Adminxe-CSDN博客

原创【保姆级教学】某金融app FRIDA hook加解密算法+jsrpc=乱杀

注意：抓取https的包需要安装证书，需要注意的是，安卓7.0以下，系统信任用户安装的证书，而安卓7.0以上，系统不会信任用户安装的证书，导致无法抓取https的包，建议使用magisk+Move Certificates将证书移动到系统路径下。通过抓包，发现请求包和返回包都被加密了，但是通过观察多个请求包会发现请求体的内容都是以“#01开头”，而这正是突破口，我们可以通过反编译代码，全局搜索“#01”，来寻找加密的地方。加固的话，也是有对策的，可以使用脱壳机脱壳，使用hluda绕过frida检测。

2023-03-16 19:37:00 3089 1

原创某金融app的加解密hook+rpc+绕过SSLPinning抓包

charles抓包的时候app显示无法连接到服务器，charles提示证书的问题，怀疑可能是SSLPinning，使用抓包工具抓包时，抓包工具拦截了服务端返回的内容并重新发给客户端的时候的证书不是服务器端原来的证书了，抓包工具将原本服务器的证书替换成自己的证书，于是就构成了中间人攻击，触发SSL Pinning导致连接中断，所以就抓不到包了。console.log("==========================解密算法==============================");

2023-03-07 23:55:05 3212 1

原创小tips：解决burp光标定位不准确

解决burp光标定位不准确

2023-03-06 00:20:33 765 1

原创 ADCS攻击之CVE-2022–26923

该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。

2023-03-06 00:13:16 526

原创 Kerberos 域委派攻击之基于资源的约束性委派

CSDN自动迁移博客文章注意区别：约束性委派不能跨域进行委派，基于资源的约束性委派可以跨域和林如果约束性委派，必须拥有权限，该特权是敏感的，通常仅授予域管理员。为了使用户/资源更加独立，Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束性委派不需要域管理员权限去设置，而是把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。基于资源的约束性委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置，

2023-03-06 00:07:02 578

原创 Kerberos 域委派攻击之约束性委派

CSDN自动博客文章迁移由于非约束性委派的不安全性，微软在 Windows Server 2003 中引入了约束委派。区别在于不会直接把 TGT 给服务，所发送的认证信息中包含了允许访问的服务，即不允许服务代表用户去访问其他服务。同时为了在 Kerberos 协议层面对约束性委派的支持，微软扩展了两个子协议：S4U2SelfS4U2ProxyS4U2Self可以代表自身请求针对其自身的 Kerberos 服务票据STS4U2Proxy。

2023-03-06 00:06:32 394

原创 Kerberos 域委派攻击之非约束性委派

CSDN文章自动迁移自博客在Windows 2000 Server 首次发布 Active Directory 时，Microsoft 必须提供一种简单的机制来支持用户通过 Kerberos 向 Web Server 进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为“Kerberos 双跳问题”，并且要求进行委派，以便 Web Server 在修改数据库记录时模拟用户。Windows 2000 Server 发布的也是最初的非约束性委派。需要注意的一点是接受委派的用户只能是。

2023-03-06 00:03:26 826

原创域账户的几种攻击方式

域账户的几种攻击方式 0x01 Pre-Authentication 适用于在域外的时候，对域内的用户名进行枚举。利用Kerberos pre-auth的特性，在AS-REP中：如果进行请求的用户存在，error-code为：ERR-PREAUTH-REQUIRED 如果请求的用户不存在，error-code

2023-03-06 00:02:02 299

原创 RemotePotato0域内权限提升

NTLM中继是一项众所周知的技术，主要用于安全评估中，以便在网络中的服务器上建立立足点或用于特权提升方案。在没有为LDAP和SMB协议启用签名的网络中，这种攻击是可行的。此外，正在使用其提升的帐户身份验证到服务器和工作站中的域管理员可以为攻击者提供机会，使他们可以通过LSASS或通过使用远程马铃薯技术来转储其凭据，从而对整个域造成损害。Remote Potato是Antonio Cocomazzi和Andrea Pierini发现的一种技术，它允许攻击者将其权限从域用户提升到。

