- 博客(416)
- 收藏
- 关注
原创 域内日志分析总结
域内日志一般以.evtx结尾,因此我们需要搜索域内日志可以使用dir指令dir/s/b *.evtx/s:表示递归搜索,包括子目录。/b:表示以简洁模式显示结果,只显示文件路径而不包括其他信息。这里我们可以直接使用logparser工具导出域内的日志信息。(在域控主机中)logparser工具采用的是SQL查询的方式进行过滤。使用下面的指令可以通过strings列和eventid列过滤出域内用户...
2024-12-19 09:39:00
655
原创 内网活动目录利用方法
滥用活动目录ACLs\ACEs权限https://book.hacktricks.xyz/windows-hardening/active-directory-methodology/acl-persistence-abusehttps://www.cnblogs.com/nice0e3/p/15879624.htmlDACL和ACE是与访问控制相关的概念,常用于操作系统和网络环境中。以下是对它...
2024-12-19 09:35:00
878
原创 内网渗透导出HASH总结
获取当前机器的明文密码在导出域hash之前,我们可以先尝试导出当前机器的本地的hash密码,如果域用户之前在这台机器上进行登陆操作的话,可以直接获取到域用户甚至域管理员的账号。在Windows操作系统上,sam数据库(C:\Windows\System32\config\sam)里保存着本地用户的hash。在本地认证的流程中,作为本地安全权限服务进程lsass.exe也会把用户密码缓存在内存中(...
2024-12-19 09:26:00
945
原创 Exchange邮服渗透技巧
在进行渗透过程中,Exchange邮件服务器通常是我们重点关注的对象,因为拿下了Exchange邮件服务器,凭借其机器账户的权限,我们可以赋予其他域内用户dcsync的权限,进而导出域内hash,拿下整个域。exchange系统的中配置powershell使用命令https://learn.microsoft.com/zh-cn/powershell/module/exchange/add-ma...
2024-12-19 09:18:00
945
原创 内网渗透横向移动技巧
在正常情况中,横向移动是在已经获取了足够的权限的情况下进行横向移动,下面中的方法大部分也需要高权限的操作。https://www.freebuf.com/articles/network/251364.html内网横向移动分为三种情况:1.在VPN环境中进行横向移动;2.在socks代理环境中进行横向移动;3.在远程木马的环境中进行横向移动;文件传输-前期准备在进行横向移动的过程中,我们首先应该...
2024-12-19 09:04:00
1033
原创 2024第四届网鼎杯部分赛组wp
一、青龙组WEB web1 开局随便随便输入都可以登录,登上去以后生成了一个token和一个session,一个是jwt一个是flask框架的这边先伪造jwt,是国外的原题CTFtime.org / DownUnderCTF 2021 (线上) / JWT / Writeup先生成两个token,然后利用rsa_sign2n工具来生成公钥 python3 jwt_forgery.py eyJh...
2024-11-05 13:31:00
1520
原创 NewStar CTF 2024 misc WP
decompress压缩包套娃,一直解到最后一层,将文件提取出来提示给出了一个正则,按照正则爆破密码,一共五位,第四位是数字^([a-z]){3}\d[a-z]$一共就五位数,直接ARCHPR爆破,得到密码 xtr4m,解压得到flagpleasingMusic题目描述中提到:一首歌可以好听到正反都好听根据提示(其实也能听出来后半段音乐是倒放出来的)将音频进行反向处理实现倒放,再解析其中的摩斯...
2024-11-05 13:19:00
1128
原创 cobaltstrike与MSF联动使用教程
生成beacon_x64.exe后门,将后门上传到目标服务器,在目标服务器中点击该后门文件,CS即可上线。CS上创建监听:这里注意http host和http port和MSF加载反弹的地址一一对应。set lport 3333 # msf所在主机自定义端口号,与后门文件中的一致。http host: msf对应的IP地址,http port:MSF生成监听端口。set lhost 192.168.30.131 # msf所在主机的ip。#使用MSF进行加载反弹给CS。#本地生成msf后门。
2024-11-01 09:57:45
878
原创 强网拟态2024 wp
CryptoXOR1.打开环境是一串字符,用一个异或脚本或者在线解码工具就可以解出来(只有一次加密)key是mimic解密得到flag在线解密或者脚本:# 密文ciphertext = "0b050c0e180e585f5c52555c5544545c0a0f44535f0f5e445658595844050f5d0f0f55590c555e5a0914"# 将十六进制字符串转换为字节ciphe...
2024-10-29 16:47:00
843
原创 玄机应急响应靶场集合WP
第一章 应急响应-webshell查杀简介靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx...
