TeamsSix 的 CSDN 空间

当我们平时拿到云服务的访问凭证即 Access Key 时，通常的做法可能是看下对方的 OSS 对象存储、或者在实例上执行个命令，但 AK 的利用远不止这些，通过 AK 我们可以做太多太多的事情，为了方便 AK 的利用，于是有了这个工具。...

前言T Wiki 在 4 月 16 日上线，5 月份以来依然收到不少师傅的支持与反馈，此时正好到月末，特此整理下这段时间来 T Wiki 上所更新的内容，如果你还不知道 T Wiki 是什么，可以查看这篇文章T Wiki 云安全知识文库上线，或者访问 T Wiki 地址： wiki.teamssix.com感谢你们自 5 月 1 日至 5 月 31 日，T Wiki 总共收到了 4 位师傅的补充，分别为 m4d3bug、Idle Life、da Vinci【达文西】、tanger云安全资源板块补充

前言T Wiki 是一个面向云安全方向的知识库，这一点是和其他文库最大的不同，也许这是国内第一个云安全知识文库？搭建这个文库的起因是笔者发现在云安全方向的中文资料属实不多，少有的这些资料也很散乱，于是搭建了这个文库。文库的地址为：wiki.teamssix.com文库介绍首先来看文库首页，文库主要分成了三个板块，分别为云服务、云原生、云安全资源首先来看云安全资源板块，这个板块是我个人觉着整个知识库较为与众不同的地方，在这里可以看到汇总的云安全资源，比如云安全相关的文章、公众号、工具、靶场等等。

0x01 反射型 XSS以下代码展示了反射型 XSS 漏洞产生的大概形式<% String name = request.getParameter("name"); String studentId = request.getParameter("sid"); out.println("name = "+name); out.println("studentId = "+studentId);%>当访问 http://localhost:8080/xss

0x00 环境搭建直接 Docker 搭建即可git clone https://github.com/vulhub/vulhub.gitcd /vulhub/tomcat/CVE-2017-12615sudo docker-compose buildsudo docker-compose up -d0x01 漏洞复现直接使用 PUT 发起请求就可以上传任意文件，比如向 /teamssix.jsp/ 发起请求PUT /teamssix.jsp/ HTTP/1.1Host: 172.16.

这里以 TurboMail 5.2.0 里的敏感信息泄露漏洞作为学习。已知 TurboMail 5.2.0 的敏感信息泄露路径为 /mailmain?type=pm打开 TurboMail 的安装目录，在 turbomail\web\webapps\ROOT\WEB-INF 下找到 web.xml 文件，发现以下配置信息<servlet-mapping> <servlet-name>mailmaini</servlet-name> <url-patte

0x00 介绍JSON Web Token 缩写成 JWT，被用于和服务器的认证场景中，这一点有点类似于 Cookie 里的 Session id，关于这两者的区别可以看本文尾部的参考链接。JWT 由三部分构成，分别为 Header（头部）、Payload（负载）、Signature（签名），三者以小数点分割，格式类似于这样：Header.Payload.Signature实际遇到的 JWT 一般是这种样子eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIi

0x00 介绍这里主要学习下 FreeMarker 模板注入，FreeMarker 是一款模板引擎，FreeMarker 模板文件与 HTML 一样都是静态页面，当用户访问页面时，FreeMarker 引擎会进行解析并动态替换模板中的内容进行渲染，然后将渲染后的结果返回到浏览器中。0x01 FreeMarker 模板FreeMarker 模板语言（FreeMarker Template Language，FTL）由 4 个部分组成，分别如下：文本：包括 HTML 标签与静态文本等静态内容，该部分

1、介绍表达式语言（Expression Language）简称 EL 表达式，是一种 JSP 内置的语言。在 JSP 中，使用 ${} 来表示 EL 表达式，例如 ${name} 表示获取 name 变量。在 EL 表达式中有两种获取对象属性的方法，第一种为 ${param.name}，第二种为 ${param[name]}2、实例使用实例使用 param 对象获取用户传入的参数值，这里的 ${param.name} 相当于 request.getParameter(“name”)<%

0x01 命令注入在开发过程中，开发人员可能需要对系统文件进行移动、删除或者执行一些系统命令，这时如果执行的命令用户可控，就会导致命令执行漏洞。1、示例当命令可控时，就可能会导致命令注入，例如以下代码：String cmd = request.getParameter("cmd");Runtime.getRuntime().exec(cmd);这种漏洞原理很简单，主要就是找到执行系统命令的函数，看命令是否可控。java 程序中执行系统命令的函数如下：Runtime.execProcess

0x01 JDBC 拼接不当造成 SQL 注入JDBC 有两种方法执行 SQL 语句，分别为 PrepareStatement 和 Statement，两个方法的区别在于 PrepareStatement 会对 SQL 语句进行预编译，而 Statement 在每次执行时都需要编译，会增大系统开销。理论上 PrepareStatement 的效率和安全性会比 Statement 好，但不意味着就不会存在问题。以下是一个使用 Statement 执行 SQL 语句的示例String sql = "se

