@Camelus-CSDN博客

原创应急响应——IDS&IPS&msf流量&后门分析

可以通过top命令查看恶意的流量信息，可以观察到test的流量非常可疑，有一定渗透经验的话可以判断出xmrig文件是常见的挖矿文件，我们也可以将文件放在微步在线、360威胁情报平台、venuseye、安恒威胁情报中心、360威胁情报中心、绿盟威胁情报中心、AlienVault。查看windows下的定时任务列表，找到可疑文件，接下来我们就要找到这个定时任务是怎么添加上去的，即找到漏洞入口在哪里。假如说我们开放了3389远程登入端口，就可以查看计算机管理下的安全日志，会留下攻击者爆破信息。

2023-03-29 08:06:00 763 1

原创渗透测试常见问题——如何利用403&Lcx编译与端口转发&站库分离渗透

通过外网暴露的数据库弱口令、反编译或嗅探C/S客户端以及Web网站SQL注入漏洞等，在获得数据库账户密码或者利用sqlmap进入到os-shell、sql-shell，这时我们不能写入Webshel，因为这台数据库服务器中没有Web环境，但可以通过以下方式来做信息搜集和获取权限，先拿到这台数据库服务器权限，然后再尝试对Web服务器和内网其他主机进行渗透。比如从这台数据库服务器中可以得到网站和数据库的一些用户、密码等信息，在后续的内网渗透中可以很有效的帮助我们。基于扩展名，用于绕过 403 受限制的目录。

2023-03-14 22:46:12 547

原创 web安全——Mybatis防止SQL注入& ssrf漏洞利用& DNS污染&同源策略

CORS可以让跨域请求携带认证信息，例如cookie、session等，这也意味着攻击者可以通过伪造请求，获取目标网站的认证信息，从而访问目标网站的用户隐私信息或执行其他恶意操作。SSRF重绑定是一种利用SSRF漏洞的攻击技术，它利用了目标服务器上的DNS解析功能，将攻击者控制的域名绑定到目标服务器的内部IP地址上，从而实现对内部资源的访问。JSONP的请求地址是明文传输的，攻击者可以通过嗅探网络流量，获取JSONP请求中携带的信息，例如API密钥、用户ID等，从而攻击服务器或者访问用户隐私信息。

2023-03-10 16:13:00 893

原创红队APT——反朔源流量加密CSMSF证书指纹C2项目CDN域前置

MSF-OpenSsL证书-流量加密通讯2、cs-指纹特征证书修改-流量加密通讯3、CS-C2 &CDN域前置-隐藏I P防朔源封锁#章节点:投递钓鱼篇(免杀方案)，流量加密篇，其他篇(待定)

2023-03-06 19:00:02 569

原创红队APT——邮件钓鱼攻击Swaks&Office漏洞&RLO隐藏&压缩释放

该漏洞首次发现在2022年5月27日，由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件，通过ms-msdt MSProtocol URI 方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe，该程序用于运行各种疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下，恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。

2023-03-05 19:09:57 817

原创权限维持——Linux-Crontab&Strace&Alias&Rootkit

alias命令的功能:为命令设置别名定义: alias ls = 'ls -al'删除: unalias ls即每次输入ls命令的时候都能实现ls -al。隐藏连接: /reptile/reptile_ cmd udp hide显示连接: /reptipe/reptile_ cmd tcp show

2023-03-04 23:06:18 741

原创内网安全——权限维持SSP&HOOK&SID& DSRM&Skeleton

SSP即Security Support Provider（安全支持提供者）是一个用于实现身份验证的DLL文件，主要用于Windows操作系统的身份认证功能。当操作系统启动时SSP会被加载到lsass.exe进程中，由于lsass可通过注册表进行扩展，导致了在操作系统启动时，可以加载一个自定义的dll，来实现想要执行的操作。当我们在域环境内对LSA进行拓展自定义DLL文件时，就能够获取到lsass.exe进程中的明文密码，即使修改密码重新登陆，我们依旧可以获得密码，达到域权限维持的效果。

