- 博客(36)
- 收藏
- 关注
RSS订阅
原创 arl-高级红队助手
2023年了,外边的代码还是那么的飘逸…各家的poc是各家的poc…为了统一规范,花了一点时间写了下arl的poc,抛砖引玉,希望各位师傅能一起来开发poc。
2023-12-12 21:41:21
1161
原创 vulnhub靶场Matrix-win全流程
本次重点使用了一个提权脚本,可以看一下这个的原理,在实战当中,也是有很大概率存在。还有两个也是很常用的存在CVE-2022-2588(Linux Kernel 权限提升漏洞)CVE-2021-4034(Linux Polkit 本地权限提升),在之前未更新补丁的linux的基本是通杀。
2024-09-25 10:56:59
968
原创 内网exp对抗
使用runshc64.exe是可以正常运行的,但是这个mimikatz.bin还是被杀。将之前的mimikatz.bin重命名为猕猴桃.bin,生成的exeu也换成猕猴桃.exe,经过测试。常规土豆家族提权exe对于杀毒直接就是查杀的状态,这里和上边的一样的操作即可。但是换一个思路,加载器加载.bin文件直接执行,不写一个文件,用户自定义上传。加载源代码,这里就不改了,sdk不知道为什么加载不出来。是有可能被360抓取到的,这个就涉及到源码修改绕过。放到360报qvm202,换东西即可,之前提到过。
2024-03-27 22:44:43
479
1
原创 C2远控Loader红队技巧
我们需要去烧水,首先我们先去需要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。当我们执行代码时,原本的进程会启动cmd进程运行,并调用helloworld.exe。APC全称为Asynchronous Procedure Call,叫异步过程调用,就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。当然如果执行免杀🐎呢,会发现只有cmd.exe没有文件的名字了。是指函数在特定线程中被异步执行,在操作系统中是并发机制。
2024-03-03 20:09:51
442
原创 C2远控Shellcode沙盒对抗
黑框框会发现还是执行的 cs 的 shellcode,本质上代码试过了,杀毒点就放在最后,持续运行,检测高危命令或者原生 shellcode 直接干掉就完了。拿到 cs 的 payload 这里用的 x64 的,放入 xor.py 进行加密。df和卡巴都是动态查杀,或者说是内存查杀,这个十分难搞,不过目前还是有一定方法。有没有一种可能它一检测加载,就睡眠,逃过杀毒检测在恢复过来。扔给 360,静态过,动态查杀(这里没开核晶,下次一定)虚拟机是打不开的,本地加载直接上线。将生成好的密文,放入项目中。
2024-02-27 14:57:47
451
原创 C2远控之初探shellcode
杀软一般通过一下几点来检测恶意软件和行为:1、静态查杀:最基本的查杀方式,主要通过对文件的特征码进行扫描,匹配已知的病毒特征库。如果发现文件特征码与病毒特征库中的某个病毒特征码相匹配,就判断该文件为病毒;部分杀软会在静态查杀时将程序放入沙箱中运行几秒的方式以检测程序是否是恶意程序。2、动态(主动)查杀:通过在程序运行时扫描程序内存是否匹配病毒特征的方式主动发现恶意程序。在EDR中还会挂钩敏感的Windows API,在程序调用到被挂钩的API时检查函数参数和调用栈以检测恶意程序。
2024-02-20 01:20:01
1526
原创 一篇文章学习docker逃逸
CDK是一款为容器环境定制的渗透测试工具,在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。集成Docker/K8s场景特有的 逃逸、横向移动、持久化利用方式,插件化管理。常规检测利用:https://github.com/teamssix/container-escape-check。检测利用:https://github.com/cdk-team/CDK。在容器内部创建一个新的容器,并将宿主机目录挂载到新的容器内部。如果你可以在目标容器中执行命令(RCE),但容器中没有。
2024-02-02 17:38:06
465
原创 冰蝎特征攻防对抗
冰蝎连接一个马子,冰蝎走burp代理,burp抓包,1、请求数据包头的两个强特征、一个弱特征Accept字段、Content-Type(弱特征)、User-agent 字段2、已知数据的提交内容加密算法xor、xor_base64、aes、image、json等Accept字段Content-Type(弱特征)User-agent 字段已知数据的提交内容加密算法4.0以后出现了传输协议,对于提供的默认协议来说,也是默认的特征点生成一个查看源码查看到对应特征点在线反编译这里用的在线的,反编译的文件
2024-02-02 15:44:48
567
原创 webshell免杀对抗
