HACKONE的博客

这下面的逻辑就是我们再使用模式PHP_XOR_RAW和 PHP_XOR_BASE64生成木马时，会先通过代码中的genenrate找到template模板下的木马文件。通过替换密钥和key后直接按照template模板下的木马生成wenshell，所以我们把原来木马的模板替换成免杀的模板后，替换密钥和key后可直接生成免杀马。setting是控制下面显示的界面 asseet是实现端口扫描的，php目录下的文件是界面的显示的东西。这里定义的生成类，就是要找template下的生成文件。

Spring Framework是一个开源应用框架，初衷是为了降低应用程序开发的复杂度，具有分层体系结构，允许用户选择组件，同时还为J2EE应用程序开发提供了一个好用的框架。参考：https://cloud.tencent.com/developer/article/2164533。参考：https://www.csdn.net/article/2022-11-24/128026635。参考：https://developer.aliyun.com/article/1160011。-访问jsp触发后门。

历史漏洞：https://avd.aliyun.com/search?历史漏洞：https://avd.aliyun.com/search?历史漏洞：https://avd.aliyun.com/search?黑盒特征：盲打 会问蓝队攻击特征（${jndi:rmi:///osutj8}）影响范围：Apache Shiro

阿里巴巴公司开源的json解析器，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。利用POC：https://github.com/kezibei/fastjson_payload。历史漏洞：https://avd.aliyun.com/search?q=fastjson。历史漏洞：https://avd.aliyun.com/search?历史漏洞：https://avd.aliyun.com/search?

应用广泛，如BBC用在其动态内容展示平台，Credit Suisse用在其内部的商品部门的市场框架，Meebo，用在其社交平台（web和应用程序）。Redis如果在没有开启认证的情况下，可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。对服务进行类别划分，通过服务功能理解，如数据库有帐号密码就有爆破利用方法，也可以针对服务公开的CVE进行漏洞测试及服务常见的错误安全配置导致的未授权访问等。允许使用密钥登录，即可远程写入一个公钥，直接登录远程服务器。

Jenkins是一个开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作。漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn。增加解析clientweb.docer.wps.cn.{xxxxx}wps.cn ip上面。Jetty是一个开源的servlet容器，它为基于Java的Web容器提供运行环境。WPS Office 代码执行(QVD-2023-17241)实战中：申请{xxxxx}wps.cn域名。-修改docx中的指向连接URL。

当存在漏洞的Tomcat运行在Windows/Linux主机上， 且启用了HTTP PUT请求方法（ 例如， 将readonly初始化参数由默认值设置为false） ， 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件，JSP文件中的恶意代码将能被服务器执行， 导致服务器上的数据泄露或获取服务器权限。其2.4.0~2.4.29版本存在一个解析漏洞，在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。

1、webshell工具里面的后门代码不被杀毒检测到-混淆。2、webshell工具里面的功能操作不被杀毒拦截到-魔改。3、webshell工具里面的操作连接不被平台捕获到-魔改。1、环境部署-JAR反编译&打包构建-项目即成功。2、魔改冰蝎-防识别-打乱特征指纹-使用即变异。3、魔改冰蝎-防查杀-新增加密协议-生成即免杀。解决1：绕过识别（魔改打乱特征，新增加密算法）2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。魔改冰蝎-防识别-打乱特征指纹。

上面的实验代表了webshell查杀的几个特征：表面代码只能解决代码表面的查杀操作行为哥斯拉执行命令无提示antsword执行命分有提示哥斯拉执行命令无提示但是执行net user 有提示antsword执行命分有提示工具指纹源码魔改(指纹打乱，调用逻辑(行为绕过))对抗:流量产品 和 杀毒产品换冷内工具(自己写的工具)让产品没来得及集成这个工具的检测导致绕过(特征库)

Burpsuite，Awvs，Xray，Goby，Afrog，Yakit，Nuclei，Vulmap，Pocassist，Nessus，Pentestkit，Kunyu，Pocsuite3，浏览器各类插件，Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan，JScan等)。Acunetix一款商业的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。

