021-11-21 16:20:39 4463

原创【代码审计】SQL 注入

0x01 JDBC 拼接不当造成 SQL 注入JDBC 有两种方法执行 SQL 语句，分别为 PrepareStatement 和 Statement，两个方法的区别在于 PrepareStatement 会对 SQL 语句进行预编译，而 Statement 在每次执行时都需要编译，会增大系统开销。理论上 PrepareStatement 的效率和安全性会比 Statement 好，但不意味着就不会存在问题。以下是一个使用 Statement 执行 SQL 语句的示例String sql = "se

2021-11-17 20:47:43 642

原创【代码审计】Java Web 过滤器 - filter

0x00 前言filter 被称为过滤器，是 Servlet 2.3 新增的一个特性，同时也是 Serlvet 技术中最实用的技术。过滤器实际上就是对 Web 资源进行拦截，做一些处理后再交给下一个过滤器或 Servlet 处理，通常都是用来拦截 request 进行处理的，也可以对返回的 response 进行拦截处理。开发人员利用 filter 技术，可以实现对所有 Web 资源的管理，例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。0x01 filter 的配置filter

2021-11-16 11:56:53 730

原创【代码审计】Java Web 核心技术-Servlet

0x00 前言Servlet 是 Java Web 容器中运行的小程序，Servlet 原则上可以通过任何客户端-服务端协议进行通信，但它们常与 HTTP 一起使用，因此 Servlet 通常作为 “HTTP Servlet”的简写。Servlet 是 Java EE 的核心，也是所有 MVC 框架实现的根本。0x01 Servlet 的配置版本不同，Servlet 的配置不同，Servlet 3.0 之前的版本都是在 web.xml 中配置的，在 3.0 之后的版本中则使用更为方便的注解方法来配置

2021-11-15 17:20:03 565

原创【代码审计】Java EE 基础知识

Java 平台分为三个主要版本：Java SE（Java 平台标准版）Java EE（Java 平台企业版）Java ME（Java 平台微型版）Java EE 是 Java 应用最广泛的版本。0x01 Java EE 的核心技术Java EE 有十三种核心技术，它们分别是：JDBC、JNDI、EJB、RMI、Servlet、JSP、XML、JMS、Java IDL、JTS、JTA、JavaMail 和 JAF，这里重点介绍以下几种：Java 数据库连接（Java Database Co

2021-11-15 12:46:01 655

原创【代码审计】Maven 基础知识

0x00 前言Maven 是一个项目构建和管理工具，利用它可以对 JAVA 项目进行构建和管理。Maven 采用项目对象模型 POM（Project Object Model）来管理项目。Maven 的主要工作就是用来解析一些 XML 文档、管理生命周期与插件。Maven 被设计成将主要的职责委派给一组 Maven 插件，这些插件可以影响 Maven 生命周期，提供对目标的访问。0x01 pom.xml 文件介绍pom.xml 文件被用于管理源代码、配置文件、开发者的信息和角色等，Maven 项

2021-11-03 16:41:32 231

原创【经验总结】Docker 使用笔记

0x00 前言平时在使用 Docker 时，经常会碰到忘记相关命令的情况，因此平时忘记一个就会记录一个，经过多年的记录，Docker 相关的笔记已经记录了不少。最近在看代码审计的时候又提到了 Docker，正好借着这个机会好好的把原来记录的比较乱的 Docker 笔记整理一下。如果你也面临过「在使用 Docker 时，时不时就会忘记某条命令」的情况，那么我相信本篇文章应该会对你有所帮助。0x01 安装1、安装 Dockercurl -fsSL https://get.docker.com/ |

2021-10-30 09:06:09 215

原创【内网学习笔记】30、跨域安全（完结）

0、前言常见的跨域攻击方法有以下几种：i、利用常规的渗透方法，比如 Web 漏洞ii、利用已知散列值进行哈希传递或票据传递，因为有可能域内的密码是通用的iii、利用域信任关系这里主要看第三种：域信任关系当有多个域时，不同的域之间想进行资源共享，就需要用到域信任，只有当域之间互相信任后，才能进行资源共享。域信任关系可分为单向信任和双向信任。单向信任即 A 信任 B，但 B 不信任 A，双向信任同理。在创建子域时，系统会在新的子域和父域之间自动创建双向可传递信任关系。域信任关系又可分为内部信任和