这个用phpstudy搭建,然后使用360或火绒安装测试即可。一般这里用大马或者自己有特别的方法绕过函数。api/函数调用绕过(动态免杀)–》魔改。不被平台捕获到-流量特征修改 --》魔改。修改流量特征达到无法监控连接请求。webshell工具里面的操作。webshell工具里面的。webshell工具里面的。静态免杀 --》混淆。引出工具流量特征修改。
2024-02-02 15:30:32
441
原创 Weblogic SSRF漏洞
来注入换行符,而某些服务(如redis)是通过换行符来分隔每条命令,也就说我们可以通过该SSRF攻击内网中的redis服务器。Weblogic的SSRF有一个比较大的特点,其虽然是一个“GET”请求,但是我们可以通过传入。进行url编码,然后每个中间用\r\n隔开(这里\r\n也要被编码,编码过后是%0D%0A)访问一个可以访问的IP:PORT,如。访问到页面,随便填写内容,点击search,然后看数据包。首先,通过ssrf探测内网中的redis服务器。修改为一个不存在的端口,将会返回。
2024-01-26 23:01:30
365
原创 Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
虽然Tomcat对文件后缀有一定检测(不能直接写jsp),但我们使用一些文件系统的特性(如Linux下可用。即可看到Tomcat的Example页面。
2024-01-26 22:49:15
365
原创 Weblogic 任意文件上传漏洞(CVE-2018-2894)
Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在“生产模式”环境启动后,访问http://your-ip:7001/console,即可看到后台登录页面。查看账号密码,登录到后台weblogic/uU5AXe4x(密码可能是随机的)开启配置。,设置Work Home Dir为。应用的静态文件css目录,,所以该漏洞有一定限制。访问这个目录是无需权限的。
2024-01-26 22:47:01
367
原创 Apache HTTPD 换行解析漏洞(CVE-2017-15715)
后端用了黑名单策略,所以shell.php0x0a可以轻松绕过检测,再利用Apache的换行解析漏洞,使得文件可以被成功解析成php文件,从而成功getshell。Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,或将上传的文件重命名为为时间戳+随机数+.jpg的格式并禁用上传文件目录执行脚本权限。将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。重新发送后,不在拦截。
2024-01-26 22:40:05
357
原创 Apache SSI 远程命令执行漏洞
SSI(服务器端包含)是放置在 HTML 页面中的指令,并在提供页面时在服务器上进行评估。它们允许您将动态生成的内容添加到现有 HTML 页面,而无需通过 CGI 程序或其他动态技术提供整个页面。在测试任意文件上传漏洞的时候,目标服务端可能不允许上传 php 后缀的文件。如果目标服务器开启了 SSI 与 CGI 支持,我们可以上传一个 shtml 文件,并利用。创建反弹.sh 文件,给权限,再用/bin/bash 运行。(反弹 shell,拿到权限)配置服务器以允许 SSI。,即可看到一个上传表单。
2024-01-26 22:37:54
467
原创 一篇文章看懂Kerberos协议
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
2023-12-14 20:00:58
593
原创 内网双网卡定位
在实战过程中,当我们拿到了相关边界机器权限后,可以利用漏洞打下几台C段机器。注意尽量不要使用fscan的工具去扫描,特征流量较大,在高阶段的攻防对抗中,蓝队在第一时间会将机器关闭。防止对方不讲武德关掉机器,导致权限丢失。做好相关权限维持后的工作后, 开始定位双网卡。在ABC_123师傅的文章中提到,有些攻击队在攻击时有目标的进入工控系统,拿到靶标权限。而多数的攻击队是在喷洒横向时,偶然进入到工控段中拿到靶标权限。这里就涉及到双网卡的判断。
2023-12-12 21:45:46
339
原创 云上攻防对抗
各个云厂商对云服务的叫法都不统一,这里统一以AWS为例。S3 对象存储Simple Storage Service,简单的说就是一个类似网盘的东西EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在云上的一台虚拟机。RDS 云数据库Relational Database Service,简单的说就是云上的一个数据库。IAM 身份和访问管理Identity and Access Management,简单的说就是云控制台上的一套身份管理服务,可以用来管理每个子账号的权限。
2023-10-06 21:51:42
91
原创 服务攻防演练
