红队攻防
文章平均质量分 88
红队评估与攻防比赛
希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某部委网络安全防护培训外聘讲师,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,APT技战法分析,代码审计,内网渗透。专注于前沿网络安全技术。
展开
-
第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结
Part1 前言Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能。目前通用的做法就是使用burpsuite插件进行被动扫描,原理就是把所有与用户交互参数都用各种log4j2检测payload测试一遍,然后观察DNSlog中有没有访问记录。这个漏洞检测............原创 2022-05-29 22:14:28 · 1874 阅读 · 0 评论 -
第11篇:盲猜包体对上传漏洞的艰难利用过程
Part1 前言大家好,上期分享了一个IIS短文件名猜解在实战中拿权限的利用,本期将会分享一个特殊的上传漏洞的利用案例。很多时候遇到一个存在漏洞的点,只要有一线希望,就不愿意轻言放弃。对一个网站进行测试前,扫描目录和扫描敏感文件是经常使用的方法,有时候会扫描出上传功能的后端页面,这时候不知道包体是怎么构造的,也不知道上传漏洞需要提交哪些参数,所以就需盲猜包体了。类似的.........原创 2022-05-14 13:18:42 · 110 阅读 · 0 评论 -
第5篇 | Shiro Padding Oracle无key的艰难实战利用过程
Part1 前言大家好,上期分享了银行站的一个Java 的SSRF组合洞案例,这期讲讲分享一个Shiro Padding Oracle漏洞利用过程。Shiro反序列化漏洞自16年公布以来,至今已经有6年了,每次攻防比赛都还能遇到,其攻击大致可分为2种方式:1一种就是平时攻击队最常用的Shiro-550,对应CVE-2016-4437,影响范围Apache s.........原创 2022-04-23 12:37:20 · 643 阅读 · 0 评论 -
第12篇:给任意java程序挂Socks5代理方法
Part1 前言在内网横向过程中,经常会用frp、狗洞、nps等工具,在内网环境中搭建一个反向socks5代理,方便红队人员开展内网渗透工作。于是,红对人员需要对各种渗透工具挂上Socks5代理,使用proxifier这个工具挂全局s5代理是非常方便的,但是有的渗透工具是使用java写的,而且作者并没有编写Socks5代理功能,用proxifier挂java.exe进.........原创 2022-05-15 17:18:51 · 4825 阅读 · 0 评论 -
第8篇:Oracle注入漏洞绕waf的新语句
Part1 前言大家好,上期分享了一次MS12-020蓝屏漏洞的巧用。这篇文章源于之前做的一个银行红队项目,遇到到了一个Oracle数据库的SQL注入漏洞,但是网上能搜索到的各种SQL语句都没法出数据,所以客户不认可这个漏洞的危害性,于是就开始了对这个Oracle的SQL注入绕WAF的探索过程:Part2 研究过程SQL注入判断过程经过对Web应用一系列的手工漏洞.........原创 2022-05-02 09:24:05 · 666 阅读 · 0 评论 -
第15篇:内网横向中windows各端口远程登录哈希传递的方法总结
Part1 前言随着人们的安全意识的逐步加强,企业内部的Windows服务器口令越来越复杂了,经常会遇到提权到windows服务器,获取了用户的密码hash,但是cmd5官网或者本地猜解都拿不到明文密码的情况。这时候就需要用到内网哈希传递技术了。哈希传递利用了NTLM认证的缺陷,使用用户的密码哈希值来进行NTLM认证。如果目标机器与获取hash值的机器的密码相同,就可......原创 2022-06-09 18:42:17 · 3082 阅读 · 0 评论 -
第31篇:一系列操作使sqlmap识别一个奇葩的延时注入点并绕waf的艰难过程
Part1 前言在最近的一次渗透测试项目中,遇到了一个奇葩的SQL延时注入漏洞,sqlmap无法识别出来。但是客户非让在测试环境跑出数据进行验证,否则不认可这个漏洞的危害性。编写一个多线程的延时注入脚本是很麻烦的,于是ABC_123经过了一系列操作,最终成功让sqlmap识别这个注入点并成功枚举出数据,相信也能给大家很多的启示。注:在读研那会儿,我曾经把sqlmap手册打印出来,从头到尾看了好...原创 2022-11-19 18:25:54 · 916 阅读 · 0 评论 -
第16篇:Weblogic 2019-2729反序列化漏洞绕防护拿权限的实战过程