2021-10-22 14:39:08 3452 2

原创【内网学习笔记】29、白银票据

0、前言白银票据（Sliver Ticket）不同于黄金票据（Golden Ticket）Kerberos 协议详解：https://teamssix.com/210923-151418.html白银票据不与密钥分发中心 KDC 交互，因此没有了 Kerberos 认证协议里的前 4 步，通过伪造的票据授予服务 TGS 生成伪造的服务票据 ST 直接与服务器 Server 进行交互。白银票据与黄金票据的区别：1、白银票据不经过 KDC，因此白银票据日志相对于黄金票据会更少，同时白银票据的日

2021-10-09 15:14:55 2012

原创【内网学习笔记】28、黄金票据

0、前言RT 在利用黄金票据（Golden Ticket）进行 PTP 票据传递时，需要先知道以下信息：伪造的域管理员用户名完整的域名域 SIDkrbtgt 的 NTLM Hash 或 AES-256 值其中 krbtgt 用户是域自带的用户，被 KDC 密钥分发中心服务所使用，属于 Domain Admins 组。在域环境中，每个用户账号的票据都是由 krbtgt 用户所生成的，因此如果知道了 krbtgt 用户的 NTLM Hash 或者 AES-256 值，就可以伪造域内任意用户的身

2021-09-27 16:44:59 482

原创【内网学习笔记】27、Kerberos 域用户提权漏洞

0、前言在 2014 年微软修复了 Kerberos 域用户提权漏洞，即 MS14-068，CVE 编号为 CVE-2014-6324，该漏洞影响了 Windows Server 2012 R2 以下的服务器，该漏洞允许 RT 将任意用户权限提升至域管级别。不过从漏洞年代就知道这已经是个远古时代的漏洞，现实中已经很少会碰到了，这里就简单记录下，顺便熟悉熟悉工具的用法。14-068 产生的原因主要在于用户可以利用伪造的票据向认证服务器发起请求，如果用户伪造域管的票据，服务端就会把拥有域管权限的服务票据返

2021-09-24 10:28:06 1770

原创【内网学习笔记】26、ntds.dit 的提取与散列值导出

0、前言在活动目录中，所有数据都保存在 ntds.dit 文件中，ntds.dit 是一个二进制文件，存储位置为域控的 %SystemRoot%\ntds.ditntds.dit 中包含（但不限于）用户名、散列值、组、GPP、OU 等与活动目录相关的信息，因此如果我们拿到 ntds.dit 就能获取到域内所有用户的 hash在通常情况下，即使拥有管理员权限，也无法读取域控中的 ntds.dit 文件（因为活动目录始终访问这个文件，所以文件被禁止读取），它和 SAM 文件一样，是被 Windows 操作

2021-09-09 22:35:00 1330

原创【内网学习笔记】25、Exchange 邮件服务器

1、Exchange 的基本操作在 Exchange 服务器上的 PowerShell 里进行以下操作将 Exchange 管理单元添加到当前会话中add-pssnapin microsoft.exchange*查看邮件数据库Get-MailboxDatabase -server "dc"查询数据库的物理路径Get-MailboxDatabase -Identity 'Mailbox Database 0761701514' | Format-List Name,EdbFilePath

2021-09-08 11:08:10 2656

原创【内网学习笔记】24、SPN 的应用

0、前言SPNWindows 域环境是基于微软的活动目录服务工作的，它在网络系统环境中将物理位置分散、所属部门不同的用户进行分组和集中资源，有效地对资源访问控制权限进行细粒度的分配，提高了网络环境的安全性及网络资源统一分配管理的便利性。在域环境中运行的大量应用包含了多种资源，为了对资源的合理分类和再分配提供便利，微软给域内的每种资源分配了不同的服务主题名称即 SPN (Service Principal Name）KerberosKerberos 是由 MIT 提出的一种网络身份验证协议，旨在通过

2021-09-07 16:00:27 1155 3

原创【内网学习笔记】23、SMBExec 与 DCOM 的使用

1、SMBExec利用 SMBExec 可以通过文件共享（admin$、c$、ipc$、d$）在远程系统中执行命令，它的工作方式类似于 PsExecC++ 版C++ 版项目地址：https://github.com/sunorr/smbexec一看这个项目是 8 年前上传的了，然后试了用 VS2019 没编译成功，而且目前各大杀软也都查杀这个工具了，所以这个就不看了，直接看 impacket 里的同类工具。impacket 版在 impacket 工具包里包含了 smbexec.py 工具，使用

2021-09-04 12:05:33 1390

原创【内网学习笔记】22、PsExec 和 WMI 的使用

1、PsExecPsExec.exePsExec 在之前的文章里提到过一次，参见https://teamssix.com/210802-181052.html，今天来着重学习一下。PsExec 是 PSTools 工具包里的一部分，其下载地址为：https://download.sysinternals.com/files/PSTools.zip利用 PsExec 可以在远程计算机上执行命令，其基本原理是通过管道在远程目标主机上创建一个 psexec 服务，并在本地磁盘中生成一个名为 PSEXESV