这是CVE-202141773的二版,在上次修复漏洞时,没有严格过滤,导致出现的二次CVE。中间件-Apache-RCE&目录遍历&文件解析等。中间件-Tomcat-弱口令&文件上传&文件包含等。bp抓包,get发送payload,证明存在漏洞。中间件-Nginx-文件解析&命令执行等。中间件-IIS-短文件&解析&蓝屏等。启动服务,以前都操作过,不在细讲。
2023-09-10 19:45:51
116
原创 WEB攻防-JS审计技巧
1、作用域:(本地&全局)简单来说就是运行后相关的数据值2、调用堆栈:(由下到上)简单来说就是代码的执行逻辑顺序3、常见分析调试:-代码全局搜索-文件流程断点-代码标签断点-XHR提交断点edgefirefox4、为什么要学这个?-针对JS开发应用-密码登录枚举爆破-参数提交漏洞检测-泄漏URL有更多测试js加密,发到服务器,然后进行相关的解密,在处理数据。服务器收到的不是加密内容,直接就不执行了。所以要找到对应的JS加密。
2023-07-10 23:16:12
321
原创 信息收集-红队方向
信息收集-红队方向,之前讲到的是针对某一个的各个可能存在的地方进行收集,在实际过程中,我们会遇到大量资产,虽然各个工具组合起来可以达到对应的效果,但是配合繁琐,于是在各个问题之上,诞生了一些集成的工具。 这边推荐两个,一个是个人收集的,另一个是知道创宇404计划(经常更新,另一个比较少)
2023-07-09 11:44:54
1319
原创 WEB攻防-sql注入系列5
(注意这个地方在复现CVE-2016-5734时,有提到过magic_quotes_gpc的php函数)Sqlmap在进行初始监测时会进行一些预检测,当我们仔细看第一个执行的payload,到底执行的什么?关于这个点,使用之前用过的–random-agent参数就可以解决这个问题。下边几个都是sqlmap测试存在的注入类型,布尔,报错,延时,联合。在实际过程中可能有waf,这个是一个简单的例子。为什么说是其他类型呢,因为其它的操作都可以使用-r的这个参数完成。上边的都可以不会,这个东西必须要会啊~~
2023-06-12 21:14:55
100
原创 WEB攻防-sql注入系列4
当满足的时候,其实sqlmap的os-shell或sql-shell更实用一点…这个条件本身有许多的限制。最后一个地方将要查询的语句进行16进制编码,然后设置@a变量去存储。然后复制出来会得到一个dns地址,如果忘记了,可以重新复制一个。有部分注入点是没有回显的,所有读取也是没回显的,采用带外。解决不回显,反向连接,SQL注入,命令执行,SSRF等。本身在支持外带注入的同时需要满足的前提条件.SQL注入-二次注入&利用条件。SQL注入-堆叠注入&利用条件。SQL注入-带外注入&利用条件。
2023-06-12 20:49:35
97
原创 WEB攻防-sql注入系列3
为了避免这样的事情发生,在很多时候*号这个地方会被换成具体的内容进行限定,来达到查询速度更快。left(database(),1)>‘a’ – - #页面未发生变化。left(database(),1)>‘t’ – - #页面发生变化。left(database(),1)=‘e’ – - #页面未发生变化。~~用union联合查找,~~会发现页面没有回显的地方,显示不出来。再次查询会发现已经修改了id=14的用户的账号密码。第三位就不演示了,也是同样的操作。第三位就不演示了,也是同样的操作。
2023-06-11 15:13:21
141
原创 WEB攻防-sql注入系列2
Cookie:网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]).User-Agent:使得服务器能够识别客户使用的操作系统,游览器版本等.(很多数据量大的网站中会记录客户使用的操作系统或浏览器版本等存入数据库中)sql-注入天书(对sql-lib专门的学习)
2023-06-11 14:55:40
74
原创 WEB攻防-sql注入系列1
不过我们要注意的是将服务装在不同的端口,开在同一个地址上,方便完成后边的操作。这里的参数传入的-1,要一个不存在的负值即可,当然也有其他的写法。只有这样才满足union的用法。替换空格 +,%0a,%0c,%0d (在–%a- 可能会失效,但是%0b,%0c,%0d都可以)显示的secure-file-priv必须为空,如果有位置指定,那么只能读取相关的位置的文件。查看security数据库里的users表里面的username的字段的信息。如果使用的是注册的数据库用户,那么只会看见本身自己一个的数据库。
2023-06-11 14:38:01
150
原创 信息收集-APP
夜神模拟器创建一个android5的手机(android7的https需要调,比较麻烦,这里选5版本)创建完毕后启动。在Proxy-options代理监视器中添加一个端口(8070APP,8090小程序)添加一个8070端口,使用ipconfig,看一下无线局域网适配器 WLAN(10.128.132.170),完事点OK了下面有个导入/导出CA证书,选择第一个,起个名字格式为burp.cer。(后边一个是重置证书)选第一个,然后保存到桌面就行。
