- 博客(457)
- 资源 (23)
- 收藏
- 关注
RSS订阅
原创 内网渗透学习手册
内网渗透是指获取目标服务器控制权后,通过内网信息收集、内网代理、权限提升、横向移动等技术,对其所处的内网环境进行渗透,并最终获取内网其他主机权限、数据的过程,如域控制器、运维主机、服务器、管理后台、敏感数据等。
2023-05-24 14:20:03
710
原创 漏洞复现篇
weblogicWebLogic T3 协议反序列化远程命令执行(CVE-2020-2883)Weblogic Server远程代码执行漏洞(CVE-2021-2109 )apacheStruts2 S2-061 远程命令执行漏洞(CVE-2020-17530)Apache Druid RCE(CVE-2021-25646)Apache Tomcat 文件包含漏洞(CVE-2020-1938)Apache Flink(CVE-2020-17518/17519)任意文件上传和路径遍
2021-03-03 15:18:46
18152
2
原创 /etc/shadow文件详解
etc/shadow 是 Linux 系统中存储用户加密密码的文件,每行对应一个用户的加密信息。该文件只有系统管理员 root 用户可以访问。
2024-03-11 12:41:12
1060
原创 突破PHP disable_functions方法
在访问过程中,putenv()函数将我们写好的恶意动态链接库文件赋值给LD_PRELOAD环境变量,然后在调用mail()和error_log的时候,Linux会执行系统程序sendmail,但是在执行sendmail的main函数之前,会先执行我们设计好的用了__attribute__ ((__constructor__))参数修饰的恶意函数,从而导致了命令的执行。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。访问test.php。
2023-12-26 11:04:31
1302
1
原创 点击劫持:X-Frame-Options 未配置
Clickjacking(点击劫持)是一种安全漏洞,通常出现在网站未配置适当的安全标头时,该漏洞由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。当网站未配置X-Frame-Options头时,它可能受到点击劫持攻击的威胁。这意味着攻击者可以在其恶意网站中将目标网站嵌套到iframe中,并引导用户执行未经授权的操作,使用户不知情地与目标网站互动。
2023-10-12 08:47:39
1521
原创 禁用Chrome自动更新
chrome浏览器会强制用户自动更新,每次点击关于google时,会自动检测更新并下载,非常不好。文件夹的所有组/用户的权限设置为拒绝即可。
2023-10-09 15:51:25
393
原创 Bypass | Windows中的文件下载方法
有时候我们可以执行命令,我们想上线cs,但是主机上存在杀软,使用一般的方式都会被拦截,此时如何下载文件进行上线了?
2023-09-04 14:33:11
671
原创 vCenter 漏洞利用总结
VMware vCenter是VMware公司推出的集中化虚拟化管理平台。它是VMware vSphere虚拟化解决方案的核心组件之一。vCenter的主要功能是管理和监控整个vSphere虚拟化基础架构,包括多个ESXi主机和虚拟机。vSpherevSphere是VMware的虚拟化平台的总称,它是一套完整的虚拟化解决方案,包括了多个组件和功能,用于构建和管理虚拟化环境。
2023-07-24 16:13:47
2263
原创 Apache RocketMQ RCE漏洞复现(CVE-2023-33246)
RocketMQ在其5.1.0版本及以前存在一处命令执行漏洞,攻击者通过向其更新配置相关的功能发送指令即可更新任意配置项,并通过配置项中存在的命令注入功能执行任意命令。
2023-06-15 14:07:02
1378
原创 IIS6.0 put文件上传GetShell
当IIS服务器开启了webdav服务扩展,又设置了来宾账户对web目录拥有写入权限时,可以被恶意攻击者利用,直接上传恶意文件。
2023-05-24 18:36:11
1663
原创 SQlserver提权方法
sql server提权(执行命令)主要依赖于sql server自带的存储过程。目的:sqlserver权限 —> 系统权限存储过程是一个可编程的函数,它在数据库中创建并保存,是存储在服务器中的一组预编译过的T-SQL语句。数据库中的存储过程可以看做是对编程中面向对象方法的模拟。它允许控制数据的访问方式(可以将存储过程理解为函数调用的过程),使用execute命令执行存储过程。主要分为系统存储过程、扩展存储过程、用户自定义的存储过程三大类。
2023-05-24 13:55:54
1802
原创 渗透实战-api越权遍历批量获取个人信息
查看请求数据,其中一条请求数据如下,系统通过userId值回显账号相关信息,其中涉及账号、hash密码、邮箱,手机号等一些敏感信息
2023-05-24 13:39:12
538
1
原创 一道php反序列化题的pop链构造