2023-03-05 23:57:19 309

原创 ADCS攻击之权限维持

CSDN文章自动迁移老文章这篇文章在社区看的，自己没有操作，就直接复制过来。制作伪造证书使用ForgeCert，参考：https://github.com/GhostPack/ForgeCert P12和PFX使用方法是一致的 CaCertPassword：导出证书时设置的密码 NewCertPassword：伪造证书添加的密码 ForgeCert.exe --CaCertPath cert.pfx --CaCertPassword "Wsx123." --Subj

2023-03-05 23:55:09 187

原创 ADCS攻击之NTLM Relay攻击 ESC8

ADCS在默认安装的时候，其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制域控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据，获取相应的权限。curl-I。

2023-03-05 23:54:29 484

原创 ADCS攻击之证书模板配置错误 ESC1

表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书。表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证。表示基于此证书模板申请新证书的用户可以为其他用户申请证书，即任何用户，包括域管理员用户。注：将生成的cert.pem先保存到txt,然后重命名为cert.pem。pem转换pfx证书,直接回车，不需要输入密码，申请TGT票据。右键复制工作站身份认证模板，做一些修改。认证后的用户/域用户随便勾一个就行了。

2023-03-05 23:45:54 742

原创 ADCS攻击之探测域内证书服务

打开组策略，计算机配置\Windows 设置\安全设置\本地策略\安全选项，找到配置 Kerberos 允许的加密类型，将下面全部勾选即可，勾选后，重新启动就可以获取TGT了。判断是否存在域，通常域控的NetBIOS名称有关键字例如DC字样，fscan也能直接识别，域控也会通常开启53&88&389&636端口。1、靶场不成功，记得恢复快照时，统一连接下桥接，同步下时间，每台机器注意网关设置下，记得同步，同步完可以禁用或者去掉桥接网卡。这种报错，有可能是时间不同步的原因，可重启环境重新测试。

2023-03-05 23:42:53 484

原创 nopac_CVE-2021-42287&42278

文章迁移CSDN：Windows域服务权限提升漏洞（CVE-2021-42287, CVE-2021-42278）是由于Active Directory 域服务没有进行适当的安全限制，导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限将任意域用户提升到域管权限（1）一个普通域成员帐户（2）域用户有创建机器用户的权限（一般默认权限）（3）DC未打补丁KB5008380或KB5008602。

2023-03-05 23:39:50 237

原创文件上传绕过的一次思路总结学习

我是来总结的，嘀嘀嘀开车了！！！0x00 测试上传正常文件这里可以判定文件名虽然是重命名，但是可控的，因为我们上传的文件名被带进去了(_1.txt)这里利用的思路主要:1.目录没有执行权限（通过控制文件名进行../../跳目录，跳到可以执行脚本语言的目录）2.上传文件找不到路径（通过控制文件名进行../../跳目录，层级跳到根目录进行访问）3.上传白名单截断（有些文件上传处是白名单，后缀名不可以绕，可以利用控制文件名截断的方式去绕过白名单，例如1.jsp%00.jpg）

2022-06-21 02:15:49 1317

原创记一次睡梦中某核酸检测系统的渗透测试

0x00 前言初来某单位，领导直接丢了一手某省的核酸检测系统让我们进行测试，并且说这是一个单系统的攻防演练的，还有分数竞赛，直接拿起锄头开始干。0x01 信息探测站点打开，除了几张图片，就是一个登录框，简单画图画一下：基本就是这个样子，没有其他功能点，抓包看下详情，shiro框架，试了下没有shiro反序列化漏洞，也没有其他功能点，扫目录什么都扫不到，看他其他端口都没有业务，开始陷入了沉思基本就是这个情况，shiro漏洞不存在，爆破也尝试了，加密很严格，拉取crypto.js..