2023-03-01 21:24:11 938

原创 SaltStack 远程命令执行漏洞（CVE-2020-16846）

SaltStack是基于Python开发的一套C/S架构配置管理工具。2020年11月SaltStack官方披露了允许用户执行任意命令。组合这两个漏洞，将可以使未授权的攻击者通过Salt API1、在vulhub上启动docker2、访问docker靶机3、使用BP抓包访问地址4、更改请求为POST并且插入请求体，如下补充：要严格使用URL编码，同时符号 | 的作用是取后部分内容。5、写一个sh文件里面是反弹shell的命令。

2023-02-26 12:24:01 681

原创内网安全——ssH协议&Windows&Linux密码获取hashcat

我们配置服务器时打开关联密钥时，此次漏洞就可能存在。Hashcat号称宇宙最强密码破解工具，其是一款开源软件，有针对Windows、Mac和Linux的版本，支持CPU、GPU、APU、DSP和FPGA等多种计算核心，支持多种hash散列算法，

2023-02-20 21:42:05 2181

原创内网安全——横向移动&非约束委派&约束委派&资源的约束委派

委派攻击分类:1、非约束性委派2、约束性委派3、基于资源的约束性委派横向移动-原理利用约束委派非约束委派。

2023-02-18 10:39:54 624

原创内网安全——域控提权-CVE-2020-1472&NTLM中继攻击

webserver@ #45mary-pc@#45sqlserver@#45条件:通讯双方当前用户密码一致。受害主机:web页面，出网:互联网站点都可以，不出网:1、没有网络被控主机上建立http 2、部分出网，能出http互联网站点都可以，不能出http互联网站点不可以被控主机（跳板机）上建立http

2023-02-16 09:48:51 454

原创应急响应——GScan&rkhunter&配合日志分析&Rootkit检测

首要任务:获取当前WEB环境的组成架构(语言，数据库，中间件，系统等)PHP:常规后门]查杀检测后，中间件重启后删除文件即可。JAVA: 河马版本，其他优秀项目

2023-02-14 20:02:40 592

原创 Python安全开发——Scapy流量&监控模块watchdog

漏洞攻击-先监控流量（有的会涉及AI算法）发现攻击预警(流量监控)文件分析-发现新出文件（流量异常）将文件上传至平台分析(文件监控)文件处置对文件进行隔离处置(删除或重命名) (平台分析)

2023-02-12 11:24:32 1109 1

原创内网安全——横向移动&系统漏洞&域控提权CVE-2021-42287&CVE-2022-26923

当windows系统的Active Directory证书服务(cs) 在域上运行时，由于机器账号中的aiNSHostName属性不具有唯一一性，域中普通用户可以将其更改为高权限的域控机器账号属性，然后从Active Directory证书服务中获取域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。Win8.1、winl0、 win11、winServer2012R2、winServer2016、WinServex2019、WinServer2022等版本。再进入会话进行漏洞检测。

2023-02-10 11:22:31 576

原创 Python安全开发——socket端口扫描&多线程&客户端（服务端）建立

import socket#socket库导入import subprocess#执行cmd命令并输出的一个功能import time def connectHost(ht,pt) :再尝试用参数模式传入，直接在该脚本下调用cmd窗口即可。紧接着我们添加信息队列，保证线程的正常运行。再进行打包为exe，和nc功能类似。

2023-02-09 22:51:44 413

原创 Python安全开发——WEB爬虫库&数据解析库

这样我们就获取目标地址的html文本，紧接着就要处理返回数据，熟练的师傅可以使用re处理，这里使用入门级的Beautiful，基本语法参考下面文章。如果username=字典，password=字典，进行批量发送，这不就是一个后台爆破脚本吗?请求方式&POST提交&带入请求头s回显处理&加入代理等。比如说我们需要获得a标签中的上海交通大学，我们尝试使用。再将爬取到的数据保持到本地文本中。这样就获取该class的内容。同样思路固定class值。再获取a标签里面的内容。