2024-10-29 14:53:00
1092
原创 2024第四届FIC初赛Writeu
检材链接:https://pan.baidu.com/s/1fwHb_5svMyK3Gr4-QeNc0Q?pwd=43a3挂载密码:2024Fic@杭州Powered~by~HL!手机部分1. 嫌疑人李某的手机型号是?A. Xiaomi MI 2sB. Xiaomi MI 4C. Xiaomi MI 6D. Xiaomi MI 8在火眼中分析到蓝牙名称是Xiaomi MI3Wimage-2024...
2024-10-08 15:02:00
1054
原创 2024长城杯WP
WEBSQLUP打开题目给了一个登录页面结合名字猜测为SQL注入查看源码发现有hint提示开发者使用的是模式匹配所以我尝试使用%来模糊匹配,登陆成功username=admin&password=%进入面板之后发现有一个文件上传功能尝试上传php文件,结果被waf,文件名字不能出现p我想到了使用.htaccess文件来解析gif文件来getshell先上传.htaccess文件, 将1....
2024-10-08 09:22:00
1328
原创 第三届广东省大学生网络攻防竞赛wp
一、WEB1.消失的flag访问提示Access Deniedfakeip插件伪造ip提示File is Null尝试加file参数?file=index.php`提示`do not hack!!大概是filter-chain参考文章:https://www.cnblogs.com/linuxsec/articles/12684259.html https://blog.csdn.net/yua...
2024-10-08 09:21:00
1320
原创 2024 第七届“巅峰极客”网络安全技能挑战赛初赛 wp
WEBEncirclingGame题目描述:A simple game, enjoy it and get the flag when you complete it.开题,前端小游戏,红点出不去就行直接玩通关了看看如何不玩也能拿到flag,flag存储在后端php文件内,前端找不到。看一下游戏的请求包,里面记录了红点的最后位置和防火墙(黑点)的位置。那么我们伪造下,防火墙绕满周围一圈,但是红点...
2024-10-08 09:17:00
1250
原创 2024 闽盾杯-黑盾赛道WP
CRYPTO签到题-学会SMhttps://www.json.cn/encrypt/sm3题目要求小写所以需要转换一下或者脚本:import hashlibmessage = "heidun2024"hash_object = hashlib.new('sm3')hash_object.update(message.encode('utf-8'))hash_value = hash_object...
2024-10-08 09:16:00
1113
原创 2024熵密杯wp
第一部分:初始谜题这一部分算是开胃菜,形式也更像平时见到的CTF题目,三个题目都是python加密的,做出其中任意一个就可以进入第二部分,也就是一个更类似真实情境的大型密码渗透系统。但每个初始谜题都是有分数的,所以就算开了第二部分也当然要接着做。每个题目也都有前三血的加成,一血5%,二血3%,三血1%,在最后排名的时候会先根据分数再根据解题时间,所以血量分其实很重要,但是手速实在不太够然后就是他...
2024-10-07 12:09:00
1606
原创 2024高校网络安全管理运维赛 wp
0x00 前言本文是关于“2024高校网络安全管理运维赛”的详细题解,主要针对Web、Pwn、Re、Misc以及Algorithm等多方向题目的解题过程,包含但不限于钓鱼邮件识别、流量分析、SQLite文件解析、ssrf、xxe等等。如有错误,欢迎指正。0x01 Misc签到给了一个gif,直接在线分帧得到synt{fvtava-dhvm-jryy-qbar},一眼凯撒,直接rot13解码fla...
2024-10-07 12:08:00
1618
原创 DASCTF 2024暑期挑战赛wp
WEB题目:Sanic's revenge解题步骤首先看到给出的附件:from sanic import Sanicimport osfrom sanic.response import text, htmlimport sysimport randomimport pydash# pydash==5.1.2# 这里的源码好像被admin删掉了一些,听他说里面藏有大秘密class Pollute...
2024-10-07 09:26:00
1485
原创 江苏省第二届数据安全技术应用职业技能竞赛初赛WP
一、数据安全解题赛1、ds_0602解题思路题目让我们获取加密文件中的原始数据,解密后提交第六行第二列数据,下载附件,发现里面有两个文件,其中一个是“.enc”结尾,那这里我们得先简单了解一下“.enc”结尾的是什么类型的文件。简单来说“.enc”结尾的文件通常是经过加密的文件。具体来说,文件扩展名“.enc”并不代表某种特定的文件类型,而是一个通用的标识,表示文件内容已被加密,那题目要求我们的...
2024-10-07 09:24:00
1015
原创 R3CTF2024 WP
一、PWN1.Nullullullllu在直接给 libc_base 的情况下,一次任意地址写 \x00 。直接修改IO_2_1_stdin的 _IO_buf_base 末尾为 \x00 ,那么 _IO_buf_base 就会指向IO_2_1_stdin的 _IO_write_base,接下来就是利用 getchar 函数触发写操作修改IO_buf_base为IO_2_1_stdo...