Part1前言大家好,我是ABC_123。前两期分享了《第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结》、《第15篇:内网横向中windows各端口远程登录哈希传递的方法总结》,本期讲解一个Weblogic拿权限案例。最近安服的同事打比赛,给我陆续发了好几个没有拿下来的Weblogic的站点,一直在想尽各种办法研究,争取拿下权限。各种WAF防护、终...原创 2022-06-27 05:08:56 · 1660 阅读 · 0 评论 -
第3篇:银行Java站SSRF“组合洞“打法造成的严重危害
Part1前言这篇文章源于之前做的某银行的红队评估项目,第一次打进去用了一个客服系统的0day漏洞,而且一直打到了银行的核心区。半年后项目续签,开始了第2轮红队评估项目,再想打进去就非常困难了。代码审计出2个SSRF漏洞,但是只能发GET型的HTTP请求,后续通过一系列努力,组合其它漏洞,将这个价值看起来不大的SSRF漏洞,变成了一个危害极其严重的高危漏洞,得到了客户的认.........原创 2022-04-16 18:42:26 · 469 阅读 · 0 评论 -
第2篇:区分Spring与Struts2框架的几种新方法
Part1前言在近几年的HW比赛、红队项目中,攻击队在外围打点时,越来越依赖于对Java站点的漏洞挖掘。Java站点的主流框架大致就是两个:Struts2系列(包括Webwork等)及Spring系列(包括Spring MVC、SpringBoot等)。很多攻击队员在查找网站漏洞时,由于无法判断出网站所使用的框架,对于.do结尾的网站上去就是用Struts2工具、Spri.........原创 2022-04-10 19:36:16 · 2515 阅读 · 0 评论 -
第1篇:weblogic9.x在JDK1.5下T3反序列化漏洞利用方法
Part1前言年前在一次攻防比赛过程中,遇到了一个9.x版本的weblogic中间件,是非常老版本的Weblogic了,现有的各种漏洞利用工具都没能拿下权限,考虑到之前也曾经遇到过好几次了,于是研究了一整天,总算解决了这个遗留的技术问题。Part2解决问题过程1安装weblogic 9.x版本首先安装weblogic9.x版本,这个过程就不叙述了。使用T3协议发包后,返回...............原创 2022-04-05 20:56:10 · 283 阅读 · 0 评论 -
第13篇:coldfusion反序列化过waf改exp拿靶标的艰难过程
Part1 前言大家好,上周分享了《给任意java程序挂Socks5代理方法》、《盲猜包体对上传漏洞的艰难利用过程》两篇红队技术文章,反响还不错。本期分享一个有关Java反序列化漏洞的过waf案例。目标应用系统是Adobe ColdFusion动态web服务器,对应的漏洞编号是CVE-2017-3066,曾经利用这个反序列化漏洞多次拿过权限。靶标直接放在公网上,网站部.........原创 2022-05-21 17:07:37 · 423 阅读 · 0 评论 -
第7篇:MS12-020蓝屏漏洞在实战中的巧用
Part1 前言大家好,上期分享了一篇Shiro Oracle Padding反序列化漏洞无key的实战文章,这期讲一个MS12-020蓝屏漏洞的真实利用过程。这个案例源于2013年我在读研期间,印象是比较深的。在学校期间,我偶尔会帮网络部那边处理一些网站故障,还帮忙修补过安全漏洞。在那个年代,大学网站的漏洞是非常多的,基本上没有什么WAF设备防护。期间有一个大学网站.........原创 2022-04-30 19:11:54 · 2616 阅读 · 0 评论 -
第21篇:判断Weblogic详细版本号的方法总结
Part1 前言在日常的渗透测试、红队评估项目中,中间件层面的漏洞挖掘是非常重要一环,Weblogic中间件在最近几年接连被爆出很多高危漏洞,基本上都是可以直接拿到权限的。主流的Weblogic漏洞包括HTTP协议上的CVE-2017-10271、CVE-2019-2729等,但是其影响weblogic的版本为12.1.3之前版本。如果能事先判断出weblogic的版本号是大于12.1.3的,...原创 2022-09-04 11:22:18 · 5286 阅读 · 0 评论 -
第22篇:一次艰难的PostgreSQL不出网提权过程
Part1 前言在日常的内网横向过程中,对于SMB、Mysql、SSH、Sqlserver、Oracle等服务的弱口令爆破是常用手段,重复的红队攻防比赛使得这些服务的弱口令越来越少了。所以在平时,ABC_123也会关注一些其它服务的弱口令提权方法,有时候会在内网横向中收到奇效。本期就分享一个在内网渗透中,遇到的PostgreSQL数据库提权案例,过程非常艰辛,但是收获不少。首先简单介绍一下当时...原创 2022-09-15 20:38:17 · 1107 阅读 · 0 评论 -