攻击者通过操纵由jumpserver堡垒机管理的内网机器，以这台机器为据点，对内网进行信息收集，不断地横向渗透，最终控制了大量内网机器。攻击者利用天玥堡垒机存在的弱口令漏洞获得堡垒机的web控制台权限，逐步渗透到企业内部网络。如果攻击者获得堡垒机权限，那么攻击者就可获得进入内网，甚至是直接管理堡垒机上所有的资产。-2021年攻防演练期间，某互联网公司堡垒机遭受攻击，攻击者利用任意用户登录漏洞对齐治堡垒机实施攻击，获得齐治堡垒机的后台管理权限，控制了大量内网机器。堡垒机攻防：（意义）云堡垒机：（云攻防）

污点是K8s高级调度的特性，用于限制哪些Pod可以被调度到某一个节点，一般主节点包含一个污点，是k8s集群默认给master节点加的Taints（污点）这个污点是阻止Pod调度到主节点上面，除非有Pod能容忍这个污点，而通常容忍这个污点的Pod都是系统级别的Pod，例如:kube-system。攻击者在获取到node节点的权限后，可以通过kubectl来创建一个能够容忍master主节点的污点的Pod，当该Pod被成功创建到Master上之后，攻击者可以通过在子节点上操作该Pod实现对主节点的控制。

第二种：在打开证书校验选项后，通过本地127.0.0.1:2379可免认证访问Etcd服务，但通过其他地址访问要携带cert进行认证访问，一般配合ssrf或其他利用，较为鸡肋。etcd是master节点的数据库，通过未授权获取token和证书来攻击，etcd的端口是2379：默认通过证书认证，主要存放节点的数据，如一些token和证书。第三种：实战中在安装k8s默认的配置2379只会监听本地，如果访问没设置0.0.0.0暴露，那么也就意味着最多就是本地访问，不能公网访问，只能配合ssrf或其他。

Kubernetes是一个开源的，用于编排云平台中多个主机上的容器化的应用，目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署，规划，更新，维护的一种机制。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着，管理员可以加载一个微型服务，让规划器来找到合适的位置，同时，Kubernetes在系统提升工具以及人性化方面，让用户能够方便的部署自己的应用。随着越来越多企业开始上云的步伐，在攻防演练中常常碰到云相关的场景，例：公有云、私有云、混合云、虚拟化集群等。

常规检测：https://github.com/teamssix/container-escape-check。检测利用：https://github.com/cdk-team/CDK。-CVE-2020-15257 containerd逃逸。4、实验获取到docker搭建的Web权限后进行逃逸。#云原生-Docker安全-容器逃逸&CDK自动化。#云原生-Docker安全-容器逃逸&内核漏洞。#云原生-Docker安全-容器逃逸&版本漏洞。-CVE-2019-5736 runC容器逃逸。

红队云攻防实战1. 什么是云1. 什么是云

实例元数据（metadata）包含了弹性计算云服务器实例在阿里云系统中的信息，您可以在运行中的实例内方便地查看实例元数据，并基于实例元数据配置或管理实例。细节方面可通过访问官网找元数据访问触发说明，阿里云例子：https://help.aliyun.com/zh/ecs/user-guide/manage-instance-metadata。腾讯云元数据地址：http://metadata.tencentyun.com/CF 云渗透框架项目：https://wiki.teamssix.com/CF/

通俗易懂地解释，“云”就像是一个巨大的、虚拟的、可以随时访问的计算机仓库。这个“仓库”里有无数的服务器、存储设备和其他硬件资源，它们通过网络连接在一起，形成一个庞大的计算网络。这个网络中的资源可以被不同的用户或组织共享，用户只需要通过网络连接，就可以随时随地使用这些资源，而无需自己购买和维护硬件和软件。在线存储：当你把照片或文件上传到像Google Drive、Dropbox或iCloud这样的云服务时，你其实是在使用“云”来存储你的数据。