2024-10-05 12:37:00
1759
原创 WMCTF 2024 wp
WEBPasswdStealer前言本来题目叫PasswdStealer的:)考点就是CVE-2024-21733在SpringBoot场景下的利用。漏洞基本原理参考https://mp.weixin.qq.com/s?__biz=Mzg2MDY2ODc5MA==&mid=2247484002&idx=1&sn=7936818b93f2d9a656d8ed4884327...
2024-10-05 12:13:00
1980
原创 2024 ciscn WP
一、MISC1.火锅链观光打卡打开后连接自己的钱包,然后点击开始游戏,答题八次后点击获取NFT,得到有flag的图片没什么多说的,知识问答题兑换 NFTFlag{y0u_ar3_hotpot_K1ng}2.Power Trajectory Diagram方法1:使用py中的numpy和pandas库读取npz文件并保存为csv文件,代码如下:import numpy as npimport pa...
2024-10-04 22:55:00
2020
原创 第八届2024御网杯WP
WEBinput_data使用工具https://github.com/kost/dvcs-ripper./rip-svn.pl -u http://101.200.58.4:10005/.svn下载下来.svn目录然后查看结构发现几个文件cd进去目录,然后cat 文件名字即可看到 flag{5674938f-803d-4c41-8f84-a77f5164bb4f}Flag: f...
2024-10-04 17:47:00
1112
原创 羊城杯2024WP
羊城杯-2024webweb2进题信息搜集一下,dirsearch发现了login路由可访问,先随便点一下,发现了一个文件读取:http://139.155.126.78:30148/lyrics?lyrics=Rain.txt我尝试了一下:http://139.155.126.78:30148/lyrics?lyrics=../../../../../../../../etc/passwd发现...
2024-10-04 16:02:00
1465
原创 cobaltstrike权限维持
1.注册表启动注意:优先用这种方式来进行权限维持task.exe是CS生成的后门文件,这里后门文件可以对其做免杀隐藏文件shell attrib C:\Windows\task.exe +s +h注册表启动后门文件shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WindowsUpdate /t REG_S...
2024-09-26 13:22:00
390
原创 Mimikatz的使用及免杀方向(过360,火狐和WindowsDefinder)
一. Mimikatz加修改注册表绕过LSA保护(暂不考虑EDR和WD)Mimikatz原理:Mimikatz通过逆向获取存储在lsass.exe进程中的明文登录密码。(lsass.exe用于本地安全和登陆策略)。首先使用Mimikatz抓取时必须是管理员权限,在win10,win11,win2012等版本中,系统会开启LSA保护,明文密码字段会显示null。第一步提权:privilege::d...
2024-09-26 13:20:00
937
原创 快速编写一款python漏洞批量检测工具
一、前言以下列检测脚本示列: import requests import urllib3 import re,string,random from urllib.parse import urljoin import argparse import time import ssl ssl._create_default_https_context = ssl._create...
2024-09-13 10:47:00
640
原创 四川省熊猫杯初赛和决赛题WP
初赛web_ezcmsswagger泄露test/test测试账号登录,/sys/user/**没有做鉴权,可以添加一个超级管理员用户,此时仍然不知道roleId。并且role模块没有未授权。继续阅读user模块,发现接口这里存在roleid泄露,这里填入前面泄露的admin的idfcf34b56-a7a2-4719-9236-867495e74c31GET/sys/user/roles/f...
2024-08-02 14:13:00
1173
1
原创 四川省职工职业技能大赛网络安全决赛WP
上午CTF部分websimpleloginyakit爆破出密码,记得应该是a123456:ppoppindex.php有一个任意文件读取:<?php//upload.phperror_reporting(0);highlight_file(__FILE__);class A { public $a; public function __destru...
2024-08-02 12:49:00
1117
1
原创 nuclei模板编写总结
一、脚本的语法格式大小写敏感缩进:使用缩进表示层级关系,YAML 使用空格进行缩进,通常每个缩进级别为两个空格。键值对:YAML 通过键值对来存储数据,键和值之间用冒号 : 分隔。列表:使用短横线 -来表示列表中的项。注释:以 # 开头的行是注释。字符串:字符串可以不使用引号,也可以使用单引号或双引号id不能有中文、特殊字符、--以及空格等内容,id这个参数,您可以理解为是输出的...
2024-07-27 10:19:00
719
原创 2024年数字中国创新第四届红明谷杯网络安全大赛WP
WEBezphp题目描述:一支专注于卫星通信技术的研究团队正在努力改进他们的通信系统,以提高数据传输的效率和安全性,团队决定采用PHP 8.3.2来完善通信系统开发。考点:php filter chain OraclePHP Filter链——基于oracle的文件读取攻击 参考:https://xz.aliyun.com/t/12939?time__1311=mqmhqIx%2Bx...