2023-06-06 14:00:56
159
2
原创 WEB攻防-asp系列
ACCESS数据库无管理帐号密码,顶级架构为表名,列名(字段),数据,所以在注入猜解中一般采用字典猜解表和列再获取数据,猜解简单但又可能出现猜解不到的情况,由于Access数据库在当前安全发展中已很少存在,故直接使用SQLMAP注入,后续再说其他。python sqlmap.py -u “” --dump -C “” -T admin //获取表名下的列名数据。在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件。1、该版本默认会将*.asp;
2023-05-28 19:33:07
110
1
原创 从0到1java安全6
JNDI全称为 Java Naming and DirectoryInterface(Java命名和目录接口),是一组应用程序接口,为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定义用户、网络、机器、对象和服务等各种资源。而LDAP可以使用,1.7的LDAP可以使用的原因是因为1.8继承了1.7的写法,相当于是同一类,所以可以用。 上边的两个JNDI的注入工具,由于调用链不同,能不能执行也不同,所以工具多试试。使用刚刚下载的工具,会监听现在的1389端口(ldap)1399端口(rmi)
2023-05-19 22:30:41
235
1
原创 从0到1java安全5
在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上是标准的数据交换格式。分析漏洞利用,输出转换的数据类型(类),有一个@type的参数,默认有但是不显示,这里使用 SerializerFeature.WriteClassName,来显示这个参数。我们IDEA设置Maven的时候可以看到,其实IDEA已经自带了Maven,直接配置IDEA中的Maven可以省去下载Maven的步骤了。
2023-05-19 09:32:16
345
原创 从0到1java安全4
因为在UserDemo中有写readObject()方法,所以在执行的序列化的过程中去执行了自己写的的readObject()类,而不是本地环境自带的readObject()类~如果说我们不用自带的jdk的readObject()整个方法,自己写一个readObject()呢?能够实现数据的持久化,通过序列化可以把数据永久的保存在硬盘上,也可以理解为通过序列化将数据保存在文件中。当去掉序列化代码时,没有请求访问。跟进readobject(),是在jdk自带的readObject()方法中。
2023-05-18 22:36:19
77
原创 从0到1java安全3
其实从官方定义中就能找到其存在的价值,在运行时获得程序或程序集中每一个类型的成员和成员的信息,从而动态的创建、修改、调用、获取其属性,而不需要事先知道运行的对象是谁。对成员变量,成员方法和构造方法的信息进行的编程操作可以理解为反射机制。3、JavaEE-反射机制-安全应用&反射执行&反序列化链相关。2、JavaEE-反射机制-类&成员变量&方法&构造方法操作。Java-反射-Constructor构造方法类获取、Java-反射-Method成员方法类获取。Java-反射-Field成员变量类获取。
2023-05-18 09:24:50
97
原创 从0到1java安全2
Filter被称为过滤器,过滤器实际上就是对Web资源进行拦截,做一些处理后再交给下一个过滤器或Servlet处理,通常都是用来拦截request进行处理的,也可以对返回的 response进行拦截处理。常规功能是在Serlvet(代码层)实现木马链接,而这个注入的内存马是在Filter的,前边的Listener也可以注入内存马。如果多次访问cs,servlet会执行多次,listen只会执行一次监听。
2023-05-15 09:06:26
612
1
原创 从0到1java安全1
demo测试[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传简单测试,不选数据库了解决控制台乱码帮助-》编辑自定义VM选项运行默写代码片段时,点击绿的三角就可以执行。
2023-05-14 21:51:40
87
转载 js的switch
js的switch实战开发中,经常需要根据接口的返回码 retCode let retCode = 1003; // 返回码 retCode 的值可能有很多种情况 if (retCode == 0) { alert('接口联调成功'); } else if (retCode == 101) { alert('活动不存在');
2021-09-11 17:04:47
144
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人