2022-04-26 12:33:53 1860 9

原创解决ASP.NET 安装完成报错500

状态码：500报错信息：处理程序“PageHandlerFactory-Integrated”在其模块列表中有一个错误模块“Manag处理方式：vs2010默认的是4.0框架，4.0的框架是独立的CLR，和2.0的不同，如果想运行4.0的网站，需要用aspnet_regiis注册4.0框架，然后用4.0的Class池，就可以运行4.0的web项目了.aspnet_regiis注册4.0框架步骤如下：1.启动cmd (按住“win键+R”，输入“cmd”，然后回车) .

2022-04-25 14:12:17 1451

原创记一次bypass拿下主机过程

0x00 前言今天DR发来一个shell，提不上权，而且杀软挺狠，直接就开整，记录下思路。0x01 全文快览不给大佬看废话时间，突破线路如下：webshell–>突破cmd禁用–>重构EXP突破向日葵RCE–>突破提权获取lsass文件–>突破杀软查杀落地dmp文件–>突破windows defender AMSI–>突破某杀软拦截用户添加–>尝试RDP劫持–>浏览器解密碰撞密码获得权限。0x02 shell环境1、c...

2022-04-24 02:18:43 731 1

原创关于RDP劫持小技巧

一、劫持方式1：创建用户：net user test 123.com /add net localgroup administrators test /add登录后，使用mimikatz工具privilege::debug #提权 ts::sessions #查看当前主机的会话token::elevate #提升本地管理员权限为system ts::remote /id:1 #劫持id为1的会话二、劫持方式2：mimikatz命令如下：privil

2022-04-15 16:19:22 815

原创 CVE-2022-0543 Redis Lua 沙盒逃逸 RCE

0x00 背景巴西研究员 Reginaldo Silva 于 2022 年 3 月 8 日公开披露该漏洞,从他的博客得知 CVE-2022-0543 该 Redis 沙盒逃逸漏洞仅影响 Debian 系的 Linux 发行版本,并非 Redis 本身漏洞https://www.ubercomp.com/posts/2022-01-20_redis_on_debian_rce0x01 条件未授权访问或拿到账号密码目标为Debian及其衍生版0x02 原理首先,redis一直有一..

2022-03-14 00:11:14 4194 1

原创 Dirty Pipe – Linux 内核本地提权漏洞

一、漏洞简介CVE-2022-0847 是存在于 Linux内核 5.8 及之后版本中的本地提权漏洞。攻击者通过利用此漏洞，可覆盖重写任意可读文件中的数据，从而可将普通权限的用户提升到特权 root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞（Dirty Cow），但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。二、影响范围5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102

2022-03-08 21:51:03 6097 1

原创 Zabbix SAML SSO 登录绕过漏洞

一、简介zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。zabbix server可以通过SNMP，zabbix agent，ping，端口监视等方法提供对远程服务器/网络状态的监视，数据收集等功能，它可以运行在Linux，Solaris，HP-UX，AIX，Free BSD，Open BSD，OS X等平台上。该漏洞源于在启用s.

2022-03-02 13:23:18 4903

原创【漏洞复现】Linux Polkit本地权限提升漏洞（CVE-2021-4034）

0x00 漏洞描述Polkit 是用于在类 Unix 操作系统中控制系统范围特权的组件。它为非特权进程提供了与特权进程进行通信的有组织的方式。CVE-2021-4034polkit 的 pkexec 存在本地权限提升漏洞，已获得普通权限的攻击者可通过此漏洞获取root权限。该漏洞CVSS评分：7.8，危害等级：高危漏洞利用难度低，最早引入问题的 commit 来自 2009 年，影响版本范围远超去年的 sudo 漏洞。漏洞作者在Ubuntu、Debian、Fedora 和 Ce...

2022-01-26 22:26:06 1933 2

原创 Apache APISIX Dashboard 身份验证绕过漏洞（CVE-2021-45232）

0x00 漏洞描述Apache APISIX 是一个动态、实时、高性能的 API 网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。CVE-2021-45232该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架，所有的 API 和鉴权中间件都是基于 droplet 框架开发的..

