m0_57221101的博客

之前一直不懂怎么用IDA查找字符，今天简单研究了一下，明白了一点。就是用f12加shift（研究了半天68键的键盘怎么打出f12.。。原来是fn加等号）今天的题也很简单，利用过程只需要明白32位程序的参数构成，和返回地址位置就可以了，这个我往期的文章有提到。没随机编址，只有禁止数据段执行，32位程序看一下静态有一个system函数，还有一个名字非常直白的函数，打开看看提前下班了，属于是。简单的read栈溢出，加上一个88h的buf参数，使用了system函数，代表我们也可以调用。最后查一下字符串出现/bin

BUUCTF在线评测 (buuoj.cn)还是buu的题，这次没什么好讲的，一道送分题，但是明白了一个道理，不要太相信ida 的伪代码，那玩意的作用是帮你快速看明白题是在干什么，而不是帮你弄清楚做出这道题的细节。尤其是数据长度部分那么直接来分析首先可以看到，只有NX，和部分RELRO保护ida静态分析也是非常干脆的给出了后门程序主函数更是简单，用scanf来输入一个数字，把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小（看伪代码此处说只有十二个，其实有16个，非常折磨

BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样，都是使用源程序中不存在的函数来进行攻击，区别在于此次没有给出libc的版本，我们需要自己暴漏libc的版本以及本次的64位程序，在传参上和32位程序的一些不同闲话少叙，后面需要的知识点我们后面再学，我们便分析边聊checksec分析64位的程序，只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断

​ 我们在之前的机器中，通常就是利用一段程序中代码段下已有的指令来实现我们得到flag或者拿下shell的目的。但是抛出了一个问题，如果程序中没有危险语句，就无从下手。​ 所以，此次我们引出了一个概念，动态链接库libc。这也解决了我一直以来的问题，为什么call的函数点进去只能看到return，因为声明的函数并不在代码的cs段内，而是应用了随机化存储，存在内存的其他地方了。​ 之后通过某些方法调用，这个某些方法这事以后的事情了。闲话少叙，我们开始今天的日行一pwn。开始例行检查，开启了

Generally , This target seems really easy . It is like a personal PC pentest but unfortunately I had never to think about how to attack a personal PC . And the author likes set rabbit hole very much .ScanIt opened three ports 22,80,111Without 111 ,

Scannmapnmap 192.168.61.88 -p 22,80,3306 -sCVStarting Nmap 7.92 ( https://nmap.org ) at 2022-05-13 09:26 CSTNmap scan report for 192.168.61.88Host is up (0.23s latency).PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.9p1 Debian...

还是来自于BUUCTF的机器，今天的很简单，就是单纯的考察了read函数的漏洞，以及对64位寄存器的理解开始首先还是经典查壳和内存保护，发现啥也没有，是很简单的机器。然后IDA反编译一下，由于是64位的软件所以需要IDA64main函数首先可以看到主函数中知识调用了write函数，并输出了Hello， Worldn这么几个字到终端。之后调用了vulnerable_function函数因为反汇编并不会给出类似于write这种函数的定义，所以需要熟悉汇编的同学自行根据效果来

用俩图床，有的有水印，有的没水印，折磨距离上一次日行一pwn已经快一个月了，干脆改成月行一pwn吧（汗。这段时间去恶补了王爽老师的汇编语言。结果一回来就做了这么一道题，函数封装的严严实实，打眼一看全是C++。想入门pwn这么难吗。正片BUUCTF在线评测使用BUUCTF靶场，首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编发现只有一个NX保护NX保护就是CPU不会执行放在内存段中的代码，也就是我们之前在BOF中学习的像内存中写入Shell的方法

漏洞编号MS14-068的漏洞，将允许任意用户提升到域管理员的权限，补丁编号则是KB3011780原理分析​ 在之前提到白银票据攻击的时候，我们仿佛默认了一个用户可以访问任何的服务。但事实上，往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念，PAC包含了用户的ID，组ID一类的认证信息。进一步的PAC的分析，请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接，将导向daiker大佬的文章​ 在这里PAC权限验证机制产生漏洞的原因是

一.系统命令1.快捷操作此板块用于记录用于操作meterpreter的指令sessions #查看全部会话 –h 查看帮助sessions -i <shell ID> #进入会话 -k 杀死会话background #将当前会话放置后台run #执行已有的模块，输入run后按两下tab，列出已有的脚本info #查看已有模块信息2.基础系统命令getuid # 查看权限 getpid # 获取当前进程的pidsysinfo # 查看目标机系