撰写报告详细记录攻击过程、发现的漏洞和安全风险，以及收集到的数据等信息分析与总结对攻击结果进行深入分析，总结经验教训，提出改进建议。汇报与沟通将报告和分析结果向相关人员或团队进行汇报和沟通。

造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。同时，黑客可以快速的判定出某个特定zone的所有主机，收集域信息，选择攻击目标，找出未使用的IP地址，绕过基于网络的访问控制。SSL/TLS证书通常包含域名、子域名和邮件地址等信息，结合证书中的信息，可以更快速地定位到目标资产，获取到更多目标资产的相关信息。子域名收集：python sublist3r.py -d target.com -b -t 50 -p 80,443,21,22。漏洞检验-不存在漏洞。

CDN的全称是Content Delivery Network（内容分发网络），通过在网络各处的加速节点服务器来为网站抵挡恶意流量，把正常流量进行转发。用简单点的话来说，CDN一般有三个作用：1.跨运营商加速：我们自己的网站常常只属于一个运营商(比如：电信)，而加速节点遍布每家运营商，于是和网站不同运营商（比如：联通）的用户访问起来就不会那么慢了。

专门用来解决企业信息收集难的问题的工具，可以一键收集目标及其控股公司的 ICP 备案、APP、小程序、微信公众号等信息然后聚合导出。在centos中安装，或者在云主机VPS中安装docker，再使用docker将ARL pull下来就可以了，然后魔改增强它的功能。

二、绕过cdn获取真实ip。一、判断是否存在cdn。四、收集常用的端口信息。

通过域名系统（DNS，Domain Name System），域名能被转换成对应的IP地址，使得用户在输入易记的域名后，能够准确地访问到相应的网络资源，如网页、电子邮件服务器或文件传输服务等。然后，每个部门和子公司可以根据需要进一步使用多级域名来细分其下的特定项目或团队，如“projectA.sales.example.com”或“teamB.marketing.example.com”。常见的后缀包括.com（商业）、.edu（教育）、.org（组织）、.net（网络）、.gov（政府）等。

根据目标网站的大小确定数据库类型首先，成本上的差距，access是不要钱的，mysql也是开源的，sql server 是收费的一般也就几千，Oracle的费用则数万。C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。有时候网站的响应包会携带server信息，如下，这种情况多存在内网中。

site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system。site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录。site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证。利用google可以搜索一些网站的敏感信息，语法如下。利用google搜索C段服务器信息。利用goole搜索敏感信息。完整匹配：“关键词”

https://github.com/Adminisme/ServerScan 高并发网络扫描、服务探测工具。https://github.com/dean2021/titlesearch 批量抓取域名title工具。https://github.com/fadinglr/EHole 红队重点攻击系统指纹探测工具。https://github.com/pmiaowu/PmWebDirScan 批量扫目录备份。https://github.com/k8gege/K8CScan 漏洞扫描、密码爆破。

综合性安卓抓包/逆向/HOOK自动化脚本工具：lamda/r0capture/fridaUiTools/frida_hook_libart。SSL相关：JustTrustMe++/TrustMeAlready/SSLUnpinning/Inspeckage。强制走代理：ProxyDroid/Droni+Burpsuite。一般是通过抓包收集接口数据或者逆向获取配置数据。抓包可能会需要进行证书绕过、绕过抓包限制等。逆向可能会需要进行脱壳/解码等。

在红队渗透测试中，客户的合作至关重要，他们会提供目标资产的基本信息作为初始攻击面。红队的行动范围通常是由客户明确授权界定的，这其中包括但不限于对主域名、下属子公司以及整个供应链体系中的相关资产进行安全测试。红队需严格按照约定的边界执行任务，可能涵盖但不限于对主域名下的各个子域名进行深度侦查，探究子公司间的网络互联情况，以及深入分析供应链各环节的软硬件设施、业务流程和数据交换点，以全方位评估和模拟真实攻击场景下的安全风险。在执行过程中，红队始终保持专业操守，确保所有行动均在合法、合规的前提下进行，并以增强客户