2021-12-29 22:34:54 3066 4

原创 Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580)

0x00 漏洞详情Apache ShenYu（原名 Soul）是一个异步的、跨语言的、多协议的高性能响应式API 网关，并可应用于所有微服务场景。2021 年 11 月 16日，Apache发布安全公告，公开了Apache ShenYu中的一个身份验证绕过漏洞（CVE-2021-37580），该漏洞的CVSS评分为9.8。由于ShenyuAdminBootstrap中JWT的错误使用，导致攻击者可以绕过身份验证，直接进入目标系统后台。0x01 影响范围Apache ShenYu 2.3.0..

2021-12-29 22:32:33 2845

原创 CVE-2020-1472 域内提权

0x00 测试环境DC(WIN-ENS2VR5TR3N):192.168.183.130攻击机器:192.168.183.1290x01 对域控进行测试漏洞是否存在python3 zerologon_tester.py WIN-ENS2VR5TR3N 192.168.183.1300x02 使用zerologon工具将域控密码打成空（这里打空的用户是域控所在机器的账户，并不是域控账户。）python3 set_empty_pw DC_NETBIOS_NAME DC_I..

2021-12-29 20:10:29 2326

原创 Apache Log4j2漏洞复现

0x00 前言作者：Moco慢慢的距离上次写文章已过去了377天，这一年发生了好多好多的事，经历了好多好多的变故，或喜或悲、或分或合、起起落落，整整的一年了得，没怎么好好学习，没怎么认真的钻研技术，对自己表示很抱歉，违背了“白帽守则”，让我们重温一下“白帽守则”：白帽守则第一页第一条，心中无女人，挖洞自然神。白帽守则第一页第二条，只有不努力的白帽，没有挖不到的漏洞对此我深表歉意、望大家以我为戒，踏踏实实的深入贯彻落实“白帽守则”，切实维护祖国网络空间安全。0x01 漏洞描述A..

2021-12-23 13:25:25 1626

原创【漏洞复现】CVE-2021-36749 Apache Druid LoadData 任意文件读取漏洞

0x00 漏洞详情由于用户指定 HTTP InputSource 没有做出限制，可以通过将文件 URL 传递给 HTTPInputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下，构造恶意请求执行文件读取，最终造成服务器敏感性信息泄露。0x01 fofa语法title="Apache Druid"0x02 漏洞复现主界面–>Load data –>HTTP(s)–>Connect Data–>URIs(使用file://协议进行..

2021-11-18 14:40:19 3224

原创记一次攻防演练复盘之计中计

0x00 前言这两天听DR复盘，补充了很多小技能点，真的要非常细心呀，然后下面就是正文了。领导通知，让我打十天攻防，前四天，平平无奇，两个权限，web系统都是外包的，没打进核心内网。这次攻防，没有给靶标，也没有给资产，全靠自己进行信息搜集。0x01 前期信息搜集信息搜集主要以厂商系统为主，通过使用fofa，云悉，查ICP备案，APP脱壳逆向，公众号接口，小程序，天眼查查母公司以及子公司的备案和资产信息。通过能直接获取到的资产信息，进行二次信息搜集，主要是以C段,B段和目录扫描为主。..

2021-11-01 22:55:08 863 1

原创【漏洞复现】CVE-2021-22205 GitLab 未授权RCE

0x00 漏洞简介：漏洞出来第一时间，听漏洞浍测的朋友传来的情报，就及时给了POC，但一直没复现，只是简单看了文章，提到需要可以注册用户才能进行攻击，然后就感觉挺鸡肋，没有再继续看。恰巧好基友涛子给我发来他复现的文章，看了看exp，感觉并没那么鸡肋，相反可以通过未授权进行权限的获取，正好自己也复现了一手，同时借用涛子的文章给大家展现了出来。GitLab 是一个用于仓库管理系统的开源项目，使用 Git 作为代码管理工具，并在此基础上搭建起来的 Web服务。GitLab是一款Ruby开发的G..