2023-02-08 13:40:36 728 1

原创红队APT——网络钓鱼SPF&Swaks&Gophish

发件人策略框架(SeAder Policy Framework) 电子邮件认证机制，中文译为发送方策略框架,主要作用是防止伪造邮件地址。标题3、配置触发页面(钓鱼用)4、配置收信人地址(批量套)

2023-02-06 14:01:29 837

原创内网安全——横向移动&Exchange探针&爆破&漏洞

Exchange Server 是微软公司的一套服务组件，是个消息与协作系统。简单而言，Exchange server可以被用来构架应用于、学校的。Exchange是收费邮箱，但是国内微软并不直接出售Exchange邮箱，而是将Exchange、三款产品包装成Office365出售。Exchange server还是一个协作平台。在此基础上可以开发工作流，，Web系统或者是其他消息系统。

2023-02-04 13:56:53 891

原创内网安全——横向移动-RDP&WinRM&Kerberoast攻击

请求的Kerberos服务票证的加密类型是RC4_ HMAC_ MD5, 这意味着服务帐户的NTLM密码。如果我们有-一个为域用户帐户注册的任意sPN,那么该用户帐户的明文密码的NTIM哈希值。Dc在活动目录中查找sEN,并使用与sPN关联的服务帐户加密票证,以便服务能够验证用。黑客可以使用有效的域用户的身份验证票证(TGT)去请求运行在服务器上的一一个或多个。黑客将收到的rGs票据离线进行破解，即可得到目标服务帐号的HASH,这个称之为。双方都启用的winrm rs的服务，使用此服务需要管理员级别凭据。

2023-02-03 15:10:35 513

原创内网安全——横向移动 PTH -NTIM&PTK-AES256&PTT -漏洞&内存

知识点:1、横向移动-PTH -NTIM2、横向移动-PTK-AES2563、横向移动-PTT -漏洞s内存-连接方向:正向a反向(基础课程有讲过)-内网穿透:解决网络控制上线s网络通讯问题-隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网)-代理技术:解决网络通讯不通的问题(利用跳板机建立节点后续操作)#代理隧道系列点:1、判断什么时候用代理2、判断什么时候用隧道3、判断出网和不出网协议4、如何使用代理建立节点并连接。

2023-02-02 17:25:41 576

原创内网安全——域横向移动-WMI&SMB&Proxychains&CrackMapExec

WMI是通过135端口进行利用，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。利用SMB服务可以通过明文或hash传递来远程执行，条件445服务端口开放。再生成后门，放在wwwroot目录下，等待下载。当然也可以通过建立节点进行操作，如下。第一条命令是下载，第二条命令是执行。将后门放在跳板机上，等待访问下载。再调用程序，得到一定的权限。上传wmiexec. vbs。

2023-02-01 13:47:05 479

原创内网安全——横向移动&IPC&Socks&Pysatexec

域横向移动-IPC-套件版- Impacket-atexec,impacket -atexec该工具是一一个半交互的工具，适用于webshell下，Socks代理下;IPC是专用管道，可以实现对远程计算机的访问，需要使用目标系统用户的账号密码，使用139、445端口。可以看到我们拿到了DC的hash值，再进行横向移动，再利用本地的Impacket上线。域控提权漏洞，约束委派，数据库攻防，系统补丁下发执行，EDR定向下发执行等。之前介绍的代理技术这里可以用到，解决上线通讯问题。

2023-01-31 18:53:28 468

原创内网安全——穿透上线Ngrok&Frp&Nps&Spp

nps是- -款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量发，可支持任何tcp、udp. 上层协议(访问内网网站、本地支付接口调试、ssk方问、远程桌面，内网dns解析等等) ，此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端。GitHub - ehang-io/nps: 一款轻量级、高性能、功能强大的内网穿透代理服务器。