2021-09-02 14:39:23 663

原创【内网学习笔记】21、哈希传递与票据传递

1、哈希传递哈希传递（Pass The Hash, PTH）顾名思义，就是利用哈希去登录内网中的其他机器，而不是通过明文密码登录的方式。通过哈希传递，攻击者不需要花时间破解哈希值得到明文，在Windows Server 2012 R2及之后版本的操作系统中，默认不会在内存中保存明文密码，Mimikatz 就读不到密码明文，因此此时往往会使用工具将哈希值传递到其他计算机中进行登录验证。NTLM Hash在目标主机上使用 mimikatz 获取 NTLM Hashprivilege::debugse

2021-09-01 16:23:36 1928

原创【内网学习笔记】20、Hashcat 的使用

1、介绍Hashcat 是一款用于破解密码的工具，据说是世界上最快最高级的密码破解工具，支持 LM 哈希、MD5、SHA 等系列的密码破解，同时也支持 Linux、Mac、Windows 平台。工具地址：https://hashcat.net项目地址：https://github.com/hashcat/hashcat2、安装MacMac 用户直接使用 brew 安装即可brew install hashcatLinux对于 Debain 的 Linux，比如 Kali、Ubuntu 可

2021-08-31 13:38:46 7837 1

原创【内网学习笔记】19、IPC 与计划任务

0、前言在多层代理的环境中，由于网络限制，通常采用命令行的方式连接主机，这里学习下 IPC 建立会话与配置计划任务的相关点。1、IPCIPC (Internet Process Connection) 是为了实现进程间通信而开放的命名管道，当目标开启了 IPC$ 文件共享并得到用户账号密码后，就可以使用 IPC 建立连接，获取权限。建立 IPC 连接：net use \\192.168.7.107\ipc$ "1qaz@WSX" /user:administrator输入 net use 可以

2021-08-03 16:26:21 314

原创【内网学习笔记】18、LLMNR 和 NetBIOS 欺骗攻击

0、前言如果已经进入目标网络，但是没有获得凭证，可以使用 LLMNR 和 NetBIOS 欺骗攻击对目标进行无凭证条件下的权限获取。1、基本概念LLMNR本地链路多播名称解析（LLMNR）是一种域名系统数据包格式，当局域网中的 DNS 服务器不可用时，DNS 客户端就会使用 LLMNR 解析本地网段中机器的名称，直到 DNS 服务器恢复正常为止。从 Windows Vista 开始支持 LLMNR ，Linux 系统也通过 systemd 实现了此协议，同时 LLMNR 也支持 IPv6。Net

2021-07-30 16:09:34 981

原创【内网学习笔记】17、令牌窃取

0、前言令牌（Token）是指系统中的临时秘钥，相当于账户和密码，有了令牌就可以在不知道密码的情况下访问目标相关资源了，这些令牌将持续存在于系统中，除非系统重新启动。1、MSF在获取到 Meterpreter Shell 后，使用以下命令获取令牌load incognitolist_tokens -u这里有两种令牌，一个是 Delegation Tokens 即授权令牌，还有一种是 Impersonation Tokens 即模拟令牌。前者支持交互式登录比如远程桌面，后者支持非交互的会话。

2021-07-29 11:25:58 436

原创【内网学习笔记】16、组策略凭据获取

0、前言SYSVOL 是活动目录里的一个用于存储域公共文件服务器副本的共享文件夹，在域中的所有域控之间进行复制，SYSVOL 在所有经过身份验证的域用户或者域信任用户具有读权限的活动目录域范围内共享，所有的域策略均存放在 C:\Windows\SYSVOL\DOMAIN\Policies\ 目录中。管理员在域中新建一个组策略后，系统会自动在 SYSVOL 目录中生成一个 XML 文件。该文件中保存了该组策略更新后的密码，该密码使用 AES-256 算法，但 2012 年微软公布了该密码的私钥，也就是说

2021-07-28 15:16:14 428

原创【内网学习笔记】15、系统服务权限配置不当利用

PowerUpPowerUp 可以用来寻找目标中权限配置不当的服务，下载地址：https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1在 PowerShell 中导入并执行脚本Import-Module .\PowerUp.ps1Invoke-AllChecks如果 PowerShell 由于处在受限模式以至于无法导入脚本，可以使用以下命令绕过。powershell.exe -exec bypa