题目代码如下,其中像套娃一样,多次对魔术方法进行调用,挺烧脑。根据题目,显然目标是echo $flag。最后提交反序列化字符串,获取flag。最后我们用代码实现pop链的构造。然后访问,输出反序列化字符串。需要把var改为私有属性。倒退分析后,接着正推。
2023-05-19 17:18:39
1004
原创 sql注入详解
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
2023-05-05 11:46:55
185198
17
原创 【某区护网】从外网打点到拿下域控
前端时间刚结束了攻防演练活动,其中一项成果为拿下某集团域控制器权限,直接控制域内主机5000多台。以下为攻击过程的粗略记录,整体来说还是比较容易。
2023-04-28 10:57:40
1981
6
原创 web渗透之jwt 安全问题
JWT 全称 JSON Web Token,是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。原始的 Token 只是一个 uuid,没有任何意义。JWT 包含了部分业务信息,减少了 Token 验证等交互操作,效率更高。
2023-03-21 10:31:44
1407
原创 Stowaway搭建多级网络代理
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具,用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能。在win2012-1上执行,使用秘钥123连接控制端8000端口,并设置重连间隔时间,当控制端掉线时客户端每隔8s重连控制端。当客户端连接控制端后,使用detail就可以查看到目前有哪些客户端已经连接,使用use 节点,然后会进入这个节点的控制面板。被动模式: 指当前操作的节点监听某个端口,等待另一个节点连接。
2023-03-21 09:08:31
2799
原创 Windows中使用findstr查找敏感文件账号密码
在内网渗透时,翻找主机文件是否存在账号密码是很重要的一个步骤,而这一过程很耗时,目前也没什么好用的工具,所以借助于cmd自带的findstr进行查找,如下为自己研究整理的查找命令。./* 表示当前目录下的所有文件,不包括子目录。/S 在当前目录和所有子目录中搜索匹配文件。findstr用于在文件中搜索字符。/P 忽略有不可打印字符的文件。
2023-03-15 13:06:59
531
原创 分享一个应急响应web日志:access.log文件分析小工具
有时做应急响应的时候,需要提取web日志如access.log日志文件来分析系统遭受攻击的具体原因,由于开源的工具并不是很好用,所以自己用Python写了一个简单的日志分析工具
2023-03-08 09:21:09
2936
1
原创 NTLM协议原理分析
NTLMv1与NTLM v2最显著的区别就是Challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash,NTLM v1的Challenge有8位,NTLM v2的Challenge为16位;客户端收到质询消息后,会使用步骤1中缓存的服务器的NTLM hash对Challenge进行加密生成Response,接着再生成Net-NTLM hash=Challenge+Response+用户名等,再将Net-NTLM hash封装到身份验证消息中发往服务器。密码的哈希值格式如下。
2023-03-08 09:07:46
1429
2
原创 利用DSCync进行域内权限维持
一个域环境可以拥有多台域控制器,每台域控制器各自存储着一份所在域的活动目录的可写副本,对目录的任何修改都可以从源域控制器同步到本域、域树或域林中的其他域控制器上。当一个域控想从另一个域控获取域数据更新时,客户端域控会向服务端域控发送DSGetNCChanges请求,该请求的响应将包含客户端域控必须应用到其他活动目录副本的一组更新。通过情况下,域控制器之间每15分钟就会有一次域数据同步。DCSync技术就是利用域控制器同步的原理,通过DRS服务的某接口向域控发起数据同步请求。
2023-03-02 17:32:52
454
原创 利用SID History建立隐蔽域后门
SID History是一个支持域迁移方案的属性,使得一个账户的访问权限可以有效的克隆到另外一个账户,这在域迁移过程中非常有效。例如,当Domain A中的用户迁移到Domain B时,会在Domain B中创建一个新的用户账户,并将Domain A用户的SID添加到Domain B的用户账户的SID History属性中。在实战中,红队人员可以将域管理员用户的SID添加到其他域用户的SID History属性中,以此建立一个隐蔽的域后门。通过powershell查看yuwin7用户的属性。
2023-03-02 17:28:28
233
原创 域权限维持之创建DSRM后门