第17篇:Shiro反序列化在Weblogic下无利用链的拿权限方法
Part1 前言Shiro反序列化漏洞虽然出现很多年了,但是在平时的攻防比赛与红队评估项目中还是能遇到。主站也许遇不到Shiro漏洞,但是主站边缘域名、全资子公司的子域名、边缘资产、微信公众号、微信小程序啥的,总能找到。现在遇到的shiro反序列化漏洞也是越来越难了,好多都是别人搞不定的。搞不定的原因要么是key比较偏门,要么是过不了waf防护,要么就是找不到可用的利.........原创 2022-07-02 14:59:08 · 2162 阅读 · 0 评论 -
第23篇:XSS绕过防护盲打某SRC官网后台
Part1 前言已经N年没挖SRC了,前几年曾有一段时间对XSS漏洞挖掘特别热衷,像反射型XSS、存储型XSS、DOM型XSS等挖得很上瘾,记下了很多笔记。遗憾的是多数平台都不愿意接收XSS漏洞,哪怕是存储型XSS漏洞给的评分都很低,因为XSS不能造成直接危害,利用起来有困难。所以当时花费了2天的时间,绕过各种防护及过滤,盲打到了一个SRC电商官网的后台。正好公众号文章写到现在,也缺少一篇讲解...原创 2022-09-19 18:56:46 · 1690 阅读 · 1 评论 -
第25篇:冰蝎2.x过流量检测改造的全过程
Part1 前言冰蝎是一款动态二进制加密网站管理客户端,其特点是流量AES加密,JSP文件很小,做红队或者攻防比赛的人,几乎人手一份。使用的人多了,必然被各种流量监控设备识别,所以需要手工对其魔改,去掉或者改掉一些流量特征。自己魔改冰蝎或者哥斯拉优势也明显,代码完全掌握在自己手里,可随时根据各种流量监控设备的规则,与时俱进地编写绕过代码。这篇文章的核心内容主要基于我在2020年山东首届“明湖论...原创 2022-10-11 18:10:03 · 1010 阅读 · 0 评论 -
第18篇:fastjson反序列化漏洞区分版本号的方法总结
Part1 前言最近几天一直在审计Java漏洞,周六周天也没休息,所以上周文章就没写,今天抽空写一篇文章补上。在最近几年的攻防比赛、红队评估项目、渗透测试中,fastjson反序列化漏洞是一个非常常见的漏洞,和shiro反序列化漏洞一样,几乎每次比赛都能遇到,很多白帽子、攻击队队员都用这个漏洞拿到过权限。对于fastjson反序列化漏洞的利用,第一步要做的事情,就是想......原创 2022-07-15 10:13:12 · 4160 阅读 · 0 评论 -
第45篇:weblogic反序列化漏洞绕waf方法总结,2017-10271与2019-2725漏洞绕waf防护
前言在日常的渗透测试及各种攻防比赛项目中,waf设备的拦截是越来越厉害了,以至于很多朋友遇到weblogic 2017-10271、weblogic 2019-2725等反序列化漏洞就直接放弃。过去几年我曾帮助多位朋友绕过waf拿下权限,本期ABC_123就分享几个真正实战中用到的绕waf技巧,给大家拓展一下思路。后续ABC_123将会继续分享weblogic系列漏洞绕waf的方法...原创 2023-01-08 21:47:18 · 596 阅读 · 1 评论 -
第51篇:某运营商外网打点到内网横向渗透的全过程
Part1 前言大家好,我是ABC_123,不知不觉,我一个人已经连续写了51篇原创文章了。本期复盘一次之前做过的某运营商的外网打点到内网横向过程,由于是好多年前的了,很多细节记不清了,但是关键步骤还记得。这次渗透过程的特点是内网很大,打到了域控及核心数据库区,但是却没用到什么高深技术,用的都是常规手段,经验很重要。接下来就把完整过程分享给大家,希望对大家有一些帮助。欢迎关注我的公众号"ABC...原创 2023-02-11 19:40:42 · 17002 阅读 · 0 评论 -
第40篇:CORS跨域资源共享漏洞的复现、分析、利用及修复过程
Part1 前言CORS跨域资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而跨域获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。近几年在很多的渗透测试报告中,CORS跨域资源共享漏洞越来越多了。有的朋友实在挖不出漏洞,偶尔...原创 2022-12-25 12:03:46 · 4583 阅读 · 5 评论 -
第53篇:某OA系统的H2数据库延时注入点不出网拿shell方法