2021-10-31 19:51:42 917

原创针对于阿里云安装SSL网站证书问题记录

小笔记，针对于阿里云安装SSL证书一事：1、申请下来证书之后，第一步要去域名控制权端，去添加MX解析记录：（图片来自网络）2、签发后，去下载具体中间件证书文件，上传到apache目录下3、放置位置，放到/usr/local/apache/cert/文件夹下面：4、上传完之后，去配置两个文件，设置解析到证书在Apache安装目录下，打开Apache/conf/httpd.conf文件配置以上文件：#LoadModule ssl_module modul..

2021-10-24 15:34:20 241

原创针对Ueditor不出网getshell的解决方法

刚才转csdn，发现az写了一个关于Ueditor不出网问题的解决问题，思路非常不错，相当于组合拳形式，然后我来做个总结：1、针对于不出网问题，可以使用127.0.0.1或者localhost进行绕过，当然绕过的前提是通过ueditor编辑器上传一张图片马，记住哈，一定要用被攻击站点的编辑器进行上传，然后获取到图片马的地址；2、第二点需要主义的就是127.0.0.1或者localhost对外开放的端口问题，利用伪协议探测端口或者强大的信息收集能力获取内网ip及端口，从而找到出口地方还是.

2021-09-18 19:26:35 702

原创关于前端加密登陆绕过的渗透思路

0x00 前端加密好就不发博客了，今天主要讲一下前端加密绕过。前端加密，判断加密类型，根据加密类型，找到对应解密形式，同时如果存在简单前端校验时，比如js绕过，base64编码，这样的话就会简单很多，但对于AES加密时，我们就首先要熟悉AES的加密规则。0x01 关于AES加密规则https://www.cnblogs.com/starwolf/p/3365834.html附上链接，AES五种加密模式（CBC、ECB、CTR、OCF、CFB）。c++源码：/***@param..

2021-08-22 12:31:46 1882 6

原创若依（Ruoyi）管理系统后台sql注入+任意文件下载漏洞

0x00若依介绍若依可以用于所有的Web应用程序，如网站管理后台，网站会员中心，CMS，CRM，OA。所有前端后台代码封装过后十分精简易上手，出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。寓意：你若不离不弃，我必生死相依0x01漏洞描述若依管理系统是基于SpringBoot的权限管理系统,后台存在sql注入、任意文件下载漏洞，可以读取数据库、服务器上的任意文件内容。0x02FOFAapp=”若依-管理系统”0x03漏洞复现SQL注入这是个..

2021-08-03 10:58:15 6618 3

原创【漏洞复现】YApi接口管理平台远程代码执行漏洞（含批量POC）

0x00简介YAPI是由去哪儿网移动架构组(简称YMFE，一群由FE、iOS和Android工程师共同组成的最具想象力、创造力和影响力的大前端团队)开发的可视化接口管理工具，是一个可本地部署的、打通前后端及QA的接口管理平台。YAPI旨在为开发、产品和测试人员提供更优雅的接口管理服务，可以帮助开发者轻松创建、发布和维护不同项目，不同平台的API。有了YAPI，我们可以很方便的测试、管理和维护多个项目的API接口，不像Swagger那样是随应用生和灭的(且线上环境下大多数须关闭)，YAPI是一个独立..

2021-07-11 00:16:15 889 3

原创【漏洞复现】绿盟BAS日志数据安全性分析系统未授权访问

0x00 FOFA语句body="WebApi/encrypt/js-sha1/build/sha1.min.js"0x01 未授权访问漏洞利用https://xxx.com/accountmanage/index转载请注明：Adminxe's Blog»【漏洞复现】绿盟BAS日志数据安全性分析系统未授权访问...

2021-07-08 14:55:52 521 1

原创 Windows Print Spooler 远程代码执行漏洞（CVE-2021-1675）

0x00 漏洞详情Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问，该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。该RpcAddPrinterDriverEx()函数用于在系统上安装打印机驱动程序。此函数的参数之一是DRIVER_CONTAINER对象，它包含有关添加的打印机将使用哪个驱动程序的信息。另一个参数，dwFileCopyFlags指定如何复制替换打印机驱动程序文件。攻击者可..

2021-07-02 23:30:14 2523 2

exp对比软件，进行提权

空空如也