DSRM 账号可以作为一个域控制器的本地管理员用户,可通过网络连接域控制器,进而控制域控。如果要使用 DSRM 账号通过网络登录域控制器,需通过注册表将该值设置为 2,从而允许DSRM账号在任何情况下都可以登录域控制器。DSRM(目录服务还原模式),在初期安装域控的时候会让我们设置DSRM的管理员密码,这个密码是为了在后期域控发生问题时修复、还原或重建活动目录。0:默认值,只有当域控制器重启并进入 DSRM 模式时,才可以使用 DSRM 管理员账号。此时,红队人员可以通过DSRM账户对域控制器进行控制了。
2023-03-02 17:23:09
652
原创 域权限维持之创建Skeleton Key后门
微软在2014年3月添加了LSA保护策略,用来防止对lsass.exe进程的内存读取和代码注入,该策略默认不开启。所以当开启了LSA保护策略时,使用mimikatz注入万能密码或抓取账号密码时会报“ERROR kuhl_m_misc_skeleton;通过给域控制器账号安装万能密码,同时原有密码仍然有效。该技术通过注入lsass.exe进程实现,创建的万能密码仅保留在内存中,当域控重启万能密码则失效。在域控中执行,将万能密码注入域控制器的 lsass.exe 进程,默认密码为“mimikatz”
2023-03-02 17:17:04
253
原创 kali apt-get update时显示签名无效
再次执行 apt-get update 问题解决。输入如下的命令,将显示的无效的签名进行替换。
2023-02-24 13:03:09
1383
1
原创 利用scp命令上传下载文件
scp 是 secure copy 的缩写,基于 ssh 协议,用于在 Linux 之间复制、下载文件或目录。scp 是加密的,rcp 是不加密的,scp 是 rcp 的加强版。如果windows能使用ssh命令,则也可以使用scp在windows与linux之间传递文件。
2023-02-21 17:51:58
3343
原创 CVE-2021-42278 & CVE-2021-42287域内提权漏洞
2021 年 11 月 9 日,国外研究员在推特上发布了AD相关的 CVE,CVE-2021-42278 & CVE-2021-42287 ,两个漏洞组合可导致域内普通用户权限提升至域管权限。是一个安全绕过漏洞,允许通过修改机器账户的sAMAccountName属性来冒充域控制器。与标准用户相比,机器账户的名字以$结尾,但AD并没有验证域内机器账户中是否有$,导致机器账户可以被假冒。是影响Kerberos特权属性证书(PAC)的安全绕过漏洞,允许通过假冒域控制器,使密钥分发中心KDC创建高权限票据。
2023-02-17 13:09:09
2721
原创 获取主机RDP连接凭据
为了避免每次连接服务器都进行身份验证,经常使用RDP的用户可能勾选保存连接凭据,以便进行快速的身份验证。使用找到的Masterkey的值破解指定的凭据文件6A538A1931101CE75C0D949EF75C9CDC,如下成功破解,得到rdp明文。得到的pbData就是凭据的加密数据,guidMasterKey是该凭据的GUID,记录guidMasterKey的值。如下,Credentials目录下保存了一个历史连接凭据,但其中的凭据是加密的。获取rdp加密凭据中的guidMasterKey值。
2023-02-09 10:13:14
1058
原创 frp构建多级网络代理
frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议,采用 Golang 编写,支持跨平台,仅需下载对应平台的二进制文件即可执行,没有额外依赖。frp可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。且frp不会被杀软查杀!!frp 有windows和linux两个版本, 主要包含以下文件:frps,服务端程序;frps.ini,服务端配置文件。frpc,客户端程序;frpc.ini,客户端配置文件。
2023-02-01 16:52:43
2821
2
原创 LCX端⼝转发
LCX是一款十分经典的内网端口转发工具,基于Socket套接字,具有端口转发和端口映射的功能。但是目前很多杀软已经将其加入了特征库,在实际利用的时候需要自行做免杀处理。lcx有三个功能:第一个功能将本地端口转发到本地另一个端口上第二个功能将本地端口准发到其他主机某个端口上(端口映射)第三个功能是进行监听并进行转发使用, 提取码:fn9o。
2023-01-31 14:45:05
1105
原创 CVE-2021-36934提权复现
该漏洞由于Windows中多个系统文件的访问控制表(ACL)过于宽松,使得任何标准用户都可以从系统卷影副本中读取包括SAM、SYSETM、SECURITY在内的多个系统文件。得到用户的哈希值后,可以对其进行暴力破解,也可以直接使用本地管理员用户进行哈希传递,从而获取system权限。系统保护在windows系统中默认启动,因此如果已创建还原点,那么标准用户可直接从卷影副本中访问SAM、SYSETM、SECURITY文件。若系统中不曾创建过还原点,那么后面导出哈希时,ntlm哈希为。系统保护开启(默认开启)
2023-01-31 09:27:02
1186
ptscan web应用资产扫描器
2022-11-20
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人