0x00 前言filter 被称为过滤器，是 Servlet 2.3 新增的一个特性，同时也是 Serlvet 技术中最实用的技术。过滤器实际上就是对 Web 资源进行拦截，做一些处理后再交给下一个过滤器或 Servlet 处理，通常都是用来拦截 request 进行处理的，也可以对返回的 response 进行拦截处理。开发人员利用 filter 技术，可以实现对所有 Web 资源的管理，例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。0x01 filter 的配置filter

0x00 前言Servlet 是 Java Web 容器中运行的小程序，Servlet 原则上可以通过任何客户端-服务端协议进行通信，但它们常与 HTTP 一起使用，因此 Servlet 通常作为 “HTTP Servlet”的简写。Servlet 是 Java EE 的核心，也是所有 MVC 框架实现的根本。0x01 Servlet 的配置版本不同，Servlet 的配置不同，Servlet 3.0 之前的版本都是在 web.xml 中配置的，在 3.0 之后的版本中则使用更为方便的注解方法来配置

Java 平台分为三个主要版本：Java SE（Java 平台标准版）Java EE（Java 平台企业版）Java ME（Java 平台微型版）Java EE 是 Java 应用最广泛的版本。0x01 Java EE 的核心技术Java EE 有十三种核心技术，它们分别是：JDBC、JNDI、EJB、RMI、Servlet、JSP、XML、JMS、Java IDL、JTS、JTA、JavaMail 和 JAF，这里重点介绍以下几种：Java 数据库连接（Java Database Co

0x00 前言Maven 是一个项目构建和管理工具，利用它可以对 JAVA 项目进行构建和管理。Maven 采用项目对象模型 POM（Project Object Model）来管理项目。Maven 的主要工作就是用来解析一些 XML 文档、管理生命周期与插件。Maven 被设计成将主要的职责委派给一组 Maven 插件，这些插件可以影响 Maven 生命周期，提供对目标的访问。0x01 pom.xml 文件介绍pom.xml 文件被用于管理源代码、配置文件、开发者的信息和角色等，Maven 项

0x00 前言平时在使用 Docker 时，经常会碰到忘记相关命令的情况，因此平时忘记一个就会记录一个，经过多年的记录，Docker 相关的笔记已经记录了不少。最近在看代码审计的时候又提到了 Docker，正好借着这个机会好好的把原来记录的比较乱的 Docker 笔记整理一下。如果你也面临过「在使用 Docker 时，时不时就会忘记某条命令」的情况，那么我相信本篇文章应该会对你有所帮助。0x01 安装1、安装 Dockercurl -fsSL https://get.docker.com/ |

0、前言常见的跨域攻击方法有以下几种：i、利用常规的渗透方法，比如 Web 漏洞ii、利用已知散列值进行哈希传递或票据传递，因为有可能域内的密码是通用的iii、利用域信任关系这里主要看第三种：域信任关系当有多个域时，不同的域之间想进行资源共享，就需要用到域信任，只有当域之间互相信任后，才能进行资源共享。域信任关系可分为单向信任和双向信任。单向信任即 A 信任 B，但 B 不信任 A，双向信任同理。在创建子域时，系统会在新的子域和父域之间自动创建双向可传递信任关系。域信任关系又可分为内部信任和

0、前言白银票据（Sliver Ticket） 不同于黄金票据（Golden Ticket）Kerberos 协议详解：https://teamssix.com/210923-151418.html白银票据不与密钥分发中心 KDC 交互，因此没有了 Kerberos 认证协议里的前 4 步，通过伪造的票据授予服务 TGS 生成伪造的服务票据 ST 直接与服务器 Server 进行交互。白银票据与黄金票据的区别：1、白银票据不经过 KDC，因此白银票据日志相对于黄金票据会更少，同时白银票据的日

0、前言RT 在利用黄金票据（Golden Ticket）进行 PTP 票据传递时，需要先知道以下信息：伪造的域管理员用户名完整的域名域 SIDkrbtgt 的 NTLM Hash 或 AES-256 值其中 krbtgt 用户是域自带的用户，被 KDC 密钥分发中心服务所使用，属于 Domain Admins 组。在域环境中，每个用户账号的票据都是由 krbtgt 用户所生成的，因此如果知道了 krbtgt 用户的 NTLM Hash 或者 AES-256 值，就可以伪造域内任意用户的身

0、前言在 2014 年微软修复了 Kerberos 域用户提权漏洞，即 MS14-068，CVE 编号为 CVE-2014-6324，该漏洞影响了 Windows Server 2012 R2 以下的服务器，该漏洞允许 RT 将任意用户权限提升至域管级别。不过从漏洞年代就知道这已经是个远古时代的漏洞，现实中已经很少会碰到了，这里就简单记录下，顺便熟悉熟悉工具的用法。14-068 产生的原因主要在于用户可以利用伪造的票据向认证服务器发起请求，如果用户伪造域管的票据，服务端就会把拥有域管权限的服务票据返