WebWWPart1 前言这个案例是在做一次银行项目的红队评估工作中遇到的,该银行把OA办公系统放在外网,当时有同事审计出了该系统的H2 Database注入漏洞,一旦存在H2数据库注入漏洞,多数情况下都可以通过自定义函数的方式直接执行任意java代码。当时遇到的H2数据库的注入漏洞是个延时注入点,利用起来有以下几个难点:1 无法直接写入内存马,因为当时并没有H2数据库的内存马注入方法,...原创 2023-03-11 20:00:49 · 35766 阅读 · 0 评论 -
第61篇:使用chatGPT猜测未知的api接口实现及提交参数|对api接口的进一步利用
Part1 前言大家好,我是ABC_123,公众号正式更名为”希潭实验室”。今天晚上喝了一大杯青岛的散装原浆啤酒,心情大好,回来之后,和老哥讨论了一个关于Springboot的Actuator信息泄露漏洞的利用,虽然最终没有拿下权限,还是有一些心得的,于是笔耕不辍,把这次真实的渗透测试案例记录下来,分享给大家。平时我们在做渗透测试或者红队评估项目的时候,都会遇到SpringBoot的Actua...原创 2023-05-07 22:28:38 · 1521 阅读 · 0 评论 -
第79篇:记一次Oracle注入漏洞提权的艰难过程
Part1 前言大家好,我是ABC_123。前不久遇到一个Oracle注入漏洞,是搜索型的盲注漏洞,只能用折半法一个字符一个字符的猜解数据,使用sqlmap可以直接跑出来,经过判断是DBA权限。接下来就是想办法通过这个注入点获取操作系统的权限,但是遇到了很多问题,于是搭建环境研究了一天,最后终于获取系统权限,本期ABC_123就把这个案例分享给大家。注:本篇文章中的一些说法可能与其它文章不一样...原创 2023-10-28 13:41:34 · 1745 阅读 · 0 评论 -
第72篇:近年HVV、红队攻防比赛中常见外围打点漏洞的分析与总结
前言大家好,我是ABC_123。前一段时间我花时间花精力总结了最近两三年中,在攻防比赛中比较常见的Web打点漏洞类型,捎带着把钓鱼邮件的主题类型也总结了一下。今天分享出来,相信无论是对于攻击方还是防守方,都能从中获得一些启发(一些小型攻防比赛、地级*攻防比赛,由于用各种常规漏洞也能打点成功,所以暂时不在以下统计范围之内)。信息来源主要有以下几点:1、以往的攻防比赛中积累的经验;2、作为裁判研判...原创 2023-07-29 21:15:45 · 4157 阅读 · 0 评论 -
第70篇:记一次对某物联网云平台及Hadoop生态系统的渗透全过程
Part1 前言大家好,我是ABC_123。本期分享一个之前做过的针对某物联网云平台的渗透测试案例,包括了对Hadoop生态系统的内网横向过程,由于内网很多都是Yarn、MapReduce、Spark、HDFS、Ambari、Hortonworks这些组件,平时很少遇到,由此开始了长达3个月的断断续续地一边学习,一边研究的历程。在此期间,我基本上把网上公布的所有的Hadoop组件的漏洞都尝试了...原创 2023-07-24 05:51:44 · 4569 阅读 · 0 评论 -
第80篇:Weblogic上传漏洞在不知绝对路径情况下拿shell方法
Part1 前言大家好,我是ABC_123。Weblogic曾经爆出一个上传漏洞,漏洞编号是CVE-2018-2894,这个漏洞利用起来稍微有点麻烦,很多朋友由于不知道绝对路径而没法上传shell,从而放弃对其的进一步利用,ABC_123曾经搭环境尝试了各种方法去解决这个问题,接下来给出自己的研究成果。建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公...原创 2023-11-18 18:29:52 · 517 阅读 · 0 评论 -
第71篇:某银行外网打点到内网核心区红队评估复盘
Part1 前言大家好,我是ABC_123。本期分享一篇ABC_123曾经做的针对一家银行的红队评估项目,持续时间两周,难度非常大,但是最终打到了银行核心业务区,今天就复盘一下全过程,希望红蓝双方都能得到一些启示,这也是“未知攻、焉知防”的道理。建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然...原创 2023-07-26 19:53:40 · 6201 阅读 · 0 评论 -
第78篇:巧妙方法抓取某商用红队扫描器的4000多个漏洞利用exp
Part1 前言大家好,我是ABC_123,本期分享一个真实案例。大约在两年前,有机会接触到一台红队扫描器设备(也可以理解为渗透测试机器人),我抱着好奇的心态去那里做了一下测试,感觉还不错。里面大概有4000多个漏洞利用exp,当然大部分都是nday漏洞,有一些未公开的1day漏洞,也有一些可能是0day漏洞,其中部分漏洞利用exp做了各种变形用来绕过waf,这些还是引起了我的兴趣。也是研究了...原创 2023-10-20 19:22:07 · 635 阅读 · 0 评论