必看！工具缺陷berbrute工具当使用密码喷洒功能的时候会导致一个问题，密码参数作为独立一个参数会被密码本身存在的特殊字符中断，比如#,$,@一类的东西。解决方案是先用用户枚举看到用户都有什么之后，用密码爆破把想要喷洒的密码放在文本文件中，就可以实现用户枚举（UserEnum）原理在AS_REQ过程中传递的用户信息在AD中存在与否，AS给返回的状态信息不一致，存在的用户还会额外返回e-data数据 三种状态码 KRB5DC_ERR_PREAUTH_REQUIRED需要额外的预

AD域渗透的第二篇，托更一下Kerberos协议的分析文章，等到攻击手法研究明白了，再把协议分析放上来，防止像那些理解不明不白的人写的东西一样祸害人。发生情况在高版本的windows server下账号密码不再以明文的方式保存，转而以hash的形式储存，但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证，模拟用户登录原理由于验证原理的问题密码是在本地计算成hash，然后使用hash加密时间戳作为pre-Authention-data来上传，因此如果我们使用自己的脚

好久以前做的机器最近一直在研究AD域忘记发了，依旧是在PGP上练习写英文的版本，词汇量很小，感兴趣的朋友可以看看，顺便帮我挑挑语法错误（bushi）Port Scan21 vsftpd 3.0.3 22 OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) 80 nginx 1.14.2 139 445 netbios-ssn Samba smbd 4.9.5-Debian (workgroup: WORKGRO

在这里记录自己做渗透测试的时候遇到的杂七杂八的SSH问题，慢慢更新，遇到新的问题会往上放SSH密码爆破hydra -l seppuku -P password.lst 192.168.87.90 ssh建议在知道用户名的情况下使用密码爆破，ssh不同于http，线程只能开到4SSH指纹验证首次连接到Linux系统时，SSH会提示您接受计算机的指纹以成功建立连接，因为“known_hosts”文件中没有指纹。指纹是系统公钥的简化版本。# 初次连接验证指纹The authentic

过两天研究明白kerberos协议里每次发包中各个参数的含义之后，会发一个协议的详细解析，也许能帮助大家比较详细的理解这套协议。敬请期待以下演示环境借用红日团队vulnstack2域环境，感谢工具gentilkiwi/mimikatz: A little tool to play with Windows security (github.com)也可以使用kali中帮你预编译好的，直接输入mimikatz就会告诉你在哪黄金票据原理黄金票据攻击发生在我们知道域中的tgt验证用户k

原理分析什么是UDF所谓UDF 就是user define function的简称，就是用户自定义函数，用户可以添加函数到mysql中实现功能的扩充，调用方法和一般函数一样类似于database()，但这一功能也导致了自定义函数中可能包含了恶意函数（系统命令），然后恶意的指令被以更高的权限执行后，实现提权的手段。一般无论是库站分离的服务器，还是库站在一台服务器的情况，我们都是先拿下www的权限之后才有机会接触到数据库连接，毕竟没有多少人会真的打开3306端口把数据库对公，因此我们获得一个数据库的

考虑了很久，还是决定把英文的报告放上来供大家加参考，毕竟参加OSCP证明是需要英文报告的，不练习英文确实过不了，以后大部份报告会以英文报告形式发出，不会有难词，都是简单词，有小学水平就能看懂 ，如果有懂英文的码友，非常欢迎指出我的语法错误ScanningUsingnmapto begin with basic port scanning on the target machine .port server 21 vsftpd 3.0.3 22 OpenSSH 7.9..

linux2.2之后,产生了Capabilities用于分隔root权限，以便于用户更好，更安全，更精细的管理机器的功能和权限。具体的相关与capabilities的使用方面知识可以去参考这篇文章Linux Capabilities 简介 - sparkdev - 博客园 (cnblogs.com)这里仅讨论对提权有帮助的CAP_SETUID标志操作首先需要探查有CAP_SETUID标志的进程/usr/sbin/getcap -r / 2>/dev/null这样来找到进程

考虑了很久，还是决定把英文的报告放上来供大家加参考，毕竟参加OSCP证明是需要英文报告的，不联系英文确实过不了，以后大部份报告会以英文报告形式发出，不会有难词，都是简单词，有小学水平就能看懂 ，如果有懂英文的 码友 ，非常欢迎指出我的语法错误A few days long , I don't write something about OSCP test . So I decide to write two passage today about these days I do .EnumN