2024-07-21 03:40:00
946
原创 第二届数据安全大赛“数信杯”数据安全大赛 WP
1.pyc使用pyc在线反编译得到python源码: #!/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 3.8 import random def encrypt_file(file_path): random.seed(11451...
2024-07-21 02:05:00
1349
原创 绕过瑞数加密进行测试
3.通过BP抓包重放,找到触发瑞数的路径地址,一般重放相应包为404或者202,以及响应包中有JS加密。设置目标测试站点地址和触发瑞数的任意路径,默认监听本地 8050端口。4.修改target,修改为本地 8050端口。5.重放请求,发现可以完美绕过瑞数。3.运行RuiShuBypass。
2024-05-22 16:03:45
811
原创 rdp利用技巧总结
近期在项目中管理员在rdp挂载之后搞掉了管理员,想着有时间就整理下针对rdp的利用方法。针对挂盘的利用方法复制文件这个不多说,可以根据的不同的挂盘来决定是拖文件还是放启动项。有一些自动文件监控和拷贝的应用,如:https://github.com/cnucky/DarkGuardianDarkGuardian是一款用于监控RDP登录后TSCLIENT(挂盘)的工具,工具后台运行时可自动获取挂盘的...
2024-05-12 13:51:00
646
原创 红队隐藏技巧
近期因为都懂的原因做了回蓝队,还偶尔客串了下和客户对接的角色,根据接触到的各家设备的特点写了一些总结。从红队的视觉下看如何防止被溯源。 ---8sec.cc1、蜜罐系统浏览器使用注意单独隔离的浏览器 在渗透过程中尽量使用与常用浏览器不同的浏览器,如:Chrome常用,渗透使用firefox。使用无痕模式 firefox和Chrome都有无痕模式,如果对目标资产不了解的情况下尽量开启无痕模式进行...
2024-05-12 13:48:00
476
原创 实战中内网穿透的打法
前言在内网渗透时,一个WebShell或CobaltStrike、Metasploit上线等,只是开端,更多是要内网横向移动,扩大战果,打到核心区域。但后渗透的前提是需要搭建一条通向内网的“专属通道”,才能进一步攻击。可实战中因为网络环境不同,所利用的方式就不同。以下为自我总结“实战中内网穿透的打法”思维导图:目标出网(socks代理)这是实战中最愿意碰到的网络环境,目标机可以正常访问互联网,可...
2024-05-12 13:43:00
503
原创 常用的命令技巧总结
Windows 在windows当中,%cd% 代表的是当前目录,我们通过echo将当前目录写入文本temp,然后荣国certutil对文件内容进行base64编码,再过滤certutil携带的字符,将它赋给一个变量,最后通过nslookup外带出来,从而实现获取当前目录的目的。通过服务启动,需要管理员权限,官方不推荐使用,运行失败。在内网环境中,一个管理员可能管理多台服务器,他使用的密码有可能相同或者有规律,如果能够得到密码或者hash,再尝试登录内网其它服务器,可能取得意想不到的效果。
2024-05-12 13:26:08
1201
原创 linux内网渗透技巧总结
known_hosts格式有两种,取决于你的~/.ssh/config文件中的HashKnownHosts字段的设置,有可能是明文也有可能是一段哈希字符串。如果没有~/.ssh/config文件,这取决于/etc/ssh/ssh_config文件中的该字段。今后,当你使用 PuTTY 登录时,可以在左侧的 Connection -> SSH -> Auth 中的 Private key file for authentication: 处选择你的私钥文件,然后即可登录了,过程中只需输入密钥锁码即可。
2024-05-12 13:19:07
818
原创 记一次菠菜站点的攻克之旅后续
前情提要上回故事说到,骗子服务器的最高权限虽然已经拿到,但这也只是技术层面的掌控,想要立案,需要提供尽量多的人员相关信息,如手机、银行卡等,但这些目前都并未采集到(前面虽然提到了某次源码有个银行账户,但后面发现那只是个测试号,百度出来一堆在用的…),所以还需要通过一些额外的手段去获取有用的信息;信息收集宝塔后台首先想到的就是之前一直留着没进去的宝塔面板后台,里面应该会有些登录信息之类,但并没有得...
2024-05-10 14:42:00
567
1
原创 记一次违法网站的渗透经历
0x01 前言 在一次攻防演练信息收集过程中,发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透。末尾可领取字典等资源文件0x02 SQL漏洞发现到站点进行访问利用插件查看站点为php常规扫目录前台一键登录之后在新增地址处发现存在注入0x03 进一步漏洞利用此处提示需要get传参,在address.php请求处,随便填了个数字请求后,继续填写信息并...
2024-05-09 09:28:00
531
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人