2021-07-22 18:01:24 338 2

原创【内网学习笔记】14、发现主机缺失补丁

0、前言在内网中，往往所有主机打补丁的情况都是相似的，因此在拿下一台主机权限后，可以通过查看当前主机打补丁的情况，从而找到漏洞利用点，进而进行接下来的横向、提权等操作。1、手工发现缺失补丁systeminfo直接运行 systeminfo 命令，在「修补程序」（英文：Hotfix(s) ）处可以看到已安装的补丁。C:\Users\teamssix> systeminfo……内容过多，此处省略……修补程序: 安装了 2 个修补程序。 [01]: KB2999226

2021-07-06 16:14:05 811 2

原创【内网学习笔记】13、内网中绕过无法上传文件限制

1、前言有次发现这样的一个情况，目标云桌面不出网且不允许上传文件但是可以复制文本，于是便想着通过 PowerShell 将 exe 程序编码成 base64 文本，将编码后的内容复制到目标主机后，再进行解码，这里记录下方法。2、PowerShell使用 PowerShell 进行 base64 编码$PEBytes = [System.IO.File]::ReadAllBytes("fscan.exe")$Base64Payload = [System.Convert]::ToBase64Stri

2021-07-01 21:34:33 675

原创【内网学习笔记】12、nps 的使用

1、介绍nps 项目地址：https://github.com/ehang-io/nps也是一款还在更新的内网穿透工具，相较于 frp，nps 的 web 管理就要强大很多了。nps 和 frp 一样功能都很多，这里就主要记录下平时经常用到的 SOCKS5 代理模式。2、安装nps 不同于 frp 的开箱即用，nps 的服务端需要安装才能使用，这里以 kali 下的安装为例。在 nps 项目的 releases 中下载好自己对应系统的版本后，解压安装tar -zxvf linux_amd64_

2021-06-12 21:48:44 936

原创【内网学习笔记】11、frp 的使用

1、介绍相较于前一篇文章介绍的 ew 的年代久远，frp 就好的多了，基本上隔几天就会发布新的版本，最新的一版更新还就在几天前。在实战中，大家较多使用的也是 frp，frp 项目地址：https://github.com/fatedier/frp至于下载安装直接在项目的 releases 里下载自己对应的系统版本就行。2、使用官方使用文档：https://gofrp.org/docs/frp 分成服务端和客户端，分别叫 frps 和 frpc，配置文件分别对应 frps.ini 和 frpc.i

2021-06-11 17:36:51 445 3

原创【内网学习笔记】10、ew 的使用

1、Socks 代理工具介绍Socks 代理可以理解成升级版的 lcx，关于 lcx 的用法可以看我之前的文章：https://teamssix.com/year/210528-130449.html但是 lcx 毕竟年代久远，现在的杀软基本也都能识别到了，因此在实战中不太推荐使用 lcx ，更推荐使用这些 socks 代理工具。常见的 socks 代理工具有 ew、termite、frp、nps、sSocks、reGeorg、Neo-reGeorg、SocksCap、Proxifier、Proxy

2021-06-10 19:56:26 6289

原创【内网学习笔记】9、iodine 使用

1、介绍iodine 这个名字起的很有意思，iodine 翻译过来就是碘，碘的原子序数为 53，53 也就是 DNS 服务对应的端口号。iodine 和 dnscat2 一样，适合于其他请求方式被限制以至于只能发送 DNS 请求的环境中，iodine 同样也是分成了直接转发和中继两种模式。iodine 与 dnscat2 不同的在于 Iodine 服务端和客户端都是用 C 语言开发，同时 iodine 的原理也有些不同，iodine 通过 TAP 在服务端和客户端分别建立一个局域网和虚拟网卡，再通过

2021-06-08 22:07:27 454 2

原创【内网学习笔记】8、powercat 的使用

1、下载安装 powercatpowercat 可以视为 nc 的 powershell 版本，因此也可以和 nc 进行连接。powercat 可在 github 进行下载，项目地址为：https://github.com/besimorhino/powercat下载下来 powercat.ps1 文件后，直接导入即可 Import-Module .\powercat.ps1如果提示未能加载指定模块，则可能是权限问题，可以参照之前写的【内网学习笔记】2、PowerShell 文章中的方法对其赋

2021-06-01 16:05:42 486 1

原创【内网学习笔记】7、lcx、netcat和socat的使用

1、lcx 使用lcx 分为 Windows 版和 Linux 版，Linux 版叫 portmapWindows内网端口转发内网失陷主机lcx.exe -slave rhost rport lhost lport公网代理主机lcx.exe -listen lport1 lport2内网失陷主机lcx.exe -slave 123.123.123.123 4444 127.0.0.1 3389公网代理主机lcx.exe -listen 4444 5555在建立连接后，访问

2021-05-28 13:24:55 720

CSRFTester.zip

空空如也