2023-01-30 18:00:45 3399 1

原创内网安全——隧道技术&SMB&反向连接&DNS&SSH

SMB没有ip，没有端口，直接在session里面生成后门是不可行的，我们通过SMB协议进行横向移动，paswd是通过信息收集得到的。将申请的域名在cs上进行监听，即ns1.xxxx.fun和ns2.xxxx.fun均解析到cs.xxxx.fun。在此会话上生成后门，然后绑定监听器生成后门，等待上线，点击进入，mode dns-txt。首先我们要明白DNS在解析域名的时候是UDP协议，在进行数据区域传输走的是TCP协议。刚刚使用的反向连接显然不行，有入口防火墙，SMB文件与打印机共享协议，445端口。

2023-01-30 10:00:45 2066

原创权限提升——Linux Rsync未授权访问&docker组挂载&SUDO&Polkit

2021年01月26日，sudo被披露存在一个基于堆的缓冲区溢出漏洞（CVE-2021-3156，该漏洞被命名为“Baron Samedit”），可导致本地权限提升当在类Unix的操作系统上执行命令时，非root用户可以使用sudo命令来以root用户身份执行命令。由于sudo错误地在参数中转义了反斜杠导致堆缓冲区溢出，从而允许任何本地用户（无论是否在sudoers文件中）获得root权限，无需进行身份验证，且攻击者不需要知道用户密码。

2023-01-28 11:24:37 713

原创 Linux提权——环境变量配合SUID&计划任务&第三方数据库

原始的ps命令，由于环境变量加了tmp,执行ps，即执行/tmp/ps,同时ps是通过bash复制过来的，./shell用SUID执行bash直接进行了提取。

2023-01-27 16:25:11 710

原创内网安全——代理技术Socks5&网络通讯&控制上线

主机出站TCP封杀，入站没有并且无互联网网络，可以尝试正向连接（取得一台有网络的能和主机通信的服务器权限，它有网），把数据给出网的机器，通过出网机器正向主动控制它。主机出站TCP被封杀，入站没有并且有互联网，可以尝试正向连接（取得一台有网络的能和主机通信的服务器权限，它有网），或者使用隧道技术（走其他协议出网即可）常规的渗透测试的流程，第二步是解决如何拿到权限，是横向移动的内容，这样先不介绍，进入第三部，解决如何进行控制。再添加节点，ip地址为本机外网服务器地址，端口为刚刚在msf设置的port。

2023-01-26 12:11:56 993

原创 Web安全——node.js原型链污染

js 是由对象组成的，对象与对象之间存在着继承关系。每个对象都有一个指向它的原型的内部链接，而这个原型对象又有他自己的原型，直到 null 为止整体看来就是多个对象层层继承，实例对象的原型链接形成了一条链，也就是 js 的原型链。在 js 中每个函数都有一个属性，而每个对象中也有一个属性用来指向实例对象的原型。

2023-01-20 20:50:42 1860

原创内网安全——域信息收集&应用网络凭据&CS插件AdfindBloodHound

通过域成员主机，定位出域控制器IP及域管理员账号，利用域成员主机作为跳板，扩大渗透范围，利用域管理员可以登入域中任何成员主机的特性，定位出域管理员登入过的主机IP,设法从域成员主机内存中dump出域管理员密码，进而拿下域控制器，渗透整个内网。常规信息收集：如：操作系统、权限、内网IP段、杀毒软件、端口、服务、补丁、网络连接、共享、会话等。

2023-01-20 11:49:52 855

原创 APP攻防—— jadx反编译&frida编写js

再刚刚抓取的数据包中有Encrypt"关键字，我们直接进行搜索，再找到它的父类，双击找到该变量的调用情况。如图2-5所示将传入的sign放在paraMap进行拼接，再encodeDesMap加密处理。我们发现sign值是未知的，再进入jadx_GUI分析，同样的思路找主类包括sign"再用工具进行加密，破解加密的数据包,之后的操作就不再赘述。activity绑定browserable与自定义协议。Content Provider中的SQL注入漏洞。可以看到这里进行了Des加密，进入具体的加密算法。

2023-01-18 10:57:43 1033

空空如也

空空如也